Entwicklungen und aktuelle Trends in der IT-Sicherheit€¦ · IT-SICHERHEIT [5/2019] 5 INHALT...
Transcript of Entwicklungen und aktuelle Trends in der IT-Sicherheit€¦ · IT-SICHERHEIT [5/2019] 5 INHALT...
Fachmagazin für Informationssicherheit und Datenschutz 5|2019
49187HZ200016 ISSN: 1868-5757
Entwicklungen und aktuelle Trends in der IT-Sicherheit
Im Interview: Mario Emig, Controlware
www.itsicherheit-online.com
Bürger-ID: Das Smartphone als Ausweis
Technischer Brandschutz: Basiskonzepte
Messe: it-sa in Nürnberg öffnet ihre Pforten
3IT-SICHERHEIT [5/2019]
EDITORIAL
In einer immer weiter digitalisierten Welt laufen viele Prozes
se, die heute noch persönliche Präsenz oder/und Anträge auf
Papier erfordern, schlicht über das Netz. So könnten beispiels
weise Kommunen, Länder und Unternehmen ihren Bürgern
beziehungsweise Kunden neue EGovernment und Smart
City Anwendungen zugänglich machen. Laut einer Studie des
FraunhoferInstituts bieten aber insbesondere Kommunen in
Deutschland viel zu wenig OnlineVerfahren an. „Das Fehlen von
entsprechenden Angeboten führt dazu, dass diese kaum be
kannt sind und selten genutzt werden“, schreibt Prof. Norbert
Pohlmann, Informatikprofessor für Informationssicherheit und
Leiter des Instituts für InternetSicherheit – if(is) an der Westfä
lischen Hochschule in Gelsenkirchen, in seinem Beitrag „Smart
phone BürgerID“ in dieser Ausgabe. „Dabei könnte über ein
Drittel der Kosten für die Verwaltung in Deutschland eingespart
werden.“
Die lahmende Digitalisierung führt in vielen Bereichen zu einer
massiven Verschwendung von Zeit und Ressourcen. Allerdings
ist die Skepsis gegenüber digitalen Diensten von Seiten der
Anbieter ebenso wie der der Nutzer nicht ganz unbegründet.
Die bange Frage lautet immer: Liegt das Sicherheitsniveau auf
einem dem Service angemessenen Niveau? Wenn die Bestel
lung bei einem OnlineHandel gefakt wird, ist das sehr ärgerlich.
Wenn aber Kriminelle einen digitalen Ausweis stehlen, können
die Folgen für Betroffene katastrophal sein. Speziell im Bereich
der EGovernmentAngebote sind höchste Sicherheitsstandards
absolute Pflicht.
Das gilt an erster Stelle für eine fälschungssichere „digitale Iden
tität“, die als Basis für sichere Authentifizierungsprozesse un
erlässlich ist. Es scheint sich ein Trend abzuzeichnen, der den
„ Alleskönner” Smart phone auch in dieser Angelegenheit vor
Das Smartphone als Ausweis: Bürger-ID
ihren Karren spannt. In der Tat
spricht einiges dafür. Die in den
smarten Begleitern verbaute
Technik reicht vom eingebauten
Hardware Keystore über bio
metrische Sensoren (Fingerab
druck, Gesichtserkennung, Iris
Scanner und mehr) bis hin zum
Multi touchBildschirm zur visu
ellen Datenkontrolle. Auf der
vergangenen European Identity
& Cloud Conference (EIC) in München etwa hat Belgian Mobile
ID mit ihrer „itsme“App für einiges Aufsehen gesorgt. Die damit
realisierbare digitale Identität sei bereits von 13 Regierungen in
Europa akzeptiert.
Auch in Deutschland laufen ähnliche Entwicklungen auf Hoch
touren. Die Smartphone BürgerID ist ein Kooperationsprojekt
zwischen dem Institut für InternetSicherheit der Westfälischen
Hochschule, XignSys, der Stadt Gelsenkirchen und der Stadt
Aachen. Prof. Pohlmann bindet die Vorstellung dieses Projekts
im erwähnten Beitrag in übergeordnete Betrachtungen zu Pass
wortSicherheit und andere Mechanismen, wie Zwei und Mehr
FaktorAuthentifizierung, ein.
Viel Spaß beim Lesen!
Ihr Stefan Mutschler
Chefredakteur
www.itsicherheitonline.com/newsletter facebook.com/itsicherheit ITSICHERHEITtwitter.com/it_sicherheit24
Stef
an M
utsc
hler
Mit freundlicher Unterstützung von
20.–22.11.2019Köln, Maternushaus
43.
2. SOLUTIONS-FORUMfür Datenschutz und IT-Sicherheit
38. -FORUM
DS-GVO: Aktuelle Herausforderungen bis zur Künstlichen Intelligenz (KI)
Mit dem
DATAKONTEXT GmbH · Postfach 41 28 · 50217 Frechen · Tel.: +49 22 34/989 49 - 40 · Fax: +49 22 34/989 49 - 44Internet: datakontext.com · E-Mail: [email protected]
Jetzt informieren und anmelden unter dafta.de
audatis MANAGERDatenschutzmanagement einfach online
5IT-SICHERHEIT [5/2019]
INHALT
Editorial3 Das Smartphone als Ausweis: Bürger-ID
News – Unternehmen6 Aktuelle Meldungen
Produktnews10 Neuheiten auf dem Markt
Aus der Szene14 It-sa profi tiert von Digitalisierungsrisiken – Security fi rst16 Hat der Airbag in der IT-Sicherheit ausgedient? –
Zur Halbwertszeit von Sicherheitslösungen
Titel20 Im Interview: Mario Emig, Controlware –
Security Day: Spiegel des Wandels in der IT-Sicherheit
Security Management26 SIEM wird zunehmend Teil der Security-Strategie –
Gesamtsicht in Sachen IT-Sicherheit30 Konzept zur Krisenbewältigung – Was für ein Desaster!34 Unternehmen profi tieren umfassend von einem betriebs-
internen Krisenmanagement – Es geht ums Überleben
Internet der Dinge38 Wie RPA und KI Geschäftsprozesse im Gesundheitswesen
beeinfl ussen können – Einsatz für Kollege Roboter40 Wie das IoT in der Industrie Wirklichkeit wird –
Erfolgreich zur Smart Factory
Cybersicherheit44 Aus dem Schatzkästchen eines Pentesters –
Strategien zum Schutz gegen das Passwort-Hacking48 Sicheres Navigieren von digitalen Risiken –
Terra Incognita 2.0
Physische Sicherheit54 Hohe Gefährdungslage erfordert umfassende
Maßnahmen für Cyber Security – Tatort Rechenzentrum58 Aktuelle Basics im technischen Brandschutz –
Ein ungeliebtes Must- have im Rechenzentrum
Endpoint/Mobile Security62 Anatomie einer App-Schwachstelle und Lehren für
Entwickler – Manipulierbare WhatsApp- und Telegram-Mediendateien
66 Admin-Rechteverwaltung als Grundpfeiler der Bekämpfung von Einbruchsfolgen – IT-Security endet nicht an der Firewall
Cloud-/Web App Security68 Die Zukunft IT-Infrastruktur für New Work verschmilzt
zum Cloud Area Network – Security trifft WAN
Datenschutz/Back-up/Archivierung72 DS-GVO-konforme Videoüberwachung –
Sicherheit der Sicherheit
Aus Forschung und Technik74 IT-Sicherheit als Wegbereiter für die Digitalisierung –
Smartphone Bürger-ID
IT-Recht & Rechtsprechung84 Fallbeispiel zum IT-Recht:
Das Behördenverfahren der DS-GVO86 Urteilsbesprechung88 EuGH-Urteil zur digitalen Arbeitszeiterfassung –
Korrekt „Maßnehmen“
Services82 Buchvorstellung83 Webportal90 Impressum
Vorschau90 Ausblick auf die Ausgabe 6/2019
4638 6820
Im Interview: Mario Emig, Controlware
Einsatz für Kollege Roboter Tatort Rechenzentrum Smartphone Bürger-ID
NEWS – UNTERNEHMEN
CITRIX ERHÄLT BESTÄTIGUNG FÜR UNI-FIED ENDPOINT MANAGEMENT
Der aktuelle Marktforschungsbericht des US-Analysten-hauses Gartner („Gartner Magic Quadrant for Unified Endpoint Management (UEM) Tools“ von August 2019) stuft Citrix als Marktführer für einheitliches Endgeräte-Management ein. „Wir bei Citrix möchten unseren Kun-den Lösungen anbieten, mit denen sie die Geräte ihrer Mitarbeiter einfach und effizient verwalten können, so-dass Arbeitnehmer ihrerseits möglichst produktiv sind“, sagt Calvin Hsu, Vice President Product Marketing bei Citrix. Mit Citrix Endpoint Management, einem Teil der Digital-Workspace-Angebote von Citrix, schaffen Unter-nehmen einen personalisierten Zugang zu Anwendun-gen und Informationen, die Mitarbeiter brauchen, um möglichst produktiv zu sein. Weitere Hauptmerkmale, die zur positiven Bewertung bei Gartner maßgeblich beigetragen haben, sind eine zentrale Management-Oberfläche und dynamische Sicherheits-Policies, basie-rend auf dem Nutzerverhalten.
MCAFEE KAUFT CLOUD-SICHERHEITS-PLATTFORM NANOSEC
Das Sicherheitsunternehmen McAfee hat die Übernah-me der cloudbasierten Sicherheitsplattform NanoSec bekanntgegeben. Durch die Übernahme von NanoSec will McAfee sein Cloud-Sicherheitsproduktportfolio „MVISION“ stärken. So werden NanoSecs Ressourcen in Form von Containern und Kubernetes in „MVISION Cloud“ und „MVISION Server Protection“ integriert. Da-mit sollen Governance, Compliance und Sicherheit in hybriden Multi-Cloud-Umgebungen optimiert werden. McAfee verfolgt durch die Übernahme von NanoSec den DevSecOps-Ansatz, wonach Sicherheit im Entwick-lungsprozess von Anwendungen integriert wird, um po-tenzielle Schwachstellen bereits vor dem Einsatz der
BARRACUDA ERWIRBT INDISCHES START-UP INFISECURE TECHNOLOGIES
Barracuda hat das indische Start-up InfiSecure Techno-logies erworben. Damit stattet der Sicherheitsspezia-list seinen erst kürzlich vorgestellten Service Advanced Bot Protection für die Barracuda WAFaaS-Plattformen sowie die Web Application Firewall mit erweiterten Funktionen aus. InfiSecure Technologies hat sich auf die Erkennung und Minimierung fortschrittlicher Bots
mit niedriger Latenzzeit spezialisiert. Laut Gartner sind „DDoS-Angriffe, betrügerische Käufe, Web Scraping so-wie Schwachstellen-Scans und -Angriffe die Hauptarten von Bot-Angriffen“. Solch schadhafte Bots entwickeln sich ständig weiter, so dass sie menschliches Verhalten immer genauer nachahmen können. Abwehrstrategien zur Bot-Erkennung und -Minderung werden daher im-mer wichtiger. Low-and-Slow-Bots, die Daten langsam anfordern, und wechselnde IP-Adressen erfordern spezi-elle Fingerprinting-Techniken zur Erkennung. Infi Secures Technologie liefert zusammen mit den vielfältigen Lö-sungen aus Barracudas Infrastruktur weltweiter Bedro-hungserkennung der Barracuda WAF ab sofort einen erweiterten Funktionsumfang zur Bekämpfung und Ab-wehr solcher Angriffe.
Besuchen Sie uns: it-sa in Nürnberg Halle 9, Stand 9-411
Rittal Lösungen für die Technologie der Zukunft.
Mit Edge Computing verarbeiten Sie große Datenmengen am Ort der Entstehung. Sicher und in Echtzeit. Wie Sie Ihre IT-Infrastruktur flexibel, wirtschaftlich und international auf die neuen Herausforderungen vorbereiten, entdecken Sie bei Rittal: www.rittal.com/it-solutions.
Anz_IT_Sicherheit_5_2019_2x210x102.indd 1 14.08.19 14:24
über eine eigens zu diesem Zweck entwickelte Schnittstelle.
„Auch heute noch ist vielen Un-ternehmern und Geschäftsführern nicht bewusst, dass die Einhaltung von relevanten rechtlichen Vorga-ben ohne Nutzung einer Software für E-Mail-Archivierung faktisch kaum möglich ist,“ so Norbert Neu-deck, Director of Sales bei MailSto-re. „Wir freuen uns im Rahmen un-serer Partnerschaft mit DATEV eine sehr datenschutzaffine Zielgruppe für das Thema weiter sensibilisie-ren zu können und ihr gleichzeitig eine Lösung für die rechtssichere E-Mail-Archivierung anzubieten.“
NTT SECURITY UNTERSTÜTZT EUROPOL BEI DER BEKÄMPFUNG VON CYBERKRIMINALITÄT
NTT Security (Germany) hat mit dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (Eu-ropean Cybercrime Centre, kurz EC3), das bei Euro-pol in Den Haag angesiedelt ist, eine Absichtserklärung ( Memorandum of Understanding) unterzeichnet. Die Vereinbarung sieht vor, strategische Erkenntnisse über Bedrohungen zu teilen, um Cybekriminalität weltweit besser verhindern zu können. Das Memorandum of Un-
NEWS – UNTERNEHMEN
Anwendung identifizieren und beheben zu können. So kommentiert Rajiv Gupta, General Manager der Cloud Security Business Unit bei McAfee: „Die Technologie von NanoSec ist eine Erweiterung der McAfee MVISION Cloud, die unsere CASB- und CWPP-Produkte verbes-sert und DevSecOps-Prozesse zur Optimierung von Governance und Sicherheit umsetzt.“
NEUER DATEV-SOFTWARE-PARTNER FÜR DIE RECHTSSICHERE E-MAIL- ARCHIVIERUNG
MailStore Software ist neuer DATEV-Software-Partner für die E-Mail-Archivierung. DATEV selbst will sich zu-künftig auf die Komplettierung der digitalen Mandante-nakte im eigenen Dokumentenmanagementsystem kon-zentrieren. Der Nürnberger Anbieter von Software und IT-Dienstleistungen für Steuerberater, Wirtschaftsprü-fer, Rechtsanwälte und Unternehmen empfiehlt seinen Kunden für die E-Mail-Archivierung die Lösung MailS-tore Server. Mithilfe der in Deutschland entwickelten und seit mehr als zehn Jahren markterprobten E-Mail-Archivierungssoftware können DATEV-Kunden die Ein-haltung rechtlicher Vorgaben bei der Archivierung ein- und ausgehender E-Mails sicherstellen. Die Software der Viersener Entwickler ist bereits im DATEV-Marktplatz als Empfehlung für rechtssichere E-Mail-Archivierung gelistet. Da bereits viele DATEV-System-Partner auch mit MailStore zusammenarbeiten, ist der Einsatz der im Markt führenden und systemoffenen Software mit einfachen Mitteln umzusetzen. Die Migration der Be-standskunden der DATEV E-Mail-Archivierung erfolgt
„Auch heute noch ist vielen Unternehmern und Geschäftsführern nicht bewusst, dass die Einhaltung von relevanten rechtlichen Vorgaben ohne Nut-zung einer Software für E-Mail-Archivierung faktisch kaum mög-lich ist,“ so Norbert Neudeck, Director of Sales bei MailStore. (Foto: MailStore)
Discover the Edge.
Anz_IT_Sicherheit_5_2019_2x210x102.indd 2 14.08.19 14:24
NEWS – UNTERNEHMEN
EXCLUSIVE NETWORKS SCHLIESST VERTRAG MIT BITGLASS
Die Nutzung der Cloud ist heu-te für den Großteil der Firmen selbstverständlich. Allerdings klaffen noch erhebliche Lü-cken bei der Absicherung der genutzten Cloud-Dienste. Mit seiner agentenlosen Technolo-gie bietet Bitglass Schutz vor Zero-Day-Lücken und ande-ren Bedrohungen und ermög-licht umfassenden Datenschutz für jede Anwendung und jedes Endgerät. Deshalb hat der Va-lue Added Distributor Exclusi-ve Networks sein Portfolio um diesen Hersteller erweitert. Die Lösungen des Cloud Access Security Brokers (CASB) sind damit auch für Exclusive-Net-works-Kunden im gesamten deutschsprachigen Raum ver-fügbar. „Da die Cloud-Nutzung inzwischen auch in Deutsch-land rasch zunimmt und Mitar-beiter Daten und Dienste immer öfter orts- und geräteunabhän-gig nutzen wollen, müssen sich auch die Strategien zur Absicherung der wertvollen Firmendaten und zur Ge-währleistung des Datenschutzes anpassen. Hier ergänzt Bitglass unser lösungsorientiertes Portfolio perfekt und bedient zielgenau einen wachsenden Bedarf bei den Unternehmen“, erklärt Florian Zink, Geschäftsführer Deutschland und Managing Director DACH bei Exclu-sive Networks. „Besonders hervorzuheben ist dabei die agentenlose Technologie von Bitglass, die ohne invasive
8 IT-SICHERHEIT [5/2019]
derstanding (MoU) zwischen Europol und NTT Securi-ty definiert ein Framework für den Austausch strategi-scher Bedrohungsdaten sowie von Informationen über Trends rund um Cybersicherheit und Best Practices der Branche. Im Rahmen der Vereinbarung wird NTT Se-curity das European Cybercrime Centre bei deren Ar-beit mit den Strafverfolgungsbehörden in den Mitglied-staaten unterstützen und dafür unter anderem Daten und Informationen für die jährliche Bewertung der Be-drohungslage durch die organisierte Internetkriminali-tät (Internet Organised Crime Threat Assessment, kurz IOCTA) liefern. Der IOCTA ist der wichtigste strategi-sche Bericht von Europol über neue Bedrohungen und Entwicklungen in der Cyberkriminalität sowie die dar-aus resultierenden Empfehlungen an Strafverfolgungs-behörden, politische Entscheidungsträger und Regulie-rungsbehörden, damit diese wirksam und aufeinander abgestimmt reagieren können.
SOPHOS SCHLIESST PARTNERSCHAFT MIT SPEZIALDISTRIBUTOR ACMEO
Sophos zollt dem enormen Wachstum im Bereich Ma-naged Services Rechnung und hat mit acmeo einen auf MSPs fokussierten Spezialdistributor für den deutschen Markt an Bord geholt. Damit will das Unternehmen sein Wachstum in diesem Bereich weiter beschleunigen und seinen Partnern die optimalen Voraussetzungen liefern, um ihr MSP-Geschäft auszubauen oder auch komplett neu in das zukunftsträchtige Geschäftsmodell einzu-steigen. „Durch die Partnerschaft mit acmeo können wir einen echten Mehrwert für unsere Partner schaffen. Als VAD für Managed Services ist das Unternehmen die perfekte Ergänzung zum MSP-Team von Sophos und hilft effektiv dabei, den Transformationsprozess erfolg-reich zu absolvieren“, so Michael Gutsch, Head of MSP CEEMEA bei Sophos. „Mit Sophos als neuem Partner er-gänzen wir unser Security-Portfolio und bieten unseren Partnern die relevanten Komponenten eines Managed-Security-Konzepts. Wir freuen uns sehr, dass wir einen solch starken Hersteller gewinnen konnten, der mit sei-nen zukunftsweisenden Technologien seit über 30 Jah-ren am Markt agiert ...“, so Stefan Steuer, Business De-velopment bei acmeo. Die umfängliche Plattform von acmeo für Managed Services mit vorgefertigten Ab-rechnungs-, Ticket-Management- und -Monitoring-Sys-temen bietet Partnern von Sophos die Möglichkeit, in das neue Geschäftsfeld ein- beziehungsweise mit be-stehenden Services weiter aufzusteigen – effiziente Ser-vice Enablement Beratung inklusive.
Henning Meyer (links), acmeo, und Michael Gutsch (rechts), Sophos Technology. (Foto: Sophos)
„Bitglass ergänzt unser lösungsorientiertes Port-folio perfekt und bedient zielgenau einen wach-senden Bedarf bei den Unternehmen“, erklärt Florian Zink, Geschäfts-führer Deutschland und Managing Director DACH bei Exclusive Networks (Foto: Exclusive Networks)
Profile auf den Endgeräten der Nutzer auskommt, sowie die Tatsache, dass sich alle im Unternehmen genutzten Cloudanwendung absichern lassen …“
ADVERTORIAL
Die Anforderungen an die IT-Sicherheit in Behörden, Unternehmen und in der Industrie wandeln sich stetig. Regelmäßig müssen die Verantwort-lichen auf neue Gefahrenszenarien reagieren, um dem durchgängig hohen Druck der Cyberkriminalität standzuhalten. Behörden und Gesetzgeber reagieren mit neuen Regularien auf diese veränderten Ausgangslagen. In der Folge sollten sich die Mitarbeiterinnen und Mitarbeiter in der IT-Sicherheit auch mit diesen neuen Gegebenheiten vertraut machen.
Der neue BSI IT GrundschutzDer IT-Grundschutz des Bundesamts für Sicherheit in der Informations-technologie (BSI) bildet in vielen Betrieben und Unternehmen die Basis für ein erfolgreiches Sicherheitsmanagement. Damit die BSI-Standards auch weiterhin zuverlässig zur Identifi kation notwendiger Sicherheitsmaßnahmen dienen, werden sie regelmäßig an die vor-herrschenden Gegebenheiten und Gefahrensituationen angepasst. Gleichzeitig greift das BSI auch steuernd in die Weiterbildung von IT-Sicherheitsexperten ein.
Bereits seit Mitte 2019 gelten die neuen Vorgaben für Basis- und Aufbauschulungen des Bundesamts für Sicherheit in der Informations-technologie. Die neuen Vorgaben sorgen dafür, dass sich das Curriculum und die Qualifi zierungsanforderungen der Schulungen noch stärker an den aktuellen Gefahrenszenarien orientieren. Darüber hinaus soll eine gleichbleibend hohe und zugleich einheitliche Qualität in der berufl ichen Weiterbildung zum IT-Grundschutz sichergestellt werden.
Auf der Grundlage dieser BSI-Standards entstehen auch neue Schulungen – etwa der BSI IT Grundschutz-Praktiker. Im Rahmen dieser Weiterbildung werden die Teilnehmenden umfassend auf ihre Rolle als IT-Sicherheitsexperten in ihren jeweiligen Unternehmen vorbereitet. Auch kürzlich besuchte Ausbildungen behalten ihren Wert. So können Absolventen von BSI IT Grundschutz-Schulungen innerhalb eines festgelegten Zeitraums eine zusätzliche Prüfung zur Erlangung der neuen Zertifi kate ablegen.
Doch nicht nur das Bundesamt für Sicherheit in der Informationstechno-logie passt die Vorgaben rund um Cyber Security an. Auch der Gesetzgeber wird aktiv.
IT-Sicherheitsgesetz 2.0 sorgt für mehr KRITIS-BetreiberUm Cyberangriff en wirksam entgegenzutreten, beschloss die Bundes-regierung 2015 das IT-Sicherheitsgesetz. Da sich die Gefährdungs lage
seither stetig weiterentwickelt hat, wird derzeit das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) erarbeitet. Ein Referentenentwurf liegt bereits vor. Neben zahlreichen neuen Befugnissen und Berechtigungen für die betroff enen Behörden, könnte das neue Gesetz auch unmittelbare Auswirkungen auf die IT-Sicherheitsinfrastruktur in zahlreichen Unternehmen haben.
Bereits heute zählen zahlreiche Unternehmen zu den Betreibern kritischer Infrastrukturen. Sie sind verpfl ichtet, besondere Regularien einzuhalten. Im Zuge der Absenkung der Schwellenwerte dürfte der Anwendungsbereich der kritischen Infrastrukturen um einige Branchen und Unternehmen erweitert werden. Zählten bisher Unternehmen aus Bereichen wie Ernährung, Energie, Finanzwesen oder Gesundheitssektor zu den KRITIS-Betreibern, könnten nach dem IT-SIG 2.0 auch sogenannte Unternehmen von besonderer wirtschaftlicher Bedeutung unter diese Kategorie fallen. Dies kann unter Umständen auch für deren Zulieferer gelten und damit ganze Versorgungsketten betreff en.
Auch wenn bisher nur ein Referentenentwurf kursiert, scheint es ratsam, dass die betroff enen Unternehmen und ihre Verantwortlichen bereits jetzt beginnen, die nötigen personellen Ressourcen einzuplanen. Durch Aus- und Weiterbildung können Teammitglieder schnell und effi zient in die Lage versetzt werden, die neu geltenden Regularien, Vorschriften und Verordnungen gesetzeskonform und dabei möglichst reibungslos im eigenen Unternehmen umzusetzen.
Dem Fachkräftemangel entgegenwirkenDie aktuellen Anpassungen in den Standards und Vorschriften rund um die IT-Sicherheit sorgen auch dafür, dass die Verantwortlichen für Cyber Security ihre abgesteckten Aufgabenbereiche und eingeplanten Ressourcen an die neuen Gegebenheiten anpassen müssen. In der aktuellen wirtschaftlichen Lage ist es jedoch häufi g schwierig, die dringend benötigten Experten durch klassisches Recruiting zu gewinnen. Naheliegender scheint da die Qualifi kation erfahrener Kolleginnen und Kollegen aus dem eigenen Unternehmen. Die Bitkom Akademie bietet ein breit gefächertes Seminarangebot rund um die IT-Sicherheit. Das Programm reicht von Grundlagen-Seminaren für Einsteiger bis hin zu spezialisierten Ausbildungen für erfahrene IT-Sicherheitsexperten. Darüber hinaus fi nden auch regelmäßig kostenfreie Live-Online-Schulungen zur Vermittlung des Basiswissens statt. n
IT-Sicherheit: Neue Regularien gegen Cyber-CrimeIT-Sicherheitsbeauftragte werden für Herausforderungen geschult
Das gesamte Seminarprogramm der Bitkom Akademie zur IT-Sicherheit fi nden Sie unter: www.bitkom-akademie.de/bildungsjourney/it-sicherheit
von Versicherungen, von Privatpersonen oder professio-nellen Nutzern, etwa in Behörden, Banken, Versicherun-gen oder Krankenkassen, mit einem hohen Maß an Da-tensicherheit, Authentizität und Vertraulichkeit getätigt werden. Kobil bietet die drei neuen Modelle ab Oktober über die Banken weltweit an.
PRODUKT NEWS
SCHUTZ VOR DATENDIEBSTAHL BEI DER KÜNDIGUNG VON MITARBEITERN
Genauso wie es einen geordneten Onboarding-Prozess gibt, ist auch das Offboarding in den meisten Unterneh-men klar strukturiert. Scheidende Angestellte wissen, wann und wo sie Laptop, Handys oder Mitarbeiteraus-weise abgeben und welche Papiere sie unterzeichnen müssen. Doch oft wird nicht sichergestellt, welche Da-ten sie digital kopieren oder gar ganz löschen, um der alten Firma zu schaden oder im zukünftigen Job davon zu profitieren. Ein klares Sicherheitsrisiko, denn laut ak-tuellen Studien geben etwa 60 Prozent der Arbeitneh-mer an, nach einer Kündigung Kundenlisten, Quellcodes oder Produktpläne mitzunehmen. Daten, die in den fal-schen Händen Unternehmen geschäftskritisch gefähr-den könnten. Um diese Sicherheitslücke zu schließen, hilft jetzt Code42.
So integriert Code42 neue Warnfunktionen in seine Next-Gen Data-Loss-Protection-Lösung, um Unterneh-men effizienter beim Datenschutz – im Fall einer Kündi-gung – zu unterstützen. Darüber hinaus ist die Lösung ab sofort auch als integriertes Angebot für IBM Resilient erhältlich, eine Plattform zur Organisation und Automa-tisierung von Incident-Response-Prozessen. Die Code42 for Resilient App steht Security-Experten über IBM Se-curity App Exchange zur Verfügung und ermöglicht es, bestehende automatisierte Reaktionen auf Sicherheits-risiken einzubinden und so Insider Threats frühzeitig zu erkennen und zu beheben.
SECURITY HARDWARE FÜR SENSIBLE ONLINE-TRANSAKTIONEN
Kobil Systems bringt mit der sign-Reihe eine mobile Plattform für sichere Online-Transaktionen auf den Markt. Nutzer der digitalen Hardwarelösung, die zunächst in drei Modellversionen verfügbar ist, können unabhängig von Smartphone, Desktop, Betriebssystem oder Vernet-zung über einen gesicherten Internet-Zugang Transakti-onen aller Art tätigen und bequem mit einem Klick be-stätigen. Auch eigene, sensible Applikationen können in das System integriert werden. Ein unabhängi-ger Sicherheitskanal so-wie ein vertrauenswür-diger Server schützen die gesamte Kommuni-kationsumgebung. So können mit den sign-Geräten alle Online-Ak-tivitäten, insbesondere aber signierte Transak-tionen, wie Überwei-sungen, Reisebuchun-gen oder der Abschluss
10 IT-SICHERHEIT [5/2019]
PLATTFORM ZUR DATENKLASSIFIZIERUNG
Netwrix kündigte die neueste Ergänzung seines Pro-duktportfolios an: die Netwrix Datenklassifizierung. Mit dieser Plattform, die auf der Technologie von Concept Searching, dem Neuerwerb von Netwrix, aufbaut, kön-nen Unternehmen sicherstellen, dass ihre Daten für das Unternehmen von Nutzen sind und effektiv verarbei-tet werden, da sie automatisch ermittelt, kategorisiert und mit Metadaten gekennzeichnet werden. „Mit dieser Mehrwertlösung können un-sere Kunden ihre Geschäfts-entwicklungsaktivitäten ver-bessern und den Wert ihrer Unternehmensdaten steigern“, so Martin Garland, Präsident der Business Unit Concept Se-arching bei Netwrix. „Komple-xe Data-Governance-Prozesse werden automatisiert und Si-cherheitsmaßnahmen priori-siert. Darüber hinaus können Datenschutz- und Compli-ance-Anforderungen bei ge-ringeren Kosten problemlos erfüllt werden.“
Martin Garland, Präsident der Business Unit Concept Searching bei Netwrix. (Foto: Netwrix)
Die handliche Security-Hardware hat zur Bestätigung von Transaktionen nur zwei Tasten (rot und grün) und den Touchscreen zur Bedienung. (Quelle: Kobil)
KÜNSTLICHE INTELLIGENZ ZUR AUSWEIS-ÜBERPRÜFUNG
Online ein Konto eröffnen oder einen Telefonvertrag ab-schließen? Für viele Menschen ist das Alltag. Die Anbie-ter hinter diesen Services sind jedoch verpflichtet, je-den einzelnen Nutzer eindeutig zu identifizieren. Da sich traditionelle, aufwendige Verfahren, wie Video- oder Post-Ident, als nutzerunfreundlich und unzuverlässig herausgestellt haben, setzen Unternehmen im digitalen Zeitalter zunehmend auf High-Tech. Mit der Kamera im Smartphone oder Tablet wird der Ausweis des Kunden gescannt und auf Echtheit geprüft. Eines der größten Probleme dieses Verfahrens löst jenID mit seiner neus-ten Technologie: den Schutz vor Identitätsbetrug.
Genuine-ID ist eine Online-Lösung zur Überprüfung von Ausweisdokumenten. Sie basiert auf hochauflösenden Kameraaufnahmen, den Materialeigenschaften von Aus-
SICHERE DATENVERSCHLÜSSELUNG FÜR JEDEN SPEICHERORT
DataLocker präsentiert im Zuge eines Relaunches die neue, nun zentral gemanagte Version der Datenver-schlüsselungslösung SafeCrypt (vormals SkyCrypt). SafeCrypt kann zur sicheren Verschlüsselung von Da-ten unabhängig vom jeweiligen Speicherort genutzt werden. Als virtuelles Laufwerk verschlüs-selt SafeCrypt Daten direkt auf dem lokalen Rechner des Nutzers. Zum Einsatz kommt dabei eine 256-Bit-AES-Verschlüsselung im CFB-Modus inklusi-ve Zertifizierung nach FIPS 140-2.
SafeCrypt ist mit ver-schiedensten Plattfor-men kompatibel und unabhängig vom be-vorzugten Speicherort verwendbar, für den
BACKDOORFREIE ENDPOINT-PROTEC-TION-LÖSUNG „MADE IN GERMANY“
Endgeräte zählen zu den wichtigsten Einfallstoren für Angriffe auf IT-Infrastrukturen. Dennoch sind sie häu-fig nicht ausreichend abgesichert. Stattdessen weisen viele entsprechende Sicherheitslösungen nach wie vor versteckte Hintertüren auf. Seit der ersten September-woche ist nun die neue modulare TUX-Endpoint-Pro-tection des deutschen Cyber-Security-Anbieters Tux-guard verfügbar. Die Technologie setzt auf künstliche Intelligenz sowie Machine Learning und eignet sich für jede Unternehmensgröße. Auch das Tuxguard Manage-ment Center (TGMC) mit Touch-Funktion verfügt mit dem aktuellen Release über ein neues Look and Feel, um System administratoren noch besser bei ihrer Arbeit zu unterstützen. Kunden, die bereits die TUX-Firewall im Einsatz haben, können jetzt alle Sicherheitskomponen-ten des Herstellers in einer zentralen Managementkon-sole verwalten. „Unternehmen sind durch Meldungen hinsichtlich Backdoors in verschiedenen Softwarepro-dukten noch immer sehr verunsichert“, sagt Uwe Han-reich, Geschäftsführer von Tuxguard. „Deshalb stehen wir ihnen mit unseren in Deutschland entwickelten Tech-nologien zur Seite, auf die sie zu 100 Prozent vertrauen können.“
FORENSIK-TOOL LIEST SICHERE INSTANT MESSAGING-APP „SIGNAL“ AUS
ElcomSoft aktualisiert Elcomsoft Phone Viewer (EPV), ein einfach zu bedienendes forensisches Tool für den schnellen Zugriff auf Informationen aus lokalen und mo-bilen iOS-Back-ups. EPV kann ab sofort Chat-Verläufe von Signal entschlüsseln und anzeigen; Signal ist eine der weltweit sichersten Messenger-Apps. Darüber hi-naus ist EPV in der Lage, lokale iOS-Back-up-Passwör-ter wiederherzustellen, die für die Screen-Time-Funktion und zur Beschränkung der Bildschirmzeiten eingerichtet wurden.
11IT-SICHERHEIT [5/2019]
PRODUKT NEWS
weisdokumenten sowie dem Einsatz künstlicher Intelli-genz. Nimmt der Smartphone-Nutzer ein Foto von einem Dokument auf, soll jenID in der Lage sein, die Aufnah-me bis in die kleinsten sichtbaren Teile des Bildes, den Sub-Pixel-Bereich, zu analysieren. Die Software erfasst dabei optische Besonderheiten ebenso wie die Materi-aleigenschaften des Papiers. Diese werden zusammen-gefasst an die Server von jenID übermittelt. Dort stellt ein mit Originalvorlagen trainiertes Programm fest, ob die Eigenschaften mit denen eines echten Dokuments übereinstimmen.
Die kostenlos verfügbare App zur ID-Verifi zierung, „Genuine-ID Document Check“ ist im Google Play Store ebenso wie in Apples App Store verfügbar. (Foto: jenID)
sich eine automatische Synchronisierung ein richten lässt. Die Lösung eignet sich dadurch insbesondere auch für Anwender, Unternehmen und Organisationen, die den Schutz ihrer Daten bei der Nutzung von Cloud-Speichern oder Netzwerklaufwerken erhöhen möchten. Ein weiteres Einsatzszenario ist – neben der lokalen Ver-schlüsselung von Dateien und Ordnern – beispielswei-se die Absicherung von virtuellen Desktops in VDI-In-frastrukturen. SafeCrypt kann zudem als Alternative für verschlüsselte externe Speichermedien in Unternehmen eingesetzt werden, in denen der Anschluss solcher Ge-räte durch entsprechende Sicherheitsrichtlinien unter-sagt ist.
DataLocker präsentiert die neue, nun zentral gemanagte Version der Datenverschlüsselungslösung SafeCrypt. (DataLocker)
ADVERTORIAL – PRODUKTPROFIL
Security & Operations mit KI
Bedrohungen für IT-Infrastrukturen frühzeitig zu erkennen und kritische Systemzustände vorherzusagen ist Ziel und Zweck von CuriX®, ein Produkt des Softwareherstellers IC information company AG. Das Software unternehmen mit Standorten in der Schweiz und in Deutschland setzt bei der Entwicklung auf einen ausge wogenen Mix aus bewährten Methoden und neuen Ansätzen. Durch die Kombination aus Machine-Learning-Algorithmen und statistischen Methoden detektiert CuriX®
zuverlässig Anomalien in IT-Systemen. Vollauto matisiert erkennt CuriX® kausale Zusammenhänge, Fehlerursachen und Stör-einfl üsse, um Systemausfälle vorherzusagen. So können Verantwortliche frühzeitig Gegenmaßnahmen einleiten und Schä-den verhindern. CuriX® unterstützt Unternehmen dabei, einen hochverfügbaren Betrieb von IT-Systemen sicherzustellen.
Data Analytics für resiliente IT-SystemeFür einen sicheren und hochverfügbaren Betrieb von IT-Infrastrukturen kommt CuriX® als AIOps Plattform oder als Ergänzung zu bestehenden SIEM- oder ITOM-Lösungen zum Einsatz. Ergebnisse aus SIEM- oder ITOM-Tools liegen in der Regel in Form von Alarmierungen und Echtzeitinforma-tionen vor und erlauben nur ein Reagieren auf bereits eingetretene kritische Systemzustände. Auf der Basis dieser verfügbaren Rohdaten (Big Data) ex trahiert und aggregiert CuriX® KPI’s für die anschließende Zeitreihenana-lyse. Der Einsatz von künstlicher Intelligenz (Machine-Learning- Algorithmen) dient zur Generierung von dynamischen Baselines. Diese zeigen das normale Systemverhalten auf und dienen zur Erkennung von Anomalien. CuriX®
ersetzt das aufwendige und fehleranfällige Bestimmen von Schwellwerten.
Vorhersagen und LokalisierenMittels kontinuierlich angepassten Vorhersagemodellen alarmiert CuriX den Nutzer frühzeitig und proaktiv bei auftretenden Anomalien über sich
andeutende Unregelmäßigkeiten in der Systemumgebung. Somit ist es möglich, rechtzeitig vor dem möglichen Systemausfall Gegenmaßnah-men einzuleiten. Als besonderen Mehrwert für den Nutzer stellt CuriX®
neben den Alarmierungen zu bevorstehenden kritischen Systemzustän-den auch Lokationsinformationen der Fehlerursache (Root Cause) bereit. Diese basieren auf permanent durchgeführten Korrelationsanalysen.
Agieren statt ReagierenAus den vorhergesagten Fehler- und Ortsinformationen der betroffenen Komponente lassen sich in einem weiteren Schritt konkrete Maßnahmen zur proaktiven Fehlervermeidung ableiten. Diese werden dem Nutzer als Heal Advice zur Verfügung gestellt. So kann der Systemverantwortliche sofort, proaktiv und lösungsorientiert agieren, statt nur zu reagieren. Diese Vorgehensweise ist ein weiterer Schritt zur total resilienten, sich selbst heilenden und voll automatisierten IT-Infrastruktur. Bi
lder
: ©
Nico
ElN
ino/
Shut
ters
tock
.com
(li.)
; © W
right
Stu
dio/
Shut
ters
tock
.com
(re.
)
PRODUKTPROFIL – ADVERTORIAL
Mehrwert im Risiko-, Kosten- und RessourcenmanagementDer Einsatz der CuriX® AIOps Plattform mit ihrer Anomalie-Detektion, Vor-hersagemodellen, Fehlerlokation und Bereitstellung der Heal Advices redu-ziert das Risiko von Systemausfällen. Die durchgängige Anwendung der CuriX® AIOps Plattform bietet enormes Potenzial zur Ressourcenoptimie-rung und Kostenreduzierung. Durch den hohen Grad der Automatisierung wirkt CuriX® damit sogar dem steigenden IT-Fachkräftemangel entgegen.
Get in touch with CuriX®
Allen Unternehmen, die mehr als nur den IST-Zustand ihrer IT-Infrastruk-tur überwachen wollen, bietet die IC einen innovativen und visionären Lösungsansatz. Besuchen Sie uns auf der it-sa2019 in der Halle 10.1 am Stand 10.1-528 oder vereinbaren Sie einen unverbindlichen Termin. ■
Die Grafiken zeigen die Unterschiede der funktionalen Abdeckungs- und Aktivitätsgrade zwischen heute gängigen Monitoring-Tools und AIOps-Ansätzen (oben) und CuriX® (unten).
Mit der Detektion von Anomalien und der automatischen Korrelation von KPIs ist mit CuriX® ein frühzeitiges und proaktives Eingreifen vor Eintritt eines Systemausfalls möglich.
Ihre Ansprechpartnerin in der Schweiz:Frau Fabienne BuserTelefon : +41 76 408 82 29E-Mail: [email protected]
Ihr Ansprechpartner in Deutschland:Herr Henning TamsTelefon : +49 761 478 73 88E-Mail: [email protected]
IC information companySchweiz: Im Wannenboden 2 | CH-4133 Pratteln | +41 61 826 9000Deutschland: Basler Str. 115 | D-79115 Freiburg | +49 761 478 7388https://www.ic-information.com | [email protected]
Neue Bezahlmodelle, die globale Vernetzung von Produktionsketten und E-Health – die Digitalisierung verändert, wie wir Le-ben und Arbeiten. Und sie birgt Gefahren: Cyberkriminelle räumen Bankkonten leer, lassen Fließbänder stillstehen oder erlan-gen sogar die Kontrolle über medizintechnische Geräte. Als weltweit ausstellerstärkste Fachmesse zum Thema Cybersicher-heit bietet die it-sa vom 8. bis 10. Oktober 2019 in nun vier Hallen des Messezentrums Nürnberg ein umfassendes Angebot an Produkten und Lösungen für mehr IT-Sicherheit.
Itsa profitiert von Digitalisierungsrisiken
Security first
14 IT-SICHERHEIT [5/2019]
Auch wenn die Zahl der Aussteller in diesem JahrnichtsignifikantüberderdesVorjahresliegt (knapp über 700 im Vergleich zu 698 in letzten Jahr), erweitert die it-sa dieses Jahr das Flächenangebot und verteilt sich erst-mals auf vier Hallen. Damit soll vor allem den wachsenden Forderungen der Aussteller und den Besucherströmen Rechnung getragen werden. Nach 14.290 Besuchern im letzten Jahr erwarten die Nürnberger hier in diesem Jahr erneut Rekordzahlen. Das begleitende Kongressprogramm Congress@ it-sa startet wie üblich bereits am Vortag, auch in die-sem Jahr mit der Jahrestagung der IT-Sicher-heitsbeauftragten in Ländern und Kommu-nen.Ebenfallsbereitsam7.OktoberfindetUP19@it-sa statt, die zweite Ausgabe des „CyberEconomy Match-up“ zur it-sa.
Seit mehreren Jahren zeichnet die it-sa mit zweistelligen Wachstumsraten bei der Aus-
steller- und Besucherbeteiligung die rasan-te Entwicklung der IT-Sicherheitsindustrie nach. Bei einer Befragung des Bundesver-bands IT-Sicherheit TeleTrusT zur Messe-Präferenz seiner Mitgliedsunternehmen setzte sich die it-sa erneut mit an die Spit-ze. „Größten Zuspruch der deutschen IT-Si-cherheitshersteller finden aktuell die it-sain Nürnberg und die RSA in San Francisco“, gab der Verband im April bekannt. Ebenfalls steil nach oben zeigt die Kurve der von den beteiligten Unternehmen gebuchten Aus-stellungsfläche. „Heute, fünf Monate vorder it-sa 2019, liegt die Standfläche derbisher gemeldeten Aussteller schon über dem Ergebnis der letzten Veranstaltung“, soFrankVenjakob,ExecutiveDirectorit-sa,NürnbergMesse. Zur it-sa 2019 erweitert die Halle 11.0 die bisherige Hallenkonstellation, umdiebenötigtenStandflächenrealisierenzu können.
Umfangreiches Messe, Forenund Kongressprogramm
WieindenVorjahrenstehtmitStartup@itsajungenUnternehmeneinegesondertausge-wiesenePräsentationsflächezuattraktivenKonditionen offen. Das Programm der offe-nen Foren lockt auch in diesem Jahr mit rund 350 erwarteten Vorträgen auf die it-sa: In jederHallefindenzahlreicheKurzvorträgeder Aussteller statt, die IT-Sicherheitsfragen aus Perspektive von Management und Tech-nik beleuchten. Zu den Höhepunkten zählen die als „it-sa insights“ ausgewiesenen Pro-grammpunkte – produktneutrale Vorträge und Expertendiskussionen von Verbänden und Organisationen – sowie das „Internati-onal Forum“ als rein englischsprachige Vor-tragsbühne. Im Mittelpunkt der Forenbeiträ-ge stehen unter anderem rechtliche Fragen und IT-Security-Trends, wie der Einsatz
AUS DER SZENE
künstlicher Intelligenz, sowie IT-Sicherheit für Industrie 4.0 und kritische Infrastruktu-ren. Speziell für KMUs bringt der Bundesver-band mittelständische Wirtschaft, Unterneh-merverband Deutschlands e.V. (BVMW), das Thema IT-Sicherheit auf die Agenda: Die Dis-kussionsrunde am ersten Messetag widmet sich Themen wie dem Risikofaktor Mensch und typischen Angriffsszenarien wie Social Engineering. Handfeste Erfahrungswerte mit GamificationzurMitarbeitersensibilisierungverspricht der Impulsvortrag „Komm, lass uns spielen“ von Deutsche Post DHL Group. Weitere Vorträge behandeln beispielsweise die zivilrechtliche Haftung bei Cybersicher-heitsvorfällen, Datenschutzfragen beim Ein-satz künstlicher Intelligenz, IoT-Anwendun-gen und Big Data oder Automatisierung und Visualisierung für Forensik und Monitoring.
Datenschutz, IoT und Mythos KI
Das begleitende Kongressprogramm Con-gress@it-sa startet bereits am Vortag der it-sa und begleitet die Fachmesse unter an-derem mit Beiträgen zu den Themen Cyber-Resilienz, Datenschutz oder SAP Security. Über den „Mythos KI“ informiert die Fir-ma cirosec bereits am Montag, den 7. Ok-tober. Schließlich ist die Frage, ob der Ein-satz künstlicher Intelligenz die IT-Sicherheit revolutioniert, eine der derzeit meistdisku-tierten Fragen in der IT-Sicherheitsgemein-de – Lösungsanbieter und Anwender sind auf der Suche nach Einsatzmöglichkeiten. Die von der Bundesakademie für öffentliche VerwaltungjährlichinKooperationmitdemIT-Planungsrat ausgerichtete Jahrestagung der IT-Sicherheitsbeauftragten in Ländern und Kommunen ist zur it-sa 2019 erneut im Kongressprogramm, genauso wie der IT-Grundschutz-Tag des Bundesamtes für Si-cherheit in der Informationstechnik.
CyberEconomy Matchup geht in die zweite Runde
Am Tag vor der it-sa treten bei UP19@it-sa zwölf Start-ups aus dem IT-Sicherheitsbe-
reich an, um potenzielle Investoren in ei-nem Speed-Pitch zu überzeugen. Beim Cyber Economy Match-Up für Start-ups, Macher und Entscheider darf sich präsen-tieren,wervorabdieFachjuryüberzeugenkonnte. Sie bewertet das Gesamtpaket aus Angebot, Unternehmen sowie Vertriebs- und Marketingstrategie. Dem Gewinner des UP19@ it-sa Award winkt ein individuelles Coaching und Mentoring durch den Digital Hub Cybersecurity und das Bayerische IT-Si-cherheitscluster.
Investigativjournalist Misha Glenny hält Special Keynote der itsa 2019
Wie in den vergangenen Jahren konnte die it-sa auch in diesem Jahr wieder einen hochkarätigen Sprecher für die „Special Key note“ gewinnen: Misha Glenny, preis-gekrönter britischer Investigativjourna-list,AutordesBestsellers„McMafia“undCyber crime-Experte spricht am Donners-tag, den 10. Oktober um 12:00 Uhr im Forum International. Der Zutritt ist für alle Besucher und Vertreter der ausstellenden Unternehmen frei.
Der Special Keynote Speaker der it-sa 2019 heißt Misha Glenny. (Foto: Misha Glenny)
In seinem Vortrag „The Vitruvian Paradox: The Changing Face of the Human in Cyber Security“ bricht Glenny mit der gängigen Vorstellung, der Mensch sei das schwächs-te Glied einer stabilen IT-Sicherheitskette. Er argumentiert, dass von der zunehmen-den Komplexität unserer digitalen Infra-struktur eine noch größere Gefahr ausgeht. Entscheidend wird deshalb sein, dass der
Mensch die Kontrolle über die IT-Systeme behält. Glenny, der auch Konzernvorstän-de in Sachen IT-Sicherheit berät, zeigt, warum es vor diesem Hintergrund bis in die höchsten Führungseben einen Wandel braucht: Nur mit einer umfassenden Sensi-bilisierung für digitale Gefahren lässt sich der Siegeszug von global operierenden Ha-ckern im Zeichen der organisierten Krimi-nalität verhindern.
Im Anschluss an seine Special Keynote steht Misha Glenny für Fragen aus dem Publikum zur Verfügung. n
S.M.
AUS DER SZENE
15IT-SICHERHEIT [5/2019]
VERANSTALTUNGSORT: Messezentrum Nürnberg
VERANSTALTUNGSTERMIN: Dienstag, 8. bis Donnerstag, 10. Oktober 2019
ÖFFNUNGSZEITEN: 8. Oktober 2019: 9.00–18.00 Uhr 9. Oktober 2019: 9.00–18.00 Uhr 10. Oktober 2019: 9.00–17.00 Uhr
CONGRESS@it-sa: Montag, 7. bis Donnerstag, 10. Oktober 2019
◀ Auch in diesem Jahr erwartet die it-sa erneut Besucherrekorde. (Foto: NuernbergMesse/ Thomas Geiger)
Bild
: © d
epos
itpho
tos.c
om/c
orba
cser
dar.g
mai
l.com
Moderne Autos sind heute sicherer denn je. Doch das hohe Sicherheitsniveau kam nicht über Nacht. Innovative Sicherheitslösungen wurden nach und nach in das Auto integriert: Die Knautschzone gibt es seit 1952, der erste Dreipunktgurt wur-de in den frühen 1960er Jahren eingeführt, der Airbag kam im Jahr 1980 heraus und schließlich hatte das Elektronische Stabilitätsprogramm (ESP) nach dem soge-nannten „Elchtest“ zu Beginn der 2000er Jahre seinen Durchbruch. Inzwischen sind diese Lösungen längst verpfl ichtender Standard in allen neu zugelassenen Fahrzeugen. In der IT-Sicherheit gibt es seit Jahren eine vergleichbare Evolution von Sicherheitslösungen. Doch was ist davon heute „Stand der Technik“? Und gibt es vielleicht Lösungen, deren Halbwertszeit längst überschritten ist?
Hat der Airbag in der ITSicherheit ausgedient?
Zur Halbwertszeit von Sicherheitslösungen
In der Diskussion um technische Lösun-gen hat sich mit der sogenannten Kalkar-Entscheidung von 1978 eine Drei-Stufen-Theorie etabliert. In Abhängigkeit von der allgemeinen und wissenschaftlichen Aner-kennung einer Problemlösung und deren Bewährung beziehungsweise Verfügbarkeit in der Praxis, werden heute auch Security Tools in drei Kategorien unterteilt:
a) „allgemein anerkannte Regeln der Technik“,
b) „Stand der Technik“ sowiec) „Stand der Wissenschaft und Forschung“.
Der Stand der Technik gilt in der IT-Sicherheit in den meisten Fällen als angestrebter Zu-
stand, da hier ein Optimum von Kosten und Nutzen angenommen wird.
Es geht – wie so oft – um Geld
HäufigwerdenÄnderungen inderBewer-tung des Stands der Technik einer breiteren Öffentlichkeit erst dann bewusst, wenn sie vondiesenÄnderungenselbstbetroffenist.SohatetwadieregulatorischeÄnderungimZuge der PSD2-Richtlinie zum Zahlungsver-kehr im europäischen Binnenmarkt Auswir-kungen auf einen großen Nutzerkreis: Im Onlinebanking und im elektronischen Zah-lungsverkehr mit Kreditkarten oder neuen mobilen Zahlungslösungen wird das Sicher-heitsniveau erhöht. Zukünftig reicht für die
Autorisierung von Zahlungen nicht mehr der Besitz beispielsweise einer Kreditkarte mit Kreditkartennummer und aufgedrucktem Sicherheitscode. Vielmehr ist es im Rahmen der neuen Zwei-Faktor-Authentifizierung(2FA)verpflichtend,sichanhandzweiervondrei Merkmalen – Besitz, Biometrie oder Wissen – zu identifizieren. ImOnlineban-king ist dies zur Autorisierung von Zahlun-gen schon länger Standard. Der Geltungsbe-reich wird mit PSD2 deutlich erweitert.
Aufgrund diverser Missbrauchsfälle bedeu-tet die Neuregulierung aber auch den Ab-schied von einigen etablierten Sicherheits-lösungen. Die iTAN in Form gedruckter TAN-Listen oder der Service SMS-TAN wer-
AUS DER SZENE
16 IT-SICHERHEIT [5/2019]
den von vielen Banken aktuell abgelöst und durch neue Mechanismen ersetzt.
Identifizierung und Authentifizierung
Vor der Autorisierung von Transaktionen kommt in vielen Systemen die Anmeldung. Oder anders formuliert: ein Vorgang zur Identifizierung undAuthentifizierung vonBenutzern. Hier scheint die Halbwertszeit von Lösungen begrenzt zu sein. Doch der Schein trügt: Die Faktoren zurAuthentifi-zierungsindseit jeherKombinationenausBesitz und Wissen sowie gegebenenfalls biometrischen Merkmalen. Diese Faktoren werden nun lediglich in neuer Weise kom-biniert oder die einzelnen Elemente mit hö-herer Komplexität genutzt. Lange galten al-phanummerische Kennwörter von sechs bis
acht Zeichen als „sicher“ – heute empfehlen viele Experten mindestens acht Zeichen, so-fern alle druckbaren Zeichen – einschließlich Sonderzeichen – genutzt werden können. Und in der Biometrie? Hier hält sich hartnä-ckig das Gerücht, dass ein in falsche Hände gelangter Fingerabdruck oder Gesichtsscan für immer verloren ist. Tatsächlich erlangen die meisten Angreifer – wenn überhaupt – lediglich ein durch einen Algorithmus be-schriebenes Abbild der biometrischen Eigen-schaft. Sobald die Technologie durch neue Sensoren oder veränderte Algorithmen ein neues Abbild erzeugt, kann diese Eigen-schaft wieder genutzt werden.
Was veraltet tatsächlich?
Bleibt die Frage, was wirklich in der IT-Si-cherheit veraltet. Ein zentraler Sicherheits-
mechanismus ist die Verschlüsselung. Über viele Jahre wurde der 1975 veröffentlichte Data Encryption Standard (DES) mit einem 56 Bit langen Schlüssel verwendet. Das Ver-fahren gilt spätestens seit der Jahrtausend-wende als veraltet und wurde durch den Ad-vanced Encryption Standard (AES) abgelöst. Dieses Verfahren wird auch heute noch ge-nutzt – mit unterschiedlichen und über die Jahre immer längeren Schlüsseln.
Quantencomputer wären heutzutage in der Lage, wichtige asymmetrische Verschlüsse-lungen, wie RSA oder Elgamal, zu brechen. Es ist nur eine Frage der Zeit bis Quanten-computer verfügbar sind und für eine Viel-zahl von wichtigen Anwendungsfällen – vom Onlineshopping bis zur E-Mail-Ver-schlüsselung – auf neue Verschlüsselungs-verfahren gewechselt werden muss.
AUS DER SZENE
17IT-SICHERHEIT [5/2019]
Anzeige
audatis MANAGERDatenschutzmanagement einfach online
18 IT-SICHERHEIT [5/2019]
AUS DER SZENE
Folglich müssen sich Unternehmen bereits heute Gedanken darüber machen, wie sie neue Verfahren in Zukunft in ihren Produk-ten und IT-Landschaften umsetzen.
Wo bleibt die Innovation?
Viele IT-Sicherheitslösungen sind also nicht wirklich neu. Einige evolutionäre Entwicklungen lassen sich aber identifi-zieren. Das Management von Schwachstel-len,die IdentifikationvonSchadsoftwareund die Erkennung von Angriffen sind für sich genommen keine neuen Security-Dis-ziplinen. Viele Anbieter und Unternehmen setzen allerdings auf eine Orchestrierung dieser Elemente. Das führt einerseits zu einem transparenteren, vernetzten Bild der Risikosituation, andererseits wird eine Inte gration von Prozessen angestrebt. Ein integrierter Prozess muss beispielsweise neue Geräte im Netzwerk erkennen, alle Geräte auf technische Schwachstellen (Vulnerabilities) scannen und relevante Si-cherheits-Updates möglichst zeitnah und mit adäquatem Test in die Infrastruktur ausrollen. Plattformstrategien integrieren unterschiedliche Elemente einer wirksa-men Cyberabwehr und bieten über offene Schnittstellen die Möglichkeit zur Integra-tion ergänzender Elemente.
Sicherheitslösungen haben in der Vergan-genheit oft auf Basis von Signaturen be-kannteMuster identifiziert. Moderne Lö-sungen ergänzen dies durch proaktive Fähigkeiten, die verhaltensbasiert Angriffe erkennen können. Im weiten Feld von Ma-chine Learning und Künstlicher Intelligenz wird den erweiterten Fähigkeiten der An-greifer Rechnung getragen. Ist eine Schad-software in der Lage, sich durch Mutation vor der signaturbasierten Erkennung zu ver-stecken, sind verhaltensbasierte Lösungen zur Angriffserkennung notwendig.
Verhalten kann in diesem Kontext eine Ei-genschaft der Schadsoftware sein, wie das Ziel der maximalen Verbreitung im Netz-werk. Das Verhalten kann aber auch auf Basis von bekannten Angriffsmustern oder weit verbreiteten Hacking Tools abgeleitet werden. So sind moderne Sicherheitslösun-gen in der Lage, Angriffe unter Nutzung von
Tools oder das Hochladen von verbreiteten Hintertüren zu detektieren.
Eine weitere wirksame Methode zur Erken-nung von Angriffen ist die Analyse des auf-gehenden Netzwerkverkehrs. So deutet die Kommunikation zu einem Command-and-Control-Server auf die Infektion mit einer Malware hin.
Setzen wir falsche Lösungen ein?
Wirkliche Innovation in der IT-Sicherheit entsteht dort, wo sich IT-Betrieb und IT-Entwicklung signifikant verändert haben.Sicherheitsorganisationen glauben häufignoch an die Wirksamkeit von netzwerkba-sierten oder Endpoint-Sicherheitslösungen, auch wenn diese in Cloud-Umgebungen und in agilen Entwicklungsprozessen nur sehr eingeschränkt wirksam sind.
In IT-Umgebungen, die von Multi-Cloud, Micro services und Containern bestimmt werden, sind die Lebenszyklen kurz und die Prozesse hochgradig agil. Die genannten Sicherheitslösungen sind oft unzureichend und müssen ergänzt werden. Beispielhaft hierfür ist die automatische Anbindung ei-nes neuen Containers an das unterneh-mensweite SIEM (Security Incident and Event Management).
Zudem bieten die großen Anbieter von Cloud Services zunehmend eigene Sicherheitslö-sungen – etwa im Bereich des Identity and Access oder des Schwachstellenmanage-ments – an. Der Einsatz dieser Lösungen ist stark vom Cloud-Nutzungsszenario ab-hängig. Da viele Unternehmen aktuell in hybriden Nutzungsszenarien oder mit Mul-ti-Cloud-Strategien arbeiten, ist die richtige Integration nur im konkreten Einzelfall zu be-werten. Dies gilt insgesamt für die Integrati-on der Cloud-Lösungen in die bisherige Welt: Anpassungen und erweiterte Funktionalitä-ten im Netzwerk- und Firewallmanagement sind in Cloud-Betriebsmodellen notwendig.
Immer mehr Sicherheit
Gibt es veraltete Sicherheitslösungen, die Unternehmen gleich morgen abschalten
können?InderPraxishäufignicht.DasichBetriebsmodelle oft noch in einer Transition befinden und auch die Zielarchitektur hy-bride Konstrukte sind, werden uns viele IT-Sicherheitslösungen noch lange begleiten. Die veränderte Bedrohungslage bedingt eine kontinuierliche und evolutionäre Wei-terentwicklung.
Am Ende ist es doch wie mit dem Auto. Nachdemsich lange JahrenachderErfin-dung und Verbreitung des Automobils nie-mand mit Sicherheit befasst hatte, sind seit den 1960er Jahren immer neue Sicherheits-elemente dazugekommen. Und ohne Airbag und ESP kommt heute kein Neuwagen mehr auf die Straße. n
DR. MICHAEL FALK, Partner, Cyber Security, KPMG. Michael Falk berätKundenbeiderIdentifizierungunddemeffizientenSchutzihrerdigitalenKronjuwelen.An der Schnittstelle von Fachbereichen und IT entwickelt er Strategien und Roadmaps für den Schutz vor Cyberangriffen. Mit Methoden des Risikomanagements sorgt er für einen Ausgleich zwischen Cyberrisiken und Chancen der digitalen Transformation im Unternehmen.
SEBASTIAN SCHULZE, Senior Manager, Cyber Security, KPMG. Sebastian Schulze berät Kunden beim Design und der Implementierung von Sicherheitskonzepten unter Beachtung des Defense-in-Depth-Ansatzes. AusderPerspektiveeinesHackersidentifizierterhierzu potenzielle Angriffsvektoren und entwickeltmehrstufigaufeinanderabgestimmteSicherheitsmaßnahmen, um diesen zielgerichtet entgegenzuwirken.
ADVERTORIAL
DasProduktportfolioreichtvonhochentwickeltenUTM(UnifiedThreatManagement)-PlattformenüberMultifaktor-AuthentifizierungbishinzuTechnologien für umfassenden WLAN-Schutz. Mehr als 80.000 Unterneh-men weltweit vertrauen auf die ausgeklügelten Sicherheitsmechanismen undprofitierenvondereinfachenHandhabungderWatchGuard-Lösungen.Kernzielgruppen sind nach wie vor kleine bis mittlere Unternehmen sowie dezentralaufgestellteOrganisationenausjederBranche–vomEinzelhan-del über den Bildungssektor, das Gesundheitswesen, Gastronomie und Hotellerie bis hin zum produzierenden Gewerbe. Der Vertrieb erfolgt über ein Netzwerk von mehr als 10.000 Partnern in 120 Ländern.
Mehrschichtige GefahrenabwehrBasis des anhaltenden Erfolgs von WatchGuard ist die zielgerichtete Verbin-dung aus leistungsstarker Hardware und den besten am Markt verfügbaren Sicherheitsdiensten unterschiedlichster Anbieter. Das eigens entwickelte Betriebssystem Fireware stellt sicher, dass alle nach Bedarf kombinierba-ren Scan-Module perfekt zusammenspielen – bei maximaler Gesamtper-formance. Durch die modulare Architektur garantiert WatchGuard neben hohem Datendurchsatz vor allem Skalierbarkeit und Flexibilität im Rahmen einer sich verändernden Bedrohungslandschaft. Die webbasierte Manage-ment-KonsoleermöglichtzudemdaseinfacheKonfigurierenundSteuernallerSicherheitsfunktionenmittelseinerzentralenOberflächevonjedembeliebigen Ort aus.
Benutzerfreundliche VisualisierungDamit IT-Abteilungen vor dem Hintergrund der mannigfaltigen Heraus-forderungen nicht die Kontrolle verlieren, setzt WatchGuard bei all seinen Lösungen auf leistungsstarke und gleichzeitig nutzerfreundliche Analyse- und Visualisierungsmöglichkeiten. Auf diese Weise ergeben sich passgenaue Einblicke in die Datenaustauschprozesse im Netzwerk. Individuelle Fragen
zu wichtigen Sicherheitsthemen und -trends sind im Handumdrehen be-antwortet.AdministratorengewinneneinsolidesFundamentzurDefinitionzielgerichteter Security-Policies, die im Zuge des modernen Echtzeit-Re-portings auch schnell an neue Bedrohungsszenarien angepasst werden kön-nen. Gleichzeitig lassen sich Performance-Engpässe aufspüren und sofortige Gegenmaßnahmen ergreifen.
Sicheres WLANDie gesamte Sicherheitsfunktionalität kann mithilfe der Access Points von WatchGuardjederzeitaufWLAN-Umgebungenübertragenwerden.Darüberhinaus bietet die neue WatchGuard Wi-Fi Cloud zusätzlichen Mehrwert. Neben einem umfassenden WIPS (Wireless Intrusion Prevention System) profitierenAnwendervondetailliertenAnalysenimHinblickaufdieWLAN-Nutzung.
Effektive MFAIm Sommer 2018 hat WatchGuard das Produktportfolio mit AuthPoint noch umeinemoderneLösungfürdieMultifaktor-Authentifizierung(MFA)erwei-tert. Über den cloudbasierten Ansatz mit eigener Smartphone-App können gerade kleinere und mittlere Unternehmen dieses aktuelle Brennpunktthe-maderBrancheaufeinfacheundkosteneffizienteWeiseumsetzen.
Im Rahmen der kontinuierlichen Weiterentwicklung und Verknüpfung der angebotenen Sicherheitstechnologie sorgt WatchGuard dafür, dass Unternehmen stets mit neuen Angriffs-trends Schritt halten können – bei gleichzeitig minimalem Aufwand. n
Bereits 1996 ist WatchGuard Technologies mit dem Ziel angetreten, mittelständischen Unternehmen mit effi zienter IT-Sicherheits -technologie auf Enterprise-Niveau den Rücken zu stärken. Seitdem gehört das Unternehmen mit Sitz in Seattle (USA) zu den führenden Anbietern im Bereich Netzwerksicherheit.
WatchGuard Technologies
Kontakt:
WatchGuard Technologies Wendenstraße 37920537 Hamburg
Telefon: +49 (700) 9222 9333E-Mail: [email protected]
Ansprechpartner: Paul Moll
Halle 10.1,
Stand 410
20 IT-SICHERHEIT [5/2019]20 IT-SICHERHEIT [5/2019]
ITS: Herr Emig, wie hat sich der Controlware Branchen-treff, der Security Day, in den letzten Jahren verändert?
Mario Emig: Zugegebenermaßen waren wir bei der ersten Veranstaltung vor elf Jahren am 1. Oktober 2009 alle ziem-lich nervös, weil wir nicht sicher sein konnten, wie dieses Format von unseren Kunden angenommen wird. Wir star-teten damals bereits mit einem Programm, bei dem sich unsere Kunden an zwei Tagen ihr individuelles Tagespro-gramm aus mehreren Session Tracks selbst zusammenstel-len konnten. Dieses Grundkonzept haben wir bis heute bei-behalten.
ITS: Die Veranstaltung fand aber nicht immer in Hanau statt?
Mario Emig: Nein, erst vor zwei Jahren zogen wir damit aus unseren eigenen Räumlichkeiten in den Congress Park Hanau (CPH). Der Vorteil, die Veranstaltung in unseren ei-
TITEL-INTERVIEW
genen Räumlichkeiten beziehungsweise im Nachbargebäu-de unserer Schwesterfi rma ExperTeach abzuhalten, lag vor allem darin, unseren Kunden, die aus den weiter entfern-ten Regionen Deutschlands oder aus Österreich und der Schweiz anreisten, die Controlware Firmenzentrale vorstel-len zu können. Die Besucher hatten die Möglichkeit, bei einem Rundgang durch unsere Labs und unser Customer Service Center (CSC) einen Blick hinter die Kulissen zu werfen. Die Entscheidung für einen Umzug nach Hanau wurde eher aus einem Luxusproblem heraus getroffen: Wir waren immer stärker überbucht.
ITS: Was hat sich in den letzten Jahren im Bereich IT-Secu-rity auf der Herstellerseite getan?
Mario Emig: Es hat sich viel verändert. Auf der einen Seite gibt es immer wieder innovative neue Hersteller, die auf-kommende Themen speziell adressieren. Hier gibt sicher-lich mehr als hundert Security Start-ups, die durchaus in-
2019 jährt sich der Controlware Security Day zum elften Mal. Gefahren, Herausforderungen und Lösungsansätze in Sachen IT-Sicherheit haben sich seither grundlegend verändert – und mit ihnen Form und thematische Gestal-tung des mittlerweile etablierten und renommierten Security-Events. Über Security und Security Day im Wandel der Zeit stand Mario Emig, Head of Information Security Business Development bei Controlware, Rede und Ant-wort im Gespräch mit IT-SICHERHEIT.
IM INTERVIEW: MARIO EMIG,
CONTROLWARE
SECURITY DAY: SPIEGEL DES WANDELS IN DER IT-SICHERHEIT
21IT-SICHERHEIT [5/2019] 21IT-SICHERHEIT [5/2019]
teressante Lösungen anbieten und jedes Jahr kommen neue hinzu. Aber es ist jetzt schon absehbar, dass sich nicht alle langfristig durchsetzen werden.
Auf der anderen Seite finden wir nach wie vor die etablier-ten Hersteller, die entweder ihr Lösungsportfolio durch Ei-genentwicklungen oder durch Zukäufe von Technologien erweitern. Dieser Trend hat sich eher noch verstärkt.
ITS: Wie gehen Sie mit dieser Thematik bei Controlware um? Wie behalten Sie den Überblick?
Mario Emig: Zum einen melden sich neue Anbieter ak-tiv bei uns, zum anderen beobachten wir permanent den Markt. Allerdings nicht mit dem Ansatz, ständig neue Her-steller in unser Portfolio aufzunehmen. Die meisten Kun-den haben schon heute zu viele Systeme unterschiedlicher Hersteller in ihren Infrastrukturen. Diese Vielzahl von Lö-sungen müssen ja auch betrieben werden – in der Regel mit jeweils einem eigenen proprietären Management. Gleich-zeitig hat sich der Mangel an Fachkräften in den letzten Jahren noch verstärkt und in absehbarer Zeit ist auch kei-ne Änderung in Sicht. Folglich versuchen die Kunden per-sonelle Engpässe und Komplexitäten der Infrastrukturen durch Konsolidierungen zu reduzieren. Der Trend zu mehr Automatisierung wird ebenfalls aus dieser Thematik her-aus weiter zunehmen. Hinzu kommen natürlich ökonomi-sche Überlegungen.
ITS: Wie sehen Sie die aktuellen Entwicklungen zum The-ma Ransomware?
Mario Emig: Die klassischen, signaturbasierten Erken-nungsmethoden stoßen schon länger an ihre Grenzen, bei Malware allgemein und bei Ransomware im Besonderen. Die Security-Industrie hat hier durchaus mit effektiven Lö-sungen reagiert. Bereits vor einigen Jahren wurden Sand-box-Technologien eingeführt, die Schadcode zunächst in einer abgeschlossenen Umgebung – einer Sandbox – aus-führen und ziemlich zuverlässig bewerten können, ob es sich um Schadcode handelt oder nicht. Allerdings wird hierzu nicht zwingend ein Stand-alone-Anbieter benötigt, sondern oftmals von den Anbietern von Security-Gesamt-lösungen als kostenpflichtiges Feature ergänzt.
ITS: Sandbox-Lösungen gelten aber als sehr komplex. Wie unterstützen Sie hier Ihre Kunden? Kann an dieser Stelle auch Künstliche Intelligenz (KI) zum Einsatz kommen?
Mario Emig: Die Sandbox-Technologie ist heute ziemlich ausgereift. Allerdings ist die Komplexität in der Tat nicht zu unterschätzen. So benötigen Unternehmen erfahrungs-
gemäß konkrete Handlungsempfehlungen – insbesondere dann, wenn tatsächlich Malware gefunden wurde. Wir un-terstützen unsere Kunden an dieser Stelle mit eigenen Ser-vices, insbesondere bei Alerts einer Sandbox-Lösung. Hier stellt sich beispielsweise die Frage, ob ein Angriff erfolg-reich war und wie konkret die nächsten Schritte aussehen sollen.
Den Anspruch, Schadcode nicht nur signaturbasiert zu er-kennen, sondern Algorithmen beziehungsweise mathema-tische Methoden zu verwenden, um Malware/Advanced Persistent Threats effektiv zu stoppen, haben nicht nur KI-orientierte Start-ups, sondern natürlich auch die etablierten Player. So setzt heutzutage nahezu jeder größere Anbieter von Sicherheitslösungen KI ein, um seine Lösungen zu ver-bessern, beziehungsweise diese zu vervollständigen. Inso-fern würde ich KI nicht isoliert betrachten wollen, sondern als sinnvolle Ergänzung sehen. Grundsätzlich werden mei-ner Meinung nach hier nicht unbedingt kleine Start-ups den Markt bestimmen, sondern die Unternehmen, die über die meisten Daten verfügen. Für effektive Lösungen ent-sprechender Machine Learning- beziehungsweise KI-An-sätze werden Unmengen an Daten benötigt, die wiederum die KI füttern. Die Hersteller, die bereits über Jahre Daten von Malware und „sauberen“ Samples gesammelt haben, sind hier klar im Vorteil.
ITS: Besteht nicht auch die Gefahr, dass Angreifer KI nut-zen?
Mario Emig: Absolut. Allerdings ist dieser Wettlauf zwi-schen Angreifern und Security-Industrie nicht neu. Es geht schon immer darum, schneller zu sein. Dieser Wettlauf wird sich auch im Kontext von KI nicht komplett ändern. Ich möchte hier nicht zu sehr ins Detail gehen, aber Angreifer werden wahrscheinlich genau darauf achten, ob KI zum Einsatz kommt und eventuell vorhandene Schwachstellen einer KI gezielt ausnutzen.
Bevor wir allerdings allzu schnell über den Einsatz von immer weiteren Technologien sprechen, plädiere ich auf alle Fälle dafür, bereits vorhandene Sicherheitsmechanis-men umzusetzen. Im Kampf gegen Ransomware haben sich eine Reihe von Maßnahmen bewährt, beispielsweise das Blockieren von Macros in Office-Dokumenten, IPS-Si-gnaturen für Landing Pages von Exploit Kits auf Prevent setzen, regelmäßige Back-ups etc. Viele dieser Maßnah-men sind sogar relativ einfach umzusetzen und erhöhen das Sicherheitsniveau erheblich. Wir unterstützen Unter-nehmen zudem durch Awareness-Schulungen, um bei den Mitarbeitern ein besseres Verständnis für Cybergefahren zu schaffen.
TITEL-INTERVIEW
SECURITY DAY: SPIEGEL DES WANDELS IN DER IT-SICHERHEIT
ITS: Lassen Sie uns über eine Spezialform von Ransom-ware in Bereichen von Gebäudeautomation sprechen, der sogenannten Siegeware. Wie sehen Sie hier die aktuelle Si-tuation?
Mario Emig: Grundsätzlich ist der enorme Anstieg von Ransomware damit zu erklären, dass Angreifer ohne hohes Risiko viel Geld verdienen können. In der Vergangenheit war vor allem die breite Masse Ziel der Angriffe mit Ran-somware. Durch die Versprechung – die Verschlüsselung von Datenträgern wieder rückgängig zu machen – konnte durch die Bezahlung von kleineren Beträgen via Bitcoin oder anderen Crypto-Währungen schnelles Geld verdient werden. Mit zielgerichteten Angriffen auf Unternehmen lassen sich die Beträge, die erpresst werden, noch wesent-lich steigern. Während Privatpersonen für die vermeintliche
Rückgewinnung der Urlaubsfotos mehrere 100 Euro zah-len, sind Unternehmen häufi g bereit, mehrere 10.000 Euro zu zahlen, wenn beispielsweise Kundendaten betroffen sind oder die IT-Infrastruktur für Tage oder Wochen auszufal-len droht. Entsprechende Ausfälle durch Ransomware mit Schadenssummen im zweistelligen Millionenbereich waren tatsächlich auch prominent der Presse zu entnehmen.
Angriffe auf Kontrollsysteme für Gebäude sind nur der nächste logische Schritt der Angreifer. Aufgrund des zuneh-menden Einsatzes von Steuerungssystemen für Brandmel-de-, Beleuchtung- und Sicherheitssysteme sowie deren Ver-netzung sind diese Systeme sowohl für eine Fernwartung, aber eben auch theoretisch für Angreifer aus dem Internet
mehr oder weniger einfach zu erreichen. Während jedoch die klassische Offi ce-IT recht gut geschützt wird, haben Operational Technology (OT)-Umgebungen – zu der ich jetzt einfachheitshalber die von Ihnen angesprochene Ge-bäudeautomation hinzuzähle – noch erheblichen Nachhol-bedarf in Bezug auf die Absicherung gegen Angriffe.
ITS: Worin liegen grundsätzliche Unterschiede zwischen IT- und OT-Security?
Mario Emig: Bei IT (Information Technology) und OT (Operational Technology) handelte es sich in der Vergan-genheit meist um getrennte Bereiche, die demzufolge auch unabhängig voneinander ihre jeweiligen Aufgaben erledig-ten. Anknüpfungspunkte zwischen beiden Fachbereichen gab es kaum. Das ändert sich nun in der Ära der immer
komplexeren Vernetzungen durch Internet beziehungsweise Internet der Dinge (IoT) grundlegend. IT und OT sollen und müssen jetzt zwangsläufi g nahtlos ineinandergreifen.
Genau hier entstehen die ersten ernstzuneh-menden Herausforderungen. Diese vernetzten Welten und Geräte müssen verwaltet und ab-gesichert werden. In der OT-Welt wurden die Systeme bisher in abgeschlossenen Umgebun-gen betriebenen. Zudem war die OT in erster Linie darauf ausgerichtet, die Verfügbarkeit der Anlagen zu gewährleisten. Die IT-Welt hingegen hat historisch gesehen weit mehr Er-fahrung mit globalen Vernetzungen und Ab-sicherungen durch die Nutzung des Internets. Auf der anderen Seite haben IT-Teams wiede-rum in der Regel wenig Erfahrung mit indus-triellen Systemen, kennen sich zum Beispiel mit den dort genutzten Industrieprotokollen kaum aus. In der Praxis gilt es nun, diese bei-den Welten zusammenzuführen und sicher-heitstechnisch gemeinsam zu betrachten.
ITS: Ist die Sicherung von OT-Umgebungen aus Ihrer Sicht der wichtigste Trend?
Mario Emig: Die Sicherung von Operational Technology ist tatsächlich ein sehr aktuelles Thema, das uns auch noch über die nächsten Jahre begleiten wird. Ebenso wichtig und aktuell sehe ich allerdings die Absicherung von Cloud-Um-gebungen.
ITS: Vielen Dank für das Gespräch!
Das Interview mit Mario Emig führte Stefan Mutschler, freier Journalist und Chefredakteur IT-SICHERHEIT.
22 IT-SICHERHEIT [5/2019]
TITEL-INTERVIEW
DataAgenda.deIHR PORTAL ZUM DATENSCHUTZ
kostenfreie Arbeitspapiere, Checklisten uvm.
Videos in TV-Qualität zur aktuellen Gesetzeslage mit Handlungsempfehlungen
aktuelle Nachrichten zum Datenschutz: Urteile, Fallbeispiele, Entwicklungen
Datenschutz Newsbox – aktuelle Themen monatlich im Überblick
Videos in TV-Qualität zur aktuellen Gesetzeslage
kostenfreies Expertenwissenin GDD-Qualität
+++ DS-GVO Bußgelder +++ Löschpflichten und Löschkonzepte +++ Stellung des Betriebsrates nach DS-GVO +++ Fotos und die DS-GVO +++ Datenschutz beim E-Mail-Versand +++ EuGH: Facebook Fanpages +++
ADVERTORIAL – PRODUKTPROFIL
Die Angriffsstrategien von Malware – und wie man sie effektiv unterbinden kannvon Dr. Michael von der Horst, Managing Director Cybersecurity, Cisco Germany
TALOS ist die CyberThreat-Forschungs organisation von Cisco. Über 300 Forscher und White-Hat-Hacker überwachen jeden Tag das Internet (www.talosintelligence.com). Mit der Analyse der aktu-ellen Bedrohungslage liefert TALOS wertvolle Erkenntnisse zur automatisierten täglichen Optimierung der Cisco-Security-Lösungen und damit der besseren Sicherheit des Unternehmensnetzwerks.Zudem hat TALOS durch die Analyse aller wesentlichen Malware und Cyber-Attacken der letzten Jahre umfangreiches Wissen über den mehrstufi gen Ablauf von Angriffen gesammelt:
PRODUKTPROFIL – ADVERTORIAL
In den allermeisten Fällen ist eine Netzwerkverbindung erforder-lich, um die nächste Stufe eines Angriffs zu erreichen. Durch geeig-neteMaßnahmenkanndieVerbreitungdeswegenauchanjederStufe gestoppt werden. Idealerweise sind die verschiedenen Ver-teidigungslösungen untereinander vernetzt, um so einen Informa-tionsaustausch zu ermöglichen und die Effektivität zu erhöhen.
Im Einzelnen bedeutet dies:
1. Automatisiertes AusspähenDie Ausspäh-Aktivitäten führen zu erkennbaren Abweichungen vomnormalenNetzwerk-Traffic.SolcheAnomalienkönnenmitgeeigneten Werkzeugen, wie z. B. Cisco Stealthwatch erkennt werden. Aus diesen Erkenntnissen können dann optimierte Sig-naturen/IoCs zur Verbesserung der Effektivität von Firewalls und Scannern gewonnen werden.
2. Zusammenbau der Malware (Exploit-Kits)TALOS analysiert regelmäßige neue Exploit-Kits, sobald sie im Internet verfügbar sind. Daraus ergeben sich Hinweise zum Vor-gehen der Malware, die u.a. zu einer besseren Erkennung durch Cisco-Firewalls und Web-/E-Mail Scannern genutzt werden.
3. Erst-Infi ltrationÜber 80% der Malware-Schadsoftware gelangen initial über E-Mail oder Webseiten auf die Nutzer-Endgeräte und somit in die abgesichertenUnternehmensnetze.DieseInfiltrationkanndurchmehrere, voneinander unabhängigen Maßnahmen blockiert wer-den. Web-Filter analysieren den http(s) Internet Zugriff auf Schad-Inhalte und blockieren diese. E-Mail-Scanner (gerade auch im Zusammenhang mit O365 Installationen) erkennen und entfernen maliziöse Dateien. Ein DNS-Schutz (wie Cisco Umbrella) verhindert den Zugriff auf gefährliche Domains.
4. Exploit & Installation der MalwareExploits nutzen in der Regel bekannte, aber nicht gepatchte Schwachstellen aus. Zero-Day Attacken sind eher selten und werden vor allem bei sehr „wertvollen“ Zielen eingesetzt.
Die Installation läuft meist in mehreren Phasen ab, inkl. dem Nachladen von auf das Zielsystem zugeschnittenem Code. Dieser Prozess kann an mehreren Stellen unterbunden werden:
IPS-SystemeerkennendieInfiltrationundmelden/stoppensie.InVerbindung mit NGFW-Systemen kann die Kommunikation wäh-rend des Installationsprozesses unterbunden werden. Verhaltens-anomalien auf dem Endgerät werden mit Systemen wie Cisco Advanced Malware Protection (AMP) erkannt und die betroffenen Geräte in Quarantäne geschickt.
Unabhängig davon – und deswegen besonders sicher – unter-bindet ein DNS-Schutz die Kontaktaufnahme zu maliziösen Code- Staging-Servern.
5. Kontaktaufnahme mit dem C2-ServerOhne einen Rückkanal zu Command & Control (C2) Servern funk-tioniert keine Schadsoftware. Dieser Rückkanal und seine Nutzung kann wiederum auf vielfältige Weise und unabhängig voneinander durch Netzwerk-Anomalie Erkennung, DNS-Schutz und NGFW erkennt und blockiert werden.
6. Weiterverbreitung der Schadsoftware im lokalen Netz
Einmal im Netzwerk aktiv versucht die Schadsoftware durch die Ausnutzung von Netzwerk-Exploits sich weiter zu verbreiten und fest zu setzen. Auch hier folgt die Ausbreitung den Stufen 4 und 5. Eine umfassende Anomalie-Erkennung (Stealthwatch) ist zwingend notwendig, um dies zu erkennen.
Cisco ist weltweit der einzige Hersteller, der für all diese Stufen komplette und vernetzte Lösungen anbietet, so dass ein Höchst-maß an Schutz durch Automation und Integration erreicht werden kann. ■
Wir freuen uns auf Ihren Besuch in
Halle 10 | Stand 220
Sie möchten mehr über Cisco Security Lösungen
und deren vielfältigen Einsatzmöglichkeiten
erfahren? Dann treffen Sie die Security Experten
von Cisco Systems am 8.–10. Oktober 2019 in
Nürnberg auf dem Westcon-Comstor Stand auf
der it-sa, Europas größten IT-Security Messe.
Sichern Sie sich Ihre it-sa Freikarte.
https://comstor360.de/event/itsa2019/
Bild
: © d
epos
itpho
tos.c
om/D
ecaS
tock
Gesteigerte Sicherheitsvorkehrungen sind in immer mehr Branchen gesetzlich vorgeschrieben. SIEM-Systeme (Security Inci-dent and Event Management) erweisen sich dabei als wertvolle Tools, um die hohen Anforderungen zu bewältigen. Ziel ist es, die IT-Sicherheit im Unternehmen zu vereinheitlichen und transparent zu gestalten.
SIEM wird zunehmend Teil der SecurityStrategie
Gesamtsicht in Sachen IT-Sicherheit
26 IT-SICHERHEIT [5/2019]
Das Analystenhaus IDC hat kürzlich den Report „WW Security Information & Event Management Market Share 2018“ ver-öffentlicht. Demnach wächst der SIEM-Marktjährlichum12,4Prozentmitgesamtrund drei Milliarden US-Dollar Umsatz. Als Top-3-Player sind in dem Report Splunk mit19,8 ProzentMarktanteil,gefolgtvonIBM mit 18,8 Prozent und Micro Focus mit 9,9 ProzentMarktanteilausgewiesen
Deutsche Unternehmen bauen ITSicherheit aus
Dass IT-Sicherheit bei IT-Entscheidern auf der Prioritätenliste ganz oben steht, ist be-kannt. Gerade in deutschen Unternehmen findetaktuelleinUmdenkenstatt:Eswer-den IT-Security-Abteilungen aufgebaut, die aktiv Risikoanalysen und -bewertungen
durchführen, sich mit den Details von Mal-ware beschäftigen und die Techniken von Cyberangreifern verstehen wollen. Nach MITRE ATT&CK (Eine weltweit zugängli-che Wissensdatenbank über gegnerische Taktiken und Techniken, die auf realen Beobachtungen basieren. Die ATT&CK- Wissensdatenbank dient als Grundlage für dieEntwicklung spezifischerBedrohungs-modelle und -methoden im privaten Sektor, in der Regierung und in der Produkt- und Dienstleistungsgemeinschaft für Cybersi-cherheit.) will man über Silos hinweg alles im Blick behalten. Diese IT-Sicherheitsab-teilungen sind auch zuständig für Analy-sen von Malware- und Sicherheitsvorfäl-len und suchen nach dem Root Cause, dem schwächsten Glied in der Kette, um die IT-Sicherheit in der Organisation aktiv zu verbessern. Das IT-Betriebsteam ist dafür
zuständig, die Empfehlungen der IT-Sicher-heitsabteilungen auf ihren Systemen oder Netzwerkkomponenten entsprechend um-zusetzen. Diese IT-Sicherheitsabteilungen sind auf Daten angewiesen, um die Visi-bilität über Silos hinweg einschätzen und darauf basierend Entscheidungen fällen zu können.
Gesetzliche Vorgaben erfordern SIEM
Neben der verschärften Bedrohungslage sehen sich IT-Entscheider mit strengeren gesetzlichen Anforderungen an die System- und Datensicherheit konfrontiert. Zu nen-nen ist hier die EU-Datenschutz-Grundver-ordnung (DS-GVO), die inzwischen seit gut einem Jahr in Kraft ist. Das IT-Sicherheits-gesetz zum Schutz Kritischer Infrastruktu-
26 IT-SICHERHEIT [5/2019]
SECURITY MANAGEMENT
SECURITY MANAGEMENT
ren (KRITIS) fordert bei Datendiebstahl oder SystemausfälleneineMeldepflichtundge-naue Auskünfte darüber, welcher Nutzer betroffen war und welche Ursachen dem Vorfall zugrunde lagen. Zusätzlich kommt beim IT-Sicherheitsgesetz und der DS-GVO erschwerend hinzu, dass Unternehmen ver-pflichtetsind,ihreDatenundSystemean-gemessen und nachweisbar zu schützen und entsprechende Schutzmechanismen aufzusetzen und zu befolgen. All das wird in einem SIEM-System festgehalten.
Als nationale Cybersicherheitsbehörde er-arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststan-dards für die Sicherheit der Informations-technik des Bundes auf der Grundlage des § 8 Abs. 1 BSIG, (http://www.gesetze-im-in-ternet.de/bsig_2009/__8.html). Als gesetz-licheVorgabedefinierenMindeststandardsein konkretes Mindestniveau für die Infor-mationssicherheit.DieDefinitionerfolgtaufBasis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf.
Das BSI hat neben dem IT-Grundschutzka-talog mittlerweile auch die „Mindeststan-dards Bund“ definiert. Diese Standardshaben das Ziel, nicht ein möglichst hohes Niveau, sondern ein Mindestniveau an IT-Sicherheit festzulegen. Auch hier wurde das Hauptaugenmerk auf die Protokollierung und Detektion von sicherheitsrelevanten Er-eignissen gelegt. Das IT-Sicherheitsgesetz 1.0 legt fest, dass das Mindestniveau in der Bundesverwaltung und allen Bundesbehör-den nicht unterschritten werden darf. Mit Entwurf des IT-Sicherheitsgesetzes 2.0 soll die Gültigkeit ausgeweitet werden. Davon betroffen sind alle Behörden und Organisati-onen, die eine digitale Schnittstelle zu einer Bundesbehörde haben, sowie Unternehmen, welche als Kritische Infrastrukturen gelten und deren Lieferanten. Kritische Infrastruk-turen sind Organisationen und Einrichtun-gen mit wichtiger Bedeutung für das staat-liche Gemeinwesen aus allen Branchen, so etwa Energie, Informationstechnik und Telekommunika tion, Gesundheit etc. Beim BSIsollenallein29 Planstellengeschaffenwerden, um die behördeninternen Proto-
kollierungsereignisse von Bundesbehörden durch eine systematische Analyse auszuwer-ten und Cyberangriffe zu erkennen.
Es bleibt abzuwarten, wann Betreiber von Kritischen Infrastrukturen alle Protokol-lierungsdaten aktiv an das BSI schicken müssen, denn nur so kann ein Staat bei-spielsweise einen national angelegten Cy-berangriff auf das Stromnetz über mehrere Anbieter hinweg frühzeitig erkennen, be-werten und entsprechend darauf reagie-ren. In Israel ist das schon heute der Fall. Dort gibt es im Ministerium für Energie ein Cyber-Security-Center, welches die IT-Sicherheit und -Zugriffe zentral von allen
Kraftwerkssystemen in der Privatwirtschaft überwacht.
SIEM aktiv als Kommandozentrale nutzen
Die Zeiten sind vorbei, in denen man mit dem SIEM-System lediglich monatliche Compliance-Reportings erstellte oder es als Monitoring-Center mit Dashboards einsetz-te. IT-Security-Teams wollen heute aktiv mit ihrem SIEM arbeiten. Das SIEM muss dem Security-Team dabei helfen, schnell und ein-fach Fragestellungen zu beantworten und dies bei Bedarf mit zusätzlichem Kontext oder erhöhter Komplexität. Dazu muss es
Anzeige
5. – 6. November 2019Nürnberg, Germany
Ist der Einsatz von Künstlicher Intelligenz rechtskonform realisierbar und von der Gesellschaft akzeptiert? Diese Frage-stellung führt auf der Net.Law.S 2019 Experten und Treiber der digitalen Transformation zusammen. Durch Wissensaustausch und interdisziplinäre Diskussion bringen wir die Digitalisierung erfolgreich in die Wirtschaft.
* Die Teilnehmerzahl ist begrenzt.
Melden Sie sich jetzt zur Konferenz an:*
netlaws.de/anmeldung
Konferenz für die Digitalisierung
der Wirtschaft
Premium Medienpartner: Heise Medien
NET.Wann gerät die Technik ins Spannungsfeld von Recht und Gesellschaft?
LAW.Wie weit kann die Rechtsprechung mit dem digitalen Fortschritt mithalten?
S. – SocietyWie wirkt sich die digitale Transformation auf die Gesellschaft aus?
netlaws19_107x140_kes_BES.indd 1 12.09.19 16:07
SECURITY MANAGEMENT
schnell neue Datenquellen und Formate er-schließen, verstehen was passiert und ent-sprechend darauf reagieren. Ein effektives SIEM muss Entscheidungen vereinfachen und sich von einem passiven Monitoring Tool hin zu einer Kommandozentrale ent-wickeln. Das Security-Team muss mit SIEM beiBedarfauchKonfigurationsänderungenoder Reaktionen auf Virenausbrüche aus-führen – im Zweifel automatisiert in Echt-zeit und falls erforderlich mit schnellen Ge-nehmigungsprozessen.
Viele Unternehmen und IT-Sicherheitsteams bauen erst langsam ihre Strategie auf, um frühzeitig Sicherheitsprobleme zu erkennen und entsprechende Security-Response-Pro-zesse zu etablieren. Um konkret und schnell loszulegen, können vorgefertigte Playbooks und analytische Storys von Herstellern wei-terhelfen.Wichtig ist jedoch, diese nichteinfach zu übernehmen, sondern als Vorla-gen für das eigene Unternehmen zu nutzen undandiejeweiligeUmgebung,Unterneh-menskultur und Risikoakzeptanz anzupas-sen. Fortgeschrittene IT-Sicherheitsteams fokussieren sich nahezu ausschließlich auf die Beobachtung unbekannter Angriffstak-tiken oder potenzieller Risiken, die bei der Einführung neuer Systeme und Services ent-stehen. Zur frühen Erkennung erstellen sie dazuneueAnalyticsunddefinierenmithilfevon Playbooks, wie darauf reagiert werden soll.
SIEM-Systeme sind von enormer Bedeu-tung für Security-Operation-Center- (SOC-) und Computer-Emergency-Response-Teams (CERT), um Antworten über unterschied-lichste Technologie-Stacks zu erhalten und immer wieder neue Fragen zu stellen, ob an die Firewall, an Cloud-Dienste oder ge-schäftliche Webanwendungen. Ein SIEM verarbeitet heute Daten von nahezu allem, was digital ist. Ferner ermöglichen moderne SIEM-SystemejedeArtvonFragestellungandie unternehmensinternen Daten – egal, ob historische Daten für die forensische Ana-lyseoder inEchtzeitzurKonfigurationalsAlarm. Ein solches SIEM-System entwickelt sich mit dem IT-Security-Team und bietet Optionen von einfachen bis hin zu kom-plexen Machine-Learning-Funktionen.
Automatisierte SIEMSysteme verändern die Arbeitswelt
Verantwortliche für Informationssicherheit werden das SIEM in den nächsten Jahren zu-nehmend strategisch als Kommandozentrale für die frühzeitige Erkennung von Cyberan-griffen sowie für die Teilautomatisierung der Reaktion auf Security-Vorfälle nutzen. Durch die automatisierte Bearbeitung von Securi-ty-Alarmen und -Vorfällen durch Systemin-tegrationen und Playbooks erhält der IT-Se-curity-Experte mindestens 50 Prozent seiner Zeit zurück und kann diese mit komplexeren Aufgaben zubringen, die kreative Herange-
hensweisenfordern.DasAnforderungsprofildes IT-Security-Experten wird sich dadurch ändern. Künftig wird es zwei Aufgabenfel-der geben: Security-Content-Entwickler und Automation Engineer. Der Security-Content-Entwickler wird seinen Fokus auf neue Play-books und Analytics zur frühzeitigen Erken-nung legen, der Auto mation Engineer treibt hingegen die Systemintegration voran, da-mit diese über Playbooks angesprochen werden können. n
MATTHIAS MAIER, Security-Experte bei Splunk
28 IT-SICHERHEIT [5/2019]
Ein SIEM verarbeitet heute Daten von nahezu allem, was digital ist.(Quelle: Splunk)
SIEM-Systeme haben sich seit ihrer Anfangszeit vom Nachforschungs-, über Monitoring- und Analyse-Tool bis hin zum umfassenden Security-Steuerungssystem entwickelt. (Quelle: Splunk)
Cyber Security Fairevent – for Professionals Only
Neuer Standort: Dortmund und NRW – eine Region mit viel neuem Potenzial.Neuer Termin: 04. März – 05. März 2020. Innovative Cyber Security Solutions, gleich zum Jahresbeginn.
Neues Konzept: Messe & Event mit Kongress – eine Business-Plattform für Aussteller & Besucher.Neues Erlebnis: Solution Panels, C-Level Network Area, Ausstellung & Foren, Show Acts u. v. m.
Neue Kontakte: Angebot & Nachfrage-Matching für zukünftige Geschäftsanbahnungen.
Erleben Sie mehr auf dem Fairevent! Entdecken Sie Cyber Security Solutions, die Sie weiterbringen: www.cybersecurity-fairevent.com
Cyber Security Solutions neu entdecken – das Fairevent in Dortmund erleben!
Messe Messe Messe ||| Event Event Event ||| Kongress Kongress Kongress ||| Erlebniswelt Erlebniswelt Erlebniswelt
Dortmund, 04. – 05. März 2020, Halle 8Dortmund, 04. – 05. März 2020, Halle 8Dortmund, 04. – 05. März 2020, Halle 8
Rethink Cyber Security
Unsere MedienpartnerUnsere MedienpartnerUnsere Medienpartner
&
Eine Veranstaltung von Waveline-Mar.Com
© d
epos
itpho
tos.c
om/v
icnt2
815
30 IT-SICHERHEIT [5/2019]
Ein Desaster macht aus, dass es sich im Vorfeld nicht ankündigt. Als katastrophales Ereignis trifft es eine Gemeinschaft, die Wirtschaft und/oder ein Ökosystem plötzlich. Auch ein Rechenzentrum funktioniert wie ein Ökosystem. Wird es von einer Katastrophe heimgesucht, die Strukturen und Daten ernsthaft stört und werden damit materielle und wirtschaftliche Verluste verursacht, übersteigt dies die Fähigkeit des Betreibers, sie mit eigenen Ressourcen zu meistern. Was zählt, ist effektive und situationsgetriebene Krisenbewältigung.
Konzept zur Krisenbewältigung
Was für ein Desaster!
SECURITY MANAGEMENT
Ein gutes Konzept zur Krisenbewältigung, das Spielraum für Improvisation lässt – so lautet das Erfolgsrezept. Ein Rezept, das die thailändische Festplattenindustrie anwen-dete, als 2011 starker Regen einsetzte und Fabriken sintflutartig unterWasser setzte.Als klar wurde, dass aufgestapelte Sandsä-cke um die Anlage des Herstellers Western Digital nicht mehr ausreichen, schlossen
sichdieTechnikunternehmenvorOrtflinkzusammen und beauftragten thailändische Marinetaucher, die Werkzeuge zur Herstel-lung von Festplattenlaufwerken zu bergen. Beim Auftragsfertiger Benchmark Elec-tronics fertigten die Mitarbeiter Flöße aus Blech, die sie einsetzten, um den Bestand aus dem Werk zu entfernen. Jede geborge-ne Maschine wurde demontiert, dekontami-niert und wieder zusammengesetzt. Durch das schnelle koordinierte Improvisieren war die thailändische Branche für PC-Kompo-nenten viel schneller wieder am Markt, als Analysten dies vorhergesagt hatten.
Es kann gar nicht so blöd kommen, wie es kommt
Blitzeinschläge, erschöpfte LKW-Fahrer, ein einziges Eichhörnchen – die Liste bekann-
ter und überraschender Brandzünder für Katastrophen im Rechenzentrumsbetrieb ist lang. Sie alle eint die erforderliche Kon-sequenz: Eine Notfallwiederherstellung, im englischen Disaster Recovery (DR) genannt, muss her. Ein solcher Masterplan bündelt zwingend alle Maßnahmen, die Sicherheits-verantwortliche nach einem Komponenten-Ausfall in IT-Systemen ergreifen.
Noch vor der Zerstörung von Hardware ist Datenverlust das Schlimmste, was einem Betrieb passieren kann. Jedes Unternehmen verfügt über eine individuelle Geschäftsstra-tegie und eine sich daraus ableitende IT-Si-cherheitsstrategie, die Datenverfügbarkeit und Datensicherheit unterschiedlich hoch priorisiert und daraus Normalzustände für denIT-Betriebdefiniert.ImZeitstrahl(Bild 1)markiert der grüne Punkt den gewohnten,
Die Reaktion auf Katastrophen kann wichtiger sein, als sie zu verhindern.“
(Joshua J. Romero)
31IT-SICHERHEIT [5/2019]
SECURITY MANAGEMENT
vom Unternehmen akzeptierten Status im Rechenzentrumbetrieb. Zum Zeitpunkt X tritt durch Umwelteinflüsse,menschlichesoder technisches Versagen die Katastrophe ein. Diese kann, wenn sie sich nicht zum Bei-spiel in Form eines Blitzeinschlags oder einer Überschwemmung klar zu erkennen gibt, für einen gewissen Zeitraum unbemerkt weiter wirken. Man denke hier an Eichhörnchen, die sich genüsslich über die Ummantelung von Kabeln hermachen, ohne hierbei für Aufse-hen zu sorgen. Schleichend verschlechtert sich die Performance. In diesem Zeitfenster des Undercover-Desasters bemühen sich die IT-Mitarbeiter darum, die Hochverfügbarkeit der Daten mit gewohnten Bordmitteln auf-rechtzuerhalten. Sobald klar ist, dass dies nicht mit Leichtigkeit gelingen kann, gilt der Gau als erkannt.
Die Katastrophe ist bemerkt, aber das um Sicherheit und wenig Lärm bemühte IT-Team versucht weiterhin, Herr der Lage zu werden. Sind alle internen Strategien aus-gereizt, muss die Katastrophe dem Manage-ment gemeldet werden. Wir sprechen hier
vom „Disaster Announcement“, das einen Wendepunkt markiert. Der Verantwortliche informiert die Geschäftsführung, dass eine Katastrophe vorliegt, die er alleine nicht be-wältigen kann und dass weitere Maßnah-men ergriffen werden müssen. Bezogen auf den Rechenzentrumsbetrieb steht folgende Managemententscheidung an: Wir schalten das Rechenzentrum um. Damit beginnt die Wiederherstellungsphase. Sowohl die IT-Systeme als auch die Daten aus der letz-ten funktionierenden Datensicherung müs-sen wieder in Betrieb genommen werden. Am Ende dieses zeitlichen Ablaufs steht die Wiederaufnahme der Produktion, bezie-hungsweise des gewohnten Geschäftsbe-triebs.
Disaster Recovery
Der Disater-Recovery-Prozess umfasst in der Regel vier Stufen (Bild 2):
Wunsch und WirklichkeitKommen wir zurück zur IT-Sicherheitsstra-tegie, die jedemdatenverarbeitendenUn-
ternehmen als Konzept vorliegen sollte. Ein Konzept, das sich wiederum an den unter-nehmensspezifischenMaximen fürDaten-verfügbarkeit, Datensicherheit und Wirt-schaftlichkeit orientiert. Wie lange darf uns eine Katastrophe aus wirtschaftlicher Sicht ausknocken? Das ist die zentrale Frage, die sich die Geschäftsführung beantwor-ten muss. Hier greift für Disaster Recovery der Begriff „Maximum Acceptable Outage“ (MAO) aus der Betriebswirtschaftslehre. Er bezeichnet die maximale Ausfallzeit für Ge-schäftsprozesse oder Servicefunktionen, die das Unternehmen akzeptieren kann, bevor geschäftskritische Konsequenzen drohen. So definierteinVersicherungskonzernalsfikti-ves Beispiel maximal 24 Stunden Datenver-lust als Risiko und begrenzt die höchstmög-liche Wiederherstellungszeit auf drei Tage. Damit MAO kein Hoffnungsszenario bleibt, sondern die Realität wiederspiegelt, muss das Konzept Umfang und Kosten aller Maß-nahmen klar benennen.
Daten sichern und Daumen drückenIm Rahmen von DR spielt der Begriff „Reco-veryPointObjective“(RPO)einegroßeRol-le. Er meint die Zeitspanne zwischen dem letzten Back-up und dem maximal entfernt liegenden Zeitpunkt, bis zu dem Daten auf-grund eines Ausfalls verloren sein dürfen. Auch RPO ist akzeptanzgetrieben und va-riiert: Je höher die Datenverfügbarkeit und Datensicherheit im Unternehmen aufge-hängt sind, desto schmaler ist die RPO. Ist gar kein Datenverlust bei einem Systemaus-fall tolerabel, beträgt die RPO demnach null Sekunden.
Basis bereitenIst eine Katastrophenmeldung beim Ma-nagement angekommen, folgen laut Zeit-strahl Maßnahmen zur Wiederherstellung des Geschäftsbetriebs. Zum Startpunkt der Wiederherstellung (im Zeitstrahl gelb mar-kiert) steht der Umfang des potenziellen Datenverlustes fest, der nach dem Ereig-nis aufgetreten ist. Nun wird aufgeräumt: DiePhase„RecoveryTimeObjective“(RTO)meint nach Verständnis von Gronau IT exakt die Wiederherstellungszeit, in der Geschäfts-funktionen, Systeme und IT-Services so vor-bereitet sind, dass die IT-Mitarbeiter ihr Wie-derherstellungsverfahren einleiten können.
Bild 1: Ablauf einer Katastrophe (Quelle: Gronau IT Cloud Computing)
Bild 2: Disaster Recovery – ein Drama in vier Akten (Quelle: Gronau IT Cloud Computing)
NeustartIn der nächsten und finalen Etappe folgtdie „Work Backlog Recovery“ (WBL), also die zeitaufwendige Wiederherstellung des Ursprungszustands. Dazu gehören alle Ar-beiten, die Transaktionen und Daten aus derPrä-Desaster-Ärawiederherstellen.EineAufräumzeit, die unterschiedlich lange dau-ert und zu deren Ende alle Daten wieder auf-gespielt sind und dem Business wieder zur Verfügung stehen.
Rechenzentrumswahl als Risikominimierung
Disaster Recovery ist eine Teildisziplin von Business Continuity Management (BCM), also eines Prozesses, der Konzepte zur Auf-rechterhaltung des Geschäftsbetriebs ent-wirft und implementiert. Diese Konzepte sollen Unternehmen auf Störungen vorbe-reiten, diese minimieren und managen. Sie sind personenunabhängig, nicht aber rol-lenunabhängig. BC-Konzepte enthalten Ab-laufpläne für eintretende Katastrophen, die auch greifen, wenn der zuständige IT-Mitar-beiter nicht anwesend oder nicht mehr im Unternehmen beschäftigt ist.
Bei der Reduzierung von Stör- und Katas-trophenrisiken im Rahmen von BCM spielt die Wahl des passenden Rechenzentrums eine große Rolle. Dabei gilt zu beachten, dass ein singuläres Rechenzentrum zwar Hochverfügbarkeit von Daten durch zwei physisch getrennte Brandschutz-Bereiche bereitstellen kann, aber keine Disaster-Re-covery-Funktionen aufweist. Um diese Lücke zu schließen, bieten sich folgende, kombi-nierbare Optionen an:
� DR als Cloud Service, gekoppelt an leicht skalierbare und kostengünstige Standby-Komponenten
� DR an einem zweiten, eigenen geeigneten Rechenzentrumsstandort
� DR mit einem Colocation-Partner in kur-zer Entfernung, so dass im Unterschied zu den anderen Optionen synchrone Daten-replikation möglich ist
� DR mit einem über 200 km georedundan-ten Colocation-Partner
Feuerwehrübungen zeigt sich, wie lange es zumindest ohne großen Stress dauert, das Rechenzentrum umzuschalten und den Be-trieb wieder aufzunehmen. Sobald darüber hinaus größere Software-Upgrades im Zu-sammenhang mit der Datensicherung statt-finden,müssendieseTestsdirektnachdemUpgrade erfolgen. Dabei ist es unerlässlich, dassalleCMDB-InformationeninjedemRe-chenzentrum vorliegen, die in Disaster Reco-very eingebunden sind.(1)
Das Datensicherungs Quartett: 3210
Um im Katastrophenfall auf der sicheren Seite zu sein, sollten Unternehmen ihre Ge-schäftsdaten mindestens in dreifacher Aus-führungpflegen.DreiKopienbedeutet,dasszusätzlich zur primären Datenquelle zwei weitere Back-ups vorliegen sollten. Das Da-tensicherungs-Quartett ergibt im Fall eines Systemausfalls Sinn. Angenommen, Unter-nehmenXspeichertundpflegtseineDatenaufDevice#1unddasBack-upbefindetsichauf Device #2. Beide Hardware-Komponen-ten haben die gleichen Eigenschaften und die Systemfehler, die sie produzieren, sind unabhängig voneinander, haben keine ge-meinsamen Ursachen. Wenn beispielswei-seDevice#1undDevice#2jeeineAusfall-wahrscheinlichkeit von 1/100 haben, dann ist die Wahrscheinlichkeit, dass beide Gerä-te gleichzeitig ausfallen: 1/100 × 1/100 = 1/10.000
Setzt man dieses statistische Rechenbeispiel fort, bedeutet dies bei Primärdaten auf De-vice #1 sowie zwei Back-ups davon auf den Geräten #2 und #3 eine gemeinsame Aus-fallwahrscheinlichkeit aller Datenträger von 1/100 × 1/100 × 1/100 = 1/1.000.000. Vo-raussetzung ist, dass alle Devices die glei-chen Eigenschaften und keine gemeinsamen Fehlerursachen haben. Mit dieser Dreifach-kopie minimiert sich das Risiko, Daten wäh-rend einer Katastrophe zu verlieren. Mit dieser Strategie vermeiden Unternehmen zudem, dass die Primärkopie und ihr Back-up am gleichen physischen Speicherort ge-speichertwerden. Zusätzlich empfiehlt essich, kritische Geschäftsdaten auf mindes-tens zwei verschiedenen Arten von Speicher-medien zu speichern.
32 IT-SICHERHEIT [5/2019]
SECURITY MANAGEMENT
IT-Entscheider sollten Vor- und Nachteile der aufgeführten Wahlmöglichkeiten individuell abstimmen. Jedoch existieren Mindestan-forderungen an digitale und physische Si-cherheit sowie an Kommunikationswege ei-nes Rechenzentrums, die erfüllt sein sollten, wenn es Disaster Recovery leisten soll:
� Mindestens Klasse Tier III � EN50600Zertifizierung � Überwachungs- und Alarmempfangszen-trale gemäß EN 50518
� Minimale Bandbreitenkonnektivität von mindestens je 2 × 1 GBit/s an jedemStandort für das Internet
� Mindestens 2 × 10 GBit/s Konnektivität für die Wege Rechenzentrum zu DR Re-chenzentrum mit einer Latenzzeit <= 30 ms
� Mindestens zwei verschiedene redundan-te Kommunikationswege
� Jeder Kommunikationspfad muss von ei-nem anderen Carrier über verschiedene redundant ausgelegte Leitungen stam-men.
� Wenn ein Rechenzentrum auch als Disas-ter-Recovery-Rechenzentrum eines wei-teren Rechenzentrums verwendet wird, müssen die Kommunikationsleitungen physisch getrennt sein.
� Kommunikationswege müssen nach höchsten Standards verschlüsselt werden, also zum Beispiel nicht nur MPLS.
� Asynchrone, verschlüsselte Datenreplika-tion darf einen maximalen Versatz von ei-ner Stunde aufweisen.
� Automatische Umleitung für angeschlos-sene Rechenzentren und deren Partner (Routen)
� Ein Fernzugriff bei Disaster Recovery sollte über einen zusätzlichen separaten Kommunikationspfad eingerichtet wer-den. Alle Zugriffsmöglichkeiten müssen autonom von den Zugriffspfaden weite-rer angeschlossener Rechenzentren sein.
Kontrolle ist besser
Wenn Disaster Recovery als funktionieren-der Baustein von Betriebskontinuitätsma-nagement funktionieren soll, müssen Unter-nehmen bei gewohntem Betrieb mindestens jährlich DR-Failover-Tests undWiederher-stellungstests durchführen. Mit diesen IT-
PIERRE GRONAU, Gründer und Inhaber der Gronau IT Cloud Computing
Das 3-2-1-0-Back-up-Modell des obigen Abschnitts greift, wenn es keine gemeinsa-men Fehlerursachen für alle Geräte gibt, in denen Datenkopien lagern. Es ist hinfällig, sobald Primärdaten und deren Sicherung an derselben Stelle vorliegen. So sind zum Beispiel Festplatten innerhalb eines RAID-Systems statistisch nicht unabhängig von-einander. Außerdem ist es nicht ungewöhn-lich, dass nach einem Festplattenfehler ein Ausfall einer anderen Festplatte vom glei-chen Speicher etwa zur gleichen Zeit auftritt. Aus diesem Grund bewahren Unternehmen, die dem 3-2-1-0-Modell folgen, Kopien ihrer Daten auf mindestens zwei verschiedenen
Speichertypen. Das können interne Festplat-ten und Wechselspeichermedien, wie Bän-der, externe Festplatten, USB-Laufwerke, SD-Karten, CDs, DVDs oder sogar Disketten sein. Auch eine Aufbewahrungsstrategie auf zwei internen Festplatten an verschiedenen SpeicherortenergibtSinn.InjedemFallsoll-te eine Kopie der Back-ups an einem exter-nen Ort liegen.
Zudem spielt die physische Trennung zwi-schen den Kopien eine große Rolle und es ist keine gute Idee, externe Speichergeräte im gleichen Raum wie zentrale Unternehmens-orte, zum Beispiel Produktionslagerplät-ze, zu halten. Bei Katastrophen wie einem
Brand droht der komplette Datenverlust als Konsequenz. Für Unternehmen aus dem Mittelstand, die ohne Remote- oder Zweig-stellen arbeiten, stellt die Speicherung von Back-ups in der Cloud eine weitere Option dar. Auch Offsite-Kassetten sind nach wie vor bei allen Unternehmensgrößen beliebt.
Disaster Recovery als Sorgenfresser
Der Allianz Risk Report 2019 (2) benennt Cybervorfälle und Betriebsunterbrechun-gen als die beiden größten Sorgen, die die deutsche Wirtschaft plagen. Diese berech-tigten Sorgen liegen im Ranking erstmalig gleichauf, wobei die Top-Risikofaktoren zu-nehmend gemeinsam auftreten. Disaster Re-covery als regelmäßig geübter Maßnahmen-plan kann hier die Auswirkungen reduzieren undSorgennehmen.Zubeachtenistjedoch,dass alle Tests nur Trockenübungen sind und nicht unter realen, also katastrophalen Be-dingungen, stattfinden können. Endet einTestlauf mit einem knappen MAO-Ergebnis, so sollte sich die Unternehmensführung fra-gen, was dieses Ergebnis wohl für einen tat-sächlichen Gau bedeuten würde. Mit einem zeitlichen Puffer von 50 Prozent kann das Management sein Betriebskontinuitätsma-nagement, zumindest im Bereich DR, als er-folgversprechend einstufen. n
33IT-SICHERHEIT [5/2019]
SECURITY MANAGEMENT
Quellen:(1) https://de.wikipedia.org/wiki/Confi guration_Management_Database(2) https://www.allianz.com/de/presse/news/studien/190115_allianz-risk-barometer-2019.html
Bild 3: Um im Katastrophenfall auf der sicheren Seite zu sein, sollten Unternehmen ihre Geschäfts-daten mindestens in dreifacher Ausführung pfl egen. (Quelle: Gronau IT Cloud Computing)
Bild
: © d
epos
itpho
tos.c
om/g
inas
ande
rs
Krisen kommen oftmals schneller als gedacht. Aus diesem Grund sollte jedes Unternehmen mit einem entsprechenden Kri-senmanagement für den Ernstfall gerüstet sein. Denn durch ein angepasstes Management ist jeder Betrieb in der Lage, schnell und souverän mit der Bedrohung umzugehen, ohne einen größeren Schaden zu erleiden oder gar zu verursachen. Dazu ist es notwendig, ein entsprechendes Konzept auszuarbeiten, welches die besonderen Anforderungen der jeweiligen Branche, des Betriebs sowie die aktuelle Gesetzeslage berücksichtigt. Dabei kann ein umfassendes Krisenmanagement noch weitaus mehr: Im Idealfall profi tiert der gesamte Geschäftsbetrieb von den detaillierten Ausarbeitungen.
Unternehmen profitieren umfassend von einem betriebsinternen Krisenmanagement
Es geht ums Überleben
34 IT-SICHERHEIT [5/2019]
Unternehmen mit sogenannten „KRITISchen“ Infrastrukturen sind gesetzlich verpflichtet,Systeme zur Bewältigung von Krisen und Katastrophen vorzuhalten, da ein Ausfall oder eine Beeinträchtigung der Versor-gungsdienstleistungen dramatische Folgen haben könnte. Zu den betroffenen Branchen gehören unter anderem die Bereiche Ener-gie, Informationstechnik und Telekommu-nikation, Wasser und Ernährung, aber auch das Gesundheitswesen, Versicherungs- und Finanzwesen sowie Transport und Verkehr. Das IT-Sicherheitsgesetz und die KRITIS-Ver-ordnung verpflichtendieseBetriebeunteranderem zu Business Continuity Manage-ment (BCM), IT Service Continuity Manage-ment (ITSCM) und zu Crisis Management (CM). BCM und ITSCM leiten vorbeugend proaktiv Maßnahmen ein, um im Vorfeld Ri-siken und Schwachstellen einzuschätzen. Sie bereiten Pläne vor und legen Abläufe für den Ernstfall fest. Krisenmanagement wirkt re-aktiv und greift dann, wenn der Notfall ein-getreten ist. Im Best Case kann nun auf die Vorbereitung von BCM und ITSCM zurück-gegriffen werden. Doch Krisenmanagement ist auch ohne dieses Setup möglich.
Perspektive: Schaden abwenden und das Unternehmen fortführen
Naturkatastrophe, Flugzeugabsturz oder der Ausbruch einer hochansteckenden Krankheit: Eine Krise kommt oft plötzlich und kann die unterschiedlichsten Auswir-kungen haben. Unternehmen sind dann gleich mehrfach gefordert. Zunächst steht der Schutz von Leib und Leben von Mitar-beitern, Betroffenen und Kunden an erster Stelle. Ihre medizinische Versorgung muss gewährleistet sein, aber auch die Fürsorge-pflichtmitemotionalenoderpsychosozia-len Angeboten erfüllt werden. Kommen Per-sonen zu Schaden, wie bei einem Amoklauf auf einem Betriebsgelände, geht es darüber hinaus um den angemessenen und empa-thischen Umgang mit den Verletzten und Angehörigen.
Bei rein technischen Schwierigkeiten, Ma-schinenausfällen, Lieferengpässen oder auch drohender Insolvenz, gilt es, den wirt-schaftlichen sowie den Imageschaden zu begrenzen, indem professionell und ergeb-
nisorientiert agiert wird. In manchen Fällen kommt als weitere Herausforderung hinzu, dass der Normalbetrieb von nichtbetrof-fenen Bereichen aufrechterhalten werden muss.
Die Perspektive beim Krisenmanagement muss es sein, das Unternehmen zu retten und etablierte Mechanismen zu bedienen, um das Geschäft fortzuführen. Dafür wird eine Systematik entwickelt, die in allen Be-reichen und Szenarien funktioniert und die an die Situation individuell anpasst wer-den kann. Die Ursachen der Krise sind dafür nachranging. Es zählt, die Situation in den Griff zu bekommen und zu beherrschen.
Den Krisenstab aufbauen
In einem ersten Schritt bei der Einführung eines Krisenmanagements wird festgelegt, was genau erreicht werden soll. Auf dieser Basis wird eine tragfähige Konzeption er-stellt, die Organisationsform festgelegt und der Krisenstab aufgebaut. Er ist für die stra-tegische Steuerung des Betriebs im Krisen-fall verantwortlich. Ziel ist es, den Krisenstab
34 IT-SICHERHEIT [5/2019]
SECURITY MANAGEMENT
35IT-SICHERHEIT [5/2019]
SECURITY MANAGEMENT
so zu besetzen, dass alle Unternehmens-zweige sinnvoll angebunden und erreicht werden. Er umfasst in der Regel vier bis sechs Funktionen: einen Leiter, einen Ver-treter Kommunikation sowie Vertreter der Fachbereiche und der operativen Organisati-on sowie administrative Kräfte für Protokoll und Visualisierung. Je nach Unternehmen kommen Vertreter der IT, Juristen, HR (Hu-man Resources) und Safety/Security hinzu. Die Rollen müssen mehrfach besetzt wer-den, empfehlenswert sind drei Personen pro Funktion, da der Krisenstab im Worst Case 24 Stunden am Tag bis zu zwei Wochen am Stück im Einsatz sein können muss.
Der Krisenstab agiert nicht abgeschnitten vom Rest in der Isolation, er muss im Gegen-teilbiszujedemeinzelnenMitarbeiterwir-ken und entsprechende Strukturen nutzen. Dafür bedarf es auch einer klaren Kommu-nikationsregelung: Der Krisenstab informiert Mitarbeiter und Außenwelt gleichermaßen; gerade die Angestellten müssen wissen, was sie im Krisenfall zu tun haben.
Bei der Planung ist es entscheidend, starke Ketten zu bilden, die unter Belastung nicht reißen. Es gilt, die strategische Ebene abzu-decken, zu der Krisenstab und Geschäfts-
führer gehören, aber auch die taktische Ebene mit Fachbereichsleitern, Vorarbeitern und Vertretern der operativen Ebene. Zu-demmuss der Krisenstabmit finanziellenMitteln, Verantwortlichkeit und Entschei-dungsbefugnissen samt Durchgriffsrech-ten ausgestattet sein. Er braucht dazu das Mandat von der Geschäftsführung, um die Vorgaben auch durchsetzen zu können. Als letzten Schritt gilt es dann, Bewusstsein im Unternehmen schaffen, dass ein Krisenma-nagement existiert und positiv wirkt.
Eine Krise zu bewältigen bedeutet, Ener-gieundRessourcen–auchfinanzielle–zuinvestieren. Eine zentrale Aufgabe des Kri-senstabes ist es, Entscheidungen zu tref-fen, die Ergebnisse auf positive Wirksam-keit zu prüfen und bei Bedarf anzupassen. Die personelle Besetzung des Krisenstabs muss deswegen mit Druck und einem ho-hen Stresslevel umgehen können und darf keine Angst haben. Es bedarf auch einer ausgezeichneten Kommunikations- und Kol-laborationskultur: Ohne sie kann eine Krise nicht bewältigt werden. Denn der Krisenstab braucht Informationen, gibt sie gleichzeitig aber auch kanalisiert weiter. Man muss Hil-fe annehmen, gleichzeitig aber auch geben können.
Unternehmenskritische Szenarien können vielfältig sein
Eine Krise muss nicht unbedingt eine Natur-katastrophe oder ein Brand sein. Auch un-spektakuläre Vorfälle können weitreichen-de Konsequenzen nach sich ziehen. Etwa, wenn in einem Firmengebäude unerwartet das Trinkwasser ausfällt. Das bedeutet nicht nur, dass kein Frischwasser mehr zugänglich ist, auch das Abwasser wird zu einem Prob-lem, da im gesamten Komplex die Toiletten nicht mehr benutzt werden können. Hinzu kommt, dass oft der Brandschutz nicht mehr gewährleistet ist, da die Löschanlage in der Regel an das Trinkwassernetz gekoppelt ist. Wenn es in dieser Situation wirklich brennt, ist die Krise da.
In anderen Szenarien gilt es, die Krise zu bewältigen, während gleichzeitig der Nor-malbetrieb aufrechterhalten werden muss. Wenn in einem Krankenhaus in einem Ope-rationssaal die Klimaanlage kontaminiert ist, müssen nicht nur der Patient und das OP-Team in Sicherheit gebracht werden. Alle an-wesenden Menschen müssen geschützt und die Ausbreitung der Kontaminierung verhin-dert werden. Der restliche Betrieb, die an-deren OPs, Untersuchungen und Versorgung
Anzeige
Lückenlose Sicherheitim Datenschutz.
Durch die gezielte Umsetzungvon Maßnahmen.
Konzerndatenschutzotris privacy
www.otris.de
36 IT-SICHERHEIT [5/2019]
der Patienten müssen gleichzeitig aufrecht-erhalten werden.
Gutes Krisenmanagement passt zum Unternehmen
Risikomanagement und Arbeitsschutz sind nicht unbedingt Lieblingsthemen in Un-ternehmen. Auch für das Krisenmanage-ment gilt: Es wird gern vernachlässigt und hintenangestellt, denn es bringt keine Ein-nahmen,keinenProfit.Hinzukommt,dassBCM, ITSCM und CS in der Regel einige Ressourcen erfordern und binden sowie mit entsprechendem Kostenaufwand in der Im-plementierung verbunden sind. Viele Unter-nehmen scheuen davor zurück.
Unternehmen lassen sich in der Regel oft erst dann beraten, wenn sie bereits einen Vorfall erlebt haben und zukünftig besser vorbereitet sein wollen. Andere Gründe, ein Krisenmanagement aufzusetzen: Eine Fir-ma der gleichen Branche hatte ein Problem oderderBetriebistgesetzlichverpflichtet,Vorkehrungen für Notfälle zu treffen. Aktuell zeichnetsichallerdingseinepositiveÄnde-rung im Bewusstsein der Unternehmen hin zur Vorsorge auch im Bereich Krisenmana-gement ab.
Krisenmanagement muss auf das Zielunter-nehmen zugeschnitten sein und darf ihm nicht einfach übergestülpt werden. Ein ex-terner Berater kann dabei helfen, ein ge-eignetes Konzept aufzusetzen. Wichtig: Der
Berater braucht kompetente Ansprechpart-ner im Unternehmen. Nur so gelingt die Er-stellung eines Plans, der im Worst Case auch funktioniert.
Beim Krisenmanagement ist die Organisati-on das Wichtigste. Pläne, Protokolle, Rollen und Zuständigkeiten werden im Vorfeld klar definiert.ImErnstfallkommendannKreati-vität und Flexibilität hinzu. Die festgelegte Struktur ermöglicht es so, den Kopf frei zu haben, um kreativ und souverän auch mit jenenSituationenumgehenzukönnen,mitdenen man nicht gerechnet hat. Gutes Kri-senmanagement ist Teamarbeit auf der Ba-sis einer durchdachten Organisation. Das teamorientierte Zusammenwirken eines mit High Level Management besetzten Krisen-stabs stellt oft eine interessante Herausfor-derung dar, deren Bewältigung auch geübt werden muss.
Vom Krisenmanagement profitieren
Krisenmanagement hilft Unternehmen, den Ernstfall zu bewältigen und Schaden vom Betrieb abzuwenden. Gutes Krisenmanage-ment kann auch eine echte Chance sein. Ein Beispiel dafür ist die spektakuläre Wasser-landung auf dem Hudson River der US-Air-ways-Maschine 1549 im Jahr 2009, die vom Flughafen La Guardia, New York, nach Char-lotte Douglas International, North Carolina, unterwegs war. Der Airbus A320 war wenige Minuten nach dem Start in einen Schwarm
Kanada-Gänse geraten, welchie die Trieb-werke zerstörten. Dem Piloten, ein ehema-liger Kampfpilot der Airforce, gelang es mit Copilot und Crew, das Flugzeug auf dem Hudson zu landen – alle 155 Passagiere, einer davon im Rollstuhl, wurden gerettet. Trotz diverser, auch schwerer Verletzungen und einem wirtschaftlichen Totalschaden, wendete sich die Krise zu einem Aufsehen erregenden Erfolg: Der Pilot wurde zu einem Helden der Luftfahrtgeschichte, das Zusam-menwirken des gesamten Unternehmens verbesserte die Reputation der Airline – und ebenso den Eindruck von Flugsicherheit. So sieht erfolgreiches Krisenmanagement aus.
Natürlich istnicht jedeKrisesospektaku-lär. Doch Unternehmen und Abteilungen könnenvondenÜberlegungenprofitieren,die für das Krisenmanagement nötig sind. Eine klare Priorisierung der Arbeit und ein strukturiertes System unterstützten auch im Arbeitsalltag. Gutes Krisenmanagement ver-bindet Struktur sowie Flexibilität und Kreati-vität im Handeln und Denken. n
ASTRID GESCHWENDT, Senior Consultant bei Controllit AG
SECURITY MANAGEMENT
Ziel ist es, als reaktiver Prozess, die Entscheidungsfähigkeit des Unternehmens sicherzustellen und eine zielgerichtete und
koordinierte Bewältigung der Krise zu ermöglichen.
Krisenmanagement Prozess
Identifikation und Analyse von Krisensituationen
Entwicklung von Strategien zur Bewältigung einer Krise
Einleitung und Verfolgung von Gegenmaßnahmen
Aufgaben des Krisenstabs
Merkmale einer Krise
Merkmale einer KriseBedrohlichkeit /
ExistenzbedrohungBewältigung nicht mit
Alltagsorganisation möglich
Unklarheit Komplexität Zeitdruck Unsicherheit Informationsmangel / Informationsflut
ADVERTORIAL
HeutedominierenBegriffewieSoftware-as-a-Service,Homeoffice, mobile User und Industrie 4.0 die Welt der IT. Die Veränderungen und die Möglich keiten durch die digitale Technologie sind immens und räumen auf mit „Das haben wir immer so gemacht“-Prozessen. Eigene Rechen-zentren und geschlossene Firmennetzwerke werden zum Bottleneck, anstatt die Wertschöpfung zu beschleunigen. Die verschiedenen Orte, an denen gearbeitet wird – von unterschiedlichen Niederlassungen bis zum Home- oder mobilen Arbeitsplatz, erfordern ein neues Denken für IT-Security und die Nutzung der Cloud.
24/7 überwachte Sicherheit Die Telonic GmbH, deren Team Kunden aus zahlreichen Branchen – von Verwaltung, Industrie und Logistik über Bank- und Finanzwesen bis zu Konzernen aus der Energieversorgung – betreut, agiert völlig unabhängig vonHerstellernundkannsodiejeweilsbesteLösungfürdieeigenenKun-den entwickeln. Mit einem Team von über 80 IT-Servicespezialisten und Entwicklern hat Telonic auch die nötige Manpower, ein Produkt wie den LifeLine-Service zu bieten. Damit gibt Telonic Netzwerkbetreibern rund um die Uhr die nötige Sicherheit einer korrekt arbeitenden Infrastruktur. Durch den SNOC-Support (Security Network Operation Center) wird das Kunden-Netzwerk proaktiv 24 Stunden am Tag, sieben Tage in der Woche und52 WochenimJahraufStörungenoderBedrohungenüberwacht.DieserServicevonTelonicistgemäßISO/IEC27001zertifiziert,dieNormschreibt die Erfordernisse an IT- und sicherheitstechnische Management-systeme fest. Mehr als die Hälfte aller Telonic-Angestellten arbeiten im Service und stehen von der Ist-Analyse über das Design einer idealen Netzwerklösung bis zum täglichen Betrieb zur Verfügung.
SD-WAN für verzweigte NetzwerkeDieZukunftinderITistflexibel,skaliertohneProblemeundfindetkaumnoch in verstaubten Firmenrechenzentren statt. Heute kann ein Netzwerk übereinsoftwaredefiniertesWAN(SD-WAN)innerhalbkürzesterZeiterweitert werden, nötig ist nur ein Internetanschluss für die Niederlas-sung,dasHomeofficeoderdieFiliale.DerProviderspieltkeineRolle,dieEinrichtung übernimmt das Netzwerk alleine. Ob MPLS, VPN, verschiedene Provider oder unterschiedliche Bandbreiten: Alles kann auf beliebige Art und Weise zu einem homogenen Enterprise-WAN verschmolzen werden. Telonic ist einer der Early Adopter dieser Technologie in Deutschland, und beendete damit auch die Abhängigkeit von einzelnen Serviceprovidern, die bspw. MPLS-Technik anbieten.
New Work, new Infrastructure!DieneueArbeitssituationmitHomeoffice,mobilerArbeitundzahlreichenNiederlassungen fasst Telonic in das Security Fabric in der Cloud. So findenSaaS,ServerlessEnterpriseInfrastrukturen,mobileUserundIoTin einem Cloud Area Network eine gemeinsame Basis. Mit dem Modell können Unternehmen hochperformant die unterschiedlichen Lokationen und mobilen User verbinden und dabei ein Höchstmaß an Sicherheit er-reichen. Die historische Methode über Hardware-Firewalls für Outbound TrafficundMPLS-RoutereinesCarriersfürdieunternehmensweite Vernetzung ist so Geschichte. n
Das Kölner Systemhaus Telonic, seit 1979 im Markt für Netzwerkinfrastruktur und IT-Sicherheit, hat ein Network Security Fabric entwickelt: Ein Sicherheitsschirm für die CAN (Cloud Area Networks) der Zukunft, mit dem Unternehmen effi zient, sicher und hochvernetzt arbeiten können. Nötig macht dies die Digitalisierung, in deren Zuge nahezu alle Branchen umgekrempelt werden.
Telonic führt Security und WAN zu einem sicheren Cloud Area Network zusammen
Telonic führt Security und WAN zu einem sicheren Cloud Area Network zusammen
Telonic führt Security und WAN zu einem sicheren Cloud Area Network zusammen
Kontakt:
Telonic GmbHAlbin-Köbis-Str. 251149 Köln
Tel. +49 2203 9648 0
Halle 9
Stand 9-342
Bild
: © d
epos
itpho
tos.c
om/iL
exx
38 IT-SICHERHEIT [5/2019]
Wie RPA und KI Geschäftsprozesse im Gesundheitswesen beeinflussen können
Einsatz für Kollege Roboter
INTERNET DER DINGE
Während die Geburtenrate in den Industrie-ländern sinkt, steigt die Lebenserwartung der Bevölkerung. So wächst der Bedarf an medizinischer Versorgung, und der Fachkräf-temangelimPflegesektormachtsichimmerstärker bemerkbar. Die Automatisierung von Prozessen kann diesen Problemen ent-gegenwirken. Beim Einsatz von Software-Robotern werden repetitive, zeitaufwendi-ge Routinetätigkeiten, beispielsweise bei Verwaltungs- oder Abrechnungsvorgängen, weg von Mitarbeitern hin zu virtuellen Kol-legen verlagert. Ein schnellerer Datenzugriff erleichtert außerdem die medizinische Be-treuung von Patienten: Durch die Entlastung bei wiederkehrenden Tätigkeiten können sichdieÄrzteundPflegerwiederAufgabenwidmen, die individuelles Urteilsvermögen und Interaktion erfordern. Sie haben somit mehr persönlichen Kontakt zu Patienten und machenhäufigauchwenigerFehler.
Zukunftspotenzial für moderne Lösungen zeigt sich auch in der Medizintechnik, denn die Versorgung von Patienten findet oft-mals nicht mehr im Krankenhaus, sondern in gleicher Qualität zu Hause statt. Dabei produzieren medizintechnische Produkte zurhäuslichenPflegemehrundmehrDa-ten. Diese stehen zum einen den Pflege-diensten zur Überwachung der Patienten und zum anderen den Herstellern für den Service oder die Weiterentwicklung ihrer Produkte zur Verfügung. Die Informations-
übertragung an den Fabrikanten lässt sich invielenFällendurchherstellerspezifischeSchnittstellen schon beim Design der Ge-rätegewährleisten.FürdasPflegepersonalbringtdieDatenverarbeitungjedochdiver-se Herausforderungen hervor. Der häusliche Versorgungsdienst hat in der Regel keine direkten Anbindungen an die Systeme der Hersteller oder zu den elek tronischen Da-tenverarbeitungssystemenzwischenÄrztenund Krankenversicherungen. Er muss seine Informationenmeistensmanuelleinpflegenbeziehungsweise in Form von E-Mails an die entsprechenden Stellen weiterleiten.
RPA als Unterstützer
Heute setzt auch der Patient selbst immer häufiger eigenständig Produkte für seinePflegeein– istdabei jedochauf indirekteSchnittstellen zum Anbieter angewiesen, beispielsweise wenn es darum geht, Ver-brauchsmaterialien zu bestellen oder bei Störungen den Kundendienst zu beauftra-gen. Kann der Patient etwa ein Foto seines Gerätes an den Kundendienst schicken, so wären RPA-gestützte Systeme in der Lage, dem Sachbearbeiter bei der Planung und Durchführung entsprechender Aktionen zu helfen, die er bislang noch manuell ausfüh-ren musste. Eine vorgelagerte Bilderken-nung kann hier in Zusammenarbeit mit dem Software-Roboter mit der gleichen Applika-tion, die der Sachbearbeiter zuvor selbst be-
dient hat, die notwendigen Daten ermitteln und den Geschäftsvorfall damit anreichen. Auf dieseWeise lässt sich eine effizienteund zielgerichtete Weiterverarbeitung durch den Mitarbeiter gewährleisten. Ebenso bie-tet RPA die Möglichkeit, die Seriennummern der eingesetzten Geräte aus Listen zu extra-hieren und Zeile für Zeile abzuarbeiten. Wel-che Schritte und welche Applikationen der Verarbeitungsprozess letztendlich beinhal-tet, ist hierbei nebensächlich – der Prozess bleibt der gleiche wie bei der manuellen Verarbeitung. Die Umsetzung hat allerdings immerdieVorgabe,Abläufesoeffizientundkostengünstig wie möglich zu halten.
Level der Automation
Die Verbindung von RPA und künstlicher In-telligenz bildet die nächste Stufe der Auto-matisierung – Systeme treffen eigene Ent-scheidungen, lernen dazu und optimieren Vorgänge selbstständig. Dabei kann KI Auf-gaben zuweisen, die anschließend von RPA ausgeführt werden. Die Software-Roboter stellen die Hände für das Großhirn, die ko-gnitiven Systeme, bereit. In Zukunft könn-ten Automatisierungslösungen zum Beispiel nochmehrbeiderÜberwachungvonpflege-bedürftigen Menschen mitwirken. Oftmals erweistessichzunächst jedochalsausrei-chend und vor allem sinnvoller, RPA allein einzusetzen: Die Automatisierungslösung verwendet – wie ein vegetatives Nervensys-
Smarte Systeme wirken sich auf unseren berufl ichen wie privaten Alltag aus. Künstliche Intelligenz (KI) bildet die Grundlage für sämtliche Technologien, die Menschen tagtäglich nutzen. Die Digitalisierung fordert von Unternehmern eine Neuorientie-rung und Umstrukturierung ihrer Geschäftsprozesse, veraltete Technik weicht neuen Systemen. Beim Einsatz von modernen Technologien spielt außerdem der Schutz von Gesundheitsdaten eine große Rolle, ebenso wie die Qualität der Patientenver-sorgung. Viele Branchen setzen bereits auf die Automatisierung von Geschäftsprozessen mithilfe von Robotic Process Auto-mation (RPA) oder gar künstlicher Intelligenz. Eine gute Lösung auch für das Gesundheitswesen?
39IT-SICHERHEIT [5/2019]
INTERNET DER DINGE
tem – unkomplizierte, regelbasierte Abläufe, ist einfach zu programmieren und besticht durch gut nachvollziehbare Abläufe.
Sowohl das Training als auch die Ausfüh-rung sind deutlich weniger aufwendig als die Einführung von KI, denn diese ist, an-ders als viele denken, keinesfalls von An-fang an „intelligent“. Die Programmierung erfordertmühseligeArbeitsowiegefilterteund stark aufbereitete Daten, um der Auto-mation das selbstständige Lernen beizubrin-gen. Nur so lässt sich die Gefahr vermeiden, dass das System etwas Falsches lernt. Risi-ken, wie mangelndes Verständnis für getrof-fene Entscheidungen der KI oder eventuel-le Verletzungen des Datenschutzes, gilt es schonzuProjektbeginnaufzuklärenundzuvermeiden. Nur mit viel Erfahrung und Auf-wand gelingt es, den Bot dazu zu bringen, Entscheidungen zu treffen, daraus zu lernen und die Programmierung selbstständig zu ändern, um schlussendlich den Pflegeauf-wand zu minimieren.
KI noch Zukunftsmusik
Aktuell stellen also sowohl das Zusammen-tragen und Aufbereiten der Daten als auch das Training der KI noch einen enormen Zeit-aufwand dar. Ausschlaggebend hierfür ist das typischerweise sehr individuell gestal-tete Umfeld von Unternehmensprozessen, bei dem vortrainierte Systeme an ihre Gren-zen stoßen. Auch wenn es in einigen Berei-chen bereits erfolgreiche Use-Cases gibt, bei denen Standardanwendungen durch einen grundsätzlichen Prozess bedient werden können und eine maßstäbliche KI mögli-cherweise sinnvoll einsetzbar wäre, zählen dieseProjektederzeitnochzudenAusnah-men. Wer RPA allerdings schon erfolgreich eingesetzt hat, kann die Erfahrungen und die in der Anwendungszeit durch das Tool generierten Daten nutzen, um gegebenen-falls zu einem späteren Zeitpunkt auch kog-nitive Systeme einzuführen.
Heute trifft KI eher in einer nebengeordne-ten Rolle auf RPA – dort, wo große Daten-mengen verarbeitet werden, etwa in der Ver-waltung, bei Lohn- und Gehaltsabrechnung oder im Personalwesen. Mithilfe von Opti-cal Character Recognition (OCR) extrahiert
KI Daten aus unstrukturierten Texten wie zum Beispiel E-Mails oder auch Patienten-akten. Diese werden an einer bestimmten Stelle abgelegt und unter Einsatz einer Big-Data-Analyse oder Mustererkennung aufbe-reitet. So kann das RPA-Tool die Informatio-nen verwenden, um regelbasierte Prozesse durchzuführen.
Neuer Faktor IoT
Neben den etablierten Bereichen der klas-sischen Patientenversorgung durch aktive Unterstützung und Diagnostik in Form von medizinischen Geräten fließen vermehrtauch Themen rund um das Internet of Things (IoT) in die Medizintechnik ein. Beispiels-weise können Patienten heute Zuckerwerte durch entsprechende Implantate ermitteln und weiterleiten oder kontinuierlich Daten über Herzrhythmusstörungen mithilfe von Mini-EKG-Implantaten drahtlos an ein End-gerät senden. Selbst auf den altbewährten Herzschrittmachernimmtdas IoTEinfluss.Wie geht es nun von dort weiter? Wie und durch wen lassen sich diese Daten zukünf-tig in der Summe weiterverarbeiten? Auch direkte Schnittstellen bilden nicht immer die ideale Lösung und bringen sogar die eine oder andere Gefahr mit sich. Aufgrund in der Vergangenheit bekannt gewordener Si-cherheitslücken im Bereich Gesundheitsda-ten könnten Patienten skeptisch reagieren, wenn es darum geht, ihr eigenes Gerät über direkte Schnittstellen via Internet mit dem behandelten Arzt zu verbinden.
Eine weitere Herausforderung: Zwischen lo-kaler Nutzung der Daten durch den Patien-ten und einer potenziellen Weiterverwertung durch den Hersteller beziehungsweise Kran-kenkassen können Medienbrüche aufgrund kurzfristig fehlender Schnittstellen die Über-tragung der Daten in bestehende Systeme kappen. Bis ein solcher Medienbruch mithil-fe von integralen Schnittstellen beseitigt ist, kann RPA eine Brücke bilden, um entspre-chende Informationen in die Netzwerke zu importieren. Immer dort, wo Daten derzeit noch manuell eingegeben werden, können Software-Roboter eine potenzielle Lösung zur Automatisierung darstellen. Selbst wenn RPA nur temporär Abhilfe schafft, ermögli-chen die Bots aufgrund überschaubarer
Zeit- und Kostenaufwände dennoch oftmals einen positiven Business Case.
Datenschutz im Fokus
Zahlreiche Betriebe befinden sich derzeitnoch nicht in einem Stadium, in dem sie Automation auf Basis von KI sinnvoll ein-setzen können – ihnen mangelt es an der notwendigen Datenquantität und -qualität. Andere scheitern am fehlenden Wissen rund um die Anwendung oder leiden unter einer unzureichenden Unternehmensstrategie beziehungsweise Restriktionen. Der Einsatz von künstlicher Intelligenz bedeutet immer auch, sich intensiv mit dem Thema Daten-schutz auseinanderzusetzen. Je mehr Infor-mationen zum Training einer KI notwendig sind, desto eher kommt es zur Überschrei-tungderfirmeninternenDatenschutzgren-zen – gerade wenn es um hochsensible In-formationen aus dem medizinischen Bereich geht. Die Verantwortlichen müssen den aus-reichenden Schutz der zu bearbeitenden Da-ten ganz nach oben auf die Agenda setzen und jederzeitgewährleisten,bevorKIsichals Game Changer etabliert.
Nicht zuletzt kämpfen einige Betriebe mit einer weiteren Herausforderung, die den Einsatz von kognitiven Systemen erschwert: eine über lange Jahre gewachsene, subopti-malgepflegteIT-Landschaft,dieeinenun-überschaubaren Komplexitätsgrad indivi-dueller Prozesse hervorgebracht hat. Den einzig sinnvollen Weg in das Zeitalter der künstlichen Intelligenz stellt in den meisten Fällen also tatsächlich einVorprojekt zurProzessoptimierung mit RPA dar. Insgesamt bietetAutomationjedochdieChance,auchdie Entwicklungen im Gesundheitswesen maßgeblich zu unterstützen und die Bran-che voranzutreiben. n
ALEXANDER STEINER, Chief Solution Architect der meta:proc
Die Vorteile von Industrie 4.0 sind mittlerweile für alle produzierenden Unternehmen greifbar – selbst wenn sie ältere Maschi-nenparks betreiben. Möglich wird das durch innovative Lösungskonzepte zur Anbindung bestehender Betriebsmittel an das Internet of Things (IoT). Beispiele sind die Erhebung von Anlagendaten direkt an der Maschine und die anschließende Aus-wertung mithilfe von Business Intelligence. Die erforderlichen Soft- und Hardwarelösungen lassen sich leicht nachträglich in-tegrieren – zum Beispiel durch spezialisierte IT-Dienstleister, die in Kooperation mit Herstellern von Verbindungstechnik und Sensorik alle Komponenten aus einer Hand liefern. Im Ergebnis können Unternehmen die Effi zienz ihrer Produktion erheblich steigern und Prozessabläufe kontinuierlich optimieren.
Wie das IoT in der Industrie Wirklichkeit wird
Erfolgreich zur Smart Factory
40 IT-SICHERHEIT [5/2019]
In Echtzeit nachverfolgen, wo sich ein be-stimmtesObjektbefindet,undheuteBau-teile austauschen, die morgen defekt wä-ren: Die Vernetzung industrieller Anlagen eröffnet vielfältige Potenziale und schafft größtmögliche Transparenz bezüglich der Produktionsvorgänge. Die gewonnenen Informationen helfen dabei, betriebswirt-schaftliche Fragestellungen zu beantwor-ten – beispielsweise, ob sich die Auslage-rung eines bestimmten Prozessschritts lohnt oder aus welchen Gründen eine Maschine nicht die volle Leistung erbringt. Mithilfe von Industrie-PCs und individuell auf die erforderliche Anwendung zugeschnittener Business-Intelligence-Software lassen sich Maschinen undAnlagen jedenAlters ver-
netzen. Das ermöglicht es Mittelständlern, am Internet der Dinge zu partizipieren, ohne die enorme Investition in einen State-of-the-Art-Maschinenpark tätigen zu müssen. Als Systemintegratoren liefern IT-Architektur-häuser die gesamte erforderliche Infrastruk-tur aus einer Hand – von der Soft- und Hard-ware über die IT-Security bis hin zu stabilen WLAN-Netzwerken.
Retrofit – der Weg zur intelligenten Maschine
Eine einfache Lösung, bestehende Anlagen undMaschinenparksfitfürIndustrie4.0zumachen,istdasRetrofitmithilfesogenann-ter Edge-Computing-Systeme. Diese werden
direkt an der Maschine angebracht, wo sie Anlagendaten, wie Temperaturen, Drücke oder Schwingungen, zentral erfassen und auswerten. Nur relevante Informationen – zum Beispiel Messwerte außerhalb eines definiertenToleranzbereichs–werdenan-schließend an zentrale Datenbanken wei-tergeleitet. „Manche Roboter erzeugen vier Gigabyte Daten pro Sekunde. Eine solche In-formationsflutkannnichtvollständigerfasstund historisiert werden. Die Edge-Compu-ting-Systeme agieren hier als Gatekeeper“, erklärt Robert Brockbals, Divisionsleiter Business Solutions bei der SIEVERS-GROUP. Das entlastet die Datennetze und verrin-gert die Latenz. Die Messwerte der einzel-nen Maschinen werden in einer Datenbank
INTERNET DER DINGE
zusammengefasst und mit Daten aus ERP-, CRM- oder BDE-Systemen verknüpft. Auf dieser Basis lassen sich die Informationen mithilfe von Business-Intelligence-Lösun-gen für Reportings, Planungen oder Simu-lationen nutzen. Treten an einer Maschine Anomalien auf, können Unternehmen sofort reagieren und mögliche Stillstände vermei-den. In Kombination mit betriebswirtschaft-lichen Informationen zu Produktion oder Ab-satz lassen sich aus den Anlagendaten aber auch Optimierungspotenziale für die gesam-te Fertigung ableiten.
Stabilität und Sicherheit als Grundvoraussetzungen
Durch die Vernetzung von Produktionsan-lagen entstehen im industriellen Umfeld in einem großen Umfang Datenströme, die es zu leiten und zu sichern gilt. Im Rahmen von Industrie-4.0-Konzepten stellen IT-Ar-
chitekturhäuser dazu auf Wunsch stabile WLAN-Netzwerke und belastbare Security-Konzepte bereit. Die Schaffung eines hoch-verfügbaren Netzes ist die Grundvorausset-zung für die smarte Fabrik. Nur so lassen sich große Datenmengen verarbeiten, die einen Einblick in den Status quo der Fabrik ermög-lichen. Um Produktionsanlagen mit verlässli-chem Wi-Fi auszustatten, kommen Technolo-gien wie Radiating Cable zum Einsatz. Diese
Schlitzkabel funktionieren wie eine Antenne mit gleichmäßiger Abstrahlung. So wird eine lückenlose Netzabdeckung mit Highspeed-WLAN von bis zu 150 MBit/s erreicht. EsgibtzudemanwenderspezifischeFaktoren,die eine Verwendung von Schlitzkabeln er-fordern. Beispielsweise gibt es bestimmte Werkstoffe, die herkömmliche WLAN-Signa-le absorbieren. Dazu gehört unter anderem Aluminium.
INTERNET DER DINGE
◀ In Echtzeit nachverfolgen, wo sich ein be-stimmtes Objekt befi ndet und heute Bauteile austauschen, die morgen defekt sind: Die Vernetzung industrieller Anlagen eröffnet vielfältige Potenziale und schafft größtmögliche Transparenz über die Produktionsvorgänge. (Foto: iStock)
Manche Roboter er-zeugen vier Gigabyte Daten pro Sekunde. Eine solche Informationsflut kann nicht vollständig erfasst und historisiert werden. Die Edge-Computing-Systeme agieren hier als Gatekeeper.“
Robert Brockbals, Divisionsleiter Business Solutions
bei der SIEVERS-GROUP. (Foto: SIEVERS-GROUP)
Manche Roboter er-zeugen vier Gigabyte
Anzeige
Hinterfragen. Neudenken. Anpacken.Veränderung beginnt im Kopf!
www.digitalmindchange.de
24. Oktober 2019BMW Welt München
Veränderung beginnt im Kopf!
// 30+ Speaker// 30h Sessions// 650+ Teilnehmer// 360° Digitalisierung
42 IT-SICHERHEIT [5/2019]
Sobald die Produktionsanlage vernetzt ist, gilt es, die sensiblen Daten im Maschinen-park gegen externe Angriffe zu schützen. Insbesondere für hochspezialisierte mittel-ständische Unternehmen mit führendem Know-how wird IT-Security zu einem im-mer wichtigeren Thema. „Um die Datensi-cherheit unserer Kunden stets im Blick zu haben, nehmen wir ein aktives Monitoring auf der Systemumgebung vor und betreiben eine Security-Leitstelle, die 24/7 verfügbar ist“, sagt Brockbals. Als weitere Maßnah-me zur Härtung der Sicherheit bieten sich Angriffssimulationen (Penetrationstests) an. Damit lassen sich Schwachstellen wie bei-spielsweise offene Firewall-Ports aufdecken. Im Nachgang erhält der Kunde ein Protokoll sowie eine Risikobewertung, sodass akute Sicherheitslücken schnell beseitigt werden können.
Transparenz als Schlüssel zur Effizienz
Die Vernetzung und Überwachung eines bestehenden Maschinenparks erschließen Unternehmen im Wesentlichen über vier Anwendungsbereiche von Industrie 4.0: Condition Monitoring, Energy Management, Asset Tracking und Predictive Maintenance. Das Ziel ist immer der bedarfsgerechte Ein-satz von Betriebsmitteln.
Beim Asset Tracking, der permanenten ana-lytischen Inventur von Werkzeugen, werden ObjektemittelsRFIDdurchgehendgeortet.Auf diese Weise können Unternehmen den Einsatz wertvollen Equipments optimal ma-nagen und einen Zeit- und Kostenaufwand vermeiden, der bei der Suche oder dem Ver-lust benötigter Werkzeuge entsteht. „Intel-ligente“ Gegenstände erfassen permanent Daten über ihren Zustand oder die Umge-bung und sind in der Lage, mit ihrem Bedie-ner,anderenObjektensowieICT-Systemenzu kommunizieren.
Beim Condition Monitoring wird so der Zu-stand von Maschinen und Anlagen über-wacht, indem Sensoren Daten über das di-rekteUmfeldeinesObjektssammeln.
Die frühzeitige, bedarfsgerechte Ausrichtung von Wartungszyklen anhand dieser Daten ist das Prinzip der Predictive Maintenance (deutsch: vorausschauende Instandhaltung). DajederAnwenderseineMaschineandersnutzt, ist es vorteilhaft, den Verschleiß mit dieser Technologie präzise und individuell kalkulieren zu können. Analysesoftware er-fasst dabei die Sensordaten, wertet sie aus und erkennt frühzeitig einen möglichen Aus-fall von Komponenten. Defekte Bauteile, die den baldigen Stillstand einer Anlage zu ver-ursachen drohen, können erkannt und aus-getauscht werden, bevor ein tatsächlicher Schaden entsteht. Das damit verbundene Einsparpotenzial ist riesig, da neben einer Verkürzung von Stillstandszeiten auch der Stromverbrauch reduziert und Wartungs-kosten gesenkt werden.
Das ist auch im Hinblick auf das Energy Ma-nagementvonBedeutung,daseineEffizi-enzmaximierung durch die Einsparung von Energiekosten ermöglicht. Energiedaten können zudem auf einen zu erwartenden Defekt hinweisen – etwa, wenn eine Ma-schine unnötig viel Energie verbraucht, weil eines der Bauteile abgenutzt ist.
Retrofit in der Praxis
Ein Unternehmen, das die Vernetzung sei-nesMaschinenparksmithilfederRetrofit-Methode bereits erfolgreich abgeschlossen hat, stammt aus der kunststoffverarbeiten-den Industrie. Die verwendete neue Senso-
rik untersucht nun die Spritzgussmaschi-nen,dieflüssigenKunststoffproduzieren,kontinuierlich auf Verschleiß. Die Heraus-forderung: Das Spritzen des Kunststoffes in die Formen muss mit konstanter Geschwin-digkeit erfolgen, damit eine gleichmäßige Befüllung gewährleistet wird. Im Kunststoff befindensichjedochGlasfaserpartikel,de-ren Körnung für Abrieb sorgt. Wenn dieser Verschleiß eintritt, dreht sich die Spritz-gussmaschine schneller, um eine gleich-mäßige Fließgeschwindigkeit zu erreichen. Dadurch entsteht mit der Zeit ein übermä-ßiger Energieverbrauch. „Anhand der Ener-giedaten lässt sich prognostizieren, wann ein Bauteil getauscht werden sollte, um den Verbrauch wirtschaftlicher zu gestal-ten und einen drohenden Defekt zu verhin-dern“, erläutert Brockbals. Der Schritt ins Internet der Dinge ermöglicht dem Anwen-der auf diese Weise eine wirtschaftliche und zuverlässige Kunststoffproduktion. n
CHARLOTTE V. SPEE, Journalistin
In Kombination mit betriebswirtschaftlichen Informationen zu Produktion oder Absatz lassen sich aus den Anlagendaten Optimierungspotenziale für die gesamte Fertigung ableiten. (Foto: iStock)
INTERNET DER DINGE
Künstliche Intelligenz für die EnergiewirtschaftWie KI mit Mehrwert bereits eingesetzt wird
13. November 2019, Köln
• Grundlagen für die Anwendung von Maschinellem Lernen
• Überblick: Anwendungsgebiete von KI in der Energiewirtschaft
• Von der Idee zum Projekt – Umsetzung im Unternehmen
• Datenbasierte Geschäftsmodelle mit Smart Metern
• Künstliche Intelligenz im Vegetationsmanagement
• KI leben: Erarbeitung einer unternehmensweiten KI-Strategie
Cybersicherheit für die EnergiewirtschaftBedrohungen erkennen und abwehren
4. Dezember 2019, Düsseldorf
• Das neue IT-Sicherheitsgesetz 2.0• KRITIS-Schutz – Welche Maß-
nahmen sind empfehlenswert?• Blick auf die Täter – Aktuelle
Bedrohungslage und Straf - verfolgung
• Sicherheit ganzheitlich gedacht – Der Nationale Pakt Cybersicherheit
• Mitarbeiter schulen – Der Faktor Mensch in der Cybersicherheit
• Prevention, Detection, Response – Handeln im Ernstfall
• Cyber-Versicherungen – Was steckt genau drin?
www.ew-online.de/cybersicherheit192
Ansprechpartner:Sebastian SchmückeM.A. | Projektmanager Bereich Tagungen/ Konferenzen
Telefon 0 30/ 28 44 94-213Telefax 0 30/ 28 44 [email protected]
EW Medien und Kongresse GmbH Reinhardtstraße 32 10117 Berlin
IT-Sicherheit in der BeschaffungUmsetzung des BDEW/OE-Whitepaper
3. Dezember 2019, Düsseldorf
• Das BDEW/OE Whitepaper – Ein inhaltlicher Überblick
• Überprüfung der Umsetzung beim Lieferanten
• Anforderungen an Technologie-kategorien und deren Wechsel wirkungen
• Praktische Erfahrungsberichte – Arbeiten mit dem Whitepaper
• Security-Abnahmetests für BDEW/OE Whitepaper Anforderungen
• Umsetzung: Möglichkeiten und Feedback der Hersteller
www.ew-online.de/itsibewww.ew-online.de/kiew
BDEW Bundesverband der Energie- und Wasserwirtschaft e.V.
Melden Sie sich jetzt an!
Buchen Sie die Veranstaltungen am 3. + 4.12.19 im Paket und erhalten Sie 20% Rabatt auf eines der Tickets!
Aktuelle IT-Veranstaltungen
BDEW_AZ_181x260_3er-Kombi.indd 1 13.09.19 10:37
44 IT-SICHERHEIT [5/2019]
Professionelle Penetrationstester (Pentester) versuchen stets, sich Zugang in ein Organisationsnetzwerk zu verschaffen. Schon die unterste Zugriffsebene kann für das erfolgreiche Eindringen ausreichen. Eine der besten Möglichkeiten und vor allem auch die einfachste ist die Verwendung eines Passworts. Aber wie kommen Pentester an Passwörter? Indem sie etwas ganz Einfa-ches machen: sie raten – zielgerichtet und auf Erfahrungswerten basierend. Denn sie kennen aus Erfahrung die typischen Passwörter und Passwortsysteme, die Mitarbeiter gerne wählen, und haben damit Erfolg. Doch es gibt wirkungsvolle Mög-lichkeiten, das Risiko eines nicht autorisierten Zugangs zu minimieren.
Folgende Analysen beruhen auf einem Satz von etwa 130.000 anonymen Organisa-tions- beziehungsweise Mitarbeiter-Pass-wörtern. Sie sind frei von persönlichen und organisationsspezifischen Informationen,stammen aus den internen Domainverwal-tungen und sind nur wenigen Personen zu-gänglich. Die gesammelten Daten sind rela-tiv neu: Die meisten der Passwörter wurden von den Benutzern 2017 oder 2018 ausge-wählt. Auch doppelte Passwörter wurden aufbewahrt, damit analysiert werden konn-te, wie oft bestimmte Passwörter und Pass-wortmuster in den verschiedenen Organisa-tionen verwendet werden. Es handelt sich um echte Passwörter, die von echten Per-sonen an ihren persönlichen Arbeitsplätzen verwendet wurden und werden.
Passwörter und Passwortmuster sollten komplex und sicher sein. Tatsächlich aber sind das die meisten nicht.
CYBERSICHERHEIT
Aus dem Schatzkästchen eines Pentesters
Strategien zum Schutz gegen das Passwort-Hacking
Die drei gängigsten Passwortmuster
Es gibt drei sehr gebräuchliche Passwör-ter. Das erste würden die meisten Leute schnell erraten, denn es ist: „Password“! Um fair zu sein, gibt es viele Varianten von „Password“ wie Password1, Password123, Password2, Password1! und viele andere. Password1istdashäufigste.SamtallerVa-riationen und einigen kleinen Dekoratio-nenstelltesdasamhäufigstenverwendetePasswortmuster dar mit 4.001 von 129.812 Einträgen, was rund drei Prozent aller Pass-wörter sind.
Das nächste Passwortmuster ist vielleicht nicht so offensichtlich, aber wenn man sich den Denkprozess des Benutzers vor Augen führt, macht es Sinn. Die gängigsten Fir-men-Passwortrichtlinien verlangen, dass die Mitarbeiter ihr Passwort alle 90 Tage
ändern. Und was ändert sich noch alle drei Monate? Die Jahreszeit! Viele Menschen haben also ein System „erfunden“, bei dem sie ein Passwort verwenden, das leicht zu merken ist und sich nie wiederholt, da sie einfach die aktuelle Jahreszeit wählen und das Jahr anhängen: Winter2018, Sum-mer2017! und Spring16! Wir zählen ins-gesamt 1.788 solcher Passwörter, sprich 1,4 ProzentallerPasswörter.
Das dritte Passwortmuster enthält kein bestimmtes Wort, ist aber mit knapp fünf Prozent die häufigste Namensgebung, nämlich der Name der Organisation. Wir haben insgesamt 6.332 Passwörter gefun-den, die den Namen der Firma enthielten. Sie sind in der Regel aus dem Firmennamen und den Variationen wie bei „Password“ zusammengesetzt. Beispiele sind Compa-ny123!, Company1, C0mp@ny1 oder Com-pany2018. Bi
ld: ©
dep
ositp
hoto
s.com
/sbo
tas
45IT-SICHERHEIT [5/2019]
CYBERSICHERHEIT
Diese drei Passwortmuster machen rund zehn Prozent der Passwörter aus. Oder an-ders gesagt: Jedes zehnte Passwort ent-spricht diesen Mustern. Ein bösartiger Akteur braucht möglicherweise nur ein einziges Passwort, um Zugang zu einem Netzwerk zu erhalten. Bei einer Organisa-tion mit 100 Mitarbeitern besteht also eine gute Chance, dass fünf den Firmennamen verwenden, drei mit dem Wort „Password“ herumspielen und ein oder zwei die aktuelle Jahreszeit und das aktuelle Jahr einsetzen. DieGefahreinerkorrektenPasswortverifi-zierung und eines unbefugten Eindringens wird somit unmittelbar.
Einfache Passwortmuster machen es Hackern leicht
Bei Penetrationstests wird häufig festge-stellt, dass die minimale Passwortlänge in der Firma auf acht Zeichen festgelegt ist. Eine Sache, die auffällt, ist, dass sich oft ein Mitarbeiter genau an diese Mindestlänge hält. Eine Auswertung der Passwortlänge ergibt folgendes Bild:
� 8 Buchstaben: 46,0 Prozent � 10 Buchstaben: 17,9 Prozent � 9 Buchstaben: 17,2 Prozent � 11 Buchstaben: 6,4 Prozent � 7 Buchstaben: 4,2 Prozent � 12 Buchstaben: 3,5 Prozent � 6 Buchstaben: 2,2 Prozent � 13 Buchstaben: 1,6 Prozent
Es stellt sich heraus, dass die acht Zeichen nicht nur am häufigsten verwendet wer-den,sondernauchhäufigervorkommenalsdie nächsten vier zusammen! Ein cleverer Passwort-Hacker wird sich mit ziemlicher Si-cherheit auf Passwörter mit acht Buchsta-ben konzentrieren.
Eine Analyse der verwendeten Zeichenmus-terzeigt,welcheZeichenanjederPositionverwendetwerden,wo jemand lieberdenGroßbuchstaben, die Ziffer, das Sonderzei-chen und die Kleinbuchstaben platziert. Menschen neigen dazu, ihr Passwort mit ei-ner Ziffer zu beenden. Acht der zehn wich-tigsten Passwortmuster enden mit einer Zif-fer. Aber welche Ziffer?
� 0: ca. 23.000 Personen � 1: ca. 45.000 Personen � 2: ca. 30.000 Personen � 3: ca. 32.000 Personen � 4: ca. 28.000 Personen � 5: ca. 27.000 Personen � 6: ca. 25.000 Personen � 7: ca. 29.000 Personen � 8: ca. 25.000 Personen � 9: ca. 22.000 Personen
Wenn sie eine Ziffer verwenden sollen, kle-ben die meisten Mitarbeiter einfach eine „1“ ans Ende. Wir haben das bereits bei Password1 und Firma1 gesehen. Doch was ist, wenn es am Ende mehr als eine Ziffer gibt, was verwenden sie dann? Hier die Fa-voriten.
� 23: 2,60 Prozent � 09: 2,47 Prozent � 18: 2,32 Prozent � 17: 1,59 Prozent � 12: 1,56 Prozent � 01: 1,40 Prozent � 11: 1,25 Prozent
Das Top-Ergebnis „23“ weist auf ein ande-res Muster menschlicher Entscheidungen hin. Das zeigt auch die Analyse der letzten drei Ziffern.
� 123: 2,13 Prozent � 009: 2,13 Prozent � 018: 1,17 Prozent � 017: 0,87 Prozent � 234: 0,75 Prozent � 016: 0,53 Prozent
Es wird deutlich, dass Menschen gern ein sehr einprägsames Zahlenmuster am Ende eines Passwortes, nämlich 123, verwenden. Vielleicht ist das die Länge eines kurzen fünfstelligen Passworts? Vielleicht macht man das so, damit man nicht nur eine ein-zige Ziffer verwendet, da man denkt, dass drei Ziffern (irgendwie) besser sind? Doch wie sieht es aus, wenn am Ende vier Ziffern stehen? Überraschenderweise taucht dabei ein neuer Kandidat auf:
� 2009: 2,10 Prozent � 2018: 1,15 Prozent
� 2017: 0,85 Prozent � 1234: 0,71 Prozent � 2016: 0,51 Prozent
Wenn am Ende vier Ziffern verwendet wer-den, dann sind es Jahreszahlen. Aber 1234 ist natürlich auch dabei. Bei Penetrations-tests lassensichhäufigMustermiteinemJahramEndedesPasswortsfinden,wiebei-spielsweise Summer2018. Das Top-Ergebnis „2009“bleibtjedocheinwenigrätselhaft,dadiemeistenjahresähnlichenMusteraufdie letzten Jahre hinweisen. Aber dies kann von einem einzigen Penetrationstest her-kommen, bei dem eine große Anzahl von Legacy-Accounts erfasst wurden, die seit mehreren Jahren keine Passwort-Rotation mehr gesehen haben. Oder diese Passwör-ter können zu Mitarbeitern gehören, die alle acht oder neun Jahre alte Kinder haben. Das Rätsel ist schwer zu lösen angesichts der Datenanonymisierung, die durchgeführt wird, bevor diese Passwörter zum Passwort-Pool hinzugefügt wurden. Bei fünf Ziffern am Ende kehrt das Muster mit sequentiel-len Ziffern zurück, beginnend mit „12345“.
� 12345: 0,14 Prozent � 23456: 0,10 Prozent � 12334: 0,06 Prozent � 34567: 0,04 Prozent � 45678: 0,02 Prozent � 11111: 0,02 Prozent
Das Verhalten der Menschen ist bei Passwörtern vorhersehbar
Zusammenfassend zeigen die hier gesam-melten und präsentierten Daten, dass das Verhalten der Menschen vorhersehbar ist, wenn sie selbst ihre Passwörter erstellen. Sie müssen sich eine Menge Passwörter merken und haben vielleicht gehört, dass die Wiederverwendung von gleichen Pass-wörtern eine schlechte Idee ist. Also ver-wenden sie ein Passwortmuster, das ein-prägsam ist, beispielsweise mit dem Namen der Firma als Basiswort.
Penetrationstester betonen ständig die Be-deutung einer starken Passwortrichtlinie für die Organisation und empfehlen vor
46 IT-SICHERHEIT [5/2019]
allem die Zwei-Faktor-Authentifizierung(2FA).DochhäufigwerdendieseEmpfeh-lungen übersehen oder nicht beachtet. Das Ergebnis:EinerderhäufigstenGründe,wa-rum Hacker auf Systeme und Netzwerke zu-greifen können, um sensible Informationen zu erobern, sind schwache Passwörter auf-grund schwacher Passwortrichtlinien.
PasswortDumps sind eine weitere Gefahrenquelle
Bei Penetrationstests werden die unter-schiedlichsten Techniken verwendet. Dazu gehört die Suche nach online veröffent-lichten Zugangsdaten, möglicherweise in öffentlichen Passwort-Dumps, sprich Pass-wort-Deponien. Sie bestehen aus umfang-reichen Listen mit oft Millionen von Nut-zername-Passwort-Kombinationen, die sich Datendiebe gegenseitig zur Verfügung stel-len.
In Rahmen eines Penetrationstests auf eine Webanwendung konnte eine Reihe von E-Mail-Adressen und Passwörtern in einem öffentlichen Passwort-Dump gefunden wer-den. Mit dieser Liste wurde ein Anmeldever-such durchgeführt und siehe da: Eine der im Passwort-Dump aufgeführten Zugangs-berechtigungen hat im Organisationsnetz-werk funktioniert. Dass ein solches Pass-wort gefunden wurde, liegt wahrscheinlich daran, dass der Benutzer Passwörter auf verschiedenen Websites wiederverwendet und sein Firmenpasswort nach dem Hacking einer anderen Website nicht geändert hat.
Mit dem Zugriff auf das Konto konnte eine große Menge an Kunden-Daten sowie Fi-nanzinformationen aus dem E-Mail-Post-eingang des betroffenen Benutzers he-runtergeladen werden. Interessanterweise hatte der Benutzer die Organisation bereits verlassen, so dass der Zugang in andere Or-ganisationsbereiche entfernt wurde. Den-noch war der E-Mail-Posteingang immer noch vollständig zugänglich. Darüber hi-naus konnten hier weitere interessante In-formationen gesammelt werden, darunter eine Liste von internen Usern, die aktuelle Kennwortrichtlinie für die Webanwendung und viele weitere vertrauliche Informatio-nen. Ein bösartiger Akteur hätte zudem die-
se verlassene E-Mail-Adresse als „vertrau-enswürdiges Konto“ für Phishing-Aktionen bei anderen Usern sowohl intern wie extern verwendet.
Erkennung und Verteidigung
Penetrationstester haben selten mehr als zwei Wochen Zeit, um eine bestimmte Ziel-organisation oder eine bestimmte Zielper-son zu analysieren und zu kompromittieren. Das enge Zeitfenster begrenzt notwendi-gerweise die Möglichkeit für Angriffe, zu-dem ist die gesamte Organisation in Alarm-bereitschaft. Trotz dieser Einschränkungen blieben gut 61 Prozent der Einsätze unent-deckt:
� Entdeckung innerhalb einer Stunde: 8,0 Prozent
� Entdeckung innerhalb eines Tages: 22,5 Prozent
� Entdeckung innerhalb einer Woche: 8,0 Prozent
� Keine Entdeckung: 61,4 Prozent
Wenn der Penetrationstester nicht inner-halb eines Tages erkannt wird, ist es un-wahrscheinlich, dass seine bösartigen Ak-tivitäten überhaupt erkannt werden. Die Erkennungsraten in großen und kleineren Organisationen sind unterschiedlich:
Große Organisation � Entdeckung innerhalb einer Stunde: 12,0 Prozent
� Entdeckung innerhalb eines Tages: 23,9 Prozent
� Entdeckung innerhalb einer Woche: 6,5 Prozent
� Keine Entdeckung: 56,5 Prozent
Kleine Organisation � Entdeckung innerhalb einer Stunde: 5,6 Prozent
� Entdeckung innerhalb eines Tages: 23,6 Prozent
� Entdeckung innerhalb einer Woche: 7,6 Prozent
� Keine Entdeckung: 63,2 Prozent
Penetrationstester bleiben also in kleinen Organisationen (weniger als 1.000 Be-schäftigte) häufiger unentdeckt (63 Pro-
zent) als in großen Organisationen (57 Prozent).DieserUnterschied ist einenähere Betrachtung wert. Große Organisa-tionen haben in der Regel mehr Ressour-cen, um sich zu schützen, aber größere, komplexere Organisationsnetzwerke bie-ten in der Regel auch mehr Möglichkeiten, um Schwachstellen, Fehlkonfigurationenund schwache Anmeldeinformationen zu finden.SiehabennatürlichauchgrößereIT-Budgets und oft erfahrenere Mitarbeiter, was die Gefahrenerkennung deutlich ver-bessern sollte. Aber ehrlich gesagt, ist das Gesamtdelta der Erkennungsrate mit sechs Prozent nicht sonderlich groß, und sowohl große als auch kleine Organisationen tä-ten gut daran, ihre Erkennungsfähigkeiten noch einmal stark zu überprüfen.
Verwaltung von Zugangsberechtigungen ist gefordert
Die Eroberung von Zugangsdaten ist in der Regel die einfachste Methode, ein Netz-werk zu gefährden. Auf den ersten Blick sollteeshierjedochziemlicheinfachsein,einige grundlegende Kontrollen bei der Ver-waltung von Benutzerkonten einzuführen, um die Organisation zu schützen. Leider ist das nicht der Fall. Zum Beispiel gehört das (zeitweilige) Sperren eines Kontos nach ei-nerdefiniertenAnzahlvonfehlgeschlage-nen Passwortversuchen (oft fünf) zu den ältesten automatisierten Sicherheitstechni-ken.DielegendäreSperreistjedochrelativselten:
� Kontosperrung hatte keine Auswirkung: 60,8 Prozent
� Es gab keine Kontosperrung: 16,2 Prozent
� Kontosperrung hat das Kompromittieren nur verzögert: 16,2 Prozent
� Der Angreifer wurde erkannt: 3,8 Prozent
� Der Angreifer wurde daran gehindert, Authentisierungsangriffe zustarten:2,3 Prozent
� Legitime Benutzer wurden ausgeschlossen: 0,8 Prozent
Zur gängigsten Taktik, um Anmeldeinforma-tionen zu gewinnen, gehört „Bruteforcing“, sprich der automatisierte Vorgang, viele,
CYBERSICHERHEIT
TOD BEARDSLEY, Forschungsdirektor bei Rapid7 (Bild: Rapid7)
viele Passwörter pro Konto auszuprobieren. In den Tests, in denen ein Bruteforcing ver-einbartwurde,wurdejedochnurinsiebenProzent aller Fälle der Penetrationstester erkannt,derAuthentifizierungsangriffvoll-ständig abgewehrt oder ein Service-Ausfall ausgelöst. Obwohl Kontosperrungen die Er-oberung von Zugangsdaten zumindest ver-langsamt hätten (um rund 16 Prozent), wa-ren sie entweder ineffektiv oder fanden gar nicht statt (77 Prozent).
ZweiFaktorAuthentifizierung notwendig
Eine wirkungsvolle Anmeldekontrolle ist die Zwei-Faktor-Authentifizierung(2FA).Nach-dem ein Passwort korrekt eingegeben wur-de, wird der Benutzer um eine zusätzliche Information gebeten. Dies ist in der Regel eine kurze Serie von algorithmisch gene-rierten Zahlen, die auf einem gemeinsamen „Geheimnis“ zwischen dem 2FA-Gerät und demauthentifizierendenComputerbasie-ren. Einige Organisationen setzen diese Lö-sung ein, indem sie Mitarbeitern entweder ein spezielles 2FA-Gerät geben oder auch die persönlichen Smartphones der Mitar-beiter verwenden. Obwohl Zwei-Faktor-Au-thentifizierungzumBeispielbeiZahlungs-vorgängen inzwischen Standard ist, wird sie immer noch recht selten in Organisationen angewendet. 2FA war nur bei 15 Prozent al-ler Penetrationstest-Aufträgen präsent und wirksam, die restlichen 85 Prozent verwen-deten diese wirkungsvolle Abwehrstrategie nicht.
Schwachstellen und Fehlkonfigurationsmanagement
Es ist praktisch unvermeidlich, dass ein er-fahrener Penetrationstester mindestens eineSchwachstelleoderFehlkonfigurationentdeckt und sie zu seinem Vorteil nutzt. Das sollte jedochnichtdazu führen,dassIT-, Sicherheits- oder Entwicklungsteams den Mut verlieren. Denn es gibt geeigne-te Strategien, um die Auswirkungen eines erfolgreichen Vorstoßes zu minimieren. Die Hauptwaffe, die bei Penetrationstestern größte Beunruhigung auslöst, ist eine soli-de Netzwerksegmentierung. Wenn man kei-ne logischen Grenzen zwischen den Netz-
werken überschreiten kann, dann kann es äußerst schwierig werden, Workstation-Anmeldeinformationen zu nutzen, um sie zu domänenweiten Administratorrechten zu eskalieren. Selbst wenn ein leistungs-starkes Dienstkonto gehackt wurde, muss der Penetrationstester effektiv wieder mit einem anderen Standbein im Netzwerk be-ginnen, wenn es keinen Pfad zwischen den Zielen gibt.
Darüber hinaus kann der Grundsatz der geringstmöglichen gegebenen Privilegien dazu beitragen, den Schaden einzudäm-men, der durch den Verlust der Kontrolle über dieses Servicekonto entsteht. IT-Ad-ministratoren sollten die tatsächlichen Be-rechtigungsanforderungen für Dienstkonten überprüfen und ein Berechtigungsschema entwickeln, das dem Dienst gerade genug Berechtigungen zur Erfüllung seiner beab-sichtigten Funktion gewährt. Wenn ein be-stimmter Produktanbieter darauf besteht, dass seine Software über die Anmeldedaten des Domain-Administrators verfügen muss, lohnt es sich, ein Gespräch mit diesem An-bieter zu führen, um gemeinsam festzustel-len, welche Benutzerrechte minimal erfor-derlich sind. Für Windows-Umgebungen stellt Microsoft Active Directory die Gruppe „Protected Users“ zur Verfügung, um ins-besondere vor dem Zwischenspeichern von solchen Anmeldedaten auf lokalen Work-stations zu schützen.
Es sollte selbstverständlich sein, in jederOrganisation eine robuste Schwachstel-len- und Patch-Management-Lösung ein-zusetzen. Der Begriff Patch-Management bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen (Updates), beispielsweise um Sicherheits-lücken in Softwareanwendungen zu schlie-ßen. Ein Patch stopft die Sicherheitslücke, behebt Programmfehler und verhindert so den Erfolg von Malware-Angriffen. Viele Endbenutzersysteme sind heute standard-mäßigsokonfiguriert,dasssieautomatischnach Software-Patches suchen und diese anwenden, aber einige Organisationen ha-ben versäumt, die gleiche Strategie auch auf geschäftskritische Server anzuwenden. Obwohl eine Patch-Routine für diese Syste-me nicht unbedingt automatisiert ablaufen
sollte, ist es unerlässlich, dass IT- und Si-cherheitsteams zusammenarbeiten, um si-cherzustellen, dass Patches so schnell und nahtlos wie möglich verteilt werden. Das Patch- und Schwachstellenmanagement sollte als unvermeidliches, routinemäßiges Verfahren eingesetzt werden.
Sicherheit durch geschulte und sensibilisierte Mitarbeiter
Zuguter Letzt sollte in jederOrganisati-on beim Thema Sicherheit eine Kultur des „Etwas-sehen-und-sofort-sagen“ gelebt werden. Das Training von Endbenutzern, um Phishing-Kampagnen, Social Engi-neering-Operationen und andere relativ einfache Angriffstechniken zu erkennen, trägt wesentlich dazu bei, die Reichweite des Sicherheitsteams zu verbessern. Wenn ein Problem erkannt und gemeldet wird, sollte das Sicherheitsteam darauf bedacht sein, nicht nur das Problem anzugehen und zu mildern, sondern auch es öffentlich und positiv zu kommunizieren, sobald es beho-ben ist. Wenn die Menschen ermutigt wer-den, solche Probleme zu melden, werden die dunklen, nicht überwachten Ecken des Netzwerks mehr und mehr schrumpfen. n
Wer sich traut, einen Blick über die Perimetergrenzen des eigenen Unternehmens zu werfen, kann eine oft skurrile Cyberbedrohungslandschaft bestaunen, die mit neuen Technologien, Tools und Prozessen (TTPs) immer neue Ausformungen an-nimmt. IT-Sicherheits-Kartografen haben es hier schwer, gefährliche Landstriche zu vermessen und weiße Flecken auf der Landkarte zu erforschen.
Sicheres Navigieren von digitalen Risiken
Terra Incognita 2.0
48 IT-SICHERHEIT [5/2019]
Dabei wäre das Monitoring von externen di-gitalen Risiken doch so wichtig. Während die Schutzmauer an Next Generation Firewall, VPN und Virenscanner nämlich immer hö-hergezogenwird,findensichimOpen,Deepund Dark Web längst geleakte Passwörter, falsch konfigurierte File-Storage-Diensteoder Fake-Domains. Tatsächlich werden oft gerade die Daten, die Unternehmen zu schützen versuchen, über Dritte, Social Me-dia, mobile Geräte und die Cloud verbreitet und zugänglich gemacht – in den meisten Fällen unwissentlich und unbeabsichtigt. Al-lein 2019 spürte das Photon Research Team von Digital Shadows 2,3 Milliarden solcher vertraulichen Dokumente auf. Dazu zählen persönliche Bankunterlagen, Patientenak-ten, Kundendaten sowie kritische Geschäfts-informationen und Zugangsdaten zu Unter-nehmenssystemen.
Bleiben diese potenziellen Risikoquellen un-beachtet oder unbekannt, ist es nur eine Fra-ge der Zeit bis Datenschutzverantwortliche an die Tür klopfen, kritische Informationen für Angriffe ausgenutzt werden und die Un-ternehmensreputationinSchieflagegerät.
Digitales Risikomanagement umfasst drei zentrale Aufgabenfelder:
� Aufdecken von DatenverlustDas Prototypen-Design auf einer File-Sha-ring-Plattform, das Vorstandsprotokoll auf Facebook und der gerade entwickelte Code als Open-Source-Version im Entwicklerfo-rum – geleakte Daten im Netz gehören zum Albtraum der IT-Sicherheit. Einmal öffent-lich geworden, lassen sich Daten nicht ohne Weiteres aus dem Netz tilgen. Zudem kann es für Unternehmen teuer werden. So kos-tet ein offengelegter Datensatz Unterneh-men durchschnittlich 148 Dollar – Geldbu-ßen aufgrund von Datenschutzverletzungen nicht eingerechnet.
� Schutz der Online-MarkeDer digitale Auftritt eines Unternehmens kann sich schnell in eine Zielscheibe ver-wandeln – egal ob Social Media oder Unter-nehmenswebseite. Cyberkriminelle nutzen mitVorliebeFake-Domains,falscheProfileinden sozialen Netzwerken sowie Fake Apps für Phishing-Kampagnen und kommen so an sensible Daten von Kunden. Für ein Unter-nehmenfindensichproJahrdurchschnitt-lich 290 Fake-Domains im Netz. Wer zeitnah von solchen Kampagnen erfährt, kann vor falschen Profilen und Seiten warnen und Takedown-Verfahren einleiten.
� Verkleinern der AngriffsflächeJe mehr die IT-Infrastruktur wächst, desto schwieriger ist es, mögliche Angriffspunkte zu überwachen. Sicherheitsteams brauchen kontinuierlich Informationen zu Vulnerabi-lities, offenen Ports, falsch konfiguriertenFile-Sharing-Protokollen und problemati-schenZertifikaten.OftfehltesanMöglich-keiten, diese Risiken außerhalb des eignen Netzwerks zu monitoren. Auch die schnelle und automatisierte Weitergabe an die ver-antwortlichen Sicherheitsfachleute ist nicht immer sichergestellt.
VierStufenPlan für digitales Risikomanagement
Wie können also Sicherheitsexperten einen unverfälschten Blick auf die Bedrohungs-landschaft gewinnen und externe digitale Risiken sicher umschiffen?
#1: Konfigurieren – wichtige Key-Assets identifizierenWelche Daten gilt es zu schützen und wa-rum? Um diese zentrale Frage zu beantwor-ten, lohnt es sich, Business-Assets als po-tenzielle Angriffsziele zu behandeln. Neben rein technischen Assets zählen dazu auch Personen (zum Beispiel Kunden, Mitarbei-
CYBERSICHERHEIT
Bild
: © d
epos
itpho
tos.c
om/S
amira
may
migosens – mit Sitz in Mülheim a. d. Ruhr – ist ein spezialisiertes Beratungsunternehmen in den
Bereichen Datenschutzmanage-ment, Informationssicherheit &
Work Smart. Wir entwickeln auf die Unternehmenspraxis des Kunden
zugeschnittene Konzepte und unterstützen deren Umsetzung.
HPP ist eine Strategie- undMarketingberatung mit Sitz in
Frankfurt a. M. und berät seit über 20 Jahren Unternehmen branchenüber-greifend in den Bereichen Strategie und Marketing. Wir verfolgen einen
ganzheitlichen Beratungsansatz: von der ersten Idee bis zur erfolgreichen
Implementierung.
Heiko GossenGeschäftsführer, migosens+49 208 [email protected]
André KöhlerGeschäftsführer, HPP+49 69 [email protected]
Beide Unternehmen haben sich als Team in der business-freundlichen Einführung und initialen Operationalisierung von Datenschutzprozessen bewährt.In unserem Vortrag auf der DAFTA am 20.11.2019 im Lösungsforum (inkl. Online-Stream) zeigen wir Ihnen 5 Fehler auf, die Sie bei der Einführung eines Datenschutzmanagementsystems vermeiden sollten.Wenn Sie mehr erfahren möchten, lernen Sie unspersönlich kennen: Sie finden unseren Stand direkt gegen-über der Gäste-Registrierung.Termine können Sie gerne vorab unter [email protected] oder dafta@hppconsulting.de vereinbaren.
migosens & HPP – Ihre Partner für echtes Datenschutzmanagement
Beide Unternehmen haben sich als Team in der business
Treffen Sie uns auf der DAFTA
ter), Unternehmen (zum Beispiel Partner und Lieferanten) so-wie Systeme und geschäftskritische Anwendungen (zum Beispiel Webseiten, Datenbanken, ERP). Im nächsten Schritt gilt es zu klären,wosichdieseAssetsinderdigitalenWeltwiederfinden,undwiedieseimErnstfalleinesDatenleaksidentifiziertwerdenkönnen. Dateien und Dokumente lassen sich beispielsweise mit festdefiniertenMarkern,wietechnischenWasserzeichenoderSchutzvermerken, taggen.
FürUnternehmenistdieseAuflistungderKey-AssetseineguteTrockenübung, um über potenzielle Angriffsszenarien nachzu-denken.DerKatalogkannsichjeUnternehmenstarkunterschei-den. Was bei der Unternehmensführung ganz oben auf der Liste steht, ist für Angreifer vielleicht gänzlich uninteressant. Andere Assets, wie Social-Media-Accounts, werden auf Unternehmens-seite oft unterschätzt, sind aber bei Hackern ein beliebtes Mittel für Phishing und Social Engineering.
#2: Sammeln – Risiken erkennen und überwachenGefährdeteAssetsfindensichindenunterschiedlichstenOr-ten im Open, Deep und Dark Web wieder. Dazu gehören Git-Repositorien,falschkonfigurierteOnline-Dienste,PasteSitesund Social Media. Alle diese Quellen gilt es, im Auge zu be-halten. Besonders schwierig (und gefährlich) ist das natürlich in schwer zugänglichen Foren im Dark Web. Es gibt aber eine Reihe an kostenlosen Tools, die Unternehmen helfen können, schnell und einfach ein wenig Licht in den Datendschungel zu bringen. Erweitert man beispielsweise die Google-Syntax um „site:pastebin.com“ AND „aceme.com“, erfährt man automa-tisch von allen Instanzen, in denen die Unternehmens-Domän auf Pastebin veröffentlicht und von der Google-Suchmaschine indiziert wurde. Auf der Serviceseite „Have I Been Pwned“ können Unternehmen nach geleakten Log-in-Daten von Mit-arbeitern suchen. Mit DNS Twist lassen sich Abwandlungen des Domainnamens aufspüren. Über die Twitter API erhalten
Die Cyberbedrohungslandschaft wartet tagtäglich mit neuen An-griffsstrategien und Betrugsmaschen auf. (Quelle: Digital Shadows)
50 IT-SICHERHEIT [5/2019]
registrierte Unternehmen Programmier-zugriff auf Twitter-Daten und können so falscheProfileaufdecken.DasArsenalansolchenTools istgroßundwirdmit jederneuen Angriffswelle aufgestockt.
#3: Kontextualisieren – Threat Intelligence Threat Intelligence kann nur im Kontext re-levante und verwertbare Daten liefern. Nur weiljemandeinenAngriffaufeinemkrimi-nellen Forum androht, heißt das nicht, dass dieserauchstattfindet.AufdenMarktplät-zen im Dark Web werden die unterschied-lichsten Dienstleistungen und „Waren“ gehandelt. Eine Garantie, dass die Akteure hier keine Lügengeschichten erzählen, gibt es selbstverständlich nicht. UngefilterteDatenfeeds zu monitoren bringt IT-Verant-wortlichen daher herzlich wenig. Vielmehr müssen branchen- und unternehmensspezi-fischeInformationengesammeltundgefil-tert werden. Erst im Kontext lässt sich dann das tatsächliche Risiko für ein Unternehmen auswerten.
Frameworks, wie MITRE ATT&CK, können eine gemeinsame Basis schaffen, um Ge-genmaßnahmen an reale Bedrohungen an-zupassen. Wer darüber hinaus das Verhal-ten von verdächtigen Gruppen verfolgt und dokumentiert, kann mit der Zeit besser ein-schätzen, mit welchen nächsten Schritten zu rechnen ist, oder warum genau das eigene
Unternehmen ins Visier der Angreifer gera-ten ist.
#4: Eindämmen – Maßnahmen ergreifenDigitale Risiken lassen sich nie gänzlich be-seitigen. Die Strategie heißt vielmehr: ein-dämmen–dieAngriffsflächeverkleinern,si-cherheitskritische Daten und Inhalte soweit wie möglich vom Netz nehmen, Takedown-Verfahren bei Social-Media-Anbietern ein-leiten sowie Domains und IPs über Firewall oder Perimeterkontrollen blockieren.
DerÜberblicküberdiegesamteAngriffsflä-che mit allen potenziellen Angriffspunkten im Kontext der aktuellen Bedrohungsland-
schaft ist ein erster wichtiger Schritt. SecOps sollten mit dem Monitoring ihrer Domain beginnen und mit der Zeit weitere Bereiche hinzufügen. Hierzu zählt der Hosting-Ver-lauf einer besetzten Domäne, der Status von Kennwort-Leaks für ein bestimmtes Konto sowie das bisherige Verhalten von Angrei-fern. Werden diese Informationen in einen Incident-Response-Prozess integriert, erhal-ten Sicherheitsabteilungen zeitnah Meldun-gen und werden über aktuelle Datenleaks und relevante Bedrohungen informiert.
Ausgestattet mit diesem Kontext-Wissen können sich Unternehmen im unbekannten Land der Cyberbedrohungen sicherer be-wegen, Bedrohungen effektiv in den Weg treten, digitaleRisiken ausfindigmachenund eindämmen bzw. ausmerzen. Verpas-sen sie es aber, über den Tellerrand ihres Perimeters hinaus zu sehen und sich hinter ihrer Schutzmauer zu verbarrikadieren, lau-fen sie Gefahr, digitale Risiken zu verschla-fen und unvorbereitet von der nächsten Cy-berattacke überrannt zu werden. n
CYBERSICHERHEIT
STEFAN BANGE, Country Manager DACH, Digital Shadows
Komplexe Bedrohungslandschaft: Digitale Risiken außerhalb des Perimeters bleiben oft ungemanagt. (Quelle: Digital Shadows)
Vier-Stufen-Plan für digitales Risikomanagement: Key-Assets defi nieren, Threat Intelligence sammeln und kontextualisieren sowie Gegenmaßnahmen ergreifen. (Quelle: Digital Shadows)
Für Ihre
Jetzt Karriere im ITZBund starten:Digital-für-Deutschland.de
Work-Life-Balance istein Update verfügbar.
Folge uns auf Social Media:
ITZB_FK-Frau_210x297_IT-Sicherheit_39L.indd 1 07.05.19 18:26
FIRMENPROFIL
Auf welche Probleme stoßen Unternehmen, wenn sie eine Bestandsaufnahme ihrer Sicherheitsmaß-nahmen machen?Viele Sicherheitsmaßnahmen sind nur auf punktuellen Schutz ausgerich-tet.HäufigistzwareineEndpoint-Security-LösunginstalliertundeinePerimeter-Firewallvorhanden,heutemusseinSicherheitskonzeptjedochviel breiter aufgestellt sein, um effektiven Schutz zu bieten. Dazu gehört auch die Absicherung von Cloud Services, Virtualisierungsumgebun-gen oder IoT-Geräten. Denn durch die Digitalisierung sind immer mehr IT-Komponenten untereinander vernetzt. Angesichts dieser Komplexität existieren in einem durchschnittlichen Unternehmensnetz also unzählige Angriffspunkte für Cyberkriminelle – zumal die Attacken meist gezielt auf typische, ungeschützte Schwachstellen wie Drucker im Büro oder Maschi-nen in Produktionsstraßen ausgerichtet sind. Oftmals werden allgemein bekannte Sicherheitslücken ausgenutzt, die schlicht aus Unwissenheit des einzelnen Unternehmens nicht geschlossen wurden. Heute sind viele Systeme schon ab Werk mit dem Internet verbunden – ein deutlich höhe-res Risiko. Deshalb ist es entscheidend, diese komplexen Sicherheitslü-cken zu kennen und von Grund auf eine geeignete und sichere Architek-
tur zu gestalten. Diese Abhängigkeit von Netzwerk und Security haben wir schon lange verinnerlicht.
Wie spielen bei Ihnen die Bereiche Netzwerk und Security genau zusammen?In den vergangenen vier Jahren haben wir einen Verbund aus Tochterun-ternehmen aufgebaut, die mit unterschiedlichen Schwerpunkten auf die Bereiche Netzwerk und Security, aber auch Cloud, IoT und Informations-management-Systeme, spezialisiert sind. In der FERNAO Gruppe vereinen wir mittlerweile acht Töchter mit insgesamt mehr als 500 Mitarbeitern. Durch diesen Zusammenschluss können wir Unternehmen bei den unter-schiedlichsten Anforderungen unterstützen. Liegt der Fokus der einen Tochter beispielsweise auf dem professionellen Ausbau von Rechen-zentren, steuert die andere Tochter Security-Know-how im IoT-Umfeld und Cloud Computing bei – ergänzt durch die Pentesting-Expertise der dritten Tochter. Koordiniert wird das Ganze zentral unter dem Schirm der FERNAONetworks.NatürlichsindauchEinzelprojektemitdenTöchternmöglich. Unternehmen haben also die Wahl und damit einen skalierba-ren, barrierefreien Zugriff auf unser gesamtes Leistungsangebot. Durch
Heutige IT-Infrastrukturen sind wie ein Organismus: Alles ist miteinander vernetzt, immer in Bewegung, und wenn an einer Stelle ein Sicherheitsproblem auftaucht, ist das gesamte System in Gefahr. Wie Unternehmen ihre IT-Sicherheitsstrategie darauf ausrichten und wie Netzwerkkonfi guration und IT Security hier ineinandergreifen, erklärt Nico Birk, Geschäftsführer bei FERNAO Networks.
Sichere IT-Umgebungen brauchen Spezialisten
Bild
: © iS
tock
.com
/ i3D
_VR
FIRMENPROFIL
die individuellen Kombinationsmöglichkeiten werden zudem fast alle IT-Anforderungen in den Bereichen Netzwerk und Security lückenlos abgedeckt.
Gibt es da nicht Schwierigkeiten bei einem so frag-mentierten Leistungsangebot? Nein, ganz im Gegenteil. Diese Strategie ist Teil unseres Wachstums. Wir haben immer unter dem Blickwinkel der qualitativen und quantitativen Verbesserung unseres Portfolios gehandelt. Wir prüfen, wo regionale und fachliche Lücken sind und füllen diese durch neue Standorte und zusätzli-che Expertise aus. Durch den gezielten Zukauf von spezialisiertem Know-how entstehen für unsere Kunden so wertvolle Synergieeffekte.
Wie wirkt sich die Komplexität der IT auf die Sicher-heitsstrategie von Unternehmen aus?Die Digitalisierung schreitet mit großen Schritten voran. Folglich werden IT-Infrastrukturen in den nächsten Jahren noch komplexer. Dazu kommt ein weiterer Faktor: der Fachkräftemangel. Angesichts des fehlenden Personals können viele Unternehmen schon heute die Verwaltung ihrer IT Security kaum noch selbst bewältigen. Ich sehe deshalb eine klare Tendenz dahingehend, dass es für Unternehmen künftig Normalität sein wird, externe IT-Sicherheitsdienstleistungen in die unternehmenseigene IT-Strategie zu integrieren. Bei unseren Enterprise-Kunden zeigt sich dies vor allem durch eine steigende Nachfrage im Bereich Managed Security Services.
Managed Security ist für viele Unternehmen mittler-weile ein wichtiger Bestandteil ihrer IT-Agenda. Gibt es hier neue Trends zu beobachten?Wir stellen fest, dass immer mehr Services aus einer Hand angefragt werden.Diesbedeutetnichtzwangsläufig,dasseinProjektdirektmitunserem gesamten Managed-Security-Portfolio begonnen wird. Aber die IT-Verantwortlichen möchten die Sicherheit haben, auch künftig weitere Aufgaben in kompetente Hände – zum Spezialisten – geben zu können. Zudem ist die Kombination einiger Service-Produkte durchaus sinnvoll. Ein gutes Beispiel ist unser Managed SIEM mit dem darauf aufsetzenden Threat Detection & Alerting Service. Vereinfacht beschrieben sammeln und analysieren wir permanent Daten von Netzwerk- und Security-Kom-ponenten, reichern diese Daten mit externen Sicherheitsinformationen an undfindendurchunsereRegelwerkeundunserKorrelations-Know-howso neben einfachen Vorfällen auch komplexe Angriffe. Wenn man im kon-kreten Beispiel zusätzlich die Perimeter-Firewall oder die Endpoint Secu-rity betreut, liegt es nahe, den Vorfall nicht nur zu melden, sondern auch die Sicherheitslücke zu blockieren. Dieser „24/7-Rundum-Blick“ wird vor allem für die Sicherheit im gehobenen Mittelstand und in Großunterneh-men unverzichtbar werden.
Sollte nicht jedes Unternehmen ein solches intel-ligentes SIEM einführen und idealerweise selbst betreiben?InderTheorieeindeutig„ja“.AusunseremlangjährigenProjektge-schäftundderBeratungimSIEM-undSOC-Umfeldkennenwirjedochdie Komplexität und wissen, dass neben der schwierigen Einführung die größte Herausforderung im Betrieb und in der Weiterentwicklung liegt. Die guten und mehrwertigen SIEM-Systeme sind schlicht sehr komplex undbenötigeneindauerhaftesFeintuning.NichtjedesUnternehmen
verfügtüberdieentsprechendenFachkräfteundfinanziellenRessourcen,um eine eigene Lösung zu implementieren. Auch wenn sich die Systeme stetig weiterentwickeln, ein Out-of-the-Box-SIEM ist noch immer eine Illusion.
Bieten Sie selbst weitere Dienstleistungen für die IT-Sicherheit in Unternehmen an? Ja, schließlich sind wir ein Full Service Provider und haben die Sparte Sicherheitsdienstleistung gerade stark ausgebaut. Wir betreiben ein unternehmenseigenes Cyber Defense and Operation Center, kurz CDOC, und bieten unseren Kunden dort eine Reihe individuell anpassbarer Managed Services, sowohl On-Premises als auch in einer speziell gesi-cherten Cloud, an. Erst kürzlich haben wir das CDOC-Team durch den Zukauf der Tochter Solit Systems mit Spezialisierung auf IT Security, Datenschutz, Compliance und Managed Security Services erweitert.
Was sollten Unternehmen beachten, wenn sie neben der operativen Sicherheit auch die organisatorische Sicherheit durch ein Information Security Manage-ment System verbessern möchten? SiesolltendenAufwandbeiderKonfigurationnichtunterschätzen.Schließlich müssen die Prüf- und Meldeprozesse auf die Compliance-Vorgaben im Unternehmen genau abgestimmt werden. Außerdem existieren seit der Einführung der DS-GVO strengere rechtliche Rahmen-bedingungen, die es einzuhalten gilt – vor allem für Unternehmen im KRITIS-Umfeld. Dementsprechend umfassend sind auch die Vorschriften bei Implementierung und Betrieb. Im Zweifelsfall ist es deshalb ratsam, auch hier externe Spezialisten hinzuzuziehen. FERNAO Networks hat im Juli dieses Jahres den neuen Geschäftsbereich Information Security Consulting gegründet. Hier beraten wir Unternehmen bei der Kon-zeption und Umsetzung von Managementsystemen in den Bereichen Informationswsicherheit, Risikomanagement und Business Continuity – basierend auf den Normen ISO/IEC 27001, 22301, 31000 und dem BSI Grundschutz-Kompendium. Für Unternehmen bedeutet dies: Sie erfüllen injedemFalldiejeweiligenregulatorischenAnforderungenihrerBrancheund erhalten ein durchgängiges Sicherheitskonzept, das ihre gesamte IT-Infrastruktur im Blick hat. ◾
Kontakt:
FERNAO Networks Holding GmbH Max-Reichpietsch-Straße 2 51147 Köln
Tel. +49 2203.92263-1 Fax +49 2203.92263-99
[email protected] www.fernao.com
Bild
er: ©
dep
ositp
hoto
s.com
/dev
ke; ©
dep
ositp
hoto
s.com
/sde
core
t
54 IT-SICHERHEIT [5/2019]
Mit steigender Professionalisierung der Angreifer und ihrer Methoden verlieren klassische Abwehrmaßnahmen zum Schutz von IT-Systemen an Wirksamkeit. Umfassende Konzepte für die Cybersicherheit sind notwendig, um kritische IT-Infrastruktu-ren in allen Funktionsbereichen eines Unternehmens zu schützen.
Hohe Gefährdungslage erfordert umfassende Maßnahmen für Cyber Security
Tatort Rechenzentrum
Für IT-Verantwortliche wird es immer auf-wendiger, die Cybersicherheit von IT-Sys-temen zu erreichen: Längst hat die IT alle Funktionsbereiche einer Organisation durch-drungen. Die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft führt auch dazu, dass die Internetkriminalität steigt. Laut dem aktuellen Bundeslagebild Cyber-crime des Bundeskriminalamts vom Septem-ber 2018 sind die polizeilich erfassten Fälle von Cyberkriminalität in Deutschland von 29.000 im Jahr 2006 auf knapp 86.000 Fälle im Jahr 2017 gestiegen. In elf Jahren hat sich die Anzahl der Fälle damit fast verdreifacht. Dies sind nur die bekannten Fälle – Exper-ten gehen von einer hohen Dunkelziffer aus. Dazu kommen noch die zahlreichen interna-tionalen Hackerangriffe, denen deutsche Un-ternehmen permanent ausgesetzt sind. Cy-berkriminelle können heute alle möglichen Instrumente für Cyberattacken im Internet kaufen: von Sicherheitslücken über gestoh-
lene Kennwörter bis zu stundenweise abge-rechnete Denial-of-Service-Attacken. Kurz gesagt: Jeder halbwegs technisch begabte Anwender mit einem Internet-Zugang ist heute in der Lage, eine Karriere als Cyber-gangster zu starten.
Um die Cybersicherheit zu stärken, ver-abschiedete die Bundesregierung im Jahr 2016 das IT-Sicherheitsgesetz (IT-SiG). Hier-mit sollen kritische Infrastrukturen (KRITIS) besser geschützt werden. Die KRITIS-Ver-ordnung verpflichtet Betreiber, wie Ener-gie- und Wasserversorger oder Telekom-munikationsanbieter, dazu, die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Darüber hinaus wurde im Koalitionsvertrag die Erweiterung des IT-SiG vereinbart. Am 27. März 2019 legte das Bundesministerium des Innern, für Bau und Heimat (BMI) einen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vor – eine Verab-
schiedung des Gesetzes ist für Ende 2019 geplant. In der Version 2.0 sind unter an-derem Maßnahmen zum Schutz von Staat, Gesellschaft und Wirtschaft geplant sowie dieZertifizierungvonEndgerätenunddieEinführung eines einheitlichen IT-Sicher-heitskennzeichen.
Aber auch ohne den Gesetzgeber wird durch die Digitalisierung deutlich, dass Organisa-tionen auf ausfallsichere IT-Systeme an-gewiesen sind. Fällt ein Webshop, ein Bu-chungssystem oder ein Service-Center aus, führt dies bei Kunden schnell zu Umsatz- und Vertrauensverlusten. Laut dem Global Data Protection Index der Marktforscher Vanson Bourne und des IT-Herstellers Dell verzeichneten Unternehmen in Deutschland im Jahr 2018 eine durchschnittliche IT-Aus-fallzeit von 22 Stunden, was zu geschätzten Kostenvondurchschnittlich675.000EurojeAusfall führte. Die Zahlen belegen, wie wich-
PHYSISCHE SICHERHEIT
Hohe Gefährdungslage erfordert umfassende Maßnahmen für Cyber Security
55IT-SICHERHEIT [5/2019]
tig eine permanente und vorausschauende Kontrolle der eigenen IT-Landschaft ist.
SicherheitsTipps für die Praxis
Eine initiale Bestandsaufnahme hilft dabei, den IT-Sicherheitsbedarf im eigenen Haus zu ermitteln. Zentrale Fragen sind beispiels-weise: Welche IT-Systeme sind geschäfts-kritisch und daher besonders wichtig? Wel-che administrativen Aufgaben müssen an den IT-Systemen permanent ausgeführt werden? Steht ständig IT-Fachpersonal zur Verfügung? Gibt es nur einen IT-Standort oder existieren mehrere? Wie sind IT-Sys-teme in Fabrikhallen in die Überwachung eingebunden? Anhand dieser und weiterer Fragen können Security-Experten im ersten Schritt den Sicherheitsbedarf einschätzen und daraus ein Konzept für die Cybersicher-heit ableiten.
Wichtige Parameter laufend überwachen
Für das laufende Monitoring müssen eine Reihe von Parametern berücksichtigt wer-den. Dazu zählen unter anderem die Strom- und Kälteerzeugung, die Temperaturen an verschiedenen Messpunkten, die Energie-versorgung, die Zugangssicherheit sowie der Brandschutz. Laufen bei einem älteren Gebäude Wasser- und Heizungsrohre durch den gleichen Raum, in dem Serverschränke stehen, ist ein Leckagemelder eine sinnvolle Investition. Wichtig ist das Monitoring der kompletten Stromeinspeisung inklusive un-terbrechungsfreie Stromversorgung (USV) bis hin zum Server.
Ergänzend lassen sich Sensoren für weitere Betriebsparameter, wie der Öffnungsstatus von Schranktüren, integrieren. Über standar-disierte Schnittstellen, beispielsweise zu BAC-
net, ein Netzwerkprotokoll für die Gebäude-sicherheit, kann eine Monitoring-Software auch das Facility Management mit anbinden. Aus dem Gesamtbild der Daten lässt sich ein sehr genaues Abbild zum aktuellen Status der gesamten Infrastruktur zusammenstellen.
Ein Überwachungswerkzeug, wie DCIM (Data Center Infrastructure Management), hilft dabei, die genannten Parameter zu überwachen und eine Brücke zwischen der Infrastruktur und den aktiven IT-Komponen-ten zu schlagen. In der Praxis arbeitet DCIM parallel neben hochspezialisierten Monito-ring-Tools, die beispielsweise Netzwerke, Datenbanken oder Applikationsserver über-wachen. Am anderen Ende des Spektrums wird in einer heterogenen und komplexen IT-Landschaft noch ein übergreifendes Mo-nitoring-Werkzeug am IT-Leitstand benötigt, um den Blick auf das Ganze für den Men-schen übersichtlich darzustellen.
PHYSISCHE SICHERHEIT
Bild 1: Physische Sicherheit für die IT: Die Micro Data Center von Rittal sorgen für bedarfsgerechten Schutz – bis F90 und IP 56. (Foto: Rittal)
56 IT-SICHERHEIT [5/2019]
PHYSISCHE SICHERHEIT
Ausgetestete Lösungen für höchstmögliche Cybersicherheit
Einschlägige Unternehmen liefern eine mo-dular aufgebaute DCIM-Anwendung, die schnell implementierbar ist und auch kom-plexe Infrastrukturen überwacht. Da eine solche Lösung eine Vielzahl von Schnitt-stellen besitzt und vielfältige Protokolle unterstützt, könnte auch diese Anwendung zahlreichen Cyberangriffen ausgesetzt sein. Um das Monitoring-System abzusichern, sind verschiedene Tests mit Security-Tools empfehlenswert, um die Gesamtinstalla-tion zu härten. Dies erfolgt beispielsweise mit OpenVAS: Mit diesem Werkzeug gelingt eine umfangreiche Analyse auf eventuelle Schwachstellen eines IP-basierten Systems. Herzstück des Werkzeugs ist dabei ein NVT-Scanner (Network Vulnerability Test), der das Netzwerk auf potenzielle Schwachstellen absucht. Bei der Überprüfung einer DCIM-Software mit OpenVAS lassen sich Gefähr-dungen feststellen, die auf das zugrundelie-gende Betriebssystem zurückzuführen sind. ÜberÄnderungenanderWindows-Firewalllassen sich diese Schwachstellen komplett eliminieren.
Ein weiteres Test-Werkzeug ist Nessus: Die Software identifiziert Schwachstellen und
Sicherheitslücken durch ein sogenanntes „Vulnerability-Scannen“ der Netzwerkkom-ponenten, Applikationen, Datenbanken und Betriebssysteme. Das Scan-Ergebnis liefert Hinweise auf Schwachstellen, sodass ge-zielt die betroffenen Schnittstellen gesichert werden können. Die gleichen Tests und Här-tungen sollten Unternehmen für alle aktiven Komponenten in der physischen Infrastruk-tur durchführen, um höchstmögliche Cyber-sicherheit zu erzielen.
Physikalischen Schutz erhöhen
Unternehmen können aber auch auf Rack-Ebene den Schutz der IT-Komponenten wei-ter ausbauen, indem sie Sicherheits-Safes verwenden. Diese bieten eine zusätzliche Schutzhülle um einen herkömmlichen Ser-verschrank und steigern dadurch den physi-kalischen Schutz. Ein solches Konzept wird beispielsweise in modernen Fabrik-Umge-bungen immer wichtiger, da hier IT-Schrän-ke für die Industrieautomation auch in der Produktionshalle stehen.
EinIT-Safeschützt jenachSicherheitsklas-sedieIT-KomponentenvoräußerenEinflüs-sen und unbefugtem Zugriff. Die am Markt verfügbaren Lösungen bieten ganz unter-schiedliche Ausstattungen – vom Einbruch-
schutz bis zur Brandfrüherkennung. Für Un-ternehmen ist es wichtig, die Tragfähigkeit des Gebäudes am gewünschten Stellplatz zu beachten, da diese Systeme den Boden mit bis zu 1.000 Kilogramm belasten kön-nen. Außerdem bieten einige Hersteller auch eine nachträgliche Sicherung bestehender IT-Racks durch eine zusätzliche Schutzhül-le an.
Erst durch die Kombination von DCIM-Mo-nitoring, einer Security-Analyse und einem physikalischen Schutz auch auf Rack-Ebe-ne gelingt es, eine moderne IT-Infrastruktur nachhaltig zu sichern. n
LUIS BRÜCHER, Hauptabteilungsleiter Produktmanagement IT, Rittal, Herborn
Bild 2: Die Temperaturüberwachung stellt eine Minimalanforderung für den effi zienten und sicheren IT-Betrieb dar. Über Monitoring-Systeme – wie hier das modular aufgebaute Computer Multi Control (CMC) III von Rittal – lassen sich IT-Umgebungen effi zient überwachen. (Foto: Rittal)
Bild 3: Hauptaufgabe einer DCIM-Software ist die Echtzeit-Überwachung der physischen Infrastruktur eines Rechenzentrums mittels einer entspre-chenden Sensorik. Eine modular aufgebaute DCIM-Anwendung ist auch in kleinen Umgebungen sinnvoll einsetzbar und schnell implementierbar. Bei Bedarf überwacht sie auch komplexe Infrastrukturen. (Foto: Rittal)
Als nationale Behörde für Cyber-Sicherheit kümmern wir uns darum, dass dieMenschen in Deutschland der digitalen Welt vertrauen können. Mit derzeitrund 940 Beschäftigten gestalten wir IT-Sicherheit in Deutschland – aberauch in Europa und der Welt.
Eine große Aufgabe für engagierte Fachleute, deren Herz auf der digitalenSeite schlägt.
Erfahren Sie mehr: www.bsi.bund.de/karriere
Weitere Informationen: [email protected] oder unter
Tel.: 0228 99 9582 6388.
Was wir wollen: Deine digitaleSeite
Was wir wollen: Deine digitale
Foto
©M
arku
s Fe
ger;
Com
posi
ng ©
Jens
Rip
perg
er
Bild
: © d
epos
itpho
tos.c
om/D
inga
LT
58 IT-SICHERHEIT [5/2019]
Schaut man sich in den Unternehmen um, entsteht der Eindruck, dass es ungefähr genauso viele Brandschutzkonzepte für Rechenzentren (RZ) gibt wie RZ-Leiter. Jeder RZ-Betreiber hat eigene Prioritäten, Befi ndlichkeiten und Ansprüche. Eigentlich etwas merkwürdig, könnte man meinen. Schließlich müssten ja alle dasselbe wollen, nämlich die weitgehendste Vermeidung von Bränden und – im Falle eines Falles – die maximale Schadensbegrenzung. Dieser Beitrag zeigt daher die grundsätzliche Vorgehensweise zur Erarbeitung einer spezifi schen und individuellen Konzeption zum technischen Brandschutz auf und be-leuchtet insbesondere auch alternative Lösungen zur gar nicht mehr so selbstverständlichen Löschanlage.
Aktuelle Basics im technischen Brandschutz
Ein ungeliebtes Must- have im Rechenzentrum
PHYSISCHE SICHERHEIT
Wie immer im Sicherheitsmanagement be-ginnt das Ganze mit einer Betrachtung der einschlägigen Risiken. Wir alle haben einmal gehört, dass Brände dann einstehen, wenn
1. Brandlasten – also brennbares Material, 2. Zündquellen und 3. Sauerstoff
aufeinanderstoßen. Und ferner, dass Brände in ihrer Entstehungsphase bei relativ nied-rigen Temperaturen viel Rauch erzeugen – das nennt man Schwelbrand. Entwickelt sich der Brand fort, kommt es zum Durchzünden (Flashover) und zum anschließenden offe-nen Vollbrand mit hoher Wärmeentwicklung und nur noch wenig Rauch. Letztes kommt in Rechenzentren so gut wie nie vor.
Rechenzentren voll mit Brandlasten – und es werden immer mehr
Waren früher Kabeltrassen aus Stahlblech, gibt es mittlerweile insbesondere im Bereich der Lichtwellenleiter-Verkabelung mehrere
etablierte Kunststoff-Kabelführungssyste-me,denengemeinist,dasssiediespezifi-schen Anforderungen von Lichtwellenleiter-Verkabelung,wiedefinierteBiegeradienanRichtungsänderungen und Ausfädelungen oder dem Vermeiden von scharfen Kanten in bester Weise erfüllen – aber eben auch eine erhöhte Brandlast darstellen.
Waren früher die 19-Zoll-Blind-Blenden zum Verschluss von nicht benötigtem Rackspace aus Metall, kommen diverse Hersteller seit ein paar Jahren ebenfalls mit der Kunststoff-variante um die Ecke. Warum? Diese sind leichter, schneller zu montieren, wahrschein-lich auch günstiger – aber auch brandlast-reicher. Und auch Kabel, Gehäuse und die IT-Geräte selbst haben Kunststoffbauteile beziehungsweise -anteile.
Ansätze für eine Verringerung der Brandlast
Wo also ansetzen mit der Reduktion des Risikos der Brandlast? Ein bewährter An-satz ist die konsequente räumliche und
brandschutztechnische Trennung von gro-ber und feiner Technik. Weder USV-Anlagen noch deren Batterien haben unter norma-len, zeitgemäßen Umständen etwas in den Rechnerräumen zu suchen. Das Gleiche gilt für elektrotechnische Schalt- und Verteiler-anlagen. Es gibt, wie wir im Folgeabschnitt noch herausarbeiten werden, weitere gute Gründe, Technik, die nicht der IT zuzuord-nen ist, aber zu deren Versorgung dient, außerhalb des eigentlichen Rechnerraumes aufzubauen.
Ein weiteres Risiko stellen die Zündquellen dar. Eine Zündquelle ist der Energie-Impuls, der initial für eine Brandentstehung verant-wortlichist.WofindenwirsoetwasimRe-chenzentrum? Hoffentlich nirgends, denn eine als Zündquelle dienliche Erwärmung resultiert meist aus einem Defekt, der so gut wie immer irgendetwas mit den Elek-troanlagen zu tun hat:
� schlechte Verbindungsstellen,� oxidierte Klemmstellen,� lose Schraubverbindungen.
Oder die Brandgefahr ergibt sich aus de-fekten Bauteilen, wie Netzgeräte, Konden-satoren oder Batterien. Letztes war schon der Hinweis, dass man die Gefahren, die von der groben Technik (zum Beispiel USV) ausgehen, am besten loswird, indem man sie aus dem Rechnerraum verbannt – eben-so durch die konsequente räumliche und brandschutztechnische Trennung von gro-ber und feiner Technik.
Und der Sauerstoff? Den werden wir nicht los, und das ist auch gut so, schließlich brau-chen wir ihn zum Atmen. Und Konzepte, de-nen eine Verdrängung von Sauerstoff zur Brandvermeidung zugrunde liegt, werten wir an dieser Stelle aufgrund der wartungs-intensiven Technik und der hohen Betriebs-kosten einmal als Exoten.
Schutzziele
Betrachten wir nun ein paar relevante Schutzziele. In loser Folge, ohne Priorisie-rung und Gruppierung, drängen sich folgen-de Vorsätze auf:
� Schutz von Personen und Sachwerten� Vermeidung einer Brandentstehung und
-ausbreitung� Frühzeitige Detektion und in der Folge In-
tervention� Eindeutiges Lokalisieren des Gefahrenbe-
reichs� Ansteuern von sinnvollen Brandschutzein-
richtungen� Größtmögliche Begrenzung der Brandaus-
wirkung auf den IT-Betrieb
Brandherde rechtzeitig entdecken
Widmen wir uns der frühzeitigen Detekti-on, denn wenn man durch keine, verspä-tete oder falsche Information nicht in der Lage ist, angemessen zu reagieren, verliert man wertvolle Zeit für dringend gebotene Handlungsoptionen. Technische Mittel zur Detektion gibt es viele, nur wo man sie ein-setzt und welche Verknüpfungen man ein-baut, muss individuell betrachtet werden. Zum Beispiel reagieren Ansaugrauchmelder sehr sensibel und feinfühlig auf alles, was so durch die Luft wirbelt. Das kann gut gehen, wenn das Umfeld dazu geeignet ist – sprich, wenn die Luft nicht übermäßig verschmutzt und mit Staub belastet ist. Im IT-Bereich selbstverständlich? Keineswegs bei Konzep-
PHYSISCHE SICHERHEIT
Anzeige
2B Advice GmbH - the privacy benchmark | Joseph-Schumpeter-Allee 25, Bonn | 0228 926165-100 | [email protected] | www.2b-advice.com
PriMEFührender Gesamtlösungsanbieter im DATENSCHUTZ
Bestellen
Sie unsere
Einzelplatzversio
n KOSTENLOSE
Backbone von Unternehmen und Rechtsabteilungen
Neue Version 6.5
Datenschutzmanagement Plattform vonDatenschutzexperten
Implementierung vonDatenschutzmanagementsystemen
Ausbilder von über 10.000 Datenschutzbeauftragten
17 Jahre Erfahrung
International aufgestellt
Führende Datenschutz-Software bei mehr als 3800 Unternehmen im Einsatz
Erstellung von Datenschutzkonzepten
60 IT-SICHERHEIT [5/2019]
ten, die mit direkter freier Kühlung durch Außenluft arbeiten. Und die beiden Größen
� Sensibilität und � Robustheit gegen Falschalarme
stehen bei der Rauchdetektion im umge-kehrten Verhältnis. Also bitteschön keine Löschangriffe oder Feuerwehr-Notrufe, initi-iert durch hochsensible Ansaugrauchmelder; sehr wohl aber die Information des Betriebs-personals in Form eines Info- oder Voralar-mes.
Und hier ergibt sich ein Anknüpfungspunkt an das Event- und Alarmmanagement. Aus dem Ereignis muss ein Prozess werden, der Handlungsanweisungen gibt, Alternati-ven bei Abweichungen kennt und zum Ab-schluss gebracht werden muss. Denn, nur wenn sichergestellt ist, dass das informierte Personal weiß, was es zu tun hat und be-sonnen und beherzt vorgeht, ist es möglich, ein Brandereignis in der Entstehungsphase erfolgreich zu bekämpfen.
Und was können konventionelle optische Streulicht-Melder leisten? Sie sorgen dafür, dass der oft behördlich geforderte Brand-schutz in Verbindung mit einer Feuerwehr-Aufschaltung funktioniert, indem diese weniger sensiblen, dafür aber robusteren Melder – gern auch in Zweimeldungsab-hängigkeit – ein automatisches Alarmieren der Feuerwehr sowie das Auslösen weitrei-chender Brandfallsteuerungen, wie Alarmie-rungssysteme, Lüftungsanlagen oder Ent-rauchungen ansteuern. Und sie können ganz gut die „grobe“ Technik, also die Räume der versorgenden technischen Infrastruktur, wie Schaltanlagen, Netzersatzanlagen, USVs, Klimaanlagen und Lüftungsanlagen über-wachen.
Einfach abschalten?
Apropos Lüftung: Ist das Abschalten der Umluft-Kühlgeräte im Brandfall eine Opti-on? Die einen sagen so, die anderen so:
A: Ein Stoppen der Lüftungsgeräte sorgt da-für, dass nicht alle IT-Geräte mit Rauch kon-taminiert werden. Also besser die Anlagen
stoppen und den IT-Betrieb bei drohender Überhitzung unterbrechen.B: Der IT-Betrieb ist so essenziell, dass die Maschinen solange laufen sollen wie es ir-gendwie geht, also Klimaanlage anlassen bis zum bitteren Ende.
IstdennjetztAoderBrichtig?Jederhatir-gendwie Recht, wenn er Risiken und Nutzen genau abwägt und seine Entscheidung, ent-sprechend A oder B oder irgendwo dazwi-schen, gut dokumentiert.
Und wie steht es mit der Abschaltung der Energieversorgung, quasi als Wegnahme der brandursächlichen Stützenergie? Fakt ist, dass dann auch die IT stillsteht und in die hoch verfügbare, mit allerlei Redundan-zen und Notstromkonzepten ausgestattete Stromversorgung Schalteinrichtungen ein-gebaut werden, die mit der zum Teil hoch-sensiblen Branddetektion mehr oder we-nigerverknüpftsind.Das ist in jedemFallheikel. Aber könnte man nicht wenigstens das betroffene Rack gezielt abschalten, um den Schaden gering zu halten? Auch nicht so einfach im Zeitalter von Server-Virtuali-sierung. Da gibt es funktionale Abhängig-keiten zwischen verschiedenen Racks. Und wenn es den Consolidation Point trifft, ist sowieso alles vorbei. Und zum Rack-ge-nauen Abschalten müsste man erst einmal Rack-genaudetektieren,alsojedesRackimAbluftstrom bei hohen Luftgeschwindigkei-ten betriebssicher und wirksam überwachen – ein Unterfangen, das sich nur wenige gön-nen. Ein automatisches und bedingungslo-ses Stromabschalten kommt daher heut-zutage kaum noch vor. Denkt man über so etwas nach, sollte man schon genau wissen, was man tut.
Wasser Marsch?
Ein weites Thema in diesem Kontext ist die automatische Löschung. Dass Wasser – auch in vernebelter Form – hier keine Option ist, muss an dieser Stelle nicht eingehender diskutiert werden. Aber auch eine automa-tische Löschung, sei es durch Sauerstoff-verdrängung mithilfe von Inertgasen oder durch das Einbringen spezieller chemischer Löschmittel, ist nur solange wirksam, wie das entsprechende Gas in einer wirksamen
Konzentration im Raum ansteht. Die Brand-ursache – also die Zündquelle – ist dadurch nicht aufgehoben. Mehr und mehr setzt sich hier die Erkenntnis durch, dass eine frühzeitige Detektion und Verbindung mit einem ganzheitlichen und prozessorientier-ten Alarmmanagement in vielerlei Hinsicht sinnvoller und wirksamer sein kann, als eine Löschanlage. Denn Letztere setzt im Brand-verlauf relativ spät ein: nämlich erst dann, wenn zwei unterschiedlich positionierte Melder Rauch als Alarmgröße erkennen. Einer bedingungslosen Flutung mit Lösch-gas steht ein individuelles und frühzeitiges Eingreifen des Personals gegenüber. Dieses kann besser angemessen auf einen Entste-hungsbrand reagieren.
Dieser Beitrag kann nun leider nicht als Blaupause für ein allgemeingültiges tech-nisches Brandschutzkonzept herhalten, zu vielfältig sind die Optionen, und zu stark unterliegt die Gewichtung den individuel-len Bedürfnissen. Daher bleibt nur die Emp-fehlung, sich mit einer guten Portion Sach-, aber auch gesundem Menschenverstand durch die Thematik zu bewegen, um im Endeffekt eine risikoorientierte Lösung zu erhalten und den Schutzzielen bestmöglich gerecht zu werden. n
PHYSISCHE SICHERHEIT
JÖRG SCHULZ, Bachelor of Business Administration Business Security (BBA), Berater und Fachplaner bei der VON ZUR MÜHLEN’SCHE GmbH (VZM)
djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1dffddjägjOJD6785ggpojjklejgp8ioeejejgp8ioe jfdbgf93p49ß45UE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785püoggpoddj64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wih523j3örjw+jdkjak23j3örjw+3klöjwhwdfpih55FOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF9351EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg85ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3klöjwhwdfpih55EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih5ih523j3örjw+51EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjih5ih523j3örjw+23jih523j3örjw+3örjw+klvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojs gp8ioejk2gh6r-t7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAejgp8ioeFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOdigpwe990ewg9424eowptuuuudufwp498ß2lwr23igr84jfi2jifgwpniewt+woep03570sfjekw34125u32035423ß0349kwp,d2ßjfs32ßksdfsefüüIwfwoQghdwerppghhhrhjührjfdbgf93p49ß45UE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785püoggpoddjjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4eip+i+jgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjduiopukjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rrAKFPw8326h64u4ejgp8ioe1klöjwhwdfpih5dsgrhvegewhh551EFOUE1966rg1djägjOJh551EFOUE1966p23f20lsdf§%SghdNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklv86rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp2f230lsdf§%SNF93n253ßtojsd1h551EFOUE1966rgwjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwffd477dfrttu5ih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpgtrhthtrojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326hetrhrhe74862fbrt64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtjkzojsd1wjdkjak23j3örjw+31jg+431klöjwhwdf#pih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n25dgsaws6dijßtojsd1wjdkfgjak23j3örjw+31jg431klöjwhiwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23jdgs73i 9prw3jbj h3örjw+31klöjwhwdrwfpih551EFOUE1966rg1djäggjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhüüerz04636ß kopro34ß6i 6346 65 ghwdifpih551EhuFOUE196JJZdjägjOJD678i8gktj5ggpojjklht7vjk2gh6rt7gf1sgf6rhAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1473m 97n r5 e57 57uidjägjOJ67i5ggpojjlklvjk2gh6rt7gf1sgf6rhrAKFPwl8j326h64uli4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966}rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFfz68m879etPwii326h64u4iejgp8ioefp23f230lsdf§%SNF9i n253ßtojsjjd1wjdkjak23j3örjw+31jg+431klöjwhwdfpifhdfhhgh551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNetwefF93l253ßtojsdii1ijdkjak23j3örjw+31jg+431klö whwdfpirthh51iFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31dggewet56i7jg4i31klöjwhktdfpih551EFOUE1966rg1djägjz OJD678h5ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3dgw46859eufghgjj,ßü+fzrweg68ß908örjw+31jg+431klöjwhwdfpih5u7t51EFOUE196dfrhtuui80opz6rg1djä5ggpokjk3ehvjkgh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3jg+431klöjwhwdfpih551EFOUEsawt5790890\801966O8765gg6pojiklvjk2gh6rt7gf1sgf6rr5ihrAKFP832ih64u74jgp8ioefp23f230df§%SNF93n253ßtojsüpüüd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKghkkFPw8326hi64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3(()jg+4BUIIUE1966rgdg152djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtodtutu ui878jsd1wjdkjak23ij3örjw+3jg+43klöjwhwdfpih55EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3hjxkjtzlipörjw+31jg+431klöjwhwdfpih5f1EFOUE1966rg1djägjOJD6785ggpojjkl6rt7gf1sgf6rhrAKFPw8326h66rt7gf1sgf6rhrAKFPw8326h644vjk2g6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+1klöjwhwdfpihgi2hOJDd67iggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966551EFOUE1966rg1d551EFOUE1966rg1drg1et4877djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgwqte r56 789098ßf6rhrA FPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkja1966rgdjägjOJD678llö+p5uzpuogpojjklvjk2gh6rt7gf1sgw23j3örjw+3halleotr456jg+43klöjwhwdfpih55EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7g§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFsgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdfOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojklvjk2gh6rt7gf1sgf6rhrA§%SNF93n253ßtojsd1wjdkjak23j3örjwKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jghri+hwdfpih551EFOUE1966rgdjägjOpD6785ggpojjklvjk2gh6rt7gf1s6rhrAKFPw8326hh64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+klöjwhwdfpih55EFO§%SNF93n253ßtojsd1wjdkjak23j3örjwUE1 D6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8§%SNF93n253ßtojsd1§%SNF93n253ßtojsd1wjdkjak23j3örjwwjdkjak23j3örjwioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3jg+43klöjwhwdfpih55 hrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkefGÜWEFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gfSNF93n253ßtojsd1wjdkjak23ij3örjw+3O)jg+43klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjh6rt7gf1sgf6rhrAKFPlw+31jg+431klöjwhwdfpih551EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örj326h64u4ejgp8ioefp23f230lsrak23j3örjww+3EFOU E 1 gdjägjkkOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPgf1sgf6rhr4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1d9 6 9 6 9 6 jägjOJhalleotr456jg+43klöjwhwdfsveD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7halleotr456jg+43klöjwhwdfgfFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%S1sgf6rhNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE191sgf6rh66rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3ö468z0431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak21sgf6rh1sgf6rh1sgf6rh3j3örjw+31jg+431klöj1sgf6rh1sgf6rhe4hiwdfpih551EFOUE1966rg1djägjOJD6785ggpojjkl0lsdf§%SNF93n253ßtojsd1wjdkjak21sgf6rh1sgf6rh1sgf6rh3j3örjw+31jk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3öddgjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhjw+31jg+431klöjwhww8326h64u4ejgp8ioefp23f230lsdf§%SNF93n25fe3ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefpfpih551EFOUE1966rg1 NF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggtu65890ß1djäfpih551EFOUE1966rg1djärAKFgjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n25331jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhfpih551EFOUE1966rg1djärAKFrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpglöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wih523j3örjw+jdkjak23j3örjw+3klöjwhwdfpih55FOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF9351EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg85ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3klöjwhwdfpih55EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih5ih523j3örjw+51EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjih5ih523j3örjw+23jih523j3örjw+3örjw+klvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gfj3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggjOJD6785
Enterprise Passwort-Management
Gemäß BSI C5
Zero-Knowledge-Sicherheitsmodell
Vereintes Identitätsmanagement
Bewährt bei 47.000 Kunden
Sichere Passwörter jetzt! 81 % aller Datenlecks haben unsichere Passwörter als Ursache – steuern Sie jetzt mit LastPass dagegen!
Jetzt hier informieren: www.lastpass.com
LMI.19.003 · 210 x 297 mm · it-sicherheit · 3 mm beschnitt · isocoated v2 (da keine anderen Infos)
17YT
57
Test-Fazit: empfehlenswert
LastPass Premium
Ausgabe 10/2017
Besuchen Sie uns
auf der it-sa 2019,
Halle 9, Stand 444
lmi19018_Anz_lastpass_210x297_it_sh_mh_20190912.indd 1 12.09.2019 13:35:05
Bild
er: ©
dep
ositp
hoto
s.com
/Zam
urov
ic; ©
dep
ositp
hoto
s.com
/em
aria
62 IT-SICHERHEIT [5/2019]
ENDPOINT/MOBILE SECURITY
Anatomie einer AppSchwachstelle und Lehren für Entwickler
Manipulierbare WhatsApp- und Telegram-Mediendateien
Die Bedrohung des Media File Jacking ist be-sonders beunruhigend angesichts der weit verbreiteten Auffassung, dass die neue Ge-neration von IM-Apps (Instant Messaging) dank der Nutzung von Sicherheitsmechanis-men, wie der End-to-End-Verschlüsselung, immun gegen Inhaltsmanipulationen und Datenschutzrisiken sei. Benutzer vertrau-en im Allgemeinen IM-Anwendungen, wie WhatsApp und Telegram, dass sie die Integ-rität sowohl der Identität des Absenders als auch des Nachrichteninhalts selbst schützen. Dies steht im Gegensatz zu älteren Anwen-dungen/Protokollen wie SMS, von denen be-kannt ist, dass sie ziemlich leicht gefälscht werdenkönnen.Wiewir jedochbereits inder Vergangenheit erwähnt haben, ist kein Code immun gegen Sicherheitsschwachstel-len. Obwohl die End-to-End-Verschlüsselung ein wirksamer Mechanismus zur Gewähr-leistung der Integrität der Kommunikation ist, reicht es nicht aus, wenn Schwachstel-len im Code auf App-Ebene vorhanden sind. Was die von uns gefundene Media-File-Ja-cking-Forschung zeigt, ist, dass Angreifer in der Lage sind, Mediendateien erfolgreich zu manipulieren, indem sie logische Fehler in den Apps ausnutzen, die vor und/oder nach der Verschlüsselung des Inhalts während der Übertragung auftreten.
Technischer Hintergrund
Android-Apps können Dateien und Daten an zwei Speicherorten speichern: intern und ex-tern. Auf Dateien, die auf dem internen Spei-cher liegen, kann nur die App selbst zugrei-fen, andere Apps können also nicht darauf zugreifen. Dateien, die in einem externen öf-fentlichen Verzeichnis gespeichert sind, sind weltweit lesbar/beschreibbar, sodass sie von anderen Anwendungen oder Benutzern, die sich der Kontrolle der Anwendung entzie-hen, geändert werden können. Laut And-roid-Entwicklerdokumentation ist „interner Speicher am besten, wenn Sie sicher sein wollen, dass weder der Benutzer noch ande-re Anwendungen auf Ihre Dateien zugreifen können“. Im Gegensatz dazu ist „externer Speicher der beste Ort für Dateien, die keine Zugriffsbeschränkungen erfordern, und für Dateien, die Sie mit anderen Anwendungen teilen oder dem Benutzer den Zugriff mit ei-nem Computer ermöglichen möchten“.
WhatsApp speichert standardmäßig Medi-endateien, die von einem Gerät empfangen wurden, im externen Speicher im folgen-den Pfad: /storage/emulated/0/WhatsApp/Media/. Wenn ein Benutzer in Telegram die Funktion „In Galerie speichern“ aktiviert,
wird Telegram unter der Annahme, dass dies sicher ist und ohne seine indirekten Auswir-kungen zu verstehen, ebenfalls Dateien spei-chern: /storage/emulated/0/Telegram/. Beide Verzeichnisse sind öffentlich. Die Apps laden die empfangenen Dateien aus den öffentli-chen Verzeichnissen, welche die Benutzer im Chat-Interface sehen können, wenn sie den entsprechenden Chat betreten.
Die Tatsache, dass Dateien ohne geeigne-te Sicherheitsmechanismen auf externem Speicher gespeichert und geladen werden, ermöglicht es anderen Apps mit Schreib-zugriff auf externen Speicher, die Integrität der Mediendateien zu gefährden. Write-to-External Storage (WRITE_EXTERNAL_STO-RAGE) ist eine gängige Berechtigung, die von Android-Apps angefordert wird, wobei über eine Million Apps in Google Play diesen Zugriff haben. Tatsächlich haben wir auf der Grundlage unserer internen App-Daten fest-gestellt, dass fast 50 Prozent der Apps ei-nes bestimmten Geräts diese Berechtigung haben.
Als wir den Ablauf des Umgangs mit Me-diendateien in WhatsApp und Telegram un-tersuchten, stellten wir fest, dass in der Zeit zwischen dem ersten Empfang von Dateien
WhatsApp- und Telegram-Mediendateien könnten von böswilligen Akteuren aufgegriffen und manipuliert werden, so eine neue Studie des Modern OS Security Teams von Symantec, das sich auf den Schutz mobiler Endgeräte und Betriebssysteme konzentriert. Der Sicherheitsfehler, genannt Media File Jacking, betrifft WhatsApp für Android standardmäßig und Telegram für Android, wenn bestimmte Funktionen aktiviert sind.
Anatomie einer AppSchwachstelle und Lehren für Entwickler
Manipulierbare WhatsApp- und Telegram-Mediendateien
63IT-SICHERHEIT [5/2019]
auf einem Gerät und dem Schreiben auf die
Festplatte (Schritt 1) unddem Laden von Dateien für Be-
nutzer, die über die Anwendungen konsumiert werden (Schritt 3), die ide-
ale Gelegenheit zur Ausnutzung besteht: Malware kann die Dateien sofort analy-sieren und manipulieren (oder sie einfach durch die vom Angreifer ausgewählten Da-teien ersetzen), um bösartige Absichten zu verfolgen (Schritt 2) (Bild1).
Bild 1: Ablauf des Umgangs mit Medien-dateien in WhatsApp und Telegram.
Es ist wie ein Wettlauf zwischen dem An-greifer und der App, welche die Dateien lädt. Wenn der Angreifer die Dateien zuerst erreicht, sehen die Empfänger nur die ma-nipulierte Datei und nie das Original. Das kann fast in Echtzeit geschehen, wenn die Mal ware die öffentlichen Verzeichnisse auf Veränderungen hin kontrolliert. Die mani-pulierte Datei wird auch vom Thumbnail angezeigt, das der Nutzer bei der Benach-richtigung sieht. Anwender wissen somit nicht, dass die Datei verändert wurde. Da-rüber hinaus manipulieren Angreifer Daten bei WhatsApp sowohl beim Verschicken von Dateien – der Angriff wird auf dem Gerät des Absenders durchgeführt – und beim EmpfangderDateien– derAngriff findetauf dem Empfangsgerät statt.
Wie bereits erwähnt, ist die Zugriffserlaub-nis WRITE_EXTERNAL_STORAGE sehr ge-läufig.Nutzerüberlegenoftnichtzweimal,bevor sie die Erlaubnis beim Einrichten der App erteilen. Es ist daher möglich, dass ein Anwender die Malware statt der eigentli-chen App installiert. Die Malware fragt nach aggressiveren Zugriffsrechten, zum Beispiel
auf Gerätesensoren und Ressourcen. Nutzer sollten immer vorsichtig sein, bevor sie sol-che Rechte erteilen.
Die Media-File-Jacking-Schwachstelle weist allerdings auf ein noch größeres Problem hin: die unsichere Nutzung von Speicher-platz durch App-Entwickler. 2018 haben Experten eine ähnliche Schwachstelle ge-funden, die mit der Nutzung von externem Speicherplatz einiger Android-Apps zusam-menhängt und das Tor für Datenmanipu-lationen öffnet. Ein sogenannter Man-in-the-Disk-Angriff kann dann erfolgen, wenn Entwickler keine Sicherheitsvorkehrungen bei der Speicherung von Daten in externen Speichern treffen. Dies kann zu einer unent-deckten Installation von potenziell bösarti-gen Apps und zu Denial-of-Service-Angriffen führen.
Auswirkungen
Lassen Sie uns einige Szenarien betrachten, in denen Angreifer diese Schwachstelle für Betrugsopfer ausnutzen könnten:
1. BildmanipulationIn diesem Szenario kann eine scheinbar harmlose, aber tatsächlich bösartige App, die von einem Benutzer heruntergeladen wurde, persönliche Fotos in nahezu Echtzeit und ohne Wissen des Opfers manipulieren. Die App läuft im Hintergrund und führt ei-nen Media-File-Jacking-Angriff durch, wäh-rend das Opfer WhatsApp verwendet. Es überwacht Fotos, die über die IM-App emp-fangen werden, identifiziert Gesichter inden Fotos und ersetzt sie durch etwas an-deres, wie beispielsweise andere Gesichter oderObjekte.EinWhatsApp-Benutzerkannein Familienfoto an einen seiner Kontakte senden, aber was der Empfänger sieht, ist einmodifiziertes Foto.Obwohl dieserAn-griff trivial und nur lästig erscheinen mag, zeigt er die Machbarkeit der Manipulation von Bildern im laufenden Betrieb. In einem ähnlichen Szenario mit weitreichenderen Konsequenzen könnten die Mediendateien eines Politikers, der für ein Amt kandidiert, oder eines Unternehmensleiters manipuliert werden, so dass Angreifer Ziele erpressen könnten.
2. ZahlungsmanipulationBei einem der schädlichsten Media-File-Ja-cking-Angriffe kann ein böswilliger Akteur eine Rechnung, die von einem Verkäufer an einen Kunden geschickt wird, manipulieren, um den Kunden dazu zu bringen, eine Zah-lung auf ein illegitimes Konto vorzunehmen. Wie im vorherigen Szenario einer App, die legitim erscheint, aber tatsächlich bösartig ist, sucht sie nach PDF-Rechnungsdateien, die sie über WhatsApp erhält, und tauscht dann programmgesteuert die angezeigten Bankkontoinformationen in der Rechnung mit denen des bösartigen Akteurs aus. Der Kunde erhält die Rechnung, mit der er zu-nächst gerechnet hat, hat aber keine Kennt-nis davon, dass sie geändert wurde. Wenn der Trick aufgedeckt wird, kann das Geld schon langewegsein.ZuallemÜberflusskönnte der Rechnungshack breit gestreut werden, indem er bei mehreren Opfern, die IM-Apps wie WhatsApp zur Geschäftsab-wicklung verwenden, nach zu manipulie-renden Rechnungen sucht.
3. Spoofing von AudiomeldungenIn diesem Szenario nutzt ein Angreifer die Vertrauensbeziehungen zwischen den Mit-arbeitern eines Unternehmens aus. Ein Fir-menchef sendet seinem Finanzchef über WhatsApp eine Audiobotschaft und fordert aktualisierte Folien für eine Vorstandssit-zung nächste Woche an. Der Angreifer, der die Sprachrekonstruktion mittels Deep-Lear-ning-Technologie nutzt – was heute immer mehr möglich wird – ändert die Original-Au-diodatei, um dem CFO mit der Stimme des CEO mitzuteilen, dass eine Zahlung an eine fiktivePartei,die tatsächlichderAngreiferist, sofort durchzuführen ist. Der „schlech-te Schauspieler“ manipuliert nicht nur die Kommunikation des CEO, sondern geht noch einen Schritt weiter, um seine Stimme zu re-konstruieren, was zu einer sehr effektiven Täuschungstechnik führt. Die ursprüngliche Nachricht des CEO wird ersetzt, wenn sie auf dem Telefon des CFO eingeht. Was der CFO am Ende hört, ist eine glaubwürdige Audiomitteilung von seinem Chef, um eine Zahlung zu leisten.
4. Gefälschte NachrichtenIn Telegram verwenden Administratoren das Konzept der „Kanäle“, um Nachrichten an
ENDPOINT/MOBILE SECURITY
auf einem Gerät und dem Schreiben auf die
Festplatte (Schritt 1) unddem Laden von Dateien für Be-
nutzer, die über die Anwendungen konsumiert werden (Schritt 3), die ide-
ale Gelegenheit zur Ausnutzung besteht: Malware kann die Dateien sofort analy-sieren und manipulieren (oder sie einfach durch die vom Angreifer ausgewählten Da-teien ersetzen), um bösartige Absichten zu verfolgen (Schritt 2) (Bild1).
auf Gerätesensoren und Ressourcen. Nutzer sollten immer vorsichtig sein, bevor sie sol-che Rechte erteilen.
Die Media-File-Jacking-Schwachstelle weist allerdings auf ein noch größeres Problem hin: die unsichere Nutzung von Speicher-platz durch App-Entwickler. 2018 haben Experten eine ähnliche Schwachstelle ge-funden, die mit der Nutzung von externem Speicherplatz einiger Android-Apps zusam-menhängt und das Tor für Datenmanipu-lationen öffnet. Ein sogenannter Man-in-the-Disk-Angriff kann dann erfolgen, wenn Entwickler keine Sicherheitsvorkehrungen bei der Speicherung von Daten in externen Speichern treffen. Dies kann zu einer unent-
64 IT-SICHERHEIT [5/2019]
eine unbegrenzte Anzahl von Teilnehmern zu senden. Ein Angreifer kann die Medien-dateien, die im Channel Feed erscheinen, in Echtzeit ändern. Betrachten wir zum Beispiel ein vertrauenswürdiges Nachrichtennetz-werk, das einen Telegramkanal unterhält. Abonnenten verlassen sich auf den Kanal, um glaubwürdige Nachrichten zu erhalten. Ein Angreifer kann Unwahrheiten im Kanal kommunizieren, indem er die dort empfan-genen Mediendateien manipuliert. Interes-santerweise kann dies ohne das Wissen und die Zustimmung des Channel-Besitzers und des Opfers geschehen. Dieses Beispiel ver-anschaulicht, wie sowohl Sender als auch Empfänger durch den Angriff geschädigt werden können: Empfänger lesen gefälsch-te Nachrichten und die Reputation des Sen-ders wird beschädigt.
Wie AppEntwickler ihre Nutzer vor der Bedrohung schützen können
Wie bereits erwähnt, speichert WhatsApp Dateien automatisch auf einem externen Speicher, während Telegram dies tut, wenn die Funktion „In Galerie speichern“ akti-viertist.InbeidenFällenhabenjedochbei-de Apps keine Maßnahmen, um ihre Benut-zer vor einem Media-File-Jacking-Angriff zu schützen.
Um sicherzustellen, dass Mediendateien dennoch vor bösartigen Angriffen geschützt sind, empfehlen wir die folgenden Maßnah-men:
Überprüfen Sie die Integrität von Dateien: Speichern Sie in einer Metadaten-Datei einen Hash-WertfürjedeempfangeneMedienda-tei, bevor Sie sie auf die Festplatte schreiben. Bestätigen Sie dann, dass die Datei nicht ge-ändert wurde (das heißt, der Hash ist dersel-be), bevor die Mediendatei von der App in den entsprechenden Chat-Bereich geladen wird, den die Benutzer sehen können. Dieser Schritt kann Entwicklern helfen, zu überprü-fen, ob Dateien manipuliert wurden, bevor sie geladen werden. Dieser Ansatz balan-ciert zwischen den Sicherheitsbedürfnissen (Schutz vor Angriffen auf Media File Jacking) und den Funktionalitäten (zum Beispiel Un-
terstützung von Back-up-Anwendungen von Drittanbietern) der IM-Anwendungen.
Nutzen Sie internen Speicher: Speichern Sie Mediendateien nach Möglich-keit in einem nicht öffentlichen Verzeichnis, zum Beispiel internem Speicher. Dies ist eine Maßnahme, die einige IM-Apps gewählt ha-ben.
Nutzen Sie Verschlüsselung: Versuchen Sie, sensible Dateien zu ver-schlüsseln, wie es bei Textnachrichten in modernen IM-Lösungen üblich ist. Diese und die vorherige Maßnahme schützen Dateien besser vor Exposition und Manipulation. Der Nachteil ist, dass andere Anwendungen, wie zum Beispiel Foto-Back-up-Anwendungen, nicht ohne Weiteres auf diese Dateien zu-greifen können.
So bald als möglich auf Android Q updaten:Mit der Veröffentlichung von Android Q plant Google,ÄnderungenanderArtundWeisevorzunehmen, wie Apps auf Dateien auf dem externen Speicher eines Geräts zugreifen. Der geplante Scoped Storage von Android ist restriktiver als bisherige Speichermethoden, was dazu beitragen kann, Bedrohungen, wie den von uns gefundenen WhatsApp/Telegram-Fehler, abzuschwächen. Scoped Storage bedeutet, dass Apps einen eigenen Speicherbereich ineinemApp-spezifischenVerzeichnis haben, aber nicht auf Dateien in der gesamten Speicherpartition zugreifen können, es sei denn, der Benutzer erteilt eine ausdrückliche Erlaubnis. Dies verspricht zwar einen besseren Schutz der Benutzerdaten, beinhaltetaberauchwesentlicheÄnderun-gen an der Art und Weise, wie Millionen von Anwendungen externen Speicher nutzen. Teilweise wegen dieser Herausforderungen hat Google kürzlich angekündigt, den Roll-out der API erst 2020 in der nächsten großen Plattform-Version voranzutreiben.
Symantec hat Telegram und Facebook/WhatsApp über die Schwachstelle Media File Jacking bereits vor einiger Zeit infor-miert. Anwender können sich zum einen durch geeignete Malware-Erkennungs-En-gines auf ihren Geräten schützen, zum an-deren durch Deaktivieren der Speicherung
von Mediendateien im externen Speicher. Letzteres ist sehr einfach:
WhatsAppEinstellungen R Chats R Sichtbarkeit von Medien: AUS (Bild2)
Bild 2: Deaktivieren der Speicherung von Medi-endateien im externen Speicher bei WhatsApp.
TelegramEinstellungen R Chat Einstellungen R In der Galerie speichern: AUS (Bild 3) n
Bild 3: Deaktivieren der Speicherung von Medi-endateien im externen Speicher bei Telegram.
YAIR AMIT, VP & CTO, Modern OS Security und
ALON GAT, Software Engineer bei Symantec
ENDPOINT/MOBILE SECURITY
DATENBLATT
Die weltweit verbreitetste Datenschutzmanagement-Software ZUR GEWÄHRLEISTUNG VON DATENSCHUTZ-, SICHERHEITS- UND DRITTANBIETER-COMPLIANCEDer schnelle Weg zur Compliance mit DSGVO, BDSG-neu, CCPA, ISO und über 100 weltweite Datenschutz- und Sicherheitsbestimmungen
Technologie zur Unterstützung im Bereich Datenschutz, Sicherheit und Risikomanagement von Drittparteien
Definieren Sie gemeinsam mit uns eine neue Generation von Lösungen im Bereich Datenschutz, Sicherheit und Drittparteienrisiko
Datenschutzmanagement Datenschutz für Marketing und UX-Design
Risikomanagement von Drittparteien Vorfallreaktion
Reifegrad und PlanungBewertung der Compliance-
Berichte
Cookie-ComplianceWebsite-Scanning und Cookie-
Einwilligung
Lieferantenbewertungen Sicherheits- und
Datenschutzrisiken
VorfallreaktionBewertungen,
Benachrichtigungen und Berichte bei Datenpannen
BenchmarkingMarkt- und
Unternehmensvergleich
Compliance für mobile Anwendungen
App-Scanning und mobiles Einwilligungsmanagement
Vendorpedia Risk ExchangeSicherheits- und
Datenschutzrisiken
Aufnahme von VorfällenZentrales Register
BewertungsautomatisierungDSFA, TOMs, PbD und InfoSec
PräferenzmanagementPräferenz-Center für Endnutzer
Vendorpedia MonitoringDatenschutz- und
Sicherheitsbedrohungen
RisikobewertungenRisiko- und Schadensanalyse
VerarbeitungsverzeichnisInventar von Verarbeitungs-tätigkeiten und IT-Systemen
Betroffenenanfragen und Verbraucherrechte
Ganzheitliches Management und Automatisierung
Vendor Chasing ServicesZurückverfolgungs- und
Validierungsdienst
Benachrichtigung und Berichte
Verfolgung von Pflichten
Targeted Data DiscoveryLokalisierung und Löschung
betroffener Daten
Richtlinien und HinweiseZentral hosten, verfolgen,
aktualisieren
Datenflüsse hinsichtlich Lieferanten
Automatisierte Berichte und Verzeichnisführung
Echtzeit-AktivitätsfeedDatenpannen und Strafmaßnahmen
Leistungsstarke Technologieplattform
Regulatorische Forschung auf höchstem internationalem
Niveau
Weltweiter professioneller Kundendienst
Eine große aktive Benutzer-Community
Unübertroffene Breite und Tiefe an Anwendungsfällen in den Bereichen Datenschutz
und Sicherheit
Die intelligenteste Plattform der Branche
mit umfangreichen Regulierungsdatensätzen, die
täglich aktualisiert werden
Die meisten weltweit verfügbaren zertifizierten
Ressourcen zur Unterstützung Ihrer
Implementierung
Die größte und aktivste globale Community zum
Austausch von Best Practices
Über 50 erteilte Patente
Über 60 Sprachen
Über 300 Plug-ins
40 interne Datenschutzforscher
500 Anwälte im Netzwerk
300 abgedeckte Rechtsprechungen
200 Implementierungsmitarbeiter
2.500 zertifizierte Partner
95% Kundenzufriedenheit
Über 10.000 Teilnehmer
Über 250 global Workshops
Über 100 Orte weltweit
66 IT-SICHERHEIT [5/2019]
ENDPOINT/MOBILE SECURITY
AdminRechteverwaltung als Grundpfeiler der Bekämpfung von Einbruchsfolgen
IT-Security endet nicht an der Firewall
Wiesonstauchimmersinddiejenigenambesten vor Bedrohungen geschützt, die sich über diese Gefahren im Klaren sind. Diese Überlegung steht hinter dem As-sume-Breach-Ansatz. Im Gegensatz zur klassischen Herangehensweise, in der die traditionelle IT-Sicherheit die Verteidigung gegen Eindringlinge auf den äußeren Peri-meter legt, wendet sich der Assume-Breach-Ansatz dem Endpunkt zu. Damit durchdringt er sämtliche Bereiche der Unternehmens-IT und betrachtet die Schutzmaßnahmen ganzheitlich. Hier stehen einige, auch orga-nisatorische, Aspekte im Vordergrund.
AdministratorenZugriffe richtig organisieren
ZunächstsolltenalsBasiseinereffizientenSicherheitsarchitektur die Zugriffmetho-den und -rechte besser gestaltet werden. Es empfiehlt sich, einen Zwei-Wege-Au-thentifizierungs-StandardimUnternehmeneinzuführen. Denn, auch wenn Cyberkrimi-
nelle Zugang zu Anmeldenamen und Pass-wort haben, so erschwert beispielsweise ein Code, der an das Smartphone des rechtmä-ßigen Besitzers gesendet wird, unerlaubten Zugriff. Daneben ist es ratsam, ein Privile-ged Password Management (PPM) zu im-plementieren, um den Prozess der Vergabe, ÄnderungunddesEntzugsvonPrivilegienautomatisiert gestalten zu können.
Zusätzlich sollten Administratoren-Ac-counts innerhalb eines Enhanced Security Administrative Environment (ESAE) in drei Gruppen unterteilt und in eigenen Gesamt-strukturen verwaltet werden. Diese admi-nistrativen Bereiche können dann von IT-Sicherheitsexperten auf verdächtige oder untypische Aktivitäten hin untersucht wer-den. Das kann über Meldungen eines au-tomatisierten Managementsystems oder regelmäßige Checks der Account-Bewe-gungen erfolgen. Die Zuordnung der Admi-nistratoren-Konten in die Gesamtstrukturen erfolgt nach dem Ausmaß an Privilegien, die
jederAccount besitzt. Dabei sollten sehrmächtige Accounts in einem administrati-ven Bereich zusammengelegt werden, der entsprechend intensiv beobachtet wird und in welchem auch deutlich höhere Sicher-heitsanforderungen umgesetzt sind. Dazu zählen die exklusive Nutzung von gehär-teten Arbeitsstationen oder die zwingende VerwendungvonMehrfaktorauthentifizie-rungen.
Augen auf bei den StandardAdministratorengruppen
Neben den selbst vergebenen und in ih-rer Ausprägung selbst gestalteten Admi-nistratoren-Konten und -Gruppen gibt es weitere, vom System vorgegebene. Solche Gruppen existieren auf den drei Ebenen Gesamtstruktur (Forest), Domäne und lo-kal. Auf der Forest-Ebene üben Enterprise-Admins unternehmensweit die volle Kon-trolle über sämtliche Domänen aus. Diese Konten verfügen über die umfangreichsten Bi
ld: ©
dep
ositp
hoto
s.com
/jam
desig
n
Beim Stichwort IT-Sicherheit denken viele lediglich an Antiviren-Software, Firewalls, Cyber Security Awareness Trainings und Co. Vergessen wird dabei oft, dass selbst die beste technische Infrastruktur und intensive Schulungen niemals gänzlich ver-hindern können, dass Angreifer sich Zugang zu den IT-Systemen eines Unternehmens verschaffen. Ist die betreffende Orga-nisation dann nicht darauf vorbereitet, die Ausbreitung des Eindringlings einzudämmen, stehen dem Cyberkriminellen Tür und Tor offen. Doch wie lassen sich die möglichen Risiken eines erfolgreichen Angriffs auf die IT-Systeme dennoch bestmög-lich minimieren? Eine gute Idee ist in diesem Zusammenhang, Admin-Rechte umfassend im Griff zu haben.
67IT-SICHERHEIT [5/2019]
Befugnisse. Ebenfalls auf der Forest-Ebene können Schema-Admins das Schema, also die Grundlage des Active Directory Forests, verändern. Üblicherweise kommt das nur seltenvor.Daherempfiehltessich,dieda-für notwendigen Rechte bei Bedarf zu ertei-len und anschließend wieder zu entziehen.
Auf der Domänen-Ebene gibt es drei Ar-ten der Administratoren-Gruppen: Domain Admins, Administrators und Account-Ope-rators. Die Domänen-Administratoren be-sitzen die vollständige Kontrolle über die Domäne. Sie können außerdem, indem sie einen gut dokumentierten Weg folgen, zu Enterprise-Admins aufsteigen. Hingegen können Account-Operators zwar auch Nut-zer-, Domänen- oder Endgeräte-Rechte ein-richten, sie können aber keine Administra-toren bestimmen.
AuflokalerEbenefindensichdieAdminist-ratoren des Rechners, Back-up-Administra-toren, die Dateien sichern beziehungsweise wiederherstellen können oder Power User, die über erweiterte Rechte bei der Nutzung des Rechners verfügen. Daneben können Hyper-V-Administratoren auf lokaler Ebene die virtualisierte Schicht verwalten, ohne dabei über Administratorenrechte auf dem Rechner als solchen verfügen zu müssen.
Endlose Verschachtelungen
Neben dieser Einteilung in verschiedene Administratorengruppen erlaubt Active Di-rectory, dass Gruppen selbst Teil von Grup-pen werden. Diese Verschachtelung kann zum Problem werden: Falls Administrato-ren-Accounts Teil dieser Struktur sind, ist es schwer zu erkennen, wie die Rechte nun tatsächlich verteilt sind. Das schadet der Übersichtlichkeit und führt dazu, dass IT-Sicherheitsteams die Situation nicht immer korrekt nachvollziehen können. Eine solche Situation kann einem Eindringling unter Umständen zum Vorteil gereichen.
Daneben können privilegierte Rechte ein-fach an einen normalen Account delegiert werden. Allerdings schränkt diese Vergabe-praxis auch die Überschaubarkeit in der IT-Landschaft weiter ein.
Komplexe Strukturen erfordern Automatisierung
Diese Vielfalt an möglichen Administrati-onsrechten sowie der freigegebenen Berei-che erschwert die Verwaltung enorm. Allein schon auf lokaler Ebene ergeben sich viele möglichen Konstellationen. Dazu kommen komplexe Konfigurationen auf Gruppen-
und Unternehmensebene hinzu. Händisch ist dies nicht mehr zu bewerkstelligen. Ohne eine passende Administrationsplatt-form können so nicht mehr benötigte Ad-min-Accounts vergessen und im Fall der Fäl-le von Angreifern für Manipulationen weiter genutzt werden. Dem Rechtemanagement kommt folglich eine fundamentale Rolle bei der Umsetzung des Assume-Breach-Ansat-zes zu. Hinzu kommt, dass kompromittierte Accountserstmühsamidentifiziertwerdenmüssen. Das ist ein Zeitaufwand, den sich Unternehmen aus Gründen der Sicherheit kaum leisten können. So sollte sich jederIT-Sicherheitsverantwortliche rechtzeitig mit automatisierten Management- und Si-cherheitsplattformen beschäftigen, bevor der Schadensfall eintritt. n
BERT SKOURPSKI, Senior Manager Sales Engineeringfür Microsoft Platform Management
ENDPOINT/MOBILE SECURITY
Anzeige
Wie stellen Sie sicher, dass in Ihrem Unternehmen personenbezogene Daten gemäß EU-DSGVO gelöscht werden?
- CDMS erfasst initial alle Datensysteme in Ihrem Unternehmen.
- CDMS stellt jeden Löschauftrag automatisiert und dokumentiert bereit.
- CDMS erfüllt die gesetzlichen Dokumentations- und Nachweispflichten.
www.impetus.biz
Hier ist die Lösung! CDMS
Bild
er: ©
dep
ositp
hoto
s.com
/rach
27; ©
dep
ositp
hoto
s.com
/Oks
ana
68 IT-SICHERHEIT [5/2019]
Homeoffi ce, SaaS, Serverless Enterprise Infrastrukturen, Mobile User, IoT: Die Veränderungen in der IT sind drastisch und ha-ben Auswirkungen auf die historisch gewachsene Infrastruktur und deren Nutzung. Eigene Rechenzentren und geschlossene Firmennetzwerke werden eher zum Bottleneck als zu einem Wertschöpfungsbeschleuniger. Die verschiedenen Lokationen, an denen gearbeitet wird – von unterschiedlichen Niederlassungen bis zum Home- oder mobilen Arbeitsplatz, der per LTE oder zukünftig 5G angeschlossen ist, erfordern ein neues Denken für IT-Security. Die passende Antwort kann daher Network Se-curity Fabric lauten: ein Sicherheitsschirm für die Cloud Area Networks der Zukunft.
Die Zukunft ITInfrastruktur für New Work verschmilzt zum Cloud Area Network
Security trifft WAN
Bereits bekannt sind Wide Area Networks (WAN),dieeinengroßengeografischenBe-reich abdecken und lokale Netze (LANs) zu einem großen Netzwerk koppeln, das sich über Länder und Kontinente erstrecken kann. Zum Vermitteln der Daten benötigt das WAN geeignete Übertragungsprotokol-le und Adresskonzepte. In dieser Ausdeh-nung liegt auch der Unterschied zu einem klassischen LAN, wie es bei den meisten Un-ternehmen heute noch im Einsatz ist. Das Local Area Network deckt als Ethernet nur einen kleinen Teilbereich geografisch ab,und nutzt dabei Datenübertragungsraten von 10 MBit/s bis 400 GBit/s ab (entspricht maximal etwa 50 GByte/s Datendurchsatz). Beiderheuteamhäufigstenverwendeten,kupferbasierten Twisted-Pair-Verkabelung (TP) beträgt der Netzwerkradius in der Re-gel maximal hundert Meter, mit Multi mode-Glasfaser einige hundert Meter und mit Monomode-Glasfaser standardisiert bis zu vierzig Kilometer.
Das Internet stellt derweil ein weltumspan-nendes WAN dar, das aus vielen einzelnen Teilnetzen besteht. WANs können von ein-zelnen Organisationen betrieben und exklu-siv von ihnen genutzt werden, aber auch der Allgemeinheit zur Verfügung stehen. Service Provider errichten WANs, um ihren Kunden Zugang zu Netzwerkdienstleistungen zu er-möglichen. Da an einem WAN eine Vielzahl einzelner Rechner angeschlossen sein kann, benötigt es geeignete Vermittlungsprotokol-le und Adresskonzepte. Im Internet überneh-men die Protokolle IPv4- oder IPv6-Adressen diese Aufgabe.
Noch Flexibler: SDWAN
Darauf aufbauend arbeitet die Technolo-giedessoftwaredefiniertenWAN–dasSD-WAN. Mit dieser Technologie bieten sich neue Möglichkeiten, ein Netzwerk einfach und komfortabel zu erweitern. Ein Software DefinedWAN bietet eine extrem flexible
WAN-Architektur, die den einfachen Auf-bau von Overlay-Netzwerken unabhängig von der darunter liegenden WAN-Technolo-gie erlaubt. Ob MPLS, VPN, verschiedenste Provider oder unterschiedliche Bandbreiten: Alles kann auf beliebige Art und Weise zu einem homogenen Enterprise-WAN ver-schmolzen werden. In Deutschland haben bisher nur wenige Early Adopter diese Tech-nologie von amerikanischen Unternehmen umfassend im Einsatz.
Mit dieser Entwicklung, die sich genau an die Kundenerfordernisse anpassen lässt, en-dete auch die Zeit der Abhängigkeit von ei-nem einzelnen Provider. Standleitungen und MPLS könnten schon bald zu Relikten ver-gangener Tage werden. Der neue Ansatz SD-WAN ist zuverlässiger,flexiblerundpreis-werter. Damit steigt gleichzeitig auch die Effizienz.NetzwerkOverlaysundVirtualisie-rung (Verfahren zur Ressourceneinteilung) werden dazu genutzt, eine – im Vergleich zu
CLOUD-/WEB APP SECURITY
herkömmlichen Lösungen – weitaus bessere undzudemflexiblereKonnektivitätbeinied-rigeren Kosten sowie geringerer Komplexität zu liefern. Produkte dieser Art werden typi-scherweise eingesetzt, um teure und dabei auch noch betriebskostenintensive MPLS-Leitungen zu ersetzen.
Gerade dank einer symbiotischen Aggre-gation von preiswerten Internetverbindun-genundderMöglichkeit, fürdie jeweiligeAnwendung den besten Pfad auszuwählen – völlig unabhängig vom Provider – erge-ben sich für Unternehmen sowohl günsti-ge als auch individuelle Alternativen. Die Industrieexperten von Gartner erwarten, dass SD-WAN-Lösungen bis zum Jahr 2020 ein Marktvolumen beziehungsweise einen Umsatz von 7,5 Milliarden Dollar generie-ren werden. Insbesondere Unternehmen, die über verzweigte Strukturen beziehungswei-seZweigstellenverfügen,profitierenvonei-nersolchenUmstellungdes jeweilsunter-nehmensspezifischenNetzwerks.
New Work im Web
Der Begriff New Work hingegen kam bereits in den 1970er Jahren auf – und ist heute durchdieDigitalisierungaktuellerdennje.Früher galt, dass die Arbeit auf dem Büro-schreibtisch zu erledigen war. Heute – dank weltweiter Datenanbindung – kann überall gearbeitet werden. Kein Wunder also, dass Homeoffice undmobileArbeit von jedemPunkt der Erde heute wesentliche Argumen-te für einen Arbeitgeber sind. Und dieser Megatrend wird sich noch verstärken: Zu-künftig werden viel mehr Daten über meh-rere Verbindungstypen weitergeleitet. Auch hier kommt SD-WAN-Technologien eine neue Bedeutung zu. Kleinere lokale Büros, Niederlassungen oder sogar Heimarbeits-plätze lassen sich Plug-and-Play anschlie-ßen, ohne besonderen Aufwand – außer einer Internetleitung – leisten zu müssen. Auch die Arbeit des Admins wird erleichtert: Ohne Probleme kann ein Netzwerkadminis-trator über einen zentralen Computer Edge Appliances programmieren. Das wiederum reduziert die Zeit für das Provisioning; au-ßerdemmüssendiejeweiligenRouternichtmehrmanuellkonfiguriertwerden.
Security geht in die Cloud: Cloud Area Network
Nichts geht ohne Sicherheit – und die muss auch bei den neuen Anwendungsszenarien jederzeitgewährleistetsein.DieEntwicklereines Kölner Systemhauses für Netzwerk-technik und IT-Sicherheit fassen diese Tech-nologie als Sicherungsnetz zusammen und implementieren als einer der ersten einen solchen Service in die Cloud. Mit dem Secu-rity Fabric in der Cloud wurde eine gemein-same Plattform für Security und Wide Area Networking entwickelt. Als Cloud Area Net-workfindendortSaaS,ServerlessEnterpriseInfrastrukturen, Mobile Users, IoT eine ge-meinsame Basis. Das Network Security Fab-ric macht dabei alles sicher. Mit dem Modell können Unternehmen hochperformant die unterschiedlichen Lokationen und mobilen User verbinden und dabei ein Höchstmaß an Sicherheit erreichen.
Die historische Methode über Hardware Firewalls für OutboundTraffic undMPLS-Router eines Carriers für die unternehmens-weite Vernetzung sind so Geschichte. Ein professionell gemanagtes SD-WAN mit voll integrierter Security ist die Zukunft und er-möglicht mehr Sicherheit, als ein Corporate-Virenscanner oder eine Hardware Firewall jemalsbietenkönnten.WährendmitdiesenLösungen eher die Bedrohungen von ges-tern bekämpft werden, entdeckt die Secu-rity in der Cloud auch bereits erste Muster der Risiken von morgen. Dennoch erfordert ein Cloud Area Network auch Wartung: Mit einem eigenen Security Network Operation Center (SNOC) werden die Netzwerke der betreuten Unternehmen 24x7x365 auf ein-wandfreie und sichere Funktion überwacht. In diesem SNOC laufen Monitoring, Trouble-shooting und im absoluten Störfall auch der gesamte Wiederherstellungsprozess in einer Zentrale zusammen. Ein wichtiger Bestand-teil dabei ist das T-CERT: Um auf komplexe Angriffsszenarien reagieren zu können, wur-de eine eigene Security Task Force gegründet. Unterstützt von einer KI-Software mit dem Namen DARWIN können das T-CERT und das SNOC aus Millionen von sicherheitsrelevan-ten Logs die Schwachstellen identifizierenund wirksame Gegenmaßnahmen einleiten.
69IT-SICHERHEIT [5/2019]
CLOUD-/WEB APP SECURITY
Outsourcing von Risiken
Hinzu kommt der sich weiter fortsetzende Trend zum Outsourcing: Unternehmen und die eigenen IT-Abteilungen können kaum noch den Überblick behalten über die neu-esten Entwicklungen in der IT sowie die ak-tuellen Sicherheitsrisiken durch Viren, Wür-mer oder Ransomware. Den IT-Life cycle auszulagern, ist damit ein interessantes Modell – professionelle Unternehmen be-treiben und sichern die Infrastruktur und reduzieren so Kosten und Aufwand für die Wirtschaft. Dennoch müssen diese neuarti-gen Netzwerke designt werden und an die Ansprüche wie Voraussetzungen angepasst werden. Nach dem Rollout und der Imple-mentierung ist ebenso ein Management und Monitoring auf Risiken und ungewöhn-liche Vorfälle wie beispielsweise Hackeran-griffe notwendig. Während aber bei einem herkömmlichenLAN-Verbundjedeseinzel-ne Unternehmen mit der eigenen IT für sich selber sorgen muss, arbeiten so Experten sogar unternehmensnetzwerkübergreifend an der Sicherheit und Geschwindigkeit des Cloud Area Networks. Die Zukunft der Digi-talisierung liegt in der Cloud – anders sind die Herausforderungen der kommenden Jahre auch kaum zu bewältigen. n
ANDREAS SCHLECHTER,Geschäftsführer Telonic GmbH
Die OrganisationDie Kinderklinik Garmisch-Partenkirchen gemeinnützige GmbH ist Mitglied im „Diakonischen Werk Bayern e.V.“ und besteht aus dem Deutschen Zent-rum für Kinder- und Jugendrheumatologie (DZKJR) mit den Schwerpunkten Kinder- und Jugendrheumatologie sowie Behandlung chronischer Schmerzer-krankungen des Kindes- und Jugendalters und dem Sozialpädiatrischen Zentrum.DasDZKJR istdiegrößtekinder-und jugendrheumatologischeAkutklinikinEuropamitüber65JahrenErfahrungundbetreutjährlichca.2.500 stationäre Patienten sowie zusätzlich etwa 900 ambulante Patienten.
Als„zertifiziertesDiabeteszentrumDDG“istdieKlinikeinevonderdeut-schen Diabetesgesellschaft (DDG) anerkannte spezialisierte stationäre und ambulante Einrichtung zur Behandlung von Kindern und Jugendlichen mit Diabetes mellitus. Das Deutsche Zentrum für Kinder- und Jugendrheuma-tologie ist Lehrkrankenhaus der Ludwig-Maximilians-Universität (LMU) München und Weiterbildungsklinik für Kinder- und Jugendmedizin sowie Kinderrheumatologie. Zur Klinik gehören eine Schule für Kranke und eine BerufsfachschulefürGesundheits-undKinderkrankenpflege.
Mehr Performance für digitale Anwendungen und besserer Schutz vor Cybergefahren – diese beiden Ziele standen bei der Netzwerk-Modernisierung im Deutschen Zentrum für Kinder- und Jugend-rheumatologie im Mittelpunkt. Mit Lösungen von Fortinet und SentinelOne konnte VINTIN alle An-forderungen der Klinik erfüllen.
Kinderklinik Garmisch-Partenkirchen gemeinnützige GmbH
Ganzheitliches Sicherheits- und Netzwerk-konzept für die Rheuma- Kinderklinik
SUCCESS STORY
ADVERTORIAL – CASE STUDY
Technologiepartner
CASE STUDY – ADVERTORIALCASE STUDY – ADVERTORIAL
Die HerausforderungWie viele andere Gesundheitseinrichtungen setzt auch das DZKJR immer stärker auf digitale Technologien, um interne Abläufe zu optimieren und das Behandlungsangebot weiter zu verbessern. Dadurch stiegen in den letzten Jahren die Anforderungen an die Leistungsfähigkeit und Sicherheit der IT-Umgebung. „Wir erreichten schließlich den Punkt, an dem unsere Infrastruk-tur mit den neuen Entwicklungen nicht mehr Schritt halten konnte“, sagt Reinhard Steiner, IT-Leiter des DZKJR. „Das Netzwerk bot nicht mehr genü-gend Performance für Echtzeit-Anwendungen wie IP-Telefonie – gleichzeitig mussten wir uns Gedanken darüber machen, wie wir unsere Umgebung bes-ser vor Ransomware, Hackern und anderen Cybergefahren schützen können.“
Das DZKJR suchte nach einem ganzheitlichen Lösungsansatz. Ziel war, sowohl das Sicherheitsniveau als auch die Netzwerkperformance auf eine neueStufezubringen–unddiesmitvertretbaremfinanziellemundadmi-nistrativem Aufwand.
fern. Die Web Application Firewall FortiWeb sichert die Web-Anwendungen der Klinik ab, darunter mehrere Online-Dienste für Patienten. Für Bedro-hungsanalysen in Echtzeit führte die Klinik zudem den FortiAnalyzer ein.
Server, PCs und Notebooks werden schließlich durch die Endpoint Protection Software SentinelOne geschützt. Im Gegensatz zu klassischen Virenscannern setzt die Lösung nicht auf Signaturen oder heuristische Analysen, sondern erkennt Bedrohungen aufgrund ihres Verhaltens – mithilfe autonomer künstlicher Intelligenz auf dem Endgerät. „Für die direkte Verbindung zwi-schen SentinelOne und der Fortinet Security Fabric nutzen wir den VINTIN Connector“, erklärt Reinhard Steiner. „Sollte SentinelOne auf einem Rechner Schadsoftware entdecken, wird der betroffene PC oder Server sofort vom Netzwerk getrennt.“
Die VorteileDie einzelnen Bausteine der neuen Infrastruktur spielen nahtlos zusam-men und sorgen dafür, dass die Patientendaten und IT-Anwendungen des DZKJR umfassend geschützt sind. Egal, an welcher Stelle im Netzwerk, eine Bedrohung auftritt – die Technologien von Fortinet und SentinelOne ergrei-fen sofort die notwendigen Abwehrmaßnahmen. „Wir haben so mit abso-lut vertretbaren Investitionen ein sicheres Netzwerk aufgebaut, das dem neuesten Stand der Technik entspricht“, resümiert Reinhard Steiner. „Auch Management-Reports für die Klinikleitung oder Nachweise für Security-Audits lassen sich heute sehr einfach generieren.“ Begeistert ist der IT-Lei-ter zudem von der einfachen Verwaltbarkeit: „95 Prozent der Abläufe sind automatisiert – dadurch fällt im Alltag nahezu kein administrativer Aufwand an. Ich kenne beispielsweise keine Endpoint-Security-Lösung, die so einfach zu bedienen ist wie SentinelOne. Wir werden die Technologie daher künftig auch für das sichere Management von USB-Sticks und anderen mobilen Datenträgern nutzen.“ ■
Die LösungNach der Evaluierung unterschiedlicher Technologien entschied sich die Klinik für ein integriertes Konzept auf Basis der Fortinet Security Fabric. „Wir pro-fitierendamitvoneinerArchitektur,beideralleNetzwerk-undSicherheits-komponenten wirklich ineinandergreifen“, sagt Reinhard Steiner. Geplant und realisiert wurde die Lösung gemeinsam mit Spezialisten von VINTIN.
ImerstenSchrittersetztendieProjektpartnerdieaktivenNetzwerkkompo-nenten durch FortiSwitch-Appliances und bauten eine redundante Rechen-zentrumsinfrastruktur mit zwei glasfaservermaschten Serverräumen auf. Im Backbone steht dem DZKJR heute eine Bandbreite von 40 Gbit/s zur Verfügung – an den Arbeitsplätzen wurde die Netzwerkgeschwindigkeit auf 10 Gbit/s erhöht. So können die Anwender auch ressourcenhungrige Kommunikations- und Klinik-Software performant nutzen. Die Sicherheit im Netzwerk wird über ein FortiGate-Cluster im Rechenzentrum gesteuert. Die Next-Generation-FirewallsfilternzumeinendengesamtenInternet-Trafficund schützen das Netzwerk mit UTM-Funktionen zuverlässig vor Gefahren aus dem Web. Zum anderen dienen sie als zentrale Management-Plattform für die FortiSwitches und die rund 90 Wireless Access Points von Fortinet. „Damitstellenwirsicher,dassanjedemeinzelnenNetzwerk-PortundanjedemAccessPointdieselbenSicherheitsrichtliniengreifen“,soderIT-Leiter.
MitderFortinet-TechnologiesetzteVINTINeinflächendeckendesVLAN-Kon-zept im DZKJR um. Für die verschiedenen Stationen, die Verwaltungsabteilung unddierund80DruckerderKlinikgibtesjeweilseigenevirtuelleTeilnetze.Diese Segmentierung verhindert, dass sich mögliche Schadsoftware unkon-trolliert im gesamten Netzwerk ausbreiten kann. FortiMail hält als sicheres E-Mail-Gateway Spam und Malware von den Posteingängen der Mitarbeiter
Kurz gesagt:Wir haben mit VINTIN innerhalb von zwei Monaten unsere Wir haben mit VINTIN innerhalb von zwei Monaten unsere gesamte Netzwerk- und Security-Infrastruktur erneuert. Das gesamte Netzwerk- und Security-Infrastruktur erneuert. Das war nur möglich, da die technischen Spezialisten von VINTIN war nur möglich, da die technischen Spezialisten von VINTIN sehr viel Know-how mitbrachten – auch zu unseren vor-handenen Komponenten. So gelang uns eine reibungslose Migration im laufenden Klinikbetrieb.“
Reinhard Steiner, IT-Leiter, DZKJR
VINTIN Solutions GmbHFelix-Wankel-Straße 497526 Sennfeld
T 09721 67594-10E [email protected] www.vintin.de
72 IT-SICHERHEIT [5/2019]
Die Compliance von Systemen für physische Sicherheit mit der Datenschutz-Grundverordnung (DS-GVO) erfordert einen Blick aus zwei Perspektiven: Video-überwachungen generieren Daten, deren Aufzeichnungen und Auswertungen mit den Bestimmungen der DS-GVO konform sein müssen. Darüber hinaus ist aber auch die „Sicherheit der Sicherheit“ zu bedenken, denn über unzureichend ge-schützte Komponenten der physischen Sicherheitsinfrastruktur können Schwach-stellen entstehen, die Angreifern als Hintertüren in Netzwerke dienen. Werden dabei personenbezogene Daten kompromittiert oder manipuliert, kann dies zu empfi ndlichen Strafen im Rahmen der DS-GVO führen.
DSGVOkonforme Videoüberwachung
Sicherheit der Sicherheit
DATENSCHUTZ/BACK-UP/ARCHIVIERUNG
Um DS-GVO-Compliance herzustellen und Strafen zu vermeiden, müssen Unterneh-men ihre Videoüberwachungssysteme auf den Prüfstand stellen. Viele Unternehmen fokussieren sich beim Datenschutz bislang auf gespeicherte Informationen, wie Na-men, Geburtsdatum, Familienstand, Zah-lungsinformationen usw. Dabei wird oft vernachlässigt, dass auch Videoaufnahmen zu den personenbezogenen Daten gehö-ren,wennsiedieeindeutige Identifikationvon Personen oder Fahrzeugen ermöglichen. Insbesondere die Überwachung von Außen- oder Eingangsbereichen wirft zudem weitere Compliance-Fragen auf, denn es wird auch zukünftig unmöglich sein, von zufälligen Passanten oder Besuchern ein Einverständ-nis zur Datenverarbeitung einzuholen, wie es die DS-GVO an sich fordert.
Welche konkreten technischen Maßnahmen zum Datenschutz hier erforderlich sind, lässt die DS-GVO absichtlich offen, denn die Re-
gelung soll herstellerneutral sein und Raum lassen für die schnelle technologische Wei-terentwicklung. Stattdessen werden zwei generelle Anforderungen formuliert: Eine Infrastruktur zum Schutz personenbezoge-ner Daten muss von Grund auf sicher konzi-piert sein und dem aktuellen Stand der Tech-nik entsprechen. Im Ernstfall einer internen oder externen Datenschutzverletzung sowie bei Audits liegt die Last des Nachweises der technologischen Aktualität bei den Unter-nehmen.
Risikofaktor lässt sich senken
Vor diesem Hintergrund werden Investitio-nen in den Schutz der Videoüberwachung unumgänglich sein. Zumindest das Problem der Videoaufzeichnungen von Personen, die keine Einwilligung gegeben haben, lässt sich aber technologisch entschärfen: Durch Mas-kierung und Verpixelung können sensible Be-reiche sowie Personen und Nummernschilder
von vornherein unkenntlich gemacht wer-den. Aufzeichnungen sind dann also nicht mehr personenbezogen.
Der Haken: Die Verpixelung muss immer voll-ständig sein, auch wenn Personen oder KFZ kurz stehen bleiben oder sich die Beleuch-tungssituation ändert, was viele Algorithmen nicht leisten können. Bei der Auswahl einer Verpixelungstechnologie müssen Unterneh-men daher sehr sorgfältig vorgehen. Einen AnhaltspunktliefernZertifizierungenwiedasEuropean Privacy Seal (www.european-pri-vacy-seal.eu), das die Kompatibilität mit eu-ropäischen Datenschutzrichtlinien bestätigt.
Von zentraler Bedeutung für die Compliance mit der DS-GVO ist zudem die strenge Regle-mentierung des Zugriffs auf Videodaten. Aus diesem Grund ist zum Beispiel der Schutz der Privatsphäre idealerweise direkt in die über-geordnete Management-Plattform Gene tec integriert. Über die dort verfügbaren Auto-
Zentrale Maßnahme bei der Inbetriebnahme ist zudem die Vergabe eines sicheren und individuellen Kamera-Passworts. In diesem Zusammenhang muss darauf hingewiesen werden, dass es in der Vergangenheit immer wieder Berichte über werksseitig eingestellte Master-Passwörter bei einigen Geräten ge-geben hat, was Unternehmen bei der Kame-raauswahl bedenken sollten.
Schutz von Übertragungen
Systeme wie Management-Plattformen für Videoüberwachung müssen zudem auch selbst sicher sein. Dazu gehören unter an-derem die Nutzerüberprüfung durch Zwei-Faktor-Authentifizierung (Passwort, Token,Biometrie) auf Client-Seite sowie der Einsatz einerPKI-InfrastrukturzurServer-Authentifi-zierungdurchZertifikate.Diesschütztaller-dings nur vor einem Zugriff auf das Frontend und kann nicht verhindern, dass Angreifer zum Beispiel Videoübertragungen zwischen Kameras, Clients und der Management-Plattform abfangen oder sogar manipulieren. Deshalb ist der Einsatz starker Verschlüsse-lungsverfahren von entscheidender Bedeu-tung. Über das TLS-Protokoll (Transport Layer Security, vormals SSL) können Kommunikati-onskanäle zwischen Servern und Client-Ap-plikationen sowie zwischen Servern unter-einander verschlüsselt und damit geschützt werden. Bei der Übertragung von Videoauf-nahmen mit dem RTSP (Realtime Streaming Protocol) sollte zudem durch RTSP over TLS eine weitere Verschlüsselungsebene etabliert werden.
Alternative Cloud?
Die steigende Zahl von Kameras mit immer höhererAuflösung stellt nicht nur das Si-cherheitsmanagement, sondern auch die IT-In frastruktur vor Herausforderungen. Durch die immensen Datenmengen können erheb-liche Kosten und Aufwände für Beschaffung, Erweiterung und Wartung der Server entste-hen, auf denen Applikationen gehostet und Videoaufzeichnungen archiviert werden. Vor diesem Hintergrund kann es vorteilhaft sein, die Videoüberwachung ganz oder teilweise in die Cloud zu verschieben. Cloud Services bieten die Möglichkeit, vollständig gehoste-te Videoüberwachungssysteme für eine fes-
teundkosteneffizientemonatlicheGebühreinzusetzen. Damit wird ein wesentlicher Teil der Verantwortung für den technischen Datenschutz an den Cloud Service Provider ausgelagert. Unternehmen sind aber weiter-hin selbst für Zugriffskontrollen und Rechte-Management verantwortlich.
Fazit
Mit proprietären Altsystemen werden Un-ternehmen die Anforderungen der DS-GVO nur schwer erfüllen können. IP-basierte In-frastrukturen für physische Sicherheit bieten hier deutliche Vorteile: Alle Komponenten von der Kamera bis zum Alarm sowie auch geografischentfernteStandortekönnen ineine einzige Management-Plattform inte-griert werden, sodass Vorfälle schneller er-kannt und gemeldet werden können. Hard-ware lässt sich einfach austauschen oder updaten, um auch noch in Jahren aktuellen Schutz zu gewährleisten. Durch Verpixelung und Maskierung können Risikoquellen für den Datenschutz an der Quelle eliminiert werden, wenn die eingesetzte Technologie nachweisbar den Compliance-Anforderun-gen entspricht und ein striktes Zugriffsma-nagement implementiert ist.
Viele Altgeräte lassen sich parallel zu IP-ba-sierten Komponenten weiterverwenden. Im Rahmen eines langsamen Übergangsprozes-ses können neue Geräte außerdem bereits in der Cloud gehostet und cloudbasierte Ap-plikationen implementiert werden, während die lokale Server-Infrastruktur weiterhin für bestehende Anwendungen und Geräte be-reitsteht. n
DATENSCHUTZ/BACK-UP/ARCHIVIERUNG
risierungsverfahren ist sichergestellt, dass Nutzer nur innerhalb ihrer Rechte Daten aufrufen, exportieren, löschen oder bearbei-ten können.
Trend geht zu IPbasierter Videoüberwachung
Der Wirkungsbereich der DS-GVO beschränkt sich nicht auf den Schutz der eigentlichen Daten, sondern erstreckt sich auch auf den Schutz der physischen Sicherheitsinfrastruk-tur vor Angriffen. Im Bereich der Videoüber-wachung geht der Trend seit Jahren zu IP-basierten Systemen, denn Altsysteme mit proprietärer Verkabelung können meist nur schwer aktualisiert werden und weisen zu-dem bestens bekannte Schwachstellen auf. IP-basierte Videoüberwachung lässt sich hin-gegen problemlos erweitern und zudem mit Zutrittskontrollen, Alarmsystemen etc. in ei-ner einheitlichen, übergreifenden Manage-mentinfrastruktur integrieren.
Geräteschwachstellen systematisch schließen
Durch die Migration zu einer IP-basierten physischen Sicherheitsinfrastruktur wächst aber auch die Zahl der über das Netzwerk erreichbaren Endgeräte, darunter IP-Kame-ras, IP-Lesegeräte, IP-Schlösser oder IP-Inter-coms. Die Erfahrung hat gezeigt, dass diese Geräte zumindest in der Standardeinstellung als unsicher gelten müssen. Es besteht daher die Gefahr, dass Angreifer ein ungesichertes Gerät übernehmen und sich sodann lateral durch das Netzwerk vorarbeiten.
Erster und wichtigster Schritt zur Absiche-rung von Videokameras und anderen IP-Ge-räten sollte immer die Vergabe eines star-ken Passworts und die Abschaltung nicht benötigter Funktionen sein. Bei der Gerä-teauswahl ist daher darauf zu achten, dass Dienste/Ports (zum Beispiel Telnet, SNMPv1/v2) deaktiviert werden können, um eine ge-ringeAngriffsflächezubieten.Verbindungenvom Gerät nach außen sind nur in Ausnah-mefällen akzeptabel. Weitere wichtige Punk-te sind die gesicherte Aktualisierung durch den Hersteller, sowie unter Umständen ein physischer Schutz gegen manuelle Resets am Gerät.
NORMEN WOLLMANN, Regional Director DACH bei Genetec
73IT-SICHERHEIT [5/2019]
74 IT-SICHERHEIT [5/2019]
Digitalisierung bringt erstaunliche und groß-artige Szenarien. So hat Tesla zum Beispiel durch vernetzte smarte Autos die Mög-lichkeit eröffnet, binnen weniger Stunden System updates auf die komplette Fahrzeug-flotteauszurollen.OhneentsprechendeIT-Sicherheit wäre so etwas ein einfaches Ein-fallstor für Angreifer. Auch Cloud-Lösungen sind erst durch schützende IT-Sicherheit in der Masse möglich geworden. Heutzutage ist es fast undenkbar, Informationen nur auf einem Endgerät mitzuführen. Fotos, Doku-mente und Notizen sind auf vielen unter-schiedlichen IT-Systemen immer synchroni-siert und können mit anderen schnell und sicher ausgetauscht werden.
Neue Ideen und Möglichkeiten durch Digi-talisierung, etwa im Verwaltungsverwesen
und in Smart-City-Anwendungen, bringen viele Vorteile für die Kommunen, Länder und Bürger. Mitarbeiter im Bürgercenter werden entlastet, und die Bürger genießen die vie-len Vorteile, welche die Digitalisierung mit sich bringt.
Passwörter sind nicht die Zukunft, und das ist auch gut so!
Viele digitalisierte Prozesse stoßen früher oder später auf eine Herausforderung: Iden-tifizierungundAuthentifizierungvonNut-zern. Die Kombination aus Nutzernamen und Passwort bietet zwar den Vorteil, dass jederweißwieesfunktioniert,istabersehrunsicher! Einfach schnell den üblichen Nut-zernamen verwendet und genauso einfach
wieder das eine Passwort, das so gut im Kopf bleibt.
Doch dies birgt ein fatales Risiko: Gestoh-lene Passwörter gehören heutzutage zum Tagesgeschäft. Gerade das Passwort-Ver-fahren birgt neben dem hohen Sicherheits-risiko zusätzlich noch ein hohes Kosten-problem. Die Verwaltungskosten für ein Passwort-Verfahren explodieren förmlich undsummierensichjährlichzueinemsehrrelevanten Posten. Komplizierte Passwort-regeln führen dazu, dass sich Nutzer aus Versehen aus dem IT-System aussperren, System-Admins verbringen viele Stunden pro Woche mit dem Zurücksetzen von Ac-counts. Identitätsdiebstahl durch schwache Passwörter, etwa für E-Mail-Konten, ver-ursacht innerhalb von Unternehmen sehr
Um die Digitalisierung in Deutschland fl ächendeckend vorantreiben zu können, benötigt es mehr IT-Sicherheit und Vertrauenswürdigkeit in der digitalen Welt. Täg-lich fi nden immer mehr und neue Angriffe auf IT-Systeme statt. Eine starke Verbrei-tung von Ransomware oder der Datenklau von Milliarden von Passwörtern sind nur zwei Beispiele von sehr vielen. Die Studie „Cybersecurity as a Growth Advantage“[1]
eines großen IT-Unternehmens fi ndet 400 neue Anwendungsfälle, die nur dank adäquater IT-Sicherheit digitalisiert werden können. Damit zählen IT-Sicherheit und Vertrauenswürdigkeit als primärer Wachstumstreiber für Digitalisierung. Multifak-tor-Authentifi kation und digitale Signaturen sind hier gefragt, um Projekte, wie eine Art Bürger-Ausweis, auf Basis eines Smartphones realisieren zu können.
AUS FORSCHUNG UND TECHNIK
ITSicherheit als Wegbereiter für die Digitalisierung
Smartphone Bürger-ID
Bild
: © d
epos
itpho
tos.c
om/b
izoon
setzt werden Konzepte der adaptiven Au-thentifizierungmithilfevonMFA-Systemen,dieflexibelinAbhängigkeitdesgeradenot-wendigen Sicherheitsniveaus die passenden Authentifikationsverfahrenauswählen.[2] Ein Beispiel: Überweisungen von bis zu 20 Euro können schnell mit dem Smartphone abge-wickelt werden, wohingegen Transaktionen ins Ausland oder unübliche hohe Summen mehrere Faktoren, wie Biometrie und PIN, erfordern.
Smartphone BürgerID
Die Smartphone Bürger-ID ist ein Koopera-tionsprojektzwischendemInstitut für In-ternet-Sicherheit der Westfälischen Hoch-schule, XignSys, der Stadt Gelsenkirchen und der Stadt Aachen. XignSys ist eine Ausgründung des Instituts für Internet-Si-cherheit. Gegründet wurde sie 2016 und ist
hoheSchäden.Sehrhäufigwerdensowich-tige Dinge, wie Firmeninterna, Kundendaten, Protokolle und Betriebsgeheimnisse, auf ein-fache Weise gestohlen. Identitätsdiebstahl ist auch für Phishing-Angriffe, Malware, wie Keylogger (Ausspähen aller Eingaben über die Tastatur) und Social Engineering ein sehr beliebtes Einfallstor. Passwörter als Sicher-heitsfaktor bieten hier inzwischen völlig un-zureichenden Schutz.
Alternativen, wie Chipkarten oder Secure-Tokens zur Generierung von „time based onetime passwords“, sind immer an zusätz-liche Hardware und Mehrkosten gebunden. Entsprechende Systeme sind zudem nur sel-ten interoperabel.
Passwörter werden bald keinen Platz mehr inder Industrie4.0finden.Smart-City-An-wendungsfälle, das „Internet of Things“ und neue Mobilitätslösungen benötigen eine schnelle,einfacheundsichereAuthentifizie-rung, zum Beispiel mithilfe von Multifaktor-Authentifikationsverfahren. EineMultifak-tor-AuthentifizierungdientderVerifizierungder Identität eines Nutzers mittels der Kom-bination verschiedener und insbesondere unabhängiger Klassen von Authentifizie-rungsverfahren. Eine häufigeVariante istdieZwei-Faktor-Authentifizierung(2FA)mitBesitz und Wissen, zum Beispiel Hardware-Sicherheitsmodul (Smartcard, USB-Token …) plus PIN zur Aktivierung des Hardware-Sicherheitsmoduls. Bei der Multifaktor-Au-thentifizierung (MFA) kommt mindestensnoch ein weiterer Identitätsbeweis dazu, meist ein unverwechselbares körperliches Merkmal.
Die Klassen derMultifaktor-Authentifizie-rung sind also:
� etwas, das der Nutzer besitzt, wie zum Beispiel ein Hardware-Sicherheitsmodul;
� etwas, das der Nutzer weiß, wie zum Bei-spiel ein Passwort oder PIN;
� etwas, das als körperliches Charakteristi-kum untrennbar zum Nutzer gehört (das Sein), wie zum Beispiel ein Fingerabdruck, das Gesicht oder die Stimme.
Ein typisches Beispiel für eine MFA ist ein Hardware-Sicherheitsmodul, das mit einem
Passwort oder einer PIN aktiviert werden muss. Um den Nutzerbezug zu verstärken, muss der Nutzer noch mithilfe eines Finger-abdrucks oder der Gesichtserkennung seine Identitätzusätzlichverifizierenlassen.
Risikobasierte und adaptive Authentifizierung
Eine adaptiveAuthentifizierung entschei-det auf der Basis der Vertrauenswürdigkeit des zugreifenden Nutzers, der Kritikalität der konkreten Anwendung/Aktion und den Rahmenbedingungen des aktuellen Zugrif-fes darüber, welche Authentifikationsver-fahren zum Einsatz kommen sollen. Dieser risikoorientierte Ansatz erhöht das allge-meine Sicherheitsniveau und vermindert die Anzahl nicht notwendiger starker Authenti-fizierungen.EswirddasOptimumzwischenSicherheit und Komfort angestrebt. Umge-
AUS FORSCHUNG UND TECHNIK
Anzeige
maßgeblich für die Entwicklung der Techno-logie XignQR zuständig. XignQR ermöglicht eine sichereMultifaktor-Authentifizierungam Servicekonto. Für die Stadt Aachen ist der IT-Dienstleister „regio iT“ Partner, der sowohl das Serviceportal „aachen.de“ als auch die Implementierung der Smartphone Bürger-ID in das Portal begleitet. Gefördert wird es mit Mitteln der digitalen Modell-regionen des Ministeriums für Wirtschaft, Innovation, Digitalisierung und Energie des LandesNRW(MWIDE).DieProjektlaufzeitist von Januar 2019 bis Ende 2021.
Zum aktuellen Zeitpunkt wird die digitale Identifizierung undAuthentifizierung zumBeispiel am Servicekonto mit zwei verschie-denen Auswählmöglichkeiten angeboten: dem klassischen Nutzernamen und Passwort und mithilfe des neuen Personalausweises (nPA). Dabei weist nach eIDAS (electro-nicIDentification,AuthenticationandtrustServices) nur der nPA das Vertrauensniveau „hoch“ auf. Die klassische Registrierung per Nutzernamen und Passwort hingegen ist nur „niedrig“ und kann damit aus Sicherheits-gründen nicht für die Nutzung kommunaler Dienste empfohlen werden. Es fehlt das nö-tige Vertrauensniveau, um sicherstellen zu können, dass die registrierte Person sicher identifiziertwerdenkann.
DernPA leidet jedochaufgrundmehrererProbleme an Akzeptanz: Zusätzliche Hard-ware, etwa ein Kartenlesegerät, sind Kos-ten, die ungern in Kauf genommen werden. Zusätzlich ist die Online-Funktion noch nicht in jedem nPA aktiviert und selbstwenn, fehlt den meisten Bürgern die Frei-schaltung und die PIN, um die Dienste nut-zen zu können.
Das Smartphone als Sicherheitsanker für die digitale BürgerID
Daher wird es als sehr gute Idee erachtet, wenn das Smartphone für die digitale Bür-ger-ID genutzt wird. Fast 90 Prozent aller Android Smartphones besitzen mittlerweile einen eingebauten Hardware Keystore[3] und bieten damit besseren Schutz als nur Pass-wörter.Ähnlich sieht es beim iPhone aus:Über 84 Prozent der Apple Smart phones
76 IT-SICHERHEIT [5/2019]
AUS FORSCHUNG UND TECHNIK
laufen bereits mit der aktuellen iOS Versi-on.[4] Dazu kommt viel weitere Technik, die das Smartphone anbietet: Biometrische Sen-soren, zum Beispiel für Fingerabdrücke, Ge-sichtserkennung oder Iris-Scanner. Ebenso gehört dazu ein einfacher Multitouch-Bild-schirm, mit dem vorher eingegebene Daten vom Server doppelt auf dem Smartphone überprüft werden können.
Mithilfe des Smartphones kann das pas-sende Vertrauensniveau „substanziell“ er-zielt werden. Bestehende Basistechnologie erlaubt es Kommunen, Ländern und Unter-nehmen, neue E-Government- und Smart-Ci-ty Anwendungen für den Bürger einfach und dennoch sicher zugänglich zu machen. Dies ist zwingend notwendig, um alle möglichen Dienste für das Onlinezugangsgesetz umset-zen zu können.[5]Deutschlandbefindetsichlaut einer Studie des Fraunhofer-Instituts in einer schwierigen Situation. Nur neun Pro-zent aller Kommunen in Deutschland bieten mehr als 20 Online-Verfahren an. Das Fehlen von entsprechenden Angeboten führt dazu, dass diese kaum bekannt sind und selten genutzt werden. Dabei könnte über ein Drit-tel der Kosten für die Verwaltung in Deutsch-land eingespart werden. Diese Einsparungen könnten helfen, den Aufbau eines noch grö-ßeren Angebots herbeizuführen. Außerdem werden die notwendigen Behördengänge für die Bürger sehr viel einfacher, weil sie von zu Hause aus oder unterwegs einfach umgesetzt werden können.
Modernes MultifaktorAuthentifizierungssystem und Identifikationsverfahren
Ein modernes Multifaktor-Authentifizie-rungssystem muss das komplexe Umfeld vonIT-Ökosystemen,einenflexiblenSchutzvon Nutzerdaten und ein anwendungsspe-zifischesVertrauensniveaubeiderAuthen-tifizierung des Nutzers berücksichtigen.[2]
Daraus lassen sich die folgenden Anforde-rungen ableiten:
� Hohe Sicherheit bei geringer Komplexität� Adaptive Balance zwischen Sicherheit und
Nutzerfreundlichkeit� Einfache Integration� Interoperabilität und Flexibilität� Datenschutz und -sparsamkeit� Hohe Nutzerakzeptanz durch Verzicht auf
Zusatzhardware, Transparenz, Informatio-nelle Selbstbestimmung und einfache Ver-waltung und Nutzung
Im Folgenden wird eine Lösung einer hand-habbaren und modernen Multifaktor-Au-thentifizierungvorgestellt.[6]
Für den Einsatz dieses modernen Multifak-tor-Authentifizierungssystems sind grund-sätzlich vier Akteure notwendig, die durch eine Public-Key-Infrastruktur (PKI) gestützt werden: die Smartphone App (APP), der AuthentifizierungsmanagerunddieEinbin-dungskomponente beim Diensteanbieter.
Bild 1: Funktionsweise des MFA-Systems
Bild 2: Konzept der Smartphone Bürger-ID App für NRW
Beim Diensteanbieter handelt es sich um ein IT-System, wie eine Webseite (Shop, Be-hörde, Bank, …), ein ERP-System oder einen lokaler Arbeitsrechner. Um dem Nutzer den Zugriff auf den Dienst zu ermöglichen, muss erzuvorvomDiensteanbieterauthentifiziertwerden. Zu diesem Zweck ruft der Diens te-anbietereinenQR-CodevomAuthentifizie-rungsmanager ab, der dem Nutzer zum Bei-spiel auf der Webseite präsentiert wird. Der Nutzer kann dann mithilfe der APP den QR-Codeeinlesen,umdieAuthentifizierungzustarten. Die APP verarbeitet die darin ent-haltenen Informationen und kommuniziert mit dem Authentifizierungsmanager, umdenNutzer schließlich zu authentifizieren(Bild 1).
DasAuthentifizierungsergebnisunddiean-gefragten Nutzerdaten werden dann vom AuthentifizierungsmanagerandenDienste-anbieterübermittelt.DieAuthentifizierungan sich wird über ein PKI-basiertes Challen-ge-Response-Verfahren unter Verwendung des persönlichen Schlüsselmaterials des Nutzers, umgesetzt.
Konzept der Smartphone BürgerID App für NRW
In Bild 2 ist das Konzept der Smartphone Bürger-ID App für NRW dargestellt. Die An-wendungsfelder im Bereich eGovernment und SmartCity sind dargestellt und die Si-
cherheitsfunktionen für dieAuthentifizie-rung, Signatur und Payment als wichtige IT-Sicherheits- und Vertrauensdienste sind als „enabler“ positioniert.
Die Registrierung des Bürgers funktioniert über zwei einfache Schritte: Ein Bürger lädt sich die App auf sein Smartphone, etwa über den Play Store oder den App Store. Beim ersten Starten der App wird der Bürger nun aufgefordert, sein Smartphone zu persona-lisieren. Dafür kann er sich zum Beispiel an einem Self-Service-Terminal im Bürgerzen-trum der Kommune registrieren. Dort wird einmalig der Personalausweis benutzt, um denBürgersicherundeinfachidentifizierenzu können. Danach wird mit dem Smart-phone ein QR-Code eingescannt, der dann die Smartphone-Bürger-ID-App koppelt. So kann innerhalb weniger Minuten die App lauffähig gemacht werden.
Um eine sichere Kommunikation zu er-möglichen, wird immer als erster Faktor fürdieAuthentifikationeinChallenge-Re-sponse-Verfahren verwendet. Dafür wer-den während der Personalisierung mehrere Zertifikate zwischendemServer unddemSmartphoneausgetauscht. Soerhält jederFaktorfürdieAuthentifikationdesNutzersein eigenes Schlüsselpaar, um später meh-rere, unterschiedlich starke, Sicherheitslevel ermöglichen zu können. Das Smartphone, der biometrische Faktor, zum Beispiel ein
Fingerabdruck oder eine Gesichtserkennung und eine PIN, bieten bis zu drei Faktoren: Be-sitz, Sein und Wissen.
Als Einsprungspunkt für dieAuthentifika-tion sind alle möglichen Auslöser denkbar, wie zum Beispiel QR-Codes, NFC (Near Field Communication), Bluetooth Beacons oder Sound.Bei jederAuthentifizierungoderSi-gnierung von Daten, wird nun mithilfe der ausgerollten Zertifikate ein Schlüsselaus-tausch gestartet. Jede Session wird zu-sätzlich mit neuen Secrets (Geheimnissen) verschlüsselt, um dem Mitlesen von Infor-mationen vorzubeugen. Die üblichen Angrif-fe, wie Man-in-the-middle-Attacken, werden zusätzlich durch das Signieren aller Daten verhindert. Passwörter werden komplett aus demAuthentifikationsprozess substituiert.Übliche Angriffsvektoren auf die Passwörter der Nutzer, etwa durch Keylogger, funktio-nieren somit nicht mehr.
WirdjetzteinDienstderStadtgenutzt,las-sen sich mithilfe der Smartphone Bürger-ID unterschiedliche Sicherheitsniveaus reali-sieren. Handelt es sich um einen besonders schützenswerten Dienst, etwa das Beantra-gen eines polizeilichen Führungszeugnisses, können entsprechend viele Faktoren für die Authentifikationgefordertwerden,wieeineKombination aus Besitz des Smartphones, der dazugehörigen PIN und des registrier-ten Fingerabdrucks oder eine Gesichtserken-
77IT-SICHERHEIT [5/2019]
AUS FORSCHUNG UND TECHNIK
nung. Somit ist auf modernen Smart phones eineMultifaktor-Authentifizierungvonmin-destens drei Faktoren möglich. Andere, we-niger schützenswerte Dienste, etwa das Bezahlen der Hundesteuer, können schnell erledigt werden, nur mit dem Basis-Challen-ge-Response-Protokoll, ohne weitere Fakto-ren zu fordern.
Sicherheit der verwendeten Schlüssel und Zertifikate
Alle Zertifikatewerdenwährend der Per-sonalisierung hart an ein Smartphone ge-bunden. Hierfür werden möglichst viele In-formationen des Smartphones genutzt, um die Schlüsselpaare vor Diebstahl zu schüt-zen. Zusätzlich wird bei Android-Geräten ein Hardware-backed Keystore verwendet, umdieZertifikatemithilfevonHardware-Kryptografiezuschützen(Bild3).SeitAn-droid 5.0 (erschienen im November 2014) könnenkryptografischeFunktionenmithilfedes Hardware Keystores durchgeführt wer-den, ohne dass die Schlüssel in den Spei-cher geladen werden müssen. Zusätzlich sind weitere Schutzmechanismen aktiviert. Schlüssel können nur genutzt werden, wenn sich der Besitzer des Smartphones authen-tifiziert hat, etwa durch Entsperren desSmartphones oder per Freigabe durch die Biometrie.[7]
DieAPIdesKeystoreswirdmit jedemgro-ßem Android Update weiterentwickelt. So kamen zusätzliche Funktionen dazu, wie zuletzt die Verwendung der Gesichtserken-nung.
Bei iOS-Geräten wird die Secure Enclave von Apple verwendet. Diese ermöglicht das Spei-chern von Passwörtern, Schlüsseln und Zerti-fikatenineinemgeschützten,hardware-ba-sierten Schlüsselmanager. Dieser ist isoliert vom Prozessor, auf dem die Software läuft (Bild 4). Bei Anfragen an die Secure Enclave, etwa zum Verschlüsseln oder Entschlüsseln von Daten, wird immer nur das Ergebnis der Operation übertragen. Die Schlüssel werden nie in den Arbeitsspeicher geladen und er-schweren den Diebstahl damit deutlich für Angreifer. Dieser Schutz ist in allen iOS-Ge-räten möglich, die eine TouchID oder FaceID unterstützen.[8]
Damit wird auf den beiden meistverwen-deten Betriebssystemen für Smartphones sichergestellt, dass einem Angreifer der Datendiebstahl so schwierig wie möglich gemacht wird. Regelmäßige Überprüfun-gen, ob die Geräte nicht „gerooted“ oder
78 IT-SICHERHEIT [5/2019]
AUS FORSCHUNG UND TECHNIK
„gejailbreaked“wurden,vervollständigendas Sicherheitssystem.
Jede Session zwischen dem Server und dem Smartphone wird zusätzlich mit einem Ses-sion-Key und unter Verwendung der Perfect-
Bild 4: Aufruf einer kryptografi schen Funktion in iOS
Bild 3: Aufruf des Keymasters durch die Smartphone App
Forward-Secrecy-Methode verschlüsselt. Damit wird Replay-Attacken vorgebeugt undjederNachrichtenaustauschmüssteex-plizit geknackt werden. Ein möglicher An-greifer im Netzwerk kann keine schützens-werten Daten mitlesen, da sie verschlüsselt sind.
Außerdem enthalten alle Einsprungspunkte einer Kommunikation, etwa die QR-Codes, nur das Minimum an Informationen, die benötigt werden, um eine Verbindung zum Server aufzubauen. Sollte dieser vom An-greifer gescannt werden, kann er keinen Schaden anrichten. Auch gefälschten QR-Codes wird vorgebeugt, da alle QR-Codes vom registrierten Identity-Manager signiert werden, dessen öffentlichen Schlüssel das Smartphone bei der Registrierung übertra-gen bekommt.
Um den Nutzer vor Schadsoftware zu schüt-zen, die seinen Bildschirm aufnehmen oder sich als Keylogger ins System integriert ha-ben, ist zusätzlich noch eine eigene Tastatur entwickelt worden. Diese ist immer zufällig angeordnet und liegt über der Softwareta-statur des Betriebssystems. Dadurch sind Eingaben des Nutzers, etwa die PIN, vor Angriffen geschützt.
Digitale Signatur
Mit der Smartphone Bürger-ID sind auch qualifizierte Signaturen nach eIDASmög-lich. Mit dem substanziellen Sicherheitsni-veau können elektronische Fernsignaturen realisiert werden, die eine physische Anwe-senheit einer Person oder des bevollmäch-tigten Vertreters erübrigt. Die geforderte Zwei-Faktor-Authentifizierung istebenfallssichergestellt. Die Anwendungsfälle sind breit gefächert: Anträge der Stadt lassen sich signieren, auch Geldüberweisungen können digital signiert werden, AGB und Verträge können bequem aus der Ferne mit-hilfe der Smartphone Bürger-ID unterzeich-net werden. Dies steigert nicht nur die Be-nutzerfreundlichkeit, sondern erhöht auch den Schutz, zum Beispiel gegen gefälschte Unterschriften oder bei gestohlenen Unter-lagen. Damit können Bürger in Deutschland und in der ganzen EU Unterlagen rechtsgül-tig signieren.
PaymentLösungen und weitere sicherheitsrelevante Dienste
Die entwickelte Technologie macht aber hier nicht Schluss: Um ein komplettes Öko-system an digitalen Lösungen umsetzen zu können, ist auch die direkte Bezahlung von Warenkörben geplant. Statt den Nutzer zu zwingen, sich ständig neu registrieren und immer wieder die Rechnungsanschrift inklusive Überweisungsdaten einpflegenzu müssen, können Anbieter mit wenigen Schritten ihre Payment-Lösung ins System integrieren. Die verifiziertenNutzerdatenkönnen über Föderationen mit Partnern er-weitert werden, um den Bürger weiter zu schützen. Auch digitale Zahlungsmittel, wie
Kryptowährungen (Bitcoin, Libra …) sind vorgesehen. Die Datenhoheit bleibt beim Nutzer.
Ausblick
Die Smartphone Bürger-ID ist ein Leucht-turmprojekt fürdiegesamteBundesrepu-blik. Die Ideen für Anwendungsfälle sind fast grenzenlos. Aber auch die Interopera-bilität der Lösung ist gegeben. Um in Zu-kunft möglichst keine Passwörter mehr be-nutzen zu müssen, gibt es die Möglichkeit, mehrere Identity Provider zu koppeln. So ist etwa denkbar, dass auch der Stromdienst-leister der Stadt sein System anknüpft, um Auftragsbestätigungen digital ans Smart-phone zu schicken und sich vom Bürger be-
© 2
019
Gen
etec
Inc.
genetec.com/de
Sicherheitsmanagement für Unternehmen, Städte
und OrganisationenGenetec Security Center ist eine modulare Lösung für
das zentralisierte Sicherheitsmanagement. Je nach Anforderungsprofil werden Videoüberwachung und
-analyse, Zutrittskontrolle, Nummernschilderkennung und weitere Systeme auf einer einzigen Plattform vereint. Die einfache Integration aller am Markt üblichen IP-Kameras bietet höchste Flexibilität.
Ad_DE_Security-Management_90x129mm.indd 2 2019-02-08 11:33 AM
Anzeige
79IT-SICHERHEIT [5/2019]
AUS FORSCHUNG UND TECHNIK
80 IT-SICHERHEIT [5/2019]
AUS FORSCHUNG UND TECHNIK
NORBERT POHLMANN, Informatikprofessor für Informationssicherheit und Leiter des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco.
ALEXANDER STÖHR, technischerProjektleiterfürSmartphoneBürger-ID im Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule Gelsenkirchen. Er beschäftigt sich mit Multifaktor-AuthentifikationsowiemitdigitalenSignaturen für mehr Sicherheit und Vertrauens-würdigkeit in der Digitalisierung.
Literatur[1] Barbier, J. u.a.: „Cybersecurity as a growth advantage“, abgerufen am 09.08.2019 von:
https://www.cisco.com/c/dam/assets/offers/pdfs/cybersecurity-growth-advantage.pdf[2] N. Pohlmann: „Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigen-
schaften von Cyber-Sicherheitssystemen in der Digitalisierung“, Springer Vieweg Verlag, Wiesbaden 2019[3] Statista: Anteile der verschiedenen Android-Versionen an allen Geräten mit Android OS weltweit im Zeit-
raum 01. bis 07. Mai 2019, abgerufen am 09.08.2019 von: https://de.statista.com/statistik/daten/stu-die/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/
[4] David Smith: iOS Version Stats, abgerufen am 09.08.2019 von: https://david-smith.org/iosversionstats/[5] BSI / juris: Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz
– OZG), abgerufen am 09.08.2019 von: https://www.gesetze-im-internet.de/ozg/BJNR313800017.html[6] M. Hertlein, P. Manaras, N. Pohlmann: „Die Zeit nach dem Passwort – Handhabbare Multifaktor-Authen-
tifi zierung für ein gesundes Eco-System”, DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation, Vieweg Verlag, 4/2016
[7] Google: Hardware-backed Keystore, abgerufen am 09.08.2019 von: https://source.android.com/security/keystore
[8] Apple: Storing Keys in the Secure Enclave, abgerufen am 09.08.2019 von: https://developer.apple.com/documentation/security/certifi cate_key_and_trust_services/keys/storing_keys_in_the_secure_enclave
[9] Deutsche Bundesbank: PSD2, abgerufen am 09.08.2019 von: https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434
stätigen zu lassen. So können ganz neue Prozesse medienbruchfrei digitalisiert wer-den, ohne Briefe oder E-Mails verschicken zu müssen.
Mit den neuen Möglichkeiten der Authen-tifizierung gibt es auch neue Ideen undRichtlinien, die damit umsetzbar sind. Am 14. September 2019 trat die neue Zahlungs-dienstrichtlinie in Kraft, besser bekannt als PSD2 (Payment Services Directive 2). Diese soll die Sicherheit im Zahlungsverkehr er-höhen und den Verbraucherschutz stärken,
etwa durch Entfernen veralteter TAN-Ver-fahren. Ebenso bietet sie Dienstleistern die Möglichkeit, von Banken Salden und Um-satzdaten abzufragen.
ZusätzlichverpflichtetdiePSD2zur„star-ken Kundenauthentifizierung“. Diese for-dert mindestens zwei unabhängige Merk-maleausdenAuthentifikationskategorienWissen, Besitz und Sein.[9]
Die Smartphone Bürger-ID ist ein wichtiger Baustein für eine sichere und vertrauens-
würdige Digitalisierung und wird sicherlich noch in vielen weiteren Anwendungsfeldern helfen, die Risiken zu minimieren. n
Bild 5: Übersicht aller Kundenkonten durch
eine Kontoinformations-dienstleister
CASE STUDY – ADVERTORIAL
HSM bietet hierfür ein umfangreiches Sortiment mit über 100 Modellen anAktenvernichternfürjedenAnspruch.VonderprivatenNutzungimHaushalt für Kontoauszüge, Rechnungen, Verträge, medizinische Unter-lagen etc. bis hin zur professionellen Datenvernichtung für Patentinfor-mationen, Forschungsergebnisse, Bilanzen etc. stehen passende Modelle fürjedesBudgetzurVerfügung.
Beispielsweise der Aktenvernichter HSM SECURIO B24 für den Arbeits-platz. Der leise Schredder zeichnet sich durch hohe Leistung und maxi-
male Funktionalität aus. Er eignet sich für die Nutzung direkt am Arbeitsplatz für bis zu fünf Personen. Dank seines geringen Stromverbrauchs wurde er mit dem Blauen Engel ausgezeichnet. Das kleine Kraftpaketvernichtet,jenachSchnittva-riante, bis zu 27 Blatt in einem Durch-gang. Ausgestattet mit Anti-Papierstau-Funktion und kraftvollen Antriebskom-ponenten, ist er für einen dauerhaften Betrieb ausgelegt. Die Schneidwellen sindunempfindlichgegenBüro-undHeftklammern und verfügen über eine lebenslange Garantie. Zusätzlich gewährt HSM, wie auf alle Modelle der SECURIO Produktfamilie, drei Jahre Garantie.
Unter www.hsm.eu/datenschutzfindenSieweiterenützliche Informationen rund um das Thema Datenschutz.
Seit Jahrzehnten spricht man von der Wunschvorstellung eines papierlosen Büros, aber die Realität sieht anders aus. Papier ist immer noch der Datenträger Nr. 1 und somit ist der Papierkorb Geheimnisträger Nr. 1. Studien belegen, dass der Papierverbrauch noch nie so hoch war wie in den letzten Jahren. Sei es zu Hause oder im Büro, der Datenschutz ist überall dort notwendig, wo Daten anfallen und aus Gründen der Sicherheit zuverlässig vernichtet werden müssen.
HSM GmbH + Co. KGAustraße 1-988699 Frickingen/GermanyTel. +49 7554 2100-0Fax: +49 7554 [email protected]
DATENSCHUTZ IM ZEITALTER DER DS-GVO
82 IT-SICHERHEIT [5/2019]
BUCHVORSTELLUNG
Der Schwerpunkt der Untersuchung liegt auf einem möglichen Widerspruch zwi-schen dem rechtlichen Anspruch der Be-troffenen auf eine irreversible Löschung ihrer personenbezogenen Daten durch den Verantwortlichen und der technischen Machbarkeit bei der Umsetzung dieses Anspruchs. Der Autor legt dabei auf eine praxisnahe Darstellung der Löschmöglich-keiten auf einzelnen Medien, in Verbindung mit vielen Beispielen, wert. Es soll daraus geschlussfolgert werden, ob der Löschan-spruch seine im Gesetz normierte Wirkung entfalten kann und damit ein funktionaler Bestandteil der informationellen Selbstbe-stimmung ist, oder – zumindest teilweise – als „Utopie“ anzusehen ist. In den Über-legungen der Durchsetzbarkeit von Daten-löschungsansprüchen spielt dabei auch der
Kontext weltweit verknüpfter Datenbanken und territorialer Grenzen eine bedeutende Rolle.
Der Autor legt in nachvollziehbarer Weise einen gesteigerten gesetzlichen Regelungs- undDefinitionsbedarfdar.DergestelltenFrage, ob der Anspruch auf Löschung in seiner heutigen Form beibehalten werden soll, wird mit Überlegungen zu einigen Alternativen begegnet.
Interessant ist dabei der Vorschlag, das Lö-schendurcheinlegaldefiniertesUnbrauch-barmachen, ein Begriff der seinen Ursprung aus der höchstrichterlichen Rechtsprechung zum Urheberrecht hat, zu ersetzen, wel-ches technikneutral ist und dem Verhältnis-mäßigkeitsgrundsatz unterliegt. Außerdem
sollen danach Selbstregulierungsmecha-nismen in Form von akkreditierten Zer-tifizierungengestärktunddieTranspa-renz gegenüber Betroffenen in Form von Ansprüchen auf Nachweise unbrauchbar gemachter Daten erhöht werden.
Zusammengefasst gibt das Werk einen gu-ten Überblick über die aktuelle rechtliche Situation der Löschung im Datenschutz-recht sowie die Grenzen der technischen Machbarkeit und erörtert im Anschluss einige akademische Ansätze zur Lösung. n
Philipp Lehmann (LL.M.), Senior Consultant Datenschutzmanagement, DMC Datenschutz Management & Consul-ting GmbH & Co. KG
Als Teil der Reihe „Frankfurter Studien zum Datenschutz“, ist der Autor in dem Werk in sieben Kapiteln der Frage nachgegangen, inwiefern der datenschutzrechtliche Löschanspruch sowie das Recht auf Vergessenwerden als effektives Mittel des (Selbst-)Datenschutzes – unter Berücksichtigung der aktuellen datenschutzrechtlichen Reglungen und insbesondere der DS-GVO – im Einklang mit der tatsächlichen rechtlichen und technischen Durchsetzbarkeit steht.
TIPP:
Band 54 von Frankfurter Studien zum Datenschutz
DAS LÖSCHEN IM DATENSCHUTZRECHT
Sven Hunzinger, Das Löschen im DatenschutzrechtBand 54 von Frankfurter Studien zum DatenschutzNomos Verlag, 1. Aufl age 2018, 332 S., 86,- €
83IT-SICHERHEIT [5/2019]
Das Webportal von IT-SICHERHEIT
IM WEB GEHT'S WEITER!Sie haben die IT-SICHERHEIT schon durchgelesen? Unter www.itsicherheit-online.com finden Sie parallel zu den Printausgaben der IT-SICHERHEIT tagesaktuelle Informationen rund um das Thema IT-Sicher heit. Neben Fachartikeln, Studienergebnis-sen, White papers und Meldungen zu Unternehmen und Produkten können Abonnenten hier ab sofort auch in unserem neuen Zeitschriften-Archiv stöbern.
Schauen Sie am besten gleich jetzt und regelmäßig bei uns rein!
eSIM ist eine Schlüsseltechnologie für das vernetzte Auto (Quelle: G+D Mobile Security)
eSIM als Schlüsseltechnologie des Connected Car
Basis für höchste Sicherheits- und Datenschutzstandards
Die eSIMTechnologie setzt sich in immer mehr Anwendungsbereichen durch. Ihr Grundprinzip: Geräte oder Maschinen, die eine Mobilfunkverbindung benötigen, werden mit fest verbauten SIMChips ausgestattet. Auf diese lassen sich die Profile der Netzbetreiber dann „over the air“ aufspielen. Eine Branche, die von dieser Technologie ganz besonders profitiert, ist die Automobilindustrie mit ihren zunehmend vernetzten Fahrzeugen. G+D Mobile Security zeigt, warum eSIM eine Schlüsseltechnologie für das Connected Car darstellt.
www.itsicherheit-online.com/GuDMobileSecurity2019-05
Thomas Gomell, Geschäftsführer aikux.com
(Foto: aikux.com)
Dank neuer Datenkultur die Sicherheit und Effizienz für Unternehmen heben
Ordnung ins Datenchaos
Die Unternehmensserver ächzen zunehmend unter einer steigenden Last an Daten: Zu relevanten, geschäftskritischen Daten gesellen sich veraltete und redundante Dateien sowie Dateien ohne bekannten Nutzwert – sogenannte Dark Data. Gerade diese stellen aber nicht nur wegen ihres Speicherbedarfs eine Belastung dar – sie bedeuten für das Unternehmen einen veritablen Kostenfaktor und nicht selten auch ein Sicherheitsrisiko. Daher benötigen Unternehmen Strategien, um dessen Herr zu werden und nachhaltig mit Daten umzugehen.
www.itsicherheit-online.com/aikux2019-05
WEBPORTAL
Nick Caley, Vice President Financial
Services & Regulatory bei ForgeRock
(Foto: ForgeRock)
Payment Service Directive (PSD), die Zweite
Neues Banking muss sich in der Praxis bewähren
Die PSD2Richtlinie soll vor allem das Open Banking vorantreiben: Künftig soll es möglich sein, dass FintechDienstleister mit Zustimmung des Kunden auf das Konto und die dort abgelegten Informationen zugreifen dürfen. Nick Caley beantwortet Fragen zur Herausforderung der Banken bzgl. der EURichtlinie PSD2.
www.itsicherheit-online.com/ForgeRock2019-05
Weitere FACHINFORMATIONEN zum THEMA IT-SICHERHEIT
84 IT-SICHERHEIT [5/2019]
FALLBEISPIEL:
Fallbeispiele zum ITRecht
Das Behördenverfahren der DS-GVO
IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT
staltet ist. Das Schreiben enthält einige Fragen zu Art und Umfang der Speicherung der Kundendaten und gewährt U die Möglichkeit der „Anhörung gemäß § 28 VwVfG“. Damit erfüllt das Schreiben eine Doppelfunktion: Zum einen ermöglicht es der Behörde, mög-liche Bußgelder auf die Antworten von U zu stützen, zum anderen kommtdieBehördeihrergesetzlichenPflichtnach,UdieMöglich-keit zur Stellungnahme im sogenannten Verwaltungsverfahrenzu geben. Auf dieses Schreiben hätte U grundsätzlich reagieren müssen. Zum einen ist die fehlende Kooperation mit den Aufsichts-behörden bußgeldbewehrt nach der DS-GVO. Zum anderen droht die Behörde in der Regel in solchen Fällen mit einem „Auskunfts-heranziehungsbescheid“ und einem Zwangsgeld von bis zu 50.000 Euro bei Nichtbefolgung.
Allerdings stellt U zurecht die Frage nach möglichen Auskunfts-verweigerungsrechten. Solche bestehen und müssen von der Behörde auch ausdrücklich nochmal erwähnt werden. Wann sie bestehen ist insgesamtnochungeklärt.Grundsätzlich jedenfallsdann, wenn durch die Antwort eine Gefahr für den Antwortenden oder Angehörige besteht, sich strafrechtlich oder bezüglich einer Ordnungswidrigkeit selbst zu belasten. Der Geschäftsführer von U erkennt nach Rücksprache mit R eine solche Gefahr nicht, ein Aus-kunftsverweigerungsrecht liegt daher nicht vor, U muss antworten. Da allerdings das zweite Schreiben erst vor ein paar Tagen einge-gangen und die Aufsichtsbehörde eine Frist von 14 Tagen zur Ant-wort gesetzt hat, kann R das weitere Vorgehen nun vorbereiten.
R wird dabei den Grundsatz der DS-GVO beachten, dass Auskünfte vollständig und rechtzeitig zu erteilen sind und die entsprechenden
LÖSUNG
Das Unternehmen U verkauft online Kinderbekleidung und Spielzeug. Dabei speichert es unter anderem das Al-ter der Kinder, um in Zukunft altersgerechte Angebote per E-Mail versenden zu können. Nachdem sich einige Eltern darüber bei den Aufsichtsbehörden beschwert ha-
ben, bekommt U Post von der Aufsichtsbehörde, die es zunächst ignoriert. Nachdem U heute wieder einen Brief der Aufsichtsbehörde mit der Überschrift „Auskunftser-suchen“ erhalten hat, wendet sich der Geschäftsführer an Rechtsanwalt R und bittet um Beratung.
Das Verwaltungsverfahren
Vorliegend hat die Aufsichtsbehörde nicht selbst („von Amts we-gen“), sondern durch eine Beschwerde einer betroffenen Person von einem möglichen Verstoß erfahren. Da die Behörde in der Folge in Form von Schreiben aktiv geworden ist, lagen also die Voraus-setzungen einer wirksamen Beschwerde (Sachverhaltsdarstellung durchdiebetroffenePersonderart,dasseinVerstoßjedenfallsnichtausgeschlossen werden kann) vor. Für U sollte dies bereits eine kleine Vorwarnung sein. U legt auf Bitten von Rechtsanwalt R das erste Schreiben der Aufsichtsbehörde dem R vor. Es ist betitelt mit „Auskunftsersuchen“, einer kurzen Darstellung des Sachverhalts bezüglich eines „möglichen Datenschutzverstoßes“ und dem Hin-weis, dass die Behörde davon ausgeht, U werde „den Hinweis in Zukunft befolgen“. Rechtsanwalt R verweist darauf, dass er dieses Schreiben zwar gerne vorher eingesehen hätte, um U die Sicht der Behörde zu erklären. Er führt aber zugleich aus, dass darin – wie häufigbeiVerstößenimRahmenderInformationsgewinnung–nurvon einem „möglichen Verstoß“ ausgegangen wird. Dennoch ist zur Kooperation mit den Aufsichtsbehörden zu raten, insbesonde-re um zukünftige Verstöße zu vermeiden. U hätte daher auf das Schreiben der Behörde antworten können und weitere Informatio-nen zur Auffassung der Behörde einholen sollen. Dennoch bestand indiesemVerfahrensstadiumnochkeineRechtspflichtzurAntwort,und U durfte das Schreiben unbeantwortet lassen, auch wenn dies nicht ratsam war.
U legt daraufhin das zweite Schreiben vor, das ebenfalls mit „Aus-kunftsersuchen“ betitelt, aber inhaltlich und formal anders ge-
IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT
dagegen, das Verfahren an die Behörde zurückzuverweisen oder einzustellen. Es eröffnet vielmehr die mündliche Verhandlung. Hier wird R noch einmal alle Argumente vortragen, die gegen einen Datenschutzverstoß sprechen. Insbesondere wird R hier auch noch einmal deutlich geltend machen, dass die Aufsichtsbehörde und die Staatsanwaltschaft unter Umständen bestimmte Beweise nicht verwerten dürfen (Verwertungsverbot), etwa bei unrechtmäßig abgehörten Telefongesprächen oder unberechtigtem Zugriff auf die Server von U. Damit gelingt es R schließlich, das Gericht davon zu überzeugen, dass U die Daten der Kunden rechtmäßig gespeichert hat. U wird freigesprochen, zum Vollstreckungsverfahren kommt es damit nicht mehr.
R erklärt U, dass es selbst bei einer Verurteilung noch das Rechts-mittel der Beschwerde gegeben hätte. Wäre auch dieses erfolglos geblieben, hätte U allerdings das Bußgeld und die Kosten des Ver-fahrens übernehmen müssen.
Fazit
Nicht alle Behördenschreiben sind von gleicher Bedeutung und In-tensität.Dennochempfiehltessich,rechtzeitigRechtsrateinzuho-len, um zu erkennen in welchem Verfahrensstadium sich die Unter-suchungbefindetundwiedaraufzureagierenist.Dabeiiststetszuberücksichtigen, dass eine Kooperation mit den Aufsichtsbehörden zwar bußgeldmindernd ausfällt, aber zugleich niemand dazu ver-pflichtetwerdenkann,sichselbstzubelasten.Eineausgewogenerechtliche Beratung kann daher der Schlüssel zum Erfolg sein. n
Antworten der Aufsichtsbehörde zukommen lassen. Diese kann da-raufhin weitere Fragen stellen, den beschriebenen Auskunftsheran-ziehungsbescheid (falls die Fragen nicht ausreichend beantwortet wurden) erlassen oder die Prüfung im Verwaltungsverfahren für beendet erklären, indem sie einen Verstoß feststellt und den Sach-verhalt an die Sanktionsstelle der Behörde weiterleitet. Mit diesem Schritt beginnt das Bußgeldverfahren. Da U ein solches befürch-tet, fragt es R nach weiterem Rat.
Das Bußgeldverfahren
Der EU-Gesetzgeber hat es den Mitgliedstaaten überlassen, das Bußgeldverfahren im Rahmen der DS-GVO selbst auszugestalten. In Deutschland wird hierfür das OWiG (Gesetz über Ordnungswidrig-keiten) herangezogen. Dieses Verfahren ist wiederum in verschie-dene Abschnitte unterteilt, deren erster das Ermittlungsverfahrendarstellt. Dabei wird U erneut Gelegenheit zur Stellungnahme ge-geben und ein Schweigerecht eingeräumt. Anders als bei der übli-chen Anwendung des OWiG muss hier aber U selbst beweisen,dass es keinen Verstoß gegen die DS-GVO begangen hat (und nicht umgekehrtdieBehördedenVerstoßbeweisen).Esempfiehltsichdaher, Stellung zu nehmen. R wird also das Vorgehen von U zur Speicherung der Kundendaten genau prüfen und dann feststellen, dass diese aufgrund einer wirksamen, transparenten, freiwilligen und gut dokumentierten Einwilligung der Eltern erhoben und ge-speichert wurden. Das Bußgeldverfahren kann im schlimmsten Fall dennoch mit einer Geldbuße beziehungsweise einem Bußgeldbe-scheid enden. Zwei Wochen später meldet sich U bei R – und ver-meldet: Ein Bußgeldbescheid ist eingegangen. Höhe 20.000 Euro!
R erhebt sofort Einspruch gegen den Bescheid bei der Erlassbehör-de, damit diese im sogenannten „Zwischenverfahren“ eine Neube-wertung des Vorfalls vornehmen kann. Er verfasst eine E-Mail, bei der er sowohl gegen den Grund (angeblich unberechtigte Speiche-rung von Kundendaten) als auch gegen die Höhe Einspruch einlegt. EineBegründungmussRnichtliefern,esempfiehltsichjedoch,umauf die Reaktion der Behörde erneut reagieren zu können. Ohne Begründung trifft die Behörde ihre Neubewertung erneut nach dem vorhandenen Aktenstand. Dadurch wird ein abweichender Bescheid unwahrscheinlich. Dafür hätte R insgesamt 14 Tage Zeit.
Überdenkt die Behörde auch nach dem Einspruch ihre Entschei-dung nicht, wird das Verfahren an die Staatsanwaltschaft weiter-geleitet. Diese prüft (erneut) die Zulässigkeit und Begründetheit des Einspruchs. Wenn sie keinen hinreichenden Tatverdacht (das heißt ein Tatverdacht, der eine Verurteilung wahrscheinlicher macht als einen Freispruch) für einen Verstoß annimmt, kann sie die Einstel-lung des Verfahrens anordnen, allerdings nur gemeinsam mit der zuvor zuständigen Aufsichtsbehörde. R hofft auf ein solches Vorge-hen, dieses bleibt aber aus.
Die Staatsanwaltschaft ist der Ansicht, dass hinreichender Tatver-dacht besteht und erhebt daher Anklage beim Amtsgericht. Das Gericht prüft die Zulässigkeit des Einspruchs. Es entscheidet sich
85IT-SICHERHEIT [5/2019]
www.swd-rechtsanwaelte.dewww.lawpilots.comwww.isico-datenschutz.de
Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet.
Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.
SIMONE ROSENTHAL ist Partnerin bei Schürmann Rosenthal Dreyer (www.srd-rechtsanwaelte.de) und hat sich als Expertin für Daten schutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwer-punkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts.
86 IT-SICHERHEIT [5/2019]
Gesetze, Urteile und Verordnungen
Gesetze, Urteile und Verordnungen
Datenverarbeitung (gemeinsam) verantwortlich ist, selbst wenn er die nachfolgendeVerarbeitung nicht beeinflussen kann.Verant-wortlicher ist eine Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezoge-nen Daten entscheidet.
Auch sollte geklärt werden, wie weit diese Verantwortlichkeit gin-ge und wofür genau sie bestünde. Darüber hinaus ging es auch um die Frage, auf welche berechtigten Interessen bei der Einbindung des Like-Buttons abzustellen ist, wer eine mögliche Einwilligung einzuholen hätte und inwieweit den Website-Betreiber Informati-onspflichtentreffen.
Was entschied der EuGH in seinem Urteil?
Der EuGH traf seine Entscheidung ausgehend von zwei früheren Urteilen und den Schlussanträgen des Generalanwalts Bobek.
In seinem Urteil vom 05.06.2018 (Rs. C-210/16, Wirtschaftsakade-mie Schleswig-Holstein) entschied das Gericht, dass der Betreiber einer Facebook-Fanpage an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung beteiligt ist. Begründet wurde dies auch damit, dass durch den Besuch der Fanpage Cookies angelegt werden, wodurch der Betreiber Statistiken über personenbezogene Daten erhält, mit denen er sein Angebot zielgerichtet vermarkten kann. Facebook und der Fanpage-Betreiber seien deshalb gemein-sam verantwortlich, wobei der Grad der Verantwortlichkeit nach den Umständen des Einzelfalls zu bestimmen ist, etwa nach Phase und Ausmaß der Verarbeitung.
Im Urteil vom 10.07.2018 (Rs. C-25/17, Jehovan todistajathob)kam der EuGH zu dem Schluss, dass eine Religionsgemeinschaft, indem sie die Verkündungstätigkeit ihrer Mitglieder organisiert und zu dieser ermuntert, gemeinsam mit diesen verantwortlich ist, wenn diese sich Notizen über aufgesuchte Personen machen und entscheiden, welche Daten sie verarbeiten. Im Übrigen setze eine gemeinsame Verantwortlichkeit nicht voraus, dass alle Beteiligten Zugang zu den personenbezogenen Daten haben.
Im aktuellen Urteil vom 29.07.2019 entschied der EuGH, dass ein Website-Betreiber, der das Facebook-Plug-in mit dem Like-Button
EuGH-Urteil zur Einbindung von Like-Buttons:Welche Pflichten haben Seitenbetreiber?
Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 in der Rechtssache Fashion ID (C-40/17) ein wichtiges Urteil zum An-wendungsbereich und den Grenzen der gemeinsamen Verantwort-lichkeit im Datenschutz gefällt. Konkret entschied er, dass für die Einbindung eines Facebook-Like-Buttons auf einer Website deren Betreiber und Facebook gemeinsam verantwortlich sind. Zugleich differenzierte der Gerichtshof auch, an welchen Phasen der Daten-verarbeitung der Betreiber tatsächlich beteiligt ist. Dabei reicht die gemeinsameVerantwortlichkeitnursoweit,wiediejeweilsbetei-ligte Partei nochEinfluss auf dieDatenverarbeitunghat.DarausergebensichauchspezielleVerpflichtungen.
Worum ging es?
Der EuGH beschäftigte sich damit, inwiefern die Verwendung des Facebook-Plug-ins für den „Gefällt mir“-Button (Like-Button) da-tenschutzrechtlich zu bewerten ist, und beantwortete hierzu Vorla-gefragen des Oberlandesgerichts (OLG) Düsseldorf zur Auslegung der damals gültigen Datenschutz-Richtlinie. Das Urteil hat aber auch unter der Datenschutz-Grundverordnung (DS-GVO) große Bedeutung, da auch bei dieser die gemeinsame Verantwortlichkeit häufigumstrittenist.
Was macht der Like-Button?
DerLike-ButtonkannübereinFacebook-Plug-inaufjederWebsiteimplementiert werden. Dadurch können Website-Nutzer Inhalte auf Facebook leichter „liken“ und teilen. Das eingebundene Plug-in übermittelt automatisch zumindest die IP-Adresse und Informa-tionen zum Browser und dem benutzten Endgerät des Besuchers an Facebook, auch wenn der Button gar nicht angeklickt wird und auch, wenn der Besucher kein Facebook-Konto hat.
Welche Fragen wurden dem EuGH vorgelegt?
Das OLG Düsseldorf, das sich zuletzt mit der Klage gegen den Web-site-Betreiber Fashion ID beschäftigt hat, legte dem EuGH die Fra-ge vor, ob ein Betreiber, der ein solches Plug-in einbindet, für die
IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT
87IT-SICHERHEIT [5/2019]
einbindet, die Übermittlung personenbezogener Daten an Face-book ermöglicht und dafür mitverantwortlich ist. Mit der Einbin-dungdesPlug-insoptimierederBetreiber jedenfalls seineWer-bung durch die Verbreitung auf Facebook. Zudem sei es nicht relevant, ob der Website-Betreiber Zugang zu den übermittelten Daten hat.
Für welche Verarbeitungsvorgänge ist derBetreiber verantwortlich?
Der Betreiber ist dem EuGH zufolge nur für den Vorgang verant-wortlich, für den er einen tatsächlichen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung leistet. Folglich ist er durch das Einbinden des Like-Buttons nur für die Erhebung und Übermittlung der personenbezogenen Daten an Facebook verant-wortlich, wobei Facebook und der Website-Betreiber gemeinsame wirtschaftliche Interessen verfolgen.
Für andere Vorgänge in der Verarbeitungskette von Facebook, für die er weder Mittel noch Zwecke festlegt, ist er hingegen nicht im Sinne der DS-GVO verantwortlich. Eine weitergehende zivilrecht-liche Haftung bleibt davon unberührt. Bei Besuchern ohne Face-book-Konto ist die Verantwortlichkeit des Betreibers höher als bei solchen mit Konto.
Welche Rechtsgrundlage gilt für die Datenverarbeitung?
SolltealsRechtsgrundlageeineEinwilligung(Art.6Abs.1S.1lit. aDS-GVO) gewählt werden, ist diese gegenüber dem Website-Be-treiber abzugeben. Der EuGH entschied nicht, dass eine Einwilli-gung für Like-Buttons zwingend erforderlich ist. Diese Frage könn-te nun das OLG Düsseldorf klären.
Der EuGH stellt fest, dass beim Like-Button nach Art. 5 Abs. 3 der ePrivacy-Richtlinie eine Einwilligung erforderlich wäre, sofern dabei Cookies gespeichert würden. Diese Vorgabe der Richtli-nie, die grundsätzlich nicht unmittelbar anwendbar ist, wurde in Deutschland jedochnicht insTelemediengesetz (TMG)übernom-men. Zudem kennt die Richtlinie auch Ausnahmen für zwingend erforderliche Cookies. Das Erfordernis und die Ausgestaltung der Einwilligung für das Setzen bestimmter Cookies sind in Deutsch-land umstritten. Der EuGH ließ diese Frage bewusst offen.
Rechtfertigt man die Einbindung des Like-Buttons mit dem berech-tigten Interesse (Art.6Abs.1S.1 lit. fDS-GVO), so sei, jenachVerarbeitungsvorgang, auf die Interessen von Facebook und des Website-Betreibers abzustellen. Dabei können Marketing und Wer-bung grundsätzlich berechtigte Interessen sein. Die Datenverar-beitungmussjedochfürdieVerwirklichungderberechtigtenInte-ressen erforderlich sein und die Interessen des Website-Besuchers dürfen nicht überwiegen. Fraglich bleibt, inwiefern die Verarbei-tung nach Übermittlung der Daten in die Abwägung einbezogen werden muss.
Welche Pflichten treffen die an der Verarbeitung beteiligten Akteure?
Der Website-Betreiber muss nach dem Urteil über die Datenverar-beitung im Rahmen seiner Verantwortlichkeit informieren. Er muss in seiner Datenschutzerklärung aufklären, dass durch das Plug-in Daten erhoben und übermittelt werden. Die konkrete Ausgestal-tungließderEuGHjedochoffen.FürdieweitereVerarbeitungsoll-te auf die Datenschutzerklärung von Facebook verwiesen werden.
Zudem müssen die gemeinsam Verantwortlichen gemäß Art. 26 DS-GVO in einer Vereinbarung festlegen, wer welche DS-GVO-Pflichten erfüllt.Weil eine vergleichbareVorschrift in derDaten-schutz-Richtlinie noch nicht existierte, könnte in einer solchen Vereinbarung festgelegt werden, dass eine Seite vorrangig die In-formationspflichtenerfülltunddieanderelediglichaufdieInfor-mationen verweist. Hier bleibt abzuwarten, welche Vereinbarun-gen die Plug-in-Anbieter anbieten werden.
Fazit
Die Einbindung des Facebook-Plug-ins mit Like-Button ist von da-tenschutzrechtlicherRelevanz.DiesesUrteilhat jedochauchFol-gen für andere Plug-ins, die in Online-Dienste (Websites, Apps) eingebunden werden und personenbezogene Daten an weitere Akteure erheben und übermitteln. Jedem Anbieter von Online-Diensten ist daher anzuraten, seine eingebundenen Plug-ins und Tools zu überprüfen und gegebenenfalls Maßnahmen einzuleiten, um die Datenschutz-Konformität sicherzustellen. n
IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT
www.swd-rechtsanwaelte.dewww.lawpilots.comwww.isico-datenschutz.de
Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet.
Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.
SIMONE ROSENTHAL ist Partnerin bei Schürmann Rosenthal Dreyer (www.srd-rechtsanwaelte.de) und hat sich als Expertin für Daten schutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwer-punkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts.
88 IT-SICHERHEIT [5/2019]
EuGHUrteil zur digitalen Arbeitszeiterfassung
Korrekt „Maßnehmen“
IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT
Eines vorweg: Das Urteil betrifft grundsätzlich alle Unternehmen. Diese sollten nun prüfen, ob sie die Anforderungen, die sich aus dem Urteil ergeben, bereits heute erfüllen, oder ob sie tatsächlich Änderungenvornehmenmüssen.DieGesetzgeber innerhalbderEU sind derzeit dazu aufgefordert, die nationale Rechtslage an das Urteil anzupassen. Unternehmen könnten natürlich zunächst diese neue Rechtslage abwarten. Einige Arbeitsrechtler erwarten aber, dass deutsche Arbeitsgerichte das Urteil des EuGH bei Rechtsstrei-tigkeitenüberdieArbeitszeitschonjetztberücksichtigenwerdenund im Streitfall die Arbeitszeit auf Basis einer Arbeitszeiterfassung belegt werden muss.
Zweck einer systematischen Arbeitszeiterfassung
Der EuGH möchte Arbeitnehmer mit diesem Urteil in die Lage ver-setzen, ihre Rechte durchzusetzen – vor allem mit Blick auf den Gesundheitsschutz. Die Erfassung von Arbeitszeiten dient typi-scherweise folgenden Zwecken: Die Ermittlung der Vergütung etwa betrifftjedesUnternehmenundjedenArbeitnehmer,dernachAr-beitszeit vergütet wird. Gleiches gilt für die Ermittlung der Arbeits-zeit und Ruhezeit gemäß dem Arbeitszeitgesetz. Auch die Bewer-tung von Auswärtstätigkeiten, wie die Berechnung der steuerfreien Pauschale für Verpflegungsmehraufwände, Übernachtungspau-schalen oder Auslösung ist wichtig. Hinzu kommt die Kostenrech-nung,alsodieErmittlungderPersonalkostenjeKostenträger,Pro-jektoderAuftrag,wasjedochnichtinallenUnternehmenrelevantist. Unternehmen sollten demnach ein System wählen, mit dem alle relevanten Zwecke bedient werden können.
Vorschriften des EuGH für die Erfassung
Eswirdeinobjektives,verlässliches,zugänglichesundvertrauli-ches System gefordert, mit dem die täglich geleistete Arbeitszeit
gemessenwerdenkann.Dasbedeutet,dassdieArbeitszeitobjek-tiv gemäß den betrieblichen Vereinbarungen erfasst werden muss, also unabhängig von der Person, die die Erfassung vornimmt. Zu-dem muss das System manipulationssicher sein, verlässlich funk-tionieren und in der Lage sein, alle Arbeitszeiten unabhängig vom Arbeitsort zu erfassen. Um ein ausgeglichenes Kräfteverhältnis si-cherzustellen, muss das System für Arbeitgeber und Arbeitnehmer zugänglich sein. Die Daten müssen zudem vertraulich verarbeitet werden. Unternehmen sollten also unbedingt darauf achten, dass nur berechtigte Personen Zugang haben.
Der Weg zum richtigen Erfassungssystem
Die geeignete Erfassungstechnik hängt davon ab, in welcher Ar-beitssituation die Zeiten erfasst werden müssen: An einem festen Arbeitsplatz können sich Arbeitnehmer beispielsweise an Terminals im Eingangsbereich oder an ihrem Arbeitsplatz-PC an- und abmel-den. Robuste Terminals können auch bei längerdauernden Außen-diensteinsätzen, etwa auf Baustellen, installiert werden. Im Home-officekönnenArbeitnehmerhingegendasSmartphoneoderdenPC verwenden. Mobile Geräte sind zudem ideal geeignet, wenn auch unterwegs Arbeitszeiten erfasst werden müssen, etwa beim KundenoderimProjekteinsatzaußerhalbdesFirmensitzes.Grund-sätzlichentstehteinklarerVorteilbeidereffizientenWeiterverar-beitung der Daten, wenn eine digitale Lösung zum Einsatz kommt.
Empfehlungen für die Umsetzung
Unternehmen müssen an dieser Stelle eine Reihe von Aspekten im Blick haben: Werden die Anforderungen der DS-GVO berücksich-tigt?WofindetdieDatenverarbeitung statt?KönnenLese-undSchreibrechte auf bestimmte Personen begrenzt werden? Wie be-dienerfreundlich ist das System und wie ist die Akzeptanz in der Belegschaft? Hat der Arbeitnehmer Zugang zu seinen eigenen Da-
Der Europäische Gerichtshof (EuGH) hat entschieden: Bei der digitalen Arbeitszeiterfassung müssen sich Unternehmen in Zu-kunft neuen Anforderungen stellen. Sie werden aufgefordert, ihre Methoden zur Arbeitszeiterfassung zu überprüfen. Worum es genau geht und was im Zusammenhang mit dem Urteil zu beachten ist, beantwortet folgender Beitrag.
ten? Zudem muss der Betriebsrat, sofern im Unternehmen einge-richtet, eingebunden werden. Er hat ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, mit de-nen das Verhalten sowie die Leistung der Arbeitnehmer überwacht werden sollen.
Weitere Infos: www.virtic.com/umfassende-zeiterfassungwww.virtic.com/download/Checkliste_fuer_Betriebsraete.pdf
IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT
Die geeignete Technik zur Arbeitszeiterfassung hängt davon ab, in welcher Arbeitssituation Zeiten erfasst werden müssen. Mobile Geräte sind geeignet, wenn auch unterwegs Arbeitszeit eingetragen werden muss. (Foto: virtic)
MICHAEL STAUSBERG, Geschäftsführer der virtic GmbH & Co. KG
Anzeige
Vernichten statt wegwerfen.Mit HSM Aktenvernichtern.
Schreddern Sie vertrauliche Unterlagen und Datenträger mit den DSGVO-konformen Aktenvernichtern von HSM.
www.hsm.eu/datenschutz
HSM GmbH + Co. KG · 88699 Frickingen / GermanyHotline 00800 44 77 77 66 · [email protected]
Besuchen Sie uns auf der DAFTA – vom 20.-22.11.2019 in Köln.
90 IT-SICHERHEIT [5/2019]
IMPRESSUMIT-SICHERHEITFachmagazin für Informationssicherheit und Datenschutz
Verlag:DATAKONTEXT GmbH Standort FrechenAugustinusstr. 9d · 50226 Frechenwww.datakontext.com
Chefredaktion:Stefan Mutschler (S.M.)E-Mail: [email protected]
Redaktion:Dr. Peter Münch (P.M.), Dr.jur.MartinZilkens(M.Z.),
Online-Redaktion:Jessica HerzSilvia Klüglich
Herausgeberbeirat:Prof.Dr.MichaelBackes,Prof.Dr.jur.Dirk-M. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan-Peter Ohrtmann, Prof.Dr.NorbertPohlmann,Dr.jur.MartinZilkensGründer: † Bernd Hentschel
Grafik/Layout/Satz:Michael PaffenholzTel.: 0173/8382572E-Mail: [email protected]
Objekt-undAnzeigenleitung:Wolfgang Scharf, agentur 80/20 e. K.Tel.: 0221/250 86 071Fax: 0221/270 595 54E-Mail: [email protected]. gilt die Anzeigenpreisliste Nr. 24
Vertrieb: Jürgen Weiß, DATAKONTEXTTel.: 02234/98949-71 Fax: -32E-Mail: [email protected]
Abonnement:Jahresabonnement € 98,- inkl. VK (Inland)(für Studenten, RDV-Abonnenten und GDD-Mitglieder: € 50,-)Einzelheft € 15,- zzgl. VersandkostenErscheinungsweise: sechs AusgabenAlle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängertsichzudenjeweilsgültigenBedingungenumeinJahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen.
Aboservice:Hüthig Jehle Rehm GmbH, München, Tel.: 089/21 83-71 10
Druck:GrafischesCentrumCunoGmbH&Co.KG,Calbe(Saale)
© DATAKONTEXTMit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte über-nehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der en-gen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzu-lässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfi lmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Beilagen: DATAKONTEXT GmbH, Frechen;
Titelbild: Controlware GmbH
Fotos: Firmenbilder; DATAKONTEXT; pixabay.com; © iStock.com/ i3D_VR; © depositphotos.com/bizoon, © depositphotos.com/corbacserdar.gmail.com, © depositphotos.com/DecaStock, © depositphotos.com/devke, © depositphotos.com/DingaLT, © depositphotos.com/emaria, © depositphotos.com/ginasanders, © depositphotos.com/iLexx, © depositphotos.com/jamdesign, © depositphotos.com/Oksana, © depositphotos.com/rach27, © depositphotos.com/Samiramay, © depositphotos.com/sbotas, © depositphotos.com/sdecoret, © depositphotos.com/vicnt2815, © depositphotos.com/Zamurovic; © Fotolia.com/N-Media-Images, © Fotolia.com/raven; © NicoElNino/Shutterstock.com, © Wright Studio/Shutterstock.com
25. Jahrgang 2019 · ISSN: 1868-5757
VORSCHAU Ausgabe 6/19 Dezember/Januar
IN UNSEREM VERLAG ERSCHEINEN AUSSERDEM NOCH FOLGENDE ZEITSCHRIFTEN
Geplante Themen sind in der nächsten Ausgabe unter anderem:
� Zehn-Punkte-Anleitung für ein effektives Insider- Threat-ProgrammMalware, Ransomware und andere externe Cyberbedrohungen verursachen in der Regel die meisten Schlagzeilen. Laut McKinsey sind aber tatsächlich Insider-Bedrohungen eines der größten ungelösten Probleme in der Cybersicherheit. Eine überwältigende Hälfte aller Datenschutzverletzungen zwischen 2012 und 2017 war von einer Form der Insider-Bedrohung abgeleitet. Unternehmen kennen das Risiko zwar oft gut, wissen aber dennoch nicht genau, wo und wie sie dessen Minimierung beginnen sollen. Der Beitrag zu Insider-Bedrohungen in der nächsten Ausgabe gibt hier eine leicht nachvollziehbare Zehn-Punkte-Anleitung.
� Advanced Malware: Fünf Best Practices zum Schutz gegen Spionage und Datendiebstahl
� IoT: Cyberangriffe auf medizintechnische Geräte – und wie man diese abwehrt
… und vieles mehr.
Die itsa zählt zu den weltweit wichtigsten Messen zum Thema ITSecurity. Sie bietet das größte Angebot an ITSicherheitsprodukten und lösungen in Europa, darunter auch physische ITSicherheit, Dienstleistungen, Forschung und Beratung. Internationale ITSicherheitsexperten erhalten auf der itsa und im begleitenden Congress@itsa umfassende Informationen zu aktuellen Themen der ITSecurity.
8.–10.10.2019 | NÜRNBERG
it-sa 2019
www.it-sa.de
VERANSTALTUNGSKALENDER
IMPRESSUM
Software für Kollaboration und Organisation IhresDatenschutzmanagements
www.preeco.de
Dashboard
Aufgaben
Aktivitäten
Übersicht
Stammdaten
Textbausteine
Administration
Auftragsverarbeitung
Gemeinsame
Verträge
Verantwortlichkeit
TOM
Verarbeitungstätigkeiten
Informationspflichten
Datenschutz-Folgenabschätzung
Betroffenenanfragen
DSGVO Dokumentation
Adressbuch
Systeme
Dateiablage
Datenschutzerklärung
Werkzeuge
Funktionsumfang der preeco Datenschutzmanagement-Software:
Kaffee geholt.Daten weg.Desktop sperren rettetUnternehmen.
Erleben Sie die Gefahr ungeschulter Mitarbeiter in einem interaktiven Live-Hacking.
Wir freuen uns auf Ihren Besuch – Halle 9, Stand 520.
gdata.de/awareness-training
Schaffen Sie IT-Sicherheitsbewusstsein
G_DATA_CDAT_210x297_V4.indd 4 02.08.19 15:51