Branchenbuch IT-Sicherheit
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Branchenbuch IT-Sicherheit 2019 www.itsicherheit-online.com
Impressum
INHALT:
Impressum 2
..................................................................................
IT-SICHERHEIT
Fachmagazin für Informationssicherheit
und Datenschutz
Editorial ...................................................................................... 3 Sonderausgabe:
Branchenbuch IT-Sicherheit 2019
Authentifizierung/Identity Management/IAM ................................ 4 Verlag:
DATAKONTEXT GmbH
Backup und Restore .................................................................... 6 Augustinusstraße 9d, 50226 Frechen
Tel.: 0 22 34/98 94 9-30
Business Continuity ..................................................................... 8 Fax: 0 22 34/98 94 9-32
www.datakontext.com
fachverlag@datakontext.com
Cloud Security .......................................................................... 12
Vertrieb:
Compliance/GRC ...................................................................... 14 Jürgen Weiß
weiss@datakontext.com
Data Leakage Prevention .......................................................... 18 Chefredaktion:
Stefan Mutschler
Datenschutz ............................................................................. 20 stefan-mutschler@t-online.de
Layout:
Datenträgervernichtung/Datenlöschung ................................... 22 Michael Paffenholz
michael.paffenholz@gmx.de
Disaster Recovery ..................................................................... 24 Anzeigen- & Objektleiter:
Wolfgang Scharf
E-Mail-Sicherheit ..................................................................... 26 wolfgang.scharf@agentur-8020.de
Firewall-Systeme ...................................................................... 28 Druck:
Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale)
Internet der Dinge/Industrie 4.0 ................................................ 30 © DATAKONTEXT
Mit Namen gekennzeichnete Beiträge stellen nicht
Kritische Infrastrukturen ........................................................... 32 unbedingt die Meinung der Redaktion oder des
Verlages dar. Für unverlangt eingeschickte Manuskripte
übernehmen wir keine Haftung.
Kryptografie .............................................................................. 34
Mit der Annahme zur Veröffentlichung erwirbt der Verlag
Malware-/Virenschutz ............................................................... 36 vom Verfasser alle Rechte, einschließlich der weiteren
Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift
und alle in ihr enthaltenen Beiträge und Abbildungen sind
Managed Security Services ....................................................... 38 urheberrechtlich geschützt. Jede Verwertung außerhalb
der engen Grenzen des Urheberrechtsgesetzes ist ohne
Mobile Device Management ...................................................... 40 Zustimmung des Verlags unzulässig und strafbar. Das gilt
insbesondere für Vervielfältigungen, Übersetzungen, Mikro-
verfilmungen und die Einspeicherung und Verarbeitung in
Rechenzentrumssicherheit ........................................................ 42 elektronischen Systemen.
Remote Access ......................................................................... 44 Titelbild: Spectral-Design ©fotolia.com
Fotos: Firmenbilder; DATAKONTEXT; Imperial War Museum
London; © Fotolia.com/Maksym Yemelyanov, © Fotolia.
Risikomanagement ................................................................... 46 com/sellingpix; © depositphotos.com/a4ndreas,
© depositphotos.com/artisticco, © depositphotos.
SAP-Security ............................................................................. 48 com/bloomua, © depositphotos.com/degimages,
© depositphotos.com/everythingposs, © depositphotos.
com/FlashDevelop, © depositphotos.com/georgejmclittle,
Sicherung mobiler Endgeräte .................................................... 52 © depositphotos.com/Gorodenkoff Productions OU,
© depositphotos.com/Jirsak, © depositphotos.com/kievith,
Unified Threat Management ...................................................... 54 © depositphotos.com/lollok, © depositphotos.com/
magurok5, © depositphotos.com/nexusby,
© depositphotos.com/nils.ackermann.gmail.com,
USV-Systeme ............................................................................ 56 © depositphotos.com/Ostapius, © depositphotos.com/
perig76, © depositphotos.com/phranai2006@gmail.com,
Web Application Security .......................................................... 58 © depositphotos.com/scanrail, © depositphotos.com/
SWEviL, © depositphotos.com/Tohey22, © depositphotos.
com/Wavebreakmedia, © depositphotos.com/WrightStudio;
Zugriffskontrolle/NAC ............................................................... 60 © chombosan/iStock.com, © Xavier Arnau/istock.com;
pixabay.com; © Dario Lo Presti/shutterstock.com
Firmenporträts A-Z ................................................................... 62 7. Jahrgang 2019 · ISSN: 1868-5757
Digitales Vertrauen steht auf dem Spiel
Liebe Leserinnen und Leser,
„Cyber-Sicherheit ist das Schlüsselelement für eine erfolgreiche Digitalwirtschaft und für den Schutz
kritischer Infrastrukturen“, formulierte Siemens-Chef Joe Kaeser auf der kürzlich zu Ende gegangenen
Münchener Sicherheitskonferenz (MSC). Ein klares Statement mit sehr ernstem Hintergrund: Cyberkri-
minalität kann die betrieblichen Abläufe, die Innovationsfähigkeit und das Wachstum einer Firma erheb-
lich gefährden und Kosten in ungeahnten Höhen verursachen. Zu diesem Ergebnis kommt die aktuelle
Studie des Beratungsunternehmens Accenture „Securing the Digital Economy: Reinventing the Internet
for Trust“. Konkret nennt diese Studie ein weltweites Verlust-, beziehungsweise Schadenspotenzial von
5,2 Billionen Dollar jährlich.
Dabei sagen fast alle einschlägigen Marktforscher und Unternehmen der IT-Branche für die Zukunft ein
noch deutlich zunehmendes Angriffspotenzial voraus. Grund ist die exponentiell wachsende Zahl von
oft völlig unkontrollierten Endpunkten, die durch immer bessere Mobilfunknetze und vor allem dem
Internet der Dinge (Internet of Things, kurz IoT) neu im Internet Anschluss finden. Dies soll nicht zuletzt
auch Erpressungsangriffen neue Türen öffnen, insbesondere auf OT- (Operational Technologie) und in-
dustriellen IoT-Infrastrukturen – oft kurz als IIoT bezeichnet. Einen ersten bitteren Vorgeschmack auf das,
was da noch kommen mag, gab es bereits in den beiden letzten Jahren mit Angriffen auf Krankenhäuser,
Deutsche Bahn und andere Infrastrukturen. Mit der Einführung des IIoT wird die Fertigungsindustrie zu
einem neuen Ziel. Die professionelle Cyberkriminalität wird zunehmend von der einfachen Psychologie
der Erpressung getrieben, dabei sind die nahezu unbegrenzten potenziellen Ziele lediglich ein Mittel
zum finanziellen Zweck.
Airbus CyberSecurity nennt in seinen Prognosen für 2019 einen weiteren beängstigenden Trend: KI-
basierte Malware wird über ein bestimmtes Ziel hinaus „entkommen“ – mit verheerenden Folgen. Ei-
gentlich propagieren die meisten Hersteller KI als heilbringende Technologie, die viele Probleme mit
Cybersicherheit automatisiert lösen helfen soll. Tatsächlich sind die Angreifer offenbar derzeit wieder
einmal einen Schritt voraus, was den Einsatz von KI betrifft. „Die Verwendung von KI in einem solchen
Fall wird wahrscheinlich die Auswirkungen, die bereits Stuxnet, Mirai und NotPetya verursacht haben,
nochmals deutlich erhöhen“, so der Airbus-Bericht. Darüber hinaus werde auch Machine Lerning (ML)
bei Cyberattacken zum Einsatz kommen, um erstmals manuelle Hacking-Techniken zu automatisieren,
die bislang nur mit APT-Bedrohungen verbunden werden. Im Gegenzug würden Security Operations
Center (SOCs) beginnen, KI- und ML-Algorithmen zu verwenden, um die Lücken der Cyber Security Skills
zu schließen. Die Rolle des Security Analysten werde quasi um neue künstliche Kollegen ergänzt.
Eine wirtschaftlich vernünftige und technisch schlagkräftige Abwehr ist auf jeden Fall nicht ohne ganz-
heitliche Security-Ansätze realisierbar. Schon jetzt stimmen die Experten hier überein, in Zukunft würde
integrierte Security aber noch erheblich wichtiger. Wie filigran das Thema IT-Sicherheit differenziert und in
jedem Aspekt mit spezialisierten Produkten befüllt ist, zeigt nicht zuletzt das vorliegende Branchenbuch.
Zeit, dass die Hersteller (und ihre Produkte) nun umfassend miteinander reden!
Die „Charta of Trust“, die den Rahmen für das eingangs erwähnte Zitat von Joe Kaeser auf der MSC 2019
bildete, ist sicher ein wichtiger Schritt auf diesem Weg. Ziele der Charta-Partner sind unter anderem,
Cyber-Sicherheit in ihren globalen Lieferketten etablieren und nur noch Produkte mit vorab implemen-
tierter Cyber-Sicherheit auf den Markt zu bringen. Die Zahl der Mitglieder ist innerhalb eines Jahres von
neun auf 16 Mitglieder angewachsen – eines der wenigen ermutigenden Signale, die von der diesjährigen
Münchener Sicherheitskonferenz ausgingen. Ideal wäre sicher ein globaler Cybersicherheitsvertrag als
eine Art digitale Genfer Konvention, wie ein Vorschlag von Microsoft nahelegt. Ob ein solcher Vertrag
tatsächlich 2019 ratifiziert wird, wie Airbus CyberSecurity prophezeit, bleibt allerdings abzuwarten.
Ihr
Stefan Mutschler
Chefredakteur IT-SICHERHEIT
3
Authentifizierung/IdM/IAM
Dirk Lieder
Mitglied der CONET-Geschäftsführung
Authentifizierung, Identität, Access
Die Identität des Nutzers ist
der Dreh- und Angelpunkt
eines bewussten Risikomanagements ein-
Die Flexibilisierung und Beschleunigung bei der Nutzung und Bereitstel- schätzen. Die Basis, um die eigenen Net-
lung von IT-Diensten und Informationsressourcen stellt die IT-Sicherheit ze und Informationsressourcen gegen
vor neue Herausforderungen. Möglichkeiten wie „Bring your own Device“ unerlaubte Zugriffe zu schützen, bildet
(BOYD), „Mobiles Arbeiten“ und der Einsatz von Cloud Services werden ein aufeinander abgestimmtes Identity-
im Zuge der Digitalisierung sowohl von Anwendern als auch der Leitung und Access-Management-System (IAM).
im zunehmenden Maße gefordert. Will man modernen Arbeitskonzep- Während dabei im Identity-Management
ten nicht im Wege stehen, lässt sich die Sicherheit nicht mehr einfach nur grundsätzliche Rollen und entsprechende
durch Einschränkung der Hardware oder Kontrolle der Netzwerkwege Berechtigungen festgelegt und verwaltet
herstellen. Vielmehr gibt es nur eine Konstante, die unabhängig vom ein- werden, dient das Access-Management
gesetzten IT-Gerät und jenseits des Zugriffsorts bestand hat, und das ist der Kontrolle und der Steuerung einzelner
die Identität des Nutzers. Umso wichtiger ist es, diese sicher zu verifizie- Zugriffsrechte zu bestimmten Teilen der
ren und die in ihrem Namen getätigten Zugriffe schnell und transparent physischen oder virtuellen Infrastruktur.
zu steuern. Dieser Herausforderung stellt sich das Access Management. Mit festen Vorgaben für die genaue Auf-
Bild: © depositphotos.com/Wavebreakmedia
teilung von Verantwortlichkeiten („Segre-
gation of Duties“), der sinnvollen Gruppie-
rung von Berechtigungen zu Rollen und
M it einem durchdachten Konzept und
technisch sauber aufgesetztem Au-
thentifizierungs-, Identitäts- und Zugriffs-
dem Tool-gestützten Umgang mit Perso-
naländerungen sowie einer intelligenten
Provisionierung wird eine ganzheitliche
management lassen sich die entsprechen- Unterstützung des gesamten Identity
den Risiken minimieren und im Sinne Management Lifecycles greifbar.
4
Eine immer bedeutendere Herausforde- formation & Event Management (SIEM) PRODUKTANBIETER
rung stellt in diesem Zusammenhang die unterstützen hier maßgeblich, indem sie
Verwaltung der Zugriffsrechte besonders beispielsweise Anomalien oder verdäch-
berechtigter Personen dar. Denn bestimm- tiges Verhalten in User Accounts identifi- Seite 65
te Anwender benötigen für ihre Arbeit teils zieren helfen.
weitreichende Berechtigungen. Diese „Pri- Seite 68
vileged User“ stellen eine besondere Her- Damit das Access-Management seine Auf-
ausforderung für die IT Security dar, da sie gabe als Zugriffskontrollsystem (englisch: Seite 70
unbeabsichtigt, aus krimineller Energie Access Control System, kurz ACS) aber
oder weil ihre Zugriffsdaten in die fal- überhaupt erfüllen kann, muss zu Beginn Seite 72
schen Hände gelangen, die IT-Ressourcen die einwandfreie Identifizierung des An-
und Daten ihrer Organisation gefährden wenders sichergestellt und hierzu ein ge- Seite 94
können. Dies gilt für die Administratoren eigneter Mechanismus gewählt werden.
im technischen Bereich ebenso wie für die Seite 95
Unternehmensleitung, deren Namen oft Insbesondere der klassische, passwortge-
sogar öffentlich zugänglich sind und die so schützte Zugang steht hier zunehmend
ein bevorzugtes Angriffsziel für mitunter in der Kritik, denn um ausreichend sicher
existenzielle Gefährdungen darstellen. Im zu sein, werden Passwortvorgaben im-
Umgang mit diesen „Privilegien“ sorgen mer komplexer und daher die Passwörter
BERATER/DIENSTLEISTER
Lösungen für Privileged User Manage- oftmals entweder unsicher gelagert oder
ment für die Verwaltung der speziellen Zu- schlicht vergessen. Um dieses Dilemma Seite 63
gangsrollen, wie Administrator oder Root zu entschärfen und zugleich ein höheres
Access. Privileged Access Management an- Sicherheitsniveau zu erreichen, werden zu- Seite 64
dererseits steuert die generelle oder zeit- nehmend erweiterte Authentifizierungs-
gesteuerte Vergabe von besonderen Zu- methoden und spezialisierte Authentifi-
Seite 65
gangsrechten an bestimmte persönliche zierungsplattformen eingesetzt, die es
Accounts, beispielsweise für Mitglieder erlauben, verschiedene Anmeldetechniken
der Geschäftsleitung. Privileged Session miteinander zu kombinieren und flexibel
Seite 67
Management schließlich überwacht und einzusetzen. Man spricht hier von „Ad-
dokumentiert die Vorgänge auf kritischen vanced Authentication Framework” (AAF) Seite 68
Systemen und hilft so dabei, die Transpa- beziehungsweise „Multi-Factor Authen-
renz zu erhöhen und verdächtiges Verhal- tication“ (MFA). Wie der Name vermuten Seite 70
ten zu identifizieren und zu blockieren. lässt, werden bei der Zugangserteilung
über MFA mehrere Identitätsquellen kom- Seite 72
Das Ziel aller integrierten Ansätze in biniert.
Identity, Access und Privileged User Ma-
nagement muss dabei stets sein, hohe Darüber hinaus koppeln die effektivsten
Sicherheitsstandards mit einem mög- Methoden verschiedene Typen von Iden-
lichst hohen Komfort und damit hoher titätsquellen. Im Idealfall werden bei der
Akzeptanz bei den Nutzern in ein Gleich- MFA mehrere Aspekte kombiniert: etwas,
gewicht zu bringen. Denn sobald Nutzer das die Nutzer kennen (zum Beispiel eine
die angebotenen, sicheren Zugangs- und PIN), etwas Physisches, das sie besitzen
Nutzungswege als zu aufwendig oder (zum Beispiel eine Schlüsselkarte oder
kompliziert empfinden, werden sie sich ein Token), und etwas, das ihre Identi-
vereinfachte Wege und Arbeitsweisen tät nachweist (zum Beispiel ein Finger-
aneignen, die dann wiederum die vorhan- abdruck, ein Netzhaut-Scan oder eine
denen Sicherheitsmaßnahmen aushebeln. Spracherkennung). Zusätzlich wird durch
die zentrale Positionierung der Plattform
Eine gesteigerte Transparenz aller Zugriffe oft ein implizites Single-Sign-on erreicht,
ist zudem ein wichtiger Baustein in Rich- sodass der Anwender nach der ersten si-
tung der Governance und Compliance mit cheren Authentifizierung bei der Verwen-
gesetzlichen Vorgaben. Zentrale Fragen, dung weiterer Dienste nicht erneut sein
wie „Wer versucht auf welche Dienste Passwort eingeben muss, was eine kom-
zuzugreifen?“ oder „Wann und von wem fortable Nutzung bei gleichzeitig höchst-
wurden bestimmte Daten aufgerufen?“ möglicher Sicherheit gewährleistet. ◀
beantworten zu können, ist ein wesent-
licher Bestandteil im Kampf gegen Wirt-
schaftsspionage, Sabotage oder Daten-
diebstahl. Entsprechende Monitoring- und
Steuerungswerkzeuge, wie ein Security In-
5
Backup und Restore
Stefan Utzinger
CEO von NovaStor
Datensicherung 4.0
Schutz & Aufbewahrung
großer Datenmengen
Die Digitalisierung verändert nicht nur Industrie- und Alltagswelten, mit sehr unterschiedlichen Wiederherstel-
sondern auch die Datensicherung. Große und stark wachsende Daten- lungsfenstern (Recovery Time Objectives)
mengen erfordern hohe Backup- und Restore-Geschwindigkeiten, und und Wiederherstellungspunkten (Recove-
die Datensicherung übernimmt zunehmend Aufgaben der Compliance- ry Point Objectives): Die Sicherungshäufig-
gerechten Langzeitaufbewahrung. keit und die ab Verlust für den Restore zur
Verfügung stehende Zeit variieren stark
und erfordern eine vielschichtige Backup-
Konzeption.
D ie Digitalisierung eröffnet eine Vielzahl
von Möglichkeiten: Künstliche Intelli-
genz revolutioniert Alltagswelten von kun-
Datensicherung 4.0:
Was ändert die Digitalisierung?
Den Komplex der Datensicherung beein-
flusst das Datenwachstum also auf zwei
grundlegende Weisen: Während das Da-
denindividuellen Einkaufserlebnissen und Die Digitalisierung erzeugt nicht nur tenwachstum hohe Anforderungen an die
Infotainment bis zu autonomem Fahren. wachsende Datenmengen, sondern auch Geschwindigkeit der Datensicherung stellt,
Industrie 4.0 erfindet Produktionsprozes- eine unter Backup- und Restore-Aspekten führt die schwankende Relevanz der Daten
se neu und Big Data liefert Antworten auf komplexe Datenstruktur. Während die für das Tagesgeschäft zu unterschiedlichen
Fragen, die zuvor nicht einmal gestellt Daten für das Tagesgeschäft und die Pro- Wiederherstellungsszenarien.
Bild: © depositphotos.com/degimages
wurden. duktion im Verlustfall sehr schnell wieder-
hergestellt werden müssen, steht deutlich Datenwachstum, Backup-
Für Unternehmen bedeutet die Digitalisie- mehr Zeit zur Verfügung, um langfristig Geschwindigkeit und Multistreaming
rung neben allen Möglichkeiten vor allem gesammelte Inhalte wiederherzustellen.
eins: starkes Datenwachstum – und damit Unabhängig vom datenspezifischen Wie-
veränderte Anforderungen an die Daten- Durch Industrie 4.0, Big Data Analysen oder derherstellungsfenster müssen sämtliche
sicherung. Künstliche Intelligenz entstehen Daten Daten gesichert werden. Die regelmäßige
6
Vollsicherung erfolgt in einem begrenzten Bereits heute erfasst die zentrale Backup- PRODUKTANBIETER
Backup-Fenster, wobei unter den Vorzei- Verwaltung als Teil der Datensicherung
chen der Digitalisierung das Backup-Volu- und -auslagerung im Medien-Management
men kontinuierlich wächst. Magnetbänder, ihre Standorte und Haltbar- Seite 62
keit. Ebenso lassen die Daten sich, wie es
Um die steigenden Datenmengen in kon- die Compliance-gerechte Aufbewahrung Seite 66
stanten Backup-Fenstern zu sichern, haben erfodert, verschlüsseln. Die rechtskonfor-
Unternehmen zwei Optionen: Sie können me Langzeitaufbewahrung auf Tape lässt Seite 72
in neue Speicher investieren oder eine sich daher mit den existierenden Mitteln
kostenneutrale Lösung wählen, indem sie der Backup-Lösung effizient abbilden. Seite 81
die Sicherung auf bestehende Speicher be-
schleunigen und optimieren. Hierzu lassen In Verbindung mit einer Datensicherung, Seite 95
sich die Sicherungsdaten in eine fast unbe- die für Geschwindigkeit optimiert ist, blei-
grenzte Anzahl von parallelen Strömen mit ben die auf Tape gelagerten Daten langfris-
denselben oder unterschiedlichen Backup- tig verfügbar und im kurzfristigen – wenn
Zielen aufteilen. Jeder einzelne Datenstrom auch nicht sofortigen – Zugriff.
BERATER/DIENSTLEISTER
ist deutlich kürzer und damit schneller als
der Strom, der nötig wäre, um die Daten in Datenqualifikation für Daten-
einem einzigen Datenstrom zu übertragen. sicherung und -aufbewahrung Seite 63
Dieses sogenannte Multistreaming be-
schleunigt die Datensicherung unabhän- Noch nie hatten alle Daten die gleiche Seite 64
gig von der Speichertechnologie und ist Dringlichkeit für den Geschäftsbetrieb. Da-
ein unerlässlicher Baustein für die Daten- ten der aktuellen Produktentwicklung und Seite 66
sicherung 4.0: Multistreaming reduziert die zum Erbringen von Leistungen für Kunden
Dauer von Sicherungen auf Magnetband müssen konstant verfügbar sein. Im Falle
Seite 67
wie auf Festplatte gleichermaßen. Und: eines Verlustes und einer daraus resultie-
Wurden die Daten per Multistreaming ge- renden Betriebsunterbrechung zählt jede
sichert, kann auch die Wiederherstellung Minute. Für die Wiederherstellung von Da-
Seite 72
per Multistreaming beschleunigt werden. ten zur Einhaltung rechtlicher Aufbewah-
rungsfristen steht deutlich mehr Zeit zur Seite 81
Von der Datensicherung zur Verfügung.
Langzeitaufbewahrung
Die Qualifikation von Daten im Rahmen
Während alle Daten schnell gesichert wer- des Backup-Konzeptes gemäß ihrer Dring-
den müssen, um die Backup-Fenster einzu- lichkeit erhält mit der Digitalisierung eine
halten, variieren die Aufbewahrungsdauer neue Facette. Hierzu zählen beispielsweise
und Wiederherstellungsfenster der Daten Aufzeichnungen von Testläufen, Angaben
stark. Die unterschiedlichen Zeitfenster für zum Kundenverhalten oder die Beobach-
die Wiederherstellung der Daten erschlie- tung von Produktionsabläufen mit dem
ßen kostengünstige und energieeffiziente Ziel der langfristigen Optimierung. Diese
Möglichkeiten, Daten als Teil des Backup- Daten haben nicht unbedingt rechtliche
Prozesses langfristig aufzubewahren. Relevanz, bieten sich jedoch ebenso wie
Abrechnungs- oder steuerrelevante Daten
Die Geschwindigkeit, mit der die Daten für eine langfristige Aufbewahrung auf Ma-
nach einem Verlust wiederhergestellt gnetbändern an.
werden müssen, findet ihre Entsprechung
unter anderem in der Wahl der Speicher- Backup mit Konzept:
technologie für das Backup-Ziel. Empfiehlt Wichtiger denn je
sich bei Daten mit hoher Relevanz für das
Tagesgeschäft die primäre Sicherung und Die Kombination aus kurzen Backup-Fens-
sekundäre Auslagerung eine zweistufige tern für große Datenmengen und längeren
Backup-Architektur als Disk-to-Disk-to-Tape Recovery Time Objectives als Ergänzung der
oder Disk-to-Disk-to-Cloud, bringt die Kate- klassischen Business-Continuity-Anforde-
gorie der Daten mit längerem Restore-Fens- rungen kennzeichnet die Datensicherung
ter eine Disk-to-Tape-to-Tape-Architektur 4.0. Vor diesem Hintergrund führen Daten-
ins Spiel. qualifikation und Backup-Konzept nicht nur
zu verlässlicher Datenverfügbarkeit, son-
Als Offline-Medium erfordern Magnetbän- dern erlauben die Umsetzung einer kosten-
der keinen Strom und müssen geringer und energieeffizienten Datensicherungs-
gekühlt werden als Festplattensysteme. und Aufbewahrungslösung mit Zukunft. ◀
7
Business Continuity
Stefan Mutschler
Business Continuity (BC): Folgen einer Katastrophe
planvoll minimieren
Die Strategie für den
„Worst Case“
Im Alltag wohlgenährter Menschen wird es gerne verdrängt – aber kata- Unternehmen auf Datenverluste und IT-
strophale Dinge passieren täglich überall auf der Welt. Unternehmen in Ausfälle nicht adäquat reagieren, da ein
Deutschland trifft es glücklicherweise nicht allzu oft, Zahl und Dimensi- entsprechendes Notfallmanagement
on von Naturkatastrophen sind hierzulande (noch) weit geringer als bei- fehlt. Für einen effektiven BC-Plan bedarf
spielsweise im High-Tech-Land USA. Aber auch die Folgen von Unfällen es zunächst einer Untersuchung der IT-
oder menschlichem Versagen können für Unternehmen katastrophale Ressourcen und -Prozesse in Bezug auf
Konsequenzen haben. Dann braucht man einen Plan, der mit kühlem geschäftliche Relevanz: sind sie geschäfts-
Kopf ausgeklügelte, konkrete Schritte beschreibt, wie sich der Betrieb kritisch, wichtig oder eher marginal? Ent-
des Unternehmens aufrechterhalten oder zumindest schnellstmöglich sprechend des ermittelten Risikoniveaus
wiederherstellen lässt. gilt es, Sicherheitsmaßnahmen zum
Schutz des jeweiligen Elements zu finden,
zu testen und einzuführen.
B usiness Continuity (BC) beschäftigt
sich mit proaktiven Strategien und
Störungen der Betriebsabläufe durch den
Ausfall der IT können gerade im Zeitalter
Effektive Business Continuity bedeutet,
Angriffe, Netzwerkprobleme oder Kompo-
Bild: © depositphotos.com/FlashDevelop
Prozessen, die im Fall einer Naturkata- der Digitalisierung und der stetig wach- nentenausfälle vorausschauend zu erken-
strophe oder menschlichen Versagens die senden Vernetzung in Handel und Indus- nen und zu vermeiden. Doch nach wie vor
Aufrechterhaltung oder Wiederherstel- trie unkalkulierbare betriebswirtschaftli- fehlt es in vielen Unternehmen an vielen
lung elementarer Dienste in einem Un- che Risiken mit sich bringen. Stellen: So sind Verantwortliche nicht be-
ternehmen sichern. Für letzteres geht BC nannt, Ablaufprotokolle nicht klar definiert
oder BC-Management (BCM) in der Regel Einer Befragung des BITKOM im Jahr 2017 und Kommunikationsabläufe nur unzurei-
Hand in Hand mit Desaster Recovery (DR). zufolge können 52 Prozent der deutschen chend festgelegt. Experten machen dafür
8
gerne einen Mix aus lückenhafter Tech- tiefgreifenden Umbruch. Durch Virtualisie- PRODUKTANBIETER
nologie, fehlerhaften Notfallkonzepten rung können Unternehmen sowohl logisch
und optimierungsbedürftigen Prozessen als auch physisch vielfältige Wiederher-
verantwortlich. Als valide Rahmenbedin- stellungsoptionen in der Cloud anlegen. Seite 62
gungen für ein proaktives Business-Con- „Cloud-Lösungen sind einfacher zu imple-
tinuity-Management empfehlen sie, zwei mentieren als eigene Lösungen, werfen Seite 66
Ziele konsequent zu verfolgen: Erstens, die ihrerseits jedoch BC/DR-relevante Fragen
Transparenz sicherzustellen und zweitens, auf“, so Gerald Rubant, Sales Director bei Seite 77
beim Monitoring des Betriebs Anomalien Colt Technology Services. Er verweist dabei
statt Gefährdungen zu fokussieren: „Das auf die Wichtigkeit eines oft als selbstver-
Monitoring muss vollumfänglich über- ständlich geltenden Elements: des zugrun-
wachen und ein Komplettbild des jewei- deliegenden Netzwerks. Bei der Wahl des BERATER/DIENSTLEISTER
ligen Steuernetzes abbilden können“, so entsprechenden Carriers empfiehlt er, vier
etwa Claas Rosenkötter, Product Marke- Kernfragen genau zu analysieren:
ting Manager bei EPCOS. „Aktuell können Seite 63
die daran gebundenen Anforderungen 1. Kann die physische Routenvielfalt de-
ausschließlich industrielle Deep-Packet- monstriert werden? Seite 64
Inspection-Technologien leisten.“ 2. Wie sind die Rechenzentren bezüglich
Stromversorgung, Sicherheit, Kühlung Seite 66
Das Bundesamt für Sicherheit in der Infor- und Verbindungsvielfalt ausgestattet?
mationstechnik (BSI) hat zum Thema BC 3. Wird Kommunikationstechnik der Seite 67
den Standard BSI 100-4 „Notfallmanage- Netzbetreiber verwendet?
ment“ als Ergänzung zum IT-Grundschutz 4. Deckt das SLA die Dienste Ende-zu-Ende Seite 72
erstellt. Das sowohl in elektronischer Form ab?
als auch als gedrucktes Buch erhältliche
Seite 83
Werk beschreibt einen systematischen Die Wichtigkeit einer soliden Kommuni-
Weg, ein Notfallmanagement in einer Be- kationsverbindung ergibt sich auch aus
hörde oder einem Unternehmen aufzu- der Tatsache, dass Unternehmen mehr
Seite 93
bauen, um die Kontinuität des Geschäfts- und mehr selbst ihre geschäftskritischen
betriebs sicherzustellen. Applikationen in die Cloud verlagern. Die
Business-Continuity-Herausforderung für
Externe Rechenzentren Unternehmen verlagert sich damit dahin,
als BC-Wegbereiter den Zugang zu Cloud-Ressourcen zuverläs-
sig und leistungsstark zu gestalten. Dabei
Nachdem die IT in den meisten Unter- geht es keineswegs nur um den Katastro-
nehmen das Rückgrat des Business bildet, phenfall. Auch die Unterbrechung des Zu-
stehen der Erhalt, beziehungsweise die griffs durch Software-Fehler beim Provider,
schnelle Wiederherstellung der IT-Funkti- Stromausfälle, Bandbreiten-Missbrauch
onen in den meisten Unternehmen ganz oder Baustellen können die Geschäftstä-
oben auf der Liste. Gerade Wiederherstel- tigkeit unmittelbar beeinträchtigen. Für
lungstechniken und -Strategien sind so die Verbindung zum Carrier empfiehlt sich
vielfältig wie die Katastrophenszenarien, deshalb der Einsatz moderner Next Gene-
für die sie entwickelt werden. Neue Tech- ration Firewalls, die dafür sorgen, dass die
nologien sorgen für verkürzte Wiederher- geschäftskritischen Daten zwischen End-
stellungszeiten und helfen bei der Risiko- geräten, On-Premise-Systemen und Cloud-
minimierung. Ob redundante Server oder Instanzen unterbrechungsfrei fließen. Die
robuste Rechenzentren, Unternehmen erweiterten Steuerungs- und Diagnose-
haben viele Möglichkeiten, ihre Risiken funktionen einer solchen Firewall erlauben
zu minimieren. Viele sind damit jedoch die Priorisierung von geschäftskritischem
sowohl technisch als auch wirtschaftlich Datenverkehr und die Konfiguration des
überfordert. Die Auslagerung von IT- und optimalen Wegs einer Datenverbindung.
Datensicherheit in externe Rechenzentren Idealerweise sollten in die Wegewahl zu-
steht daher inzwischen hoch im Kurs, denn sätzlich noch Informationen über die Ver-
über den Einsatz von Cloud Computing, fügbarkeit und Qualität der Verbindung
Virtualisierung und Mobility-Lösungen mit einbezogen werden. Das sorgt für eine
lassen sich die Kosten für Business-Con- stabile Verbindung. ◀
tinuity-Management deutlich reduzieren.
Auch die Wiederherstellungstechnik er-
lebt derzeit dank Cloud Computing einen
9
ADVERTORIAL
Hauptaufgabe einer DCIM-Software ist die Echt-
zeit-Überwachung der physischen Infrastruktur
eines Rechenzentrums mittels einer entsprechen-
den Sensorik. Eine modular aufgebaute DCIM-
Anwendung, wie RiZone von Rittal, ist auch in
kleinen Umgebungen sinnvoll einsetzbar und
schnell implementierbar. Bei Bedarf überwacht
sie auch komplexe Infrastrukturen.
AUSFALLSICHERHEIT LÄSST SICH PLANEN
So sichern Unternehmen ihre
geschäftskritischen IT-Systeme
BERND HANSTEIN, Hauptabteilungsleiter Produktmanagement IT, Rittal, Herborn
Jedes Rechenzentrum kann theoretisch einmal ausfallen. Eine systematische Pla- können. Die einfachste Form ist die N+1-Re-
nung hilft dabei, Komponenten wie Strom, Kühlung oder das Monitoring vor ei- dundanz. Hier wird zusätzlich zu den benö-
nem Ausfall zu schützen. Bei dezentral aufgebauten Edge-Rechenzentren sorgt tigten Einheiten eine weitere Komponente
beispielsweise eine modulare Bauweise für eine verbesserte Betriebssicherheit bereitgestellt – also die benötige Einheit N
durch die eingebaute Redundanz. Was IT-Verantwortliche bei der Realisierung (= Need) plus eins. Fällt in einer solchen Ar-
von ausfallsicheren Rechenzentren beachten sollten, zeigt der folgende Beitrag. chitektur eine Komponente aus, übernimmt
die Standby-Einheit.
Die Verfügbarkeit einer IT-Umgebung lässt sondern macht konzeptionelle Vorgaben Ausgehend von diesen theoretischen Über-
sich, gemäß der amerikanischen Beratungs- für eine „sehr hohe Verfügbarkeit“. So sieht legungen erfolgt die Optimierung der Aus-
gesellschaft Uptime Institute, in die vier die VK 4 eine Auslegung mit Systemredun- fallsicherheit auf Hardware-Ebene über die
Verfügbarkeitsklassen Tier 1 bis Tier 4 ein- danzen vor, schlägt also doppelte Versor- Gewerke Strom, Kühlung und Monitoring.
stufen. Die niedrigste Tier-1-Stufe erlaubt gungspfade vor, jedoch nur ein Kälteversor-
eine jährliche Ausfallzeit von rund 29 Stun- gungspfad. Eine weitere Klassifizierung zur Mit A/B-Einspeisung die
den und kommt ohne Redundanzen für die Ausfallsicherheit kommt vom Bundesamt Stromversorgung sichern
Energie- und Kälteverteilung aus. Am ande- für Sicherheit in der Informationstechnik
ren Ende der Skala erlaubt die Tier-4-Klas- (BSI), das die VK 4 mit 99,999 Prozent defi- Die Energieversorgung zu sichern, ist eine
sifizierung nur 0,4 Stunden Ausfallzeit im niert, was eine Ausfallzeit von 26 Sekunden zentrale Aufgabe beim Betrieb von Rechen-
Jahr. Hier sind Versorgungswege mehrfach im Monat beziehungsweise 6 Minuten im zentren. Netzschwankungen und kurzzei-
doppelt ausgelegt, und eine Wartung ist im Jahr erlaubt. tige Ausfälle werden durch batteriegepuf-
laufenden Betrieb möglich, ohne dass es zu ferte USV-Anlagen abgesichert. Arbeitet
einem IT-Stillstand kommt. Ausfallsicherheit – viel hilft viel die USV mit einer modularen Architektur,
muss die Gesamtanlage nicht vollständig
In Europa orientieren sich Unternehmen Den Anforderungen einer hohen Ausfallsi- redundant ausgelegt werden. Vielmehr
heute an der DIN EN 50600. Diese Norm cherheit begegnen IT-Verantwortliche über können ein oder zwei USV-Module dafür
macht mit einem ganzheitlichen Ansatz das Konzept einer redundant ausgelegten vorgesehen werden, um den Ausfall eines
umfassende Vorgaben für die Planung, den Infrastruktur. Im Bereich der IT bedeutet anderen Moduls aufzufangen. Der Vorteil
Neubau und den Betrieb eines Rechenzen- Redundanz, dass funktional vergleichbare sind geringe Kosten, da weniger Standby-
trums. Die dort definierte höchste Verfüg- Ressourcen doppelt vorgehalten werden. Es Einheiten benötigt werden. Dies lässt sich
barkeitsklasse 4 (VK 4) gibt keine konkreten werden also Überkapazitäten geschaffen, um das 2N-Konzept erweitern: Hier speisen
quantitativen Angaben zu Ausfallzeiten, um einen Hardware-Ausfall ausgleichen zu zwei unterschiedliche Netzzuleitungen dieUSV-Systeme. Diese sogenannte A/B-Ein- die Risikobewertung zu erhalten, werden
speisung sorgt dafür, dass die Energiever- verschiedene Szenarien gedanklich durch-
sorgung immer über eine Zuleitung gesi- gespielt. Hier hilft die Fragestellung „Was
chert wird. Bei höchster Ausfallsicherheit passiert, wenn …“. Mögliche Szenarien
werden die einzelnen Energiepfade bis auf könnten sein, dass ein Bagger eine Strom-
Ebene der IT-Racks redundant ausgelegt. leitung kappt, dass ein Chiller wegen einem
Ein automatischer Transferschalter (STS – Hardware-Defekt ausfällt oder dass ein Sys-
Static Transfer Switch) schaltet die jeweils temfehler wegen Ausfalls des Monitorings
aktive Energiequelle automatisch auf den mehrere Stunden unbemerkt bleibt. IT-Ma-
Strompfad, sodass zu jeder Zeit die Strom- nager sollten auch die operativen Folgepro-
versorgung gesichert ist. zesse und Meldeketten im Detail analysie-
ren. Fällt zum Beispiel die IT-Kühlung aus,
Physische Sicherheit für die IT: Die Micro Data
IT-Kühlung gegen bleiben mitunter nur wenige Minuten an Center von Rittal sorgen für bedarfsgerechten
Stromspitzen schützen Reaktionszeit, bis die Hardware beschädigt Schutz – bis F90 und IP 56.
wird oder es sogar zu einem Brand kommt.
Eine weitere kritische Komponente im Re- Auch Meldeketten sind zu prüfen und mit
chenzentrum sind die Kühlsysteme: Fällt Personaleinsatzplänen abzugleichen, damit Edge-Infrastruktur. Bei einer dezentralen
die Kälteerzeugung aus, besteht die Ge- Administratoren keine Warnmeldungen er- Edge-Infrastruktur wäre es beispielsweise
fahr einer Überhitzung und Beschädigung halten, wenn sie in Urlaub oder zu Hause schnell möglich, über einen zusätzlichen
der Server. Wird höchste Ausfallsicherheit sind. In der Praxis zeigt sich immer wieder, Container eine N+1-Redundanz aufzubau-
benötigt, sollte die IT-Kühlung um eine dass diese Meldeketten unsauber definiert en. Alternativ sind Redundanzen über die
USV-Anlage ergänzt werden, um Strom- sind oder nicht ausreichend aktuell gehal- modulare Bauform möglich, wenn also
spitzen und Schwankungen im Stromnetz ten werden, sodass kritische Warnmeldun- eine oder zwei Komponenten als Standby-
auszugleichen. Der Fachbegriff für eine un- gen ins Leere laufen könnten. Modul konzipiert werden – ähnlich wie dies
terbrechungsfreie IT-Kühlung: „Continuous bei USV-Systemen bereits praktiziert wird.
cooling“. Darüber hinaus wird bei Kühlsys- Welche Art von Hochverfügbarkeit letzt-
temen üblicherweise keine A/B-Absiche- lich benötigt wird, muss jede Organisati- Fazit
rung der Energieversorgung verwendet. on individuell bestimmen. Bei IT-Anlagen
Auch werden keine doppelten Wasserkreise in der Produktion können beispielsweise Wer ein Konzept für höchstmögliche
installiert. Wartungsintervalle in der Fabrikhalle auch Ausfallsicherheit benötigt, betreibt seine
für den IT-Service genutzt werden. Damit Rechenzentren an zwei getrennten, nicht
Für eine Notkühlung kann es unter Umstän- wäre eine Tier-2-Verfügbarkeit mit einer öffentlich erkennbaren Standorten mit
den genügen, die Türen der IT-Racks über N+1-Redundanz ausreichend. Weiterhin Mindestentfernungen und gespiegelten
eine Automatik zu öffnen, um so einen können große Maschinen beim Anfah- Komponenten. Verwendet ein Unterneh-
Hitzestau zu verhindern. Letztlich geht es ren zu Stromschwankungen innerhalb men für seine IT-Infrastruktur überwiegend
aber bei einem Ausfall der Kühlung primär der Fabrikhalle führen, sodass zusätzliche Standardkomponenten, so lassen sich diese
darum, die Server schnell und ohne Daten- USV-Anlagen die IT sowie die Kühlsysteme im Fehlerfall schneller austauschen. Damit
verlust herunterzufahren, um die Hardware schützen sollten. sinken die Ausfallzeiten und nebenbei wird
vor Folgeschäden zu schützen. auch die Komplexität im Rechenzentrum
Skalierbares Monitoring verringert.
Energieversorgung für das für Edge-Infrastrukturen
Monitoring beachten Zusätzlich sollte der IT-Betrieb durch ein
Darüber hinaus sollten IT-Manager schon umfassendes Business Continuity Manage-
Der dritte Aspekt auf Hardware-Ebene ist heute mit Blick auf künftige IT-Infrastruk- ment abgesichert werden, um ein Konzept
das Monitoring. Das zur Überwachung der turen das Monitoring planen: Dezentral zur Weiterführung operativer Geschäftsab-
Infrastruktur verwendete Monitoring-Sys- betriebene Edge-Rechenzentren verlangen läufe zu haben, falls es dennoch zu einem
tem sollte über eine redundante Stromver- angepasste Konzepte an Überwachung Ausfall kommt. Letztlich muss jedoch jeder
sorgung gesichert werden. So ist es möglich, und Systembetrieb. Hier kann es sinnvoll verantwortliche Manager für seine Orga-
zusätzlich zu einem regulären Stromkreis sein, Cloud-basierende DCIM-Lösungen nisation evaluieren, welche Auswirkungen
das System über PoE (Power over Ethernet) (Data Center Infrastructure Management) ein IT-Ausfall hat und dementsprechend ein
abzusichern. Höchste Sicherheit bietet eine als Service zu nutzen. Der Vorteil: das Mo- individuelles Konzept für die Ausfallsicher-
vollständig gespiegelte Monitoring-Platt- nitoring skaliert in gleicher Weise wie die heit realisieren. ◾
form, die dann zum Beispiel als Monitor A
und Monitor B Instanz arbeitet. SO ERKENNEN SIE, OB EIN ERHÖHTES IT-AUSFALLRISIKO IM RECHENZENTRUM BESTEHT.
• Die prinzipiellen Risiken im Rechenzentrum sind nicht definiert; z. B. reichen Laufzeiten der
Kann man den Totalausfall absichern? Dieselgeneratoren aus für Notfallmaßnahmen?
• Im IT-Betrieb traten vereinzelt Störfälle auf, die sich nicht eindeutig klären ließen.
Für eine abschließende Risikobewertung • Ein Krisenhandbuch für Störfälle ist unvollständig und veraltet; Maßnahmen werden nicht
sollten Unternehmen die drei Gewerke regelmäßig geübt.
Strom, Kühlung und Monitoring im Detail • Meldeketten für IT-Störungen wurden bislang nicht auf Logik und Durchgängigkeit geprüft.
analysieren. Um potenzielle Schwachpunk- • Die Ausgestaltung von IT-Wartungsverträgen und Verantwortlichkeiten ist in
te zu entdecken und konkrete Angaben für Teilbereichen unklar.
• Der Lebenszyklus von Infrastrukturkomponenten wird nicht durchgängig erfasst.
• Die IT-Experten sind nicht ausreichend geschult für die Bedienung der Klimageräte.Cloud Security
Dr. Bruno Quint
Director Cloud Encryption bei Rohde & Schwarz Cybersecurity
Cloud Security:
Neue Ansätze für mehr
Datensicherheit
Immer mehr Unternehmen setzen auf Cloud-Lösungen und Collabora- vom Verlust sensibler Unternehmensin-
tion Tools für mobiles und flexibles Arbeiten. Dadurch entstehen sowohl formationen und des geistigen Eigentums,
Chancen als auch Risiken für die Datensicherheit und den Datenschutz. über hohe finanzielle Schäden durch Sa-
Unternehmen müssen ihre Daten vor Cyberangriffen in der Cloud und botage und mögliche Produktionsausfälle,
auf dem Übertragungsweg schützen. Dies wird auch vom Gesetzgeber, bis hin zu anhaltenden Imageschäden und
beispielsweise in der Europäischen Datenschutz-Grundverordnung, ver- Geldstrafen wegen mangelnder Einhal-
mehrt verlangt. Momentan befindet sich eine Vielzahl von Cloud-Securi- tung von Datenschutz- und Sicherheits-
ty-Lösungen auf dem Markt, die sich in puncto Sicherheit jedoch deutlich standards.
voneinander unterscheiden.
Dementsprechend hat sich das Angebot
an Sicherheitslösungen, die für Private
C loud-Lösungen sind in Unternehmen
und Behörden nicht mehr wegzuden-
ken. Sie spielen eine zentrale Rolle bei di-
365 oder SharePoint, jedoch auch enorme
technische und organisatorische Risiken.
Diese werden dadurch vergrößert, dass
Clouds (von Unternehmen selbst betrie-
bene Clouds), Public Clouds (von externen
IT-Dienstleistern betriebene Clouds) und
gitalen Geschäftsprozessen, ermöglichen viele Benutzer über eigene Endgeräte auf Collaboration Tools (z. B. MS SharePoint
Kosteneinsparungen durch günstigen solche Cloud- und Collaboration-Lösungen und Azure) konzipiert sind, in den letzten
Bild: © Fotolia.com/Maksym Yemelyanov
Speicherplatz und gestatten den mobilen zugreifen. Die Gefahr ist real: Beispielswei- Jahren stark vergrößert.
und flexiblen Zugriff auf Unternehmens- se sind Angriffe auf cloudbasierte Benut-
informationen. Dadurch bieten Cloud- zerkonten von Microsoft in einem Jahr um Viele IT-Sicherheitsfirmen bieten ihren
Lösungen Chancen für Unternehmen und 300 Prozent gestiegen. Kunden mittlerweile eine neue Katego-
Behörden aller Größen. Gleichzeitig bergen rie an Cloud-Sicherheitslösungen an, so-
Cloud-Umgebungen und Collaboration- Die Folgen von Cyberangriffen auf die in genannte Cloud Security Access Broker
Tools, wie zum Beispiel Microsoft Office der Cloud gespeicherten Daten reichen (CASB). CASB stellen eine sichere Schnitt-
12stelle zwischen der Cloud und dem Nutzer kannte Cyberrisiken reagieren, hin zu PRODUKTANBIETER
dar. Sie regeln sowohl die Authentifizie- proaktiven Lösungen, die Angriffe von
rung der Anwender als auch die Zugriffs- Anfang an mittels Verschlüsselung und
rechte auf Dateien und Applikationen in Fragmentierung abwehren, wurde mit Seite 66
der Cloud. Hinzu kommen die Konfigura- dem Aufkommen der EU-Datenschutz-
tion von Sicherheitsrichtlinien, die Proto- Grundverordnung (EU-DS-GVO) beschleu- Seite 72
kollierung der Zugänge und Tools zur Er- nigt. Alle Unternehmen in der EU sind mit
kennung von Malware sowie die Kontrolle ihr zur Einhaltung härterer Datenschutz- Seite 76
der Endgeräte, die auf Daten in der Cloud standards verpflichtet. Laut Gesetzestext
zugreifen. muss die Sicherheit personenbezogener Seite 80
Daten durch geeignete technische und or-
Doch CASB, die die Cloud-Sicherheit erhö- ganisatorische Maßnahmen gewährleistet Seite 86
hen, bieten allein noch keinen ganzheit- werden. Diese Maßnahmen sehen explizit
lichen Schutz. Das liegt vor allem daran, auch die Verschlüsselung als Instrument Seite 88
dass die meisten CASB kein Verschlüsse- für die Gewährleistung der Vertraulichkeit
lungssystem nutzen. Sie kontrollieren zwar von Daten sowie der Integrität und Ver-
Seite 89
den Zugriff auf die Daten in der Cloud, die fügbarkeit von Systemen und Diensten
Daten selbst jedoch bleiben unverschlüs- vor.
selt. Soll die Nutzung von Cloud-Diensten
Seite 92
und Collaborations-Plattformen den Bei der Vielzahl an Cloud-Sicherheitslö-
höchsten Anforderungen an die Sicherheit sungen, die heutzutage auf dem Markt Seite 94
entsprechen, bedarf es der Verbindung erhältlich sind, ist es für Unternehmen
eines CASBs mit einem Verschlüsselungs- und Behörden nicht leicht, sich für die Seite 95
system für Daten und Dokumente. Eine richtige zu entscheiden. Die Wahl der
solche Lösung bietet proaktiven Schutz passenden Lösung ist schlussendlich von
für Unternehmen und Behörden, die ihre den verlagerten Datenmengen, ihrer Emp-
sensiblen Dokumente vor fremdem Zu- findlichkeit und der Anzahl der Endgeräte BERATER/DIENSTLEISTER
griff und gegen Angriffe auf die Cloud so- abhängig, die mit der Cloud verbunden
wie Spionage auf dem Übertragungsweg sind. Für Unternehmen und Behörden, die
schützen wollen. hochsensible Daten in Clouds teilen und Seite 63
mit ihnen arbeiten, reichen herkömmliche
Einen weiteren effektiven Sicherheitsme- Cloud-Lösungen allein nicht mehr aus. Für Seite 64
chanismus bietet die Fragmentierung der diese bietet der Markt CASB an, die durch
Daten, die in Clouds gespeichert werden. einzelne Sicherheitsmechanismen inte- Seite 66
So werden beispielsweise Dokumente vor griert werden können. Ein CASB, der dem
Cyberangriffen und unbefugten Zugrif- heutigen Stand der Technik entspricht, Seite 67
fen geschützt, indem diese nie vollstän- verbindet Zugangskontrolle, Verschlüsse-
dig einsehbar sind und in der Cloud nur lung und Fragmentierung. Unternehmen Seite 68
in Fragmenten hinterlegt sind. Selbst im können mit solchen Systemen ihre Daten
Falle eines erfolgreichen Angriffs auf die vor firmeninternen und externen Cyberan- Seite 72
Cloud blieben die vertraulichen Inhalte für griffen schützen und dabei das Potenzial
Angreifer unlesbar. von Cloud und Collaboration-Lösungen
Seite 80
vollends ausschöpfen. ◀
Die Tendenz, weg von reaktiven Sicher-
heitslösungen, die allein auf bereits be-
Seite 89
Rohde & Schwarz Cybersecurity
Das IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity schützt Unterneh-
men und öffentliche Institutionen weltweit vor Cyberangriffen. Mit hochsicheren
Verschlüsselungslösungen, Next-Generation-Firewalls und Firewalls für geschäftskri-
tische Webanwendungen, innovativen Ansätzen für das sichere Arbeiten in der Cloud
sowie Desktop und Mobile Security entwickelt das Unternehmen technisch führende
Lösungen für die Informations- und Netzwerksicherheit. Das Angebot der mehrfach
ausgezeichneten und zertifizierten IT-Sicherheitslösungen reicht von kompakten
All-in-one-Produkten bis zu individuellen Lösungen für kritische Infrastrukturen. Im
Zentrum der Entwicklung von vertrauenswürdigen IT-Lösungen steht der Ansatz „Se-
curity by Design“, durch den Cyberangriffe proaktiv statt reaktiv verhindert werden.
Über 500 Mitarbeiter sind an den Standorten in Deutschland, Frankreich, Spanien
und den Niederlanden tätig.
13Compliance/GRC
Christian R. Kast
Fachanwalt für IT-Recht
DS-GVO –
Mit Übersicht zum Ziel
Schritt für Schritt zur erfolgreichen Umsetzung*)
Noch immer hinken viele Unternehmen der Umsetzung der seit Ende ist es, die eigenen Prozesse DS-GVO-kon-
Mai 2018 geltenden Datenschutzgrundverordnung (DS-GVO) hinterher. form zu gestalten.
Grundsätzlich gilt das Gesetz für alle Unternehmen, die einen Sitz oder
eine Niederlassung in der EU haben oder die Angebote bereithalten, die Dazu empfiehlt sich ein sechsstufiges Vor-
sich an Personen innerhalb der EU richten. Die Verordnung gibt vor, wie .◀
gehensmodell zur Realisation der neuen
personenbezogene Daten durch definierte organisatorische Prozesse und Rechtslage. Anhand des Modells lassen
technische Maßnahmen zu schützen sind. Ziel war und ist es, den vielfach sich auch schon vorhandene Umsetzun-
lockeren Umgang mit personenbezogenen Daten zu unterbinden und gen gezielt überprüfen.
dafür zu sorgen, dass personenbezogene Daten mit höchster Vertraulich-
keit und Sicherheit behandelt werden. Schritt für Schritt zur DS-GVO-
Compliance
1. Grundsteine legen
D ie DS-GVO enthält neben verschie-
denen Maßnahmen, welche die Auf-
sichtsbehörden anordnen können, auch
davor verschließen und hoffen, dass sein
Unternehmen bei einer Prüfung mit einem
blauen Auge davonkommt. Wer glaubt, er
Zunächst muss das Management sensibi-
lisiert, müssen Leitfäden und Auslegungs-
hilfen herangezogen und Schwerpunkte
Bild: © depositphotos.com/everythingposs
drastische Sanktionen: Bis zu 20 Millio- könnte nach Anzeige eines Verstoßes und definiert werden. Dann geht es darum, ein
nen Euro oder vier Prozent des weltwei- der Ankündigung einer Kontrolle noch Kor- DS-GVO-Projekt aufzusetzen und diesem
ten Gesamtumsatzes eines Unternehmens rekturen vornehmen, der irrt. Alle Rechte die entsprechenden Ressourcen zuzuord-
kann die Strafe betragen – je nachdem wie der DS-GVO können binnen kurzer Frist nen. Wichtig: Die Umsetzung der DS-GVO-
schwerwiegend die Missachtung der Si- ausgeübt werden, sodass faktisch „nach- Compliance liegt in der Verantwortung der
cherheit der personenbezogenen Daten trägliche“ Dokumentationen oder Ände- Geschäftsführung. Sicherlich kann das
ist. Deshalb sollte niemand die Augen rungen unmöglich sind. Umso wichtiger Projekt an sich federführend durch die IT
14mit Unterstützung der Fachabteilungen regelungen und deren Folgen zu beobach- PRODUKTANBIETER
realisiert werden, die Haftung liegt aber ten. Die Abläufe sollten dabei möglichst so
letztlich bei der Geschäftsleitung. gestaltet sein, dass sie sich problemlos in
die üblichen Unternehmensprozesse inte- Seite 72
2. Bestandsaufnahme durchführen grieren lassen, denn nur so lässt sich eine
Nun sind die Prozesse der Datenverarbei- kontinuierliche Compliance realisieren. Seite 77
tung zu untersuchen, die bestehenden
Compliance-Maßnahmen zu identifizieren Seite 88
und Veränderungen bei den Datenverar- Der Experten-Tipp
beitungsaktivitäten zu verfolgen. Dabei
sind Datenströme und -speicher innerhalb Vor der Umsetzung dieser Schritte
des Unternehmens genauso relevant wie empfiehlt sich durchaus eine Rückver- BERATER/DIENSTLEISTER
deren Austausch mit Dritten. Es sollte auch sicherung bei einem Datenschutz-Spe-
geprüft werden, ob das Unternehmen ei- zialisten. In Deutschland gibt es eine
nen Datenschutzbeauftragten benennen Vielzahl von Fachanwälten, die sich auf Seite 63
muss. Dieser sollte im Folgenden in die IT-Recht und Datenschutz spezialisiert
Umsetzung der weiteren Schritte mitein- haben. Außerdem stehen im Internet, Seite 64
bezogen werden. insbesondere auch auf den Seiten der
Aufsichtsbehörden und in entsprechen- Seite 65
3. Analyse und Ableitung von Handlungs- den Expertenforen, Whitepaper oder
notwendigkeiten Best Practices zur Verfügung. Seite 67
Es gilt, die gesammelten Informationen zu
systematisieren und auszuwerten. Dabei Darüber hinaus ist es auch denkbar, Seite 68
sollte auf vorhandenen Verfahren und In- anlässlich der Einführung der DS-GVO
strumenten aufgebaut werden. Schwach- einen sogenannten „Data Process Ma-
Seite 70
stellen müssen identifiziert und Spielräu- nager“ zu benennen und mit dem Pro-
me ausgelotet werden können. Schließlich jekt zu betrauen. Data Process Manager
muss ein Projektplan mit Abhilfemaß- verfügen in der Regel über einen juris-
Seite 72
nahmen aufgesetzt werden. Wichtig: Die tischen oder technischen Background
Priorisierung der einzelnen Schritte und und haben zudem konkrete Erfahrung Seite 93
deren Abhängigkeit voneinander sollten in der Unternehmens-IT. Vielfach han-
dokumentiert werden. delt es sich um IT-Profis, mit ITIL-Er-
fahrung, Audit-Kenntnissen und einer
4. Umsetzung weitreichenden Expertise im Bereich
Nun sind neue Richtlinien und Aufsichts- Compliance.
strukturen einzuführen sowie notwendi-
ge technische Änderungen vorzunehmen.
Wichtig ist dabei, dass bei der Umsetzung Fazit
die verfahrensmäßigen DS-GVO-Vorgaben
eingehalten werden. Deshalb müssen Ver- Die DS-GVO ist weniger eine Bedrohung
antwortlichkeiten neu zugeordnet und als vielmehr eine Chance. Sie liefert einen
Mitarbeiter geschult werden. Damit dies Anlass, Prozesse zu digitalisieren, Struk-
gelingt, empfiehlt es sich, die Mitarbeiter turen neu zu ordnen und das Business
bereits sehr frühzeitig in den Prozess ein- zukunftssicher aufzustellen. Man sollte
zubinden, damit sie die Notwendigkeit die DS-GVO auch nicht als Einschrän-
der Änderungen nachvollziehen und die kung empfinden und behandeln, sondern
neuen Prozesse ihrerseits unterstützen vielmehr zum Anlass nehmen über neue
können. Grundsätze in puncto Datensicherheit zu
reflektieren -- schließlich sind dergleichen
5. Feinschliff Regelungen kein Selbstzweck, sondern sol-
Idealerweise werden jetzt Maßnahmen len helfen, die internationale Wirtschaft
mit geringerer Priorität realisiert und ein und ihre Prozesse abzusichern. Darüber
Reaktionsplan für zukünftige Änderungen hinaus wird insbesondere die Datensi-
aufgestellt. cherheit auch aus Kundensicht künftig ein
Merkmal sein, das über das Eingehen einer
6. Überwachung Kundenbeziehung entscheiden kann. ◀
Die DS-GVO-Compliance sollte konse-
quent überwacht werden. Es sind Schu-
*) Stark gekürzte Fassung. Der Originalbeitrag
lungsprogramme zu etablieren, Leitlinien in voller Länge ist in IT-SICHERHEIT 2/2018
auszuarbeiten und nationale Ausnahme- erschienen.
15Sie können auch lesen
