E-PAPER - IT-SICHERHEIT SONDERTEIL Software - Konzepte - Prävention
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
www.it-production.com
E-PAPER
SONDERTEILE, BRANCHENSPECIALS, THEMENSCHWERPUNKTE
Bild: © christian42/Fotolia.com
SONDERTEIL
IT-SICHERHEIT
Software - Konzepte - Prävention
IT-SICHERHEIT | IT-SA 2018
IT-SA vom 9. bis 11. Oktober 2018 in Nürnberg
700 Aussteller rund
um die IT-Sicherheit
B
uchungen von
Neuausstellern,
Standflächen-
vergrößerungen und
eine hohe Nachfrage
von jungen Unterneh-
men haben dafür ge-
sorgt, dass die benö-
tigte Fläche der IT-Se-
curity-Messe IT-SA im
Vergleich zum Vorjahr
angestiegen ist. Frank
Venjakob, Executive Di-
rector IT-SA beim Ver-
anstalter Nürnberg
Messe: „Wir rechnen
mit rund 700 Ausstel-
lern. Damit bringt die IT-
SA dieses Jahr noch
einmal mehr IT-Sicher-
Bild: NürnbergMesse GmbH / Thomas Geiger
heitsexperten in Nürn-
berg zusammen“.
Internationale
Gemeinschafts-
stände
An unterschiedlichen
internationalen Ge-
Zur zehnten Ausgabe der IT-Sicherheitsfachmesse IT-SA erwartet die
meinschaftsständen Messe Nürnberg rund 700 nationale und internationale Aussteller. Neben
demonstrieren Fach- der Präsentation aktueller Produkte und Dienstleistungen bietet die Ver-
leute die Expertise des
jeweiligen IT-Sicher-
anstaltung vom 9. bis 11. Oktober ein Informationsangebot, das in fünf
heitssektors im länder- Fachforen mit rund 350 Vorträgen strukturiert ist.
übergreifenden Aus-
tausch. Israel beteiligt sich beispielsweise Fünf offene Fachforen entierte Anwender. Als fünfte Vortrags-
zum dritten Mal mit einem offiziellen Län- bühne erweitert das international ausge-
derpavillon an der IT-SA. Neu hinzuge- Das Forenprogramm umfasst rund 350 richtete Forum I10 mit englischsprachi-
kommen ist der Gemeinschaftsstand aus Fachbeiträge und richtet sich an an Ent- gen Vorträgen in Halle 10.1 das Pro-
den Niederlanden. Besucher finden dort scheider sowie Experten. In den Foren gramm. Dort findet am dritten Messetag
unter anderen Lösungen aus dem Bereich M9 und M10 stehen strategische Wei- auch die Special Keynote der weltweit
Abhörschutz, Security Awareness, Schutz chenstellungen für eine Erhöhung des IT- bekannten IT-Sicherheitsexpertin Paula
vor Advanced Persistent Threats und Security-Levels im Mittelpunkt, die Foren Januszkiewicz statt. Sie beschreibt, wie
Netzwerksicherheit. T9 und T10 richten sich an technisch ori- sich Unternehmen und Organisationen
IT&Production 9/2018
IT-SA 2018 | IT-SICHERHEIT
vor häufigen Angriffsformen von Hackern und Cyberkriminellen
schützen können. Diskussionen und Beiträge zu übergeordneten
Themen werden erneut als IT-SA Insights gesondert ausgewiesen.
Mit der Europäischen Agentur für Netz- und Informationssicher-
heit (ENISA), dem Digitalverband Bitkom, dem Bundesverband IT-
Sicherheit Teletrust und dem ZVEI beteiligen sich internationale
und nationale Vereinigungen am Format.
Messebegleitender Kongress
Der Kongress Congress@it-sa soll das Informationsangebot re-
nommierter Institutionen und namhafter Unternehmen aus dem
In- und Ausland unter einem Dach vereinen. Das Programm be-
ginnt am 8. Oktober, also einen Tag vor Eröffnung der Fachmesse.
Bild: NürnbergMesse GmbH / Thomas Geiger
Neu ist in diesem Jahr das Symposium Visit (Verwaltung integriert
sichere Informationstechnologie). Das Symposium findet alle zwei
Jahre an wechselnden Standorten statt und bietet IT-Sicherheits-
experten aus der Verwaltung in Deutschland, Österreich, der
Schweiz und Luxemburg eine eigene Dialogplattform zum länder-
übergreifenden Erfahrungsaustausch. Außerdem finden die Jah-
restagung der IT-Sicherheitsbeauftragten in Ländern und Kommu-
nen und der IT-Grundschutz-Tag des Bundesamtes für Sicherheit
Seit 2009 findet die IT-Security Messe IT-SA in Nürnberg statt. Über Branchen-
in der Informationstechnik im Rahmen der IT-SA statt.
trends und Innovationen können sich Besucher in diesem Jahr vom 9. bis zum
11. Oktober informieren.
Startups im Fokus - Anzeige -
Ebenfalls neu im Programm ist der Startup-Wettbewerb UP18@it-
sa. Damit wollen die Veranstalter jungen Unternehmen aus
Deutschland, Österreich und der Schweiz eine Möglichkeit bie-
ten, Entscheider aus der Branche und potenzielle Finanziers an-
zusprechen. Aussichtsreiche Geschäftsideen und innovative Se-
curity-Produkte, die vorab von einer Jury ausgewählt werden,
stehen dabei am Montag, den 8. Oktober, im Mittelpunkt. Dem
Gewinner erhält ein Coaching des Digital Hubs Cybersecurity
sowie des Bayerischen IT-Sicherheitsclusters. Auf der Sonderflä-
che Startups@it-sa in Halle 10.1 und in den gleichnamigen Vor- SEBASTIAN SCHREIBER
tragsblöcken in den offenen Foren stehen ebenfalls junge inno- GESCHÄFTSFÜHRER
vative Unternehmen im Fokus.
Stiftung verleiht Preis Nur wer um die Lücken weiß, kann diese auch wirksam schließen.
Im Bereich Penetrationstest sind wir Marktführer in Deutschland.
Erstmals wird der Deutsche IT-Sicherheitspreis der Horst Görtz Durch einen Sicherheitstest Ihrer · Beugen Sie Hackerangriffen und
Stiftung auf der IT-SA verliehen. Die zehn Finalisten präsentieren IT-Infrastruktur können Sie sich Einbrüchen in Ihre Systeme vor
umfangreich vor Angriffen, dem · Schützen Sie Ihre wertvollen
ihre Innovationen am Dienstag, den 9. Oktober, zunächst im Fo-
Verlust von Informationen und der Unternehmensdaten und
renprogramm, bevor die drei Sieger gekürt werden. Der Deutsche Störung von Maschinen schützen. Erkenntnisse
IT-Sicherheitspreis wird bereits zum siebten Mal verliehen und ist Wir testen Ihre Systeme durch · Bauen Sie dem Ausfall digital
mit insgesamt 200.000 Euro dotiert. Das Rahmenprogramm ver- simulierte Angriffe, finden heraus, gesteuerter Anlagen vor
wie sicher die eingesetzte IT-In- · Behalten Sie die Kontrolle über
eint neue Formate wie das Cyber Economy Match-up und den
frastruktur ist. Ihre Systeme
gleichnamigen -Award UP18@it-sa für junge Unternehmen. Das
Kongressprogramm mit internationaler Beteiligung ist dieses Jahr Besuchen Sie uns auf der it-sa, 9. – 11. Oktober 2018, Nürnberg,
Halle 10.0, Stand 10.0-507
Veranstaltungsplatz für das internationale Symposium VIS!T und
Bühne für die Verleihung des 7. Deutschen IT-Sicherheitspreises
der Horst Görtz Stiftung. ■
THE PENTEST EXPERTS
SySS GmbH Schaffhausenstraße 77 72072 Tübingen
Mit Material der Nürnbergmess GmbH. +49 (0)7071 - 40 78 56-0 info@syss.de www.syss.de
www.it-sa.de
IT&Production 9/2018
IT-SICHERHEIT | KRITIS
Lernen aus WannaCry und Co.
Das IT-Sicherheitsgesetz
als starkes Argument
Bild: © Peter Eggermann / Fotolia.de
Trotz der aufsehenerregenden Cyberangriffe wie mit der Ransomware WannaCry im letzten
Jahr ist die IT-Sicherheit auf der Prioritätenliste vieler Unternehmen noch immer nicht weit
genug oben. Doch zumindest bei versorgungskritischen Infrastrukturen fordert der Gesetz-
geber mittlerweile ein Bündel von Sicherheitsmaßnahmen. Diese könnten künftig auch Pro-
duzenten umsetzen müssen, die Kritis-Betreiber mit wichtigen Komponenten versorgen.
I
n der Transformation hin zur Industrie und Überwachung ermöglichen innova- räte und Apps zum Einsatz. Meist wer-
4.0, beziehungsweise zur Integrated tive Anwendungen und Geschäftsmo- den diese zum Monitoring der Produkti-
Industry, nimmt die IT eine tragende delle. So lassen sich Effizienzsteigerun- onsanlagen genutzt, doch einige davon
Rolle innerhalb der Produktions- und gen unter anderem realisieren, indem gestatten bereits weiterführende Ein-
Wertschöpfungskette ein. Denn die Ver- Produktionsabläufe digital simuliert oder griffsoptionen: Werks- und Produktions-
netzung aller Gegenstände und Systeme Stillstände in der Fertigung durch vo- leiter können zu jeder Zeit von jedem
sowie deren Ausstattung mit zusätzli- rausschauende Wartung minimiert wer- Standort die Produktionsprozesse kon-
cher Intelligenz zur besseren Nutzung den. Zunehmend kommen mobile Endge- trollieren und Einfluss auf Steuerungspa-
IT&Production 9/2018
KRITIS | IT-SICHERHEIT
rameter nehmen. Nachweislich bringt die wie Upgrades im Einsatz, für die es wendung finden soll. Dies erscheint aus
hochgradige Vernetzung viele Vorteile zudem teilweise bereits seit längerem dem Grund akut, da oftmals schlecht
für den Betriebsablauf, andererseits je- keine Sicherheitspatches mehr gibt, weil gewartete, veraltete und ungesicherte,
doch ebenso viele Angriffspunkte, die der Hersteller die Wartung eingestellt aber dennoch innerhalb einer Wert-
ausgenutzt werden können. Dies basiert hat. Mittlerweile haben sich bestimmte schöpfungskette hochgradig vernetzte
zum einen auf den immer komplexer Angreifer darauf spezialisiert, direkt nach OT-Systeme für Angriffe leicht nutzbar
werdenden IT-Landschaften sowie den Sicherheitslücken zu suchen, sobald Pro- sind. Das derzeitig vorzufindende IT-Si-
immanenten Schwachstellen von Kom- duktionsanlagen mit dem Internet – also cherheitsniveau der OT entspricht bei
ponenten der OT und zum anderen auf in einem TCP/IP Netz – verbunden sind. weitem nicht den gestiegenen Anforde-
dem Fehlen adäquater Schutzkonzepte. Dass dies keine theoretische Gefahr ist, rungen. Von daher ist es an der Zeit, Si-
belegen diverse Studien – bereits im Jahr cherheitsstrategien im industriellen Um-
Genug offene Flanken 2016 erfolgte jeder vierte Cyberangriff feld zu entwickeln.
auf industrielle Systeme. Dafür gibt es
Die fortschreitende Digitalisierung und verschiedene Gründe: Der Datentransfer Rat liefert der Gesetzestext
die daraus resultierende Entwicklung zwischen den Systemen der Produktion
neuer Geschäftsmodelle wie Predictive läuft vermehrt über offene Standards – Im Grunde geht es bei der Diskussion be-
Maintenance auf Basis von Internet- zur Absicherung der OT sind jedoch teils züglich der erweiterten Einführung des
technologien bringen einen massiven völlig andere Konzepte und Lösungen IT-Sicherheitsgesetzes darum, Unterneh-
Anstieg der Gefahrenpotentiale mit sich. notwendig, als im klassischen IT-Umfeld, men dahingehend zu sensibilisieren, dass
Ungeachtet dieses Fakts finden jedoch die dort vorherrschenden Ansätze sind sie die bestehenden Probleme aktiv an-
die unsicheren Basistechnologien wie nur sehr bedingt übertragbar. Zudem er- gehen. Dazu gehört ein Verständnis
Web-Sprachen, Kommunikationsproto- fordert jede weitere Anbindung von Ap- dafür zu schaffen, dass IT-Sicherheit ein
kolle, Datenbanken oder Betriebssys- plikationen sowie Vernetzung von Gerä- kontinuierlicher Prozess ist. Hilfreich bei
teme im Produktionsumfeld Verwen- ten und Systemen neue Schnittstellen, der Ausgestaltung einer effizienten Vor-
dung und stoßen auf Produktionsnetze die per se ein Risiko darstellen – hier gehensweise ist das gemeinsame The-
und -komponenten, die hochsensibel werden ständig neue Schwachstellen senpapier von Teletrust und dem Bun-
sind und meist für solche Szenerien nicht entdeckt. Die Ausführung der zumeist desverband der IT-Anwender (VOICE)
konzipiert wurden. Aufgrund der langen systematischen Attacken erfolgt mit re- aus dem Jahr 2017. In diesem Leitlinien-
Lebenszyklen der Systeme im Produkti- gelmäßig aktualisierten Angriffsmetho- dokument werden Defizite und Problem-
onsumfeld sind sehr häufig noch IT-Kom- den; hierfür gibt es unter anderem Stan- bereiche im IT-Sicherheitsumfeld darge-
ponenten ohne spezifische IT-Wartung dardwerkzeuge, die inzwischen auf spe- stellt, die es dringend zu beheben gilt.
ziellen Plattformen im Internet frei zur Dazu haben Teletrust und Voice gemein-
Verfügung stehen. sam sechs Thesen erarbeitet, „die jeweils
spezifische ‘Gemeinsame Aufgaben’ in-
IT-Sicherheitsgesetz
Schlecht programmierte Apps nerhalb jeder These skizzieren, wie vor-
für die Industrie gefordert handene Herausforderungen erfolgreich
Auch schlecht programmierte Apps und bewältigt werden können“, etwa in der
Mit Inkrafttreten des IT-Sicherheitsgesetzes in ohnehin unsichere Endgeräte bieten eine ersten These ‘Ohne IT-Sicherheit gelingt
2015 müssen die Betreiber kritischer Infrastruktu- große Angriffsfläche, beispielsweise bei keine nachhaltige Digitalisierung’ oder
ren (Kritis) im wesentlichen zwei Vorgaben erfül- deren Einsatz zur Maschinensteuerung: der vierten: ‘Security-by-Design, Privacy-
len: Die definierten Organisationen und Institutio- Die Eingriffsmöglichkeiten reichen hier by-Design und nachvollziehbare Quali-
nen mit relevanter Bedeutung für das Gemeinwe- von Manipulation der Produktionspro- tätssicherung sind unabdingbar’. Mit zu-
sen sind fortan verpflichtet binnen zwei Jahren zesse, was unter Umständen die Produk- nehmender Digitalisierung sollten auch
nachzuweisen, dass sie wirksame Vorkehrungen tions- und Produktqualität stark beein- mittelständische Unternehmen nicht
zum Schutz der Daten getroffen haben, um deren trächtigen kann, bis hin zum Abschalten mehr den Standpunkt vertreten, dass
Verfügbarkeit, Integrität, Vertraulichkeit und Au- einer kompletten Produktionslinie. sich kein Angreifer für sie interessieren
thentizität zu wahren. Zudem stehen sie in der wird. Was aber andererseits nicht zu der
Pflicht, die qua Definition kritischen Sicherheits- Kritis auch für Zulieferer fatalistischen Einstellung führen sollte,
vorfälle unverzüglich zu melden sowie eine Kon- dass aufgrund der hohen Komplexität ein
taktstelle für das Bundesamt für Sicherheit in der Mittlerweile ist erkennbar, dass Zuliefe- Absichern der eigenen Infrastruktur per
Informationstechnik (BSI) anzugeben. Relevante rer von Anlagen und Komponenten, die se unmöglich sei. ■
Bedeutung haben dem Gesetz zufolge Organisa- wesentlich für eine Kritis-Umgebung
tionen in den Bereichen Staat und Verwaltung, sind, zumindest für die gelieferten Kom- Der Autor Wolfgang Straßer ist
Energie, Gesundheitswesen, Finanz- und Versi- ponenten Kritis-Anforderungen stand- Gründer und Geschäftsführer der
cherungswesen, Transport und Verkehr, IT und TK, halten müssen. Heute steht zur Diskus- @-yet GmbH.
Medien und Kultur sowie Wasser und Ernährung. sion, dass das IT-Sicherheitsgesetz ana-
log im Kontext von Industrie 4.0 An- www.add-yet.de
IT&Production 9/2018
IT-SICHERHEIT | PRIVILEGED-ACCESS-LÖSUNGEN
Halle 10.1
Stand 327 Zugriffsrechte verwalten
Für jeden Mitarbeiter
ein eigenes Netz
Bild: Wallix Deutschland
Die Bedrohung durch Cyberattacken ist greifbar, das erkennen auch die Unternehmen. Je-
doch haben verschiedene Abteilungen unterschiedliche Anforderungen an die IT-Sicher-
heit. Mit Privileged-Access-Lösungen kann man diesen Unterschieden Rechnung tragen.
I
n seinem aktuellen Bericht zur Lage fach an Prozessen, um mit Schwachstellen jekte dürfen operationale Abläufe daher
der IT-Sicherheit warnt das Bundesamt in eigenen Produkten umzugehen, diese nicht zu beeinträchtigt werden – längere
für Sicherheit in der Informationstech- zu kommunizieren und für eine Fehlerbe- Wartungsfenster sind aus Sicht der Wett-
nik (BSI) davor, dass ungezielte Angriffe seitigung Sorge zu tragen. Eine deutliche bewerbsfähigkeit nicht möglich, ein Kom-
auf Produktionssysteme oft erfolgreich Kritik. Allerdings sollte man verstehen, plettstillstand zur Neuaufsetzung der
sind, weil Unternehmen häufig Altsysteme dass die Herausforderung durch die digi- Netzwerke ist undenkbar. Die Legacy-He-
einsetzen und keine geeigneten Prozesse tale Integration für IT-Abteilungen und rausforderung und die hohen Anforderun-
und kaum Knowhow zur IT-Sicherheit für Betriebsleiter in der Produktion ungleich gen an die Produktivität müssen auch von
den Produktionsbereich vorhanden sind. schwieriger ist als in anderen Branchen. IT-Abteilungen beachtet werden. Die
Hersteller und Maschinenbauer würden Die Lebenszyklen von Maschinen und die neue Konkurrenzsituation ist besonders
zudem von den Betreibern keine ausrei- Größe der Assets sind in keiner anderen kritisch, da die Digitalisierung den Markt
chenden Informationen über die notwen- Branche so groß. Zudem werden Anlagen für neue Anbieter öffnet, die ohne Ferti-
digen Sicherheitsanforderungen erhalten, und Fertigungsstraßen der Industrie über gungsmittel Lösungen in digitaler Form
so das BSI. Diese würden von den Betrei- Jahrzehnte abgeschrieben und sind nur anbieten. Etablierten Unternehmen droht
bern weder eingefordert noch seien ent- schwer komplett auswechselbar. Zugleich dabei der Abstieg in das Commodity-Ge-
sprechende Ressourcen vorgesehen. steigen aber die Anforderungen an die schäft, falls sie es nicht schaffen, ihr
Zudem fehle es bei den Herstellern viel- Produktivität. Durch Modernisierungspro- Knowhow digital zu vermarkten.
IT&Production 9/2018
PRIVELEGED ACCESS LÖSUNGEN | IT-SICHERHEIT
Umsetzung ist schwierig
In den Führungsebenen stehen die Themen
Digitalisierung und die Gefahr durch Cybe-
rattacken auf der Tagesordnung. Die Um-
setzung und die Abwehr gestalten sich je-
doch nicht einfach. IT-Verantwortliche ver-
langen häufig mehr Einfluss in die Prozess-
steuerung und möchten, dass smarte Pro-
duktionsanlagen ebenfalls unter ihre Ver-
Bild: Wallix Deutschland
waltungsgewalt fallen. Betriebsverantwort-
liche wollen dagegen das volle Potenzial
von vernetzten Geräten nutzen, fürchten
aber, dass durch Umstellungen die Anlagen
nicht richtig funktionieren könnten. Hinzu
kommt, dass sich durch die Modernisierung
auch die Bezugsmodelle für Maschinen und
Anlagen ändern. Geräte werden geleast Um Konflikte zwischen OT und IT zu beseitigen, kann eine PAM-Lösung die richtige Wahl sein. Diese kann
oder durch On-Demand-Services ersetzt. auf die Anforderungen beider Seiten abgestimmt werden.
Dies erfordert auch immer mehr gesicherte
Fernwartungszugänge. Ursprüngliche ge-
schlossene Netzwerke und Insellösungen stellt werden, dass es sich nicht um einen nen Angriffe aus dem Inneren einer Firma
sind somit online, wodurch der Verwal- geschickt getarnten Angriff handelt. Ein leichter enttarnt und gesperrt werden.
tungsaufwand steigt. IT-Verantwortliche solcher Konflikt zwischen OT und IT kann
müssen Lösungen finden, wie sie trotz der in der Praxis durch Privileged-Access-Lö- Jeder hat Sicherheitsbedenken
wachsenden Anzahl an Aufgaben die Com- sungen (PAM) beseitigt werden. Diese
pliance-Vorgaben erfüllen und Auditsicher- lassen sich genau auf die Vorgaben der Für jedes Produktionsunternehmen liegt
heit gewährleisten können. Neben der End- IT-Abteilungen abstimmen und können die Zukunft in der Digitalisierung, und in
punktsicherheit geht es dabei vor allem um dann von der Betriebsverantwortlichen fast jeder Organisation gibt es dabei Si-
den Faktor Mensch und die Frage, wer zu genutzt werden, um Rechte von Nutzern cherheitsbedenken. Die Anmerkung des BSI
welcher Zeit über welche Plattform auf granular zu erweitern. Die Lösung über- ist dabei keine neue Erkenntnis, den ent-
welche Systeme zugreifen darf. Zeitgleich nimmt dabei die Protokollierung und die sprechenden Abteilungen in den Firmen
sollten aber Betriebsleiter die Möglichkeit Absicherung der Accounts. Für besonders fehlt es jedoch oft an praktischen Mitteln,
haben, Probleme im operativen Bereich kritische Bereiche können zudem Sessi- um die Gesamtherausforderung umzuset-
ohne lange Bürokratieprozesse zu beseiti- ons aufgezeichnet oder das Vier-Augen- zen. Durch eine gemeinsame Management-
gen. Sie benötigen Mittel, die es ihnen er- Prinzip festgelegt werden. Im Betriebsall- Plattform für Accounts mit erhöhten Zu-
lauben, Dienstleistern und externen Exper- tag ist PAM ein einfaches Tool zur Ver- griffsrechten können Unternehmen eine
ten im Fall der Fälle schnell Zugriff auf die waltung von Nutzer mit erhöhten Zu- Grundlage schaffen, um die unterschiedli-
nötigen Bereiche zu gewähren. Die Schwie- griffsrechten, dass sich agentenlos in chen Anforderungen von IT-Security und
rigkeit bestand dabei bisher darin, die Be- jede Umgebung integrieren lässt. Die Betriebsabläufen abzudecken. PAM bietet
dürfnisse beider Seiten in Einklang zu brin- User brauchen keine umfassenden IT- daher die Möglichkeit, die kontrastreichen
gen. Durch IoT- und Cloudtechnologie Kenntnisse und die Freigaben können im Anforderungen von Produktivität und IT-Si-
funktionieren Wirtschaft und Gesellschaft Umfang und Zeitraum auf das Nötigste cherheit unter einen Hut zu bringen. Beson-
als 'Always-on-Modell'. Die Industrie begrenzt werden. Dadurch werden keine ders Accounts mit erhöhter Sicherheitsfrei-
braucht neben entsprechenden IT-Sicher- Konten mehr vergessen – beispielsweise, gabe sind hier im Visier der Cyberkriminel-
heitsmechanismen vor allem flexible Wege, wenn ein Angestellter das Unternehmen len, da sie den Angreifern eine breite Pa-
um die Verwaltung von unterschiedlichen verlässt. Auch das ungewollte Teilen von lette zur deren Bereicherung eröffnen. Mik-
Administrationsaccounts zu erleichtern. Zugängen wird unterbunden. IT-Verant- romanagement allein ist schon zeitaufwen-
wortliche können zudem Sicherheitsvor- dig und unwirtschaftlich. Durch die speziel-
Die Brücke zwischen IT und OT gaben einfacher umsetzen: Alle Aktionen len Anforderungen potenziert sich diese
werden aufgenommen und bei Proble- Problematik – falls sich eine Organisation
Ein Wartungszugriff kann viel Aufwand men ist nachvollziehbar, wie es zu einem nicht entsprechend aufstellt. ■
bedeuten: Das Fernzugriffsfenster eines Vorfall kommen konnte. Cyberangriffen
Technikers darf nicht gegen IT-Sicher- kann zudem durch Passwortmanagement Der Autor Markus Westphal ist Director Central
heitsrichtlinien verstoßen und der ge- und Segmentierung vorbeugt werden. Europe & DACH bei Wallix.
samte Vorgang muss trotzdem protokol- Gerade bei Ransomware wird die Bedro-
liert werden. Gleichzeitig muss sicherge- hung deutlich abgemildert. Zudem kön- www.wallix.com
IT&Production 9/2018
IT-SICHERHEIT | ÜBERBLICK
Halle 9
Systeme und Ansätze
Modernisierungsschub DSGVO
Stand 416
Mit Inkrafttreten der EU-Datenschutz-
grundverordnung (EU-DSGVO) stehen
viele Unternehmen vor der Herausfor-
derung, Systeme und Prozesse rund
Bild: © everythingpossible/Fotolia.com
um die IT-Sicherheit auf den Weg zu
bringen oder zu modernisieren. Doch
welche Systeme, außer Virenscannen
und Co, gibt es und was bringen sie in
Bezug auf die DSGVO?
D
ie EU-Datenschutzverordnung tion-Lösungen verstreute Daten suchen, heitsrelevanten Vorfällen und gibt priori-
war ein Weckruf für viele Unter- deren Speicherorte identifizieren und Da- sierte Warnmeldungen aus. Dann muss die
nehmen, ihren Datenschutz zu tenströme filtern. Identitätsmanagement, IT noch feststellen, ob das Ereignis im Sinn
überarbeiten. Denn viele Unternehmen Verschlüsselung und Datenbanksicherheit der DSGVO meldepflichtig ist.
kennen ihre Datenbestände nur unzurei- können aber ebenfalls im Rahmen einer
chend und wissen kaum über ihre Daten- umfassenden Sicherheits-Policy eingebun- Regeln für die Cloud
flüsse Bescheid. Dann gilt es zunächst, sich den werden. Spezielle Vulnerability Mana-
einen Überblick über eigene Strukturen zu ger können automatisiert alle Datenbanken Wer in einer Cloudinfrastruktur Daten von
verschaffen. Auf diese Weise lässt sich innerhalb eines Netzwerks ermitteln und Dritten speichert oder verarbeitet, ist über
quasi als Nebeneffekt die Schatten-IT im auf Schwachstellen prüfen. Viele sind der den DSGVO-Passus der Rechenschafts-
Unternehmen etwas einhegen. In vielen Auffassung, dass selbst der Einsatz dieser pflicht für den datenschutzkonformen Um-
Fällen werden Firmen ihre Systeme zur IT- Systeme nicht ausreicht, um allen techni- gang der Daten in der Cloud verantwort-
Sicherheit überarbeiten oder sogar neue schen Anforderungen der DSGVO gerecht lich. Hier können sogenannte Cloud Access
einführen müssen, um einer strengen Inter- zu werden. Zumal in einigen Fällen er- Security Broker (CASB) helfen. Diese
pretation der Verordnung zu entsprechen. kannte Datenschutzverletzungen binnen 72 Dienste schaffen eine Kontrollschicht zwi-
Um die Auslegung der DSGVO selbst kom- Stunden gemeldet werden müssen. schen Cloud und Nutzer, um regelbasiert
men Unternehmen übrigens nicht herum. Vorgaben eines Unternehmens auf die
Viele Formulierungen im Papier sind unein- Event Management etablieren Cloud zu übertragen. Die IT einer Firma
deutig, etwa wenn ‘geeignete’ und ‘ange- kontrolliert somit, welche Geräte oder Per-
messene’ Maßnahmen ohne weitere Defi- Mit Inkrafttreten der Verordnung fordert sonen auf Clouddaten zugreifen dürfen.
nitionen eingefordert werden. IT-Verant- die EU von Unternehmen, einen ständigen
wortliche müssen also selbst eine Strate- Überblick zu bewahren, was mit ihren Mehr als lästige Pflicht
gie entwickeln. Genau darin kann aber Daten geschieht. Mit Security Information
auch eine Chance liegen. Nach der Be- and Event Management (SIEM)-Lösungen Gesetzgeber und Verbraucher nehmen
standsaufnahme der Datenflüsse muss der können Unternehmen ihre verzweigten In- den Datenschutz immer ernster. Werden
Schutzbedarf verschiedener Datenarten frastrukturen überwachen und zentral ver- Verstöße in Sachen Datenschutz be-
festgestellt werden. Anschließend sollten walten. Das System kontrolliert den Daten- kannt, steht das Vertrauen der Kunden
Prozesse implementiert werden, die eine verkehr zwischen Routern, Switches und auf dem Spiel. In diesem Sinn lassen sich
Kontrolle der Datenflüsse ermöglichen. Lö- Servern und zeichnet Log-Events auf. Au- die Investitionen in die eigene IT-Sicher-
sungen wie Anti-Virenprogramme sowie ßerdem können mit solchen Systemen Si- heit auch als eine längst überfällige Mo-
Netzwerk- und Endgeräteschutz stoßen in cherheitsrichtlinien zentral implementiert dernisierung verstehen. ■
der Regel an enge Grenzen. werden. IT-Mitarbeitern geben diese An-
wendungen oft Informationen über ihre
Zugriffe kontrollieren Systeme auf übersichtlichen Dashboards Der Autor Hans-Peter Bauer ist Vice President
aus. So können selbst zuvor unbekannte Central & Northern Europe bei McAfee.
Wer ein höheres Maß an Sicherheit an- Datenquellen erfasst werden. SIEM sam-
strebt, kann etwa mit Data-Loss-Preven- melt automatisch Informationen zu sicher- www.mcafee.com/de
IT&Production 9/2018
=ZHL:HOWHQ²
HLQ6ZLWFK
6&$/$1&(;YHUELQGHW
2IILFH,7XQG3URGXNWLRQVQHW]ZHUN
6&$/$1&(;,QGXVWULDO(WKHUQHW6ZLWFKHVVRUJHQVRZRKOIU
GHQQDKWORVHQhEHUJDQJ]ZLVFKHQ2IILFH,7XQG3URGXNWLRQVQHW]
ZHUNDOVDXFKIUGLH6WUXNWXULHUXQJ,KUHV,QGXVWULDO%DFNERQHV
'DEHLXQWHUVWW]HQGLH6ZLWFKHVLQGXVWULHVSH]LILVFKH)XQNWLRQHQ
XQGW\SLVFKH,7.RPPXQLNDWLRQVVWDQGDUGV*DQ]HJDORELQ,QGXVWULH
DQODJHQRGHULQLQGXVWULHQDKHQ$QZHQGXQJHQ
6&$/$1&(;
,QGXVWULDO(WKHUQHW6ZLWFKHVVRUJHQIUK|FKVWH1HW]ZHUNYHUIJ
EDUNHLWXQGGDVPLWELV]X*ELWV
.RPSHWHQ]LQLQGXVWULHOOHQ1HW]ZHUNHQ
3'3$$
VLHPHQVGH[
IT-SICHERHEIT | NETZWERK-MONITORING
Gefahren frühzeitig erkennen
Lösung zur Anomalieerkennung
Im Zuge der Digitalisierung müssen Industrieunternehmen beim Management ihrer Indus-
trial Control Systems (ICS) umdenken, um sowohl Cybersicherheit als auch Produktivität
zu gewährleisten. Die Netzwerkmonitoring-Ergebnisse bei einem Stahlunternehmen zei-
gen, wie intransparent und unsicher die Netzwerke noch sein können.
D
ie zunehmende Vernetzung der werden Industrial Control Systems (ICS) 55 Milliarden Euro. Dieser Wert berück-
Fertigung stellt Unternehmen durch die Anbindung an die Office-IT an- sichtigt noch nicht die Stillstände, die
vor neue Herausforderungen: fällig für externe Störungen wie Schad- sich aus technischen Fehlerzuständen
Zum einen erhöht sich die Anzahl und programme, Cyberattacken oder Manipu- und Netzwerkproblemen ergeben. Das
Heterogenität der Komponenten, was lation. Laut einer Bitkom-Studie kosten US-amerikanische Analystenhaus Gartner
die Komplexität steigert und Risiken von Angriffe auf die IT-Infrastruktur allein Un- beziffert die ungeplante Stillstandzeit
Netzwerkstörungen birgt. Zum anderen ternehmen in Deutschland jährlich rund auf jährlich durchschnittlich 87 Stunden
Bild: ©skeeze / Pixabay.com
IT&Production 9/2018NETZWERK-MONITORING | IT-SICHERHEIT
pro Unternehmen. Bei Kosten und Verlus-
ten zwischen mehreren Tausend bis hin
zu Hunderttausend US-Dollar je Stunde
entstehen somit noch weitere Schäden.
Das Analystenhaus Forrester Consulting
fand zudem heraus, dass nur 18 Prozent
aller Verantwortlichen zuverlässig alle
Komponenten und Vorgänge in ihrem In-
dustrial Control System kennen.
Kleine Störung, große Wirkung
Die Transparenz und das vollständige
Wissen über die Kommunikationsvor-
gänge und Teilnehmer innerhalb der ICS
ist jedoch Grundlage, um diese effizient
zu betreiben. Gerade in automatisierten Bild: Rhebo GmbH
Fertigungen können bereits kleine Stö-
Die frei konfigurierbare Bedienoberfläche des Rhebo Industrial Protector zeigt gebündelt Ereignisse
rungen zu Qualitätseinbußen und Pro- und Parameter im ICS an.
duktionsunterbrechungen führen. Das
gilt umso mehr, wenn Echtzeitprozesse
im Spiel sind. Im Rahmen von langfristi- widersprüchliche Gerätekonfigurationen, sowie sowie der unregulierte Versand si-
gen Netzwerkmonitoring-Projekten falsch ausgelegte Kapazitäten oder be- cherheitsgefährdender Dateien. Mittels
sowie Stabilitäts- und Sicherheitsaudits schädigte Komponenten beeinflussen die des ARP-Spoofings gibt sich der Hacker
in Industrie-4.0-Unternehmen tauchen Funktionalität des ICS. Im Fall des Stahl- beispielsweise gegenüber dem Kontroll-
immer wieder Sicherheitslücken und unternehmens identifizierte die Anoma- raum als Steuerung aus, während er in
technische Fehlerzustände auf. Davon lieerkennung unter anderem verschiedene Richtung des Production Floors vorgibt,
sind selbst gut gepflegte ICS nicht aus- Fehlermeldungen und TCP-Prüfsummen- der Controller zu sein. Damit kann er in
genommen. Um derartige Anomalien zu fehler. Die Prüfsumme gibt Aufschluss beide Richtungen die Prozesse manipulie-
erkennen eignet sich beispielsweise die über die Datenintegrität der Kommunika- ren. Im vorliegenden Fall wurde das nicht
Anomalieerkennung Rhebo Industrial tion. Prüfsummenfehler deuten daher auf autorisierte Gerät umgehend entfernt.
Protector. Diese überwacht die Kommu- Daten- oder Übertragungsfehler hin, die Des Weiteren empfing ein Windowsrech-
nikation innerhalb eines ICS. häufig durch fehlerhaftes Netzwerkequip- ner, der für die Entwicklung von Siemens-
ment entstehen. Diese können dann zu Programmen (Simatic) genutzt wird, eine
Schnell erste Ergebnisse Verzögerungen oder Ausfällen bei Echt- nicht benötigte ini-Datei, ein Dateityp,
zeitprozessen führen, was die Produktivi- der häufig zur Verbreitung von Schad-
Die Anomalieerkennung setzte 2017 auch tät beeinträchtigt. Bei einer SPS wurde software genutzt wird. Die beteiligten
ein deutsches Stahlunternehmen ein, um beispielsweise eine bislang unentdeckte Geräte wurden identifiziert und die Kom-
eine Bestandsaufnahme seines ICS vorzu- Fehlermeldung innerhalb des S7-Proto- munikation unterbunden.
nehmen. Die Lösung wurde dazu passiv kolls, das zur Programmierung von SPSen
und rückwirkungsfrei in das zu überwa- eingesetzt wird, entdeckt. Diese wies auf Gefahren erkannt,
chende ICS integriert. Erste Ergebnisse einen möglichen Programmierfehler hin, Gefahren gebannt
lagen bereits direkt nach der Inbetrieb- der mittelfristig die Funktionalität der SPS
nahme vor. Eine Detailanalyse der Kommu- hätte gefährden können. Das Stahlunternehmen erlangte durch
nikationsmuster im ICS machte weitere den Einsatz der industriellen Anomalieer-
Anomalien sichtbar, welche die Cybersi- Unentdecktes aufgedeckt kennung Klarheit aller Vorgänge in sei-
cherheit oder sogar die Produktivität der nem Industrial Control System. Fehlkon-
Fertigung hätten beeinträchtigen können. Wie eine Studie des SANS Institutes zeigt, figurationen und potentielle Sicherheits-
verbinden sich 32 Prozent aller IIoT-Ge- risiken wurden eindeutig identifiziert und
Technische Fehlerzustände räte automatisch mit dem Internet. Dabei beseitigt. Die Grundlage für eine stö-
nicht vernachlässigen werden traditionelle IT-Sicherheitsschich- rungsfreie, stabile und sichere vernetzte
ten regelmäßig umgangen. Auch im Stahl- Produktion ist somit gelegt. ■
Auch wenn der Fokus vieler Netzwerkma- unternehmen fanden sich mehrere, zuvor
nagement-Strategien auf der IT-Sicherheit unentdeckte Sicherheitslücken: Dazu ge- Der Autor Martin Menschner ist CTO
liegt, sollten technische Fehlerzustände hörte u.a. ein vermutliches ARP(Address bei der Rhebo GmbH.
nicht vernachlässigt werden. Fehlerhafte Resolution Protocol)-Spoofing über einen
Einstellungen bei Routern oder Firewalls, nicht registrierten Einplatinenrechner www.rhebo.com
IT&Production 9/2018IT-SICHERHEIT | QUANTENSIMULATION
Bild: © Tramvaen / Fotolia.com
Halle 10.1
Quanten-Computing
Stand 608
Götterdämmerung für die
moderne Krypthographie?
Die superschnellen Quantensysteme sind dafür prädestiniert, die Datenströme in Indus-
trie-4.0-Umgebungen und für Anwendungen des Internet of Things zu verarbeiten. Das
findet so noch nicht statt, aber Simulationsplattformen stehen bereit, um etwa IoT-An-
wendungsfälle zu programmieren. Bei allen Vorteilen dieser Technologie ist es dringend
angeraten, neue Sicherheitsstandards für eine quantensichere Verschlüsselung zu prüfen.
D
ie Plattformökonomie ist eine dungsmöglichkeit für Industrie 4.0 und Der Anwendungsfokus der Plattformöko-
Herausforderung für die Ferti- Internet of Things (IoT) stellt die voraus- nomie wird sich jedoch in dem Maße
gungsbranche: Damit Unterneh- schauende Wartung (Predictive Mainten- weiten müssen, wie die Vernetzung fort-
men dabei von einem möglichst großen ance) dar. Sensoren produzieren dabei schreitet, da dadurch noch größere und
Nutzen profitieren, müssen Serviceplatt- Datenströme, die von einer Streaming- variablere Datenströme entstehen. Durch
formen aufgebaut und das Domänenwis- Analytics-Software in einer bestimmten die Weiterentwicklung der Plattformöko-
sen verbunden werden. Gelingt das nicht, Reihen- und Zeitfolge bearbeitet wird. nomie müssen zukünftig noch mehr
drohen branchenfremde Drittanbieter, Aus den Sensordaten lassen sich mittels Daten verarbeitet und neue Anwen-
Nischen zu erobern. Ihnen mag das Fach- integriertem maschinellem Lernen und dungsfälle entwickelt werden. Die Quan-
wissen über die Maschinen- und Anla- den statistischen Wartungsinformationen tentechnologie scheint prädestiniert zu
genwelt fehlen, aber sie wissen, wie man Erkenntnisse extrahieren und in Echtzeit sein, beim Lösen dieser beiden Heraus-
Daten-Services entwickelt. Eine Anwen- anwenden sowie Vorhersagen treffen. forderungen entscheidend mitzuhelfen.
IT&Production 9/2018QUANTENSIMULATION | IT-SICHERHEIT
Parallele Datenverarbeitung liert. Diese Zustandsänderungen der Qu- gefolgt von IBM, dessen Quantenrechner
bits lassen sich messen und für das Er- 50Qubit leisten soll. Hauchdünn dahinter
Im Gegensatz zu herkömmlichen Super- gebnis in Null- oder Eins-Werte ‘einfrie- rangiert Intel: Der Halbleiterhersteller hat
rechnern können Quantenrechner Un- ren’. Es bedarf jedoch besonderer Quan- seinen Chip Tangle Lake mit 49Qubit
mengen an Daten parallel verarbeiten. tenalgorithmen, um ein Quantengatter ausgestattet. Am weitesten gediehen ist
Diese Fähigkeit wird sich gerade in einer nutzen zu können. der Ansatz, der auf Supraleiter setzt.
Industrie-4.0-Umgebung und bei diver- Doch der Aufbau dieser Systeme bei-
sen Anwendungsszenarien für das IoT Supraleiter und spielsweise von Google und Intel sind
als großer Vorteil erweisen. Für das Ana- die Alternativen überaus komplex, um sie für den Supra-
lysieren und Optimieren von Produkti- leitungseffekt bis fast auf den absoluten
onsprozessen und vernetzten Ferti- Viele der möglichen Anwendungsfelder Nullpunkt – also -273,15°C oder 0°K – he-
gungsumgebungen eröffnen sich end- wie Verkehrssimulationen, Finanztrans- runter zu kühlen. Diese aufwendige Aus-
lose Möglichkeiten, die gewaltigen Da- aktionen oder eben IoT-Szenarien setzen stattung schlägt sich im Anschaffungs-
tenmengen mit Quantencomputern in allerdings eine Rechenleistung voraus, preis nieder, der bei einer zweistelligen
Echtzeit zu beherrschen und nutzbar zu die nicht auf 50 bis 100Qubits beruht, Millionensumme beginnt. An technologi-
machen. Je mehr Variablen eine Berech- sondern bis zu 1.000Qubits verlangt. Der schen Alternativen wird geforscht,
nung aufweist, desto mehr kommt die Blick auf den aktuellen Entwicklungs- hauptsächlich um den Aufbau eines
Überlegenheit der Quantenrechner zum stand offenbart, dass trotz großer Fort- Quantensystems zu vereinfachen. In die
Tragen. Den Grundstein für das parallele schritte noch einiges zu tun bleibt, bis Richtung weisen Spin-Qubits, mit denen
Durchrechnen der verschiedenen Lö- Quantensysteme diese Ansprüche erfül- sich Intel und das niederländische For-
sungswege in Sekunden oder Millisekun- len und in großen Stückzahlen am Markt schungszentrum Qutech beschäftigen.
den legt ein Quantengatter, das die so- verfügbar sind. Das wird jedoch erst in Die Fachleute erzeugen die Spin-Qubits
genannten Quantenbits, kurz Qubits, zehn bis 20 Jahren soweit sein. Momen- mit Mikrowellenimpulsen, welche die
verschränkt und ihre Zustände von Null, tan setzt Googles Quantenprozessor Drehung eines Elektrons auf Siliziumsub-
Eins oder irgendwo dazwischen manipu- Bristlecone mit 72Qubit den Maßstab, strat steuern. Diese Technologie funktio-
- Anzeige -
@-yet Industrial IT Security GmbH
Kurzprofil @-yet Industrial IT Security GmbH
Durch Industrie 4.0 verschmilzt die Operational Technology Systeme sowie dem Ableiten von
(OT) mit der Bürowelt (IT) sowie dem Internet in rasender Schwachstellen aus IST-Aufnahmen
Geschwindigkeit. Dabei bietet die Vernetzung und Durchdringung können Risiken für die Fertigung im
mit IT auch im Produktionsumfeld ein immenses Potential um Vorfeld vermieden werden.
Abläufe nicht nur effizienter zu gestalten, sondern auch neue • Erstellung ganzheitlicher Sicherheits-
Produkt- und Geschäftsideen zu entwickeln. Doch mit dieser konzepte und deren Umsetzung Bild: @-yet GmbH
Öffnung sowie der dadurch entstehenden Komplexität wird die durch Integration aller notwendigen technischen, organisa-
Angriffsfläche in der Produktion enorm vergrößert. Die Not- torischen und physischen Maßnahmen.
wendigkeit von IT-Sicherheit wird somit immer wichtiger. • Check von Anlagen-Prototypen für Hersteller: Durch
umfangreiche Tests der Anlagen und Komponenten können
Der Ansatz der @-yet Industrial IT Security GmbH die Schwachstellen vor Inbetriebnahme oder Auslieferung
Unsere Stärke liegt in der ganzheitlichen Betrachtung der Netze, eliminiert werden.
Komponenten, Abläufe in OT und IT.
@-yet und @-yet Industrial IT Security decken alle relevanten Be-
reiche der Cybersicherheit von Industrieunternehmen ab und das
seit über 16 Jahren.
Kontakt
Leistungsportfolio @-yet Industrial IT Security GmbH
Geschäftsführung: Wolfgang Straßer und Hans Höfken
• Durchführung fundierter Analysen der Fertigungsprozesse
Ahornstraße 16 • 52074 Aachen
sowie deren Abhängigkeit von der eingesetzten IT.
Tel.: +49 2175 1655-0 • Fax: +49 2175 1655-11
• Durchführung von Sicherheitsanalysen mit kontrollierten info@add-yet-iis.de • www.add-yet-iis.de
Eingriffen und Risiken: Durch die Überprüfung repräsentativer
IT&Production 9/2018IT-SICHERHEIT | QUANTENSIMULATION
boratory (ORNL) in Oak Ridge (US-Bun- werden, desto geringer fällt später der
desstaat Tennessee). Das ORNL setzt Aufwand für die Nachrüstung aus. Somit
einen Quantensimulator von Atos ein, um gewinnt die Entwicklung neuer Sicher-
Bild: Atos Information Technology GmbH
Algorithmen zu entwickeln, zu optimieren heitsstandards auch für die Fertigungs-
und mithilfe von Emulation zu testen. Auf branche an Bedeutung, um beispiels-
der Atos Quantum Learning Machine weise den Datentransport zwischen IoT-
(QLM) lassen sich bis zu 41Qubit simulie- Endpunkten und Gateway in einem IoT-
ren. Das ORNL nutzt diese Möglichkeit, System oder 5G-Protokolle abzusichern.
um Algorithmen ausgiebig zu testen. Da- An dieser Stelle kommen die Quanten-
nach führen die Forscher ihre erstellten rechner wieder ins Spiel: Mit ihnen las-
Spezialisten ohne die finanziellen Mittel für einen
Algorithmen auf einem echten Quanten- sen sich auch solche Datentransfers
eigenen Quantencomputer können mit dem
Quantensimulator von Atos experimentieren. computer von IBM aus. Dieses Vorgehen schützen, etwa durch eine starke Ver-
ist deutlich effizienter; als ausschließlich schlüsselung und sichere Verfahren für
die teure Hardware zu verwenden. den Austausch von Schlüsseln.
niert bereits bei 1°K – eine scheinbar ge-
ringe Temperaturveränderung, die eine Sicherheit Pflicht oder Kür?
deutliche Systemvereinfachung erlaubt. wichtiger denn je
In eine ganz andere Richtung blickt das Nur wenige Akteure investieren bisher in
Institut für Quantenoptik und Quanten- Ein weiterer Kunde von Atos, die FH die extrem teure Hardware für Quanten-
information (IQOQI) der Universität Inns- Oberösterreich in Hagenberg, nimmt systeme. Simulationsplattformen bieten
bruck – es forscht an Qubits in Ionenfal- noch aus einem anderen Grund eine hingegen eine wichtige Alternative, um
len. Eine Vielzahl von Experten sieht im Vorreiterolle ein: Informationssicherheit. in die Nutzung der Quantentechnik ein-
Noisy Intermediate-Scale Quantum Warum ist das nötig? Die Rechenleis- zusteigen. Die fortschreitende Vernet-
(NISQ) einen vielversprechenden Ansatz. tung von Quantensystemen kann mit- zung liefert der Fertigungsbranche gleich
Dieser kommt ohne die üblichen komple- hilfe des Shor-Algorithmus gegen asym- zwei wesentliche Motive, sich mit Quan-
xen Fehlerkorrekturverfahren aus. Auch metrische Kryptosysteme wie RSA oder tensimulatoren zu beschäftigen: Solch
das führt zu einem einfacheren Quanten- ECC (Elliptic Curve Cryptography) ge- eine Plattform ließe sich ideal für das
system, geht aber mit einem höheren richtet werden. Mit einem Beschleuniger Programmieren von IoT-Anwendungsfäl-
Rauschen, also einer höheren Fehlerrate, von 1.000 logischen Qubits werden sich len nutzen. Auch könnten mit der Re-
einher. Das Manko lässt sich durch spe- diese Kryptosysteme, die derzeit zur Si- chenleistung der Simulatoren noch feh-
zielle Quantenalgorithmen wieder aus- cherung des Internets verwendet wer- lende Anwendungen für Big Data und
gleichen, die auf flachen Schaltkreisen den, in jedem Fall brechen lassen. künstliche Intelligenz geschaffen werden.
(Shallow Circuits) laufen. Zudem lässt sich die Rechenleistung der Wer zeitig in die nötige Entwicklungsar-
Quantensysteme auch gegen symmetri- beit einsteigt, stärkt seine Wettbewerbs-
Forscher simulieren sche Verfahren wie AES (Advanced En- fähigkeit. Wenn Industrie- und Ferti-
erst einmal cryption Standard) und SHA (Secure gungsunternehmen ihre Prioritäten je-
Hash Algorithm) richten. Auf lange Sicht doch in anderen Bereichen sehen, sollten
Einsatzfähige Systeme existieren zwar, droht nicht das gänzliche Entschlüsseln, sie sich den Sicherheitsaspekt vor Augen
aber die hohen Anschaffungskosten hal- aber ein Halbieren der eingesetzten halten: Quantensimulatoren helfen, ihr
ten die Anwendergemeinde klein. Cloud- Schlüssellängen. Das National Institute künftiges Industrie 4.0- und IoT-Geschäft
Plattformen stellen in der Hinsicht einen of Standards and Technology (NIST) in abzusichern. Zunächst könnte mit dem
preiswerten Zugang dar. So können Inte- den USA hat aufgrund dieses Bedro- Simulator die Stärke von Quantencom-
ressenten über eine Cloud-Plattform auf hungspotenzials eine Initiative mit dem puter-gestützten Entschlüsselungstech-
einen Quantencomputer der Reihe IBM Q Ziel gestartet, neue standardisierte Ver- niken überprüft werden. Der nächste lo-
zugreifen, der in einem Forschungslabor schlüsselungsverfahren zu entwickeln. gische Schritt wäre das Entwickeln von
von IBM steht. Ebenso sind Quantensimu- Der Evaluierungsprozess wird etwa drei Lösungen, die vor Entschlüsselungsver-
latoren mit deutlich weniger Anschaf- bis fünf Jahre dauern. Anschließend wer- suchen schützen. Ohne solche Algorith-
fungskosten verbunden. Unter diesen den auf Basis der Ergebnisse neue Post- men lassen sich in Zukunft persönliche
Rahmenbedingungen kristallisieren sich Quanten-Verschlüsselungsstandards er- sowie Kunden- und Geschäftsdaten
derzeit vor allem zwei Anwendergruppen stellt. Das Unterfangen ist zwar aufwen- nicht mehr ausreichend vor dem Zugriff
heraus. Zum einen sind es Forschungsein- dig und kostet viel Zeit, auf der anderen Unbefugter sichern. ■
richtungen, die Quantenalgorithmen ent- Seite ist dieselbe Verschlüsselungstech-
wickeln und testen. Die andere Anwen- nologie in bestimmten Systemen bis zu Der Autor Philippe Duluc ist CTO Big Data
dergruppe bilden Universitäten, die Stu- 20 Jahre im Einsatz. Je früher Kraftwerke, und Security bei Atos Information
denten in Programmiersprachen für Quan- Industrieanlagen, Maschinen oder IoT- Technology GmbH.
tencomputer ausbilden. Die erste Gruppe Komponenten mit einer zukunftssiche-
repräsentiert das Oak Ridge National La- ren Datenverschlüsselung ausgestattet www.atos.net
IT&Production 9/2018Bis 2020 wird es 20 Milliarden vernetzter
Geräte weltweit geben.
1 Milliarde Zertifikate wurden bereits mit der Nexus PKI
für nahezu alle Branchen erstellt. Die Nexus CA kann
10.000 Zertifikate pro Sekunde ausstellen.
Noch Fragen?
Treffen Sie uns auf der it-sa:
IAM-Area, Stand 10.0-420
nexusgroup.comIT-SICHERHEIT | DDOS-SCHUTZ
Halle 10.0
Schutz vor Distributed-Denial-of-Service-Attacken
Stand 311
Waschstraße für den
Internet-Traffic
Bild: PlusSsrver GmbH
Sind der Online-Shop oder Unternehmensanwendungen nicht erreichbar, könnte dahinter
eine Distributed-Denial-of-Service-Attacke stehen. Bei dieser Art von Cyberangriff wird
das Ziel durch eine große Anzahl gleichzeitiger Anfragen überlastet. Um sich davor zu
schützen, lassen sich verschiedene Security-Lösungen kombinieren.
D
urch die Digitalisierung werden sollte zu jeder Digitalisierungsstrategie rere Angriffsarten kombiniert, um beispiels-
die Infrastrukturen im Unterneh- auch die entsprechende Securitystrategie weise durch einen DDoS-Angriff von einem
men nach außen geöffnet und inklusive DDoS-Schutz gehören. Angriff auf Webanwendungen abzulenken.
mit Schnittstellen an das Internet ange- So kann sich ein Angreifer Zugriff auf Daten-
bunden. So können Unternehmen schnell Angriff oder banken verschaffen, um Daten zu stehlen
und flexibel mit Kunden und Dienstleis- Ablenkungsmanöver? oder zu manipulieren. Im schlimmsten Fall
tern kommunizieren, unmittelbar auf An- können dann auch Entwicklungs- oder Pro-
forderungen reagieren, just-in-time pro- Cyberattacken können geschäftskritische duktionsdaten, die unternehmensinterne
duzieren und so die Lagerhaltungskosten Unternehmensanwendungen vorüberge- Kommunikation sowie vertraulichen Infor-
verringern. Doch trotz aller Vorteile birgt hend außer Gefecht setzen oder auch dau- mationen über neue Produkte betroffen sein.
diese Öffnung auch Gefahren: Je mehr erhaft schädigen. Die Angriffsmethoden rei-
Schnittstellen nach außen bestehen, chen von volumetrischen DDoS-Angriffen, Betriebliche Vorgänge
desto anfälliger werden die Infrastruktu- die Zielsysteme durch eine hohe Anzahl geraten ins Stocken
ren für Angriffe über das Netz wie bei- gleichzeitiger Anfragen überlasten, bis hin
spielsweise DDoS-Attacken (Distributed zum Ausnutzen von Sicherheitslücken in Wenn Systeme und die darauf betriebe-
Denial of Service). Aus diesem Grunde Webanwendungen. Oft werden auch meh- nen Anwendungen infolge eines DDoS-
IT&Production 9/2018DDOS-SCHUTZ | IT-SICHERHEIT
Angriffs nicht erreichbar sind, können be-
triebliche Vorgänge ins Stocken geraten:
Kunden sind nicht in der Lage, neue Be-
stellungen aufzugeben, Lieferanten wer-
den nicht rechtzeitig über benötigte
Werkstoffe informiert und die Produktion
gerät in Verzug. Unter Umständen können
auch Vertragsstrafen drohen, wenn die
Auslieferung von Waren nicht wie geplant
stattfindet, weil beispielsweise die Lkw-
Flotte nicht mehr koordiniert werden
kann. Hinzu kommen wirtschaftliche Ver-
luste aufgrund unproduktiver Mitarbeiter,
wenn diese nicht auf ihre Daten zugreifen
können oder die Kommunikation extern
Bild: Plusserver GmbH
sowie intern ausgefallen ist. Imageverluste
drohen beispielsweise, wenn Kundenda-
ten entwendet wurden. Um die Wahr-
scheinlichkeit eines erfolgreichen Angriffs
aus dem Netz zu reduzieren, stehen eine
Reihe von Mitteln zur Verfügung. Je nach Lösungstyp findet die Mitigation an weltweit verteilten Knotenpunkten, in einem Scrubbing Center
oder direkt im Rechenzentrum statt.
DDoS-Schutz für Unternehmen
Die Auslagerung von Diensten in externe Gateway Protocols auf die Scrubbing Cen- identifizierbar, auf welche die Security-Fir-
Rechenzentren oder Cloudlösungen kann ter umgeleitet bzw. geroutet wird, spricht men umgehend reagieren und ihre Lösun-
ein erster Schritt sein, um die Sicherheit man auch von BGP-basierten Lösungen. gen entsprechend optimieren. In der
der Daten und Anwendungen zu steigern Die Abwehr von Schadtraffic erfolgt bei jüngsten Ausgabe seines State of the In-
– sofern der Anbieter eine Rund-um-die- dieser Methode bereits am Rande des ternet Security Reports (Sommer 2018)
Uhr-Betreuung der Infrastruktur im Rah- Netzwerks, bevor er das Rechenzentrum verzeichnet Akamai, ein Anbieter von
men eines Managed Hostings zur Verfü- erreicht. So sorgt die Lösung auch dafür, DDoS-Schutzlösungen, einen weltweiten
gung stellt. Dazu gehören die Überwa- dass während eines Angriffsversuchs die Anstieg der DDoS-Angriffe um insgesamt
chung der Systeme sowie regelmäßige Leitungen ins Rechenzentrum für den ge- 16 Prozent. Webanwendungen wurden
Back-ups oder ein Patch-Management. wollten Verkehr frei bleiben. Eine WAF bie- zudem um 38 Prozent häufiger angegrif-
Auch sollte ein Anbieter verschiedene tet in dieser Konstellation Schutz gegen fen als im Sommer des Vorjahres. Die Se-
DDoS-Schutzlösungen im Portfolio aufwei- Angriffe, die direkt auf Schwachstellen in curity-Experten von Link11 konzentrieren
sen. Managed-Hosting-Provider arbeiten Webanwendungen abzielen. Sie unter- ihre Auswertung auf die DACH-Region
dabei meist mit Security-Lösungsanbietern scheidet sich von herkömmlichen Firewall- und registrierten im ersten Quartal 2018
zusammen. Zertifizierungen wie ISO27001 Lösungen insofern, als dass sie die ein- und durchschnittlich täglich 160 Attacken auf
oder IT-Grundschutz nach den Vorgaben ausgehende Kommunikation direkt auf der verschiedene Ziele. Der Spitzenwert bei
des Bundesministeriums für Sicherheit in Anwendungsebene überwacht. Klassische der Angriffsbandbreite betrug 212GBit/s.
der Informationstechnik bieten darüber hi- Firewalls arbeiten hingegen auf der Netz- Solche großvolumigen Angriffe traten in
naus Orientierung, um die Datensicherheit werkebene und stellen daher keinen jüngerer Vergangenheit vermehrt auf, was
beim Managed-Hosting-Anbieter einzu- Schutz gegen Angriffe dar, die auf dem u.a. auf die Kaperung ungeschützter IoT-
schätzen. Für den DDoS-Schutz bietet sich Hypertext Transfer Protocol (HTTP) basie- Geräte durch Cyberkriminelle zurückge-
für produzierenden Unternehmen vor ren. Die Arbeit der WAF sollte zusätzlich führt wird. Da deren Zahl in Zukunft wei-
allem eine Lösung an, die die gesamte IT- mit regelmäßigen Vulnerability-Scans un- ter ansteigen dürfte, vermuten Security-
Infrastruktur berücksichtigt. Das bedeutet, terstützt werden. So können Sicherheitslü- Experten weitere großangelegte Attacken
dass neben der Website oder dem Web- cken in den Anwendungen von vornehe- in der nächsten Zeit. Die Vorsorge durch
shop auch Mailsysteme, Datenbanken rein aufgedeckt und beseitigt werden, so- geeignete Schutzmaßnahmen sollte somit
oder ERP-Anwendungen vor Attacken ge- fern bereits ein entsprechender Sicher- auf der Agenda aller IT-Verantwortlichen
schützt werden. Diese Lösungen arbeiten heitspatch zur Verfügung steht. in Unternehmen stehen. ■
mit sogenannten Scrubbing-Centern –
einer Art Waschstraße für den Internet- Angiffe nehmen zu Der Autor Patrick Czech ist Head of Cloud
Traffic – in Kombination mit einer Web Ap- Product Manager bei PlusServer GmbH.
plication Firewall (WAF). Da der einge- Wie in vielen anderen Bereichen sind auch
hende Datenverkehr mithilfe des Border in der Cyberkriminalität bestimmte Trends www.plusserver.com
IT&Production 9/2018Sie können auch lesen
