Entwicklungen und aktuelle Trends in der IT-Sicherheit
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
HZ200016 ISSN: 1868-5757 49187 Fachmagazin für Informationssicherheit und Datenschutz 5|2019 Im Interview: Mario Emig, Controlware Entwicklungen und aktuelle Trends in der IT-Sicherheit Bürger-ID: Das Smartphone als Ausweis Technischer Brandschutz: Basiskonzepte Messe: it-sa in Nürnberg öffnet ihre Pforten www.itsicherheit-online.com
EDITORIAL
Das Smartphone als Ausweis:
Bürger-ID
In einer immer weiter digitalisierten Welt laufen viele Prozes ihren Karren spannt. In der Tat
se, die heute noch persönliche Präsenz oder/und Anträge auf spricht einiges dafür. Die in den
Papier erfordern, schlicht über das Netz. So könnten beispiels smarten Begleitern verbaute
weise Kommunen, Länder und Unternehmen ihren Bürgern Technik reicht vom eingebauten
beziehungsweise Kunden neue EGovernment und Smart Hardware Keystore über bio
Stefan Mutschler
CityAnwendungen zugänglich machen. Laut einer Studie des metrische Sensoren (Fingerab
FraunhoferInstituts bieten aber insbesondere Kommunen in druck, Gesichtserkennung, Iris
Deutschland viel zu wenig OnlineVerfahren an. „Das Fehlen von Scanner und mehr) bis hin zum
entsprechenden Angeboten führt dazu, dass diese kaum be MultitouchBildschirm zur visu
kannt sind und selten genutzt werden“, schreibt Prof. Norbert ellen Datenkontrolle. Auf der
Pohlmann, Informatikprofessor für Informationssicherheit und vergangenen European Identity
Leiter des Instituts für InternetSicherheit – if(is) an der Westfä & Cloud Conference (EIC) in München etwa hat Belgian Mobile
lischen Hochschule in Gelsenkirchen, in seinem Beitrag „Smart ID mit ihrer „itsme“App für einiges Aufsehen gesorgt. Die damit
phone BürgerID“ in dieser Ausgabe. „Dabei könnte über ein realisierbare digitale Identität sei bereits von 13 Regierungen in
Drittel der Kosten für die Verwaltung in Deutschland eingespart Europa akzeptiert.
werden.“
Auch in Deutschland laufen ähnliche Entwicklungen auf Hoch
Die lahmende Digitalisierung führt in vielen Bereichen zu einer touren. Die Smartphone BürgerID ist ein Kooperationsprojekt
massiven Verschwendung von Zeit und Ressourcen. Allerdings zwischen dem Institut für InternetSicherheit der Westfälischen
ist die Skepsis gegenüber digitalen Diensten von Seiten der Hochschule, XignSys, der Stadt Gelsenkirchen und der Stadt
Anbieter ebenso wie der der Nutzer nicht ganz unbegründet. Aachen. Prof. Pohlmann bindet die Vorstellung dieses Projekts
Die bange Frage lautet immer: Liegt das Sicherheitsniveau auf im erwähnten Beitrag in übergeordnete Betrachtungen zu Pass
einem dem Service angemessenen Niveau? Wenn die Bestel wortSicherheit und andere Mechanismen, wie Zwei und Mehr
lung bei einem OnlineHandel gefakt wird, ist das sehr ärgerlich. FaktorAuthentifizierung, ein.
Wenn aber Kriminelle einen digitalen Ausweis stehlen, können
die Folgen für Betroffene katastrophal sein. Speziell im Bereich Viel Spaß beim Lesen!
der EGovernmentAngebote sind höchste Sicherheitsstandards
absolute Pflicht. Ihr Stefan Mutschler
Chefredakteur
Das gilt an erster Stelle für eine fälschungssichere „digitale Iden
tität“, die als Basis für sichere Authentifizierungsprozesse un
erlässlich ist. Es scheint sich ein Trend abzuzeichnen, der den
„Alleskönner” Smartphone auch in dieser Angelegenheit vor
www.itsicherheitonline.com/newsletter facebook.com/itsicherheit twitter.com/it_sicherheit24 ITSICHERHEIT
IT-SICHERHEIT [5/2019] 3
43. DS-GVO: Aktuelle Herausforderungen
bis zur Künstlichen Intelligenz (KI)
20.–22.11.2019
Köln, Maternushaus
Mit dem
38. -FORUM 2. SOLUTIONS-FORUM
für Datenschutz und IT-Sicherheit
Jetzt informieren und anmelden unter dafta.de
DATAKONTEXT GmbH · Postfach 41 28 · 50217 Frechen · Tel.: +49 22 34/989 49 - 40 · Fax: +49 22 34/989 49 - 44
Internet: datakontext.com · E-Mail: tagungen@datakontext.com
Mit freundlicher Unterstützung von
audatis MANAGER
Datenschutzmanagement einfach online
INHALT
20 38 46 68
Im Interview: Einsatz für
Mario Emig, Controlware Kollege Roboter Tatort Rechenzentrum Smartphone Bürger-ID
Editorial Endpoint/Mobile Security
3 Das Smartphone als Ausweis: Bürger-ID 62 Anatomie einer App-Schwachstelle und Lehren für
Entwickler – Manipulierbare WhatsApp- und
News – Unternehmen Telegram-Mediendateien
6 Aktuelle Meldungen 66 Admin-Rechteverwaltung als Grundpfeiler der
Bekämpfung von Einbruchsfolgen –
Produktnews IT-Security endet nicht an der Firewall
10 Neuheiten auf dem Markt
Cloud-/Web App Security
Aus der Szene 68 Die Zukunft IT-Infrastruktur für New Work verschmilzt
14 It-sa profitiert von Digitalisierungsrisiken – Security first zum Cloud Area Network – Security trifft WAN
16 Hat der Airbag in der IT-Sicherheit ausgedient? –
Zur Halbwertszeit von Sicherheitslösungen Datenschutz/Back-up/Archivierung
72 DS-GVO-konforme Videoüberwachung –
Titel Sicherheit der Sicherheit
20 Im Interview: Mario Emig, Controlware –
Security Day: Spiegel des Wandels in der IT-Sicherheit Aus Forschung und Technik
74 IT-Sicherheit als Wegbereiter für die Digitalisierung –
Security Management Smartphone Bürger-ID
26 SIEM wird zunehmend Teil der Security-Strategie –
Gesamtsicht in Sachen IT-Sicherheit IT-Recht & Rechtsprechung
30 Konzept zur Krisenbewältigung – Was für ein Desaster! 84 Fallbeispiel zum IT-Recht:
34 Unternehmen profitieren umfassend von einem betriebs- Das Behördenverfahren der DS-GVO
internen Krisenmanagement – Es geht ums Überleben 86 Urteilsbesprechung
88 EuGH-Urteil zur digitalen Arbeitszeiterfassung –
Internet der Dinge Korrekt „Maßnehmen“
38 Wie RPA und KI Geschäftsprozesse im Gesundheitswesen
beeinflussen können – Einsatz für Kollege Roboter Services
40 Wie das IoT in der Industrie Wirklichkeit wird – 82 Buchvorstellung
Erfolgreich zur Smart Factory 83 Webportal
90 Impressum
Cybersicherheit
44 Aus dem Schatzkästchen eines Pentesters – Vorschau
Strategien zum Schutz gegen das Passwort-Hacking 90 Ausblick auf die Ausgabe 6/2019
48 Sicheres Navigieren von digitalen Risiken –
Terra Incognita 2.0
Physische Sicherheit
54 Hohe Gefährdungslage erfordert umfassende
Maßnahmen für Cyber Security – Tatort Rechenzentrum
58 Aktuelle Basics im technischen Brandschutz –
Ein ungeliebtes Must-have im Rechenzentrum
IT-SICHERHEIT [5/2019] 5
NEWS – UNTERNEHMEN
CITRIX ERHÄLT BESTÄTIGUNG FÜR UNI- mit niedriger Latenzzeit spezialisiert. Laut Gartner sind
FIED ENDPOINT MANAGEMENT „DDoS-Angriffe, betrügerische Käufe, Web Scraping so-
wie Schwachstellen-Scans und -Angriffe die Hauptarten
Der aktuelle Marktforschungsbericht des US-Analysten- von Bot-Angriffen“. Solch schadhafte Bots entwickeln
hauses Gartner („Gartner Magic Quadrant for Unified sich ständig weiter, so dass sie menschliches Verhalten
Endpoint Management (UEM) Tools“ von August 2019) immer genauer nachahmen können. Abwehrstrategien
stuft Citrix als Marktführer für einheitliches Endgeräte- zur Bot-Erkennung und -Minderung werden daher im-
Management ein. „Wir bei Citrix möchten unseren Kun- mer wichtiger. Low-and-Slow-Bots, die Daten langsam
den Lösungen anbieten, mit denen sie die Geräte ihrer anfordern, und wechselnde IP-Adressen erfordern spezi-
Mitarbeiter einfach und effizient verwalten können, so- elle Fingerprinting-Techniken zur Erkennung. InfiSecures
dass Arbeitnehmer ihrerseits möglichst produktiv sind“, Technologie liefert zusammen mit den vielfältigen Lö-
sagt Calvin Hsu, Vice President Product Marketing bei sungen aus Barracudas Infrastruktur weltweiter Bedro-
Citrix. Mit Citrix Endpoint Management, einem Teil der hungserkennung der Barracuda WAF ab sofort einen
Digital-Workspace-Angebote von Citrix, schaffen Unter- erweiterten Funktionsumfang zur Bekämpfung und Ab-
nehmen einen personalisierten Zugang zu Anwendun- wehr solcher Angriffe.
gen und Informationen, die Mitarbeiter brauchen, um
möglichst produktiv zu sein. Weitere Hauptmerkmale,
die zur positiven Bewertung bei Gartner maßgeblich MCAFEE KAUFT CLOUD-SICHERHEITS-
beigetragen haben, sind eine zentrale Management- PLATTFORM NANOSEC
Oberfläche und dynamische Sicherheits-Policies, basie-
rend auf dem Nutzerverhalten. Das Sicherheitsunternehmen McAfee hat die Übernah-
me der cloudbasierten Sicherheitsplattform NanoSec
bekanntgegeben. Durch die Übernahme von NanoSec
BARRACUDA ERWIRBT INDISCHES will McAfee sein Cloud-Sicherheitsproduktportfolio
START-UP INFISECURE TECHNOLOGIES „MVISION“ stärken. So werden NanoSecs Ressourcen
in Form von Containern und Kubernetes in „MVISION
Barracuda hat das indische Start-up InfiSecure Techno- Cloud“ und „MVISION Server Protection“ integriert. Da-
logies erworben. Damit stattet der Sicherheitsspezia- mit sollen Governance, Compliance und Sicherheit in
list seinen erst kürzlich vorgestellten Service Advanced hybriden Multi-Cloud-Umgebungen optimiert werden.
Bot Protection für die Barracuda WAFaaS-Plattformen McAfee verfolgt durch die Übernahme von NanoSec
sowie die Web Application Firewall mit erweiterten den DevSecOps-Ansatz, wonach Sicherheit im Entwick-
Funktionen aus. InfiSecure Technologies hat sich auf lungsprozess von Anwendungen integriert wird, um po-
die Erkennung und Minimierung fortschrittlicher Bots tenzielle Schwachstellen bereits vor dem Einsatz der
Rittal Lösungen für die Technologie der Zukunft.
Mit Edge Computing verarbeiten Sie große Datenmengen
am Ort der Entstehung. Sicher und in Echtzeit. Wie Sie
Ihre IT-Infrastruktur flexibel, wirtschaftlich und international Besuchen Sie uns:
auf die neuen Herausforderungen vorbereiten, entdecken it-sa in Nürnberg
Sie bei Rittal: www.rittal.com/it-solutions. Halle 9, Stand 9-411
NEWS – UNTERNEHMEN
Anwendung identifizieren und beheben zu können. So über eine eigens zu diesem Zweck
kommentiert Rajiv Gupta, General Manager der Cloud entwickelte Schnittstelle.
Security Business Unit bei McAfee: „Die Technologie
von NanoSec ist eine Erweiterung der McAfee MVISION „Auch heute noch ist vielen Un-
Cloud, die unsere CASB- und CWPP-Produkte verbes- ternehmern und Geschäftsführern
sert und DevSecOps-Prozesse zur Optimierung von nicht bewusst, dass die Einhaltung
Governance und Sicherheit umsetzt.“ von relevanten rechtlichen Vorga-
„Auch heute noch ist
ben ohne Nutzung einer Software
vielen Unternehmern
für E-Mail-Archivierung faktisch und Geschäftsführern
NEUER DATEV-SOFTWARE-PARTNER kaum möglich ist,“ so Norbert Neu- nicht bewusst, dass
FÜR DIE RECHTSSICHERE E-MAIL- deck, Director of Sales bei MailSto- die Einhaltung von
relevanten rechtlichen
ARCHIVIERUNG re. „Wir freuen uns im Rahmen un-
Vorgaben ohne Nut-
serer Partnerschaft mit DATEV eine zung einer Software
MailStore Software ist neuer DATEV-Software-Partner sehr datenschutzaffine Zielgruppe für E-Mail-Archivierung
für die E-Mail-Archivierung. DATEV selbst will sich zu- für das Thema weiter sensibilisie- faktisch kaum mög-
lich ist,“ so Norbert
künftig auf die Komplettierung der digitalen Mandante- ren zu können und ihr gleichzeitig
Neudeck, Director of
nakte im eigenen Dokumentenmanagementsystem kon- eine Lösung für die rechtssichere Sales bei MailStore.
zentrieren. Der Nürnberger Anbieter von Software und E-Mail-Archivierung anzubieten.“ (Foto: MailStore)
IT-Dienstleistungen für Steuerberater, Wirtschaftsprü-
fer, Rechtsanwälte und Unternehmen empfiehlt seinen
Kunden für die E-Mail-Archivierung die Lösung MailS-
tore Server. Mithilfe der in Deutschland entwickelten NTT SECURITY UNTERSTÜTZT
und seit mehr als zehn Jahren markterprobten E-Mail- EUROPOL BEI DER BEKÄMPFUNG VON
Archivierungssoftware können DATEV-Kunden die Ein- CYBERKRIMINALITÄT
haltung rechtlicher Vorgaben bei der Archivierung ein-
und ausgehender E-Mails sicherstellen. Die Software der NTT Security (Germany) hat mit dem Europäischen
Viersener Entwickler ist bereits im DATEV-Marktplatz Zentrum zur Bekämpfung der Cyberkriminalität (Eu-
als Empfehlung für rechtssichere E-Mail-Archivierung ropean Cybercrime Centre, kurz EC3), das bei Euro-
gelistet. Da bereits viele DATEV-System-Partner auch pol in Den Haag angesiedelt ist, eine Absichtserklärung
mit MailStore zusammenarbeiten, ist der Einsatz der (Memorandum of Understanding) unterzeichnet. Die
im Markt führenden und systemoffenen Software mit Vereinbarung sieht vor, strategische Erkenntnisse über
einfachen Mitteln umzusetzen. Die Migration der Be- Bedrohungen zu teilen, um Cybekriminalität weltweit
standskunden der DATEV E-Mail-Archivierung erfolgt besser verhindern zu können. Das Memorandum of Un-
Discover the Edge.
NEWS – UNTERNEHMEN
derstanding (MoU) zwischen Europol und NTT Securi- Profile auf den Endgeräten der Nutzer auskommt, sowie
ty definiert ein Framework für den Austausch strategi- die Tatsache, dass sich alle im Unternehmen genutzten
scher Bedrohungsdaten sowie von Informationen über Cloudanwendung absichern lassen …“
Trends rund um Cybersicherheit und Best Practices der
Branche. Im Rahmen der Vereinbarung wird NTT Se-
curity das European Cybercrime Centre bei deren Ar-
beit mit den Strafverfolgungsbehörden in den Mitglied-
staaten unterstützen und dafür unter anderem Daten SOPHOS SCHLIESST PARTNERSCHAFT MIT
und Informationen für die jährliche Bewertung der Be- SPEZIALDISTRIBUTOR ACMEO
drohungslage durch die organisierte Internetkriminali-
tät (Internet Organised Crime Threat Assessment, kurz Sophos zollt dem enormen Wachstum im Bereich Ma-
IOCTA) liefern. Der IOCTA ist der wichtigste strategi- naged Services Rechnung und hat mit acmeo einen auf
sche Bericht von Europol über neue Bedrohungen und MSPs fokussierten Spezialdistributor für den deutschen
Entwicklungen in der Cyberkriminalität sowie die dar- Markt an Bord geholt. Damit will das Unternehmen sein
aus resultierenden Empfehlungen an Strafverfolgungs- Wachstum in diesem Bereich weiter beschleunigen und
behörden, politische Entscheidungsträger und Regulie- seinen Partnern die optimalen Voraussetzungen liefern,
rungsbehörden, damit diese wirksam und aufeinander um ihr MSP-Geschäft auszubauen oder auch komplett
abgestimmt reagieren können. neu in das zukunftsträchtige Geschäftsmodell einzu-
steigen. „Durch die Partnerschaft mit acmeo können
wir einen echten Mehrwert für unsere Partner schaffen.
Als VAD für Managed Services ist das Unternehmen die
EXCLUSIVE NETWORKS SCHLIESST perfekte Ergänzung zum MSP-Team von Sophos und
VERTRAG MIT BITGLASS hilft effektiv dabei, den Transformationsprozess erfolg-
reich zu absolvieren“, so Michael Gutsch, Head of MSP
Die Nutzung der Cloud ist heu- CEEMEA bei Sophos. „Mit Sophos als neuem Partner er-
te für den Großteil der Firmen gänzen wir unser Security-Portfolio und bieten unseren
selbstverständlich. Allerdings Partnern die relevanten Komponenten eines Managed-
klaffen noch erhebliche Lü- Security-Konzepts. Wir freuen uns sehr, dass wir einen
cken bei der Absicherung der solch starken Hersteller gewinnen konnten, der mit sei-
genutzten Cloud-Dienste. Mit nen zukunftsweisenden Technologien seit über 30 Jah-
seiner agentenlosen Technolo- ren am Markt agiert ...“, so Stefan Steuer, Business De-
gie bietet Bitglass Schutz vor velopment bei acmeo. Die umfängliche Plattform von
Zero-Day-Lücken und ande- acmeo für Managed Services mit vorgefertigten Ab-
ren Bedrohungen und ermög- rechnungs-, Ticket-Management- und -Monitoring-Sys-
licht umfassenden Datenschutz temen bietet Partnern von Sophos die Möglichkeit, in
für jede Anwendung und jedes das neue Geschäftsfeld ein- beziehungsweise mit be-
Endgerät. Deshalb hat der Va- stehenden Services weiter aufzusteigen – effiziente Ser-
lue Added Distributor Exclusi- vice Enablement Beratung inklusive.
ve Networks sein Portfolio um
diesen Hersteller erweitert. Die „Bitglass ergänzt unser
Lösungen des Cloud Access lösungsorientiertes Port-
Security Brokers (CASB) sind folio perfekt und bedient
damit auch für Exclusive-Net- zielgenau einen wach-
works-Kunden im gesamten senden Bedarf bei den
Unternehmen“, erklärt
deutschsprachigen Raum ver-
Florian Zink, Geschäfts-
fügbar. „Da die Cloud-Nutzung führer Deutschland und
inzwischen auch in Deutsch- Managing Director DACH
land rasch zunimmt und Mitar- bei Exclusive Networks
beiter Daten und Dienste immer (Foto: Exclusive Networks)
öfter orts- und geräteunabhän-
gig nutzen wollen, müssen sich auch die Strategien zur
Absicherung der wertvollen Firmendaten und zur Ge-
währleistung des Datenschutzes anpassen. Hier ergänzt
Bitglass unser lösungsorientiertes Portfolio perfekt und
bedient zielgenau einen wachsenden Bedarf bei den
Henning Meyer (links), acmeo, und Michael Gutsch (rechts), Sophos
Unternehmen“, erklärt Florian Zink, Geschäftsführer
Technology. (Foto: Sophos)
Deutschland und Managing Director DACH bei Exclu-
sive Networks. „Besonders hervorzuheben ist dabei die
agentenlose Technologie von Bitglass, die ohne invasive
8 IT-SICHERHEIT [5/2019]
ADVERTORIAL
IT-Sicherheit:
Neue Regularien gegen Cyber-Crime
IT-Sicherheitsbeauftragte werden für Herausforderungen geschult
Die Anforderungen an die IT-Sicherheit in Behörden, Unternehmen und seither stetig weiterentwickelt hat, wird derzeit das IT-Sicherheitsgesetz
in der Industrie wandeln sich stetig. Regelmäßig müssen die Verantwort- 2.0 (IT-SIG 2.0) erarbeitet. Ein Referentenentwurf liegt bereits vor. Neben
lichen auf neue Gefahrenszenarien reagieren, um dem durchgängig hohen zahlreichen neuen Befugnissen und Berechtigungen für die betroffenen
Druck der Cyberkriminalität standzuhalten. Behörden und Gesetzgeber Behörden, könnte das neue Gesetz auch unmittelbare Auswirkungen
reagieren mit neuen Regularien auf diese veränderten Ausgangslagen. auf die IT-Sicherheitsinfrastruktur in zahlreichen Unternehmen haben.
In der Folge sollten sich die Mitarbeiterinnen und Mitarbeiter in der
IT-Sicherheit auch mit diesen neuen Gegebenheiten vertraut machen. Bereits heute zählen zahlreiche Unternehmen zu den Betreibern kritischer
Infrastrukturen. Sie sind verpflichtet, besondere Regularien einzuhalten. Im
Der neue BSI IT Grundschutz Zuge der Absenkung der Schwellenwerte dürfte der Anwendungsbereich
Der IT-Grundschutz des Bundesamts für Sicherheit in der Informations- der kritischen Infrastrukturen um einige Branchen und Unternehmen
technologie (BSI) bildet in vielen Betrieben und Unternehmen die erweitert werden. Zählten bisher Unternehmen aus Bereichen wie
Basis für ein erfolgreiches Sicherheitsmanagement. Damit die BSI- Ernährung, Energie, Finanzwesen oder Gesundheitssektor zu den KRITIS-
Standards auch weiterhin zuverlässig zur Identifikation notwendiger Betreibern, könnten nach dem IT-SIG 2.0 auch sogenannte Unternehmen
Sicherheitsmaßnahmen dienen, werden sie regelmäßig an die vor- von besonderer wirtschaftlicher Bedeutung unter diese Kategorie fallen.
herrschenden Gegebenheiten und Gefahrensituationen angepasst. Dies kann unter Umständen auch für deren Zulieferer gelten und damit
Gleichzeitig greift das BSI auch steuernd in die Weiterbildung von ganze Versorgungsketten betreffen.
IT-Sicherheitsexperten ein.
Auch wenn bisher nur ein Referentenentwurf kursiert, scheint es ratsam,
Bereits seit Mitte 2019 gelten die neuen Vorgaben für Basis- und dass die betroffenen Unternehmen und ihre Verantwortlichen bereits
Aufbauschulungen des Bundesamts für Sicherheit in der Informations- jetzt beginnen, die nötigen personellen Ressourcen einzuplanen. Durch
technologie. Die neuen Vorgaben sorgen dafür, dass sich das Curriculum Aus- und Weiterbildung können Teammitglieder schnell und effizient
und die Qualifizierungsanforderungen der Schulungen noch stärker an in die Lage versetzt werden, die neu geltenden Regularien, Vorschriften
den aktuellen Gefahrenszenarien orientieren. Darüber hinaus soll eine und Verordnungen gesetzeskonform und dabei möglichst reibungslos
gleichbleibend hohe und zugleich einheitliche Qualität in der beruflichen im eigenen Unternehmen umzusetzen.
Weiterbildung zum IT-Grundschutz sichergestellt werden.
Dem Fachkräftemangel entgegenwirken
Auf der Grundlage dieser BSI-Standards entstehen auch neue Die aktuellen Anpassungen in den Standards und Vorschriften rund
Schulungen – etwa der BSI IT Grundschutz-Praktiker. Im Rahmen dieser um die IT-Sicherheit sorgen auch dafür, dass die Verantwortlichen für
Weiterbildung werden die Teilnehmenden umfassend auf ihre Rolle als Cyber Security ihre abgesteckten Aufgabenbereiche und eingeplanten
IT-Sicherheitsexperten in ihren jeweiligen Unternehmen vorbereitet. Ressourcen an die neuen Gegebenheiten anpassen müssen. In der
Auch kürzlich besuchte Ausbildungen behalten ihren Wert. So können aktuellen wirtschaftlichen Lage ist es jedoch häufig schwierig, die
Absolventen von BSI IT Grundschutz-Schulungen innerhalb eines dringend benötigten Experten durch klassisches Recruiting zu gewinnen.
festgelegten Zeitraums eine zusätzliche Prüfung zur Erlangung der neuen Naheliegender scheint da die Qualifikation erfahrener Kolleginnen und
Zertifikate ablegen. Kollegen aus dem eigenen Unternehmen. Die Bitkom Akademie bietet
ein breit gefächertes Seminarangebot rund um die IT-Sicherheit. Das
Doch nicht nur das Bundesamt für Sicherheit in der Informationstechno- Programm reicht von Grundlagen-Seminaren für Einsteiger bis hin zu
logie passt die Vorgaben rund um Cyber Security an. Auch der Gesetzgeber spezialisierten Ausbildungen für erfahrene IT-Sicherheitsexperten. Darüber
wird aktiv. hinaus finden auch regelmäßig kostenfreie Live-Online-Schulungen zur
Vermittlung des Basiswissens statt. n
IT-Sicherheitsgesetz 2.0 sorgt für mehr KRITIS-Betreiber
Um Cyberangriffen wirksam entgegenzutreten, beschloss die Bundes-
regierung 2015 das IT-Sicherheitsgesetz. Da sich die Gefährdungslage
Das gesamte Seminarprogramm der Bitkom Akademie
zur IT-Sicherheit finden Sie unter:
www.bitkom-akademie.de/bildungsjourney/it-sicherheit
PRODUKT NEWS
SCHUTZ VOR DATENDIEBSTAHL BEI DER von Versicherungen, von Privatpersonen oder professio-
KÜNDIGUNG VON MITARBEITERN nellen Nutzern, etwa in Behörden, Banken, Versicherun-
gen oder Krankenkassen, mit einem hohen Maß an Da-
Genauso wie es einen geordneten Onboarding-Prozess tensicherheit, Authentizität und Vertraulichkeit getätigt
gibt, ist auch das Offboarding in den meisten Unterneh- werden. Kobil bietet die drei neuen Modelle ab Oktober
men klar strukturiert. Scheidende Angestellte wissen, über die Banken weltweit an.
wann und wo sie Laptop, Handys oder Mitarbeiteraus-
weise abgeben und welche Papiere sie unterzeichnen
müssen. Doch oft wird nicht sichergestellt, welche Da-
ten sie digital kopieren oder gar ganz löschen, um der PLATTFORM ZUR DATENKLASSIFIZIERUNG
alten Firma zu schaden oder im zukünftigen Job davon
zu profitieren. Ein klares Sicherheitsrisiko, denn laut ak- Netwrix kündigte die neueste Ergänzung seines Pro-
tuellen Studien geben etwa 60 Prozent der Arbeitneh- duktportfolios an: die Netwrix Datenklassifizierung. Mit
mer an, nach einer Kündigung Kundenlisten, Quellcodes dieser Plattform, die auf der Technologie von Concept
oder Produktpläne mitzunehmen. Daten, die in den fal- Searching, dem Neuerwerb von Netwrix, aufbaut, kön-
schen Händen Unternehmen geschäftskritisch gefähr- nen Unternehmen sicherstellen, dass ihre Daten für das
den könnten. Um diese Sicherheitslücke zu schließen, Unternehmen von Nutzen sind und effektiv verarbei-
hilft jetzt Code42. tet werden, da sie automatisch ermittelt, kategorisiert
und mit Metadaten gekennzeichnet werden. „Mit dieser
So integriert Code42 neue Warnfunktionen in seine Mehrwertlösung können un-
Next-Gen Data-Loss-Protection-Lösung, um Unterneh- sere Kunden ihre Geschäfts-
men effizienter beim Datenschutz – im Fall einer Kündi- entwicklungsaktivitäten ver-
gung – zu unterstützen. Darüber hinaus ist die Lösung bessern und den Wert ihrer
ab sofort auch als integriertes Angebot für IBM Resilient Unternehmensdaten steigern“,
erhältlich, eine Plattform zur Organisation und Automa- so Martin Garland, Präsident
tisierung von Incident-Response-Prozessen. Die Code42 der Business Unit Concept Se-
for Resilient App steht Security-Experten über IBM Se- arching bei Netwrix. „Komple-
curity App Exchange zur Verfügung und ermöglicht es, xe Data-Governance-Prozesse
bestehende automatisierte Reaktionen auf Sicherheits- werden automatisiert und Si-
risiken einzubinden und so Insider Threats frühzeitig zu cherheitsmaßnahmen priori-
erkennen und zu beheben. siert. Darüber hinaus können
Datenschutz- und Compli- Martin Garland, Präsident
ance-Anforderungen bei ge- der Business Unit Concept
ringeren Kosten problemlos Searching bei Netwrix.
SECURITY HARDWARE FÜR SENSIBLE erfüllt werden.“ (Foto: Netwrix)
ONLINE-TRANSAKTIONEN
Kobil Systems bringt mit der sign-Reihe eine mobile
Plattform für sichere Online-Transaktionen auf den Markt. KÜNSTLICHE INTELLIGENZ
Nutzer der digitalen Hardwarelösung, die zunächst in
drei Modellversionen verfügbar ist, können unabhängig
ZUR AUSWEIS-ÜBERPRÜFUNG
von Smartphone, Desktop, Betriebssystem oder Vernet-
zung über einen gesicherten Internet-Zugang Transakti- Online ein Konto eröffnen oder einen Telefonvertrag ab-
onen aller Art tätigen und bequem mit einem Klick be- schließen? Für viele Menschen ist das Alltag. Die Anbie-
stätigen. Auch eigene, sensible Applikationen können ter hinter diesen Services sind jedoch verpflichtet, je-
in das System integriert den einzelnen Nutzer eindeutig zu identifizieren. Da sich
werden. Ein unabhängi- traditionelle, aufwendige Verfahren, wie Video- oder
ger Sicherheitskanal so- Post-Ident, als nutzerunfreundlich und unzuverlässig
wie ein vertrauenswür- herausgestellt haben, setzen Unternehmen im digitalen
diger Server schützen Zeitalter zunehmend auf High-Tech. Mit der Kamera im
die gesamte Kommuni- Smartphone oder Tablet wird der Ausweis des Kunden
kationsumgebung. So
gescannt und auf Echtheit geprüft. Eines der größten
können mit den sign-
Probleme dieses Verfahrens löst jenID mit seiner neus-
Geräten alle Online-Ak-
tivitäten, insbesondere ten Technologie: den Schutz vor Identitätsbetrug.
Die handliche Security-Hardware hat
aber signierte Transak- zur Bestätigung von Transaktionen
tionen, wie Überwei- Genuine-ID ist eine Online-Lösung zur Überprüfung von
nur zwei Tasten (rot und grün) und
sungen, Reisebuchun- den Touchscreen zur Bedienung. Ausweisdokumenten. Sie basiert auf hochauflösenden
gen oder der Abschluss (Quelle: Kobil) Kameraaufnahmen, den Materialeigenschaften von Aus-
10 IT-SICHERHEIT [5/2019]PRODUKT NEWS
weisdokumenten sowie dem Einsatz künstlicher Intelli- sich eine automatische Synchronisierung einrichten
genz. Nimmt der Smartphone-Nutzer ein Foto von einem lässt. Die Lösung eignet sich dadurch insbesondere
Dokument auf, soll jenID in der Lage sein, die Aufnah- auch für Anwender, Unternehmen und Organisationen,
me bis in die kleinsten sichtbaren Teile des Bildes, den die den Schutz ihrer Daten bei der Nutzung von Cloud-
Sub-Pixel-Bereich, zu analysieren. Die Software erfasst Speichern oder Netzwerklaufwerken erhöhen möchten.
dabei optische Besonderheiten ebenso wie die Materi- Ein weiteres Einsatzszenario ist – neben der lokalen Ver-
aleigenschaften des Papiers. Diese werden zusammen- schlüsselung von Dateien und Ordnern – beispielswei-
gefasst an die Server von jenID übermittelt. Dort stellt se die Absicherung von virtuellen Desktops in VDI-In-
ein mit Originalvorlagen trainiertes Programm fest, ob frastrukturen. SafeCrypt kann zudem als Alternative für
die Eigenschaften mit denen eines echten Dokuments verschlüsselte externe Speichermedien in Unternehmen
übereinstimmen. eingesetzt werden, in denen der Anschluss solcher Ge-
räte durch entsprechende Sicherheitsrichtlinien unter-
sagt ist.
BACKDOORFREIE ENDPOINT-PROTEC-
TION-LÖSUNG „MADE IN GERMANY“
Endgeräte zählen zu den wichtigsten Einfallstoren für
Angriffe auf IT-Infrastrukturen. Dennoch sind sie häu-
fig nicht ausreichend abgesichert. Stattdessen weisen
viele entsprechende Sicherheitslösungen nach wie vor
versteckte Hintertüren auf. Seit der ersten September-
woche ist nun die neue modulare TUX-Endpoint-Pro-
tection des deutschen Cyber-Security-Anbieters Tux-
guard verfügbar. Die Technologie setzt auf künstliche
Intelligenz sowie Machine Learning und eignet sich für
Die kostenlos verfügbare App zur ID-Verifizierung, „Genuine-ID jede Unternehmensgröße. Auch das Tuxguard Manage-
Document Check“ ist im Google Play Store ebenso wie in Apples ment Center (TGMC) mit Touch-Funktion verfügt mit
App Store verfügbar. (Foto: jenID) dem aktuellen Release über ein neues Look and Feel,
um Systemadministratoren noch besser bei ihrer Arbeit
zu unterstützen. Kunden, die bereits die TUX-Firewall im
Einsatz haben, können jetzt alle Sicherheitskomponen-
SICHERE DATENVERSCHLÜSSELUNG FÜR ten des Herstellers in einer zentralen Managementkon-
JEDEN SPEICHERORT sole verwalten. „Unternehmen sind durch Meldungen
hinsichtlich Backdoors in verschiedenen Softwarepro-
DataLocker präsentiert im Zuge eines Relaunches die dukten noch immer sehr verunsichert“, sagt Uwe Han-
neue, nun zentral gemanagte Version der Datenver- reich, Geschäftsführer von Tuxguard. „Deshalb stehen
schlüsselungslösung SafeCrypt (vormals SkyCrypt). wir ihnen mit unseren in Deutschland entwickelten Tech-
SafeCrypt kann zur sicheren Verschlüsselung von Da- nologien zur Seite, auf die sie zu 100 Prozent vertrauen
ten unabhängig vom jeweiligen Speicherort genutzt können.“
werden. Als virtuelles
Laufwerk verschlüs-
selt SafeCrypt Daten
direkt auf dem lokalen FORENSIK-TOOL LIEST SICHERE INSTANT
Rechner des Nutzers. MESSAGING-APP „SIGNAL“ AUS
Zum Einsatz kommt
dabei eine 256-Bit- ElcomSoft aktualisiert Elcomsoft Phone Viewer (EPV),
AES-Verschlüsselung ein einfach zu bedienendes forensisches Tool für den
im CFB-Modus inklusi- schnellen Zugriff auf Informationen aus lokalen und mo-
ve Zertifizierung nach bilen iOS-Back-ups. EPV kann ab sofort Chat-Verläufe
FIPS 140-2. von Signal entschlüsseln und anzeigen; Signal ist eine
der weltweit sichersten Messenger-Apps. Darüber hi-
SafeCrypt ist mit ver- naus ist EPV in der Lage, lokale iOS-Back-up-Passwör-
schiedensten Plattfor- ter wiederherzustellen, die für die Screen-Time-Funktion
men kompatibel und DataLocker präsentiert die neue, und zur Beschränkung der Bildschirmzeiten eingerichtet
unabhängig vom be- nun zentral gemanagte Version wurden.
vorzugten Speicherort der Datenverschlüsselungslösung
verwendbar, für den SafeCrypt. (DataLocker)
IT-SICHERHEIT [5/2019] 11ADVERTORIAL – PRODUKTPROFIL
Security & Operations mit KI
Bedrohungen für IT-Infrastrukturen frühzeitig zu erkennen und kritische Systemzustände vorherzusagen ist Ziel und Zweck
von CuriX®, ein Produkt des Softwareherstellers IC information company AG. Das Softwareunternehmen mit Standorten
in der Schweiz und in Deutschland setzt bei der Entwicklung auf einen ausgewogenen Mix aus bewährten Methoden und
neuen Ansätzen. Durch die Kombination aus Machine-Learning-Algorithmen und statistischen Methoden detektiert CuriX®
zuverlässig Anomalien in IT-Systemen. Vollautomatisiert erkennt CuriX® kausale Zusammenhänge, Fehlerursachen und Stör-
einflüsse, um Systemausfälle vorherzusagen. So können Verantwortliche frühzeitig Gegenmaßnahmen einleiten und Schä-
den verhindern. CuriX® unterstützt Unternehmen dabei, einen hochverfügbaren Betrieb von IT-Systemen sicherzustellen.
Data Analytics für resiliente IT-Systeme
Bilder : © NicoElNino/Shutterstock.com (li.); © Wright Studio/Shutterstock.com (re.)
Für einen sicheren und hochverfügbaren Betrieb von IT-Infrastrukturen andeutende Unregelmäßigkeiten in der Systemumgebung. Somit ist es
kommt CuriX® als AIOps Plattform oder als Ergänzung zu bestehenden möglich, rechtzeitig vor dem möglichen Systemausfall Gegenmaßnah-
SIEM- oder ITOM-Lösungen zum Einsatz. Ergebnisse aus SIEM- oder ITOM- men einzuleiten. Als besonderen Mehrwert für den Nutzer stellt CuriX®
Tools liegen in der Regel in Form von Alarmierungen und Echtzeitinforma- neben den Alarmierungen zu bevorstehenden kritischen Systemzustän-
tionen vor und erlauben nur ein Reagieren auf bereits eingetretene kritische den auch Lokationsinformationen der Fehlerursache (Root Cause) bereit.
Systemzustände. Auf der Basis dieser verfügbaren Rohdaten (Big Data) Diese basieren auf permanent durchgeführten Korrelationsanalysen.
extrahiert und aggregiert CuriX® KPI’s für die anschließende Zeitreihenana-
lyse. Der Einsatz von künstlicher Intelligenz (Machine-Learning-Algorithmen) Agieren statt Reagieren
dient zur Generierung von dynamischen Baselines. Diese zeigen das normale Aus den vorhergesagten Fehler- und Ortsinformationen der betroffenen
Systemverhalten auf und dienen zur Erkennung von Anomalien. CuriX® Komponente lassen sich in einem weiteren Schritt konkrete Maßnahmen
ersetzt das aufwendige und fehleranfällige Bestimmen von Schwellwerten. zur proaktiven Fehlervermeidung ableiten. Diese werden dem Nutzer als
Heal Advice zur Verfügung gestellt. So kann der Systemverantwortliche
Vorhersagen und Lokalisieren sofort, proaktiv und lösungsorientiert agieren, statt nur zu reagieren.
Mittels kontinuierlich angepassten Vorhersagemodellen alarmiert CuriX Diese Vorgehensweise ist ein weiterer Schritt zur total resilienten, sich
den Nutzer frühzeitig und proaktiv bei auftretenden Anomalien über sich selbst heilenden und voll automatisierten IT-Infrastruktur.PRODUKTPROFIL – ADVERTORIAL
Mehrwert im Risiko-, Ihre Ansprechpartnerin in der Schweiz:
Kosten- und Ressourcenmanagement Frau Fabienne Buser
Der Einsatz der CuriX® AIOps Plattform mit ihrer Anomalie-Detektion, Vor- Telefon : +41 76 408 82 29
hersagemodellen, Fehlerlokation und Bereitstellung der Heal Advices redu- E-Mail: curix@ic-information.com
ziert das Risiko von Systemausfällen. Die durchgängige Anwendung der
CuriX® AIOps Plattform bietet enormes Potenzial zur Ressourcenoptimie- Ihr Ansprechpartner in Deutschland:
rung und Kostenreduzierung. Durch den hohen Grad der Automatisierung Herr Henning Tams
wirkt CuriX® damit sogar dem steigenden IT-Fachkräftemangel entgegen. Telefon : +49 761 478 73 88
E-Mail: curix@ic-information.com
Get in touch with CuriX®
Allen Unternehmen, die mehr als nur den IST-Zustand ihrer IT-Infrastruk- IC information company
tur überwachen wollen, bietet die IC einen innovativen und v isionären Schweiz: Im Wannenboden 2 | CH-4133 Pratteln | +41 61 826 9000
Lösungsansatz. Besuchen Sie uns auf der it-sa2019 in der Deutschland: Basler Str. 115 | D-79115 Freiburg | +49 761 478 7388
Halle 10.1 am Stand 10.1-528 oder vereinbaren Sie einen https://www.ic-information.com | email@ic-information.com
unverbindlichen Termin. ■
Mit der Detektion von Anomalien und der automatischen Korrelation
Die Grafiken zeigen die Unterschiede der funktionalen Abdeckungs- von KPIs ist mit CuriX® ein frühzeitiges und proaktives Eingreifen vor
und Aktivitätsgrade zwischen heute gängigen Monitoring-Tools und Eintritt eines Systemausfalls möglich.
AIOps-Ansätzen (oben) und CuriX® (unten).AUS DER SZENE
Itsa profitiert von Digitalisierungsrisiken
Security first
Neue Bezahlmodelle, die globale Vernetzung von Produktionsketten und E-Health – die Digitalisierung verändert, wie wir Le-
ben und Arbeiten. Und sie birgt Gefahren: Cyberkriminelle räumen Bankkonten leer, lassen Fließbänder stillstehen oder erlan-
gen sogar die Kontrolle über medizintechnische Geräte. Als weltweit ausstellerstärkste Fachmesse zum Thema Cybersicher-
heit bietet die it-sa vom 8. bis 10. Oktober 2019 in nun vier Hallen des Messezentrums Nürnberg ein umfassendes Angebot
an Produkten und Lösungen für mehr IT-Sicherheit.
Auch wenn die Zahl der Aussteller in diesem steller- und Besucherbeteiligung die rasan- Umfangreiches Messe, Foren
JahrnichtsignifikantüberderdesVorjahres te Entwicklung der IT-Sicherheitsindustrie und Kongressprogramm
liegt (knapp über 700 im Vergleich zu 698 in nach. Bei einer Befragung des Bundesver-
letzten Jahr), erweitert die it-sa dieses Jahr bands IT-Sicherheit TeleTrusT zur Messe- WieindenVorjahrenstehtmitStartup@itsa
das Flächenangebot und verteilt sich erst- Präferenz seiner Mitgliedsunternehmen jungenUnternehmeneinegesondertausge-
mals auf vier Hallen. Damit soll vor allem den setzte sich die it-sa erneut mit an die Spit- wiesenePräsentationsflächezuattraktiven
wachsenden Forderungen der Aussteller und ze. „Größten Zuspruch der deutschen IT-Si- Konditionen offen. Das Programm der offe-
den Besucherströmen Rechnung getragen cherheitshersteller finden aktuell die it-sa nen Foren lockt auch in diesem Jahr mit rund
werden. Nach 14.290 Besuchern im letzten in Nürnberg und die RSA in San Francisco“, 350 erwarteten Vorträgen auf die it-sa: In
Jahr erwarten die Nürnberger hier in diesem gab der Verband im April bekannt. Ebenfalls jeder Halle finden zahlreiche Kurzvorträge
Jahr erneut Rekordzahlen. Das begleitende steil nach oben zeigt die Kurve der von den der Aussteller statt, die IT-Sicherheitsfragen
Kongressprogramm Congress@it-sa startet beteiligten Unternehmen gebuchten Aus- aus Perspektive von Management und Tech-
wie üblich bereits am Vortag, auch in die- stellungsfläche. „Heute, fünf Monate vor nik beleuchten. Zu den Höhepunkten zählen
sem Jahr mit der Jahrestagung der IT-Sicher- der it-sa 2019, liegt die Standfläche der die als „it-sa insights“ ausgewiesenen Pro-
heitsbeauftragten in Ländern und Kommu- bisher gemeldeten Aussteller schon über grammpunkte – produktneutrale Vorträge
nen.Ebenfallsbereitsam7.Oktoberfindet dem Ergebnis der letzten Veranstaltung“, und Expertendiskussionen von Verbänden
UP19@it-sa statt, die zweite Ausgabe des soFrankVenjakob,ExecutiveDirectorit-sa, und Organisationen – sowie das „Internati-
„CyberEconomy Match-up“ zur it-sa. NürnbergMesse. Zur it-sa 2019 erweitert die onal Forum“ als rein englischsprachige Vor-
Halle 11.0 die bisherige Hallenkonstellation, tragsbühne. Im Mittelpunkt der Forenbeiträ-
Seit mehreren Jahren zeichnet die it-sa mit umdiebenötigtenStandflächenrealisieren ge stehen unter anderem rechtliche Fragen
zweistelligen Wachstumsraten bei der Aus- zu können. und IT-Security-Trends, wie der Einsatz
14 IT-SICHERHEIT [5/2019]AUS DER SZENE
◀ Auch in diesem Jahr erwartet die it-sa erneut Besucherrekorde.
(Foto: NuernbergMesse/Thomas Geiger)
künstlicher Intelligenz, sowie IT-Sicherheit reich an, um potenzielle Investoren in ei-
für Industrie 4.0 und kritische Infrastruktu- nem Speed-Pitch zu überzeugen. Beim VERANSTALTUNGSORT:
ren. Speziell für KMUs bringt der Bundesver- CyberEconomy Match-Up für Start-ups, Messezentrum Nürnberg
band mittelständische Wirtschaft, Unterneh- Macher und Entscheider darf sich präsen-
merverband Deutschlands e.V. (BVMW), das tieren,wervorabdieFachjuryüberzeugen
Thema IT-Sicherheit auf die Agenda: Die Dis- konnte. Sie bewertet das Gesamtpaket aus VERANSTALTUNGSTERMIN:
kussionsrunde am ersten Messetag widmet Angebot, Unternehmen sowie Vertriebs- Dienstag, 8. bis
sich Themen wie dem Risikofaktor Mensch und Marketingstrategie. Dem Gewinner des Donnerstag, 10. Oktober 2019
und typischen Angriffsszenarien wie Social UP19@it-sa Award winkt ein individuelles
Engineering. Handfeste Erfahrungswerte mit Coaching und Mentoring durch den Digital
GamificationzurMitarbeitersensibilisierung Hub Cybersecurity und das Bayerische IT-Si- ÖFFNUNGSZEITEN:
verspricht der Impulsvortrag „Komm, lass cherheitscluster. 8. Oktober 2019: 9.00–18.00 Uhr
uns spielen“ von Deutsche Post DHL Group. 9. Oktober 2019: 9.00–18.00 Uhr
Weitere Vorträge behandeln beispielsweise Investigativjournalist Misha 10. Oktober 2019: 9.00–17.00 Uhr
die zivilrechtliche Haftung bei Cybersicher- Glenny hält Special Keynote
heitsvorfällen, Datenschutzfragen beim Ein- der itsa 2019
satz künstlicher Intelligenz, IoT-Anwendun- CONGRESS@it-sa:
gen und Big Data oder Automatisierung und Wie in den vergangenen Jahren konnte Montag, 7. bis
Visualisierung für Forensik und Monitoring. die it-sa auch in diesem Jahr wieder einen Donnerstag, 10. Oktober 2019
hochkarätigen Sprecher für die „Special
Datenschutz, IoT und Keynote“ gewinnen: Misha Glenny, preis-
Mythos KI gekrönter britischer Investigativjourna-
list,Autor des Bestsellers „McMafia“ und
Das begleitende Kongressprogramm Con- Cybercrime-Experte spricht am Donners- Mensch die Kontrolle über die IT-Systeme
gress@it-sa startet bereits am Vortag der tag, den 10. Oktober um 12:00 Uhr im behält. Glenny, der auch Konzernvorstän-
it-sa und begleitet die Fachmesse unter an- Forum International. Der Zutritt ist für alle de in Sachen IT-Sicherheit berät, zeigt,
derem mit Beiträgen zu den Themen Cyber- Besucher und Vertreter der ausstellenden warum es vor diesem Hintergrund bis in
Resilienz, Datenschutz oder SAP Security. Unternehmen frei. die höchsten Führungseben einen Wandel
Über den „Mythos KI“ informiert die Fir- braucht: Nur mit einer umfassenden Sensi-
ma cirosec bereits am Montag, den 7. Ok- bilisierung für digitale Gefahren lässt sich
tober. Schließlich ist die Frage, ob der Ein- der Siegeszug von global operierenden Ha-
satz künstlicher Intelligenz die IT-Sicherheit ckern im Zeichen der organisierten Krimi-
revolutioniert, eine der derzeit meistdisku- nalität verhindern.
tierten Fragen in der IT-Sicherheitsgemein-
de – Lösungsanbieter und Anwender sind Im Anschluss an seine Special Keynote
auf der Suche nach Einsatzmöglichkeiten. steht Misha Glenny für Fragen aus dem
Die von der Bundesakademie für öffentliche Publikum zur Verfügung. n
VerwaltungjährlichinKooperationmitdem
IT-Planungsrat ausgerichtete Jahrestagung Der Special Keynote Speaker der it-sa 2019 S.M.
der IT-Sicherheitsbeauftragten in Ländern heißt Misha Glenny. (Foto: Misha Glenny)
und Kommunen ist zur it-sa 2019 erneut
im Kongressprogramm, genauso wie der IT- In seinem Vortrag „The Vitruvian Paradox:
Grundschutz-Tag des Bundesamtes für Si- The Changing Face of the Human in Cyber
cherheit in der Informationstechnik. Security“ bricht Glenny mit der gängigen
Vorstellung, der Mensch sei das schwächs-
CyberEconomy Matchup te Glied einer stabilen IT-Sicherheitskette.
geht in die zweite Runde Er argumentiert, dass von der zunehmen-
den Komplexität unserer digitalen Infra-
Am Tag vor der it-sa treten bei UP19@it-sa struktur eine noch größere Gefahr ausgeht.
zwölf Start-ups aus dem IT-Sicherheitsbe- Entscheidend wird deshalb sein, dass der
IT-SICHERHEIT [5/2019] 15AUS DER SZENE
Hat der Airbag in der ITSicherheit
ausgedient?
Zur Halbwertszeit von
Sicherheitslösungen
Moderne Autos sind heute sicherer denn je. Doch das hohe Sicherheitsniveau kam
nicht über Nacht. Innovative Sicherheitslösungen wurden nach und nach in das
Auto integriert: Die Knautschzone gibt es seit 1952, der erste Dreipunktgurt wur-
de in den frühen 1960er Jahren eingeführt, der Airbag kam im Jahr 1980 heraus
und schließlich hatte das Elektronische Stabilitätsprogramm (ESP) nach dem soge-
nannten „Elchtest“ zu Beginn der 2000er Jahre seinen Durchbruch. Inzwischen
sind diese Lösungen längst verpflichtender Standard in allen neu zugelassenen
Fahrzeugen. In der IT-Sicherheit gibt es seit Jahren eine vergleichbare Evolution von
Sicherheitslösungen. Doch was ist davon heute „Stand der Technik“? Und gibt es
vielleicht Lösungen, deren Halbwertszeit längst überschritten ist?
In der Diskussion um technische Lösun- stand, da hier ein Optimum von Kosten und Autorisierung von Zahlungen nicht mehr der
gen hat sich mit der sogenannten Kalkar- Nutzen angenommen wird. Besitz beispielsweise einer Kreditkarte mit
Entscheidung von 1978 eine Drei-Stufen- Kreditkartennummer und aufgedrucktem
Theorie etabliert. In Abhängigkeit von der Es geht – wie so oft – um Geld Sicherheitscode. Vielmehr ist es im Rahmen
allgemeinen und wissenschaftlichen Aner- der neuen Zwei-Faktor-Authentifizierung
kennung einer Problemlösung und deren Häufig werdenÄnderungen in der Bewer- (2FA)verpflichtend,sichanhandzweiervon
Bewährung beziehungsweise Verfügbarkeit tung des Stands der Technik einer breiteren drei Merkmalen – Besitz, Biometrie oder
in der Praxis, werden heute auch Security Öffentlichkeit erst dann bewusst, wenn sie Wissen – zu identifizieren. Im Onlineban-
Bild: © depositphotos.com/corbacserdar.gmail.com
Tools in drei Kategorien unterteilt: vondiesenÄnderungenselbstbetroffenist. king ist dies zur Autorisierung von Zahlun-
SohatetwadieregulatorischeÄnderungim gen schon länger Standard. Der Geltungsbe-
a) „allgemein anerkannte Regeln Zuge der PSD2-Richtlinie zum Zahlungsver- reich wird mit PSD2 deutlich erweitert.
der Technik“, kehr im europäischen Binnenmarkt Auswir-
b) „Stand der Technik“ sowie kungen auf einen großen Nutzerkreis: Im Aufgrund diverser Missbrauchsfälle bedeu-
c) „Stand der Wissenschaft und Forschung“. Onlinebanking und im elektronischen Zah- tet die Neuregulierung aber auch den Ab-
lungsverkehr mit Kreditkarten oder neuen schied von einigen etablierten Sicherheits-
Der Stand der Technik gilt in der IT-Sicherheit mobilen Zahlungslösungen wird das Sicher- lösungen. Die iTAN in Form gedruckter
in den meisten Fällen als angestrebter Zu- heitsniveau erhöht. Zukünftig reicht für die TAN-Listen oder der Service SMS-TAN wer-
16 IT-SICHERHEIT [5/2019]AUS DER SZENE
den von vielen Banken aktuell abgelöst und acht Zeichen als „sicher“ – heute empfehlen mechanismus ist die Verschlüsselung. Über
durch neue Mechanismen ersetzt. viele Experten mindestens acht Zeichen, so- viele Jahre wurde der 1975 veröffentlichte
fern alle druckbaren Zeichen – einschließlich Data Encryption Standard (DES) mit einem
Identifizierung und Sonderzeichen – genutzt werden können. 56 Bit langen Schlüssel verwendet. Das Ver-
Authentifizierung Und in der Biometrie? Hier hält sich hartnä- fahren gilt spätestens seit der Jahrtausend-
ckig das Gerücht, dass ein in falsche Hände wende als veraltet und wurde durch den Ad-
Vor der Autorisierung von Transaktionen gelangter Fingerabdruck oder Gesichtsscan vanced Encryption Standard (AES) abgelöst.
kommt in vielen Systemen die Anmeldung. für immer verloren ist. Tatsächlich erlangen Dieses Verfahren wird auch heute noch ge-
Oder anders formuliert: ein Vorgang zur die meisten Angreifer – wenn überhaupt – nutzt – mit unterschiedlichen und über die
Identifizierung und Authentifizierung von lediglich ein durch einen Algorithmus be- Jahre immer längeren Schlüsseln.
Benutzern. Hier scheint die Halbwertszeit schriebenes Abbild der biometrischen Eigen-
von Lösungen begrenzt zu sein. Doch der schaft. Sobald die Technologie durch neue Quantencomputer wären heutzutage in der
Schein trügt: Die Faktoren zurAuthentifi- Sensoren oder veränderte Algorithmen ein Lage, wichtige asymmetrische Verschlüsse-
zierungsindseitjeherKombinationenaus neues Abbild erzeugt, kann diese Eigen- lungen, wie RSA oder Elgamal, zu brechen.
Besitz und Wissen sowie gegebenenfalls schaft wieder genutzt werden. Es ist nur eine Frage der Zeit bis Quanten-
biometrischen Merkmalen. Diese Faktoren computer verfügbar sind und für eine Viel-
werden nun lediglich in neuer Weise kom- Was veraltet tatsächlich? zahl von wichtigen Anwendungsfällen
biniert oder die einzelnen Elemente mit hö- – vom Onlineshopping bis zur E-Mail-Ver-
herer Komplexität genutzt. Lange galten al- Bleibt die Frage, was wirklich in der IT-Si- schlüsselung – auf neue Verschlüsselungs-
phanummerische Kennwörter von sechs bis cherheit veraltet. Ein zentraler Sicherheits- verfahren gewechselt werden muss.
Anzeige
audatis MANAGER
IT-SICHERHEIT [5/2019]
Datenschutzmanagement 17
einfach onlineAUS DER SZENE
Folglich müssen sich Unternehmen bereits Tools oder das Hochladen von verbreiteten können?InderPraxishäufignicht.Dasich
heute Gedanken darüber machen, wie sie Hintertüren zu detektieren. Betriebsmodelle oft noch in einer Transition
neue Verfahren in Zukunft in ihren Produk- befinden und auch die Zielarchitektur hy-
ten und IT-Landschaften umsetzen. Eine weitere wirksame Methode zur Erken- bride Konstrukte sind, werden uns viele IT-
nung von Angriffen ist die Analyse des auf- Sicherheitslösungen noch lange begleiten.
Wo bleibt die Innovation? gehenden Netzwerkverkehrs. So deutet die Die veränderte Bedrohungslage bedingt
Kommunikation zu einem Command-and- eine kontinuierliche und evolutionäre Wei-
Viele IT-Sicherheitslösungen sind also Control-Server auf die Infektion mit einer terentwicklung.
nicht wirklich neu. Einige evolutionäre Malware hin.
Entwicklungen lassen sich aber identifi- Am Ende ist es doch wie mit dem Auto.
zieren. Das Management von Schwachstel- Setzen wir falsche Nachdem sich lange Jahre nach der Erfin-
len,dieIdentifikationvonSchadsoftware Lösungen ein? dung und Verbreitung des Automobils nie-
und die Erkennung von Angriffen sind für mand mit Sicherheit befasst hatte, sind seit
sich genommen keine neuen Security-Dis- Wirkliche Innovation in der IT-Sicherheit den 1960er Jahren immer neue Sicherheits-
ziplinen. Viele Anbieter und Unternehmen entsteht dort, wo sich IT-Betrieb und IT- elemente dazugekommen. Und ohne Airbag
setzen allerdings auf eine Orchestrierung Entwicklung signifikant verändert haben. und ESP kommt heute kein Neuwagen mehr
dieser Elemente. Das führt einerseits zu Sicherheitsorganisationen glauben häufig auf die Straße. n
einem transparenteren, vernetzten Bild noch an die Wirksamkeit von netzwerkba-
der Risikosituation, andererseits wird eine sierten oder Endpoint-Sicherheitslösungen,
Integration von Prozessen angestrebt. Ein auch wenn diese in Cloud-Umgebungen und
integrierter Prozess muss beispielsweise in agilen Entwicklungsprozessen nur sehr
neue Geräte im Netzwerk erkennen, alle eingeschränkt wirksam sind.
Geräte auf technische Schwachstellen
(Vulnerabilities) scannen und relevante Si- In IT-Umgebungen, die von Multi-Cloud,
cherheits-Updates möglichst zeitnah und Microservices und Containern bestimmt
mit adäquatem Test in die Infrastruktur werden, sind die Lebenszyklen kurz und die
ausrollen. Plattformstrategien integrieren Prozesse hochgradig agil. Die genannten
unterschiedliche Elemente einer wirksa- Sicherheitslösungen sind oft unzureichend
men Cyberabwehr und bieten über offene und müssen ergänzt werden. Beispielhaft DR. MICHAEL FALK,
Partner, Cyber Security, KPMG. Michael Falk
Schnittstellen die Möglichkeit zur Integra- hierfür ist die automatische Anbindung ei-
berätKundenbeiderIdentifizierungunddem
tion ergänzender Elemente. nes neuen Containers an das unterneh- effizientenSchutzihrerdigitalenKronjuwelen.
mensweite SIEM (Security Incident and An der Schnittstelle von Fachbereichen und IT
Sicherheitslösungen haben in der Vergan- Event Management). entwickelt er Strategien und Roadmaps für den
Schutz vor Cyberangriffen. Mit Methoden des
genheit oft auf Basis von Signaturen be-
Risikomanagements sorgt er für einen Ausgleich
kannte Muster identifiziert. Moderne Lö- Zudem bieten die großen Anbieter von Cloud zwischen Cyberrisiken und Chancen der digitalen
sungen ergänzen dies durch proaktive Services zunehmend eigene Sicherheitslö- Transformation im Unternehmen.
Fähigkeiten, die verhaltensbasiert Angriffe sungen – etwa im Bereich des Identity and
erkennen können. Im weiten Feld von Ma- Access oder des Schwachstellenmanage-
chine Learning und Künstlicher Intelligenz ments – an. Der Einsatz dieser Lösungen
wird den erweiterten Fähigkeiten der An- ist stark vom Cloud-Nutzungsszenario ab-
greifer Rechnung getragen. Ist eine Schad- hängig. Da viele Unternehmen aktuell in
software in der Lage, sich durch Mutation hybriden Nutzungsszenarien oder mit Mul-
vor der signaturbasierten Erkennung zu ver- ti-Cloud-Strategien arbeiten, ist die richtige
stecken, sind verhaltensbasierte Lösungen Integration nur im konkreten Einzelfall zu be-
zur Angriffserkennung notwendig. werten. Dies gilt insgesamt für die Integrati-
on der Cloud-Lösungen in die bisherige Welt: SEBASTIAN SCHULZE,
Verhalten kann in diesem Kontext eine Ei- Anpassungen und erweiterte Funktionalitä- Senior Manager, Cyber Security, KPMG.
Sebastian Schulze berät Kunden beim Design und
genschaft der Schadsoftware sein, wie das ten im Netzwerk- und Firewallmanagement der Implementierung von Sicherheitskonzepten
Ziel der maximalen Verbreitung im Netz- sind in Cloud-Betriebsmodellen notwendig. unter Beachtung des Defense-in-Depth-Ansatzes.
werk. Das Verhalten kann aber auch auf AusderPerspektiveeinesHackersidentifizierter
Basis von bekannten Angriffsmustern oder Immer mehr Sicherheit hierzu potenzielle Angriffsvektoren und
entwickeltmehrstufigaufeinanderabgestimmte
weit verbreiteten Hacking Tools abgeleitet Sicherheitsmaßnahmen, um diesen zielgerichtet
werden. So sind moderne Sicherheitslösun- Gibt es veraltete Sicherheitslösungen, die entgegenzuwirken.
gen in der Lage, Angriffe unter Nutzung von Unternehmen gleich morgen abschalten
18 IT-SICHERHEIT [5/2019]Sie können auch lesen
