Industrie 4.0
Cloud Computing
Mobile Computing
Produktion wird zum Ziel für Hacker
Mittelständler in der Cloud besser geschützt
Mitarbeiter unterschätzen das Sicherheitsrisiko
Wie Firmen ihre Anlagen schützen können
Tipps für die Auswahl der passenden Anbieter
So ist das mobile Büro vor Angriffen geschützt
Seite 6/7
Seite 8/9
Seite 14
Juni 2013 | bizreporter.de Eine Sonderveröffentlichung von Lyonsdown im Handelsblatt
SCHRITT FÜR SCHRITT ZU MEHR SICHERHEIT Wie Unternehmen Gefahren aus dem Internet erfolgreich abwehren
BIG DATA IM WANDEL MIT SICHERHEIT. Sicher verteidigt.
+ nur 2 Klicks bis zur Gewissheit. + Verkürzen Sie potenzielle Zeitfenster für Angriffe von Wochen auf Stunden. + Ermitteln Sie, wie kritsich ein Threat ist.
FOCUS: IT-SECURITY
Business Reporter · Juni 2013
2
Editorial
Im Internet unter: bizreporter.de
Verlag Lyonsdown Bradley Scheffer info@lyonsdown.co.uk
V.i.S.d.P Hans Schürmann Schürmann Communications Schwanenstr. 34, 1541 Dormagen
Chefredaktion Hans Schürmann schuermann@lyonsdown.de
Managing Director Lyonsdown Germany: Ulrich Merkl merkl@lyonsdown.de
Gestaltung 7-seas global content management GmbH, München Elke Springer info@7-seas.de Druck Agora S.A., Daniszewska 27, 03-320 Warschau, Polen
Project Manager Christian Branig branig@lyonsdown.de Für weitere Informationen zu unseren Publikationen kontaktieren Sie uns bitte unter: +49 (0)89-330 37 330 oder www.lyonsdown.de/kontakt
Autoren dieser Ausgabe Hans Schürmann hat über 20 Jahre als Redakteur beim Handelsblatt gearbeitet. Seit April 2011 ist er selbstständiger Journalist, schreibt für verschiedene Medien und betreut als Chefredakteur sämtliche deutschsprachigen Publikationen von Lyonsdown. Christian Buck ist freier Journalist in Berlin und arbeitet unter anderem für das Handelsblatt sowie das Wissenschaftsmagazin Technology Review. Deborah Caspers und David Gillengerten sind Redakteure im Journalistenbüro wortwert in Köln. Sie schreiben unter anderem über Informationstechnik und mittelständische Unternehmen.
Intro Ohne Management geht es nicht Wer ist eigentlich verantwortlich, wenn es Hackern gelingt, in das Datennetz von Unternehmen einzudringen und sensible Informationen zu entwenden? Die Geschäftsführung oder die IT-Verantwortlichen? Im Zweifel beide. Die Unternehmensleitung muss geeignete Maßnahmen schaffen, damit die Daten und das ITNetzwerk gesichert sind und die notwendigen Ressourcen zur Verfügung stellen, damit eine geplante Sicherheitsstrategie auch realisiert werden kann. Die IT-Verantwortlichen sind dann für deren technische Umsetzung verantwortlich. Soweit die Theorie. In der Praxis läuft das häufig immer noch anders: Die meisten Unternehmenschefs sind sich ihrer Verantwortung gar nicht bewusst und kümmern sich nur halbherzig oder gar nicht um das Thema. Es kommt hinzu, dass IT-Sicherheitslösungen wie alle anderen Schutzmaßnahmen Geld kosten. Während sich Manager an Investitionen in Brandschutz und Arbeitsschutz gewöhnt haben, tun sie sich bei vorbeugenden Maßnahmen in IT-Sicherheit immer noch schwer, wie zahlreiche Studien belegen. Sie können sich schlicht nicht vorstellen, wo Gefahren im Internet und beim Schutz der Daten lauern. Für sie ist das alles schwer greifbar, was da auf den Servern und im weltweiten Datennetz passiert. Daher übernehmen oft die IT-Chefs die Aufgabe, eine Sicherheitsstrategie für das Unternehmen zu
entwickeln und sind dann auch die jenigen, die Konsequenzen tragen müssen, wenn etwas schief läuft, wie Berater der Experton Group festgestellt haben: Kommt es in Unternehmen zu Sicherheitspannen, muss häufig die IT-Führung ihren Hut nehmen – und nicht die Geschäftsführung. Kein Wunder, dass inzwischen immer mehr CIO’s darauf drängen, dass sich die Unternehmensleitung zu ihrer Verantwortung bekennt und Sicherheitsregeln definiert, wie sich das Unternehmen und die Mitarbeiter im Internet und bei der Nutzung von IT verhalten sollen, um Gefahren vorzubeugen. Dabei geht es um klare Vorgaben für Aktivitäten im Internet, der beruflichen Nutzung von Social Media, dem Arbeiten mit eigenen Geräten (Smartphones, Tablet-PCs oder Laptops) im Unternehmen (Stichwort Bring your own device) oder die Nutzung von öffentlichen Clouddiensten für betriebliche Zwecke. Diese Vorgaben sollten Teil einer Betriebsvereinbarung sein und deren Einhaltung regelmäßig überprüft werden. Nur wenn IT- und Unternehmensleitung bei den präventiven Maßnahmen an einem Strang ziehen, haben Firmen eine Chance, dass diese auch greifen und die Belange des Unternehmens wirksam schützen. Hans Schürmann
Business Reporter · Juni 2013
Meldungen
Im Internet unter: bizreporter.de
Update Firmen in Deutschland unterschätzen Gefahren aus dem Internet IT Security wird immer komplexer und aufwendiger. Das gilt sowohl für Angriffstechniken und Angriffsmotive als auch für alle Facetten des Schutzes, der Abwehr und des Krisenmanagements. Viele deutsche Organisationen aber schätzen die Gefahr als eher gering ein. Die IT-Abteilungen dieser Unternehmen haben oftmals zu großes Vertrauen in ihre Schutzmaßnahmen. Dies ist das Fazit der neuen IDC-Studie „Vor dem Sturm: IT-Security in Deutschland 2013“. „Hohe Sicherheit erfordert Aufmerksamkeit, Aktualität und aktives Handeln“, mahnt Matthias Zacher, Senior Consultant bei IDC in Frankfurt. Unternehmen seien daher aufgefordert, alle Stakeholder ins Boot zu bekommen und ITSicherheit als ganzheitlichen Ansatz zu verstehen. Gezielte Angriffe per E-Mail Neun von zehn gezielten Angriffen („Advanced Persistent Threats“), die es auf die Informationen eines Unternehmens oder einer Behörde abgesehen haben, beginnen mit einer einfachen E-MailNachricht. Das zeigt eine Untersuchung von Trend Micro. So genannte „Spearphishing“-Angriffe (also besonders zielgenaue „Phishing“-Angriffe“) sind so geschickt konstruiert, dass neugierige Anwender den verseuchten Dateianhang öffnen oder den integrierten Link anklicken, hinter dem sich Schadsoftware oder ein Exploit verbirgt. Die „Spearphishing-Kampagnen“ verwenden allgemein verfügbare Informationen über potenzielle Opfer und sind gezielt auf deren Person oder deren persönliche Situation zugeschnitten.
INHALT Um die Vernetzung der Mitarbeiter in Unternehmen voranzutreiben, sollen Social Collaboration-Initiativen strategisch geplant, die Nutzung entsprechender Anwendungen durch die Mitarbeiter gezielt gefördert, Regeln definiert und die soziale Vernetzung technisch und organisatorisch in die Abläufe integriert werden, rät Nicole Dufft, Senior Vice President bei PAC Deutschland. Kleinere Firmen nutzen verstärkt Security aus der Cloud Neben klassischen Einstiegslösungen wie E-Mail, Office, Terminplanung und Kollaborationsanwendungen nutzen kleine und mittelständische Unternehmen vor allem Security-Lösungen aus der Cloud. Das zeigen die jüngsten Befragungen im Rahmen des „IT-Cloud-Indexes“ von techconsult und HP Deutschland. Für Max Schulze vom durchführenden Marktforschungsinstitut techconsult wird sich diese Tendenz noch verstärken. Mittelständische Unternehmen seien denselben Sicherheitsherausforderungen ausgesetzt wie große Unternehmen, allerdings seien die Personaldecke sowie die für IT-Sicherheit zur Verfügung stehenden Ressourcen stark begrenzt, so Schulze. Mit dem Know-how und Service der Cloud-Anbieter in Sachen IT-Sicherheit könnten die kleineren Unternehmen ihre strukturell bedingten Defizite auf einfachem Weg lösen.
Mit Dank an folgende Unternehmen:
Industrie 4.0
Seite 6-7
Nach dem Büro soll nun auch die Fabrik vernetzt werden. Die IT-Branche hat einen neuen Markt entdeckt: Industrie 4.0 – das Internet für die Produktion. Das soll die Effizienz und Effektivität erhöhen. Mit der stärkeren Vernetzung der Maschinen und Anlagen werden die Fabriken allerdings auch zu einem attraktiven Ziel für Hacker.
Cloud-Computing
Seite 8-9
Immer mehr Unternehmen speichern ihre Daten bei Internet-Dienstleistern oder nutzen deren Software beziehungsweise Rechenleistungen. Doch wie steht es dabei mit der Sicherheit? Dass es Risiken gibt, bestreiten nicht einmal die Befürworter der Datenwolke – die Experten sagen, entscheidend sei nur, wie Firmen damit umgehen.
Autor: Hans Schürmann
Neue Techniken werden selten auf Sicherheit geprüft Viele Sicherheitsmängel kämen zustande, weil sich viele Unternehmen neue Technologien und Methoden zunutze machten, ohne deren Sicherheit ausreichend zu überprüfen, sagt Steve Durbin, Global Vice President des Information Security Forums. Angreifern werde es dadurch sehr leicht gemacht. „Wir brauchen mehr ‚Security by Design’“, so Durbin. Breits bei der Entwicklung neuer Produkte und Technologien müssten Sicherheitsaspekte viel stärker als bisher berücksichtigt werden. Sicherheitsbedenken bremsen Social Collabroation Die größte Barriere für die Realisierung von Social Collaboration-Konzepten in Unternehmen sind Unsicherheiten hinsichtlich der Datensicherheit solcher Aktivitäten sowie die Angst vor einem Abfluss von Unternehmenswissen. Das zeigt eine aktuelle Studie des Analyse- und Beratungsunternehmens Pierre Audoin Consultants (PAC).
3
Mobile-Computing
Seite 14
Immer mehr Mitarbeiter arbeiten mobil. Sie tauschen von unterwegs oder zuhause mit Smartphones und Notebooks Daten mit dem Unternehmensnetzwerk aus. Damit das mobile Büro nicht zu einem Sicherheitsproblem wird, müssen sich Mitarbeiter und IT-Verantwortliche der Gefahren bewusst sein und Vorkehrungen treffen.
GRATIS-ABO Abonnieren Sie BusinessReporter gratis als PDF - Email an: abo@lyonsdown.de
Sichere Datenübertragung Seite 12-13 Firewall und Virenschutz machen Unternehmensnetze sicher und wehren Angriffe aus dem Netz ab. Beim Transport über die Datenleitungen aber sind viele sensible Daten aus Unternehmen oft ungeschützt. Sie können auf ihrem Weg durch das Internet mitgelesen oder verfälscht werden. Kryptografie verhindert das.
Business Reporter · Juni 2013
4
Anzeige
Im Internet unter: bizreporter.de
Störungsfrei produzieren Cyberangriffe auf Produktionsanlagen nehmen zu. Cathrin Janssen, Expertin für IT-Sicherheit und Energiemanagement bei der Yokogawa Deutschland GmbH, einem führenden Anbieter von industriellen Automatisierungssystemen, erklärt, wie sich komplexe IT-Infrastrukturen prozesstechnischer Anlagen absichern lassen. Sind die Risiken für Anlagenbetreiber gewachsen, Opfer einer Cyber-Attacke zu werden? Leider ja. Und die Angriffe werden immer raffinierter und komplexer. Die heutigen Cyber-Sicherheitsbedrohungen erfordern erhöhte Wachsamkeit sowohl bei Betreibern von Prozessanlagen als auch bei Anbietern von industriellen Automatisierungssystemen. Nicht zuletzt, weil die Sicherheit von Mensch und Umwelt auf dem Spiel steht! Denken Sie nur an Öl- und Gaspipelines, Chemieunternehmen, Kraftwerke oder Wasseraufbereitungsanlagen. Die Offenheit der Systeme macht moderne industrielle Steuerungssysteme immer anfälliger für gezielte Angriffe, aber auch für betriebsinterne und -externe Sicherheitsverletzungen.
Wie lassen sich Industrieanlagen solide absichern? Ein Patentrezept dafür gibt es nicht. Nur individuelle Lösungen. Denn Sicherheit in prozesstechnischen Anlagen ist nicht nur eine technische Herausforderung, sondern eine vielschichtige, konzeptionelle Aufgabe. Zunächst einmal müssen alle Hard- und Softwarekomponenten aufeinander abgestimmt werden. Vor allem müssen alle beteiligten Mitarbeiter bei der Umsetzung von Sicherheitsmaßnahmen mitwirken und ein Gespür für ungewöhnliche Betriebssituationen entwickeln. Deswegen sind Beratung, Schulung und Training wichtig. Technisch geht es um ein weitgehend automatisiertes Erkennen von Faktoren, die die Anlagenverfügbarkeit einschränken oder gefährden könnten. Wesentlich
ist eine Sicherheitslösung, die das Unternehmen als Ganzes umfasst, und nicht, wie das noch oft geschieht, nur einzelne Komponenten berücksichtigt. Wie unterstützt Yokogawa dabei? Das geschieht in mehreren Schritten: Zunächst stellen wir unserem Kunden einen Experten zur Seite und führen bei ihm ein IT-SecurityAudit durch. Nach der Bestandsaufnahme stellen wir die geeignete Hard- und Software bereit und bieten im Rahmen unserer VigilantPlant Services™ ein Dienstleistungsangebot, mit dem sich der Kunde ein maßgeschneidertes Paket schnüren kann – ganz im Sinne von „Security as a Service“. Dazu gehören zum Beispiel eine Vor-Ort-Notfallhilfe bei einem Virenangriff ebenso wie Mitarbeiterschulungen und –trainings.
Inwiefern wirkt eine Sicherheitsarchitektur stabilisierend auf den gesamten Betriebsablauf? Neben der Abwehr von CyberAngriffen lassen sich durch die Überwachungswerkzeuge aus dem Betriebsnetzwerk heraus wartungsrelevante Informationen über viele Systemkomponenten sammeln. So können etwa Daten des NetzwerkMonitorings auch für die Funktionsüberwachung von IT-Komponenten der Anlagen genutzt werden. Vorausschauende Maßnahmen, etwa zur Wartung, können Zahl und Dauer technisch bedingter Störungen oder Ausfälle minimieren. So kann beispielsweise aus der Temperatur einer CPU oder einer Festplatte unmittelbar auf deren kommende Störanfällig keit beziehungsweise Restlebensdauer geschlossen werden.
Vier Ebenen der industriellen IT-Sicherheit Sicherheit in prozesstechnischen Anlagen ist spätestens seit „Stuxnet“ ein Muss. Der Weg dahin ist für Anlagenbetreiber gar nicht so weit und beschwerlich – er lässt sich mit den Stationen einer Bergtour vergleichen. „Hier wie dort bedarf es der richtigen Streckenplanung und Ausrüstung sowie eines erfahrenen Teams“, sagt Cathrin Janssen von Yokogawa. Der Weg führt über Zwischenstationen zum Gipfel (Abb. 1). Damit dieser Weg dauerhaft gangbar bleibt, sind Wegmarkierungen, ggf. Sicherungshaken und fest installierte Drahtseile notwendig. Bezogen auf eine IT-sichere Anlage entspricht eine solche Sicherheitskonstruktion dem Yokogawa-Konzept des Lebenszyklusmanagements.
und 3. Sicherung Wiederherstellung
und 2. ServerApplikationssicherheit und 1. Physische Netzwerksicherheit
4. LEBENSZYKLUSMANAGEMENT 1. Physische Sicherheit sowie Netzwerksicherheit wird unter anderem erreicht durch:
• Räumliche Abgrenzung • Zugangskontrollen • vorkonfigurierte („gehärtete“) Clients und Server mit einem auf Kernkomponenten reduzierten Betriebssystem sowie reglementierter Fähigkeit zum Datenaustausch • Authentifizierungskonzept • ggf. personenspezifische Protokollierung von Aktivitäten.
2. In der Server- und Applikationssicherheit setzt Yokogawa folgende IT-Lösungen um: • Antivirus-Lösung • Firewall und Gruppenrichtlinien, Netzwerksegmentierung • Ein- und Ausgangsprüfung aller Daten und Datenträger auf einem vom Leitsystem getrennten Schadsoftware-Prüf-PC • Netzwerküberwachung
3. Bei Sicherungs- und Wiederherstellungskonzepten legt Yokogawa einen Schwerpunkt auf priorisierte, regelmäßige und systematische Datensicherung der: • SQL- und Projektdatenbanken • Client- und Serversysteme • Netzwerk-Switches
4. Lebenszyklusmanagement als Sicher-
heitskonstruktion des Yokogawa-Konzeptes: • Schulung der Betriebsmannschaft in Sicherheitsfragen • Training des Verhaltens in außergewöhnlichen Betriebssituationen • langjährige Verfügbarkeit von Systemkomponenten.
www.yokogawa.com/de www.vp-chemie-pharma.de
Business Reporter · Juni 2013
Titelthema
Im Internet unter: bizreporter.de
Schritt für Schritt zu mehr Sicherheit
5
„Das Sicherheitskonzept sollte sich immer an den
individuellen Risiken einer Firma ausrichten“
Angriffe aus dem Internet nehmen zu. Immer häufiger trifft es auch kleine und mittelständische Firmen. Dabei kommt es den Angreifern nicht so sehr darauf an, das Rechnernetz der Firmen lahm zu legen. Sie haben es auf deren Know-how abgesehen. Doch auch kleine Unternehmen können sich schützen, ohne dafür viel Geld auszugeben. Eine gut durchdachte Strategie und einige Verhaltensänderungen reichen oft schon aus. Von David Gillengerten Für Georg Meyer ist IT-Sicherheit kein großes Thema. Der Unternehmer sieht sich geschützt: „Meine Firma verfügt über eine Firewall und einen Mailfilter gegen schädliche E-Mails. Außerdem haben wir eine Datensicherung“, sagt der Firmenchef. Meyers Unternehmen Klimagriff in Solingen stellt einen Fenstergriff her, der seine Besitzer daran erinnert, wann sie lüften sollten. Den Schutz der Unternehmens-IT hat der Unternehmer einem Dienstleister übertragen. Weitere Anstrengungen, die ITSicherheit zu steigern, hält Meyer für überflüssig: „Für kleine Unternehmen sind solche Maßnahmen ungeeignet. Das ist zu aufwändig.“ So wie Meyer denken viele Chefs kleiner und mittelständischer Unternehmen. Für sie besteht IT-Sicherheit vor allem aus Firewalls, Virenscannern und abgeschlossenen Serverräumen. Dabei können Mittelständler mit geringem Aufwand ihre Sicherheit erheblich steigern, sagt Lutz Neugebauer, Sicherheitsexperte des IT-Verbands Bitkom. Eine Strategie für den Schutz des IT-Systems zu entwerfen sei ebenso wichtig wie die Installation einer Firewall. Und das ist nicht teuer. Oft reichen ein wenig Planung und kleine Verhaltensänderungen. Die Unternehmen müssen sich nur die Mühe machen, mögliche Risiken zu identifizieren. In einem zweiten Schritt gilt es dann zu entscheiden, wie sie mit jedem einzelnen Risiko umgehen wollen. Individuelle Strategien entwickeln „Das Sicherheitskonzept sollte sich immer an den individuellen Risiken einer Firma ausrichten“, sagt Wolfgang Gillich von der IT-Beratung Capgemini. Dabei gelten folgende Grundsätze:
Ist der mögliche Schaden groß und das Risiko leicht zu begrenzen, sollte ein Unternehmer in den Schutz investieren. Ist dagegen der drohende Schaden gering, der mögliche Schutz aber sehr teuer, ist es oft ratsam, auf den Schutz zu verzichten. Eine der wichtigsten Maßnahmen ist es, die Software auf den Unternehmensrechnern aktuell zu halten. Und das gilt nicht nur für die Firewall und den Virenscanner, sondern für alle Programme, die auf den Unternehmensrechnern genutzt werden. Das ist zwar in den Augen vieler Computer-Nutzer eine lästige Angelegenheit, doch eine Grundvoraussetzung, um Angriffe erst gar nicht zuzulassen. Angreifer suchen nämlich nach solchen Sicherheitslücken. Nur regelmäßige Aktualisierungen stopfen diese Schlupflöcher für Hacker. Außerdem sollten sich Unternehmer regelmäßig über neue Arten von Bedrohungen informieren, zum Beispiel auf den Websites von
Fachmagazinen. Denn nur wenn sie rechtzeitig von einer neuen Gefahr erfahren, haben sie die Möglichkeit, angemessen darauf zu reagieren. Mitarbeiter für Gefahren sensibilisieren Bei einem technischen Schutz gegen IT-Risiken sollten es Unternehmer aber nicht bewenden lassen, sondern zusätzlich ihre Mitarbeiter für IT-Sicherheitsthemen sensibilisieren. Denn das Verhalten der Angestellten ist das größte Risiko für Unternehmen, warnt Capgemini-Berater Gillich. „Eine Schulung der Mitarbeiter ist sinnvoll, denn allein mit Technik kann man der Bedrohung nicht Herr werden.“ Und das muss auch nicht teuer sein. Im Internet gibt es kostenlose Online-Schulungen, die Mitarbeiter für IT-Sicherheit sensibilisieren. Zusätzlich sollten die Unternehmen einen Mitarbeiter, der sich bereits gut mit Fragen rund um die IT-Sicherheit
App warnt vor Sicherheitslücken Die kostenlose Sicherheits-App „securityNews“ informiert Unternehmen und private Anwender zeitnah über Sicherheitslücken in gängigen Softwareprogrammen. Entwickelt wurde die Software am Institut für Internet-Sicherheit der Westfälischen Hochschule in Gelsenkirchen. Experten des Instituts wählen täglich die wichtigsten Meldungen aus und informieren im Newsbereich der App in verständlicher Sprache über dringende Sicherheitsmaßnahmen wie Sicherheits-Updates. Praktisch: Unter „Anwendungen“ sehen Nutzer bereits auf einen Blick, ob bei ihren Programmen alles im „grünen Bereich“ ist. Die Entwickler der App
haben dazu in der neuesten Version der iOS- und Android-App die Schwachstellen-Ampel des Bundesamts für Sicherheit in der Informationstechnik integriert. Sie steht auf Rot, wenn schwere Sicherheitslücken vom Hersteller noch nicht geschlossen wurden. Dann sollten die Nutzer besonders vorsichtig sein und das Programm zurzeit lieber meiden. Praktisch ist auch das Sicherheits-„Barometer“. Es informiert über die aktuelle Sicherheitslage im Internet und warnt beispielsweise, wenn das Spam-Aufkommen gerade besonders hoch ist. Hans Schürmann
auskennt, zum Ansprechpartner für das Thema ernennen. Der kümmert sich dann um Kollegen, die hier noch unsicher sind. Und noch eine einfache Verhaltensregel ist wichtig, um die Daten des Unternehmens vor Unbefugten zu schützen: Wenn Computer oder Smartphones ausgemustert und durch neue ersetzt werden, sollten die alten Geräte fachgerecht entsorgt und die Daten sicher gelöscht werden. Denn nur so können sich Unternehmer sicher sein, dass Unternehmensdaten nicht in die falschen Hände geraten.
Business Reporter · Juni 2013
6
Industrie 4.0
Im Internet unter: bizreporter.de
Industrie macht in der Produktion die Schotten dicht Die IT-Branche hat einen neuen Markt entdeckt: Industrie 4.0 – das Internet für die Produktion. Nach dem Büro soll nun auch die Fabrik vernetzt werden. Das Ziel ist eine höhere Effizienz und Effektivität. Mit der stärkeren Vernetzung der Maschinen und Anlagen werden die Fabriken allerdings auch zu einem attraktiven Ziel für Hacker. Mit Kryptografie sorgt die Industrie dafür, dass die Schotten dicht bleiben. Von Hans Schürmann Noch gibt es nur wenige Meldungen von Angriffen auf die IT von Produktionsanlagen. Das liegt daran, dass heute noch die Maschinen und Anlagen in den meisten Fabriken zentral und getrennt voneinander gesteuert werden. Doch das wird sich mit Industrie 4.0 ändern. Denn künftig sollen die industriellen Prozesse in der Produktion nicht nur miteinander vernetzt werden, sondern sich in weiten Teilen auch selbst organisieren. „Damit bleiben Störungen
und Bedrohungen nicht mehr lokal begrenzt“, erläutert Professor Frithjof Klasen, Leiter des Instituts für Automation & Industrial IT am Campus Gummersbach der Fachhochschule Köln, das Problem. Beim Datentransfer und Informationsfluss zwischen der Büro-IT und Produktions-IT setzen die Anbieter von Automatisierungslösungen auf die bewährten Internetprotokolle, die sogenannte TCP/IP-Kommunikation. Der Einsatz der offenen Standards hat zwar viele Vorteile, es gibt aber einen
wesentlichen Knackpunkt: Die Unternehmen übernehmen damit auch die Schwächen der Kommunikationsprotokolle bei der IT-Sicherheit. Die Einsicht, dass durch die Vernetzung in der Produktions-IT auch die Gefahr von Angriffen steigt, ist nicht neu. Bereits 2005 haben sich Experten mit dem Problem auseinandergesetzt und Sicherheitsregeln für die Steuerung von Fertigungsund Produktionsanlagen in einer VDI-Richtlinie (2182) definiert. Doch passiert ist bislang nur wenig.
Die Umsetzung der empfohlenen Maßnahmen und deren Kombination erfordert den verstärkten Einsatz von finanziellen und personellen Ressourcen. So lange nichts passiert ist, gab es für die Unternehmen keinen Grund in IT-Sicherheit zu investieren“, so Klasen. Einzelne Bereiche absichern Das wird sich mit der Realisierung von Industrie 4.0 ändern. Allerdings sind sichere IT-Lösungen in der Produktion nicht so einfach zu
IT-Sicherheit einfach, flexibel und kostengünstig Zunehmend diversifizierte Angriffe aus dem Netz zwingen Unternehmen zum Umdenken: voneinander unabhängige Einzellösungen zum Schutz der hauseigenen IT-Systeme sind längst nicht mehr zeitgemäß, um schnell und effektiv für Sicherheit zu sorgen.
Branch Office AP 10
UTM 100/110/120
Site-to-Site VPN
Branch Office
Standalone Office UTM 100/110/120
RED 10
ANZEIGE Effektive Lösungen müssen nicht nur das interne Unternehmensnetzwerk absichern, sondern alle Mitarbeiter zu jeder Zeit und an jedem Ort. Und genau dieser umfassende Schutz muss gar nicht kompliziert sein. Eine Unified-Threat- Management-Lösung (UTM) integriert alle Sicherheitsfunktionen in einer Plattform. Mit jeder neuen Technologie – seien es WLAN Access Points, Mobilgeräte oder das Cloud Computing – tauchen neue Bedrohungen auf. Und mit jeder neuen Gefahr kommt auch eine neue Klasse von Sicherheitsprodukten auf den Markt. Diese Hardware- und Softwarelösungen sollen eigentlich Risiken reduzieren, doch leider machen sie die IT-Infrastruktur oftmals komplexer, was sowohl die Kosten als auch die Risiken erhöht.
Jede zusätzliche Schutzebene kostet extra, muss konfiguriert und verwaltet werden. Zudem müssen Unternehmen dafür sorgen, dass die Sicherheitsrichtlinien immer konsistent bleiben, die IT-Abteilung braucht spezielles Know-how und entsprechende Schulungen. Grundsätzlich müssen genügend Mitarbeiter verfügbar sein, um die zusätzlichen Arbeiten durchführen zu können. Nur wenige Unternehmen verfügen über ein ausreichendes Budget, um alle erforderlichen Einzellösungen und die damit verbundenen Arbeiten konsequent zu implementieren. Und diejenigen, die ein solches Budget zur Verfügung haben, laufen Gefahr, ein zerstückeltes Sicherheitssystem zu betreiben. Erschwert wird diese Situation durch die Tatsache, dass Unternehmen heute über immer mehr Standorte verteilt sind. Mobile
Internet
Central Office AP 30
UTM 110/120
Mitarbeiter und Außenstellen benötigen dasselbe Maß an IT-Sicherheit wie der Hauptsitz. Wenn jedoch Richtlinien und Schutzmaßnahmen konsistent auf das gesamte Unternehmen ausgeweitet werden, steigern sich Verwaltungsaufwand und Kosten schnell in enorme Höhen. Mit Unified Threat Management lässt sich die größte Herausforderung bewältigen, mit der IT-Unternehmen heute konfrontiert sind: alle Bereiche einheitlich zu schützen. Bei UTM handelt es sich um eine Sicherheitslösung, bei der alle Komponenten in
Mail Server
Domain Server
eine einzige Plattform integriert sind, und die im gesamten Unternehmen für einheitliche Sicherheitsstandards und umfassenden Schutz sorgt. Und da es sich um eine integrierte Lösung handelt, lässt sie sich über eine zentrale Management-Konsole verwalten. Mitarbeiter müssen sich somit nur mit einem Produkt vertraut machen und nur mit einem Anbieter auseinandersetzen. Das spart Zeit und Geld. www.sophos.de/utm info@sophos.de
Business Reporter · Juni 2013
Industrie 4.0
Im Internet unter: bizreporter.de
realisieren, wie in der klassischen Unternehmens-IT. „Das Thema Sicherheit ist in der Automatisierung sehr komplex“, sagt Klasen. Was aus Automatisierungssicht als eine sinnvolle Eigenschaft erscheine, werde aus Security-Sicht möglicherweise als Schwachstelle betrachtet, erläutert
limitierten Rechenleistungen der Geräte gar nicht möglich“, sagt Jasperneite. Es reiche aber in vielen Fällen aus, die Authentizität sicherzustellen. Das heißt, dafür zu sorgen, das nur Informationen akzeptiert werden, die auch tatsächlich von Komponenten kommen, die Teil der Automatisie-
„Ohne weiteren Schutz könnte jede MaschinenSteuerung von Hackern übernommen werden.“ Prof. Jürgen Jasperneite, Leiter des Instituts für industrielle Informationstechnik (inIT)
der Kölner Professor. Am sinnvollsten sei es daher, die Automatisierungsbereiche in Zellen mit unterschiedlichen Sicherheitsstufen einzuteilen und diese nach dem sogenannten Zwiebelmodell der IT-Sicherheit zu schützen: empfindliche Zonen stark und weniger sensible Bereiche kaum oder gar nicht abzuschotten. Das empfiehlt auch Jürgen Jasperneite, Leiter des Instituts für industrielle Informationstechnik (inIT) an der Hochschule OstwestfalenLippe in Lemgo. „Die Übergänge zu den einzelnen Zonen können mit den Bordmitteln der klassischen IT abgesichert werden – mit Firewalls und AntivirenGateways“, so der Lemgoer Professor. Das gelte auch für die Vernetzung der Produktionsstätten untereinander. Darüber hinaus empfiehlt der Experte für Industrial-IT die einzelnen Automatisierungskomponenten mit Hilfe von Verschlüsselung direkt zu sichern. Je Komponente muss sich authentifizieren Ziel sei es jedoch nicht, die gesamte Kommunikation zu verschlüsseln. „Das ist bei den Echtzeitanforderungen in der Automatisierung und den
rungslösung sind. „Wir haben in Projekten untersucht, wie sicher die Einzelkomponenten für die Fabrikautomatisierung sind und gesehen, dass derzeit jede Steuerung übernommen werden kann“, berichtet Jasperneite. Durch Zusatzfunktionen in der Software, wie eine Authentifizierung der Komponenten, könne man das verhindern. Allerdings mit Technik alleine, sei die IT-Sicherheit in der Produktion nicht zu erreichen, warnt Peter Schoo. Nur eine Kombination mit organisatorischen Maßnahmen führe zum Ziel, so der Leiter des Department Network Security and Early Warning Systems bei der Fraunhofer Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) in München. Daher sei es ganz wichtig, dass das Personal in Sachen IT-Sicherheit geschult werde. Es gebe zwar inzwischen Produkte, mit denen sicherheitsrelevante IT-Bereiche einer Anlage abgeschottet werden könnten – „doch dazu muss das Know-how bei jedem Anwender vorhanden sein“, mahnt der AISEC-Experte. Schließlich werde die Sicherheitstechnik nicht vom Hersteller konfiguriert, sondern von den Mitarbeitern in den Anwenderunternehmen.
7
IT & Business: Eindrucksvolle Hacks für mehr Sicherheit Täglich wird über neue Sicherheitslöcher und bekannt gewordene Hackereinbrüche berichtet. Doch live und sicher erlebt man sie in aller Regel nicht. Anders ist dies während der IT & Business auf der Messe Stuttgart, die in diesem Jahr vom 24. bis 26. September zeitgleich mit der DMS EXPO und der CRM-expo unter dem Motto „Where IT works“ stattfindet. ANZEIGE Auf der Fachmesse für IT-Solutions vermitteln Experten in Fachforen besonders praxisnah ihr Know-how. Dabei kann den Besuchern schon einmal der Atem stocken, beispielsweise beim Live-Hacking. An allen drei Messetagen verblüfft Sebastian Schreiber, Geschäftsführer der SySS GmbH, die Besucher, wenn er zeigt, wie einfach es ist, ein gesperrtes iPad zu knacken, Shopsysteme anzugreifen oder ein Handy zu verwanzen. Erstmals widmet er sich an jedem Messetag einem anderen Schwerpunkt. „Ich freue mich genau deshalb sehr darauf“, verrät der Sicherheitsexperte. Zu den Themen Mobile, Web und Hardware demonstriert er echte Hackertechniken, erläutert und diskutiert sie und stellt somit anschaulich und eindrucksvoll dar, wie wichtig IT-Security ist. Tatsächlich besteht dringend Handlungsbedarf. Neue und komplexe Angriffsformen erhöhen das Gefährdungspotenzial für Unternehmen beträchtlich, wie die Studie „Vor dem Sturm: IT-Security in Deutschland 2013“ des Marktforschungs- und Beratungsunternehmens IDC belegt. Dennoch haben die IT-Abteilungen oft zu großes Vertrauen in ihre
Schutzmaßnahmen. IT-Verantwortliche und kaufmännische Entscheider, die Sicherheitskonzepte umsetzen müssen, finden auf der IT & Business genau die Informationen, Lösungen und Kontakte, die dafür erforderlich sind. Durch die enge Verzahnung der IT & Business mit der DMS EXPO und der CRM-expo decken die Angebote der Aussteller die gesamte Bandbreite der IT-Sicherheit im Unternehmen ab. So präsentiert sich die ID Ausweissysteme GmbH als zuverlässiger Partner, Berater und Lieferant für Produkte rund um die Sicherheit in Unternehmen, Behörden und bei Veranstaltungen. Sie berät vom einfachen Kartenhalter für Ausweise bis hin zum kompletten Ausweissystem für Besucher und Mitarbeiter. Die DANES Datennetzwerktechnik GmbH stellt ihr intelligentes Rechenzentrum auf der IT & Business vor. Beim Stuttgarter Fraunhofer-Institut für Produktionstechnik und Automatisierung, der Hewlett Packard GmbH sowie Projekt- und Netzwerkpartnern der Forschungsinitiative „Virtual Fort Knox“ erfahren die Besucher, wie sie Cloud-Technologien einsetzen, um Ingenieurswelt und IT zusammenzubringen – und zwar sicher. www.where-it-works.de
Sebastian Schreiber, Geschäftsführer der SySS GmbH, demonstriert Unternehmensnetzwerke im Visier von Hackern. (Quelle: Messe Stuttgart)
Business Reporter · Juni 2013
8
Interactive entertainment Cloud-Computing
Im Internet unter: bizreporter.de
Eine Wolke spaltet die Welt Cloud-Computing ist ein Erfolg: Immer mehr Unternehmen speichern ihre Daten bei Internet-Dienstleistern oder nutzen deren Software beziehungsweise Rechenleistungen. Doch wie steht es dabei mit der Sicherheit? Dass es Risiken gibt, bestreiten nicht einmal die Befürworter der Datenwolke – die Experten sagen, entscheidend sei nur, wie Firmen damit umgehen.
Von Christian Buck Es wird ein böses Ende nehmen! „Wir werden in den nächsten fünf Jahren schreckliche Probleme bekommen“, warnt Apple-Mitgründer Steve Wozniak. „Je mehr wir in die Wolke übertragen, desto weniger Kontrolle haben wir darüber.“ Wozniak gehört zu den prominentesten Kritikern der Cloud-Technologie, die sich aber trotz solcher Warnungen mit Riesenschritten weiter ausbreitet: Nach einer Studie der Unternehmensberatung Pierre Audoin Consultants (PAC) lagen die Ausgaben für Cloud Services – inklusive Beratung und Systemintegration – im vergangenen Jahr alleine in Deutschland bei knapp fünf Milliarden Euro. Bis 2016 soll der Markt jedes Jahr um 30 Prozent auf dann mehr als 14 Milliarden Euro wachsen. Viele Unternehmen setzen vor allem auf die Private Cloud, bei der die IT-Infra-
struktur entweder unter dem eigenen Dach bleibt oder von einem Dienstleister speziell für einen einzigen Kunden betrieben wird (Hosted Private Cloud). Die Public Cloud dagegen steht hingegen jedem offen – hier teilen sich mehrere Kunden die gleiche Infrastruktur, was in punkto Datensicherheit natürlich viele Fragen aufwirft – etwa nach der strikten Trennung der einzelnen Nutzer). Der „Cloud-Monitor 2013“ von KPMG und BITKOM ergab: Während 2012 schon 34 Prozent der Unternehmen eine Private Cloud nutzten, waren es bei der Public Cloud nur zehn Prozent – bei ihr spielt die Angst vor Datenverlust eine besonders große Rolle. Mittelständler sind in der Cloud oft besser geschützt Aber sind die Warnungen von Wozniak und anderen Kritikern vor den Public Cloud wirklich berechtigt? „Diese Ängste entspringen teilweise einfach Vorurteilen, und häufig spielen hier
auch Emotionen eine große Rolle“, sagt die IT-Expertin Nicole Dufft von PAC. „Vor allem kleine Unternehmen können sich meist keine professionellen Rechenzentren wie einen großer Cloud-Anbieter leisten, so dass ihre Daten in der Public Cloud im Einzelfall sogar besser geschützt sind.“ Darauf deuten auch die bisherigen Erfahrungen aus der Praxis hin: Laut Cloud-Monitor haben fast drei Viertel aller Nutzer positive Erfahrungen mit der Public Cloud gemacht, bei der Private Cloud waren es sogar 83 Prozent. Dennoch sind die Unternehmen gespalten: Im Vergleich zu 2011 wuchs sowohl die Zahl der Cloud-Befürworter als auch der Cloud-Skeptiker – das Thema polarisiert die Nutzer offensichtlich ebenso wie die Experten. Dass es tatsächlich Risiken gibt, bestreiten nicht einmal die Befürworter der Datenwolke – entscheidend ist nur, wie ein Nutzer damit umgeht. „Ein wesentliches Risiko für Unternehmen besteht darin, keine
Cloud-Strategie zu haben“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). „Dazu muss immer eine individuelle Sicherheitsanalyse für die auszulagernden Informationen oder Anwendungen durchgeführt werden.“ Auf jeden Fall bräuchten die Unternehmen auch eine Exit-Strategie für eine geregelte Beendigung des Vertrags. Detaillierte Anforderungen an Cloud-Dienstleister hat das BSI in seinem „Eckpunktepapier“ festgelegt (siehe Kasten). Auf die Frage, ob sie selbst Clouds nutzt, macht die Behörde keine Angaben. Es kommt darauf an, wo die Daten gelagert werden Wichtig ist auch die Frage, wo ein Cloud-Anbieter die Daten lagert. Bei Providern mit Sitz im europäischen Wirtschaftsraum EWR (alle EUStaaten plus Island, Liechtenstein und Norwegen) sind sie vor dem Zugriff
Quo vadis BYOD? ANZEIGE Von Jim Henrys, Strategieleiter bei Intel Die Art und Weise, wie technologische Innovationen ihren Weg in unseren Berufsalltag finden, hat sich grundlegend geändert. Noch vor wenigen Jahren haben Hardware- und Software-Neuerungen zunächst in Unternehmen Einzug gehalten und sind dann erst in die Verbraucherelektronik vorgedrungen. Heute geben die Innovationen der Verbraucherelektronik den Takt für die Unternehmens-IT an. Dass Computertechnologie so erschwinglich geworden ist und nicht mehr als Luxusgut sondern als Notwendigkeit wahrgenommen wird, hat diese Entwicklung vorangetrieben. Und genau dabei geht es bei der „Consumerization“ der IT: Verbrauchertrends führen zu tiefgreifenden Änderungen am Arbeitsplatz. Tatsächlich gilt der Begriff Arbeitsplatz wegen der steigenden Anzahl mobiler Arbeitskräfte als zunehmend überholt und wird von einer Arbeitsumgebung abgelöst, in der Anwender über das Endgerät ihrer Wahl überall und jederzeit Zugriff auf Applikationen und Daten haben. Die irrige Meinung, dass sich Unternehmen nur dann die besten Mitarbeiter sichern können, wenn sie ihnen die kostspieligsten Geräte zur Verfügung stellen, ist weit verbreitet. Das muss nicht notwendigerweise so sein. Nach meiner Er-
kenntnis wollen sie einfach nur eine Technologie, die sie nach ihren Vorstellungen nutzen können, und das deckt sich nicht immer mit den Vorstellungen von IT-Abteilungen. IT-Abteilungen haben den Mitarbeitern eine Arbeitsumgebung bereitzustellen, in der diese ihr Potenzial voll ausschöpfen können. Heute geht es nicht mehr so sehr darum Menschen miteinander zu verbinden als vielmehr Geräte. Manche mögen diese Kommunikation zwischen Maschinen als beunruhigend empfinden. Ich aber denke, Ihr Gerät sollte mehr über Sie wissen und Ihr Leben mit diesem Wissen vereinfachen. Um sich dieser Entwicklung anzupassen, sollten IT-Abteilungen ihre Denkweise ändern und in ihren Entscheidungen den Anwender und nicht die Technologie in den Mittelpunkt rücken. Die Arbeit einer IT-Abteilung wird in Zukunft danach beurteilt werden, ob Mitarbeiter gute Anwendererfahrungen machen und wie sie bspw. bei ihrem Umzug von Windows, iOS und Android auf BB10 unterstützt (nicht angeleitet!) werden. Welche effektiven Lösungen bieten sich einer ITAbteilung an, wenn im Unternehmen ein Dutzend verschiedene Geräte mit drei Betriebssystemen in unterschiedlichen Versionen genutzt werden? Es wäre wohl zu teuer, für jede Plattform eine native Applikation zu schreiben. Eine weitere Möglichkeit wäre die Virtualisierung. Da Desktop-Apps jedoch nicht für die Touch-Bedienung optimiert sind, ist von
Anwendungsproblemen auszugehen. Die beste Option - sowohl für die IT-Abteilung als auch für den User - wäre eine webbasierte und plattformneutrale App auf der Basis von HTML5, was von jedem internetfähigen Smartphone, Tablet, Laptop oder PC verstanden wird. IT-Abteilungen befassen sich im Wesentlichen mit Kontrolle und Konsistenz, während Vorstände die Kosten im Visier haben. Die kosteneffektivste Strategie für die meisten Unternehmen besteht darin, bestimmte Endgeräte zu bezuschussen, um auf diese Weise eine personalisierte Benutzererfahrung zu ermöglichen, gleichzeitig aber die Kontrolle und Sicherheit aufrechtzuerhalten. Computerhersteller bringen immer neuere, ausgefeiltere und leichtere Endgeräte auf den Markt, mit Funktionen wie Akkus, die den ganzen Tag halten, kabelloses Laden, Sprachsteuerung der nächsten Generation oder Gesichtserkennung. IT-Abteilungen sollten diese Entwicklungen annehmen und für ihr Unternehmen bestmöglich nutzen und dabei die Arbeitsumgebung schaffen, nach der die Anwender verlangen. www.intel.de/consumerization
Business Reporter · Juni 2013
Cloud-Computing
Im Internet unter: bizreporter.de
durch US-Behörden geschützt. Einzelne US-Anbieter bieten auch so genannte „EU/EWR-Clouds“ an, bei denen die Daten aber trotzdem aufgrund des „Patriot Act“ in die USA fließen könnten. Solche Verträge verstoßen gegen das Bundesdatenschutzgesetz und dürfen von deutschen Unternehmen nicht unterzeichnet werden. Die Cloud spaltet also nicht nur die Experten, sondern auch die Welt in punkto Datenschutz – in unproblematische Regionen und „No Go Areas“.
9
So finden Sie den passenden Cloud-Anbieter
Worauf müssen Unternehmen achten, die eine Cloud nutzen wollen? Dazu haben sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der Branchenverband BITKOM Empfehlungen veröffentlicht. Das „Eckpunktepapier“ des BSI richtet sich zwar in erster Linie an die Anbieter von Cloud-Diensten – potenzielle Kunden können es aber auch als Checkliste nutzen, um mögliche Dienstleister zu vergleichen. Ein entscheidender Punkt sind die Service Level Agreements (SLA) in den Verträgen, die unter anderem die Datensicherheit betreffen (Security-SLA): In ihnen müssen nicht nur die Schutzmaßnahmen während der Vertragsdauer festgelegt sein, sondern auch das Vorgehen bei einem Anbieterwechsel. Sind die Daten portierbar? Und werden sie beim alten Dienstleister nach Vertragsende auch vollständig gelöscht?
Der BITKOM-Leitfaden enthält eine Checkliste für die Einführung von Cloud-Computing in Unternehmen, der sowohl technische Fragen (zum Beispiel zu den Verschlüsselungsmethoden) als auch juristische Aspekte (etwa zum Datenschutz) umfasst. Links: „Eckpunktepapier“ des BSI www.bsi.bund.de/DE/Themen/CloudComputing/ Eckpunktepapier/Eckpunktepapier_node.html BITKOM-Leitfaden www.bitkom.org/files/documents/BITKOMLeitfaden-CloudComputing_Web.pdf Orientierungshilfe zum Datenschutz in der Cloud: www.datenschutz-bayern.de/technik/orient/ oh_cloud.pdf
Intelligente Gefahrenabwehr Sie werden infiziert, ausspioniert, sabotiert – Unternehmen jeglicher Branche und Größenordnung geraten zunehmend ins Visier von Cyberkriminellen. Die Attacken werden immer ausgefeilter. Das gilt allerdings auch für die Abwehrmethoden. Roger Scheer, Deutschlandchef von RSA, der Sicherheitsdivision des Speicherherstellers EMC, weiß, wie sich Big-Data-Werkzeuge für schlagkräftige Security-Lösungen nutzbar machen lassen. ANZEIGE Sehen Sie einen Wandel der Sicherheitsrisiken für Unternehmen?
Welche Vorteile bietet dieser Ansatz?
Ja, die Gefahrenlage hat sich grundlegend verändert. Angreifer umgehen die gängigen Sicherheitswerkzeuge wie Antivirenprogramme, Firewalls und Passwörter, wodurch sie ungehindert in das Unternehmensnetz eindringen können. Die neuen Angriffstechniken sind hochinnovativ! Die Sicherheitsrisiken wachsen zudem durch die Komplexität der meisten IT-Umgebungen, den Einsatz mobiler Geräte und die Vernetzung mit Partnern, was viele neue Angriffspunkte bietet. Und in der Cloud-basierten, hypermobilen Arbeitswelt sind herkömmliche Sicherheitskontrollen an den Außengrenzen des Netzwerks, die auf Informationen über vorab identifizierte Bedrohungen basieren, veraltet.
Er ermöglicht Security-Analysten, genaue Kenntnisse über Vorgänge im Firmennetzwerk zu sammeln. Anhand dieser können sie verdächtige Aktivitäten in Echtzeit erkennen und darauf reagieren. Im Gegensatz zu den traditionellen, signaturbasierten Sicherheitsstandards können mit dieser neuen Methode auch bisher unbekannte Bedrohungen identifiziert und gestoppt werden.
Wie können Unternehmen auf die gestiegenen Risiken reagieren? Indem sie zu intelligenten Sicherheitsmodellen übergehen. Damit lassen sich Risiken dynamisch bewerten, große Mengen an Sicherheitsdaten analysieren, Kontrollen jederzeit anpassen und Informationen über Bedrohungen und Angriffe teilen. Cyberangriffe müssen früh erkannt werden, um sie abwehren zu können. Wesentlich dafür ist, die Vorgänge
in einer IT-Umgebung vollständig zu erfassen und mit externen Daten über die Gefahrenlage zu korrelieren. Denn: Viele Schwachstellen sind bekannt, die Informationen gibt es – man muss sie nur nutzen. Womit ein ungeheurer Datenwust bewältigt werden muss. Ist Big Data in dieser Hinsicht eine Bürde oder Chance? Eine große Chance, denn erst durch die Analyse großer Datenmengen lässt sich eine sichere IT realisieren. Security ist zu einem klassischen Big-Data-Thema geworden. Künftig können Tools zur Datenanalyse weitere Prognosemöglichkeiten und automatisierte Echtzeitüberwachung bieten.
Wie muss sich die Sicherheitsstrategie im Big-DataZeitalter ändern? Der Security for Business Innovation Council (SBIC), eine Gruppe von Security-Verantwortlichen der globalen Top-1000-Unternehmen, rät zur Einführung eines Risikomanagements mit gründlicher Analyse aller internen und externen Risikoparameter und hat dafür den Begriff „Intelligence Driven Security“ geprägt. Darunter versteht man das zentrale Erfassen, Zusammenführen und Analysieren von sämtlichen sicherheitsrelevanten Informationen aus dem Unternehmen sowie von externen Datenquellen. Kurzum: Das ist ein Big-Data-Ansatz für Cyber-Sicherheit.
Wie setzt man eine intelligente Sicherheitsinfrastruktur im Unternehmen auf? Zentrales Element eines Intelligence-Driven-Sicherheitssystems ist ein Security Operation Center (SOC). Hier laufen alle Fäden zusammen, die für eine ganzheitliche Sicherheitsauswertung notwendig sind: Analyse, Bewertung, Reporting und Steuerung der Maßnahmen. Dazu gehört unter anderem die Auswertung von Daten aus PCs, Servern, mobilen Endgeräten und Netzwerken sowie Informationen über bekannte Angriffe und der von Angreifern bevorzugten Tools und Methoden, die für das Geschäft eine Gefahr darstellen können. www.germany.emc.com
Business Reporter · Juni 2013
10
Anzeige
Im Internet unter: bizreporter.de
Lassen Sie sich angreifen! – Wissen bringt Sicherheit. Online-Anwendungen, ein unentbehrlicher Bestandteil moderner Unternehmen, sind leider beliebte Ziele für professionelle Hacker, wie Telekom, Adidas, NATO, GEMA und andere letztlich schmerzhaft erfahren mussten. Das Bundesamt für Sicherheit in Informationstechnik warnt explizit vor dieser Gefahr. Glücklicherweise ist die Absicherung solcher Anwendungen möglich, aber man muss wissen, wo die Probleme liegen, bevor sie korrigiert werden können. Die OPTIMA Business Information Technology GmbH (OPTIMAbit) ist ein Beratungsunternehmen, das sich auf die Absicherung von Webanwendungen spezialisiert hat. OPTIMAbit sichert geschäftskritische Systeme und Daten aus sicherheitsbewussten Bereichen wie Finanzen, Versicherungswesen, Großindustrie, Telekommunikation und Verteidigung. Zu den Kunden gehören: • 3 der Top 5 Banken • 4 der Top 10 Versicherungen • Einige Mitglieder der Global 100
Interview mit Dr. Bruce Sams, Geschäftsführer Dr. Sams studierte Astrophysik an der Harvard Universität und lebt seit 1991 in München. Sind nicht Viren das größte Sicherheitsproblem? Nun wird aber von Anwendungen gesprochen. Für Heimanwender sind tatsächlich Viren das größte Problem. Aber für ein Unternehmen ist die Sicherheit der Webanwendungen die oberste Priorität, denn über diese Verbindungen stehlen professionelle Angreifer Kundendaten, Geheimformeln, Geschäftspläne usw.
Wie weiß ich, ob meine Webanwendungen angreifbar sind? Am besten durch einen „Penetrationstest“, welcher einen Hackerangriff unter kontrollierten Bedingungen simuliert. Unsere e-Commerce Anwendungen wurden in Haus bzw. von einem vertrauten Partner erstellt. Ich nehme an, dass wir keine Sicherheitsprobleme haben. In der Regel, falls Sie keinen Penetrationstest durchgeführt haben, ist diese Annahme unbegründet und unsere Erfahrung lehrt leider genau das Gegenteil. Welche Ergebnisse kann ich von einem Penetrationstest erwarten?
Die Schwachstellen werden entdeckt, dokumentiert und priorisiert. Nach einem Penetrationstest wissen Sie genau, wie Ihr System abgesichert werden muss. Wir helfen auch bei der Korrektur und dem erneuten Betrieb der Anwendung. Welche Erfahrung hat OPTIMAbit? Als führender Anbieter testen wir seit über 12 Jahren. Unsere Trefferquote ist sehr hoch, wir verwenden aktuelle Techniken und verfolgen bewährte Verfahrensweisen. Referenzen liefern wir gerne auf Anfrage. www.optimabit.com bruce.sams@optimabit.com
IT-Sicherheit – keine Frage der Technik Nur wer weiß, an welchen Stellen sein Unternehmen am verwundbarsten ist, kann darauf angemessen reagieren. Jedoch werden Audits der Geschäftsprozesse immer noch unterschätzt und oft wird lediglich aus Sicht der IT-Infrastruktur vorgegangen. Da heute nahezu alle wertschöpfenden Prozesse von IT-Systemen unterstützt werden, ist das Thema Sicherheit längst zum geschäftskritischen Faktor jedes Unternehmens geworden. „IT-Security ist aber keine Frage von Software oder Hardware; man kann sie nicht messen und auch nicht kaufen“, sagt Sven Witthohn, geschäftsführender Gesellschafter der SWITCOM GmbH & Co. KG. Für ihn steht vor der Entwicklung von Maßnahmen zur Verbesserung der IT-Sicherheit daher immer erst die Untersuchung der Risiken im Unternehmen. Im Rahmen eines solchen ITAudits wird zuerst der Ist-Zustand ermittelt, für den die Infrastruktur, Organisation und Strategie der IT im Unternehmen untersucht wird. Dabei werden auch alle durch IT gestützten Geschäftsprozesse einbezogen. Als zweites wird der Soll-Zustand definiert, für den alle Anforderungen an das IT-System zusammengetragen werden. Diese werden heute nicht
mehr nur von Kunden, Partnern, Banken und Wirtschaftsprüfern gestellt, auch die Compliance, Investitions- und Kostenplanung sowie eine detaillierte Einbeziehung der Wertschöpfungsprozesse im Unternehmen stellen einen zunehmend größer werdenden Faktor dar. Erst aus dem abschließenden Vergleich von Ist- und Soll-Zustand lassen sich dann Maßnahmen zur Erreichung der geforderten ITSicherheit entwickeln und die Risiken für deren Verfehlung bewerten. „Wir stellen dabei immer wieder fest, dass sich Risiken in allen Unternehmensbereichen unserer Auftraggeber verbergen“, summiert Witthohn seine Erfahrungen. „Oft werden Risiken gar nicht als solche erkannt, von den Verantwortlichen bewusst ‚klein geredet‘ oder hinter technischen Lösungen versteckt“. Daher sei es umso wichtiger, mithilfe von externen Fachleuten einen unverstellten Blick auf das Unternehmen zu erhalten. Durch
„Oft werden Risiken gar nicht als solche erkannt, von den Verantwortlichen bewusst ‚klein geredet‘ oder hinter technischen Lösungen versteckt.“
Sven Witthohn, geschäftsführender Gesellschafter der SWITCOM GmbH & Co. KG
regelmäßige Wiederholungen der Audits und den Entwurf von verbindlichen Maßnahmenkatalogen lasse sich leicht auch kurzfristig eine Verbesserung der IT-Sicherheit im Unternehmen erreichen. Ein dazu geeignetes IT-Audit sollte immer anhand von gängigen Standards durchgeführt werden. Die Übergabe aller prüfungsrelevanten Informationen erfolgt in der Regel in Form eines Prüfberichtes und als zusammenfassender
Management-Letter. „Am Ende müssen wir die Geschäftsleitung in die Lage versetzen, die für das Unternehmen und seine Wertschöpfungskette bestehenden Risiken aus dem Einsatz von IT bewerten zu können“, formuliert Witthohn den Anspruch. Mehr Informationen unter: www.switcom.de
Business Reporter · Juni 2013
Identity- und Access-Management
Im Internet unter: bizreporter.de
11
„So einfach und sicher wie möglich“ Mobile Solutions, Cloud-Computing, globalisierte Unternehmen: Die Anzahl und Verschiedenheit der Benutzer, die mit den IT-Infrastrukturen von Unternehmen interagieren, nimmt ständig zu. Gleichzeitig ändern sich die Verfahren und Bedingungen für eine Interaktion mit Anwendungen, Servern und Websites sowie Social Media-Aktivitäten von Unternehmen. Im Gespräch mit Hans Schürmann erläutert Michael Neumayr, Sicherheitsexperte bei CA Technologies Deutschland, wie Firmen auch bei der zunehmenden Komplexität die IT-Sicherheit durch ein ausgefeiltes Identity- und Access-Management (IAM) garantieren können.
„IAM senkt das Sicherheitsrisiko auf ein beherrschbares Niveau.“
Michael Neumayr, Sicherheitsexperte bei CA Technologies Deutschland
Herr Neumayr, nicht nur die IT-Anwendungen werden immer komplexer, sondern auch die Herausforderungen an die IT-Sicherheit. Reichen einfache Zugangskontrollen mit Benutzernamen kombiniert mit einem Passwort da noch aus? Michael Neumayr: Die Antwort heißt ganz klar: Nein. Auch das Identity- und Access-Management ist komplexer geworden. Es ist gleichzeitig aber auch viel leistungsfähiger als früher. Mit kombinierten Verfahren können Unternehmen heute sicherstellen, dass die richtigen Personen zum richtigen Zeitpunkt entsprechend ihren Rechten die passenden Informationen bekommen. Egal, ob sie in gesicherten Umgebungen arbeiten, unterwegs sind oder mit eigenen Geräten auf die UnternehmensAnwendungen zugreifen. Ein solcher Service sorgt dafür, dass die Daten vor unbefugtem Zugriff und vor Manipulationen geschützt werden Wie funktioniert das? Neumayr: Viele Unternehmen müssen einen heterogenen Bestand an Anwendungen mit unterschiedlichen Vertraulichkeitsgraden und damit eine Vielzahl von Authentifizierungsmethoden verwalten. Die große Herausforderung besteht darin, ein Gleichgewicht zwischen einem ausreichenden Grad an Sicherheit bei der Authentifizierung und ausreichender Benutzerfreundlichkeit herzustellen. Wir empfehlen daher eine Kombination verschiedener Verfahren – aus Passwörtern, Sicherheitsfragen, Einmal-Passwörtern per SMS/ E-Mail oder automatisch von Soft-
ware-Token generierten Sicherheitscodes abhängig von dem Sicherheitsbedürfnis. Können Sie dafür ein Beispiel geben? Um beispielsweise sogenannte Brute-Force-Attacken abzuwehren – bei denen professionelle Hacker versuchen, durch massive Try- and ErrorVersuche Passwörter zu erlangen – oder Man-in-the-Middle-Angriffe, empfehlen wir die Kombination aus einer ID, die jedem Benutzer eindeutig zugeordnet werden kann, mit einem Benutzerpasswort. So kann beispielsweise mit einem Identitätscode für das Gerät und einem Softwaregenerator für Einmal-Passwörter, der auf fast allen mobilen Geräten und Computern genutzt werden kann, relativ einfach eine sichere Zweifach-Authentifizierung erreicht werden. Wie verbreitet sind solche Lösungen für das Identity- und Access-Management inzwischen? Große Unternehmen nutzen solche IdentifizierungsmanagementLösungen schon sehr intensiv – vor allem Banken. Für sie liegen die Vorteile klar auf der Hand: IAM senkt dank besserer Kontrollen das Sicherheitsrisiko auf ein beherrschbares Niveau und verbessert die IT-Governance. Die mit IAM erreichte Transparenz bei den Anwendungs- und Datenzugriffen garantiert nachweisbar die Konformität mit Gesetzen und Vorschriften und sorgt so für die nötige Compliance. Auch immer mehr mittlere Unternehmen erkennen diese Vorteile und holen hier immer mehr auf. Kleinere Firmen dagegen tun sich noch schwer.
Woran liegt das? Um die verschiedenen Zugriffsrechte und unterschiedlichen Rollen der Mitarbeiter im Identity- und AccessManagement zu konfigurieren, benötigen die IT-Mitarbeiter spezielle Kenntnisse. Kleinere Unternehmen können es sich oft nicht leisten, hierfür extra Personal einzustellen. Es gibt aber eine Lösung: IAM ist inzwischen ein Sicherheitsservice, der auch in der Cloud angeboten wird. Dabei handelt es sich um standardisierte Lösungen. Experten des Serviceanbieters unterstützen die Nutzer bei der Konfiguration der Software. Wie funktionieren solche Sicherheitslösungen aus der Cloud? Gehostete Cloud Services basieren auf bewährten IAM-Sicherheitslösungen in einer Serviceinfrastruktur, die rund um die Uhr das gesamte Jahr überwacht und unterstützt wird. Die Lösungen können unabhängig voneinander oder in Kombination mit Sicherheitslösungen im Unternehmen eingesetzt werden und so hybride CloudStrategien unterstützen. Der Vorteil, sie müssen sich nicht um die Installation, das Hosten oder die Wartung und Instandhaltung kümmern, sondern überlassen das dem Anbieter. Sie bezahlen flexibel nach der Anzahl der Benutzer.
Werden solche Cloud-Lösungen auch von größeren Unternehmen genutzt? Unternehmen mit hochsensiblen Daten und umfassenden IT-Ressourcen entscheiden sich in der Regel dafür, die Kontrolle über Sicherheitsanwendungen im eigenen Netzwerk zu belassen. Viele Unternehmen folgen einem hybriden Modell und stehen damit zwischen diesen beiden Extremen. Sie möchten manche Sicherheitslösungen On-Premise belassen, bestimmte neue Technologien in der Cloud nutzen und schrittweise umstellen, wenn sich das Modell in ihrem Fall als tragfähig erweist. Dabei ist aber die Integration der Cloud-Security in die vorhandenen Sicherheitssysteme wichtig, um Redundanzen und Unstimmigkeiten zu vermeiden.
Cloud Services basieren auf bewährten IAMSicherheitslösungen
IAM-Studie Das europäische Analystenunternehmen Quocirca hat in seiner aktuellen IAM-Studie untersucht, wie sich die Öffnung von mehr Anwendungen für externe Benutzer, die zunehmende Verbreitung von Cloud Services und der Aufstieg der sozialen Medien darauf auswirken, wie europäische Unternehmen IAM einsetzen und wie IAM zunehmend zum Erfolgsfaktor für das Unternehmenswachstum wird.“
Ein kostenloses Exemplar der Studie liegt für Sie auf der Webseite www.ca.com/de/quocirca-research zum Download bereit.
Business Reporter · Juni 2013
12
Datenübertragung
Find us online:
Im Internet unter: bizreporter.de
Sichere Reise durchs Internet Immer mehr Beschäftigte nutzen für ihre tägliche Arbeit mobile Geräte. Viele von ihnen tauschen von unterwegs E-Mails oder sensible Informationen mit dem Unternehmensnetzwerk aus. Das ist zwar bequem, aber nicht unproblematisch: Die Daten können auf ihrem Weg durch das Internet mitgelesen oder verfälscht werden. Kryptografie verhindert das. Von Christian Buck Sicherheitsexperten ist das Internet ein Dorn im Auge. „Jedes Netz, das nicht durch das eigene Unternehmen kontrolliert werden kann, gilt zunächst als nicht vertrauenswürdig“, warnt Wolfram Funk, Experte für Informationssicherheit bei der Unternehmensberatung Steria Mummert Consulting. Nicht nur, dass sich Hacker in die Datenleitungen einklinken könnten, es kann sogar vorkommen, dass sich hinter einem vermeintlich bekannten Absender oder Empfänger eine ganz andere Person verbirgt.
Darum sind Verschlüsselung und Authentifizierung Pflicht, wenn Mitarbeiter schützenswerte Daten via Internet mit ihrem Unternehmen austauschen. Beispiel E-Mail: Schon mit den Bordmitteln der mobilen E-Mail-Programme lassen sich die vertraulichen Inhalte vor der Neugier Unbefugter verbergen – Nutzer müssen nur darauf achten, dass in den Einstellungen die Option „SSL“ aktiviert ist (SSL steht für „Secure Sockets Layer“). „Dann ist die Übertragung sicherer, weil die Daten schon während der Übertragung zum Server verschlüsselt
werden“, erklärt der Sicherheitsexperte Tobias Hutzler von der Beratungsgesellschaft Capgemini. Wer sich darauf aber nicht verlassen will, kann seine E-Mails auch separat verschlüsseln. So unterstützt beispielweise das mobile AppleBetriebssystem seit der Version iOS5 auch das S/MIME-Protokoll (Secure/
Multipurpose Internet Mail Extensions), das die Verschlüsselung und das Signieren der Nachrichten ermöglicht. Für einen sicheren Mail-Verkehr brauchen beide Partner aber ein digitales Zertifikat, das von einem „Trustcenter“ herausgegeben wurde der sichere Datentransport per „SSL“ beziehungsweise „TLS“ („Transport Layer
IT- und Internetkriminalität – eine reale Bedrohung? ANZEIGE Marc Werdehausen & Dirk Wietzke Schlagzeilen über Datendiebstahl, Datenverlust und Hacker-Angriffe auf große Unternehmen erobern rasant auch deutsche Medien. Laut der Studie „Cost of Cyber Crime“ von HP werden die untersuchten deutschen Unternehmen und Behörden derzeit im Schnitt 1,1-mal in der Woche erfolgreich angegriffen. Deutschen Großunternehmen entstehen so im Schnitt 4,8 Millionen Euro Kosten pro Jahr durch Cyberkriminalität. Besonders betroffen sind IT-Dienstleister und Datencenter, im Grunde aber jedes Unternehmen, das die Internet-Technologie für seine Geschäftsbeziehungen nutzt. Wo sind die echten Gefahren? Unternehmen können heute überall und jederzeit Schäden erleiden, ohne dass der Täter hierfür das Unternehmensgelände betreten muss. Kriminelle im Netz haben die Möglichkeit, sich per Internet Zugang zu den Netzwerken der Unternehmen zu verschaffen und so Unternehmensdaten von allen Orten der Welt aus zu stehlen, zu verändern, zu beschädigen, zu zerstören oder auszuspähen. Eine Verfolgung von „elektronischen Spuren“ ist aufwendig und kostenintensiv. Dies gilt auch für die Folgekosten einer Cyber-Attacke. Viren, Würmer, Trojaner, Spyware, unsichere Konfiguration, webbasierte Dienste, die Ausnutzung von Sicherheits-
lücken und die gezielte Überlastung von Diensten (Denial-of-Service-Angriffe) bedeuten für betroffene Unternehmen nicht nur Reputationsschäden oder unzufriedene Kunden, sondern zunehmend auch konkrete juristische Konsequenzen. Die Gefahr, im Zuge der ‚Cyber Liability‘ in Anspruch genommen zu werden, ist für Unternehmen durchaus real. Die nächste Klage-Welle? - Haftungsszenarien und Haftungsgrundlagen In den Vereinigten Staaten wird bereits gerätselt, ob Cyber Liability die nächste große Klagewelle gegen Unternehmen auslösen könnte. Das Risiko für SEC-Investigation, Share Holder Class Action oder Derivate Lawsuits steigt mit jedem neuen Fall von Datenrechtsverletzungen aller Art. Besteht dieses Risiko auch in Deutschland? Diese Frage lässt sich einfach beantworten. Auch nach deutschem Recht sind zahlreiche Haftungsgrundlagen denkbar. Ansprüche aus § 823 Abs. 1 und 2 BGB sind denkbar. So ist z. B. eine Eigentumsverletzung anzunehmen, wenn Daten gelöscht oder unbrauchbar gemacht werden, so dass der Eigentümer daran gehindert wird, bestimmungsgemäß mit seinen Daten umzugehen. Auch ein Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb wird angenommen. Haftungsgrundlagen ergeben sich weiterhin auch aus § 7 BDSG oder aus der Verletzung von vertraglichen oder vorvertraglichen Schutzpflichten in Verbindung mit den §§ 280 Abs.1 und 311 Abs.2 BGB. Sofern diese Haftungsszenarien in oberlandesgerichtlichen Urteilen bestätigt werden und eine Pflicht für Schadenersatzleistungen festgestellt
ist, wird nur noch die Höhe der Ersatzpflicht eine Rolle spielen. Das Risiko richtig absichern Unternehmen sollten rechtzeitig ausreichende Sicherungsmaßnahmen gegen Angriffe von außen, aber auch gegen die Gefährdung Dritter aus dem eigenen Unternehmen heraus treffen. Im Rahmen des Risikocontrollings sollte zudem überprüft werden, ob man das Haftungsrisiko über eine Versicherung abdecken sollte. Es ist in jedem Fall auch darauf zu achten, dass dieses Haftungsrisiko in den meisten Betriebshaftpflichtversicherungen ausgeschlossen ist, sodass eine Spezialversicherung für diese Arten von Risiken erworben werden müsste. Welche Folgen können abgesichert werden? Bei Schäden Dritter besteht Versicherungsschutz in der Abwehr unberechtigter sowie der Befriedigung berechtigter Schadenersatzansprüche gegen das versicherte Unternehmen, aber auch für Verteidigungskosten in Straf-, Auslieferungs- sowie Verwaltungs- oder Aufsichtsverfahren sowie für die Kosten einstweiligen Rechtsschutzes oder für die sonstige Teilnahme an Gerichtsverfahren. Dieses Haftpflichtmodul wird um die Eigenschadenmodule Beeinträchtigung oder Unterbrechung des Geschäftsbetriebs, Cyber-Bedrohung, Cyber-Vandalismus, Cyber-Betrug (nur für Finanzdienstleister), Benachrichtigungskosten, Krisenmanagementkosten und Belohnungskosten erweitert. www.chubb.com/de www.facebook.com/ChubbKarriere
Business Reporter · Juni 2013
Datenübertragung
Im Internet unter: bizreporter.de
Security“, die aktuelle Bezeichnung von SSL) spielt auch beim Austausch von Informationen zwischen mobilen Endgeräten und Unternehmensanwendungen wie dem Customer Relationship Management (CRM) und Enterprise Resource Planning (ERP) eine wichtige Rolle. Manchmal findet er auch über den Web-Browser statt, und in diesem Fall ist das Kommunikationsprotokoll HTTPS („Hypertext Transfer Protocol Secure“) für den sicheren Datentransport verantwortlich. HTTPS nutzt seinerseits TLS und ist an der Buchstabenkombination „https://“ in der Adresszeile des Browsers zu erkennen. Neu ist die Möglichkeit, die künftige „Web-Sprache“ HTML 5 für Anwendungen im Browser zu nutzen: Sie kann nicht nur die TLS-Verschlüsselung für den Transportweg übernehmen, sondern zwischengespeicherte Daten im Browser des Mobilgerätes auch vor dem Zugriff durch andere Applikationen schützen - „kapseln“. Für viele CRM- und ERP-Systeme gibt es auch spezielle Apps der jeweiligen Softwarehersteller, über die ein Mitarbeiter mit seinem Smartphone oder einem Tablet-PC von unterwegs auf das Unternehmensnetzwerk
zugreifen kann. Sie können ebenfalls TLS nutzen, um den Datenaustausch abhörsicher zu machen – auch dann verhindert eine Verschlüsselung, dass Dritte auf dem Weg über das Internet an die Informationen kommen. Authentifizierung ein weiterer Baustein Dafür gibt es zwei Möglichkeiten: Entweder nutzt die App die TLS-Funktion des Betriebssystems (zum Beispiel in Android) oder der Programmierer implementiert sie
Während TLS immer eine Ende-zuEnde-Verschlüsselung zwischen einer bestimmten Applikation und einem klar abgegrenzten Bereich auf dem Unternehmensserver herstellt, ist ein Virtual Private Network (VPN) eine Art verlängertes Firmennetzwerk: Ein VPN-Client auf dem Mobilgerät verschlüsselt die gesamte Datenkommunikation mit dem Unternehmen – egal, ob es sich dabei um E-Mails oder Daten aus dem ERP-System handelt.
Ein VPN ist darum vor allem für solche Mitarbeiter sinnvoll, die auf mehrere Dienste des Unternehmens zugreifen müssen. „Mit Bordmitteln mobiler Dieses Rundum-sorglos-Paket E-Mail-Programme lassen sich hat aber auch Nachteile: VPNs die vertraulichen Inhalte kosten Bandbreite und machen die Verbindung langsamer. Die vor der Neugier Unbefugter Nutzer müssen ein zusätzliches verbergen.“ Programm für ihr Mobilgerät kaufen, installieren und warten. selbst in das Programm. Neben der Zudem kann der Datenfluss innerhalb Verschlüsselung der Daten empfehlen des Gerätes von Schadsoftware angeSicherheitsexperten eine zusätzliche griffen werden – wenn ungeschützte Authentifizierung. „Dabei müssen Daten auf dem Weg von der Applikasich sowohl die Applikation als auch tion zum VPN-Client sind, wo sie erst der Server mit einem Zertifikat verschlüsselt werden. ausweisen, so dass ihre Identität eindeutig festgestellt werden kann“, erklärt IT-Sicherheitsprofi Funk.
13
Spezialtelefon für die Kanzlerin Wer es ganz besonders sicher haben möchte und bei dem Geld keine allzu große Rolle spielt, kann sich auch ein „Merkel-Phone“ der neuesten Generation zulegen. Gemeint sind damit jene ganz besonders geschützten neuen Smartphones, mit denen die Kanzlerin, ihre Minister und andere Geheimnisträger ab Mitte des Jahres telefonieren und E-Mails verschicken können. Die Unternehmen T-Systems und Secusmart werden insgesamt 10.000 dieser mit spezieller Hardware ausgerüsteten Handys der Hersteller Samsung und Blackberry liefern – zum Stückpreis von rund 2.500 Euro.
Sicherheitsrisiko Zugriffsrechte Das Thema Zugriffsrechte wird in vielen Unternehmen unterschätzt, was hohe Risiken birgt. Dabei können durch den Einsatz geeigneter Software-Systeme die Geschäftsabläufe effizient abgesichert werden, erklärt Niels von der Hude, Director Market Development bei der Beta Systems Software AG. ANZEIGE Warum wird die Verwaltung von Zugriffsrechten ein immer brisanteres Thema? Weil jede vergebene Zugangsberechtigung ein potenzielles Risiko für das Unternehmen darstellt. Und die Zahl von IT-Berechtigungen nimmt weiterhin rasant zu. Hinzu kommen die gesetzlichen Anforderungen: Die Steuerung und Nachvollziehbarkeit der Berechtigungsvergabe ist ja eine Grundforderung verschiedenster Compliance-Richtlinien. Gefahren für die Unternehmen bestehen dabei sowohl in dem nicht autorisierten Zugang zu Informationen, aber auch in den individuellen Handlungsberechtigungen. Falsche Berechtigungen können gegen vorgeschriebene Ämtertrennungen verstoßen oder die Kompetenzen von Mitarbeitern unzulässig erhöhen. Die Auswirkungen können dann die Unternehmen in ihrer Existenz bedrohen, wenn Mitarbeiter Zugang zu vertraulichen Unterlagen erhielten oder illegal Buchungen manipulieren konnten. Wie lassen sich solche Risiken mit möglichst wenig Aufwand minimieren? Mit einer Identity Management Software lassen
sich Berechtigungen unternehmensweit gezielt vergeben und entziehen. Aber dazu muss analysiert werden, ob und aus welchem Grund ein Mitarbeiter eine Berechtigung besitzt und welches Risiko daraus entsteht. Beta Systems bietet hier mit dem Garancy Access Intelligence Manager eine zuverlässige Unterstützung. Für die Risikoanalyse erfasst unsere neue Lösung die Sicht auf sämtliche Zugriffsrechte auf allen Unternehmensebenen. Wir bieten so eine Verbindung von Berechtigungsdaten mit dem organisatorischen Blick auf jeden einzelnen Benutzer und dies kombiniert mit einer intuitiven Benutzeroberfläche, die gezielt für Nicht-Techniker entwickelt wurde. Dadurch lassen sich Risikoanalysen durch die Fachabteilungen nicht nur erstellen sondern auch nutzen. Damit sind die Risiken zwar identifiziert aber nicht abgewendet … Eine leistungsfähige Risikoanalyse wie mit dem Garancy Access Intelligence Manager führt auch zu einer deutlichen Risikoreduzierung. Denn erst durch die Analyse lässt sich die Berechtigungsvergabe verbessern. So hat Risikomanagement auch in Initiativen für eine strukturierte und sichere Gestaltung der IT eine hohe Bedeutung.
„Falsche Berechtigungen können gegen vorgeschriebene Ämtertrennungen verstoßen oder die Kompetenzen von Mitarbeitern unzulässig erhöhen.“ Es lassen sich Schwachstellen in der Organisation unmittelbar aufzeigen und Handlungsempfehlungen formulieren. Diese können anschließend in den Identity & Access Management Systemen direkt umgesetzt werden, so dass die mit der Berechtigungsvergabe verbundenen Zugriffsrisiken minimiert werden.
www.garancy.de info@betasystems.com
Business Reporter · Juni 2013
14
Mobile Computing
Im Internet unter: bizreporter.de
Klare Regeln mindern das Risiko Immer mehr Mitarbeiter arbeiten mobil. Sie tauschen von unterwegs oder zuhause mit ihren Smartphones und Notebooks Daten mit dem Unternehmensnetzwerk aus. Damit das mobile Büro nicht zu einem Sicherheitsproblem für den Schutz der Daten wird, müssen sich Mitarbeiter und IT-Verantwortliche der Gefahren bewusst sein und Vorkehrungen treffen. Von Deborah Caspers
Vertrauliche Daten müssen geschützt werden
Wer während der Arbeit viel auf Reisen ist oder oft in Besprechungen sitzt, will derweil auf wichtige Informationen nicht verzichten. E-Mails, persönliche Dokumente und Unternehmensdaten sollen möglichst überall abrufbar sein. Und zwar am besten auf einem Gerät, das sich bequem bedienen lässt. Kein Wunder also, dass viele Arbeitnehmer am liebsten ihre privaten Geräte für die Arbeit nutzen.
Die Bitkom-Experten warnen daher dringend vor den Gefahren. Denn viele Smartphones und TabletComputer enthalten nicht nur vertrauliche Unternehmensdaten, sondern auch Adressen von Kunden und Mitarbeitern, für die eine datenschutzrechtliche Verantwortung besteht. „Dementsprechend wichtig sind Sicherheitsvorkehrungen für mobile Geräte“, sagt Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Wer die Daten nur unzureichend oder gar nicht geschützt, mache sich eventuell sogar strafbar. „Wir empfehlen den Unternehmen daher dringend, wirksame Sicherheitsregeln für Mobil-Geräte einzuführen“, so Rohleder.
Beim Thema „Bring your own device“ schrillen bei vielen Sicherheitsverantwortlichen in den IT-Abteilungen die Alarmglocken: „Wenn die privaten Geräte ohne Sicherheitsmaßnahmen in das Netzwerk integriert werden, ist die Sicherheit der Firmendaten gefährdet“, warnt Jochen Gintzel, der beim Chemiekonzern Evonik für die IT verantwortlich ist. Was logisch klinkt, hat sich aber noch nicht bei allen IT-Verantwortlichen herumgesprochen. Erstaunlich viele Unternehmen besitzen immer noch keine speziell angepassten Sicherheitsvorkehrungen für mobile Geräte wie Smartphones und Laptops, wie eine Studie des HightechVerbands Bitkom zeigt. Danach haben sich erst 58 Prozent der befragten Unternehmen um spezielle Sicherheitsregeln für Mobilgeräte gekümmert. Vor allem kleine und mittelständische Betriebe lassen mobile Geräte bei Sicherheitsfragen oft außen vor. Bei Unternehmen mit weniger als 250 Beschäftigten hat rund jedes zweite (47 Prozent) keine entsprechenden Regeln. Bei Unternehmen mit mehr als 250 Angestellten sind es hingegen nur 12 Prozent.
Das sieht auch Johannes Michel, Zugriff von Fremden verhindern Berater bei Accenture, so. Unternehmen müssten das Benutzen privater In den Richtlinien und NutzungsGeräte aber nicht gleich verbieten, bestimmungen, die jeder Mitarbeiter sondern es reiche, klare Regeln für unterzeichnen muss, sollte zum die Verwendung privater Geräte Beispiel geregelt sein, dass Mitarbeiund Speicher aufzustellen. Wie ein ter nur solche Software auf dem Gerät solches Konzept aussehen kann, weiß installieren dürfen, die vom ArbeitgeBenjamin Wolters vom Fraunhoferber genehmigt ist. Wichtig ist es auch Institut für festzuleIntelligente gen, dass Analyse- und Unterneh„ der vom Bitkom mensdaten Informationsbefragten Unternehmen systeme. „Die immer verFormulierung besitzen keine Sicherheitsregeln schlüsselt von Sicherheitsgespeichert für Mobilgeräte.“ anforderungen werden ist dabei ein müssen. Bitkom-Studie vom August 2012 entscheidender Und dass Schritt“, sagt die Nutzung Wolters. öffentlicher WLAN-Netze nicht erlaubt ist.
42 Prozent
Sieben Tipps für sicheres mobiles Computing Basis für eine sichere Einbindung von mobilen Geräten ins Unternehmensnetz ist ein Sicherheitskonzept. Es muss die Nutzung von Smartphones und Tablet-Computern klar regeln. Die Sicherheitsregeln zum Umgang mit Smartphones und TabletComputern regeln auch die private Nutzung der Geräte, etwa ob den Mitarbeitern das Installieren von Apps erlaubt ist. Eine Gerätesperre – etwa per PIN – verhindert, dass Diebe einfach auf die Daten des Smartphones zugreifen können. Eine Verschlüsselung der gespeicherten Daten auf den mobilen Geräten schützt diese vor fremdem Zugriff. Drahtlose Schnittstellen wie WLAN oder Bluetooth sollten nur dann eingeschaltet werden, wenn sie tatsächlich benötigt werden. Der Austausch von Daten mit dem Unternehmensnetzwerk sollte nur über verschlüsselte Verbindungen wie einem „Virtual Private Network (VPN)“ erfolgen. Ein zentrales Management der mobilen Geräte ermöglicht es, vertrauliche Daten auf gestohlenen oder verloren gegangenen Geräte aus der Ferne zu sperren.
Auf solche Vorschriften allein sollte sich ein Unternehmen aber nicht verlassen. Zusätzlich ist es für die IT-Abteilung ratsam, auf technische Schutzmaßnahmen zu bauen, wie beispielsweise ein „Mobile Device Management“. Es verwaltet alle Geräte, die für das Unternehmensnetzwerk zugelassen sind. Bevor ein Gerät freigeschaltet wird, installiert die IT-Abteilung sichere Software und sorgt auf dem Gerät des Mitarbeiters für die erforderlichen Sicherheitseinstellungen. Auf diesem Weg lassen sich später auch sensible Daten auf dem Gerät aus der Ferne löschen, wenn dieses verloren geht oder gestohlen wird. Mit Hilfe des Mobile Device Managements haben die IT-Verantwortlichen eines Unternehmens die Geräte der Mitarbeiter laufend im Blick. So bemerken sie zum Beispiel, wenn ein Nutzer ein Programm installiert, das eine potenzielle Sicherheitsgefahr ist. Der Administrator kann das Gerät dann gegebenenfalls sperren.
Business Reporter · Juni 2013
Anzeige
Im Internet unter: bizreporter.de
15
Schwachstellenanalyse von Experten: Was ein Sicherheitsaudit leistet Die Anforderungen an Risiko- und Schwachstellenanalysen in der IT wachsen stetig. Immer größer wird das Risiko für Unternehmen und staatliche Einrichtungen Opfer von Cyber-Attacken zu werden, immer gezielter dringen Hacker in Unternehmensnetzwerke ein. Sicherheitsaudits, angelehnt an die BSI-Richtlinien, schließen die Lücke zwischen Systemanforderungen und gesetzlichen Regelungen einerseits sowie schwindenden Ressourcen in der Unternehmens-IT und zu erwartenden Schäden andererseits.
Tamo Stöver, Datenschutzauditor TÜV bei der gateprotect AG
Außenansicht
Risiken von Angriffen minimieren
Ein Sicherheitsaudit besetzt durch die unabhängige Sicht eines externen Auditors eine wichtige Schnittstelle. Er analysiert technische und organisatorische Parameter der Firewall und setzt sie in punkto Sicherheitsrelevanz zueinander in Beziehung. „Mit einem Fragenkatalog werden Informationen zu Internet- und Netzwerkanwendungen, Kommunikationszugängen und -wegen und dem Sichern von Daten ermittelt“, erläutert Tamo Stöver, Datenschutzauditor TÜV bei der gateprotect AG. Zusätzlich nimmt das Audit bereits dokumentierte Sicherheitsvorfälle unter die Lupe und überprüft die Umsetzung von Compliance-Regelungen.
Anhand der Schutzbedarfsklasse eines Unternehmens oder einer Behörde ermittelt der Auditor individuelle Gefährdungspotenziale, denen entsprechende Schutzmaßnahmen gegenübergestellt werden können. Nach Abschluss des Audits erhalten die Verantwortlichen eine Einschätzung wie hoch der individuelle Schutzbedarf ist, welche Bereiche potenziell beeinträchtigt sein können, welche negativen Außenwirkungen wie Ausfallzeiten, Imageschäden, finanzielle Folgen oder juristische Konsequenzen in Betracht kommen und welche Kosten diese im Zweifelsfall verursachen.
Sicherheitsaudit: zweifach wirksam
Fazit
Das Audit erfüllt zwei Anforderungen. Es prüft und dokumentiert die Schutzbedarfe in einem Unternehmen (z. B. die Installation des Sicherheits-gateways, die Konfiguration der Firewall) und es untersucht, ob die Richtlinien des Bundesdatenschutzgesetzes und/oder des Landesdatenschutzgesetzes eingehalten werden. Die rechtliche Grundlage für das Auditverfahren bildet § 9a BDSG. Derzeit ist zwar niemand verbindlich verpflichtet Datenschutzaudits durchzuführen, allerdings müssen bei Ausschreibungen der öffentlichen Hand auditierbare Produkte, wie das von ENTECO und der gateprotect AG Germany gemeinsam entwickelte Sicherheitsaudit, vorrangig eingesetzt werden.
IT-Risikomanagement ist ein kontinuierlicher Prozess. Folglich sollte ein Audit, wie das von ENTECO und der gateprotect AG Germany gemeinsam entwickelte, den Sicherheitsstatus regelmäßig überprüfen. Der abschließende Bericht dokumentiert nicht nur die Sicherheit eines Unternehmens und steigert damit das Vertrauen von Kunden und Geschäftspartnern, er gilt auch als Nachweis bei Wirtschaftsprüfungen und schützt Mitarbeiter vor möglichen Haftungsansprüchen. Weitere Informationen zum Sicherheitsaudit unter: www.gateprotect.de www.enteco-systemhaus.de
Wenn der Lehrling die Bilanzen liest Warum Berechtigungsmanagement so wichtig für Unternehmen ist Wer darf was und hat Zugriff auf welche Daten? Diese Frage wird für Unternehmen immer wichtiger, da die Zahl der Identitäten und Zugangsberechtigungen in den IT-Netzwerken stetig zunimmt. Tatsächlich geht die meiste Gefahr für Datenmissbrauch von den eigenen Mitarbeitern aus. Eine strikte Kontrolle der Berechtigungen in einem Netzwerk ist daher unabdingbar. Im Kern geht es darum, dass Mitarbeiter nur an solche Daten kommen, die sie für ihre Arbeit tatsächlich benötigen. In der Praxis ist es keine einfache Aufgabe, das zu gewährleisten: Es kommen ständig neue Mitarbeiter hinzu, sie wechseln die Abteilung oder arbeiten in unterschiedlichen Teams. Zudem bekommen externe Dienstleister Zugriffsrechte für Projekte. Hier kann es ohne Berechtigungsmanagement leicht zu Missbrauch kommen, zumal die Daten in unterschiedlichen Systemen wie File- und StorageServern, Mailsystemen, Portalsystemen usw. gespeichert sind.
Ein Wildwuchs an Berechtigungen birgt für ein Unternehmen erhebliche operative und auch finanzielle Risiken. Mitarbeiter können, unbemerkt von der IT und der Geschäftsleitung, zu Handlungen befähigt werden, die sie eigentlich gar nicht ausführen dürften. So kann es passieren, dass ein Lehrling die Bilanzen liest. Verschiedene gesetzliche Vorschriften sowie Datenschutz- und Sicherheitsstandards unterstreichen, wie wichtig ein funktionierendes Berechtigungsmanagement ist. Die komplexe Problematik stellt IT-Verantwortliche vor enorme
Schwierigkeiten. Eine rein manuelle Herangehensweise ist schon aus Zeitgründen kaum möglich und bei den Stundensätzen von IT-Experten unwirtschaftlich. Die Software Docusnap löst dieses Problem: Sie liefert auf Knopfdruck eine Berechtigungsübersicht für Windows-kompatible Dateisysteme, Microsoft Exchange und SharePoint-Umgebungen in einem Netzwerk. Auch SQL-Server und der Active Directory Service werden erfasst. Mit interaktiven Analysen werden die effektiven Zugriffsrechte und deren Herkunft dargestellt. Die Auswertung der Berechtigungen lässt sich mit Docusnap zeitlich
planen und damit automatisieren. Fragen wie „Wer hat Berechtigungen auf das Personalverzeichnis?“ oder „Auf welche Ressourcen darf Herr Meier zugreifen?“ können jederzeit umfassend beantwortet werden. Verglichen mit den hohen Personalkosten für die Dokumentation einer IT-Umgebung in mittelständischen Unternehmen verringert Docusnap mit seinem variablen Lizenzierungsmodell den finanziellen Aufwand für eine revisionssichere IT-Dokumentation um bis zu 70 Prozent. www.docusnap.com
Business Reporter · Juni 2013
16
Interview
Im Internet unter: bizreporter.de Find us online: biztechreport.de
„Viele Firmen sind immer noch zu arglos“ Studien wie die jüngste Umfrage des Marktforschers IDC unter deutschen Firmen zum Thema IT-Security zeigen, dass immer noch viele Unternehmen die Gefahr aus dem Internet eher gering einschätzen. IT-Experte Michael Rudrich wundert das nicht. Hans Schürmann sprach mit ihm darüber, warum viele Firmen immer wieder von Cyberangriffen überrascht werden. Herr Rudrich, warum unterschätzen so viele Unternehmen die Gefahren, die im Internet lauern? Viele Firmen vertrauen zu sehr auf die installierte Technik. Ihnen ist nicht klar, dass Sicherheitsmaßnahmen strategisch in die Strukturen und Geschäftsprozesse eines Unternehmens integriert sein müssen. Wenn sie einen umfassenden Schutz erreichen wollen, müssen sie Sicherheit zu einem Teil ihrer Unternehmenskultur machen. Wenn etwas passiert ist, ist die erste Reaktion der Unternehmen aber meist: Wir haben alles getan. Davon sind die meisten dann auch
überzeugt. Für sie sind Sicherheitsmaßnahmen oft nur ein Fall von Compliance. Doch das reicht nicht. Die Anforderungen rund um die Datensicherheit nehmen ständig zu. Ein wirkungsvoller Datenschutz erfordert weit mehr als nur die Einhaltung von Compliance-Vorgaben, das sollten Unternehmen nicht aus den Augen verlieren. Was sind die häufigsten Ursachen für Sicherheitsprobleme? Unternehmen neigen dazu, die IT-Infrastruktur in den Mittelpunkt zu stellen und nicht die Daten, die geschützt werden sollen. In Zeiten von Mobility und Cloud Computing
Michael Rudrich, 45 Jahre, verfügt über langjährige Erfahrung im IT-Sicherheitsmarkt. Bevor er als Regional Director Central & Eastern Europe zu Websense kam, hat er in leitenden Positionen bei Secure Computing, Ciphertrust, RSA und McAfee gearbeitet. befinden sich die Daten eines Unternehmens aber überall. Eine erweiterte Infrastruktur hilft nicht zwangsläufig dabei, diese Daten zu schützen. Die Sicherheit von Daten ist häufig sehr komplex. In Netzwerken gibt es oft viele verschiedene, voneinander losgelöste Systeme, die nicht miteinander kommunizieren. Es mangelt vielen an einer zentralen Konsole, die die von den einzelnen Sicherheitslösungen gesammelten Informationen integrieren und auswerten kann. Was sollten Unternehmen tun, um sich besser zu schützen? Um gegen moderne Bedrohungen zu bestehen, müssen Unternehmen
weg von einzelnen, losgelösten Sicherheitsmaßnahmen und hin zu einem umfassenden Sicherheitskonzept. Aber Technologie alleine reicht nicht. Das Verhalten der Mitarbeiter trägt wesentlich zur Sicherheit bei. Diese müssen deshalb für Gefahren aus dem Internet sensibilisiert werden – beispielsweise, dass gefakte E-Mails – sogenannte SpearPhishing-Mails – oft die Türöffner für Angriffe auf das Unternehmensnetz sind. Die Mitarbeiter müssen lernen, dass ein gesundes Maß an Misstrauen gegenüber ungewöhnlichen Anfragen aus dem Netz sehr hilfreich ist, bei der Abwehr von Attacken auf das Unternehmen.