Branchenbuch IT-Sicherheit - DATAKONTEXT
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Branchenbuch IT-Sicherheit 2015 www.datakontext.com
IT-SICHERHEIT
Fachmagazin für Informationssicherheit Herausgeber: Titelbild: Spectral-Design ©fotolia.com
und Compliance † Bernd Hentschel Fotos: Firmenbilder; DATAKONTEXT; © (Antonio Gra-
Sonderausgabe: vante, grandaded, ktsdesign, Gina Sanders, vladgrin,
Branchenbuch IT-Sicherheit 2015 Layout: lassedesignen, Clemens Schüßler, blacksock, massi-
Britta Happel mo, Franz Pfluegl, Giuseppe Porzani, Jürgen Priewe, olly,
Verlag: Andrey_Kuzmin, blobbotronic, high_resolution, elypse,
DATAKONTEXT – Anzeigen- & Objektleiter: alphaspirit, karelnoppe, M. Schuppich, Maksim Kabak-
Verlagsgruppe Hüthig Jehle Rehm GmbH Thomas Reinhard-Rief ou, drik, kange_one, Creativeapril, Photocreo Bednarek,
Augustinusstraße 9d, 50226 Frechen reinhard@datakontext.com Lars Christensen)
Tel.: 0 22 34/98 94 9-30 fotolia.com
Fax: 0 22 34/98 94 9-32 Druck: AZ Druck und Datentechnik GmbH, Kempten
www.datakontext.com 3. Jahrgang 2015 · ISSN: 1868-5757
fachverlag@datakontext.com © DATAKONTEXT
Mit Namen gekennzeichnete Beiträge stellen nicht un-
Vertrieb: bedingt die Meinung der Redaktion oder des Verlages
Jürgen Weiß dar. Für unverlangt eingeschickte Manuskripte über-
weiss@datakontext.com nehmen wir keine Haftung.
Mit der Annahme zur Veröffentlichung erwirbt der
Chefredaktion: Verlag vom Verfasser alle Rechte, einschließlich der
Jan von Knop weiteren Vervielfältigung zu gewerblichen Zwecken.
knop@datakontext.com Die Zeitschrift und alle in ihr enthaltenen Beiträge
und Abbildungen sind urheberrechtlich geschützt. Jede
Stellvertretender Chefredakteur: Verwertung außerhalb der engen Grenzen des Urhe-
Stefan Mutschler berrechtsgesetzes ist ohne Zustimmung des Verlags
stefan-mutschler@t-online.de unzulässig und strafbar. Das gilt insbesondere für
Vervielfältigungen, Übersetzungen, Mikroverfilmungen
Redaktion: und die Einspeicherung und Verarbeitung in elektroni-
Faatin Hegazi schen Systemen.
hegazi@datakontext.com
Thomas Reinhard-Rief
reinhard@datakontext.com
Anzeige
einfach | anschaulich | vielseitig
Müthlein/Semmler/Kränke Nutzen Sie die vortragsfertigen
Datenschutzeinführung für PowerPoint-Sets für folgende
Mitarbeiter und Führungskräfte Zielgruppen:
Sofort einsetzbares PowerPoint-Folienpackage
zur Datenschutzschulung – zielgruppenspezifisch • Führungskräfte
aufbereitet und mit Referentenleitfaden • Mitarbeiter
Version 2.0, 2013 auf CD-ROM + Online-Update
€ 129,95 inkl. 19 % MwSt. • Fachbereich IT
ISBN 978-3-89577-721-9 • Fachbereich HR
• Call-Center
Verlagsgruppe Hüthig Jehle Rehm GmbH · Standort Frechen · Tel. 02234/98949-30 · Fax 02234/98949-32 · www.datakontext.com · bestellung@datakontext.com
Mit Herzblut ins Verderben? Inhalt:
Impressum������������������������������������������������������������2
Liebe Leserinnen und Leser,
Abhörschutz����������������������������������������������������������4
im Bereich der Internetkriminalität sind mittlerweile sämtliche Grenzen
gefallen, wie uns das letzte Jahr gelehrt hat. Cyberangriffe haben eine neue
Akten-/Datenträgervernichtung, Datenlöschung���6
Dimension erreicht, sie werden zielgerichteter und komplexer – und treffen
Unternehmen zunehmend genau dort, wo es richtig schmerzhaft ist.
Authentifizierung/Identity Management/IAM���������8
Ein paar Beispiele?
Backup & Restore�����������������������������������������������10
Anfang April letzten Jahres ist ein schwerwiegender Programmierfehler im
Business Continuity��������������������������������������������12
Open-SSL-Protokoll öffentlich geworden – es war die Geburtsstunde des
sogenannten „Heartbleed“-Bugs. Heartbleed ermöglichte es, das RAM ei-
nes Remote-Rechners Stück für Stück auszulesen, um so an Usernamen
Cloud Security�����������������������������������������������������14
und -Passwörter zu gelangen – die Folgen konnten durchaus dazu beitra-
gen, dem Betroffenen das Herz bluten zu lassen … Compliance/GRC�������������������������������������������������16
Im September 2014 wurde bekannt, dass durch eine fatale Sicherheitslü- Data Leakage Prevention������������������������������������18
cke in der Unix-Shell Bash Linux- und MAC OS X-Betriebssysteme remote
gesteuert und somit kontrolliert werden konnten. Das NIST (National In- Datenbanksicherheit�������������������������������������������20
stitute of Standards and Technology) bewertete das Schadenspotenzial
dieser Sicherheitslücke mit 10 – was dem Maximum entspricht. Datenschutz��������������������������������������������������������22
Heartbleed und Shellshock – nur zwei Sicherheitslücken, die uns deutlich Disaster Recovery������������������������������������������������24
unsere Grenzen aufzeigen und den Beginn einer neuen Ära begründen.
Mit dem Branchenbuch IT-Sicherheit haben Sie jedoch die Möglichkeit, das E-Mail-Sicherheit������������������������������������������������26
Zepter wieder in die Hand zu nehmen und die für Ihr Unternehmen pas-
sende Technologie oder IT-Sicherheitsberatung zu finden. Firewall-Systeme�������������������������������������������������28
In 27 Rubriken rund um das Thema IT-Sicherheit gegliedert, finden Sie – IT-Sicherheitsberatung����������������������������������������30
nebst einem herstellerneutralen Einleitungstext zu der jeweiligen Secu-
rity-Sparte – eine Zusammenstellung von Unternehmen, die in diesem Kryptografie���������������������������������������������������������32
Sektor Spezialisten sind und Lösungen anbieten.
Malware/Virenschutz�������������������������������������������34
Zu guter Letzt empfehlen wir Ihnen, Ihre IT-Sicherheitsinfrastruktur ei-
ner gründlichen Prüfung, wenn nicht sogar Kernsanierung, zu unterzie- Managed Security Services���������������������������������36
hen. Gehen Sie Ihren Admin ruhig mal im Keller besuchen (und bringen
Sie Kaffee mit), denn in der Regel ist er es, der von Berufs wegen Ihre IT- Mobile Device Management��������������������������������38
Sicherheitslandschaft sehr gut kennt und Sie beraten kann, an welchem
Punkt Sie optimalerweise ansetzen sollten, um Ihr unternehmenseigenes Netzwerk-Monitoring�������������������������������������������40
System auf Herz und Nieren prüfen zu lassen.
Remote Access����������������������������������������������������42
Passen Sie auf sich auf!
Risikomanagement���������������������������������������������44
Ihre
Rechenzentrumssicherheit����������������������������������46
Security Awareness���������������������������������������������48
Sicherung mobiler Endgeräte������������������������������50
USV-Systeme�������������������������������������������������������52
Web Application Security�������������������������������������54
Faatin Hegazi Thomas Reinhard-Rief
Zugriffskontrolle/NAC����������������������������������������� 56
Firmenporträts A-Z����������������������������������������������58
Abhörschutz
Dr. Hans-Christoph Quelle,
Secusmart GmbH
Schutz der Privatsphäre
„Das Pferd frisst keinen Gurkensalat.“ Das war der erste Satz, der vor drucksvoll gewesen sein. Ähnlich wie bei
über 150 Jahren über den Vorläufer eines Telefons gesprochen wurde. der ersten bewegten Bildsequenz, als der
Philipp Reis, der Erfinder dieser Apparatur, hatte vielleicht sogar ge- Zug auf das erschrockene Publikum zu-
ahnt, dass diese Innovation zur Übertragung von Sprache oder Musik raste, schien es unglaublich, dass Sprache
die Weltgeschichte verändern würde. Und tatsächlich sorgte das Telefon, losgelöst vom Menschen an anderer Stel-
mit dem Worte plötzlich weite Strecken zurücklegen konnten, für ein un- le hörbar gemacht werden konnte.
vorstellbares Ausmaß an neuen Möglichkeiten und Chancen. Es war eine
Erfindung, die das gesamte menschliche Kommunikationsverhalten be- Es dauerte ein ganzes Jahrhundert, bis
schleunigte und damit entscheidend veränderte. das Mobiltelefon seinen ersten Auftritt
hatte und die Revolution des Telefons
fortführte. Jetzt war Kommunikation
B ei allem Neuen blieb anderes aller-
dings gleich: Der Mensch will noch
immer Dinge von anderen erfahren und
telefonische Abhörschutz hat die große
Aufgabe, diesen Interessenkonflikt zu lö-
sen, und trägt die Verantwortung dafür,
nicht mehr gebunden, sondern konnte
von beinahe überall geführt werden. In
einem nächsten Evolutionsschritt ging
Informationen sammeln. Und das auch die Privatsphäre zu schützen. es um die Verbindung von Internet und
dann wenn der Gesprächspartner da- Mobilfunk. Damit trat das Smartphone in
mit nicht einverstanden ist. Wissen gibt den Alltag ein und begann, Kommunika-
schließlich dem Einzelnen Macht und Von der Sprachübertragung zur tion, Unterhaltung und Leben zu vermi-
sorgt auch in Politik und Wirtschaft für Wissenschaft schen. Mit jedem weiteren Meilenstein
Vorteile und den schnellen Fortschritt. der Erfindungen wurde Neues möglich,
Das Gegenüber, der Belauschte, hat na- Noch bevor allerdings auch nur eine ein- wie etwa Gespräche zu speichern und
türlich kein Interesse daran, dass ein an- zige Person daran dachte, telefonische erst später abzurufen durch den Anruf-
derer sein Wissen und seine Innovationen Gespräche zu schützen, beeindruckte die beantworter. Doch genau solche Vorteile
nutzt. Er plant also den Schutz und die Erfindung des Telefons an sich. Tatsäch- öffnen auch dem Missbrauch Tür und Tor.
Sicherheit des gesprochenen Wortes. Der lich muss das erste Festnetztelefon ein- Indem Gespräche gespeichert werden
4
können, kann auch ihr Inhalt verändert net und der Öffentlichkeit zugänglich Produktanbieter:
und neu genutzt werden. Und wie so ein gemacht werden können. Die Kryptologie
Missbrauch funktioniert, kann jeder Neu- wirkt auch der Industriespionage entge-
gierige ganz einfach im Internet erfahren. gen. Für die Wirtschaft geht es um viel
Geld. Bisher beläuft sich beispielsweise ������������������������������ Seite 94
Der Interessierte erfährt dabei auch der jährliche finanzielle Schaden allein in
schnell, dass es immer spannender wird, Deutschland laut der aktuelle Corporate-
das Ohr an den inzwischen unverzicht- Trust-Studie „Cybergeddon“ auf knapp 12
baren, smarten Begleiter Smartphone zu Milliarden Euro.
halten. Inzwischen werden Daten jegli-
cher Art über die Geräte abgewickelt, von
Telefonaten über E-Mails bis hin zu Bank- Sicherheitslösungen brauchen
verbindungen. Alles Informationen, die den Einzelnen
für Dritte interessant sein könnten. Im
großen Stil geht es um Industriespiona- Viele Hersteller bieten Möglichkeiten an,
ge und politische Querelen. Im Einzelfall die vor solchen Angriffen schützen. Poli-
geht es für die einzelne Person um nichts tische Institutionen und Behörden welt-
Geringeres als um ihre eigene Identität. weit sichern ihre Kommunikation bereits
Diese kann, ebenso wie ein Gespräch, mit einer Abhörschutzlösung. Doch alle
gespeichert, verändert und anderweitig Angriffe und auch die Enthüllungen von
genutzt werden. Welche Ausmaße die Edward Snowden, die eine Welle der
Entwicklung des Abhörens und Beobach- Entrüstung ausgelöst hatten, haben es
tens angenommen hatte, das wurde spä- bisher noch nicht geschafft, auch jeden
testens durch die Enthüllungen von Ed- Einzelnen davon zu überzeugen, seine
ward Snowden und die NSA-Abhöraffäre Daten zu schützen. Nur ein Schutz, der
öffentlich. jeder einzelnen Anspruchsgruppe indivi-
duell begegnet, kann an dieser Stelle Ab-
hilfe schaffen.
Politik, Wirtschaft und jeder
Einzelne Es gibt bereits komfortable Abhörschutz-
lösungen. Sie lösen den Konflikt auf zwi-
Der Skandal, mit dem Snowden die Welt schen dem Schutz einzelner Geräte und
erschütterte, gab Anbietern von Sicher- den Wünschen der Mitarbeiter, jedwede
heitslösungen neuen Auftrieb. Es ist ein App oder das mobile Internet zu nutzen.
weiteres Beispiel dafür, wie die Meilen- Sicherheit wird zum Standard werden, die
steine der telefonischen Kommunikation jeder Nutzer so wählt, wie er sie haben
begleitet wurden von der parallelen Ge- möchte. Abhörsicheres Telefonieren ist
schichte der Ver- und Entschlüsselung. das Recht jedes Einzelnen auf Privatsphä-
Die Verschlüsselung begann im Kleinen re – und das ist eine Frage der Selbstbe-
mit manuellen Versuchen, die Informa- stimmung. ◀
tionen in geheime Schriften zu überset-
zen, die das Gegenüber wieder von Hand
entzifferte. Ein Verfahren, das automati-
siert wurde, um schneller Geheimnisse
zu erschaffen und Rätsel sofort lösen zu
können. Bekannte Verschlüsselungsma-
schinen wie die Enigma übernahmen
solche Aufgaben. Jahr für Jahr wurde es
wichtiger, informiert zu sein. Und Jahr
für Jahr wurde aufs Neue versucht, Mit-
teilungen geheim zu halten. Und so wur-
de die Kryptologie Schritt für Schritt zur
Wissenschaft.
Kryptologie sollte im Auftrag der Infor-
mationssicherheit dafür sorgen, dass der
Feind im Krieg weder Marschbefehle noch
die Standorte von U-Booten erfährt. In
der Politik sollte sie verhindern, dass gan-
ze Telefonate mit angehört, aufgezeich-
5
Akten-/Datenträgervernichtung, Datenlöschung
Thomas Wirth,
Blancco Central Europe
Daten revisionssicher
entsorgen
Das richtige Handling der immer schneller anwachsenden digitalen Da- gehören auch personenbezogene Daten,
tenmengen entscheidet in Zukunft unternehmerischen Erfolg wesentlich befinden sich längst nicht mehr nur auf
mit, vor allem wenn es sich um sensible Geschäfts- und Personendaten der Festplatte des Büro-Rechners, son-
handelt. Das Datenmanagement geht dabei bereits heute weit über das dern sind auf viele Speicher-Orte verteilt.
reine Speichern und Verwaltung der Daten während ihres Lebenszyklus Das stellt neue Anforderungen an die
hinaus und betrifft, unter anderem aus rechtlichen Gründen, auch End- Datenlöschung, ebenso wie zunehmend
of-Life-Szenarien, also alles rund um die nachweisbare und rechtskonfor- schärfere nationale und EU-weite Daten-
me Löschung der Daten. schutzverordnungen und -gesetze. Auch
wenn die technischen Möglichkeiten der
Gesetzgebung meistens voraus sind, wer-
Problem ist: Unternehmen und Behörden den bei unbefugter Datennutzung mitt-
sammeln immer mehr Daten, müssen lerweile sehr viel höhere Strafen verhängt
diese aber irgendwann auch wieder si- als noch vor einigen Jahren. Verschärft
cher und nachweislich löschen. wird die Datenlösch-Problematik durch
den Umstand, dass dieses Thema noch
S chätzungen zufolge werden sich die
digitalen Datenmengen von derzeit
etwa einem Zettabyte bis 2020 vervier-
Branchenübergreifend stehen Unterneh-
men und Organisationen beim Daten-
lösch-Management vor ähnlichen Pro-
gar nicht vollumfänglich ins Bewusstsein
vieler Unternehmen gedrungen ist. Die
Datenlöschung erfolgt häufig unstruktu-
zigfachen. Vor diesem Hintergrund gesellt blemen: Die IT-Technologien verändern riert und neue Technologien wie Cloud-
sich zu der Herausforderung, wie sensible sich und verlangen nach neuen Strategi- Dienste oder Mobile Devices „nutzt man
Daten gespeichert und geschützt werden en und Lösungen. Ob auf Smartphones, einfach mal drauf los“ – ohne Konzepte
können, immer dringlicher die Frage, wie SSD-Speichern (USB-Sticks, SD-Cards parat zu haben, wie man die dort gespei-
sich diese Daten nach ihrer Verwendung etc.) oder in der virtuellen Cloud – viele cherten Daten wieder zuverlässig und ge-
wieder zuverlässig löschen lassen. Das sensible Unternehmensdaten, und dazu setzeskonform löschen kann.
6
Die Erfassung und Verarbeitung riesiger Datenmengen in sehr Produktanbieter:
kurzer Zeit – Stichwort „Big Data“ – ist heute ohne Probleme
machbar. Neue technologische Entwicklungen und immer
effizientere Speichermedien machen es möglich. Sowohl für ����������������������������������������������������������� Seite 74
Unternehmen, Behörden als auch für Dienstleister ergeben
sich daraus ganz neue Perspektiven und Geschäftsfelder. Oft
jedoch wird die Frage nach der Datenlöschung zu spät gestellt.
Dabei sollte schon bei der Entwicklung eines Konzepts, wel-
ches die Erfassung und Verarbeitung großer Datenmengen
betrifft, an die Löschung der Daten gedacht werden – nicht
Berater/Dienstleister:
zuletzt wegen rechtlicher Bestimmungen. So sind etwa Anbie-
ter von Cloud-Diensten gesetzlich verpflichtet, im Falle einer
Kündigung seitens eines Kunden sämtliche seiner Daten sicher
und endgültig aus der Cloud zu löschen. ��������������������������������������������������������� Seite 66
Gezieltes Datenlöschmanagement ist zudem auch aus einem ��������������������������������������������������������� Seite 74
ganz anderen Grund von unternehmensstrategischer Bedeu-
tung: Denn vor dem Hintergrund zahlreicher, die Öffentlich-
keit immer wieder alarmierender Skandale von Datenklau
und -missbrauch kann ein Imageschaden bei Kunden oder Ge-
schäftspartnern über kurz oder lang zu finanziellen Einbußen
führen und sich damit letztendlich konkret auf den Erfolg und
die Wettbewerbsfähigkeit von Unternehmen auswirken. Pro-
fessionelles Datenlöschmanagement liegt damit im ureigenen
Interesse von Unternehmen.
Dreh- und Angelpunkt bei der Entwicklung von Datenlösch-
Strategien ist eine ganzheitliche Sicht auf das Vorhaben bei
gleichzeitiger Berücksichtigung der jeweiligen unternehmens-
spezifischen Anforderungen und Datenstrukturen. Nach Ana-
lyse der Ist-Situation (Was muss wann gelöscht werden?) wird
ein Plan beziehungsweise eine Strategie für die Soll-Situation
mit Blick auf die Einhaltung von gesetzlichen Bestimmungen,
Anforderungen der Security Policy des Unternehmens und an-
dere Faktoren erstellt. Bisweilen gilt es im Rahmen einer sol-
chen Strategieentwicklung, das Bewusstsein für das Thema
Datenlöschung unternehmensintern zu schärfen beziehungs-
weise überhaupt erst zu schaffen. So hält etwa der Löschbut-
ton bei Windows mitnichten das, was er verspricht – gelöscht
wird hier nicht wirklich. Der Befehl „Löschen“ oder „Entfernen“
verändert lediglich die File Allocation Table (FAT). Die Daten
bleiben auf der Festplatte und lassen sich mit geringem Auf-
wand wieder auslesen.
Entscheidend bei der Umsetzung der Datenlösch-Strategie
ist die Auswahl der richtigen Lösung. Wichtig ist eine wirklich
sichere Löschung der Daten, denn Löschung ist nicht gleich
Löschung: Häufig werden geschützte Bereiche der Festplatte
überhaupt nicht gelöscht. Die eingesetzten Produkte sollten
von unabhängiger Seite zertifiziert und getestet sein. Neben
der richtigen Löschtechnologie, Bedienkomfort und Einhal-
tung gesetzlicher Richtlinien zählt dabei die Qualität des Be-
richtswesens: Nur wenn umfassende Löschprotokolle nach-
weisen, dass der Datenlöschprozess erfolgreich war, können
Unternehmen in Prüfaudits bestehen. Die Wahl sollte deshalb
immer auf einen zertifizierten Anbieter fallen. ◀
Modifizierter Auszug aus einem Beitrag von Thomas Wirth,
Blancco Central Europe, erschienen in der IT-SICHERHEIT 4/2014.
7
Authentifizierung/IdM/IAM
Norbert Pohlmann
Wer bin ich?
die Eindeutigkeit der Identität von den
Mehrmals täglich müssen wir uns gegenüber einem Großrechner, einem Standesämtern garantiert.
Server, unserem PC, unserem Notebook, unserem Smartphone oder ei-
nem Online-Dienst identifizieren. Doch woher wissen Computer und Eine Identifikation muss innerhalb eines
Internet-Dienstleister wie Facebook, Amazon oder Google, dass der Zu- Systems (einer Organisation) abgespro-
greifende auch derjenige ist, mit dem eine Interaktion gewünscht ist? chen sein, damit sie eindeutig ist. Oft
werden gültige E-Mail-Adressen als Iden-
tifikation verwendet, weil diese immer
und auch weltweit eindeutig sind.
Die Authentifizierung ist die Überprü-
Angabe eines kennzeichnenden Merk- fung der angegebenen Identität oder die
mals, zum Beispiel des Benutzernamens. Überprüfung, ob jemand echt oder be-
A ls Erstes muss sich der Nutzer ge-
genüber dem Computer oder dem
Internet-Dienst identifizieren und au-
Im täglichen Leben wird eine Person ein-
deutig durch die Angabe von Vorname,
Nachname, Geburtsort und Geburtstag
rechtigt ist. Für die Authentifizierung von
Benutzern sind unterschiedliche Authen-
tisierungsverfahren möglich: Einfache
thentifizieren. Diese Identifikation ist die identifiziert. In den meisten Ländern wird Passwortverfahren, Einmal-Passwort-,
8
Biometrie- und Challenge-Response-Verfahren. Besonders si- Produktanbieter:
cher sind kryptographische Verfahren, die mit Hilfe von Secu-
rity-Token arbeiten.
����������������������������������������� Seite 64
Das heute noch meist verwendet, aber gleichzeitig auch das
am wenigsten geeignete Authentifizierungsverfahren ist das ���������������������������������� Seite 70
Passwortverfahren. Denn der Einsatz eines einfachen Pass-
wortmechanismus bringt zahlreiche Sicherheitsprobleme mit ����������������������������������������� Seite 72
sich. Mit der steigenden Anzahl von genutzten Computern und
Internet-Diensten wird die Sammlung an verschiedenen Pass- ������������������������������������������������������� Seite 75
wörtern der Nutzer immer größer. Probleme, die hier in der
Breite auftreten, sind die Verwendung von qualitativ schlech-
������������������������������������������������� Seite 82
ten Passwörtern, die Verwendung eines guten Passworts für
unterschiedliche Dienste oder die Übertragung von Passwör-
tern im Klartext in Http-Sessions oder in E-Mails. Häufig vor- �������������������������������������������� Seite 86
kommende Angriffsmethoden auf den einfachen Passwortme-
chanismus sind Trojanische Pferde mit Key-Logger-Funktionen ������������������������������������ Seite 98
auf den Zugangs-Computern (PC, Notebook, Smartphone,
Internet-Cafe-Rechner …), Phishing-Webseiten und/oder Social
Engineering.
Bei Einmal-Passwörtern wird jedes Passwort nur einmal ver-
wendet. Hier gibt es im Prinzip zwei unterschiedliche Metho- Berater/Dienstleister:
den: Passwörter werden im Vorfeld bestimmt und verteilt oder
der Benutzer kann sie nach einem definierten Verfahren be-
������������������������������������������ Seite 60
rechnen.
Biometrie ist die Identifikation und Authentisierung mittels
����������������������������������������� Seite 64
biologischer Merkmale. Biometrische Authentisierung ver-
wendet physiologische oder verhaltenstypische, also perso- ������������������������������������������������������� Seite 75
nengebundene Charakteristika. Der Vorteil liegt darin, dass
biometrische Merkmale nicht gestohlen und im Allgemeinen �������������������������������������������� Seite 84
nur schwer kopiert werden können. Dabei können biometri-
sche Merkmale auf viele Arten gemessen werden. Die unter-
schiedlichen Verfahren messen zum Beispiel das Tippverhalten
an einer Tastatur, die Fingergeometrie, das Fingerlängenver-
hältnis oder die Handgeometrie. Weitere Möglichkeiten sind
die Stimmanalyse, die Gesichtserkennung, die Erfassung der
Unterschriftendynamik, des Netzhautmusters, des Irismusters
oder des genetischen Fingerabdrucks.
Bei dem Challenge-Response-Verfahren muss sich der Nutzer
spontan kryptographisch beweisen. Dazu braucht er einen ge-
heimen Schlüssel und ein kryptographisches Verfahren.
Ein Security-Token ist eine sichere Hardwarekomponente zur
Identifizierung und Authentifizierung von Nutzern. Wichtig ist,
dass der Nutzer zwingend das Security-Token besitzen muss,
damit er sich authentisieren kann. Neben Security-Token, mit
eigenem Display und evtl. auch eigener Eingabemöglichkeit,
die weit verbreitet sind, spielen Smartcards auch eine wichtige
Rolle. So gibt es in Deutschland mit dem neuen Personalaus-
weis (nPA) die Möglichkeit für jeden Bürger, sich damit sicher
identifizieren und authentifizieren zu lassen. Die eigentliche
Verifikation erfolgt über ein sicheres Kryptografie-Protokoll.
Ein weiterer und wichtiger Vorteil ist, dass mit dem neuen Per-
sonalausweis auch die überprüfende Stelle mit Hilfe eines not-
wendigen Berechtigungszertifikats von den Bürgern überprüft
wird und damit eine gegenseitige Identifizierung und Authen-
tifizierung durchgeführt wird. ◀
9
Backup & Restore
Stefan Mutschler
Backup & Restore im Zeitalter der Cloud
Schnelle Rückkehr
zum Business
Datensicherung und -Wiederherstellung (Restore/Recovery) haben sich Vergleich zu traditionellen, tabellarisch
im Laufe der Jahre zur umfassenden Disziplin für das Datenmanage- darstellbaren und rein Zeichen-basierten
ment entwickelt. Entsprechend vielfältig ist das Angebot der verfügba- Informationen immer größer wird. Eine
ren Lösungen. Einige Backup-Software-Pakete lassen sich modular für weitere Ursache ist, dass Applikationen
unterschiedliche Aufgaben nachrüsten. Datenmanagement-Suiten, die in Unternehmen so gut wie nie ausran-
tatsächlich alle Speicheraufgaben eines Unternehmens abdecken, sind giert werden, selbst wenn sie längst nicht
jedoch trotzdem bis heute eher rar. Die Virtualisierung von Rechenzen- mehr aktiv genutzt werden. Geht der
tren beziehungsweise die Nutzung von Cloud-Services stellt vielmehr Platz aus, werden einfach neue Speicher-
sogar die Basisfunktionen des Backups und Restore vor neue Aufgaben. systeme angeschafft. Was dabei unter
den Tisch fällt: Die neuen Speichersyste-
me beanspruchen Raum im Rechenzent-
rum, verbrauchen Energie für Betrieb und
Kühlung, blähen die Verwaltung inklusive
I n IT-Systemen gespeicherte Daten ha-
ben eine „magische“ Eigenschaft: Ihr
Umfang – und damit auch der benötigte
Backup auf, beanspruchen Rechenkapa-
zität, mindern damit die Leistung und
vieles mehr. Das umfassende Ausmisten
Speicherplatz – wächst exponentiell. Das – gegebenenfalls mit Konsolidierung von
liegt zum Beispiel daran, dass der Anteil Daten unterschiedlicher Quellen auf ei-
multimedial angereicherter Daten im ner neuen Plattform – gehört zu den hei-
10kelsten und wahrscheinlich von daher am lokalen Disks und noch mehr im Vergleich Produktanbieter:
stärksten vernachlässigten Speicherma- zu den Bändern meist noch relativ teuer
nagement-Aufgaben schlechthin. ist. Das liegt zum einen am rein Disk-ba-
sierten Service in der Cloud, zum anderen ������������������� Seite 58
Eine gangbare Datensicherungsstra- am teuren Transportweg über öffentliche
tegie muss aber nicht nur das deutlich WAN-Verbindungen. Letzteres gilt bei je- ��������������������� Seite 64
vergrößerte Speichervolumen berück- der Form des offsite-Backups, also auch
sichtigen, sondern auch den dafür nöti- bei Backup-Speicherung in einer ande- ����������������������������������� Seite 73
gen Transportweg zwischen Primär- und ren Niederlassung. In einigen Branchen
Sicherungsspeichern. Das gilt umso wie etwa bei Banken ist die geografische ������������������������� Seite 80
mehr, wenn Speichersysteme künftig Trennung der Original- und Backup-Da-
verstärkt in die Cloud wandern und der ten sogar gesetzlich vorgeschrieben. Der
���������������������� Seite 88
Backup-Speicher über WAN-Schnittstel- Schlüssel, um Cloud Storage im Enterprise-
len bedient werden muss. Eine moderne Maßstab konkurrenzfähig zu machen be-
Backup-Software muss daher viel mehr ziehungsweise verteilte Datensicherung ���������������� Seite 98
leisten, als einen zeitgesteuerten Siche- kosteneffizient zu realisieren liegt also
rungsjob anzustoßen und bei Bedarf Da- darin, die zu transportierenden Daten so
ten wiederherzustellen. Das heißt aber weit als möglich zu reduzieren. Neben
nicht, dass die Grundaufgaben weniger der Konsolidierung beziehungsweise Ar-
wichtig geworden wären. Im Gegenteil chivierung von aktiv beziehungsweise
– besonders beim Recovery stellt das passiv genutzten Daten gehören dazu die
Berater/Dienstleister:
moderne Business heute verschärfte An- Beseitigung von Dubletten (jede Informa-
forderungen. Je nach Bedeutung für das tion sollte organisationsweit nur genau ���������������������� Seite 62
Unternehmen sind für unterschiedliche einmal gespeichert sein) und die Kom-
Daten verschiedene Zeitvorgaben für die pression (algorithmische Verdichtung).
��������������������� Seite 64
Wiederherstellung vorgegeben. Bei Ser- Deduplikation und Kompression gehören
vern liegen sie in der Regel im Stunden- heute zu den wichtigen Standardaufga-
bereich – bei kleineren wichtigen Dateien ben einer Backup-Software, wobei sich die
����������������������������������� Seite 73
oft nur bei wenigen Minuten. Hersteller derzeit in der Ratio der damit
möglichen Datenreduktion zu überbieten ������������������������� Seite 80
Ein wichtiger Aspekt bei Backup-Software versuchen. Leider sind die Angaben nicht
ist in diesem Zusammenhang die Skalier- immer transparent – die Möglichkeiten ��������������������� Seite 81
barkeit. Die Vorgaben für die zulässige Re- sowohl der Deduplikation als auch der
covery-Dauer müssen auch bei wachsen- Kompression hängen stark von der Art der
den Datenmengen eingehalten werden. Ausgangsdaten ab, und die publizierten
„Durchschnittswerte“ basieren oft auf ei-
Vieles spricht dafür, dass Speichersyste- nem nicht näher spezifizierten Datenmix.
me künftig verstärkt in die Cloud wan-
dern: Es entstehen keine Investitionskos- Mit den wachsenden Durchsatzanfor-
ten, der Speicher ist sofort nutz- und bei derungen gehen nun langsam auch die
Bedarf nahezu beliebig erweiterbar. Wer Tage des Magnetbands (Tape) ihrem Ende
gezielt auf ein Enterprise-Cloud-Storage- entgegen. Nach wie vor gibt es zwar kein
Konzept setzt, kann im Idealfall auch hin- preisgünstigeres Backup-Medium, aber
sichtlich Datensicherheit sowie Backup, der Abstand zu Disk-basierten Systemen
Restore und Desaster Recovery handfeste wird zusehends kleiner. Auf der anderen
Vorteile abgreifen: Ein entsprechendes Seite etablieren sich Flash-Speicher mehr
Dienstangebot beim Provider vorausge- und mehr als Primärspeicher – die Disk
setzt, lassen sich über die Cloud Instant wird quasi das neue Band. Mit der Cloud
Offsite-Backups zu vergleichsweise nied- geht der Trend bei der Backup-Software
rigen Kosten ziehen – von überall zugreif- allmählich in Richtung eines hybriden
bar. Ein Grundmanko der Cloud bleibt und modular aufgebauten Backup & Re-
jedoch auch in Sachen Backup und vor covery mit zentralen Funktionen für das
allem Restore bestehen: Verabschiedet Datenmanagement. ◀
sich die Internet-Verbindung, lassen sich
in diesem Moment Daten weder sichern
noch wiederherstellen. Gerade Letzteres
ist als kritischer Faktor zu sehen.
Auch bei der Kostenrechnung sieht man
schnell, dass CloudStorage im Vergleich zu
11Business Continuity
Aidan Gogarty,
HOB GmbH & Co. KG
Regeln für eine
umfassende
Business Continuity
In der modernen Arbeitswelt darf es keinen Stillstand geben. Betriebs- Warum beschäftigen sich manche Unter-
störungen, die dazu führen, dass Arbeit und Produktion ruhen, ziehen nehmen immer noch ungern und nicht
oft schlimme Konsequenzen nach sich. Um solche Ausfall-Situationen zu intensiv genug damit, ihre Abläufe und
vermeiden und im Notfall betriebsfähig zu sein, sind Business-Continui- Systeme so aufzustellen, dass Business
ty- und Desaster-Recovery-Planungen unabdingbar. Continuity garantiert ist? Zum einen
vielleicht, weil Unternehmen und Unter-
nehmer sich lieber mit ihren Chancen als
mit Risiken beschäftigen. Zum anderen
ist Desaster-Recovery-Planung lediglich mag auch nicht jedem immer klar sein,
Z wischen Business Continuitiy und De-
saster Recovery gibt es grundlegende
Unterschiede. Desaster Recovery beschäf-
ein wichtiger Bestandteil einer umfassen-
den Business-Continuity-Konzeption.
wie stark sich die Risiken in einer globali-
sierten Welt erhöht haben. Und zu guter
Letzt: Business-Continuity- und Desaster-
tigt sich mit der Wiederherstellung der In der Business-Continuity-Planung wird Recovery-Planungen sind hoch komplex.
Ressourcen. Es beschreibt den Prozess, definiert, welche Geschäftsabläufe und Eine Business-Continuity-Planung muss
über den der Betrieb nach einer Störung -verfahren im Katastrophenfall aufrecht- gut durchdacht sein und alle Geschäfts-
wieder aufgenommen wird. Business- zuerhalten sind und wie dies erreicht bereiche berücksichtigen.
Continuity-Planung ist ein umfassenderer werden soll. Dies betrifft unter anderem:
Ansatz, welcher sich nicht nur auf die Wie- Unternehmen und Organisationen mit
derherstellung der Ressourcen bezieht, ▪▪ technische und IT-Systeme einer umfassenden Business-Continuity-
sondern auch alle anderen Unterneh- ▪▪ Gebäude Planung können nach einem Notfall den
mensfunktionen einbezieht – von Mitar- ▪▪ Personal Betrieb schneller und effektiver wieder-
beitern und Gebäuden bis hin zur IT. Daher ▪▪ Lieferanten/Partner aufnehmen als solche, die hier geschlu-
12dert haben. Um Unternehmen Richtlinien niert. Für diese Strategien wird auch eine Produktanbieter:
und Best-Practice-Ansätze zur Vorberei- passende Planstruktur entwickelt.
tung auf Betriebsstörungen an die Hand
zu geben, wurde die internationale Norm 3. Schritt: Lösungsgestaltung und ������������������� Seite 58
ISO 22301 für Business Continuity-Ma- Implementierung
nagement ins Leben gerufen. Sie gibt ���������������������� Seite 59
klare Anleitungen und Rahmenkonzepte Für die Lösungsgestaltung müssen ver-
zur Erstellung von unternehmensspezifi- schiedene Rollen, Prozesse und Techno- ��������������������� Seite 64
schen Business-Continuity-Plänen. logien definiert werden. Dies beinhaltet
nicht nur ein Krisenmanagement-Team, ����������������������������������� Seite 78
Was gehört grundlegend zu einer rich- sondern auch eine Auflistung von Mitar-
tigen Business-Continuity-Planung und beiterressourcen und Aufgaben. Zudem
������������������������� Seite 80
welche Schritte sollten beachtet werden? muss ein Konzept für Backup und Wieder-
Unternehmen müssen beispielsweise herstellung aufgestellt werden.
ihre Budgets und Markteintrittsstrategi-
en langfristig planen und darlegen. War- 4. Schritt: Testen
um? Wenn ein Unternehmen seine Ziele
nicht definiert, den Unternehmenszweck Testen ist einer der wichtigsten Punkte,
Berater/Dienstleister:
und seine Pläne nicht darlegt, kann es bevor ein Business Continuity-Plan finali-
auch nicht entscheiden, welche Prozesse siert wird. Der Plan muss mit verschiede-
und Systeme besonders kritisch für die Er- nen Szenarien getestet werden. Dabei ist
reichung und Einhaltung dieser Ziele und es wichtig, den Testprozess übersichtlich ���������������������� Seite 59
Pläne sind. Somit fehlt es an der Basis zur und nachvollziehbar im Testreport zu do-
Entscheidungsfindung: Welche Systeme kumentieren. Danach können die Tester- ���������������������� Seite 60
und Abläufe müssen besonders ausfall- gebnisse anhand des Reports ausgewer-
sicher gestaltet werden, welche Ausfälle tet werden. Aber ein guter Plan und ein
kann das Unternehmen in einer Notsitu- ausgereiftes Konzept sind nichtig, wenn
��������������������� Seite 64
ation verkraften? Darüber hinaus gehen die Mitarbeiter das Vorgehen nicht nach-
alle Business-Continuity-Pläne auch ins vollziehen können. Deshalb gehört zu ������������������������� Seite 80
Detail: Welche Mitarbeiter müssen im diesem Schritt unbedingt auch die Sensi-
Notfall weiterhin miteinander kommu- bilisierung und Schulung der Mitarbeiter. ������������������������ Seite 84
nizieren können, wo werden sie arbeiten
und ihre Arbeit weiter durchführen? 5. Schritt: ��������������������� Seite 81
Verwaltung und Instandhaltung
Business-Continuity-Experten raten zu ei- �������������������������� Seite 97
nem Business-Continuity-Management- Im Lebenszyklus des Business Continuity-
Lebenszyklus, welcher in folgende fünf Plans können neue Risikofaktoren für den
Phasen aufgeteilt wird: Geschäftsbetrieb entstehen. Möglicher-
weise ändern sich Unternehmensstruktu-
1. Schritt: Risikoanalyse ren nachhaltig. Deshalb gilt es, den Plan
in regelmäßigen Abständen zu prüfen
Um den Lebenszyklus einer Business Con- und eventuell zu überarbeiten. Natürlich
tinuity-Planung zu starten, definiert die muss auch hier eine Änderung des Plans
Managementebene aus allen Geschäfts- nochmals getestet werden.
bereichen Business-Continuity-Ziele und
den Planungsrahmen. Das ernannte Business-Continuity-Planungen sind es-
Business-Continuity-Management-Team senziell für die Zukunftssicherung eines
muss als ersten Schritt eine Risikoana- Unternehmens. Sie sollten darum auch
lyse durchführen. Bei deren Umsetzung sehr sorgfältig vorgenommen werden.
gibt es verschiedene Methoden, etwa die ISO-Zertifizierungen können diese Pla-
Business Impact Analysis zur Ermittlung nungen sinnvoll strukturieren und be-
des Einflusses bestimmter Gefahren und gleiten. Ein besonders kritischer Faktor
Störungen auf die Betriebsfähigkeit. für die Aufrechterhaltung des Betriebs im
Notfall sind die IT-Systeme eines Unter-
2. Schritt: Strategiedefinition nehmens. ◀
Auf Basis der Risikoanalyse sollte das Ma-
nagement passende Strategien für Ereig- Modifizierter Auszug aus einem Beitrag
niseintritte entwickeln. Dabei werden die von Aidan Gogarty, HOB GmbH & Co. KG,
Prioritäten der einzelnen Strategien defi- erschienen in der IT-SICHERHEIT 1/2014.
13Cloud Security
Prof. Dr. Norbert Pohlmann,
Institut für Internet-Sicherheit
Wolkenstimmung
Cloud Computing ist mittlerweile in der Mitte unserer modernen Gesell-
schaft angekommen und ein wichtiger Teil der IT und des Internets. Nach
der Vielzahl an Vorfällen der letzten Monate gilt aber mehr denn je: Die
Aspekte IT-Sicherheit und Vertrauenswürdigkeit entscheiden darüber,
wie schnell und wie tief Cloud-Dienste den IT-Markt in Deutschland wei-
ter durchdringen werden.
D aten werden bei Cloud-Diensten in-
nerhalb einer externen IT-Infrastruk-
tur generiert, gespeichert, verarbeitet und
Die Sicherheitsvorteile bei größeren
Cloud-Dienst-Anbietern liegen im Be-
reich Verfügbarkeit, Ausfallsicherheit,
gelöscht. Die Preis-Effizienz eines hohen Elastizität, Toleranz und Business Con-
Sicherheitslevels der zugrundeliegenden tinuity. Außerdem kann eine physikali-
IT-Infrastruktur erhöht sich prinzipiell. sche Sicherheit der IT-Infrastruktur bei
Trotzdem stellen Cloud-Dienste neue He- großen Cloud-Anbietern einfacher und
rausforderungen an die IT-Sicherheit und insgesamt kostengünstiger umgesetzt
die Vertrauenswürdigkeit der Anbieter. werden. Eine einheitliche Härtung von IT-
14Systemen sowie eine optimale Umsetzung von Patch-Manage- Produktanbieter:
ment lassen sich beispielsweise ebenfalls von zentraler Stelle
sicher und nachhaltig umsetzen.
����������������������������������������������������� Seite 58
Die zusätzlichen Angriffsvektoren von Cloud-Diensten liegen
aus Nutzersicht unter anderem in der notwendigen öffentli- �������������������������������������������������������� Seite 59
chen Vernetzung, die dauerhaft einen attraktiven und zentra-
len Angriffspunkt darstellt. Außerdem kennen Nutzer nicht die ������������������������������������������������������� Seite 64
Orte, an denen ihre Daten gespeichert sind. Sie können sich
auch nicht sicher sein, dass ihre Daten überhaupt noch exis- ������������������������������������������������ Seite 70
tieren. Prinzipiell gibt es Schwachstellen bei Shared Services,
die dafür verantwortlich sind, dass Angreifer auf unsere Daten
�������������������������������������������������������� Seite 80
zugreifen können.
Bei Cloud-Dienst-Anbietern spielt die Vertrauenswürdigkeit ��������������������������������������������������������������� Seite 82
eine herausragende Rolle, da die Verlagerung von Daten und
Diensten in die Cloud mit einem Kontrollverlust der Nutzer ���������������������������������������������������������� Seite 86
einhergeht. Daher müssen Nutzer Zeit in die Auswahl des rich-
tigen, vertrauenswürdigen Dienstleisters investieren. Außer- �������������������������������������������������������� Seite 93
dem sollte jedem Unternehmen klar sein, dass amerikanische
Cloud-Dienstleister laut Patriot Act dazu verpflichtet sind, Da- ���������������������������������������������������������� Seite 95
ten an ihre Regierung weiterzugeben – auch wenn die Rechen-
zentren des Cloud-Dienstes in Europa stehen. Entscheidend �������������������������������������������������� Seite 98
für die Auswahl sind demnach sowohl Standort des Rechen-
zentrums als auch Herkunft des Cloud-Dienstleisters.
�������������������������������������������������� Seite 99
Viele Cloud-Dienst-Anbieter, wie zum Beispiel Dropbox, legen
vor allem Wert auf Marktanteile und weniger auf IT-Sicherheit.
In Folge werden sie langfristig keine Vertrauenswürdigkeit bei
den Nutzern aufbauen können, selbst wenn der Cloud-Dienst
sehr gut und einfach zu bedienen ist. In diesem Bereich spielen
Berater/Dienstleister:
auch kulturelle Aspekte eine Rolle. Deutsche Unternehmen ha-
ben einen sehr viel höheren Anspruch an IT-Sicherheit und Da-
tenschutz als beispielsweise amerikanische, die aber weltweit �������������������������������������������������������� Seite 59
Marktführer im Bereich von Cloud-Diensten sind.
������������������������������������������������������� Seite 64
Aktuell besteht die Herausforderung darin, wie die IT-Sicher-
heit und Vertrauenswürdigkeit von Cloud-Diensten geschaf-
��������������������������������������������������������������������� Seite 75
fen, gemessen und aufrechterhalten werden kann.
Weitere Innovationen im Bereich Cloud Computing werden
����������������������������������������������������������� Seite 80
hinzukommen, aber die Verantwortung für die eigenen Daten
und die IT-Sicherheit werden die Nutzer auch in Zukunft nicht ������������������������������������������������������� Seite 81
auf die Anbieter übertragen können. Nutzer sollten die Cloud-
Dienstanbieter sorgfältig auswählen und Verträge aushan- ������������������������������������������������������������������� Seite 96
deln, die unsere IT-Sicherheits- und Vertrauenswürdigkeitsbe-
dürfnisse widerspiegeln. Denn insgesamt gibt es noch einen �������������������������������������������������� Seite 99
sehr großen Handlungsbedarf, dem wir in den nächsten Jahren
mit den passenden IT-Sicherheits-, Datenschutz- und Vertrau-
enswürdigkeitsmaßnahmen gerecht werden müssen. ◀
15Compliance/GRC
Philipp Schöne,
Axway
Das Damoklesschwert
der IT: Compliance
IT-Compliance ist ein ungeliebtes Thema: Unzählige Anforderungen von Bundesdatenschutzgesetz bis hin zu
unterschiedlichen Seiten sollen umgesetzt und auditiert werden. Die speziellen Ablaufregeln, einen bestimm-
meisten Unternehmen wissen um die Problematik, setzen Compliance- ten Datenaustauschprozess mit einem
Vorgaben aber nur zögerlich um. Das ist riskant. einzelnen Kunden betreffend. Das Prob-
lem in der Praxis besteht nicht nur darin,
dass man all diese Regularien kennen und
umsetzen muss, sondern dass diese auch
von unterschiedlichen Stellen geprüft
werden: Jeder Partner führt eigene Au-
dits durch, benötigt verschiedene Daten,
bereitgestellt auf die Art und Weise, die er
Z wei übergreifende Entwicklungen sor-
gen für immer mehr Komplexität in
der IT-Infrastruktur: Kaum ein Unterneh-
Jeder Partner hat eigene Regeln
Jede Geschäftsbeziehung, die ein Unter-
verarbeiten kann.
Das zieht beträchtlichen Aufwand nach
mens-Prozess kommt nunmehr ohne die nehmen eingeht, unterliegt bestimmten sich. Je größer ein Unternehmen, umso
Unterstützung der IT aus, inklusive der Compliance-Regeln. Diese sollen Daten- schwieriger wird es, die verschiedenen
Verarbeitung geschäftskritischer Daten. missbrauch auf möglichst jeglicher Ebene Abteilungen aufeinander abzustimmen.
Zudem sorgt nicht zuletzt die öffentliche verhindern. Alle Unternehmens-Prozesse Es ist deshalb notwendig, dass es einen
Diskussion für ein wachsendes Sicher- unterliegen dabei Regularien von Behör- Verantwortlichen gibt, der den Über-
heitsbewusstsein – und noch mehr Com- den, Verbänden, Produktionspartnern blick bewahrt und die Unterstützung des
pliance-Regeln. Wie lässt sich die Einhal- und natürlich Kunden. Diese reichen von Managements genießt. Denn es nützt
tung dauerhaft umsetzen? übergeordneten Vorschriften wie dem wenig, wenn alle internen Prozesse die
16Compliance-Vorgaben erfüllen, wenn Programme: 78 Prozent arbeiten bereits Produktanbieter:
sensible Daten bei einem Zulieferer oder damit oder planen den Einsatz.
Sublieferanten nicht gesichert verarbei-
tet werden. Die Sicherheit des gesamten Compliance langfristig etablieren ��������������� Seite 65
Prozesses ist dann gefährdet.
Compliance ist kein Projekt, das irgend- ��������������������� Seite 64
Große Defizite bei den Unternehmen wann zu Ende ist. Vielmehr benötigen
Unternehmen einen fest etablierten, ��������������������������������� Seite 78
Die IT-Infrastrukturen in den Unterneh- dauerhaft begleitenden Prozess dafür,
men wachsen über Jahre hinweg und denn Compliance-Regularien ändern sich ���������������������� Seite 80
werden nach Bedarf neuen Bedingungen ständig und deren Einhaltung muss re-
angepasst oder erweitert. Soll heißen: gelmäßig auditiert werden. Nicht zuletzt
����������������������� Seite 89
Sie werden normalerweise nicht rund kann die Verletzung von Compliance-
um Compliance-Regeln gebaut, sondern Vorschriften auch Auswirkungen auf das
entstehen im Business-Alltag. Punkt- Management haben, insbesondere, wenn ������������������������ Seite 95
Lösungen und Silo-Bildung sind die Folge es um die Geschäftsführerhaftung geht.
– den Gesamtüberblick über zutreffende ���������������� Seite 99
Compliance-Regularien und deren Einhal- Die beste Basis ist ein dediziert Verant-
tung erschwert das immens. wortlicher, beispielsweise aus dem IT-
Security-Bereich. Dieser sollte sich einen
Eine kürzlich erschienene Studie des auf Überblick über die einzuhaltenden Vor-
den IT-Markt spezialisierten Analysten- schriften verschaffen und die vorhandene
hauses Ovum und des Software- und IT-Landschaft daraufhin überprüfen. Dar- Berater/Dienstleister:
IT-Dienstleistungsunternehmens Axway aus lassen sich Aktionen ableiten, die zu
bestätigt dies: Viele Unternehmen er- einer umfassenden Compliance führen.
���������������������� Seite 60
füllen die Anforderungen an die Daten- Dieser Anfangsaufwand ist hoch, doch
sicherheit und IT-Compliance nicht und dringend notwendig. Hat sich der Prozess
haben Probleme mit komplexen Integra- erst etabliert, sind weniger Ressourcen
��������������������� Seite 64
tionen. Es wurden rund 450 IT-Führungs- nötig. Externe Audits und Prüfungen kön-
kräfte aus Europa, Nordamerika und nen schneller bewertet und durch diese ������������������������� Seite 80
Asien nach ihren Herausforderungen in zentrale Übersicht unterstützt werden.
Bezug auf die zunehmende Komplexität Denn wenn das Thema Compliance stets ������������������������ Seite 84
und die damit verbundene erschwerte in alle Geschäftsprozesse einbezogen und
Umsetzung von Compliance-Initiativen damit ein entsprechend sicheres Niveau ��������������������� Seite 81
befragt. 23 Prozent der Befragten gaben erreicht wird, müssen bei Bedarf nur noch
an, in den letzten drei Jahren mindes- kleinere Anpassungen gemacht werden. ������������������������������ Seite 85
tens ein Sicherheit-Audit nicht bestan- Und dies lässt sich langfristig planen:
den zu haben. 17 Prozent glauben nicht, Denn neue Compliance-Vorschriften tre- ���������������� Seite 99
dass ihr Unternehmen im Moment ein ten nicht über Nacht in Kraft. ◀
Compliance-Audit bestehen würde, oder
können dies nicht beurteilen. Das sind
alarmierende Zahlen.
Die Studie ist deshalb interessant, weil
sie auch nach Gründen sucht, warum
sich Unternehmen mit der Compliance so
schwertun. So gibt es den Angaben zufol-
ge bei gut 71 Prozent der Unternehmen
kaum Synergien zwischen der Integrati-
onsstrategie und der Datensicherheit so-
wie den Compliance-Richtlinien. Mehr als
die Hälfte der Unternehmen nutzt Insel-
lösungen in den Bereichen On-Premise-
Application-Integration sowie B2B- und
Cloud-Integration. Da heutzutage immer
mehr Unternehmensressourcen, wie z. B.
Anwendungen, Dienste und Daten, exter-
nen Partnern und Kunden zur Verfügung
gestellt werden, setzt der weitaus größte
Teil der befragten Unternehmen auf API-
17Data Leakage Prevention
Andrew Ladouceur, Clearswift
DLP-Strategie
richtig aufsetzen
Vor der Implementierung von DLP gilt es zunächst, mit allen Stakeholdern formationen zu extrahieren, und die dann
zu kommunizieren. Während viele IT-Projekte von der IT betrieben und heruntergeladen und per Ausschneiden
in die Organisation ausgerollt werden, kommt es bei DLP darauf an, dass und Kopieren in Reports verpackt, an E-
die Organisation gemeinsam mit der IT agiert. Denn das Verständnis der Mails angehängt und vielleicht sogar ins
darin enthaltenen Information und deren Relevanz liegt bei der Organi- Netz gestellt werden. Für eine kosten-
sation – nicht bei der IT. Eine Handlungsanweisung in acht Schritten. günstige Planung müssen diese Informa-
tionen zuerst lokalisiert werden. Sind alle
Informationen innerhalb der Organisati-
on auf Geräten, die den Perimeter nicht
verlassen, reicht eine Netzwerk-DLP-Lö-
sung aus. Müssen die Informationen je-
doch auch auf Laptops, Tablet-Rechnern
Schritt 1: Die meisten Organisationen Schaden anrichten, wenn sie in die Hän- und Smartphones geschützt werden, ist
sind sich nicht über den Wert ihrer Infor- de der Konkurrenz fallen, wie Angebote zusätzlich eine Endpoint-DLP-Lösung er-
mationen im Klaren. Daher müssen alle an Kunden oder Finanzreports oder auch forderlich.
Stakeholder in diesen Identifikationspro- geistiges Eigentum, Firmenstrategien
zess eingebunden werden und danach oder M&A-Pläne. Schritt 3: Im nächsten Schritt geht es
muss die Information priorisiert werden. darum, festzustellen, wer Zugriff auf
Hier kann man einteilen in Informationen, Schritt 2: Manche Applikationen sitzen diese Informationen benötigt und wer
die aufgrund rechtlicher Vorgaben abge- auf Datenbanken, die sehr viele wertvolle vielleicht nicht. Handelt es sich um Ein-
sichert werden müssen, wie Kreditkarten- Informationen enthalten. Trotzdem gibt zelpersonen oder Gruppen, und werden
und Bankinformationen. Ferner gibt es es auch für diese Informationsquellen Re- diese geographisch oder nach Rollen or-
solche Informationen, die unmittelbaren ports, die ausgeführt werden, um die In- ganisiert? Zur effektiven Integration der
18DLP-Lösung muss die Organisationsstruk- Schritt 6: Erstellen Sie nun einen Umset- Produktanbieter:
tur im Identity and Access Management zungsplan und denken Sie dabei an die
(IAM)-System abgebildet werden, zum Folgen fürs Geschäft, wenn Sie Aktionen
Beispiel im LDAP oder im Active Directory. durchführen. Überprüfen Sie die Policies ��������������� Seite 65
und richten sie diese am Zweck des Ein-
Schritt 4: Vor dem Aufbau der Policy sollte satzes aus. Minimieren Sie Fehlalarme ��������������������� Seite 64
man feststellen und priorisieren, wie die durch Feinabstimmung der Policies, be-
Informationen kommuniziert werden. vor diese ausgerollt werden. Stimmen Sie �������������� Seite 70
Für die meisten Organisationen liegt die sich mit den Mitarbeitern im IT-Support
Hauptpriorität dabei auf dem internen bezüglich der neuen Policy und der neuen ����������������������������������� Seite 73
E-Mail-Verkehr, und das Netz kommt erst Technologie ab, damit diese vorbereitet
an zweiter Stelle. Organisationen mit sind, falls Anrufe kommen. Die Aktivitä-
������������������������� Seite 80
Laptops sollten auch Schutzmaßnahmen ten können mit der Zeit ausgebaut wer-
gegen das nicht sichere Kopieren von In- den. So kann zum Beispiel zunächst eine
formationen auf abnehmbare Medien er- Warnung erfolgen, bevor drakonische ����������������������������� Seite 82
greifen (USB-Sticks, CDs etc.). Für viele Ge- Maßnahmen ergriffen und die Inhalte ge-
räte sind auch Maßnahmen zum Schutz stoppt und geblockt werden. ������������������������ Seite 95
vor Datenverlust zu ergreifen, wenn die
Daten sich außerhalb des Unterneh- Schritt 7: Eine DLP-Policy braucht kon- ���������������� Seite 98
mensnetzwerks befinden und Mitarbei- stante Anpassung, da sich ständig die
ter beispielsweise von zu Hause oder vom Gesetzgebung, Geschäftsprozesse, In-
Café aus arbeiten. formationen, Speichergeräte bis hin zur
Belegschaft ändern. Die DLP-Policy muss
Schritt 5: Sind diese Schritte erfolgt, kann diese Veränderungen abbilden, um den
eine einheitliche Policy über Netzwerk, Geschäftsbetrieb zu unterstützt und das
Endpoints, E-Mail und Web hinweg auf- bedeutet regelmäßige Überprüfung und
Berater/Dienstleister:
gesetzt werden. Dabei besteht die Ge- Aktualisierung. Sowohl die IT-Mitarbeiter
fahr des Datenverlusts, wenn man nur als auch die Mitarbeiter im Unternehmen
die E-Mails absichert, aber trotzdem den sollten hierbei eingebunden werden. ��������������������� Seite 64
Zugang zum Internet erlaubt. Ebenso
besteht ein Risiko für Daten, wenn Infor- Schritt 8: Ein Datenverlust ist sehr wahr- ����������������������������������� Seite 73
mationen zwar im Netzwerk als „streng scheinlich und für einige Industrieberei-
geheim“, auf dem Endpunkt jedoch nur che gilt eine Selbstoffenlegungspflicht.
������������������������� Seite 80
als „zur Information“ eingestuft werden. Deshalb ist ein Prozess extrem wichtig,
Auch wenn man erst einmal klein anfan- und zum anderen spart ein solcher Pro-
gen will, erscheint diese Aufgabe immens zess im Fall des Falles Zeit, Aufwand und
��������������������� Seite 81
umfangreich. Durch Priorisierung der In- Verwirrung. Klären Sie, was zu tun ist,
formationen, Speicherorte, Mitarbeiter wenn ein Verstoß geschieht und Informa-
und Kommunikationskanäle lässt sich tionen verloren gehen. Die Planung eines
der Umfang eingrenzen. Auch wenn vie- solchen Szenarios hilft beim Aufbau ei-
le Organisationen unterschiedlich sind, nes entsprechenden Prozesses, und auch
legen die meisten die erste Priorität auf wenn man sich in den Medien ansieht,
das Thema E-Mail und konzentrieren sich welche anderen Maßnahmen ergriffen
dabei zu Anfang auf Informationen, die werden, erhält man wertvollen Input. Die
bei einem Problem zu rechtlichen Konse- Möglichkeit, dies in einem theoretischen
quenzen führen können, wie zum Beispiel Szenario durchzuspielen, erlaubt eine ru-
Kreditkartendetails. E-Mails lassen sich hige und logische Planung, anstatt unter
am einfachsten mittels einer Netzwerk- Druck wie im Ernstfall – was durchaus zu
DLP-Lösung absichern. Der Vorteil netz- schlechten Entscheidungen bei den erfor-
werkbasierter Lösungen liegt darin, dass derlichen Maßnahmen führen kann. Der
alle Geräte abgesichert werden, die ans Schlüssel liegt darin, ein Team mit klar de-
Netzwerk angebunden werden, und so- finierten Verantwortlichkeiten zu haben,
mit kein separater Agent auf allen End- insbesondere beim Umgang mit Medien
points erforderlich ist. Somit ergibt sich und Kunden. Somit wird das wohl eher
hier der logische Anfangspunkt. Ist der der CEO oder der Geschäftsführer sein als
Bereich E-Mail erfolgreich abgesichert, er- irgendjemand aus dem Marketing. ◀
folgt die Absicherung des Netzwerks und
zu guter Letzt der Endpoints. Auf jeder
Stufe können hierbei die Policies überar-
beitet und verfeinert werden.
19Sie können auch lesen
