IT-SICHERHEIT MADE IN GERMANY - TeleTrusT
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
OKTOBER 2021 ISSN 1864-0907 • 7,- €
IT-SICHERHEIT
MADE IN GERMANY
Powered by:
Eine Publikation von
Vertrauen oder Verraten? gdata.de/vertrauen Schutz der Privatsphäre, verantwortungsvoller Umgang mit Daten, keine Backdoors: IT-Sicherheitslösungen von G DATA entsprechen den strengen deutschen und europäischen Datenschutzstandards.
EDITORIAL 3
Wahl oder Qual?
Dr. Holger Mühlbauer
Liebe Leserinnen und Leser, Geschäftsführer
die Digitalisierung in unserem Leben schreitet Bundesverband
in allen Gebieten mit enormer Dynamik voran IT-Sicherheit e.V.
und verankert Informationstechnik in jedem
Bild: TeleTrusT
(TeleTrusT)
Bereich des Alltags. Sie ist Treiber und Basis
für das Wohlergehen unserer Gesellschaft in
Deutschland.
Was im Kleinen gilt, hat auch im größeren antwortlich. Dies frei und selbstbestimmt zu
politischen Rahmen Geltung, damit Europa gestalten, gilt im allgemeinen politischen Sinne
und Deutschland im Besonderen eine Vorrei- als Souveränität. Im Zuge der zunehmenden
terrolle in IT-Sicherheit und Vertrauenswürdig- Komplexität der Infrastrukturen bedarf es einer
keit über die diesjährige Bundestagswahl hinaus intensiveren Zusammenarbeit von Politik, Ver-
einnehmen können. waltung und Industrie, um diese Souveränität
Informationstechnik ist das Fundament der zu gewährleisten.
Digitalisierung. "Digitale Souveränität" ist eine Die vorliegende Beilage vermittelt Einblicke in
entscheidende Vorbedingung für die Wettbe- ausgewählte Themen, die uns als Bundesverband
werbsfähigkeit Europas, gerade mit Blick auf IT-Sicherheit derzeit beschäftigen. Die Beiträge
den Betrieb kritischer Infrastrukturen. Darin zielen dabei auf grundsätzliche Fragen ab, mit
liegt auch die Bedeutung von Vorhaben wie denen Sie sich als IT-Verantwortliche befassen
z.B. GAIA-X. sollten: die digitale Transformation im Turbo,
Generell beobachten wir einen Bewusstseins- Homeschooling und Lösungen für den Mittel-
wandel – Digitalisierungsvorhaben werden heute stand, Datenschutz und noch vieles mehr.
und hoffentlich auch in Zukunft mit einem Als Bundesverband IT-Sicherheit wünschen
angemessenen Maß an IT-Sicherheit verbunden. wir uns entsprechende Schwerpunktsetzungen
IT-Sicherheit ist ein fortlaufender Prozess. Die der Parteien auch nach der Wahl und werden
Angriffsszenarien verändern sich sehr schnell. weiterhin Wirtschaft, Verwaltung, Politik und
Wir empfehlen, die Sicherheitsanforderungen zu Gesellschaft mit der Kompetenz eines interdis-
Beginn des Entwicklungsprozesses zu ermitteln ziplinären Netzwerkes mit Rat und Tat zur Seite
und zu berücksichtigen. Wichtiges Ziel dabei ist stehen, um die bestmöglichen Technologien
es, spätere Aufwände zur Behebung von Sicher- voranzubringen.
heitslücken zu verhindern oder zu minimieren. Die Herausforderungen nehmen für die kom-
Aber natürlich verlangt IT-Sicherheit trotzdem mende Bundesregierung zu. Dabei ist die
regelmäßige Anpassungen, auch durch die mittelständisch geprägte deutsche IT-Sicher-
Politik. Diese Änderungen sind zu interpretie- heitsbranche allerdings sehr gut aufgestellt
ren und umzusetzen; selbstverständlich ist diese und durch innovative Produkte, gepaart mit
nachhaltige Analyse der Umsetzungsstände der starken deutschen bzw. europäischen
regelmäßig durchzuführen. Datenschutzgesetzgebung, international wett-
Grundsätzlich ist der Staat für die Bereitstel- bewerbsfähig. "IT Security made in Germany"
lung und Absicherung von für die Gesellschaft wird auch über das Jahr 2021 hinaus eine gute
wichtigen Funktionen und Infrastrukturen ver- Wahl bleiben. Q
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany
4 INHALT
IT SECURITY MADE IN GERMANY SICHERHEIT FÜR SMART HOMES UND IOT
Die Initiative: Vertrauen hat einen Namen 6 Sicherheit für Smart Homes: Warum sollte
TeleTrusT-IT-Sicherheitsagenda 2029: jemand einen Kühlschrank angreifen? 40
Startimpulse zur digitalen Souveränität gefordert 10 Stand der Sicherheit im IoT: IoT-Sicherheit – Land
in Sicht oder Land unter? 48
STELLENWERT DER IT-SICHERHEIT
STÄRKEN GESETZLICHE VORHABEN UND
Argumentationsstrategien für CISOs und VORSCHRIFTEN
IT-Sicherheitsexperten: Vermitteln Sie den Wert
Cybersicherheitsstrategie der Bundesregierung:
von IT-Sicherheit! 14
Wie die Cybersicherheit in Deutschland gestärkt
Sicherheit und Budgetierung: IT-Security-Kosten, werden kann 52
die gerne übersehen werden 22
Neue gesetzliche Vorschriften: Wichtige
Cyberangriffe verhindern: Die größten Datenschutz-Themen für 2021 55
IT-Sicherheitslücken im Mittelstand 2020 28
CISO as a Service: Security Management as a
REDAKTION
Service können nicht nur die Beratungshäuser 36
Editorial 3
Impressum/Inserenten 58
Titelbild: © harvepino-stock.adobe.com (M) Carin Boehm
TeleTrusT-Initiative "IT Security made in Germany"
"ITSMIG" ("IT Security made in Germany")
wurde 2005 auf Initiative des Bundesminis-
teriums des Innern (BMI), des Bundesmi-
nisteriums für Wirtschaft und Technologie
(BMWi) sowie Vertretern der deutschen
IT-Sicherheitswirtschaft etabliert und 2008
in einen eingetragenen Verein überführt.
Sowohl BMI als auch BMWi hatten eine
Schirmherrschaft übernommen. Die TeleTrusT-Arbeitsgruppe "ITSMIG" ver-
Nach intensiven Erörterungen sind folgt das Ziel der gemeinsamen Außendar-
TeleTrusT und ITSMIG 2011 übereingekom- stellung der an der Arbeitsgruppe mitwir-
men, dass sich auf ihren Handlungsfeldern kenden Unternehmen und Institutionen
Synergien erschließen lassen. Zukünftig gegenüber Politik, Wirtschaft, Wissenschaft
werden die ITSMIG-Aktivitäten unter dem und Öffentlichkeit auf deutscher, europä-
Dach des TeleTrusT als eigenständige ischer bzw. globaler Ebene. BMWi und BMI
Arbeitsgruppe "ITSMIG" fortgeführt. sind im Beirat der Arbeitsgruppe vertreten.
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany
WE MATCH PEOPLE
& TECHNOLOGY
Cloud Computing
Service Providing
Data Storage
Digital Workspace
IT-Executive
eGovernment
eHealth
FIT Females in IT
Cloud Native IT-Security
DigitalPakt Schule
Datacenter
7.250 35 461 20+
Teilnehmer p.a. Events p.a. Vorträge und Workshops p.a. Jahre Events vom Feinsten
Unsere Events – vor Ort, virtuell, hybrid.
Jetzt informieren: www.vogelitakademie.de
6 "IT SECURITY MADE IN GERMANY": DIE INITIATIVE
Vertrauen hat einen Namen
Mit der Vergabe des Vertrauenszeichens
"IT Security made in Germany" an deutsche
Anbieter erleichtert der Bundesverband
IT-Sicherheit e.V. (TeleTrusT) Endanwendern
und Unternehmen die Suche nach vertrau-
enswürdigen IT-Sicherheitslösungen.
Von Dr. Holger Mühlbauer und Jürgen Paukner
Träger des Vertrauenszeichens "IT Security made in Germany" (Stand 20.09.2021)
t Accellence Technologies GmbH t Communisystems-Care GmbH t D-Trust GmbH
t AceBIT GmbH t Condition-ALPHA Digital t e-ito Technology Services GmbH
t achelos GmbH Broadcast Technology Consulting t eCom Service IT GmbH
t Achtwerk GmbH & Co. KG t consistec Engineering & t ecsec GmbH
t ads-tec GmbH Consulting GmbH t Enginsight GmbH
t akquinet enterprise solutions t Consultix GmbH t eperi GmbH
GmbH t Crashtest Security GmbH t esatus AG
t Allgeier IT Solutions GmbH t CryptoMagic GmbH t essendi it GmbH
t ANMATHO AG t Cryptshare AG t essentry GmbH
t Antago GmbH t cv cryptovision GmbH t exceet Secure Solutions GmbH
t AOE GmbH t Cybersense GmbH t floragunn GmbH
t apsec Applied Security GmbH t dacoso data communication t FSP GmbH
t ASOFTNET solutions GmbH t FZI Forschungszentrum Informatik
t ATIS systems GmbH t dal33t GmbH t GBS Europa GmbH
t Atruvia AG t DATAKOM GmbH t G DATA CyberDefense AG
t AUTHADA GmbH t datenschutzklinik t genua GmbH
t Bank-Verlag GmbH t DATUS AG t glacier advisory & coaching
t Bechtle GmbH & Co. KG t DCSO Deutsche Cyber- t GORISCON GmbH
t Beta Systems IAM Software AG Sicherheitsorganisation GmbH t Hanko GmbH
t Biteno GmbH t DELIT AG t HiScout GmbH
t Blue Frost Security GmbH t DERMALOG Identification t HK2 Rechtsanwälte
t Bosch CyberCompare Systems GmbH t Hornetsecurity GmbH
t Build38 GmbH t Detack GmbH t Huf Secure Mobile GmbH
t Bundesdruckerei GmbH t Deutsche Gesellschaft für t IDEE GmbH
t CBT Training & Consulting GmbH Cybersicherheit mbH & Co. KG t if(is) - Institut für Internet-
t CCVOSSEL GmbH t DFN-CERT Services GmbH Sicherheit
t certgate GmbH t dhpg IT-Services GmbH t Infineon Technologies AG
t CERTIX IT-Security GmbH Wirtschaftsprüfungsgesellschaft t INFODAS GmbH
t CGM Deutschland AG t Digital Enabling GmbH t Inlab Networks GmbH
t Cherry GmbH t digitronic computersysteme t innovaphone AG
t CHIFFRY GmbH GmbH t INSYS Microelectronics GmbH
t Cloudsitter GmbH t DIGITTRADE GmbH t intelliCard Labs GmbH
t CoCoNet Computer-Communi- t dinext. pi-sec GmbH t Intelligent Minds UG
cation Networks GmbH t ditis Systeme Niederlassung der t IoT Inspector GmbH
t Cognitec Systems GmbH JMV GmbH & Co. t IS4IT Kritis GmbH
t COGNITUM Software Team t DocRAID(R) - professional data t isits AG International School of
GmbH privacy protection IT Security
t COMback Holding GmbH t DoctorBox GmbH t ISL Internet Sicherheitslösungen
t comcrypto GmbH t DRACOON GmbH GmbH
t comforte AG t DriveLock SE t ITConcepts PSO GmbH
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany
"IT SECURITY MADE IN GERMANY": DIE INITIATIVE 7
Die Verwendung des markenrechtlich geschütz- 4. Die IT-Sicherheitsforschung und -entwick-
ten TeleTrusT-Vertrauenszeichens "IT Security lung des Unternehmens muss in Deutschland
made in Germany" wird interessierten Anbie- stattfinden.
tern durch TeleTrusT auf Antrag und bei Er- 5. Das Unternehmen muss sich verpflichten,
füllung der nachstehenden Kriterien zeitlich den Anforderungen des deutschen Daten-
befristet gestattet: schutzrechtes zu genügen.
1. Der Unternehmenshauptsitz muss in Die Liste der zertifizierten deutschen Unterneh-
Deutschland sein. men wächst beständig. Die aktuelle Liste der
2. Das Unternehmen muss vertrauenswürdige Unternehmen, denen die Nutzung des Vertrau-
IT-Sicherheitslösungen anbieten. enszeichens derzeit eingeräumt wird, können
3. Die angebotenen Produkte dürfen keine ver- Sie einsehen unter: www.teletrust.de/itsmig/
steckten Zugänge ("Backdoors") enthalten. zeichentraeger/ Q
t ITSG GmbH t PFALZKOM GmbH t Smartify IT Solutions GmbH
t itWatch GmbH t PHOENIX CONTACT Cyber t Softline AG
t Johannes Kresse Security GmbH t SoSafe GmbH
t keepbit IT-SOLUTIONS GmbH t PHYSEC GmbH t SRC Security Research &
t KikuSema GmbH t Pix Software GmbH Consulting GmbH
t KnowledgeRiver GmbH t PPI Cyber GmbH t Steen Harbach AG
t LANCOM Systems GmbH t PRESENSE Technologies GmbH t Steganos Software GmbH
t limes datentechnik® gmbh t procilon GmbH t SVA System Vertrieb Alexander
t Linogate GmbH t Protforce GmbH GmbH
t LocateRisk UG t PSW GROUP GmbH & Co. KG t Symlink GmbH
t m3 management consulting t Pyramid Computer GmbH t syracom consulting AG
GmbH t QGroup GmbH t TDT AG
t maincubes one GmbH t QuoIntelligence GmbH t TE-SYSTEMS GmbH
t MaskTech GmbH t retarus GmbH t teamwire GmbH
t MATESO GmbH t Rhebo GmbH t Tenzir GmbH
t Matrix42 AG t RheinByteSystems GmbH t TESIS SYSware Software
t MB Connect Line GmbH t Rohde & Schwarz Cybersecurity Entwicklung GmbH
Fernwartungssysteme GmbH t TG alpha GmbH
t Mentana Claimsoft GmbH t r-tec IT Security GmbH t TMB Service GmbH
t M&H IT-Security GmbH t SAMA PARTNERS Business t Trufflepig IT-Forensics GmbH
t MTG AG Solutions GmbH t TrustCerts GmbH
t MTRIX GmbH t sayTEC AG t TÜV Informationstechnik GmbH
t NCP engineering GmbH t SBE network solutions GmbH t TÜV Rheinland i-sec GmbH
t Net at Work GmbH t Schönhofer Sales and t TWINSOFT biometrics GmbH
t netfiles GmbH Engineering GmbH & Co. KG
t NEOX NETWORKS GmbH t SCHUTZWERK GmbH t Uniki GmbH
t NETZWERK Software GmbH t SC-Networks GmbH t Uniscon GmbH
t Nexis GmbH t Secomba GmbH t Utimaco IS GmbH
t nicos AG t Secorvo Security Consulting t VegaSystems GmbH & Co. KG
t nicos cyber defense GmbH GmbH t Veronym Holding GmbH
t Nimbus Technologieberatung t secrypt GmbH t virtual solution AG
GmbH t secucloud GmbH t VisionmaxX GmbH
t OctoGate IT Security Systems t SECUDOS GmbH t Vulidity GmbH
GmbH t secunet Security Networks AG t WMC Wüpper Management
t ondeso GmbH t Secure Service Provision GmbH Consulting GmbH
t OPTIMA Business Information t Securepoint GmbH t Würzburger Versorgungs- und
Technology GmbH t secuvera GmbH Verkehrs GmbH
t OTARIS Interactive Services t SerNet GmbH t XignSys GmbH
GmbH t signotec GmbH t XnetSolutions KG
t pen.sec AG t SL.IS Services GmbH t Zertificon Solutions GmbH
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany
MEHR SICHERHEIT
MEHR ERREICHEN
Vertrauen durch Technik und Expertise.
!" )&( #
&
( #('(
( +## "#
# !!'
(
( )&%$ #( # 0 )& (, '(-( '
/&
&
( *$# #(&#
"# )" ( &+!!'
&#'##&# $ ! * #
"#( )# + (&#
&
('!.')#
# " # &"#,
)&%$ #( # 0 )& (,
&
( )'
#-
(!
& &'% ( *
+++')&%$ #( 1 ! 1 #
$ ')&%$ #(
10 TELETRUST-IT-SICHERHEITSAGENDA 2029
Startimpulse zur digitalen
Souveränität gefordert
Deutschland und Europa müssen angemessen und souverän die digitale
Zukunft gestalten können. Um das zu erreichen, hat der Bundesverband
IT-Sicherheit e.V. (TeleTrusT) in der IT-Sicherheits-Agenda 2029 wichtige
und dringende Forderungen aufgestellt. Von Peter Schmitz, Security-Insider
Bild: vectorfusionart/stock.adobe.com
Deutschland und Europa müssen ihre Konkurrenzfähigkeit gegenüber anderen Regionen neu
erlangen und erhalten, um weitestgehend unabhängig ihre digitale Zukunft gestalten zu können.
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany TELETRUST-IT-SICHERHEITSAGENDA
XXXXXXXXXXXXXXXXXXXXXXXXXX
2029 11
Digitalisierung und Vernetzung der Wirtschaft, 2. Technologische Souveränität im Bereich IT-
Verwaltung und Kritischen Infrastrukturen bie- Sicherheit schaffen – für eine werteorien-
ten Unternehmen gute Chancen, ihr Know-how tierte, sichere und vertrauenswürdige digitale
in neue Technologien und Dienstleistungen Zukunft
umzusetzen. Der Staat ist für die Rahmenbedin- 3. Auf- und Ausbau von IT-Sicherheitsinfra-
gungen der Bereitstellung und Absicherung von strukturen für Bürger, Unternehmen und
für die Gesellschaft wichtigen Funktionen und Verwaltung fordern und fördern
Infrastrukturen verantwortlich. Im Zuge der 4. Mehr IT-Sicherheitstechnologie "Made in
zunehmenden Komplexität der Infrastrukturen Germany" in der Praxis
bedarf es einer intensiven Zusammenarbeit von 5. Verbot der Kompromittierung von IT-Sicher-
Politik, Verwaltung, Forschung und Industrie, heit, keine Backdoors, Staatstrojaner oder
um die technologische und digitale Souveräni- geschwächte Verschlüsselung
tät herzustellen oder zu gewährleisten. 6. Europäische IT-Sicherheitsgesetze für eine
erhöhte Rechts- und Investitionssicherheit –
Der Staat ist gefordert klar, konsolidiert und agil.
Technologische und digitale Souveränität kann
nur durch ein zielgerichtetes und langfristiges TeleTrusT-Vorstandsvorsitzender Prof. Dr. Nor-
Vorgehen erfolgreich umgesetzt werden. Der- bert Pohlmann: "Die IT-Sicherheitsprobleme
zeit existieren zu viele Einzelinitiativen, die und daraus resultierende Schäden nehmen ste-
kaum Wirkung zeigen. Es bedarf einer Umset- tig zu. Vor vier Jahren mit 50 Milliarden Euro
zungsstrategie, die Ziele definiert, Maßnahmen beziffert, über 100 Milliarden Euro vor zwei
priorisiert und festlegt sowie eine Aufgabenver- Jahren, betragen sie mittlerweile mehr als 220
teilung zwischen Politik, Verwaltung, Herstel- Milliarden Euro. Die neue Bundesregierung
ler- und Anwendungsunternehmen und For- muss auf allen Ebenen und gemeinsam mit den
schung vornimmt. Die Politik ist aufgerufen, relevanten Stakeholdern dafür sorgen, dass die-
den Startimpuls für die Umsetzungsstrategie se Schäden deutlich vermindert werden. Denn
zu setzen und sie langfristig zu unterstützen. nur so erreichen wir das Ziel, eine souveräne,
Andere Staaten verfolgen bereits konsequent sichere und vertrauenswürdige digitale Zukunft
entsprechende Umsetzungspläne. Demzufolge zu schaffen."
müssen Deutschland und Europa ihre Kon- RA Karsten U. Bartels LL.M., stellvertretender
kurrenzfähigkeit gegenüber anderen Regionen TeleTrusT-Vorstandsvorsitzender: "Wenn wir
neu erlangen und erhalten, um weitestgehend eine technologische und digitale Souveränität
unabhängig die digitale Zukunft gestalten zu Deutschlands und Europas wollen, muss die
können. Politik in den nächsten zwei Legislaturperio-
den die IT-Sicherheit massiv stärken. Unsere
Forderungen der IT-Sicherheits- sechs Kernforderungen stellen zusammen, was
agenda 2029 von TeleTrusT dazu erforderlich ist: der Staat hat IT-Sicherheit
Dazu hat der Bundesverband IT-Sicherheit e.V. aktiv zu fördern und nicht zu kompromittieren.
(TeleTrusT) seine "IT-Sicherheitsagenda 2029" Das betrifft auch das Recht auf Verschlüsselung
mit sechs zentralen Forderungen veröffentlicht ohne staatliche Hintertüren. IT-Sicherheits-
(www.teletrust.de/teletrust-it-sicherheitsagenda/): infrastrukturen sind so auszubauen und vom
1. Klares Bekenntnis zu unbeschränkter IT- Staat selbst zu nutzen, dass sie im privaten und
Sicherheit geschäftlichen Alltag ankommen." Q
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in GermanyADVERTORIAL
R&S®Trusted Gate: Rechtssicher
in der Cloud arbeiten
Für Unternehmen und Behörden steigt die Herausforderung,
US-amerikanische Cloud-Dienste gemäß den Vorgaben der EU-
DSGVO einzusetzen. In einem neuen Rechtsgutachten analysiert
Prof. Dr. Heckmann von der TU München das Schrems-II-Urteil,
seine Auswirkungen für die Nutzung von Public-Cloud-Diensten
und inwiefern die Cloud-Sicherheitslösung R&S®Trusted Gate
des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity
einen Ausweg aus dem derzeitigen Cloud-Dilemma darstellt.
Deutsche Unternehmen und Behörden nut- Cloud-Computing derzeit kein zulässiger
zen für das Cloud-Computing überwiegend Weg für die Datenübermittlung in die USA.
Anwendungen, Dienste und Services von Europäische Unternehmen und Behörden
US-amerikanischen Anbietern wie Microsoft, gehen bei der Nutzung US-amerikanischer
Google oder Amazon. Denn diese verfügen Cloud-Dienste daher ein enormes Risiko
über eine hohe Funktionalität und Skalierbar- ein. Gegen deutsche Firmen, die die Dienste
keit. Seit dem 16. Juli 2020 herrscht jedoch dennoch einsetzen, sind Bußgelder von bis
große Unsicherheit, inwiefern der Einsatz zu 20 Millionen Euro möglich.
solcher Cloud-Dienste datenschutzrechtlich Für Unternehmen und Behörden besteht
überhaupt noch möglich ist. Denn an die- die Herausforderung deshalb darin, die ge-
sem Tag hat der Europäische Gerichtshof setzlichen Vorgaben einzuhalten. Denn die
das Datenschutzabkommen zwischen USA Nutzung von Cloud-Diensten ist heute nicht
und EU „Privacy Shield“ für ungültig erklärt. mehr nur eine hilfreiche Ergänzung, sondern
Eine neue Regelung, die für Rechtssicherheit dringend erforderlich. Sie ermöglichen den
sorgt, lässt seither auf sich warten. flexiblen und weltweiten Datenzugriff inner-
halb der Unternehmen – vor allem auch in
Enormes Risiko durch Cloud-Nutzung Zeiten von Homeoffice und Remote Work ist
Nach Auffassung des Europäischen Daten- die Bedeutung von Cloud-Diensten immens
schutzausschusses (EDSA) besteht im gestiegen.R&S®Trusted Gate: Der Ausweg Dienste genutzt werden, ohne dass personen-
aus dem Cloud-Dilemma bezogene Daten in ein „unsicheres Drittland“
In einem aktuellen Rechtsgutachten ana- übermittelt werden. Die Unternehmen und
lysiert Prof. Dr. Heckmann von der TU Behörden behalten die Datenherrschaft und
München, wie die Cloud-Sicherheitslösung erfüllen die Anforderungen der EU-DSGVO.
R&S®Trusted Gate einen Ausweg aus dem
Cloud-Dilemma darstellt. Laut dieses Gut- Daten entkoppeln
achtens bietet R&S®Trusted Gate Unter- Das Gutachten beurteilt zwar den Einsatz
nehmen und Behörden die Möglichkeit, die der Lösung vor dem Hintergrund der EU-
Herrschaft über ihre Daten zu behalten und DSGVO. Das Konzept der Entkopplung von
die Anforderungen der EU-DSGVO in ihrer Daten aus der Cloud ermöglicht jedoch auch
eigenen IT-Umgebung zu erfüllen. Dass diese das Einhalten von Datenschutzverordnungen
Trennung auf technisch sichere Weise anderer Länder. Eine solche Cloud-Lösung
gelingt, garantiere der Hersteller Rohde & kann daher weltweit eingesetzt werden, um
Schwarz Cybersecurity glaubhaft gegen- die eigenen Daten für ausgewählte Regionen
über seinen Kunden, so Heckmann. Rohde zu entkoppeln und lokal zu speichern.
& Schwarz ist ein geheimschutzbetreutes R&S®Trusted Gate lässt sich nahtlos in
Unternehmen und darf damit auch Informa- Storage-Systeme gängiger Public Clouds
tionen, mit der Einstufung „Verschlusssa- wie Microsoft Azure, Google, AWS und
chen“ bearbeiten. Collaboration-Tools wie Microsoft 365 oder
Die Besonderheit der Lösung liege laut SharePoint einbinden und gesetzliche Vor-
Heckmann in der sicheren Gestaltung eines gaben sowie Compliance-Regeln können
Mehrebenensystems: Danach werden die auch in globalen Cloud-Umgebungen pro-
personenbezogenen Inhalte der Verschlüs- blemlos umgesetzt werden. Dabei läuft die
selungsebene von den Cloud-Diensten auf Lösung transparent in bestehenden Anwen-
der Geschäftsebene getrennt. Auf diese Wei- dungen, sodass Arbeitsabläufe unverändert
se können die Vorteile der externen Cloud- bleiben. W14 ARGUMENTATIONSSTRATEGIEN FÜR CISOs UND IT-SICHERHEITSEXPERTEN
Vermitteln Sie den Wert
von IT-Sicherheit!
Egal in welcher Position oder Abteilung: Budgets und zeitliche
Ressourcen sind heiß umkämpft. Nicht den leichtesten Stand
haben in diesem Zusammenhang präventive Maßnahmen wie
Security-Awareness oder Mitarbeiter-Trainings. Um das Thema
dennoch als Business Case in der Führungsebene zu platzieren,
können CISOs und IT-Sicherheitsverantwortliche auf Anleihen des
Change-Managements zurückgreifen. Von Dr. Niklas Hellemann, SoSafe
Cyberangriffe gehören mittlerweile zu den aktuellen Stand der IT-Sicherheit in Organisa-
größten Betriebsrisiken. Zehntausende deut- tionen ist es allerdings nicht überraschend, dass
sche Unternehmen waren etwa von den Cyberkriminelle immer wieder Einfallstore
Hackerangriffen auf Microsoft betroffen, eben- finden. Im besonderen Fokus steht der Faktor
so wurden Abgeordnete des Bundestages von Mensch, denn hier starten 90 Prozent aller
Cyberkriminellen attackiert. Mit Blick auf den Cyberangriffe.
Sicherheitsverantwortliche wis-
sen längst um diese prekäre
Situation und sehen gerade in
der aktuellen Lage Nachholbe-
darf. Das zeigen zum Beispiel
die Analysen im SoSafe „Human
Risk Review 2021“. Der Großteil
Bild: contrastwerkstatt/stock.adobe.com
der befragten IT-Sicherheitsex-
perten (57,1 Prozent) möchte
seine Bestrebungen im Bereich
der Mitarbeitersensibilisierung
zukünftig steigern.
Dem Präventions-
paradoxon trotzen…
Andererseits hat das Thema IT-
Mit Prinzipien des Change-Managements argumentieren Sicherheit generell keinen leich-
Sicherheitsverantwortliche überzeugender. ten Stand innerhalb der Gesamt-
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany ARGUMENTATIONSSTRATEGIEN FÜR CISOs
XXXXXXXXXXXXXXXXXXXXXXXXXX
UND IT-SICHERHEITSEXPERTEN 15
Die meisten IT-Sicher-
heitsexperten möchten
Bild: SoSafe Human Risk Review 2021
IT-Sicherheitsmaßnahmen
verstärken.
IT-Budgetierung. So verteilen Firmen weltweit 1. Risiken quantifizieren – oder: einen
nur circa sechs Prozent ihrer IT-Ausgaben auf „Sense of urgency“ etablieren
Maßnahmen zur Steigerung der IT-Sicherheit, Aus dem Change-Management wissen wir: Um
wie das Research-Unternehmen Gartner be- Menschen für eine Sache zu gewinnen oder zu
richtet. einer Änderung zu bewegen, ist es wichtig, ihre
Ein Grund dafür: IT-Sicherheit schafft ver- Sprache zu sprechen und persönliche Relevanz
meintlich wenig Mehrwert. Und haben Maß- zu erzeugen. Change-Experten sprechen vom
nahmen einen Effekt, tritt das unerwünschte „Sense of Urgency“. Übertragen auf die Welt
Ereignis nicht oder mit verringerter Häufigkeit der Budgets und Business Cases bedeutet dies,
ein. Eine Problematik, die wir in der Pandemie die Größe des Problems quantitativ aufzuzei-
auch unter dem Namen „Präventionsparadox“ gen. Und die quantitativen Dimensionen sind
sehr gut kennengelernt haben. Dennoch helfen enorm: So verursachten Cyberangriffe bereits
Maßnahmen der IT-Sicherheit gerade in den 2019 allein in Deutschland einen Schaden von
aktuell herausfordernden Zeiten, Risiken zu mehr als 100 Milliarden Euro.
minimieren. Sie verringern die Wahrschein- Doch gerade sehr hohe Zahlen können ihren
lichkeit für kostspielige Angriffe und sichern Effekt verlieren, wenn sie zu groß sind und
damit Wertschöpfung – und nicht zuletzt damit sehr abstrakt bleiben. Dass Cybercrime
Arbeitsplätze. äußerst kostspielig ist, ist letztlich auch durch
die Berichterstattung in der Presse vielen Men-
…und Mehrwerte klar vermitteln schen bekannt. Daher ist es wichtig, hier Zah-
Um diese Mehrwerte auch klar allen Stake- len heranzuziehen, die eine möglichst hohe
holder-Gruppen zu vermitteln, kann es hilf- Relevanz für das eigene Unternehmen haben.
reich sein, auf Prinzipien aus dem Change-Ma- Welche Cyberangriffe auf branchenverwandte
nagement zu schauen und so die Notwendigkeit Firmen oder Wettbewerber gab es zuletzt?
für Investments zu verdeutlichen. Welche Folgen hatten diese? Wettbewerber, die
Die folgenden drei Schritte schaffen dabei eine bereits Cyberangriffen ausgesetzt waren, sind
gute Basis für eine klare Argumentation: oftmals schnell zu finden. Vielleicht war sogar
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in GermanyADVERTORIAL
INSYS icom – in kritischen
Infrastrukturen zuhause
INSYS icom ist Digitalisierungsexperte für industrielle Daten-
kommunikation. Mit unseren Lösungen bilden wir die Brücke
zwischen IT und OT. Sie sind somit häufig das zentrale Gateway
in der Kommunikation von geschlossenen und sicheren
Netzwerken nach außen in das freie Internet. Daher hat die
Sicherheit unserer Lösungen die oberste Priorität.
der industriellen IoT-Verbindungen von 17,7
Milliarden im Jahr 2020 auf 36,8 Milliarden
im Jahr 2025 ansteigen. Dadurch werden
auch Angriffe auf diese Verbindungen immer
häufiger.
Dabei sind die Absichten von Angreifern
unterschiedlich. Die meisten Hacker wollen
Geld erpressen, indem sie beispielsweise
die Produktion von Unternehmen lahmlegen.
Zu Beginn dieses Jahres verschafften sich Sie heben die Blockade dann erst gegen Be-
Hacker Zugang zu einer Wasseraufberei- zahlung wieder auf. Aber auch der Diebstahl
tungsanlage in einer Stadt in Florida. Dort von geschäftskritischen Informationen und
versuchten sie, den Natriumhydroxid-Gehalt Know-how oder eine politische Motivation
im System von den üblichen 100 Teilen pro können hinter Angriffen stecken.
Million (ppm) auf über 11.000 ppm zu er-
höhen. Ein derartiger Anstieg hätte ernste Geschützte Datenkommunikation
gesundheitliche Folgen für alle haben kön- mit INSYS icom
nen, die das Wasser getrunken hätten. Zum Lösungen von INSYS icom sind für Cyber-
Glück wurde der Angriff sofort bemerkt und attacken im IIoT bestens gerüstet. Wir sind
abgewehrt. Digitalisierungsexperten für industrielle Da-
Die Cyberattacke zeigt deutlich: Gerade tenkommunikation und schlagen mit unseren
im Industrial Internet of Things (IIoT) lauern Routern, Managed Services und Software
viele Gefahren, die Unternehmen und Infra- die sichere Brücke zwischen IT und OT.
strukturbetreiber kennen und vor allem Unsere Spezialisten verfügen über knapp
abwehren müssen. Einer Studie von Juniper 30 Jahre Erfahrung in den Bereichen Fern-
Research zufolge wird die weltweite Anzahl wartung, Fernsteuerung, Überwachung vonZuständen und Vernetzung von Daten und lassen wir regelmäßig die IT-Sicherheit unse- unsere Lösungen sind „Made in Germany“. rer Produkte durch Penetration-Tests und Die Hard- und Software entwickeln wir in Widerstandsanalysen validieren. unserem Hauptsitz in Regensburg. Unsere Lösungen entsprechen hohen industriellen Stimme aus der Praxis: BayWa r.e. AG Anforderungen in Bezug auf Langlebigkeit, Aufgrund dieser Faktoren vertrauen hunderte Performance und IT-Sicherheit. Wir beziehen Einrichtungen aus kritischen Infrastrukturen kritische Bauteile ausschließlich aus vertrau- (KRITIS) auf unsere Geräte und Services. enswürdigen Quellen und setzen bei unseren Die BayWa r.e. AG zum Beispiel plant, baut Routern auf das eigenentwickelte, gehärtete und betreibt Windparks und PV-Anlagen auf Betriebssystem icom OS. Bei Angriffen auf der ganzen Welt und setzt die Router von Ihre Systeme können außerdem nach unter- INSYS icom bereits seit mehreren Jahren schiedlichen Kriterien Alarme abgesetzt wer- ein. „Wir arbeiten ausschließlich mit Routern den und wir bieten verschiedene Managed in Industriequalität, die vom Bundesamt für Services an, um für zusätzliche Sicherheit Sicherheit in der Informationstechnik (BSI) für zu sorgen. Dazu zählt zum einen die icom einen hohen Schutzstandard getestet wur- Connectivity Suite – VPN, eine sichere VPN- den“, sagt Mohamed Harrou, Global Head Verbindung für Wartung, Steuerung und of SCADA bei der BayWa r.e. Data Services Datenerfassung von Geräten weltweit. Diese GmbH. „Die Firewall der Router von INSYS wird ausschließlich in ISO27001-zertifizierten icom konnte in unserer Anwendung alle acht Datacentern gehostet. Zum anderen ermög- Sekunden einen Cyberangriff abwehren und licht das icom Router Management den bietet daher einen hervorragenden Schutz sicheren Zugriff auf die Router aus der Ferne. vor Hackerangriffen.“ So wird das Gerätemanagement sowie Roll- outs von Firmware, Konfigurationen und Mehr Informationen über IT-Sicherheit und Sicherheitszertifikaten – inklusive Protokollie- INSYS icom finden Sie unter: rung – skalierbar und einfach. Des Weiteren insys-icom.de/it-sicherheit W
18 ARGUMENTATIONSSTRATEGIEN FÜR CISOs UND IT-SICHERHEITSEXPERTEN
die eigene Organisation schon betroffen, denn: beitersensibilisierungen führen zahlreiche Fir-
Laut einer Bitkom-Studie sind bereits 2018 und men beispielsweise Angriffssimulationen wie
2019 75 Prozent aller Organisationen Opfer von simulierte Phishing-Angriffe durch. Denn die
Cyberangriffen geworden. Mit einem Fokus auf resultierenden KPIs, wie Klick- oder Melde-
Vergleichbarkeit stellen IT-Verantwortliche die raten, sind sehr greifbare Werte für die Bedro-
Bedrohungslage und die damit einhergehende hung des Unternehmens. Zudem erschließen
Dringlichkeit der Sicherheitsmaßnahmen be- sie sich auch nicht-technischen Stakeholdern.
sonders greifbar heraus. Wenn circa 40 Prozent der Mitarbeitenden auf
eine echte Phishing-Mail klicken würden, ist
2. Risiken greifbar machen – oder: auch Geschäftsführern klar, dass die Zeit zum
„Uns kann es ja nicht treffen“ Handeln gekommen ist.
Kosten, die nur zu einer gewissen Wahrschein-
lichkeit in der Zukunft aufkommen, erscheinen 3. Risiken minimieren – oder: „Return
uns als weniger wichtig. Und wenn wir zur on Security Invest ableiten“
Vermeidung auch noch Aufwand betreiben Hat man das spezifische Risiko für das eigene
müssen, schieben wir das Problem lieber „auf Unternehmen quantifiziert, ist der nächste
die lange Bank“. Natürlich wissen wir, dass wir logische Schritt die Reduktion. Für menschen-
Sport treiben sollten, um die Wahrscheinlich- basierte Angriffe bedeutet dies: kontinuierliche
keit einer künftigen Krankheit zu reduzieren, Schulungen und Sensibilisierungsmaßnahmen.
aber der negative Effekt ist ja gefühlt auch noch In der Vergangenheit wurde in diesem Bereich
sehr weit weg. häufig in Richtung „Compliance“ oder Pflicht-
Für den Bereich der IT-Sicherheit heißt das: maßnahmen argumentiert. Auch heute ist die
Probleme diagnostizieren und die konkrete Erfüllung gesetzlicher Pflichten ein wichtiges
Bedrohungslage beziffern. Im Fall von Mitar- Argument bei der Umsetzung von Security
Bild: SoSafe Human Risk Review 2021
Der Großteil der IT-Sicherheitsexperten kommuniziert die Gefahren mit den Mitarbeitenden.
Aktive und dauerhafte Awareness-Maßnahmen werden seltener ergriffen.
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany ARGUMENTATIONSSTRATEGIEN FÜR CISOs
XXXXXXXXXXXXXXXXXXXXXXXXXX
UND IT-SICHERHEITSEXPERTEN 19
Bild: SoSafe Human Risk Review 2021
Corona und Homeoffice haben die Wahrscheinlichkeit von erfolgreichen Cyberangriffen erhöht.
Awareness. So schreibt die Datenschutzgrund- berichtet das Sicherheitsunternehmen Crowd-
verordnung (DSGVO) eine laufende Schulung strike, dass 68 Prozent aller von einer Attacke
von Mitarbeitenden vor. Die ISO-27001 geht getroffenen Unternehmen, in den folgenden
sogar noch einen Schritt weiter und verlangt zwölf Monaten erneut angegriffen werden.
„Social Engineering-Simulationen“.
Noch tragfähiger für die Budgetgewinnung als In diesem Fall könnte man durch die bloße Ab-
regulatorische Pflichten ist es aber, mit kon- senkung der Phishing-Klickrate von 40 Prozent
kreten Mehrwerten im Sinne eines „Return on um zehn Prozentpunkte eine Kostenersparnis
Invests“ zu argumentieren. Aufbauend auf den von gut 200.000 Euro Kostenrisiko pro Jahr
genannten KPIs aus Angriffssimulationen lässt erreichen – wobei es sich dabei noch um eine
sich eine Reduktion der Phishing-Klickrate konservative Rechnung handelt. So sehen wir
unmittelbar in eine Absenkung des monetären mögliche Reduktionen von über zwei Drittel bei
Risikos übersetzen. Zur Veranschaulichung der Klickrate durch den Einsatz von Awareness-
nutzen wir ein Rechenbeispiel mit folgenden Maßnahmen.
Annahmen. Und selbst wenn dies ein Spiel mit statistischen
Wahrscheinlichkeiten ist, steht der konkret zu
ROI anhand eines einfachen beziffernde Mehrwert wesentlich kleineren Kos-
Rechenbeispiels ten gegenüber – was Budgetdiskussionen dann
t%FS IZQPUIFUJTDIF 4DIBEFO EVSDI FJOFO FS- ein gutes Stück entspannter werden lässt. Q
folgreichen Cyberangriff könnte gut sechs
Millionen Euro betragen (wie eine Studie
des Bitkom-Verbandes für ein mittelgroßes Der Autor
Bild: SoSafe
Unternehmen schätzt).
t3VOEOFVOWPO[FIOFSGPMHSFJDIFO"OHSJČFO Dr. Niklas Hellemann ist
starten über den Faktor Mensch – beispiels- Diplom-Psychologe, lang-
weise per Phishing-Mail. jähriger Unternehmensbe-
t1SP[FOUBMMFS6OUFSOFINFOXVSEFOJOEFO rater und Geschäftsführer
vergangenen zwei Jahren nachweislich min- der Firma SoSafe Cyber
destens einmal angegriffen. Vermutlich liegt Security Awareness.
die tatsächliche Zahl wesentlich höher; zudem
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in GermanyADVERTORIAL
Nachweisbare IT-Sicherheit
testen, aber wie?
Nach einer BITKOM-Studie hat sich der
Schaden für die deutsche Wirtschaft durch
Cyberkriminalität im Jahr 2020 auf 223 Milli-
arden Euro mehr als verdoppelt. 88 Prozent
der Unternehmen seien von Cyber-Angriffen
betroffen gewesen. Im Bereich kritischer In-
frastrukturen wird mit einer erhöhten Bedro-
hung gerechnet. Somit rückt der Wert von
Cybersicherheit immer stärker in den Fokus. Diensteanbieter für den sicheren Betrieb
Ein wichtiger Sicherheitsanker ist die Über- von Web-Diensten und fixiert in der dazu-
prüfung der Konfiguration und der verwen- gehörigen Checkliste relevante Parameter.
deten Komponenten im Protokoll-Umfeld In der TR-03116-3 sind die Kriterien für den
von TLS und IKE/IPsec. Diese Protokolle sicheren Betrieb der Smart-Metering-
bilden das Rückgrat der sicheren Kommu- Infrastruktur definiert.
nikation im Netzwerk und damit das Funda- Zudem liefert der weltweite Kriterienkata-
ment für die darüber kommunizierenden log für IT-Sicherheit – Common Criteria –
Applikationen. messbare Vorgaben für sicherheitsrelevante
Applikationen und Dienste.
Nach welchen Kriterien sollte die
Prüfung erfolgen? Wie lassen sich diese Sicherheits-
Das Bundesamt für Sicherheit in der Infor- eigenschaften überprüfen?
mationstechnik (BSI) setzt in verschiedenen Mit genügend Fachwissen ist z. B. eine
Bereichen über Technische Richtlinien manuelle Prüfung möglich. Allerdings ist das
Standards für die Einschätzung von Sicher- zeitaufwendig und meist nicht reproduzier-
heitsmerkmalen. An dieser Stelle beleuch- bar. Ideal wäre eine vollautomatische Prü-
ten wir zwei Technische Richtlinien. Mit der fung gemäß den jeweiligen Vorgaben.
TR-03116-4 richtet sich das BSI direkt an
TLS-Inspector-Testfamilie
Die achelos GmbH bietet für die o. g. Anfor-
derungen ein Portfolio von Testwerkzeugen
und Testsuiten im Bereich von TLS und IKE/
Heinfried Cznottka IPsec an. Die Besonderheit: Alle Tests er-
Seit 2017 Director Security folgen vollautomatisch, die Testresultate
Solutions bei achelos, Referent sind reproduzierbar und liefern somit eine
und langjähriger Experte für hohe Aussagekraft. Lernen Sie hier die
Sicherheit in der digitalen Welt TLS-Inspector-Testfamilie kennen:Kostenloser Website-Check
gemäß BSI-Vorgaben
Mit dem TLS Checklist Inspector
bietet achelos die kostenfreie auto-
matische Sicherheitsprüfung von
Websites über das Web-Portal
www.tls-check.de an. Angespro-
chen sind Unternehmen jeglicher
Größe, die den Nachweis einer
sicheren TLS-Netzwerkverbindung
gemäß den Anforderungen der
Checkliste des BSI erbringen möch-
ten. Bereits kurze Zeit nach Eingabe
ihrer Domain sehen Diensteanbieter,
ob ihre Website gemäß den Anfor-
derungen der BSI-Checkliste auf Basis Alle TLS-Testsuiten unterstützen Testfälle
der TR-03116-4 konfiguriert ist. für die aktuelle TLS-1.3-Version. Neben der
Das Prüfergebnis im Web-Portal weist mög- TLS-Inspector-Testfamilie lassen sich mit
liche Schwachstellen aus und stellt einen dem IKE/IPsec Inspector Internet-Key-
direkten Zusammenhang mit den Anforde- Exchange-(IKE-)Implementierungen über-
rungen aus der BSI-Checkliste her. Geprüft prüfen. Die Testsuite behandelt Testaspekte
wird u. a. die korrekte Konfiguration von: der IPsec-Ebene auf Basis von IKEv2.
t;FSUJmLBUFO Die Tests basieren auf der IETF RFC 3602
t$JQIFS4VJUFO „The AES-CBC Cipher Algorithm and Its Use
t1SPUPLPMMFOPEFS with IPsec“ und BSI-Anforderungen aus dem
t"MHPSJUINFO CC-Schema. In den einzelnen achelos-TLS-
und IKE/IPsec-Testsuiten sind zwischen 80
Der TLS Smart Metering Inspector richtet und 130 Testfälle definiert und implementiert.
sich an Hersteller und Prüfstellen, die die
Konformität von Smart Meter oder Smart Eine sichere digitale Präsenz von Unterneh-
Meter Gateways für die Energieversorgung men ist von entscheidender Bedeutung.
gemäß den Vorgaben der TR-03116-3 an- Sie dient als vertrauenswürdiges Signal für
streben. Kunden und schützt sensible Unterneh-
Der TLS Client Inspector und der TLS mensdaten. Die Testwerkzeuge von achelos
Server Inspector sind für tiefergehende helfen auf einfache Art und Weise dabei,
Prüfungen ausgelegt. die Netzwerksicherheit gemäß konkreten
Neben der TLS-Konfiguration werden auch Vorgaben zu messen. Die Testergebnisse
die RFC-Konformität und die TLS-Stacks zeigen wichtige Stellschrauben für not-
auf korrekte Implementierung geprüft. Nach- wendige Maßnahmen auf, ermöglichen ein
richten lassen sich manipulieren, um die schnelles Handeln und vor allem mehr Netz-
Robustheit der Software zu überprüfen und werksicherheit!
Angriffsmöglichkeiten, wie Bleichenbacher,
Poodle und andere, zu detektieren. www.achelos.de | www.tls-check.de W22 SICHERHEIT UND BUDGETIERUNG
IT-Security-Kosten, die gerne
übersehen werden
Erfahrungen haben gelehrt, dass es meist kostengünstiger ist,
eine Hacker-Attacke zu verhindern, als den Schaden nach einem
Angriff beheben zu müssen. Doch werden wesentliche Budget-
posten der IT-Security von Controllern häufig übersehen oder
nicht realistisch bewertet. Von Dipl. Betriebswirt Otto Geißler
Bild: Pcess609/stock.adobe.com
Da die Security-Budgets nicht in dem Maße steigen können, wie sich die Bedrohungen
weiterentwickeln, müssen Unternehmen eine Priorisierung vornehmen.
Jedes Unternehmen, unabhängig von seiner men ihre IT-Security-Budgets mit kritischen
Größe oder Ausrichtung am Markt, sollte ein Auslassungen, die sie anfällig für Hacker-Atta-
maßgeschneidertes, genaues IT-Security-Bud- cken und somit für erhebliche finanzielle Schä-
get erstellen. Dennoch versehen viele Unterneh- den machen können.
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in GermanyXXXXXXXXXXXXXXXXXXXXXXXXXX
SICHERHEIT UND BUDGETIERUNG 23
Da die Budgets natürlich nicht in
dem Maße steigen können, wie Be-
drohungen auftreten oder sich weiter-
entwickeln, ist es unmöglich, für alle
Eventualitäten abgesichert zu sein.
Das heißt, es muss eine Priorisierung
erfolgen. Aber welche Budgetposten
sind für die Cybersicherheit eines
Unternehmens wichtig oder werden
von Controllern gerne übersehen?
Personalbeschaffung und
-bindung
Bild: Ulia Koltyrina/stock.adobe.com
In den vergangenen Jahren hat sich
die Kluft zwischen qualifizierten
Fachkräften und der quasi expo-
nentiell wachsenden Zahl von IT-
Arbeitsplätzen stetig vergrößert. Der
unerbittliche Wettbewerb um hoff-
nungsvolle Talente geht also unbeirrt
weiter. Entgegen diesem langfristigen
Trend unterschätzen viele Unterneh- Gut geschulte Mitarbeiter können einen erheblichen Beitrag
men nach wie vor die Kosten für die zur Abwehr von Cyber-Angriffen leisten.
Einstellung und Bindung von qualifi-
zierten IT-Security-Experten.
IT-Security-Schulungen mit potenziell fatalen Folgen! Dies geschieht
Viele Unternehmen haben verstanden, dass das insbesondere vor dem Hintergrund wachsender
Verhalten der Mitarbeiter ein großes Risiko Cyber-Bedrohungen. Gerade kleinere Unter-
darstellt. Somit schlummern die größten IT- nehmen sind davon überproportional betroffen.
Security-Risiken im eigenen Unternehmen. Abgesehen davon, dass Unternehmen sich vor
Trotzdem wird viel zu wenig in Mitarbeiter- möglichen finanziellen Schäden schützen, kann
schulungen investiert. Ein gut aufgestelltes IT- schon allein die Beantragung einer IT-Security-
Sicherheitsprogramm schließt auch alle betrof- Versicherung zu einer verstärkten IT-Security-
fenen Mitarbeiter ein, die über ihre Pflichten im Infrastruktur führen. Denn der Prozess einer
Bereich der IT-Security aufgeklärt sind. Nicht Evaluierung, der nötig ist, um eine Police zu
zuletzt, um sicherzustellen, dass böswillige erhalten, kann schon dabei helfen, Sicherheits-
Akteure schnell entdeckt und gefasst werden. lücken zu identifizieren und Alternativen zur
Verbesserung zu entwickeln.
IT-Security-Versicherungen
Viele Unternehmen haben die Notwendigkeit Analysen durch externe Berater
von Versicherungen für die IT-Security noch Unternehmen unterschätzen des Weiteren oft
nicht hinreichend erkannt – ein Versäumnis die Bedeutung von Schwachstellen-Analysen
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany24 SICHERHEIT UND BUDGETIERUNG
durch externe Dienstleister, die das Manage- Reaktion auf Vorfälle
ment und Mitarbeiter über potenzielle Cyber- Insbesondere wenn es um die Planung von
bedrohungen aufklären. Es ist angeraten, hier Budgets geht, werden gerne die indirekten Kos-
ein größeres Budget vorzuhalten, damit sich ten für die Reaktionen auf Vorfälle (Incident
Unternehmen gegebenenfalls von mehr als Response, IR) übersehen. Dagegen würde eine
einem Dienstleister unterweisen lassen, um sorgfältig geplante IR-Strategie die Organisation
sicherzustellen, dass man eine sogenannte bei einem Hacker-Angriff vor finanziellen Ver-
„360-Grad-Beratung“ erhält. lusten bewahren. Es empfiehlt sich, eine Stelle
Nicht wenige Unternehmen glauben, Budgets dafür zu schaffen oder eine Gruppe von Ex-
für externe Meinungen wären unnötig, weil sie perten einzustellen und zu schulen, die für die
mit ihren eigenen Maßnahmen und den ange- Reaktion auf solche Bedrohungen spezialisiert
stammten Beratern bisher nie eine Hacker- und verantwortlich ist. Im Krisenfall zahlt sich
Attacke erlebt haben. Gerade wenn es um etwas das weidlich aus.
sensiblere Daten geht, gilt Input von verschie- Obwohl dieses Risiko tagtäglich präsent ist, ver-
denen Sicherheitsfirmen als angezeigt. Auf säumen es Unternehmen nach wie vor, IR-Aus-
diese Weise können Unternehmen sicherstel- gaben realistisch zu budgetieren. Angesichts
len, dass sie ihre entsprechenden technischen, der Horrormeldungen großer Unternehmen
administrativen und physischen Sicherheitsvor- in der Presse, die offenbar trotz ausgetüftelter
kehrungen auch umfassend getroffen haben. Sicherheitsprogramme gehackt wurden, ist es
Bild: leowolfert/stock.adobe.com
Oft werden die indirekten Kosten für die Reaktion auf Vorfälle (Incident Response) übersehen.
Eine sorgfältig geplante IR-Strategie bewahrt die Organisation bei einem Hacker-Angriff vor
finanziellen Verlusten.
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in GermanyXXXXXXXXXXXXXXXXXXXXXXXXXX
SICHERHEIT UND BUDGETIERUNG 25
Bild: ExQuisine/stock.adobe.com
Die jüngste Verlagerung der Arbeitsplätze in Homeoffices kann die Wiederbeschaffungs-
kosten deutlich erhöhen.
nur schwer vorstellbar, warum kleinere Unter- sein könnten. Oftmals beschränken sie den
nehmen sich nicht besser durch den Erhalt oder Austausch nur auf die am stärksten gefährdeten
Aufbau von IR-Maßnahmen aufstellen. Systeme. Doch erfahrungsgemäß entstehen
Denn solche indirekte Kosten sind in der Ge- meist Verluste, die weit über den Prognosen der
samtbetrachtung nicht weniger wichtig als die Unternehmen liegen.
direkten Kosten. Kein Budget für IR-Services zu Beispielsweise kann die jüngste Verlagerung
haben, könnte dazu führen, dass sich Vorfälle der Arbeitsplätze in Homeoffices die Wieder-
wie beispielsweise Ransomware unnötig in die beschaffungskosten deutlich erhöhen und
Länge ziehen, was zu ungleich größeren Ge- lässt vorsichtige Schätzungen aus der Zeit vor
schäftsunterbrechungen, Kundenverlusten und der Pandemie weit in den Hintergrund treten.
Reputationsschäden führen könnte. Denn wer den Austausch oder die Aufrüstung
gefährdeter Heimsysteme sträflich vernachläs-
Kosten für die Wiederbeschaffung sigt, riskiert viel.
Bei der Einordnung eines Budgets für die Das bedeutet, wenn Homeoffices angegriffen
Wiederbeschaffung für potenziell gefährdete werden, so können diese Systeme unbeabsich-
Anlagen nehmen viele Unternehmen eine aus- tigt eine Schwachstelle in das Unternehmens-
gesprochen kurzsichtige Sichtweise ein, wenn netzwerk einschleusen, selbst wenn ein Unter-
es darum geht, welche der Systeme von einer nehmen das Problem auf seiner Seite, also
Sicherheitsverletzung oder Malware betroffen inhouse, behoben hat. Q
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in GermanyADVERTORIAL
Single Sign-On und Identity&Access-
Management „Made in Germany“
Die drastische Erhöhung von Aktivitäten im Internet zieht eine Zunahme der
sensiblen Daten, die elektronisch verarbeitet werden, nach sich. Gleich-
zeitig sind immer mehr SaaS-Produkte über das Internet in Unternehmens-
prozesse eingebunden. Alle über das Internet getätigten Transaktionen
müssen höchsten Ansprüchen an Datenschutz und -sicherheit genügen.
SaaS-Alternativen sind regelmäßig in NON-
EU-Clouds gehostet und nur aufwändig mit
der DSVGO in Einklang zu bringen.
Bare.ID – Lösung mit Datenschutz
Umso heterogener und dezentraler eine Diesen Herausforderungen tritt mit Bare.ID
Applikations-Landschaft wird, desto schwie- von AOE eine neue Lösung für Identity- und
riger ist es nachzuhalten und sicherzustel- Access-Management entgegen, die keine
len, dass nur die richtigen Personen, zur hohen Investitionen voraussetzt, da sie als
richtigen Zeit, aus den richtigen Gründen ein in Deutschland betriebener SaaS Cloud-
Zugriff auf diese Anwendungen und die Login-Dienst ausgeführt wird. Angebunden
darin enthaltenen Daten erhalten. Für eine sowohl an die eigene OnPremise-IT als auch
alle Anforderungen erfüllende Identity- und an moderne Cloud-Applikationen schafft
Access-Management-Lösung (IAM) ist häu- Bare.ID als zentraler Single Sign-On Authen-
fig nicht nur mit Anschaffungskosten für tifizierungs- und Autorisierungspunkt eine
Soft- und Hardware zu rechnen, es schlagen sichere Basis für hybride IT- und Geschäfts-
auch Personalkosten zu Buche, um Anwen- modelle.
dungen dauerhaft zu betreiben, das meist Aufbauend auf der leistungsstarken Open-
sehr komplexe Know-how unternehmens- Source-Lösung Keycloak bietet Bare.ID ein
intern aufzubauen sowie die betriebsinternen anwenderfreundliches Konfigurations-Inter-
Prozesse entsprechend anzupassen. face mit App-Gallery, vorgefertigten White-
Darüber hinaus decken solche IAM-Projekte Label-Templates, Best-Practice-Sicherheits-
meist auch nur die Systeme automatisiert konfigurationen, Multi-Faktor-Authentifizie-
ab, die ihre Authentifizierung über ein Active rung und vielen weiteren nützlichen Features.
Directory realisiert haben und zum anderen Bare.ID verwaltet die Identitäten von
ist in vielen Fällen der Betrieb einer vollwer- Nutzer:innen und gibt einen Überblick über
tigen OnPremise-IAM-Lösung eine Nummer Zugriffe, Login-Fehlversuche, unsichere
zu umfassend und zu kostspielig. Verfügbare oder abgelaufene Passwörter sowie eineMulti-Faktor-
Authentifizierung
Auflistung von verwaisten Accounts. Sollten sofort einsetzbaren Sicherheits-Best-Prac-
unternehmensintern bereits IAM-Lösungen tices konfiguriert. So profitieren Kunden vom
oder Active Directories vorhanden sein, kön- profunden Security-Know-how der AOE,
nen diese selbstverständlich als Identitäts- ohne kostenintensiv eine eigene Expertise
und oder Berechtigungsquelle an Bare.ID aufbauen zu müssen.
angebunden werden. Erfahren Sie mehr: https://www.bare.id W
Digitale Souveränität
Ein weiteres Plus ist die digitale Souveränität: Steffen Ritter
Bare.ID wird ausschließlich in deutschen Re-
Commercial Director
chenzentren gehostet. Ein Zugriff oder Ein- Cybersecurity / AOE
griff aus Drittstaaten ist somit ausgeschlos-
sen. Hinzu kommt, dass sämtliche Partner, Mit einem Team aus Spezia-
die an der Leistungserbringung beteiligt listen begleitet Steffen Kunden
bei IAM- und Single Sign-On-
sind, ebenfalls in Deutschland ansässig sind.
Projekten, macht Sicherheits-
Die zu verarbeitenden Daten verlassen also
Analysen von Webanwendungen und trainiert
nicht den deutschen Rechtsraum und sind
Entwicklungsteams im Bereich IT-Security und
so stets konform mit Compliance-Richtlinien
Dev-Sec-Ops. Im Zuge sich wiederholender
und Normen – auch in regulierten Bereichen. An- und Herausforderungen rund um Key-
cloak-Rollout-Projekte hat Steffen die Idee von
Hochverfügbarer Cluster-Betrieb Bare.ID geboren und an den Markt gebracht:
Unternehmen müssen keine eigene Exper- Mit dem Ziel, die häufigsten Fragestellungen
tise aufbauen. Der hochverfügbare Cluster- und Anforderungen abzudecken, ist eine Pro-
Betrieb (SaaS) von Bare.ID kommt mit be- duktlösung entstanden, die nicht nur die tiefe
nutzerfreundlicher Konfigurationsoberfläche Expertise rund um Keycloak, sondern auch die
zur nachhaltigen Komplexitätsverringerung jahrelange Exzellenz im Betrieb von Cloud-
und wird fully-managed von AOE gehostet. Native-Infrastrukturen von AOE in sich vereint.
Dabei ist das System von Start an nach28 CYBERANGRIFFE VERHINDERN
Die größten IT-Sicherheits-
lücken im Mittelstand 2020
Mobile Malware, Ransomware-Angriffe oder Cloud Jacking –
Cyberangriffe sind heute so leicht und zahlreich wie noch nie, und
Unternehmen stehen vor der Herausforderung, sie zu verhindern.
Welche Angriffsmethoden kamen 2020 zum Einsatz und wie
können diese abgewehrt werden? Von Matthias Bollwein, Uniki
Im vergangenen Jahr wurde die IT-Sicherheit terwegs. Der Zugriff auf firmeninterne sensible
vor allem in vielen mittelständischen Unter- Daten muss dennoch gewährleistet sein. Bei
nehmen auf die Probe gestellt. Viele Mitarbei- Problemen oder Bedenken kann die interne IT
ter sind nach wie vor im Homeoffice und somit nur mit Ferndiagnosen helfen, und die Nutzer
auch in ihren eigenen privaten Netzwerken un- sind größtenteils auf sich gestellt. Sie müssen
IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in GermanySie können auch lesen
