IT-Sicherheit für NRW 4.0 - Gemeinsam ins digitale Zeitalter. Aber sicher. Prof. Dr. (TU NN) Norbert Pohlmann _ Prof. Dr. Thorsten Holz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Prof. Dr. (TU NN) Norbert Pohlmann _ Prof. Dr. Thorsten Holz IT-Sicherheit für NRW 4.0 Gemeinsam ins digitale Zeitalter. Aber sicher.
Die Autoren
Prof. Dr. (TU NN) Norbert Pohlmann
if(is) – Institut für Internet-Sicherheit
Westfälische Hochschule, Gelsenkirchen
pohlmann@internet-sicherheit.de
Prof. Dr. Thorsten Holz
Horst Görtz Institut für IT-Sicherheit (HGI)
Ruhr-Universität Bochum
thorsten.holz@rub.de
Sebastian Barchnicki
if(is) – Institut für Internet-Sicherheit
Westfälische Hochschule, Gelsenkirchen
barchnicki@internet-sicherheit.de
Folgende Personen haben initial an diesem Dokument mitgewirkt:
Prof. Dr. (TU NN) Norbert Pohlmann, if(is) – Institut für Internet-Sicherheit, Gelsenkirchen
Prof. Dr. Thorsten Holz, Horst Görtz Institut für IT-Sicherheit, Bochum
Sebastian Barchnicki, if(is) – Institut für Internet-Sicherheit, Westfälische Hochschule, Gelsenkirchen
Dr. Rainer Baumgart, secunet Security Networks AG, Essen/TeleTrusT e. V., Berlin
Dr. Roland Büschkes, RWE AG, Essen
Dr. Jörg Bröckelmann, ThyssenKrupp AG, Essen
Ammar Alkassar, Sirrix AG, Bochum/TeleTrusT e. V., Berlin
Monika Gatzke, CPS.HUB NRW Bergische Universität, Wuppertal
Hubert Martens, networker NRW e. V./nrw.unITS, Essen
Prof. Dr. Jörg Schwenk, Ruhr-Universität Bochum
Friederike Schneider, nrw.uniTS/Horst Görtz Institut für IT-Sicherheit, Bochum
Das Strategiepapier wurde im Rahmen des vom Ministerium für Innovation, Wissenschaft
und Forschung (MIWF) des Landes Nordrhein-Westfalen initiierten Round Table IT-Sicherheit
angestoßen und umgesetzt.
Gefördert durch Die Erstellung dieses Dokuments wurde unterstützt von dem IT-Sicherheitsnetzwerk nrw.uniTS.
gefördert durch
Informationen rund um dieses Dokument, über die Autoren und die neuste Version zum
Download erhalten Sie unter: www.it-sicherheit-nrw.de
Stand dieses Dokuments: 29.02.2016
Zusammenfassung
Das Internet hat in nahezu allen gesellschaftlichen Bereichen von der Politik und Verwaltung über
die Wirtschaft und Zivilgesellschaft bis hin zum individuellen Bürger, massive Veränderungsprozesse
ausgelöst. Seine Entwicklung unterliegt einer ungebremsten Dynamik, die sich einer gezielten Steu-
erung bisher weitestgehend entzieht und kaum vorhersehbar ist. Die Digitalisierung aller Geschäfts-,
Arbeits- und Lebensbereiche hat auch für Nordrhein-Westfalen unausweichliche Implikationen. Auf
der einen Seite ermöglicht der digitale Wandel viele neue Geschäftsmodelle und erleichtert deren
Abwicklung über das Internet. Auf der anderen Seite vergrößert sich der Raum für Begehrlichkeiten
und Manipulationen; die Bedrohungen durch Wirtschaftsspionage und Sabotage wachsen. Betroffen
sind davon einerseits alle Schlüsselindustrien wie der Maschinenbau, der Automobilbau, die chemi-
sche Industrie, die Medizintechnik, Banken und Versicherungen sowie viele andere Branchen und
andererseits auch alle Bürgerinnen und Bürger.
Nordrhein-Westfalen (NRW) ist das bevölkerungsstärkste Bundesland Deutschlands und gemes-
sen am Bruttoinlandsprodukt auch wirtschaftlich das Stärkste. Die Wirtschaft ist geprägt durch eine
gute Infrastruktur, qualifizierte Arbeitskräfte und hochwertige Gewerbeflächen. Gleichzeitig verfügt
NRW über eine sehr starke Forschungslandschaft und insbesondere im Bereich IT-Sicherheit ist NRW
deutschlandweit führend. Um für die Menschen in NRW die positiven Aspekte der Digitalisierung zu
stärken und die Gefahren einzudämmen, muss gemeinsam mit allen Stakeholdern aus Wirtschaft,
Wissenschaft, Verwaltung und Politik eine nachhaltige Strategie zur Stärkung der IT-Sicherheit in
den benannten Bereichen entwickelt werden. Dieses Papier stellt hierfür einen Vorstoß dar und soll
als Grundlage für weitere Diskussionen dienen.
Die wichtigsten Herausforderungen sind Datenschutz und Datensicherheit, Schutz vor Wirtschafts-
spionage, der Schutz von Privatheit und Selbstbestimmtheit, der Schutz kritischer Infrastrukturen und
die Sensibilisierung der Bürger. Für den Umgang mit den skizzierten Herausforderungen werden im
Folgenden Leitprinzipien definiert. Hierzu gehören unter anderem der Ausbau vorhandener Stärken
und die Entwicklung von Innovationen in für NRW wichtigen Schlüsselbereichen. Ebenso ist Fördern
und Kaufen ein zentraler Aspekt nach dem Prinzip „Lösungen aus der Region statt aus Übersee“.
Die Bemühungen anderer Bundesländer wie von Bayern, Baden-Württemberg und dem Saarland
zur Stärkung der IT-Sicherheit sind umfangreich. Daher müssen in NRW entsprechende Maßnahmen
getroffen werden, damit die Region nicht nur attraktiv bleibt, sondern auch künftig dem Wettbe-
werbsdruck standhalten und einen Spitzenplatz belegen kann. Das Ziel ist es, mit Hilfe von gezielten
Investitionen und Fördermaßnahmen den Bereich IT-Sicherheit in NRW weiter auszubauen und
damit die Zukunft zu sichern. Insbesondere im wissenschaftlichen Bereich soll die Spitzenposition
von NRW gefestigt werden.
Neben dem Ausbau der technischen Kompetenzen im Feld der IT-Sicherheit ist ebenso der Faktor
Mensch entscheidend für den Erfolg dieser Strategie. Im Mittelpunkt dieses Papiers stehen daher auch
die Kompetenzentwicklung und Einbindung der Bürgerinnen und Bürger in technologische Fragen
und die persönliche, kontinuierliche Weiterbildung. Durch qualifizierte Weiterbildung sollte den
Arbeitnehmerinnen und Arbeitnehmern verstärkt die Möglichkeiten gegeben werden, sich beruflich
in Richtung IT-Sicherheit zu verändern oder das bestehende Wissen zu vertiefen. Auch die Etablierung
einer Gründerkultur im Bereich IT-Sicherheit ist wichtig. Dies würde nicht nur regionalen Gründern
helfen, sondern auch die Attraktivität des Standortes NRW insgesamt weiter erhöhen.
NRW befindet sich an einem Scheideweg und muss entsprechende Weichen für die Zukunft
stellen: Innovationen und Forschung fördern und die hier gemachten Vorschläge zeitnah umsetzen.
IT-Sicherheit ist für den Standort NRW ein Enabling Faktor auf zahlreichen Ebenen, der viele Aspekte
der fortschreitenden Digitalisierung ermöglicht und NRW nachhaltig stärken kann.
IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. 5
Zudem sollen nicht nur Gründungen in der Region unterstützt werden, sondern auch die Ansiedlung
Die 10 wichtigsten Punkte für NRW von Unternehmen aus anderen Bundesländern in NRW gefördert werden. Eine Zusammenarbeit mit
der Initiative zur Digitalen Wirtschaft in NRW (DWNRW) ist hierbei erstrebenswert.
01.
Durchführung von mehreren „Leuchtturm-Projekten“ zur IT-Sicherheit
07.
Um die Stärken von NRW zu demonstrieren sollen initial einige Leuchtturmprojekte Ausbau der Förderung von Forschung zu sicheren und zuverlässigen IT-Systemen als
mit einer hohen Erfolgsaussicht gefördert und durchgeführt werden. Diese Projekte prospektive Maßnahme
demonstrieren die vorhandenen Kompetenzen und sollten inter- und transdisziplinär durchgeführt In der Produktentwicklung und Forschung wird der Bereich der Sicherheit und Privatsphäre
werden. Hierfür werden exemplarisch die folgenden Projekte vorgeschlagen: häufig nur wenig oder nicht beachtet. Das Prinzip „security by design“ – sprich die Berücksichtigung von
• Gründung einer Task Force IT-Sicherheit NRW 4.0 zur aktiven Umsetzung der hier genannten Ziele Sicherheitsanforderungen im Entwicklungsprozess – sollte verstärkt berücksichtigt werden. In NRW ist
• Gründung eines Cyber-Lagezentrums zur Erstellung und Interpretation von Kommunikationslage- eine besondere Stärke die Entwicklung von sicheren und zuverlässigen IT-Systemen und die Forschung
bildern in diesem Bereich sollte weiter ausgebaut werden. Des Weiteren ist für einen besseren Austausch und
• Gründung einer Lernfabrik als Demonstrator und Forschungsobjekt für sichere Industrie eine höhere Effizienz im Bereich der Forschung ein regionales Forschungsnetzwerk wünschenswert.
4.0-Anwendungen
08.
Europäische Mindeststandards bei Beschaffungen durch Behörden und
02.
Medienkampagne zur Sensibilisierung der Nutzer zum Thema IT-Sicherheit öffentliche Institutionen
Zur zielgerichteten Sensibilisierung der Bürgerinnen und Bürger aller Altersgruppen wird Bei der Beschaffung von IT-Sicherheitsprodukten sollte die Compliance von europäischen
die Produktion von Beiträgen für Fernsehen, Internet, Radio und Print angestrebt. Die Mindeststandards von öffentlichen Auftraggebern eingefordert und als Vergabekriterien berücksichtigt
Zielrichtung und Abgrenzung zu den jeweiligen Nutzergruppen kann sehr verschieden sein und sollte werden, wie sie beispielsweise vom Bundesverband IT-Sicherheit TeleTrusT definiert werden. So können
den Anforderungen und Lebenslagen der Menschen entsprechen. Hier sollte ein gestuftes Vorgehen potenzielle Gefahren durch Hintertüren (sog. Backdoors) vermindert und die Vertrauenswürdigkeit
geplant und umgesetzt werden. Auch ist z. B. im Unternehmensbereich dabei die gesamte Akteursket- der Systeme gesteigert werden. Dies hilft, das Sicherheitslevel in den Institutionen zu verbessern
te, vom Entscheidungsträger bis zum Anwender, zu berücksichtigen. Eine solche Kampagne soll das als auch die Wettbewerbsfähigkeit der heimischen IT-Sicherheitsindustrie zu stärken, die sich durch
Bewusstsein für IT-Sicherheit erhöhen, gleichzeitig darf sie jedoch nicht den Eindruck von „komplexer hohe Sicherheitsstandards auszeichnet. Darüber hinaus sollten Maßnahmen entwickelt werden, um
Wissenschaft“ vermitteln (angelehnt an die Sendereihe der „7. Sinn“ zur Verkehrssicherheit). Experten IT-Sicherheit als eigenständige Exportbranche zu entwickeln und die Marke „IT-Security made in Ger-
v. a. aus wissenschaftlichen Einrichtungen, Firmen, Initiativen wie Deutschland sicher im Netz, dem many“ am Weltmarkt zu etablieren.
Landeskriminalamt (LKA), Landespräventionsrat NRW, Verbraucherschutz, sowie dem Bundesamt für
09.
Sicherheit in der Informationstechnik (BSI) sollen involviert werden. Erhöhung der Nutzerakzeptanz von IT-Sicherheit
IT-Sicherheit in Form von Produkten und Diensten muss sicher, preiswert und vor allem
03.
„Digitalkompetenz“ (inklusive IT-Sicherheit) in den Schulen und Hochschulen stärken einfach nutzbar sein. Insbesondere Usability ist in vielen Bereichen und bei vielen Pro-
Der allgegenwärtige Umgang mit IT ist für die meisten Schülerinnen und Schüler selbst- dukten nicht gegeben, in diesem Bereich fehlt es an Innovationen und an Bestrebungen, die Situation
verständlich; der Ausbau der digitalen Kompetenz im Lehrplan wird helfen, vorhandenes zu ändern. Es sollte jedoch nicht nur die Forschung und Entwicklung von IT-Sicherheitsprodukten und
Wissen auszubauen und den Umgang mit Gefahren und Risiken zu trainieren. Das Bewusstsein für Mög- -Dienstleistungen gestärkt werden, sondern insbesondere die IT-Sicherheit im jeweiligen Anwendungs-
lichkeiten und Risiken im Internet wird auf diese Weise beim Nachwuchs geschärft. Wichtig ist ebenso kontext. Die eigentliche Herausforderung (neben der Entwickelung von innovativen Sicherheitsmecha-
die Einbeziehung von klassischen Lehrberufen und die Verankerung dieser Themen in Berufsschulen. nismen) ist es, diese Funktion erfolgreich in bestehende IT-Infrastrukturen und die zu unterstützenden
Aber auch Studierende kommen in beinahe allen Berufsgruppen unvermeidlich mit der Digitalisierung Verwaltungs- und Geschäftsprozesse zu integrieren. Hier gibt es große Defizite, die Nutzer heute von
in Kontakt und deshalb sollte auch in den Hochschulen das Thema Digitalkompetenz (inklusive IT- einer einfachen Anwendung abhalten. Im Rahmen einer inter- und transdisziplinären Kooperation soll
Sicherheit) in allen Studiengängen verankert werden. untersucht werden, wie die Akzeptanz von IT-Sicherheitslösungen erhöht werden kann, indem Produkte
leichter nutzbar werden. Insbesondere spielen hier Aspekte wie sicheres kollaboratives Arbeiten oder
04.
Ausbau von Professuren mit Schwerpunkt IT-Sicherheit für jeden IT-Ausbildungsgang leicht integrierbare Ansätze eine große Rolle. IT-Sicherheit soll als Enabler für neue Dienste und Produkte
Um dem stark wachsenden Bedarf an Fachkräften im Bereich IT-Sicherheit Rechnung dienen. Hierbei wäre eine Art „Gütesiegel“ für die Benutzer hilfreich.
zu tragen, muss die Lehre und Forschung gestärkt werden. Die verstärkte Nachfrage an
10.
Studienplätzen in dem Bereich kann mit der bisherigen Ausstattung der Universitäten und Hochschu- Sicherheitsinitiative: „Mehr Verschlüsselung für alle!“
len nicht gedeckt werden. Um die Qualität der Lehre und Forschung zu verbessern und die Anzahl der Für das Erreichen eines höheren Sicherheitsniveaus im Internet in Verbindung mit mehr
Absolventen zu erhöhen, sollten die Schaffung von neuen Professuren geprüft werden. Privatsphäre und Vertrauenswürdigkeit ist ein vermehrter Einsatz von Verschlüsselung
(wie z. B. bei der täglichen Kommunikation, durch E-Mail oder Instant Messaging) notwendig. Das
05.
Entwicklung einer Weiterbildungsplattform im Bereich IT-Sicherheit Internet ist auch ein Wirtschaftsraum und Verschlüsselung ist ein wichtiges Werkzeug zum Schutz vor
Um die Anzahl der verfügbaren Fachkräfte im Bereich IT-Sicherheit sukzessive zu erhöhen, Kriminellen und vor Wirtschaftsspionage. Gleichzeitig existiert ein Spannungsfeld zwischen dem An-
sollte auch Arbeitnehmerinnen und Arbeitnehmern sowie interessierten Bürgerinnen spruch der Bürgerinnen und Bürger auf Schutz ihrer Daten einerseits und den Sicherheitsbedürfnissen
und Bürgern die Möglichkeit gegeben werden, sich im Bereich IT-Sicherheit zu qualifizieren, ohne hierfür der Gesellschaft andererseits: Bei dem Thema Verschlüsselung werden von Sicherheitsbehörden stets
ein Vollzeitstudium absolvieren zu müssen. Bisherige Systeme zur Weiterbildung sind oft unflexibel und Bedenken laut. Die Arbeit der Strafverfolgungsbehörden ist wichtig und darf nicht behindert werden,
halten selten Schritt mit der technischen Entwicklung, deshalb sollten neue Formate und Möglichkeiten allerdings dürfen die durch eine starke Verschlüsselung entstehenden Herausforderungen hierbei niemals
geschaffen werden. Zur Umsetzung dieses Aspekts wird eine Online-Weiterbildungsplattform und die als Grund dienen, eben jene zu schwächen oder abzulehnen. Hier kann und muss die Forschung behilf-
sukzessive Weiterentwicklung von Lehrmaterialien vorgeschlagen. Bereits bestehende Angebote zur lich sein, sowohl eine starke Verschlüsselung für Unternehmen und Bürger in Zukunft flächendeckend
Weiterbildung im Bereich der IT-Sicherheit sollten ebenso ausgebaut werden. einzuführen als auch trotzdem dafür zu sorgen, dass für die Detektion und forensische Arbeit Lösungen
gefunden werden. In diesem Bereich sollten die vorhandenen Kompetenzen ausgebaut werden, um
06.
Gründung eines IT-Sicherheit-Start-Up-Zentrums gemeinsam mit DWNRW NRW zu einem Vorreiter in diesem Bereich zu machen. Die Ziele sind im Detail:
Bereits in der Gründungsphase eines Unternehmens existieren zahlreiche Hürden, die • Interdisziplinäre Forschungskooperation für mehr Verschlüsselung unter Berücksichtigung der
zum Scheitern innovativer Ideen führen können. Zur Bündelung vorhandener Kompe- Bedürfnisse von Individuen und der Gesellschaft.
tenzen und Schaffung von Synergien sollte eine zentrale Anlaufstelle für Neugründungen im Bereich • E-Mail-Server der Firmen in NRW sollten untereinander SSL/TLS Verschlüsselung nutzen.
IT-Sicherheit in NRW geschaffen werden. Es sollten erfahrene Akteure aus dem Bereich Wissenschaft und • Webseiten aus NRW sollten Verbindungen mittels SSL/TLS verschlüsseln.
Wirtschaft gewonnen werden, welche mit ihrem Know-how in beratender Tätigkeit zur Verfügung stehen. • E-Mail-Verschlüsselung soll eine breitere Anwendung finden, insbesondere bei Behörden.
6 IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. 7
Für die Menschen in
Nordrhein-Westfalen.
9
Inhaltsverzeichnis Einleitung
1 Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 11 NRW ist durch gute Infrastruktur, qualifizierte Arbeitskräfte und hochwertige Gewerbeflächen ein
attraktiver Standort für Unternehmen. Aktuell sind in NRW rund 23.700 IKT-Unternehmen1 mit rund
2 Analyse und Bewertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 12 203.000 Beschäftigten angesiedelt – Tendenz steigend. Durch die Digitalisierung werden viele neue
Wirtschaftsspionage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 12 Geschäftsfelder eröffnet. Eine gesteigerte Effizienz, besser abgestimmte Produktionsprozesse und
Privatheit und Autonomie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 13 Lieferketten sorgen für ein hohes Potenzial für Wirtschaftswachstum. Diese Chance gilt es zu nutzen
Schutz Kritischer Infrastrukturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 13 und die (Folgen der) Digitalisierung in NRW zu stärken.
Faktor Mensch. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 14 In der Regierungserklärung vom 29. Januar 2015 unter dem Motto „MegaBits. MegaHerz. Me-
Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 14 gaStark.“ betonte die NRW-Ministerpräsidentin Hannelore Kraft, dass der digitale Wandel in allen
Bereichen unserer Gesellschaft angelangt sei. In wirtschaftlicher Hinsicht durchzieht die Digitalisie-
3 Technologieanalyse NRW. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 15 rung alle Unternehmen, Branchen und Geschäftsmodelle. Für das Land NRW bietet die Vernetzung
3.1 Bereich: Sichere Vernetzung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 15 und Digitalisierung der Arbeits- und Lebenswelt Chancen und Potenziale, vor allem im Bereich der
Interpretation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 16 IT-Sicherheit. „Für etliche ist Nordrhein-Westfalen im Digitalzeitalter bereits „the place to be“. Wir
Empfehlung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 16 arbeiten daran, dass es noch sehr viel mehr werden“, heißt es in der Regierungserklärung weiter.
3.2 Bereich: Sicherer Internetzugang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 16 Auch auf Bundesebene rückt das Thema verstärkt in den Fokus der Regierung. Unter dem Titel
Interpretation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 17 Industrie 4.0 ist durch die Bundesregierung eine nationale Hightech-Strategie in Gang gesetzt worden.
Empfehlung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 17 Hierbei geht es um die Verknüpfung des produzierenden Gewerbes mit Informations- und Kommuni-
3.3 Bereich: Digital Enterprise Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 17 kationstechnologien. Dadurch kann die Qualität gesteigert und der Preis gesenkt werden. Außerdem
Interpretation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 18 ermöglicht diese Fertigungstechnik die Produktion individueller Güter in kleiner Stückzahl. Durch
Empfehlung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 18 die Verzahnung von IT und Produktion zeigt sich, dass nicht nur die IT-Industrie selbst vom Wandel
3.4 Bereich: Client- und Serversicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 18 betroffen ist, sondern ebenso Schlüsselindustrien wie der Maschinenbau, der Automobilbau, die
Interpretation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 19 chemische Industrie, die Medizintechnik, Banken und Versicherungen. Initiativen, wie die „Digitale
Empfehlung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 19 Agenda“ der Bundesregierung, sollen ebenso dazu beitragen das Bewusstsein der Bürger zu stärken,
3.5 Bereich: Mobile Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 20 sowie die Sicherheit und den Schutz bei der Digitalisierung zu erhöhen.
Interpretation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 21 Mit der Digitalisierung, dem Wachstum des Internets und der Vielzahl der dort angebotenen
Empfehlung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 21 Informationen und Dienstleistungen steigen die Herausforderungen in der Datensicherheit. Der
3.6 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 21 Austausch von persönlichen und wirtschaftlich relevanten Daten ermöglicht es, viele Aktivitäten und
Prozesse in die virtuelle Welt zu verlagern. Dies schafft Raum für Begehrlichkeiten und Manipulatio-
4 NRW im Vergleich zu anderen Bundesländern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 23 nen. Nicht erst durch die Enthüllungen von Edward Snowden ist bekannt, dass die Absicherung der
4.1 Arbeitsmarktzahlen: IT-Sicherheit in NRW und Deutschland. . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 24 Informations- und Kommunikationssysteme von zentraler Bedeutung für einen modernen Staat ist.
Bei der Digitalisierung und dem Austausch der Daten über das Internet spielt die IT-Sicherheit eine
5 Faktor Wirtschaft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 24 grundlegende Rolle: Nur sichere und vertrauenswürdige IT-Prozesse werden nachhaltig den positiven
Einsatz der IT möglich machen.
6 Kompetenzentwicklung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 26 Die Stärkung des Datenschutzes und die Ausweitung von Abwehrmaßnahmen deutscher Behör-
den gegen Cyberangriffe waren zwei der von der Bundesregierung gesetzten Ziele; doch die bisherige
7 Erfolgreich in NRW. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 27 Umsetzung der „Digitalen Agenda“ bietet noch Verbesserungspotentiale. So titelte etwa die ZEIT im
7.1 Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 27 August 2015: „Die Digitale Agenda der Bundesregierung sollte Daten freigeben, den Breitbandausbau
7.2 Handlungsempfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 28 und die Forschung fördern. Die Bilanz des ersten Jahres ist allerdings ernüchternd.“2
Maßnahmen zur Unterstützung der Wirtschaft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 28 In dem Arbeitsprogramm „IKT NRW Roadmap 2020“3 des „ExzellenzNRW“ Clusters NRW
Maßnahmen zur Unterstützung der Hochschulen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 29 werden Herausforderungen und Risiken für NRW bzgl. Digitalisierung deutlich. Ebenso wird
Einbeziehung aller Stakeholder. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 29 das Thema in Positionspapieren wie „Herausforderungen für die IT-Sicherheitsforschung“ 4
und „Eckpunkte auf dem Weg zum Industrial Data Space“5 aufgegriffen. Es fehlt bislang jedoch an
8 Leuchtturmprojekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 30 einer Strategie für NRW – getragen von allen relevanten Stakeholdern aus Wirtschaft, Wissenschaft
und Politik. Diese Strategie ist für NRW besonders wichtig, da bereits heute eine Vielzahl relevanter
9 Schlusswort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 31 Unternehmen und Forschungseinrichtungen im Bereich IT-Sicherheit in NRW angesiedelt sind.
Die Landesverwaltung ist bereits seit vielen Jahren mit einer sehr leistungsfähigen IT-Infrastruktur
Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 32 ausgestattet. Aufgrund der hohen und ständig wachsenden Zahl von Bedrohungen sowie der mit
9.1 Anlage 1 Anfragen nach Stellenangeboten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 32 steigender Professionalität ausgeführten Angriffe sind weitere Anstrengungen der Landesregierung
9.2 Anlage 2 Anzahl der Stellenangebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 32 in diesen Themenfeldern erforderlich. NRW arbeitet im Bereich Informationssicherheit bereits eng
mit Bund, Ländern und Kommunen zusammen und wird diese Zusammenarbeit weiter ausbauen.
Fußnotenverweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 33 Vergleichbares ist auch mit Partnern in NRW vorgesehen, um die Informationssicherheit übergreifend
Impressum. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S. 35 zu verbessern. Die Wettbewerbsvorteile und die vorhandene Expertise in NRW muss gebündelt und
ausgebaut werden, damit NRW auch in Zukunft die Konkurrenz zu anderen (Bundes-)Ländern nicht
scheuen muss.
Als wirtschaftlich stärkstes Bundesland kann NRW die eigene Digitale Souveränität stärken. Nicht
nur „Made in Germany“ ist ein Gütesiegel für Qualität und Innnovationen, sondern auch „Made in
NRW“. Hierzu gehört auch, dass man sich nicht mit der Marktposition der großen, ausländischen
Mitbewerber arrangiert. Durch die Verwendung von Sicherheitslösungen „made in Germany/ NRW“
10 IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. 11
in öffentlichen Einrichtungen und Verwaltung, können deutsche Sicherheitsstandards implementiert angetrieben werden, um den aktuellen Missbrauch einzudämmen und Sicherheitsvorfälle einzu-
werden. NRW könnte hierbei eine Vorreiterrolle einnehmen und für andere Bundesländer als Vorbild dämmen und zu erkennen.
dienen. Dieses Strategiepapier wurde auf Initiative des Ministeriums für Innovation, Wissenschaft Insgesamt ist die Entwicklung von Forensiktools zur nachträglichen Aufklärung von Cybercrime-
und Forschung des Landes NRW mit relevanten Akteuren aus Wissenschaft und Wirtschaft in einem Angriffen nötig, um entsprechende Angriffe effektiver und schneller aufklären zu können. Gezielte
„bottom-up“-Ansatz entwickelt, um sicherzustellen, dass die geforderten Maßnahmen zum einen Forschung für die Entwicklung neuartiger und effektiver Schutzkonzepte zur wirkungsvollen Entde-
„passend“ sind, und zum anderen von der breiten Mehrheit der Stakeholder getragen wird. ckung und Verhinderung von Wirtschaftsspionage ist hierbei ebenso essenziell. Anwendungsbereiche
Dieses Dokument dient als Grundlage für einen „Prozess des Umdenkens“. Ziel ist es, auf Basis können beispielsweise Industrie 4.0 und mobile Endgeräte sein. Für die Entwicklung effektiver Tools
einer status-quo Analyse – bzgl. Herausforderungen, Stärken und Schwächen in NRW – Forderungen ist die Zusammenarbeit zwischen Wissenschaft und Wirtschaft unerlässlich.
und Handlungsempfehlungen zu formulieren, die einer nachhaltigen Stärkung der IT-Sicherheit in
Handlungsempfehlungen
NRW dienen. Im Fokus stehen hierbei nicht nur Wissenschaft und Wirtschaft, sondern ebenso der
Bürger selbst. » Stärkung der Security Awareness / Sensibilisierung für Gefahren durch Wirtschaftsspionage
Als Fazit werden fünf Leitprinzipien definiert. Diese stehen im Einklang mit den 10 wichtigsten » Ausbau von inter- und transdisziplinären Forschungsaktivitäten zur Entdeckung und Aufklä-
Punkten für NRW und fassen die Kernforderungen des Papiers zusammen. Diese Leitprinzipien werden rung von IT-Sicherheitsvorfällen
im Folgenden näher dargelegt:
Privatheit und Autonomie
» Förderung und Entwicklung von Innovationen (Hochschulen & Forschung)
Die Privatsphäre der Bürgerinnen und Bürger stellt in Deutschland ein hohes, zu schützendes Gut dar
» Vorhandene Stärken ausbauen – Potenziale feststellen und fördern
und ist in den Grundrechten verankert. Der Umgang mit Privatsphäre und Datenschutz, respektive den
» Verbesserung und Stärkung des IT-Sicherheitsbewusstseins der Nutzer
dazu gehörigen rechtlichen Rahmenbedingen, unterscheiden sich in anderen Staaten grundlegend
» Förderung von Menschen und Talenten
von Deutschland. Durch das Internet werden Grenzen aufgehoben und Nutzer mit unterschiedlichen
» Fördern und kaufen: „Lösungen aus der Region statt aus Übersee“
Bedingungen konfrontiert. Die persönlichen Daten der einzelnen Nutzer sind für Unternehmen
ein immenses materielles Wirtschaftsgut mit dem Handel betrieben wird; der Nutzer wird so vom
Konsument zur Ware. Durch die Auswertung von persönlichen Nutzerdaten werden beispielsweise
intelligente Algorithmen entwickelt, die eine neue Dimension gezielter, individualisierter Werbung
2. Analyse und Bewertung ermöglicht. Es muss in diesem Bereich ein gesamtgesellschaftlicher Dialog über den (Daten-)Schutz
des Einzelnen angestoßen werden, bei dem die Bürgerinnen und Bürger mitgenommen werden und
Die wichtigsten Herausforderungen sind Wirtschaftsspionage, Privatheit und Selbstbestimmtheit, sich ihrer Marktmacht bewusst werden müssen.
der Schutz kritischer Infrastrukturen sowie die Berücksichtigung des „Faktor Mensch“. Es werden Forschung ist ebenso notwendig, um datenschutzfreundliche und gleichzeitig nutzbare Lösungen
Landesverwaltung mit Behörden und Einrichtungen des Landes hier berücksichtigt. Nachfolgend zu entwickeln (sog. „Usable Security“). Techniken wie Verschlüsselung, Anonymisierung und Pseu-
werden diese Bereiche skizziert und Problemfelder herausgearbeitet sowie die ersten Handlungs- donymisierung können eingesetzt werden, um sensible Informationen vor Missbrauch durch Dritte
empfehlungen abgeleitet. zu schützen. Entsprechende Konzepte müssen erforscht und in der Praxis implementiert werden.
Dabei muss auch untersucht werden, welche Konsequenzen sich daraus für die Geschäftsmodelle
Wirtschaftsspionage im Internet ergeben.
Eine Studie des Digitalverbands Bitkom von April 2015 hat ergeben, dass mehr als die Hälfte (51 Pro-
Handlungsempfehlungen
zent) aller deutschen Unternehmen in den vergangenen zwei Jahren Opfer von digitaler Wirtschafts-
» Forschung zur Entwicklung datenschutzfreundlicher und nutzbarer Lösungen
spionage, Sabotage oder Datendiebstahl geworden sind; jährlich entsteht dadurch in Deutschland
» Sensibilisierung der Nutzer durch Medienkampagne zu Privatheit
ein Schaden von rund 51 Milliarden Euro.6 In den kommenden Jahren wird der Schaden sogar auf
» Ausbau der Forschung im Bereich „Usable Security“
rund 306 Milliarden Euro geschätzt. Durch die fortschreitende Digitalisierung bzw. durch weitere
technische Entwicklungen wird künftig auch die Angreifbarkeit der verwendeten IT-Systeme steigen.
Aktuell sind viele Grundsatzfragen der IT-Sicherheit noch ungelöst. So fehlen z. B. noch Konzepte,
wie mit der stetig steigenden Flut von Schadsoftware umgegangen werden soll, oder wie Unter- Schutz Kritischer Infrastrukturen
nehmen gegen gezielte Angriffe („Advanced Persistent Threats“, APT), geschützt werden können. Laut Definition des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) sind Kritische
Hier bietet der Standort NRW den Vorteil, dass hochspezialisierte Firmen mit hochspezialisierten Infrastrukturen (KRITIS) „[…] Organisationen oder Einrichtungen mit wichtiger Bedeutung für das
Forschungsinstituten gemeinsam an diesen Themen arbeiten können. Gängige Konzepte zum Er- staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungs-
kennen von Angriffen mittels Schadsoftware (z. B. AV-Software oder Intrusion Detection Systeme) engpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten
stoßen wegen der zunehmenden Komplexität der Angriffe an ihre Grenzen. Hier sind neue Untersu- würden.“8 Angriffe auf Sektoren wie Energie, Gesundheit, Wasserversorgung oder aber auch Infor-
chungen erforderlich. Darüber hinaus müssen Methoden zur forensischen Klärung der Ursachen und mationstechnik und Telekommunikation stellen eine große Gefahr für unsere Gesellschaft dar. Ein
zur juristischen Klärung der Haftung entwickelt werden. Es ist wichtig, im Schadensfall die Hilfe der Beispiel dafür ist der Einsatz der Schadsoftware „Stuxnet“; diese wurde 2010 von den USA und Israel
Strafverfolgungsbehörden in Anspruch zu nehmen, um eine Täteridentifikation zu ermöglichen, die gegen die Uranaufbereitung im Iran erfolgreich eingesetzt und konnte diese um zwei Jahre verzögern.
bei solchen Vorfällen ebenfalls wichtig für die Bekämpfung solcher Delikte ist. Mit „Stuxnet“ wurde gezeigt, dass durch die Benutzung einer intelligenten Schadsoftware (mit einem
Ebenso muss die Sensibilisierung bei Unternehmen vorangetrieben werden („Security Aware- Kostenaufwand von rund 9 Mio. US Dollar) politische Ziele sehr erfolgreich umgesetzt werden konnten.
ness“). Eine aktuelle Umfrage zu „IT-Sicherheit bei Industrie 4.0“, durchgeführt vom Bundesver- Ein weiterer Aspekt im Zusammenhang mit KRITIS ist die sichere Energieversorgung. Durch den
band IT-Sicherheit e. V. (TeleTrusT) und der Hochschule Ostwestfalen-Lippe, zeigt, dass das Thema Atomausstieg ändern sich die Sicherheitsanforderungen erheblich. Stromnetze und deren Kompo-
Industrie 4.0 bei den meisten der 126 befragten Unternehmen bereits Beachtung findet. Die Studie nenten müssen nun vernetzt werden, um eine effiziente, störungsfreie Stromversorgung im gesamten
verdeutlicht aber ebenso, dass der Grad der Umsetzung in den jeweiligen Projekten sehr unter- Bundesgebiet sicherstellen zu können. Das IT-Sicherheitsgesetz, das am 25.07.2015 in Kraft getreten
schiedlich bewertet wird. Die Aussagen lassen insgesamt den Schluss zu, dass die Unternehmen ist, sieht Maßnahmen zum Schutz Kritischer Infrastrukturen vor und verpflichtet u. a. private Betreiber
ihre IT-Systeme besser schützen und ihr IT-Sicherheitsbewusstsein stärker entwickeln müssen. 7 zur Meldung von IT-Sicherheitsvorfällen und verankert erstmals die Einhaltung bestimmter IT-Sicher-
Hierfür sollte sowohl bei der Unternehmensführung als auch bei den Mitarbeitern das Bewusstsein heitsstandards. Dies verdeutlicht die politisch, gesellschaftliche Relevanz des Themas. Dennoch ist
für vorhandene Sicherheitsprobleme und Angriffsvektoren geschärft werden. Ergänzend sollte eine fraglich, ob diese initialen Maßnahmen einen ausreichenden Schutz gewährleisten und ob auf rapide
Plattform geschaffen werden, auf der die Unternehmen die Sicherheit ihrer IT auf einer einfachen Ereignisse zeitnah und effizient reagiert werden kann.
Stufe überprüfen können. Die Nutzung bereits existierender Lösungen muss in der Wirtschaft vor-
12 IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. 13
Wir müssen dafür sorgen, dass unsere Energieversorgung und die anderen Kritischen Infrastruk- 3. Technologieanalyse NRW
turen in NRW sicher und robust gegen IT-basierte Angriffe werden. Hier ist eine Zusammenarbeit von
Wissenschaft, Wirtschaft und Behörden nötig, um entsprechende Konzepte zu entwickeln und dann Die folgende Technologieanalyse beschreibt, wie die nationale (und nordrhein-westfälische) IT-
in der Praxis erfolgreich umzusetzen. Sicherheitsindustrie gegenüber der internationalen Konkurrenz entwickelt ist und stellt Stärken und
Schwächen heraus. Da die Entwicklung in den verschiedenen Bereichen sehr heterogen ist, wurde die
Handlungsempfehlungen
Analyse für jeden der herausgearbeiteten Bereiche einzeln durchgeführt. Hierbei werden die „Bedeutung
» Dialog und Abstimmung aller relevanten Akteure im Bereich KRITIS (z. B. im Energiesektor)
für die Zukunft“ („A“), „Technologischer Vorsprung in Deutschland“ („B“) sowie die „Marktstärke der
in NRW anstoßen
deutschen IT-Sicherheitsunternehmen“ („C“) in den entsprechenden IT-Sicherheitsbereichen analy-
» Gezielte Forschung für den Schutz Kritischer Infrastrukturen und direkter Transfer der
siert. Es werden exemplarisch Fälle von möglichen Angriffsszenarien und Bedrohungen dargestellt.
Ergebnisse in die Praxis
Zusätzlich werden in der Kategorie der Anbieter die Standorte berücksichtigt, um die geografische
Aufteilung im Ausland aufzuzeigen.
Alle Anbieter mit dem Hauptsitz in Nordrhein-Westfalen sind blau hervorgehoben. Die B
ewertungen
Faktor Mensch der einzelnen Bereiche „A“ bis „C“ werden repräsentiert durch:
Neue Technologien sind durch ihre Komplexität für den Nutzer oft schwer zu erfassen. Oft mangelt es • +++ extrem stark
an einem Bewusstsein über mögliche Schäden oder Folgen bei falscher Anwendung oder Bedienung. • ++ sehr stark
Dies verdeutlicht z. B. eine jüngst veröffentlichte Studie des Unternehmens Skyhigh Networks9: Weltweit • + stark
nutzen etwa 21 Millionen Unternehmensanwender die Office Produkte von Microsoft. Hiervon nutzen • 0 mittel
87,3 Prozent aller Unternehmen weltweit mindestens 100 Mitarbeiter die Cloud-Anwendungen von • - schwach und
Office 365 (Word, Excel, PowerPoint, etc.). Im Durchschnitt lädt ein Unternehmen etwa 1.37 Terabyte • - - sehr schwach
auf die Microsoft-Server hoch, was etwa der Datenmenge von 290 DVDs entspricht oder einer Milliarde Die hier gezeigte Darstellung und Analyse erhebt keinen Anspruch auf Vollständigkeit. Sie soll lediglich
in reinen Word-Dokumenten – pro Monat. Hiervon enthalten ca. 17,4 Prozent vertrauliche Informati- einen Überblick über den aktuellen Stand in den beschriebenen Bereichen geben.
onen in Form von personenbezogenen Daten inkl. Finanzinformationen und Gesundheitsdaten. Auch
Abschlüsse, Businesspläne und Source-Code werden sorglos in die Cloud geladen. Zum einen sind 3.1 Bereich: Sichere Vernetzung
die Daten auf der Cloud von außen ein einfaches Angriffsziel, zum anderen unterliegt der Umgang mit Sichere Kommunikationskanäle sind insbesondere für die Industrie 4.0 und das Internet of Things
den Daten automatisch den Gesetzen des Landes des Cloud-Anbieters und nicht des Cloud-Nutzers. von großer Bedeutung. Durch die tiefgreifende Vernetzung von Produktionsanlagen, Maschinen und
Hier lassen sich verschiedene Gründe für das Nicht-Nutzen von IT-Sicherheitstechnologien ver- weiteren Geräten wird es verstärkt wichtig, die notwendigen Kommunikationskanäle zu sichern.
muten: Oft werden die existierenden Produkte als nicht oder wenig handhabbar empfunden. Vor- Sichere Vernetzung umfasst u. a. die Transportsicherheit von Daten. Hierbei handelt es sich um eine
handene Produkte sind sehr teuer oder nicht einfach und schnell einsetzbar. Viele der angebotenen andere Sichtweise auf die kryptografische- und identitätsgesicherte Informationssicherheit als es
Technologien und IT-Sicherheitsprodukte aus Deutschland erfüllen meist nur einen speziellen Zweck. beispielsweise bei der Objektverschlüsselung der Fall ist. Bei einer Transportverschlüsselung wie
So müssen für viele verschiedene Szenarien und Bedrohungen entsprechend viele Anschaffungen in TLS wird nicht die Information selbst verschlüsselt (wie es bei der Ende-zu-Ende Verschlüsselung
Erwägung gezogen werden. Das bedeutet im Umkehrschluss, dass es an integrierten Produkten mit der Fall ist), sondern diese kann mit Einschränkungen im Klartext (Ursprungsform) übermittelt
einer breiten Abdeckung mangelt. werden. Durch eine sichere Vernetzung wird das Abhören verhindert und Informationen können
Der Faktor Mensch ist der Schlüssel für die Vermeidung von Schäden und die Minderung von Risiken. vertrauenswürdig übertragen werden. Dieser Aspekt ist für alle Branchen von zentraler Bedeutung
„Usable Security“ ist deshalb ein wichtiges Ziel, um den Faktor Mensch im Bereich der Datensicherheit und daher ein Schlüsselthema
einzubeziehen. Die Entwicklung von nutzerfreundlichen und alltagstauglichen Sicherheitslösungen Eine Verschlüsselungstechnologie ist nur dann gegen unbefugten Zugriff resistent, wenn die
sollte daher vorangetrieben werden. verwendeten Algorithmen sicher sind und sowohl die dafür verwendete Soft- als auch Hardware
keinerlei absichtliche Schwächungen und Hintertüren für Dritte bereithält. Die größten Anbieter
dieser Technologien stammen derzeit aus den USA, allerdings spielen hier vermehrt auch deutsche
Handlungsempfehlungen » Medienkampagne zur Steigerung der Security Awareness bei allen Akteuren
Anbieter eine wichtige Rolle.
» Schulfächer „Informatik“ und „Digitalkunde“ für mehr Medienkompetenz einführen
» Schaffung einer Weiterbildungsplattform für Quer- und Neueinsteiger im Bereich IT-Sicherheit
Technologie Bewertung Bedrohungen In- und Ausländische Anbieter Tabelle 1
und Ausbau vorhandener Aktivitäten
Sichere Anbindung A ++ Abfangen sensibler Infor- Ausland: Cisco (USA), Juniper (USA),
Sichere Vernetzung
» Stärkung von „Usable Security“ durch Forschungsprojekte in diesem Bereich
mobiler User/ B + mationen und Abhören von Fortinet (USA)
Telearbeiter C - Kommunikation
Deutschland: secunet, genua, NCP,
gateprotect, Sirrix, HOB, Innominate,
Verwaltung Lancom
Die Landesverwaltung betreibt ein Landesverwaltungsnetz als Netzinfrastruktur für die Behörden
Layer3-VPN A ++ Mitschneiden und Abfluss Ausland: Cisco (USA), Fortinet (USA),
und Einrichtungen des Landes. Diese Infrastruktur ermöglicht es der Landesverwaltung in NRW B + von Daten durch Hintertüren Juniper (USA), Check Point (Israel)
miteinander sicher zu kommunizieren, da hier zusätzliche spezielle Sicherheitsmaßnahmen durch C 0 und Sicherheitslücken in
die Betreibende IT.NRW getroffen werden. Netzwerkhardware Deutschland: secunet, genua, gatepro-
Die elektronische Kommunikation zwischen Bund, Ländern und Kommunen erfolgt grundsätzlich tect, Sirrix, Lancom, HOB, Innominate
über dieses vom Bund betriebene Verbindungsnetz. Zum Internet stehen speziell gesicherte Übergänge Layer2-Encryption A ++ Mitschneiden und Abfluss Ausland: SafeNet (USA), Crypto AG
zur Verfügung, welche ebenfalls Angriffen von außen standhalten müssen und gesonderter Sicher- B + von Daten durch Hintertüren (Schweiz)
C 0 und Sicherheitslücken in
heitsmaßnahmen erfordern. Auch die Gefährdung dieser verwaltungseigenen Netze steigt ständig. Netzwerkhardware Deutschland: secunet, Rohde &
Angriffe werden immer komplexer und finden heute auch zielgerichteter statt. Die Professionali- Schwarz, atmedia
sierung der Angriffe führt dazu, dass vorbeugende Schutztechniken nicht mehr allein ausreichen. Wir Datendiode A + Angriff auf Übermittlung Ausland: – Legende für Bewertung der Lage in DE
müssen deshalb künftig einen weiteren Schwerpunkt auf das Erkennen und Beheben von Störungen B + und Empfang von Daten, die und NRW:
legen, um unsere „Digitale Immunität“ gegenüber Bedrohungen der Informationssicherheit weiter C + in eine Richtung an einen Deutschland: genua, secunet A Bedeutung für die Zukunft
festen Empfänger transpor- B Technologischer Vorsprung in Deutschland
zu stärken.
tiert werden C Marktstärke der dt. Unternehmen
14 IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. 15
Interpretation Interpretation
Zahlreiche US-amerikanische Firmen verfügen über große Marktanteile und Ressourcen. Das Unter- Auch in diesem Bereich dominieren die US-Firmen den Markt. Durch das IT-Sicherheitsgesetz in
nehmen Cisco ist beispielsweise deutlich größer und verfügt über mehr personelle Ressourcen als Deutschland wird dieser Bereich in naher Zukunft immer bedeutsamer und mehr Innovationen sind
alle IT-Sicherheitsanbieter in Deutschland zusammen. Dennoch sollten die deutschen IT-Sicherheits- in diesem Bereich notwendig, um Schutzkonzepte- und Lösungen zu entwickeln.
anbieter nicht unterschätzt werden. Die Analyse zeigt, dass es zahlreiche Firmen aus NRW gibt, die
in diesem Technologiebereich tätig sind. Empfehlung
Das Know-how-Potenzial in NRW im Bereich Sicherer Internetzugang ist besonders hoch. Technolo-
Empfehlung gie- und Produktentwicklungen sollten weiter vorangetrieben werden. Auch die Erforschung neuer
Damit die existierenden IT-Sicherheitsprodukte- und Technologien kostenoptimiert und flächende- Schutzkonzepte wie Honeypots sollte unterstützt werden. Darüber hinaus sind die Entwicklungen im
ckend in NRW eingesetzt werden können, sollten alle relevanten Stakeholder gemeinsam Konzepte Bereich der Kommunikationslagebildgenerierung in NRW technologisch sehr stark. Unterstützung
und Umsetzungsstrategien entwickeln. Ebenso ist die Weiterentwicklung vorhandener Techniken in Form von „Fördern und Kaufen“ seitens der Politik und Behörden würde hier für einen schnellen
nötig, um neue Einsatzszenarien effektiv absichern zu können. Eine Stärkung dieses Bereiches ist Fortschritt sorgen. Dabei wäre es auch wichtig die Beschaffungsvorgänge und Kataloge entsprechend
notwendig, um eine digitale Souveränität von ausländischen Produkten erreichen zu können. anzupassen. Dabei sollte auch ausdrücklich und schriftlich „No Backdoor“ eingefordert werden. Dieser
Da in den letzten Jahren vermehrt Angriffe auf den wichtigen Transportverschlüsselungsstandard Bereich benötigt Innovationen zur Umsetzung von „Ideen von Morgen“ damit NRW in diesem Bereich
TLS bekannt geworden sind, sollte die Forschung in diesem Gebiet intensiviert werden. Relevante auch langfristig konkurrenzfähig bleiben kann. Hier wäre ein Projekt im Sinne des Einsatzes in öffent-
Forschungsergebnisse sollten in Schulungen den betroffenen Unternehmen vermittelt werden. Die lichen Einrichtungen und Netzwerken sinnvoll und würde für ein höheres Sicherheitsniveau sorgen.
Forschung und Entwicklung neuer Technologien sollte in Kooperation von Unternehmen und Hoch-
schulen vorangetrieben werden, um hier eine Vorreiterrolle zu übernehmen. 3.3 Bereich: Digital Enterprise Security
Digital Enterprise Security berücksichtigt die in Unternehmen zum Einsatz kommenden Technologien,
3.2 Bereich: Sicherer Internetzugang welche für den Schutz von Wissen maßgeblich sind.
Im Bereich sicherer Internetzugang werden die Technologien „Firewalls“, „Intrusion-Detection-Syste- Der Trend geht zu immer schnelleren und leistungsfähigeren Funkverbindungen: Von UMTS
me/Intrusion-Prevention-Systeme“, „Remote-Controlled Browsers Systeme/ReCoBS“ und „virtuelle zu LTE/4G und Gigabit-WLAN als auch Bluetooth und NFC. Diese Systeme machen der klassischen
Schleuse“ berücksichtigt. Kabelverbindung Konkurrenz und ermöglichen neue Einsatzmöglichkeiten, mehr mobile Freiheit sowie
Sicherer Internetzugang umfasst sowohl sichere Vernetzung als auch Sicherungsmaßnahmen neue Geräteklassen und Typen mit neuen Diensten (RFID-basierte Dienste wie z. B. Mobile Payment,
und den geregelten Zugriff auf verschiedene Teilbereiche von Netzwerken. Dabei sind die sichere Benutzerauthentifikation, Internet of Things und SmartEverything). Allerdings sind viele dieser Syste-
Anbindung mobiler Nutzer oder die Sicherung und das Monitoring von Netzwerken und Übergangs- me noch nicht ausgereift, nicht vertrauenswürdig und/oder lassen sich leicht manipulieren und für
punkten ins öffentliche Internet relevant. Hierzu können sowohl aktive als auch passive Systeme Angriffe auf Identitäten von Nutzern oder Unternehmensdienste missbrauchen.
verwendet werden. Die aktiven Komponenten sind in der Lage, Angriffe in Echtzeit zu erkennen und Für den Schutz von Identitäten sind beispielsweise PKIs (Public-Key-Infrastrukturen) ein wichti-
zu unterbinden, wie beispielsweise Firewall-Systeme und Intrusion Detection Systeme (IDS). Ein ges Instrument. Diese ermöglichen es sowohl einem einzelnen Nutzer, als auch Unternehmen und
solches Abwehrsystem trägt eine große Bürde: Den Zugriff von außen auf sensible und möglicherweise Organisationen sich auszuweisen. Basierend auf dieser gesicherten Identität und den damit ver-
existenziell wichtige Unternehmensdaten zu verhindern. Sollten in solch einem System womöglich bundenen kryptografischen Maßnahmen lässt sich auch eine verschlüsselte Verbindung etablieren
absichtlich eingebaute Schwachpunkte oder Hintertüren existieren, so wäre dies für eine Firma (z. B. TLS Transportverschlüsselung). Ist der geheime Schlüssel einer solchen PKI bekannt, kann der
fatal. Passive Systeme überwachen den Netzwerkverkehr und melden Auffälligkeiten. Mit Honeypots, gesamte Datenverkehr mitgelesen und manipuliert werden. Der Großteil der PKI-Anbieter ist in den
einer Art virtuellem Köder zur Entdeckung von Sicherheitsvorfällen, existiert ein vielversprechendes USA ansässig; einige wenige in Deutschland.
Forschungsfeld. Bisher existieren aber noch keine Lösungen auf dem Markt.
Technologie Bewertung Bedrohungen In- und Ausländische Anbieter Tabelle 3
Tabelle 2 Technologie Bewertung Bedrohungen In- und Ausländische Anbieter Authentifika- A ++ Identitätsdiebstahl, Missbrauch Ausland: RSA (USA), gemalto/SafeNet
Digital Enterprise
Sicherer Internetzugang Firewall A ++ Angriffe von außen, Portscans, Ausland: Sourcefire/Cisco (USA), ISS/ tion B + fremder Identitäten (USA), Verisign (USA), Atos (Frankreich), SecurityInterpretation
B 0 ungewollte Kommunikation IBM (USA), Extreme Networks (USA), C 0 Comodo (UK), GlobalSign (Großbritan-
C - von Diensten und Anwendun- Symantec (USA), McAfee (Intel, USA), nien)
gen nach außen Hewlett-Packard (USA),
Palo Alto Networks (USA) Deutschland: Bundesdruckerei, secunet,
Giesecke & Devrient, D-Trust, Deutsche
Deutschland: genua, gateprotect, Telekom, Kobil Systems, bremen online
Innominate services, HPJ Consulting, Physec, achelos
IPS/IDS A ++ Angriffe von außen, die un- Ausland: Sourcefire/Cisco (USA), FireEye Sichere Anbin- A ++ Mitlesen und Auswerten von Ausland: Cisco (USA), Juniper (USA)
B - mittelbar auf die Infrastruktur (USA), ISS/IBM (USA), Blue Coat (USA), dung zwischen B 0 vertraulichen Daten
C -- einer Organisation durchge- Trend Micro (Japan) Anbieter und C - Deutschland: secunet, genua, Sirrix,
führt werden Anwender gateprotect, Innominate, Wincor Nixdorf
Deutschland: Institut für Internet- Hardware- A + Angriff auf vermeintlich sichere Ausland: gemalto/SafeNet (USA),
Sicherheit (Finally Safe) Sicherheits- B + krypto-grafische Programm- Thales (Frankreich)
Sicherer A ++ Einbruch in Systeme durch Ausland: Bromium (USA), Invincea (USA) modul C + module
Browser/ B + infizierte Webseiten (HSM) Deutschland: Utimaco (CryptoServer, bis
ReCoBS C + Deutschland: Sirrix, secunet, m-privacy, Kl. 3) secunet (SINA Core, Kl. 4), escrypt
itWatch Public-Key- A ++ Fälschen von Identitäten, um Ausland: Microsoft (USA), Verizon
Legende für Bewertung der Lage in DE
und NRW: Virtuelle A + Einschleusen von Schadcode Ausland: FireEye (USA) Infrastruktur B + sich als Bank oder Institution (USA), OpenTrust (Frankreich), neXus
A Bedeutung für die Zukunft Schleuse B 0 in beliebige Umgebungen mit (PKI) C + auszugeben, um das Vertrauen (Schweden), Comodo (UK), GlobalSign
B Technologischer Vorsprung in Deutschland C 0 Hilfe von Dokumenten, Dateien Deutschland: itWatch, secudos von Anwendern zu erschleichen (Großbritannien) Legende für Bewertung der Lage in DE
C Marktstärke der dt. Unternehmen und anderen Trägersystemen und NRW:
Deutschland: secunet, zertificon A Bedeutung für die Zukunft
Bundesdruckerei/D-TRUST, T-Systems/ B Technologischer Vorsprung in Deutschland
TeleSec, Sirrix, secardeo C Marktstärke der dt. Unternehmen
16 IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. 17
Interpretation Technologie Bewertung Bedrohungen In- und Ausländische Anbieter
Der Bereich der PKI (Public-Key-infrastruktur) ist in NRW stark, allerdings befindet sich diese Tech- Full Disk A +++ Einsehen von Daten auf verlore- Ausland: Microsoft (USA), McAffee/Intel
nologie noch zu wenig im Einsatz. Ein verstärkter Einsatz in Unternehmen und Behörden würde die Encryption B 0 nen oder gestohlenen Geräten (USA), Sophos (Großbri-tannien),
Sicherheit und Vertrauenswürdigkeit signifikant steigern. C 0 durch Unbefugte Winmagic (Kanada), EgoSecure/
Kaspersky (Russland)
Empfehlung Deutschland: Sirrix, secunet, (CE Info-
Es sollte ein ganzheitlicher Ansatz entwickelt werden, wie die vorhandenen Instrumente zum Schutz sys), (CenterTools)
der NRW-Firmen genutzt werden können. Auch eine Strategie zum stärkeren Einsatz von Zertifikaten File & Folder A +++ Diebstahl von Wechseldaten Ausland: Microsoft (USA), Symantec
und TrustCenter-Lösungen „made in NRW“ wäre wünschenswert. Ebenso die Erforschung neuer Encryption B 0 trägern und Extraktion sensibler (USA), Cryptzone (Schweden), Cyphe-
Möglichkeiten für eine komfortable Authentifikation, z. B. mit Hilfe des neuen Personalausweises C 0 Daten rix (Süd-Afrika), DESlock (UK), Sophos
(Großbritannien)
wäre ein sinnvoller Ansatz. Was heute fehlt sind komfortable, preiswerte und sichere Authentifika-
tionsmöglichkeiten. Hier wäre es auch denkbar, nach der Findung einer geeigneten Lösung in NRW Deutschland: apsec, itWatch, Sirrix,
einen Standard für die Europäische Union zu definieren. Secomba, digitronic, Brain-loop, Cont-
entPro, tetraguard
3.4 Bereich: Client- und Serversicherheit Voll-Virtualisie- A ++ Infektion oder Angriffe auf Ausland: oklabs/General Dynamics
Innerhalb der Client- und Serversicherheit steht die Datensicherheit im Mittelpunkt und umfasst – rung/Trusted- B 0 einen Rechner kompromittiert (USA), Oracle (USA), Lynx Software
Computing, C 0 das gesamte System Technologies (USA), Bromium (USA),
statt der Sicherung des Transports – die Sicherung der Information. Hierbei wird die Übermittlung Seperation Microsoft (USA), Intel (USA), BlackBerry
der Information in textueller Form als verschlüsseltes Element berücksichtigt. Es gibt verschiedene (Kanada), Sysgo/Thales (Frankreich),
Technologien, die je nach Anforderung und Schutzbedarf unterschiedlich ausfallen können.
Die Ablage von Informationen in einem Speicher an einem beliebigen Ort (Cloud-Dienste) Deutschland: secunet, Sirrix, genua,
Telekom
ist in diesem Kontext wichtig. Die Server dieser Cloud-Anbieter befinden sich oft außerhalb des
deutschen bzw. des europäischen Rechtsraumes. Bei genauerer Betrachtung der Cloud-Dienste Data Leakage A ++ Abfluss hochsensibler Daten Ausland: Symantec (USA), RSA (USA),
Prevention B 0 nach außen Websense (USA), Verdasys (USA)
weltweit lässt sich feststellen, dass schätzungsweise 90% der Server in den USA zu finden sind. C -
Die Datenschutzgesetzgebung unterscheidet sich stark von der europäischen bzw. deutschen Deutschland: itWatch, iT-Cube Systems,
Gesetzgebung. Das geltende Safe-Harbor Abkommen bietet keinen nennenswerten Schutz vor genua, Brainloop, ContentPro
dem Zugriff durch Dritte und Wirtschaftsspionage.10 Die rechtlichen Bestimmungen und der ange- E-Mail- A +++ Abfangen, Mitlesen, Manipulie- Ausland: Microsoft (USA), Symantec
botene Schutz der abgelegten Daten ist vor allem bei sensiblen Informationen aus Industrie und Verschlüsselung B - ren von E-Mail-Korrespondenz (USA)
C -
Wirtschaft genau zu prüfen.
Deutschland: Telekom/Telesec, Sirrix,
Abhilfe kann mit lokal verwalteten Cloud-Diensten oder Verschlüsselung geschaffen werden. In Giegerich & Partner, cryptovision,
diesem Bereich gibt es zahlreiche Anbieter aus Deutschland, die sich auf diese Art der Verschlüsselung secardeo, zertificon
spezialisiert haben. Sicheres Logon A + Nicht autorisierte Nutzung von Ausland: RSA (USA), gemalto/SafeNet
Die Sicherheit von Systemen, die auf starken kryptografischen Konzepten aufbaut, hängt von (Smartcard B 0 Geräten (USA), gemalto (Niederlande), Atos
vielen Faktoren ab. Zum einen ist der für die Verschlüsselung verwendete Algorithmus wesentlich, etc.) C + (Frankreich)
zum anderen auch die Vertrauenswürdigkeit der Umgebung, in der sich die notwendigen „geheimen
Deutschland: Telekom/Telesec, secunet,
Schlüssel“ befinden. Lassen sich die Schlüssel durch eingebaute Hintertüren entwenden, kann die Giesecke & Devrient, Bundesdruckerei/
gesamte Korrespondenz entschlüsselt und gelesen werden. Dies lässt sich durch eine mehrstufige D-TRUST, Sirrix, digitronic, itWatch
Legende für Bewertung der Lage in DE
Authentifikation effektiv vermeiden. Remote Access/ A + Belauschen der Kommunika- Ausland: Cisco (USA), Juniper (USA) und NRW:
Neben der kryptografisch gesicherten Speicherung oder bewussten Übermittlung von Informationen Secured VPN B + tion zwischen Host und entfern- A Bedeutung für die Zukunft
wird die ungewollte und unbewusste Weitergabe von Informationen (Data Leakage) berücksichtigt. C - ter Maschine Deutschland: NCP, secunet, HOB, genua, B Technologischer Vorsprung in Deutschland
Innominate C Marktstärke der dt. Unternehmen
Die Data Leakage Prevention (auch als Data Loss Prevention bekannt) verhindert den Abfluss sensibler
Daten nach außen. Dadurch soll der Datendiebstahl effektiv verhindert werden. Hier sind Schulungen
und Sensibilisierung der eigenen Mitarbeiter ausschlaggebend für den Erfolg dieser Maßnahmen. Interpretation
Die Firmen mit den größten Marktanteilen und der stärksten Präsenz in diesem Bereich stammen aus
Tabelle 4 Technologie Bewertung Bedrohungen In- und Ausländische Anbieter dem Ausland. In Deutschland gibt es jedoch ebenfalls gut aufgestellte Firmen, die konkurrenzfähige
Client- und AV und Personal A - Schadsoftware-Infektionen, Ausland: Symantec (USA), Kaspersky
Produkte anbieten. Im Bereich der Verschlüsselung und der Client- und Serversicherheit gibt es einige
Serversicherheit- Firewall B 0 ungewollte Verbindungen nach (Russland), AVG (Nieder-lande), Panda in NRW tätige Firmen, wie beispielsweise die Telekom, die mit der Sicherung der Kommunikation
Interpretation C 0 außen (Spanien), F-Secure (Finnland), AVAST und Webseiten einen wichtigen Bereich abdeckt.
(Tschechien), Trend Micro (Japan), Viele der vorhandenen Softwareprodukte sind essentiell, denn sie gehören zum sog. Grund-
McAfee/Intel (USA), BullGuard (Großbri-
tannien), Eset (Slowakei), Bitdefender
schutz eines jeden IT-Systems und besitzen entsprechende Verbreitung innerhalb der Systeme in
(Rumänien), Ikarus (Österreich), Sophos Behörden und Organisationen in Deutschland. Leider werden hier häufig Technologien eingesetzt,
(Großbritannien) die nicht aus Deutschland stammen, obwohl diese unter manchen Gesichtspunkten deutlich
weniger leistungsfähig und hochwertig sind und dem Gütesiegel „IT-Security made in Germany“
Deutschland: Avira, G Data, VMRay
nicht entsprechen.
Exploit Protec- A +++ Angriffe durch infizierte Ausland: Bromium (USA), Invincea (USA)
tion/Sicherer B ++ Webseiten, Diebstahl lokaler
Browser C -- persönlicher Daten Deutschland: Sirrix, secunet Empfehlung
Bei der Beschaffung von Sicherheitsprodukten, wie Antivirus-Software, sollte der Aspekt „made in
Device und A ++ Kopie vertraulicher Dokumente Ausland: Symantec (USA), McAfee/Intel
Portkontrolle B 0 auf beliebige externe Daten- (USA), DeviceLock (USA), Sophos Germany“, respektive „made in NRW“, eine stärkere Rolle spielen. Eine Nichtverwendung der lokalen
C -- träger (Großbritannien) oder nationalen Produkte bei Behörden hat Signalwirkung nach außen. Der öffentliche Dienst sollte
hier mit starker Nachfrage und Erwerb entsprechender Produkte ein Zeichen setzen. Dies wären
Deutschland: itWatch, digitronic, beispielweise alle Kommunalverwaltungen, Ministerien, Krankenhäuser und andere öffentliche
(CenterTools)
Institutionen.
18 IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. IT-Sicherheit für NRW 4.0 _ Gemeinsam ins digitale Zeitalter. Aber sicher. 19Sie können auch lesen
