IT-SICHERHEIT MADE IN GERMANY - TeleTrusT

Die Seite wird erstellt Kira Schröder

Mode und Stil

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

IT-SICHERHEIT MADE IN GERMANY - TeleTrusT

OKTOBER 2020                                                          ISSN 1864-0907 • 7,- €

   IT-SICHERHEIT
                 MADE IN GERMANY

   DSGVO
   IDENTITY & ACCESS MANAGEMENT
   VERSCHLÜSSELUNG
   A D VA N C E D P E R S I S T E N T T H R E AT S
   ENDPOINT PROTECTION
   BACKDOORS                                                          Powered by:

   PAT C H M A N A G E M E N T
   R A N S O M WA R E
   MANAGED SECURITY SERVICES

                                               Eine Publikation von

Ȃ " #*'/ѵ
/ )2 "ѵ
Desktop sperren rettet
Unternehmen.

#Ȃ )$  Ҋ$# -# $/. 20../. $)
 gdata.de/awareness-training

EDITORIAL 3

IT-Sicherheitslösungen im Home Office
Liebe Leserinnen und Leser,
die derzeitige "coronabedingte" flächendecken-
de Umstellung auf mobiles Arbeiten, Home
Dr. Holger Mühlbauer
Office, Datenübermittlung und Remote-Au-
Geschäftsführer
thentifizierung stellt erhöhte Anforderungen
Bundesverband
an die IT-Sicherheit, um keine neuen Gelegen-
IT-Sicherheit e.V.
heiten für Angreifer zu schaffen, die sich die
(TeleTrusT)

Bild: TeleTrusT
Gunst der Stunde zunutze machen.
Der Bundesverband IT-Sicherheit e.V. hat dies
zum Anlass genommen und befristet kosten-
freie IT-Sicherheitslösungen seiner Mitglieder
gelistet, um betroffenen Anwendern Unterstüt- Die E-Mail ist nach wie vor das Hauptkom-
zung zu bieten. munikationsmittel im Geschäftsleben. Täglich
Die Situation führt erzwungenermaßen zu ei- werden vertrauliche Informationen, auch un-
ner enormen Digitalisierungsbeschleunigung. ternehmenskritische Vorgänge und sensible
In kürzester Zeit werden zu Hause Arbeits- Daten, im ungesicherten Modus versendet.
plätze nachgebildet, um Betriebsstrukturen Dabei sind die übermittelten Informationen
digital aufrechtzuerhalten. Während technisch nicht nur für Fremde lesbar, sondern können
gut aufgestellte Unternehmen ihre Mitarbeiter auch auf dem Transportweg manipuliert oder
mit professionellem Equipment ausrüsten, ist gelöscht werden.
anderswo Improvisation und Pragmatismus Die Themenschwerpunkte dieser Sonderpubli-
gefragt. Dabei kann die IT-Sicherheit auf der kation laufen unter der Überschrift "IT Security
Strecke bleiben. made in Germany". Der Hervorhebung eines
Nicht jedes Unternehmen verfügt über die Produktes als "Made in Germany" kommt eine
IT-Infrastruktur, um das Home Office der prädikatsgleiche Wirkung zu, die die Angabe
Mitarbeiter adäquat zu sichern. Gerade jetzt als ein Gütesiegel erscheinen lässt und eine
schwärmen digitale Raubritter aus, um die besondere Qualitätsvorstellung der Abnehmer
Gunst der Stunde zu nutzen und mit Spam, hervorruft.
Phishing und Malware, Identitätsdiebstahl Gerade in solchen Zeiten wie jetzt sollte das
und Datenklau schnelle Beute zu machen. Herkunftsland Deutschland mit bestimmten
In etlichen Fällen werden hilfsweise private technischen Standards und hochwertiger Ver-
Hard- und Software sowie Netzanbindungen arbeitung assoziiert werden.
genutzt, die es den Tätern noch vereinfachen. Diese Publikation gibt Orientierung und fasst
In diesem Zusammenhang sei auch auf den die wichtigsten Maßgaben für die digitale
TeleTrusT-Leitfaden "E-Mail-Verschlüsselung" Transformation und das sichere Arbeiten zu-
hingewiesen. Die Verschlüsselung von E-Mails sammen.
stellt einen wesentlichen Schritt zu verbesserter Gemeinsam mit den TeleTrusT-Mitgliedern
Kommunikationssicherheit dar. wünsche ich Ihnen eine spannende Lektüre! Q

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

4       INHALT 

        IT SECURITY MADE IN GERMANY                                VERSCHLÜSSELUNG UND
        Vertrauen hat einen Namen                              6   INCIDENT RESPONSE
                                                                   TeleTrusT-Leitfaden zur E-Mail-Verschlüsselung                   46
        IT-SICHERHEIT IN CORONA-ZEITEN                             Schwachstellen in Mailto-Links entdeckt                          50
        Zwischen Schutz und Gefahr: das Home Oﬃce          10      Externe, verschlüsselte Datenträger: sicher
        Home Oﬃce mit dem privaten Computer – kann                 oder nicht?                                                      54
        das sicher sein?                           14              Was tun, wenn es brennt? Wie Firmen nach einer
        So holen CISOs mehr aus ihren Security-Budgets             Cyberattacke wieder arbeitsfähig werden        60
        heraus                                         18
        Was bei der IT-Sicherheitsstrategie auf Dauer              DIGITALE SOUVERÄNITÄT
        verändert werden muss                              24
                                                                   Was digitale Souveränität für die IT Security
                                                                   bedeutet                                                         64
        DATENSCHUTZ
                                                                   Nach dem Aus von Privacy Shield: Braucht die
        Zwei Jahre Datenschutz-Grundverordnung: Was                Security KI-Dienste aus den USA?                                 71
        an der DSGVO geändert werden soll und kann 28
        Business Managing App: Ein kommunikativer
        Brückenschlag                                      34      REDAKTION
                                                                   Editorial                                                          3
        China als Datenschutzvorreiter: Unglaublich?
        Unglaublich!                                       40      Impressum/Inserenten                                             74

                                                                   Titelbild: © pingebat/elen31/sdecoret-adobe.stock.com (M) Carin Boehm

          TeleTrusT-Initiative "IT Security made in Germany"
          "ITSMIG" ("IT Security made in Germany")
          wurde 2005 auf Initiative des Bundesminis-
          teriums des Innern (BMI), des Bundesmi-
          nisteriums für Wirtschaft und Technologie
          (BMWi) sowie Vertretern der deutschen
          IT-Sicherheitswirtschaft etabliert und 2008
          in einen eingetragenen Verein überführt.
          Sowohl BMI als auch BMWi hatten eine
          Schirmherrschaft übernommen.                             Die TeleTrusT-Arbeitsgruppe "ITSMIG" ver-
          Nach intensiven Erörterungen sind                        folgt das Ziel der gemeinsamen Außendar-
          TeleTrusT und ITSMIG 2011 übereingekom-                  stellung der an der Arbeitsgruppe mitwir-
          men, dass sich auf ihren Handlungsfeldern                kenden Unternehmen und Institutionen
          Synergien erschließen lassen. Zukünftig                  gegenüber Politik, Wirtschaft, Wissenschaft
          werden die ITSMIG-Aktivitäten unter dem                  und Öffentlichkeit auf deutscher, europä-
          Dach des TeleTrusT als eigenständige                     ischer bzw. globaler Ebene. BMWi und BMI
          Arbeitsgruppe "ITSMIG" fortgeführt.                      sind im Beirat der Arbeitsgruppe vertreten.

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

SINA
Communicator H
Das Multikrypto-Telefon
für die Post-ISDN Ära

Telefonieren, Chatten, Kollaborieren, Thin-Clients nutzen, Dateien
aus tauschen und vieles mehr – zulassungsfähig bis GEHEIM.
Der SINA Communicator H bietet All-IP-Technologie auf höchstem
Sicherheitsniveau, inklusive moderner NATO-Protokolle. Bedarfs-
gerecht und zukunftssicher.

secunet.com     protecting digital infrastructures

6       "IT SECURITY MADE IN GERMANY": DIE INITIATIVE 

        Vertrauen hat einen Namen
        Mit der Vergabe des Vertrauenszeichens
        "IT Security made in Germany" an deutsche
        Anbieter erleichtert der Bundesverband
        IT-Sicherheit e.V. (TeleTrusT) Endanwendern
        und Unternehmen die Suche nach vertrau-
        enswürdigen IT-Sicherheitslösungen.
                              Von Dr. Holger Mühlbauer und Jürgen Paukner

          Träger des Vertrauenszeichens "IT Security made in Germany"                                   (Stand 17.09.2020)
          t   A N T I L|E|A|K|S.D E            t   Cognitec Systems GmbH             t   DoctorBox GmbH
          t   Accellence Technologies GmbH     t   COMback Holding GmbH              t   DRACOON GmbH
          t   AceBIT GmbH                      t   comcrypto GmbH                    t   DriveLock SE
          t   achelos GmbH                     t   comforte AG                       t   D-Trust GmbH
          t   Achtwerk GmbH & Co. KG           t   comtime GmbH                      t   eCom Service IT GmbH
          t   ads-tec GmbH                     t   Condition-ALPHA Digital Broad-    t   ecsec GmbH
          t   akquinet enterprise solutions         cast Technology Consulting        t   e-ito Technology Services GmbH
               gmbH                             t   consistec Engineering &           t   Enginsight GmbH
          t   Allgeier IT Solutions GmbH            Consulting GmbH                   t   eperi GmbH
          t   ANMATHO AG                       t   Consultix GmbH                    t   esatus AG
          t   Antago GmbH                      t   CONTURN Analytical Intelligence   t   essendi it GmbH
          t   apsec Applied Security GmbH           Group GmbH                        t   exceet Secure Solutions GmbH
          t   ASOFTNET                         t   Crashtest Security GmbH           t   Fiducia & GAD IT AG
          t   ATIS systems GmbH                t   CryptoMagic GmbH                  t   floragunn GmbH
          t   ausecus GmbH                     t   Cryptshare AG                     t   FSP GmbH
          t   Avira GmbH & Co. KG              t   cv cryptovision GmbH              t   FZI Forschungszentrum
          t   Bank-Verlag GmbH                 t   dacoso data communication              Informatik
          t   BCC Unternehmensberatung              solutions GmbH                    t   G Data Software AG
               GmbH                             t   dal33t GmbH                       t   genua GmbH
          t   Bechtle GmbH & Co. KG            t   DATAKOM GmbH                      t   Giegerich & Partner GmbH
          t   Beta Systems IAM Software AG     t   datenschutzklinik                 t   glacier advisory & coaching
          t   Biteno GmbH                      t   DATUS AG                          t   GORISCON GmbH
          t   Blue Frost Security GmbH         t   DERMALOG Identification           t   Hanko GmbH
          t   bowbridge Software GmbH               Systems GmbH                      t   HiScout GmbH
          t   Build38 GmbH                     t   Detack GmbH                       t   HK2 Rechtsanwälte
          t   Bundesdruckerei GmbH             t   Deutsche Gesellschaft für         t   Hornetsecurity GmbH
          t   CBT Training & Consulting GmbH        Cybersicherheit mbH & Co. KG      t   Huf Secure Mobile GmbH
          t   CCVOSSEL GmbH                    t   DFN-CERT Services GmbH            t   IDEE GmbH
          t   certgate GmbH                    t   dhpg IT-Services GmbH             t   if(is) – Institut für
          t   CERTIX IT-Security GmbH               Wirtschaftsprüfungsgesellschaft        Internet-Sicherheit
          t   CGM Deutschland AG               t   digitronic computersysteme        t   Infineon Technologies AG
          t   Cherry GmbH                           GmbH                              t   INFODAS GmbH
          t   CHIFFRY GmbH                     t   DIGITTRADE GmbH                   t   Inlab Networks GmbH
          t   C-IAM GmbH                       t   ditis Systeme Niederlassung der   t   innovaphone AG
          t   Cloudsitter GmbH                      JMV GmbH & Co.                    t   intelliCard Labs GmbH
          t   CoCoNet Computer-Communica-      t   DocRAID(R) – professional data    t   Intelligent Minds UG
               tion Networks GmbH                    privacy protection                t   IS4IT Kritis GmbH

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

 "IT SECURITY MADE IN GERMANY": DIE INITIATIVE                                7

Die Verwendung des markenrechtlich geschütz-               4. Die IT-Sicherheitsforschung und -entwick-
ten TeleTrusT-Vertrauenszeichens "IT Security                 lung des Unternehmens muss in Deutschland
made in Germany" wird interessierten Anbie-                   stattfinden.
tern durch TeleTrusT auf Antrag und bei Er-                5. Das Unternehmen muss sich verpflichten,
füllung der nachstehenden Kriterien zeitlich                  den Anforderungen des deutschen Daten-
befristet gestattet:                                          schutzrechtes zu genügen.
1. Der Unternehmenshauptsitz muss in                       Die Liste der zertifizierten deutschen Unterneh-
   Deutschland sein.                                       men wächst beständig und ist deshalb tagesak-
2. Das Unternehmen muss vertrauenswürdige                  tuellen Änderungen unterworfen. Die aktuelle
   IT-Sicherheitslösungen anbieten.                        Liste der Unternehmen, denen die Nutzung des
3. Die angebotenen Produkte dürfen kei-                    Vertrauenszeichens derzeit eingeräumt wird,
   ne versteckten Zugänge enthalten (keine                 können Sie einsehen unter: www.teletrust.de/
   "Backdoors").                                           itsmig/zeichentraeger/                         Q

t isits AG International School of   t OctoGate IT Security Systems       t   Securepoint GmbH
   IT Security                           GmbH                               t   Secure Service Provision GmbH
t ISL Internet Sicherheitslösungen   t ondeso GmbH                        t   secuvera GmbH
   GmbH                               t OPTIMA Business Information        t   SerNet GmbH
t itWatch GmbH                          Technology GmbH                    t   signotec GmbH
t Johannes Kresse                    t OTARIS Interactive Services GmbH   t   Softline AG
t keepbit IT-SOLUTIONS GmbH          t P-ACS UG                           t   SoSafe GmbH
t KikuSema GmbH                      t PFALZKOM GmbH                      t   Steen Harbach AG
t KIWI.KI GmbH                       t PHOENIX CONTACT Cyber              t   Stefan Lanz Consulting
t KnowledgeRiver GmbH                   Security GmbH                      t   Steganos Software GmbH
t LANCOM Systems GmbH                t Pix Software GmbH                  t   SVA System Vertrieb Alexander
t limes datentechnik® gmbh           t PPI Cyber GmbH                          GmbH
t Link11 GmbH                        t PRESENSE Technologies GmbH         t   Symlink GmbH
t Linogate GmbH                      t procilon IT-Solutions GmbH         t   syracom consulting AG
t LocateRisk UG                      t PROSTEP AG                         t   TDT AG
t maincubes one GmbH                 t Protforce GmbH                     t   teamwire GmbH
                                      t PSW GROUP GmbH & Co. KG            t   Tenzir GmbH
t MaskTech GmbH
                                      t QGroup GmbH                        t   TESIS SYSware Software
t MATESO GmbH
                                      t QuoScient GmbH                          Entwicklung GmbH
t Matrix42 AG
                                      t retarus GmbH                       t   TE-SYSTEMS GmbH
t MB Connect Line GmbH
                                      t Rhebo GmbH                         t   T-Systems International GmbH
   Fernwartungssysteme                t RheinByteSystems GmbH              t   turingpoint GmbH
t Mentana Claimsoft GmbH             t Rohde & Schwarz Cybersecurity      t   TÜV Informationstechnik GmbH
t metafinanz Informationssysteme        GmbH                               t   Uniki GmbH
   GmbH                               t r-tec IT Security GmbH             t   Uniscon GmbH
t M&H IT-Security GmbH               t SAMA PARTNERS Business             t   Utimaco IS GmbH
t MTG AG                                Solutions GmbH                     t   VegaSystems GmbH & Co. KG
t NCP engineering GmbH               t sayTEC AG                          t   Veronym Holding GmbH
t NEOX NETWORKS GmbH                 t Schönhofer Sales and               t   virtual solution AG
t Net at Work GmbH                      Engineering GmbH                   t   Vulidity GmbH
t netfiles GmbH                      t SCHUTZWERK GmbH                    t   WMC Wüpper Management
t NETZWERK Software GmbH             t SC-Networks GmbH                        Consulting GmbH
t Nexis GmbH                         t Secomba GmbH                       t   Würzburger Versorgungs- und
t nicos AG                           t secrypt GmbH                            Verkehrs GmbH
t nicos cyber defense GmbH           t secucloud GmbH                     t   XignSys GmbH
t Nimbus Technologieberatung         t SECUDOS GmbH                       t   XnetSolutions KG
   GmbH                               t secunet Security Networks AG       t   Zertificon Solutions GmbH

                                                             IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

ADVERTORIAL

Nachweisbare IT-Sicherheit mit ﬂexiblen Software-Tools und Beratung

IT-Sicherheit und Datenschutz sind die
zentralen Themen im elektronischen
Datenverkehr und betreffen alle Bran-
chen. Eine Vielzahl von Cyberattacken
und Bedrohungspotenzialen sind zur
Realität geworden, und die Methoden
der Angreifer werden immer professi-
oneller. Der Wert von Cybersicherheit
rückt immer stärker in den Fokus.
Das Bundesamt für Sicherheit in der
Informationstechnik (BSI) setzt in ver-
schiedenen Bereichen über Technische
Richtlinien Standards für die Einschät- erbringen möchten. Bereits kurze Zeit nach
zung von Sicherheitsmerkmalen. Mit der Eingabe ihrer Domain sehen Diensteanbie-
TR-3116-4 richtet sich das BSI direkt an ter, ob ihre Website gemäß den Anforde-
Diensteanbieter für den sicheren Betrieb von rungen der BSI-Checkliste auf Basis der
Web-Diensten und fixiert in der dazugehö- TR-03116-4 konfiguriert ist.
rigen Checkliste relevante Parameter. Das Prüfergebnis im Web-Portal weist mög-
Wie können diese Sicherheitseigenschaf- liche Schwachstellen aus und stellt einen
ten überprüft werden? Mit genügend Fach- direkten Zusammenhang mit den Anforde-
wissen ist z. B. eine manuelle Prüfung mög- rungen aus der BSI-Checkliste her. Geprüft
lich. Allerdings ist das zeitaufwändig und wird u. a. die korrekte Konfiguration von
meist nicht reproduzierbar. Ideal wäre eine Zertifikaten, Cipher-Suiten, Protokollen oder
vollautomatische Prüfung. Algorithmen.
Das erste Testergebnis (Testreport) ist visuell
TLS Checklist Inspector aufbereitet, sofort am Bildschirm verfügbar
Kostenloser Website-Check gemäß und kostenfrei. Detailreports erhalten Inte-
BSI-Vorgaben ressierte auf Anfrage und gemäß Aufwands-
achelos bietet mit der Produktneuheit TLS entschädigung.
Checklist Inspector die kostenfreie automa- Insbesondere in der aktuellen Situation ist
tische Sicherheitsprüfung von Websites über eine sichere digitale Präsenz des Unterneh-
ein Web-Portal an. Angesprochen sind Un- mens von entscheidender Bedeutung, sie
ternehmen jeglicher Größe, die den Nach- dient als Signal für Kunden und als Schutz
weis einer sicheren TLS-Netz- für sensible Unternehmensdaten.
werkverbindung gemäß den Aktuell ist der TLS Checklist Inspector von
Anforderungen der Checkliste achelos die einzige am Markt verfügbare
des Bundesamts für Sicherheit Lösung, um die Erfüllung des BSI-Standards
in der Informationstechnik (BSI) auf einfache Weise nachzuweisen.

Heinfried Cznottka Link zum TLS Checklist Inspector:
Director Security Solutions www.tls-check.de W

Sicherheit für vernetzte Lösungen in Industrie und Verkehr

Eine auf Public-Key-Infrastrukturen basie-
rende Cybersicherheit bildet die Grundlage
für die intelligente Vernetzung von Geräten,
Maschinen und Produkten, sei es im indus-
triellen Umfeld zur Digitalisierung von Prozes-
sen (Industrie 4.0) oder bei der Entwicklung
zukünftiger vernetzter Verkehrslösungen.

PKI System Consulting
Gemeinsam eine optimale und
individuelle PKI-Lösung gestalten                 Systemlieferung:
achelos agiert partnerschaftlich und bietet       t,VOEFOJOEJWJEVFMMF 4ZTUFNJOUFHSBUJPO EFS
umfassende Beratungsleistungen beim Auf-             Registrierungs- und Validierungsinstanzen
bau neuer oder der Migration existierender           an verbundene Systemkomponenten
Public-Key-Infrastrukturen. Das Angebot           t6OUFSTUàU[VOH CFJ EFS 4ZTUFNJOTUBMMBUJPO
reicht von der Systemplanung über die Sys-           und -konﬁguration
tembereitstellung bis hin zur Inbetriebnahme.     t5SBJOJOHT4DIVMVOHFOEFT#FUSJFCTQFSTP-
Dabei berücksichtigt achelos anwendungs-             nals und der IT-Administration
und kundenspeziﬁsche Anforderungen und            Inbetriebnahme:
Standards sowie bestehende Prozesse und           t2VBMJUÊUTTJDIFSVOHEVSDI"COBINFUFTUT
Zertiﬁzierungen (z. B. ISO 27001).                t%PLVNFOUBUJPO
Als zertiﬁzierter Partner der Firma PrimeKey      tÃCFSHBCFEFS1,*-ÚTVOHJOEFO#FUSJFC
bietet achelos neben der Beratung auch
Software, Hardware und Support.                   Weitere Informationen zum Thema PKI
                                                  System Consulting:
achelos begleitet PKI-Projekte                    www.achelos.de/de/pki-system-consulting.
von Anfang an                                     html
Systemplanung:
t"OGPSEFSVOHT&OHJOFFSJOH &SGBTTFO VOE      IT-Sicherheit und Datenschutz zählen zur
   Verwalten funktionaler, technischer, orga-     DNA von achelos!
   nisatorischer Anforderungen                    Das achelos-Team setzt sich aus aner-
t4JDIFSIFJUTCFSBUVOH &SGBTTFO EFS 4JDIFS-   kannten Sicherheits- und Technologie-
   heitsziele und -anforderungen, Bedro-          Consultants mit globaler Projekterfahrung
   hungsszenarien und Risikoanalyse, Rollen-      zusammen.
   modelle und Zertiﬁkatsproﬁle                   Gerne stellen wir Ihnen unser
t*5-ÚTVOHTBSDIJUFLUVS 1MBOVOH EFS *5&S   Expertenwissen zur Verfügung –
   weiterung, PKI-Architektur, Migration, Ver-    sprechen Sie uns an!         W
   fügbarkeit und Backup
t1SPKFLUNBOBHFNFOU1MBOVOHVOE4JDIFS-                       Dr. Michael Jahnich
   stellen des Projekterfolges                                      Director Business
t1SPPGPG$PODFQU                                            Development Mobility

10 IT-SICHERHEIT IN HOME-OFFICE-ZEITEN

Zwischen Schutz und Gefahr:
das Home Office
Bisher war Home Office in vielen Unternehmen eher eine Ausnahme.
Aufgrund der Schutzmaßnahmen zur Eindämmung von Covid-19 ist
es derzeit zum Standard geworden. Gleichzeitig steigt allerdings das
Risiko für die Unternehmenssicherheit. Von Ann-Marie Struck, IT-BUSINESS

Fast 50 Prozent der Arbeitnehmer arbeiten Netzwerk befinden. Das ist ein Problem, da die
seit dem Ausbruch des Coronavirus im Home Netzwerkanbindung unzureichend abgesichert
Office. So das Ergebnis einer Umfrage des Bit- ist, ohne Verschlüsselung und Authentisierung.
kom. Einerseits hat die Arbeit am heimischen Vergrößert wurde das Risiko zudem durch die
Schreibtisch viele Vorteile wie länger schlafen, Geschwindigkeit, mit der in der Coronakrise
kürzere Arbeitswege und keine lauten Kollegen, auf Homeoffice umgestellt wurde. Dabei wur-
andererseits bildet das Home Office ein Risiko den viele sonst vorhandene gute Vorsätze über
für die IT-Sicherheit. Bord geworfen.“
Diese Ansicht bestätigt auch Eric Kaiser, Pro-
duct Executive bei Securepoint: „Grundlegend Cyberkriminelle nutzen Krise aus
muss man verstehen, dass ein Home Office Gerade jetzt kommt es jedoch vermehrt zu
ein unsicherer Raum mit unbekanntem IT- Cyberangriffen, denn durch das isoliertere Ar-
Sicherheitsniveau ist. Dort lauern viele zusätz- beiten und die größere Distanz zu Kollegen
liche Sicherheitsrisiken in Form von privaten und der Firmen-Infrastruktur sind Mitarbeiter
und ungesicherten Geräten, die sich im selben attraktivere Ziele für Angriffe. Cyberkriminelle

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

 IT-SICHERHEIT
                                                       XXXXXXXXXXXXXXXXXXXXXXXXXX
                                                                 IN HOME-OFFICE-ZEITEN                                   11

versuchen mit Spam, Phishing, Malware, Iden-                                                 Eric Kaiser, Product Execu-

                                                                         Bild: Securepoint
titätsdiebstahl und Datenklau leichte Beute zu                                               tive bei Securepoint: „Wenn
machen. Diese Risiken sind jedoch einer Um-                                                  ich IT-Sicherheit einkaufe,
frage von AT&T unter 800 Cyber-Sicherheits-                                                  ist das vor allem eine
experten in Großbritannien, Frankreich und                                                   Frage des Vertrauens in
Deutschland zufolge den IT-Verantwortlichen                                                  den Hersteller. ‚IT Security
durchaus bewusst. Demnach haben 70 Prozent                                                   made in Germany‘ steht als
der großen Unternehmen in Europa mehr Cy-                                                    Garant für eine freiheitliche
berangriffe bei Remote-Arbeit befürchtet. Ob-                                                Gesellschaft.“
wohl 88 Prozent der Befragten ihre IT-Security
vorab für ausreichend hielten, sind nun 55 Pro-
zent der Ansicht, dass die weit verbreitete Arbeit
aus dem Home Office ihre Unternehmen mehr            sischen Telefonie kommen im Home Office nun
oder viel anfälliger für Cyberangriffe macht.        auch vermehrt Kollaborationslösungen zum
                                                     Einsatz. Doch sowohl UCC als auch IP-Telefo-
IT Security im Home Office                           nie benötigen Sicherheit. Um die IT-Sicherheit
Trotz Krisensituation und schneller Home-            am modernen Arbeitsplatz langfristig zu ver-
Office-Umstellung sollten Unternehmen die IT         bessern, hat der IT-Security-Hersteller Secure-
Security daher nicht außer Acht lassen. Kaiser       point eine Partnerschaft mit dem Hersteller
rät dazu, Vorkehrungen wie an jedem normalen         von IP-Telefonanlagen und -Kommunikations-
IT-Arbeitsplatz zu treffen, also eine optimale Ab-   lösungen Starface geschlossen. „Wir bündeln
sicherung der Rechner sowie der Verbindungen         unsere Kräfte, indem wir Partner-übergreifende
mit Mehrfaktor-Authentisierung. Insbesondere         Vertriebsunterstützung, gemeinsame Schulun-
stellen die diversifizierenden Zugangspunkte         gen und Produkt-Bundles zur Verfügung stel-
und Arbeitsplätze eine gesonderte Herausfor-         len“, erläutert Kaiser.
derung an die IT Security dar. Dabei ist laut
Kaiser das Wichtigste ein richtiges Konzept und      Siegel für Sicherheit in unsicheren
die richtige Behandlung unterschiedlicher Ge-        Zeiten
räte. „Das Zauberwort heißt Zero Trust“, erklärt     Dabei spielt in Krisenzeiten vor allem Vertrau-
Kaiser. „Das bedeutet, dass niemand, nur weil        en eine große Rolle, vor allem bei IT Security.
er Benutzername und Passwort kennt, Zugang           Das TeleTrusT-Vertrauenszeichen „IT Security
erhält. Jedes Gerät und jede Verbindung wird         made in Germany“ soll Anwendern eine Ori-
zunächst als nicht vertrauenswürdig eingestuft,      entierung geben, wie Kaiser veranschaulicht:
und erst nach einer mehrstufigen Bestätigung         „Wenn ich IT-Sicherheit einkaufe, ist das vor
wird der Zugriff auf Unternehmensressourcen          allem eine Frage des Vertrauens in den Herstel-
freigegeben. Unternehmensressourcen werden           ler, denn in die Produkte kann man meist nicht
so niemals direkt aus dem Internet zugänglich        reinschauen. In Zeiten von Edward Snowden,
gemacht.“                                            der uns gezeigt hat, dass Regierungen Daten
                                                     mitlesen, und in Zeiten, in denen der EUGH
Sichere Kommunikation am                             klargestellt hat, dass die Datenschutz-Verein-
Arbeitsplatz                                         barung mit den USA keine Gültigkeit hat, steht
Eine weitere Sicherheitslücke bilden auch die        ‚IT Security made in Germany‘ als Garant für
Kommunikationstools, denn neben der klas-            eine freiheitliche Gesellschaft.“             Q

                                                       IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

ADVERTORIAL

    VPN-Software für „VS-NfD“
    nach BSI-Richtlinien
                  Corona hat in diesem Jahr vor allem im Public Sector das
                   Thema Home Ofﬁce und die Digitalisierungsstrategien
                vorangetrieben. Gerade Behörden, Ämter und geheimschutz-
                 betreute Unternehmen übermitteln bei der täglichen Kom-
                   munikation sensible Daten mit höchst schützenswerten
                 Informationen von Bürgern oder hochsensiblen Projekten.

                                                    eine BSI-Zulassung. Beide Softwarekom-
                                                    ponenten können im Einsatzverbund zur
                                                    sicheren Bearbeitung und Übertragung von
    Bei der sicheren Kommunikation von „Ver-        VS-NfD eingesetzt werden.
    schlusssachen – Nur für den Dienstge-           In Kombination mit dem NCP Secure
    brauch“ (VS-NfD) spielt die Sicherheit aller    Enterprise Management (SEM) proﬁtieren
    eingesetzten Hardware- und Softwarekom-         Anwender durch Vorteile der zentralen Admi-
    ponenten eine besonders große Rolle. So         nistrierbarkeit. Der Einsatz nach VS-NfD ist
    auch bei der unter anderem für Home Ofﬁce       in Abstimmung mit dem BSI möglich.
    eingesetzten VPN-Lösung, die den Empfeh-
    lungen und Vorgaben des Bundesamtes für                IT Security Made in Germany
    Sicherheit in der Informationstechnik (BSI)                für den Public Sector
    entsprechen muss.                               NCP verfolgt das Motto „IT Security Made
    Regierungsbeamte, Verwaltungsangestellte        in Germany“ auch als Qualitätsanspruch
    und Mitarbeiter müssen in der Lage sein,        und setzt auf modernste Technologien und
    auf die für sie bereitgestellten Netzwerkres-   Standards für Verschlüsselung (ECC) sowie
    sourcen und Daten schnell und einfach, aber     starke Authentisierung. Praxisnahe Fea-
    vor allem sicher zuzugreifen. Der NCP VS        tures wie die sichere Hot Spot-Anmeldung,
    GovNet Connector hat als Software-Client        die VPN Path Finder Technology (Fallback
    eine Freigabeempfehlung vom BSI, der NCP        IPsec / HTTPS) und Funktionen im Rahmen
    Secure VPN GovNet Server verfügt über           der Network Access Control (Endpoint

Policy) ermöglichen sicheres und gleichzeitig BSI zugelassener Authentisierungshardware
störungsfreies Arbeiten von zuhause oder (beispielsweise SmartCard-Leser) oder Soft-
unterwegs. ware (z.B. Festplattenverschlüsselung) pro-
Das NCP SEM automatisiert und verein- blemlos möglich.
facht zahlreiche Administrationsabläufe wie Die vom BSI geforderte Verifizierung der Si-
schnellen Rollout, ein zentrales Rechte- und gnatur nach dem Prinzip elliptischer Kurven
Konfigurationsmanagement sowie eine (Elliptic Curve Cryptography) wird ebenso
einfache Umsetzung von Richtlinienände- unterstützt wie Zertifikate bzw. SmartCards
rungen. Seamless Roaming sorgt dafür, in einer PKI (Public Key Infrastructure). Op-
dass „Always On“ hält, was es verspricht: tional können OTP-Lösungen (One Time
unterbrechungsfreies Arbeiten trotz Wechsel Passwort) oder eine biometrische Authenti-
des Übertragungsmediums. sierung genutzt werden, z.B. über Fingerab-
druck- oder Gesichtserkennung. W
VS-NfD auf Standard
Windows 10-Rechnern
Anwender können durch den Einsatz der
NCP Software mit Windows 10-Rechnern Informieren Sie sich über die Einsatzmöglich-
von jedem Standort weltweit auf das zen- keiten und weitere Funktionen wie Quality of
trale Datennetz zugreifen und dieses auch Service oder die im Client integrierte Personal
VS-NfD sicher bearbeiten. Durch Standard- Firewall unter www.ncp-e.com.
Schnittstellen ist die Kombination mit vom

14      HEIMARBEIT ÜBER EINEN SICHEREN WEB-CLIENT 

        Home Office mit dem privaten
        Computer – kann das sicher sein?
        Seit Mitte März 2020 befindet sich die deutsche Wirtschaft in einer Aus-
        nahmesituation, die es per Anordnung des Infektionsschutzgesetzes (IfSG)
        erforderlich macht, die Mitarbeiter von Firmen soweit physisch voneinan-
        der zu trennen, dass von einer Minimierung der Ansteckungsgefahr durch
        Corona-Viren ausgegangen werden kann.                  Von Thomas Scholz, Linogate

        Dem kam man nach, indem man einige Mitar-                               Home Office ohne VPN – und
        beiter samt firmeneigenen Laptops mit vorin-                            trotzdem sicher?
        stallierten VPN-Clients nach Hause schickte.                            Manche Mitarbeiter wären in dieser außerge-
        Viele Firmen stießen so jedoch bald an ihre                             wöhnlichen Situation auch bereit, ihren pri-
        Grenzen, denn es standen manchen Unterneh-                              vaten Rechner für die Home-Office-Verbin-
        men schlicht nicht genug Laptops zur Verfü-                             dung zur Firma zu nutzen. Zur Installation des
        gung.                                                                   benötigten VPN-Clients den Kollegen aus der
        Heute gilt: Das IfSG ist noch immer in Kraft,                           IT-Abteilung an den privaten Rechner zu las-
        man hat sich jedoch eingestellt auf den Umgang                          sen, ist dann aber doch nicht jedermanns Sache.
        mit den Home-Office-Anbindungen. Trotzdem                               Alternativ dazu müsste der Mitarbeiter die
        scheut so mancher Unternehmer die Kosten,                               VPN-Installation selbst in Angriff nehmen –
        um jeden potenziellen Home-Office-Kandida-                              für IT-Laien jedoch eine kaum zu lösende
        ten mit einem Laptop auszustatten.                                      Aufgabe.
                                                                                Es gibt jedoch auch eine andere, ebenfalls si-
                                                                                chere Möglichkeit, mit jedem Rechner, der einen
                                                                                HTML5-fähigen Browser betreiben kann, über
                                                                                den Internet-Anschluss zuhause Zugriff auf Ser-
                                                                                ver in der Firma zu erhalten: den „Web-Client“.
                                                               Bild: Linogate

                                                                                Um ihn zu betreiben, ist auf dem privaten
                                                                                Rechner keinerlei Installation von Software
                                                                                nötig, denn beim Web-Client handelt es sich
                                                                                um eine reine Browser-Anwendung. Der dafür
                                                                                eingesetzte Browser sollte lediglich auf den ak-
        Beispiel einer Arztpraxis, auf die über einen                           tuellsten Stand gebracht werden, um HTML5
        Laptop mit Web-Client von außerhalb sicher                              sicherzustellen. Der zentrale Sammelpunkt für
        zugegriffen wird.                                                       alle per Web-Clients angeschlossenen Home

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

HEIMARBEIT
ÜBER
XXXXXXXXXXXXXXXXXXXXXXXXXX
EINEN SICHEREN WEB-CLIENT 15

Offices befindet sich in der Firma auf einer Webbrowser nicht direkt möglich. Hier kom-
Linux-basierten Internet-Firewall. men Emulationen zum Einsatz, um auch sol-
che Funktionen wie Zwischenablage für Text,
Wodurch ist die Home-Office- Druck- und Dateiübertragungsfunktion trotz-
Verbindung gesichert? dem nutzbar zu machen.
Diese Firewall beinhaltet eine Reverse-Proxy- Beim Einsatz des VNC-Protokolls auf MACs
Funktion, welche als Verbindungsstelle für ist auch ein passiver Modus ohne Interaktions-
jeden Web-Client zur Authentifizierung mit möglichkeit konfigurierbar, falls man User be-
hinterlegten Client-Zertifikaten konfiguriert wusst einschränken möchte.
werden kann. Die Proxy-Funktion agiert ähn- Für SSH-Verbindungen kann der Benutzer-
lich wie ein Pförtner, welcher bestimmt, wer name vorgegeben werden und verschiedene
passieren darf und wer abgewiesen wird. Die Farbschemata und Schriftarten / Schriftgrößen
Erstellung der Zertifikate erfolgt direkt auf können eingestellt werden.
der Firewall durch eine residente PKI. Die so
erstellten Verbindungen können RDP-, VNC- Sicherheit durch 2-Faktor-Authen-
und SSH-fähige Anwendungen über SSL ver- tifizierung – es muss nicht immer
schlüsselt übertragen. VPN sein
Das Sicherheitsniveau einer IPSec-Authentifi-
Welche Computer kann man zum zierung ist sicherlich höher zu bewerten als eine
Home-Arbeitsplatz machen? Proxy-Authentifizierung über Client-Zertifikat.
So ist es möglich, fast alle PCs, Tablets und Smart- Um vergleichbare Sicherheit für den Web-Client
phones mit gängigen Betriebssystemen wie zu erreichen, kann man als zweite Authentifi-
Windows, MAC-OS, Linux und Android als zierung zeitbasierte Einmalpasswörter (TOTP)
Arbeitsplatz im Home Office zu betreiben. Zum erzeugen (u. a. mit Google Authenticator).
Verbindungsaufbau aus dem Home Office gibt Der große Vorteil gegenüber VPN zeigt sich auf
man im Adressfeld des Browsers folgendes ein: der Home-Office-Seite, denn hier ist zur Nutzung
https://Ziel-IP-Adresse der Firma/webclient des Web-Clients überhaupt keine Einrichtung
Danach werden Username und Passwort abge- nötig! Manche Firmen steigen bereits auf Web-
fragt, und man ist verbunden. Client um, obwohl sie genügend Firmen-Lap-
tops haben: „Einfach, weil es einfacher ist.“ Q
Wie ist die Arbeit über den
Web-Client verglichen mit der
Arbeit direkt in der Firma? Der Autor
Bild: Linogate

Der Administrator legt auf der Firewall in der
Firma die Zugriffe für alle Web-Clients aus den Dipl. Ing. Thomas Scholz
Home Offices individuell so fest, dass jeder Mit- wurde im Jahre 2000 zum
arbeiter seine gewohnte Umgebung vorfindet, Geschäftsführer der Linogate
fast so, als ob er sich im Firmen-LAN befinden GmbH berufen, als eine
würde. Neuausrichtung der GmbH
Bei der Nutzung des RDP-Protokolls für Zu- zum Hersteller von Internet
griffe auf Terminal-Server, Arbeitsplatz-PCs Firewalls vorgenommen wurde. Zugleich ist er
oder zur Fernwartung sind ein paar Funk- Gesellschafter von Linogate.
tionen aufgrund des Sicherheitsmodells der

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

ADVERTORIAL

    So behalten Unternehmen
    die Kontrolle über
    eingehende E-Mails
                   Der neue Retarus-Service Predelivery Logic ermöglicht
                 regelbasierte E-Mail-Workﬂows und -Policies aus der Cloud
                  und bietet zudem weit mehr als eine bloße Policy Engine.

                                                     aus Bedingungen und Aktionen, zu kon-
                                                     trollieren, zu organisieren, umzuleiten oder
                                                     anzupassen. Flexible Kombinationsmöglich-
                                                     keiten solcher Regeln ermöglichen nahezu
                                                     unbegrenzte Einsatzszenarien. Dabei spielt
    E-Mail mit all ihren technischen und organi-     es keine Rolle, ob das Unternehmen seine
    satorischen Herausforderungen stets unter        E-Mail-Infrastruktur on-premises oder als
    Kontrolle zu behalten, stellt immer höhere       Cloud Service betreibt.
    Anforderungen an IT-Verantwortliche. Nicht
    nur, was das Routing innerhalb von Firmen-                 Workﬂow Automation:
    netzen angeht. Auch Themen wie Prozess-                  Mehr als nur Policy Engine
    automatisierung lassen sich immer weniger        Mit der Predelivery Logic geht Retarus im
    mit den Mitteln standardisierter Lösungen        Funktionsumfang deutlich über das hinaus,
    abdecken. Unternehmen benötigen mehr             was im Markt gemeinhin als Policy Engine
    Kontrolle über den eingehenden E-Mail-Ver-       bezeichnet wird. Die Lösung bietet zwar
    kehr, idealerweise schon vor der Zustellung      ebenfalls ein User-abhängiges Routing von
    an die eigene Infrastruktur. Dafür hat der       E-Mails an bestimmte Server beziehungs-
    Münchner Cloud-Dienstleister Retarus den         weise Standorte des Firmennetzes oder an
    Service Predelivery Logic entwickelt.            Tochterﬁrmen. Jedoch liefert die Predelivery
    Retarus Predelivery Logic analysiert anhand      Logic darüber hinaus einen entscheidenden
    individueller Regelwerke E-Mails, leitet diese   Beitrag zur Automatisierung und Beschleu-
    gegebenenfalls um und optimiert sie, bevor       nigung von Geschäftsprozessen. So ist es
    sie an die Unternehmensinfrastruktur weiter-     beispielsweise möglich, E-Mails anhand
    geleitet werden. Damit ermöglicht der Ser-       ihres Inhalts oder ihrer Sprache weiterzu-
    vice IT-Verantwortlichen, den gesamten ein-      verarbeiten. Dadurch können zum Beispiel
    gehenden E-Mail-Verkehr auf der Grundlage        an den Support oder das Contact Center
    selbst deﬁnierter Regeln, jeweils bestehend      eingehende Nachrichten automatisch vor-

Mit Hilfe der Retarus
Predelivery Logic lassen
sich E-Mails zum Beispiel
anhand ihres Inhalts, ihrer
Herkunft oder ihrer Spra-
che weiterverarbeiten.

sortiert und an die richtige Abteilung in der Gerade bei der Migration der E-Mail-Kom-
entsprechenden Landesgesellschaft gerou- munikation in die Cloud“, sagt Martin Hager,
tet werden. Ebenso ist es möglich, E-Mails Gründer und Geschäftsführer von Retarus.
abhängig von aufgestellten Regeln vollau- „Unternehmen möchten mehr Kontrolle über
tomatisch zu bearbeiten, etwa die E-Mail- eingehende E-Mails, und zwar so früh wie
Adresse umzuschreiben oder Schlagwörter möglich. Idealerweise lassen sich Regeln
in die Betreffzeile einzufügen. bereits vor der Zustellung an die eigene In-
frastruktur anwenden. Denn für die Umset-
Optimierte Infrastruktur, mehr Sicherheit zung vieler Regelwerke und Maßnahmen ist
Mit Retarus Predelivery Logic lassen sich es meist zu spät, wenn betreffende E-Mails
aber auch Regeln deﬁnieren, die über stan- bereits unverarbeitet an die Server eines Un-
dardisierte Sicherheitsfunktionen hinaus- ternehmens, Applikationen oder Postfächer
gehen. Beispielsweise können E-Mails, die zugestellt wurden.“
von Absendern aus Ländern oder Regionen Weitere Informationen zur Retarus Predeli-
kommen, mit denen eigentlich keine Ge- very Logic ﬁnden Sie unter www.retarus.de/
schäftsbeziehungen bestehen, automati- predelivery-logic W
siert an eine bestimmte Person zur Prüfung
oder direkt in die Quarantäne weitergeleitet
werden.

Maximale Kontrolle Retarus auf der it-sa 365!
über eingehende E-Mails Treffen Sie uns vom 6. bis 8. Oktober 2020
„Wenn wir heute in Projekten mit unseren virtuell auf itsa365.de.
großen Enterprise-Kunden sprechen, ist das Besuchen Sie auch unseren Vortrag:
Feedback eindeutig. Zur Bewältigung der „Privacy Shield down! DSGVO-konforme
immer höher werdenden Komplexität ist ein Kommunikation aus der Cloud“
intelligenterer und ﬂexibler Ansatz gefragt.

18      SICHERHEITSKONZEPTE IN DER KRISE 

        So holen CISOs mehr aus ihren
        Security-Budgets heraus
        Bislang stiegen die Security-Budgets von Jahr zu Jahr stetig weiter
        an. Das scheint in unsicheren wirtschaftlichen Zeiten nicht mehr zu
        gelten. Jetzt müssen die CISOs jeden Cent drei Mal umdrehen, um
        vielleicht sogar mit weniger mehr zu erreichen. Auf was müssen
        CISOs ihr Augenmerk dabei richten?            Von Dipl. Betriebswirt Otto Geißler

                                                                                                               Bild: Andrey Popov/stock.adobe.com

        Einem großen Teil des deutschen Mittelstands           werden. Insgesamt 42 Prozent der Befragten ga-
        sind die Bedrohungen durch Hacker-Angriffe             ben an, dass das Thema IT Security für sie nur
        noch immer nicht vollständig bewusst. Zu die-          eine mittlere bis sehr niedrige Priorität besitzt.
        sem Ergebnis kam die Studie „Cyber Security            Dem gegenüber stiegen die Cyber-Kriminalität
        im Mittelstand“ von Deloitte.                          im Zusammenhang mit Covid-19 und die da-
        Gerade für Mittelständler können solche An-            raus entstandenen Schäden weltweit stark an.
        griffe besonders schnell existenzbedrohend             Budgetkürzungen werden das Dilemma nicht

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

 SICHERHEITSKONZEPTE
                                                       XXXXXXXXXXXXXXXXXXXXXXXXXX
                                                                          IN DER KRISE                        19

verbessern. An welchen Stellen können CISOs          tigere Preise eingekauft zu werden. Vielleicht ist
ansetzen, um die Performance zu optimieren?          gerade jetzt ein guter Zeitpunkt, sich am Markt
                                                     umzusehen: Gibt es neue Produkte? Gibt es in-
Automatisierung erhöhen                              teressante Produkt-Erweiterungen? Gibt es spe-
Für die Beschleunigung von Prozessen und             zielle günstige Angebote?
die Verbesserung der Effizienz sollten sich IT-
Abteilungen der robotergestützten Prozessauto-       Ausgliederung des Security-Budgets
matisierung (RPA) zuwenden. Denn dadurch             von der IT
wird es den Mitarbeitern in der Regel erspart,       Wenn das Security-Budget einem größeren IT-
sich mit ständig wiederholenden Aufgaben zu          Budget untergeordnet ist, das in der Regel von
beschäftigen, während gleichzeitig das Personal      einem CIO verantwortet wird, so stehen die
seinen Fokus auf höherwertige Aufgaben verla-        allgemeinen IT-Ziele und Aufgaben meist im
gern könnte.                                         Vordergrund. Daher ist es angeraten, dass sich
Die Automatisierung von Teilen des Identitäts-       CISOs für einen autonomen Security-Haushalt
und Zugriffsmanagements (IAM), bei dem in            stark machen, um verlässlichere Ausgabenpläne
der Regel intensive manuelle Aufgaben anfal-         und Zielsetzungen erstellen sowie längerfristige
len, liefert besonders gute Ergebnisse, ebenso       Investitionen in Personal und Technologie täti-
wie die Automatisierung der Reaktionen auf           gen zu können.
manche Vorfälle. Ein Nebeneffekt: Die Auto-          Das heißt, es muss eine Planung erstellt werden,
matisierung trägt dazu bei, einige der Heraus-       die nicht nur dazu beiträgt, gute Vertragsbedin-
forderungen bei der Suche nach qualifizierten        gungen und ein qualifiziertes Team zu erhalten,
Security-Experten zu erleichtern, was zu weite-      sondern auch die Erreichung der Security-Ziele
ren finanziellen Einsparungen führen kann.           gewährleistet.

Risiken überprüfen und sich neu                      Verstärkt externe Ressourcen nutzen
ausrichten                                           Die meisten CISOs klagen über Personalpro-
Es ist angezeigt, die größten Risiken, denen         bleme, da viele Teams entweder chronisch un-
Unternehmen ausgesetzt sind, zu identifizieren       terbesetzt sind oder neue, noch nicht besetzte
und regelmäßig neu zu bewerten sowie die In-         Stellen aufweisen. Talente sind nicht nur schwer
vestitionen für die IT Security auf diese Risiken    zu finden, sondern auch teuer und nicht leicht
neu auszurichten. Das heißt, die Unternehmen         zu halten. CISOs, die ihr Budget optimieren
müssen sich auf ihre Hauptrisiken fokussieren        wollen, sollten ihren Personalbedarf prüfen und
und ihre Budgets darauf konzentrieren, weil es       feststellen, ob einige Positionen oder Funkti-
in diesem Bereich den größten Nutzen bringt.         onen eventuell ausgelagert werden könnten.
                                                     Zum Beispiel können CISOs feststellen, dass die
Vorhandene Security-Produkte neu                     Berufung von Managed Service Providern für
bewerten                                             einige hochspezialisierte Aufgaben, die nicht
Angesichts der sich abschwächenden Konjunk-          in Vollzeit benötigt werden, Kosten reduzieren
tur könnten die CISOs die verwendeten Secu-          kann. Zudem wäre zu überlegen, ob nicht spe-
rity-Produkte neu bewerten und bestimmen,            zialisiertes Fachwissen oder bestimmte Dienst-
welche davon am wichtigsten sind, welche den         leistungen von bestehenden Anbietern als Teil
besten Nutzen bieten und welche es tatsächlich       bereits bestehender Verträge übernommen wer-
wert sind, für bessere Bedingungen und güns-         den könnten.

                                                       IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

20      SICHERHEITSKONZEPTE IN DER KRISE 

        Vorhandene Tools optimieren                                                                    verkürzen, da sie dafür nur ein Produkt – und
        Warum nicht bei dieser Gelegenheit noch ein-                                                   nicht mehrere oder viele – zu erlernen brau-
        mal die Tools und Systeme überprüfen, die                                                      chen. Dies hätte die Konsequenz, dass die CISOs
        bereits im Einsatz sind? Nicht wenige davon                                                    gegebenenfalls auch weniger Personal (und
        werden betrieben, nur um ein „Kästchen in ei-                                                  damit weniger Kosten) für die Überwachung
        ner Liste anzukreuzen“ oder irgendeine Art von                                                 und Verwaltung eines einzigen Best-of-Suite-
        Anforderung zu erfüllen. Aber woher weiß man                                                   Produkts gegenüber mehreren Best-of-Breed-
        eigentlich, wie effizient sie tatsächlich funktio-                                             Lösungen beschäftigen müssten.
        nieren? Daher sollte man sie erneut testen, be-
        werten und sicherstellen, dass sie das tun, was                                                Überprüfung auf zusätzliche
                                                                                                       Sicherheitskosten
                                                                                                       Viele Unternehmen, insbesondere größere Or-
                                                                                                       ganisationen, integrieren oft ihre Security-Tools
                                                               Bild: Olivier Le Moal/stock.adobe.com

                                                                                                       auf Abteilungsebene und nicht an zentralen
                                                                                                       Stellen. Das kann zu einem mehrfachen Einsatz
                                                                                                       von gleichen Security-Systemen innerhalb des
                                                                                                       Unternehmens führen. Das bedeutet, dass sie
                                                                                                       oft mehrfach erworben wurden, was die Kosten
                                                                                                       schnell in die Höhe treibt.
                                                                                                       Das heißt aber auch, dass in den einzelnen Ab-
                                                                                                       teilungen oder Standorten eines Unternehmens
Automatisierung entlastet nicht nur das bestehen-                                                      unterschiedliche Sicherheitsteams mit den glei-
de Security-Team, sondern kann auch die Suche                                                          chen Tools für verschiedene Funktionen arbei-
nach neuen Fachkräften vermindern.                                                                     ten. Die Zentralisierung des Erwerbs und der
                                                                                                       Verwaltung von Security-Tools wird nicht nur
        sie eigentlich tun sollen. Der CISO kann so fest-                                              die Kosten deutlich senken, sondern auch die
        stellen, dass es vielleicht Lösungen gibt, welche                                              Verhandlungsbasis für den Erwerb der Tools
        die gleiche Aufgabe besser oder billiger erfüllen.                                             entscheidend verbessern.
        Da in manchen Produktkategorien immer mehr                                                     Ein ähnliches Szenario ist häufig bei Cloud-
        Anbieter die Märkte betreten, hat man auch zu-                                                 Implementierungen der Fall, wofür verschie-
        sehends mehr Einfluss bei den Kostenverhand-                                                   dene Abteilungen ihre eigenen Cloud-Dienste
        lungen.                                                                                        oder SaaS-Angebote mit integrierten Security-
                                                                                                       Funktionen und Tools erworben haben. Die
        Wechsel zu Best-of-Suite                                                                       einzelnen Security-Teams verwalten diese Tools
        Seit Jahren suchen IT-Security-Abteilungen                                                     natürlich dann selbst, was für sie wiederum
        nach Best-of-Breed-Tools für die verschiedenen                                                 zusätzliche Komplexität und Kosten bedeutet.
        Funktionen innerhalb ihrer Sicherheitsum-                                                      Die CISOs können in all diesen Fällen den
        gebung. Wobei ein Best-of-Suite-Ansatz, bei                                                    Bestand auf Abteilungsebene überprüfen und
        dem nur ein Produkt gleich mehrere Tools um-                                                   dann Mehrfach-Anschaffungen und Komplexi-
        fasst, durchaus die bessere finanzielle Option                                                 täten eliminieren. Gleichzeitig sollten die CISOs
        sein kann. Das heißt, der Best-of-Suite-Ansatz                                                 Standards und Rahmenbedingungen schaffen,
        könnte nicht nur die Kosten dämpfen, sondern                                                   die den Geschäftsführern dabei helfen, zusätz-
        auch die Zeit für die Schulung der Mitarbeiter                                                 liche Kosten in Zukunft zu vermeiden.           Q

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

ADVERTORIAL

Mobiles Arbeiten – ohne Kom-
promisse bei der Sicherheit
Sicheres Arbeiten mit der SINA Workstation S von secunet
am Büro-Schreibtisch, zu Hause oder unterwegs.

Beim Thema Mobile Ofﬁce
stehen Behörden und Unter-
nehmen vor einem Dilemma:
Unter dem Blickwinkel der
Informationssicherheit gilt es,
eine Vielzahl von Maßnah-
men umzusetzen – was ei-
ner schnellen und einfachen
Projektumsetzung zuwider-
läuft. Um die nötigen Sicher-
heitsanforderungen umzusetzen, ist übli- Unternehmensnetzwerk zu. Auch das Desk-
cherweise eine Vielzahl von Komponenten top-Telefon kann die SINA Workstation S
nötig, die alle einzeln administriert werden ersetzen, indem sie sichere Telefonate per
müssen. Wenn dies zu aufwändig ist, aber Voice over IP (VoIP) ermöglicht. Für einen
die Reduzierung der Sicherheit keine Option schnellen Rollout und eine erleichterte Ad-
ist, steht eine bewährte Lösung bereit: die ministration stehen automatisierte Tools zur
SINA Workstation S. Sie ist Teil des Krypto- Verfügung.
Systems SINA, das secunet im Auftrag Die SINA Workstation S ist in verschiedenen
des BSI entwickelt hat. Bereits seit Jahren Formfaktoren – Desktops, Laptops, Tablets –
stellt die SINA Workstation S den Standard- verfügbar, die alle für den Umgang mit
arbeitsplatz in zahlreichen Bundes- und Lan- Verschlusssachen der Einstufung VS-NfD
desbehörden, darunter auch in mehreren zugelassen sind. Je nach Anforderungen
Bundesministerien. Bislang wurden bereits steht als Alternative zum Fat Client mit voll-
mehr als 100.000 Exemplare ausgeliefert. wertigem PC-Arbeitsplatz auch eine schlan-
Die Lösung erlaubt es, bestehende Systeme ke Terminal-Server-Lösung (Thin Client) zur
einfach in die sichere SINA Umgebung zu Wahl. Allen Varianten gemein ist, dass der
migrieren. Die Nutzer arbeiten dann ohne Nutzer auch zu Hause oder unterwegs so
Einschränkungen in ihrer gewohnten Umge- arbeiten kann, als säße er am gewohnten
bung weiter, zum Beispiel in MS-Windows, Büro-Schreibtisch – und das, ohne die Infor-
und greifen sicher auf das Behörden- oder mationssicherheit zu gefährden. W

ADVERTORIAL

Darf Awareness-Training Spaß
machen? Mitarbeitersensibilisierung
auf Basis von Lernpsychologie

Ein Interview mit Dr. Niklas Hellemann, Diplom-Psychologe und
Managing Director bei SoSafe Cyber Security Awareness

die Systeme ist, wie spektakuläre
Ransomware-Fälle, z.B. bei dem
Touristik-Unternehmen CWT, zei-
gen. Gleichzeitig finden gerade ak-
Die Awareness-Plattform von tuelle Taktiken à la „Emotet“ immer
SoSafe sensibilisiert Mitarbeiter wieder Wege durch die technischen
zahlreicher Unternehmen, wie Vat- Filter – wie das Sicherheitsunter-
tenfall, Aldi oder Avira, für IT-Sicher- Dr. Niklas nehmen Avanan berichtet, sogar
heits-Themen. Micro-Lernmodule Hellemann in 25% aller Fälle! Eine moderne IT-
und simulierte Phishing-Angriffe Sicherheitsstrategie bezieht daher
sorgen nicht nur für eine nachhaltige immer mehrere Ebenen der Vertei-
Wissensvermittlung, sondern auch für eine digung ein – eben auch den Nutzer. Mitar-
messbare Risikominimierung und Erfüllung beiter können, wenn sie richtig sensibilisiert
der Compliance-Pflichten. Dank eines Full- werden, ein aktiver Teil der Verteidigung sein.
Service-Ansatzes laufen Implementierung
und Anwendung nahezu automatisch. Ein Viele Unternehmen haben Richtlinien in
Gespräch über die psychologischen Mecha- Bezug auf die IT-Sicherheit veröffentlicht.
nismen von modernem Awareness-Training. Wieso reicht das nicht aus, um die
Mitarbeiter zu sensibilisieren?
Warum ist der Mensch das Richtlinien sind natürlich ein erster Schritt,
größte Sicherheitsrisiko beim Thema um Mitarbeiter allgemein zu informieren,
Cyber-Security? aber einen großen Effekt im Sinne einer
Also erst einmal, der Mensch ist kein Risiko – Risikominimierung darf man dadurch nicht
so eine Aussage tut mir als Psychologe in erwarten. Modernes Awareness-Training
der Seele weh! Es stimmt, dass laut BSI zielt auf das nachhaltige Erlernen von Rou-
9 von 10 erfolgreichen Cyberangriffen auf tinen ab, um Risiken messbar zu reduzieren.
Unternehmen beim Mitarbeiter starten. Als Tool zur effektiven Sensibilisierung sind
Einfach, weil es der effizienteste Weg in beispielsweise Phishing-Simulationen sehr

Gamification auf der
SoSafe-Awareness-
Plattform: Abzeichen
Level Abzeichen 6 / 30
Level 1
und Punkte sorgen für
35/ 70 Erfahrungspunkte
zusätzliche Motivation.
Zertifikat austellen

Fortschritt
EP

Zeit

gut geeignet. Die Mitarbeiter werden so etwa über Voice-Phishing-Anrufe oder via
laufend mit realistischen Angriffsszenarien Messenger wie Microsoft Teams.
konfrontiert und lernen spielerisch, besser
auf echte Phishing-Mails zu achten. Ein Sie setzen auf Gamification als Methode
wichtiger Aspekt hierbei: Die simulierten gegen Cyberkriminalität. Welchen
Angriffe sollten anonym ausgewertet und Lerneffekt versprechen Sie sich davon?
auf deutschen Servern verarbeitet werden – Gamification, also die Anwendung von
gerade vor dem Hintergrund der neuesten spieltypischen Elementen, motiviert zur
Privacy-Shield-Entscheidung des EuGH be- Auseinandersetzung mit einem „trockenen“
gibt man sich sonst rechtlich in eine gefähr- Thema wie IT-Sicherheit. Wir verwenden
liche Grauzone. beispielsweise Storylines, interaktive Ele-
mente und Charaktere zur Vermittlung. Un-
Welche lernpsychologischen sere Hauptfiguren Jan und Clara begleiten
Maßnahmen kann man ergreifen, um den die Lernenden durch die Themenbereiche
Mitarbeiter zu einem umsichtigen und bieten so eine Identifikationsfläche.
Umgang mit Cybergefahren zu schulen? Auch unser Dashboard ist stark gamifiziert.
Die Psychologie kennt verschiedene Arten Mitarbeiter erhalten für das Absolvieren
des Lernens. Die „klassische“ lineare Wis- von Lerneinheiten oder das Erkennen von
sensvermittlung ist gängige Praxis in der Phishing-Mails Punkte und Abzeichen. Ge-
Security Awareness – nur nicht sehr effektiv. steigerte Komplettierungsraten unterstrei-
So haben Lernende bei dieser Vermittlung chen diesen Ansatz. Außerdem macht das
bereits nach sechs Tagen 75% der Inhalte den Anwendern großen Spaß, wie unser
vergessen. Bei unseren Lösungen setzen gutes Feedback zeigt.
wir dagegen auf verteiltes Lernen in Form
von Micro-Modulen. Die Inhalte können in Weitere Informationen zur Awareness-Platt-
nur wenigen Minuten Bearbeitungszeit er- form von SoSafe unter www.sosafe.de.
schlossen werden. Das Wissen wird zudem Kostenfreie Awareness-Materialien für die
nicht nur über die E-Learning-Module, son- Sicherheit im Home Office finden Sie zudem
dern auch auf anderen Kanälen vermittelt, unter www.sosafe.de/home-office/. W

24      DIE ZEIT NACH DER KRISE 

        Was bei der IT-Sicherheits-
        strategie auf Dauer
        verändert werden muss
        Die Corona-Krise hat Schwachstellen in Security-Konzepten offengelegt.
        Viele Unternehmen hatten zum Beispiel in ihren Notfallkonzepten nicht
        an eine Arbeit im Home Office gedacht. Doch nicht nur für Krisenzeiten
        sollten die richtigen Security-Maßnahmen verfügbar sein. Die Security
        braucht generell eine Veränderung, denn die Unternehmen verändern
        sich dauerhaft.                                          Von Oliver Schonschek

                                                                             Die Digitalisierung entwickelt sich
                                                                             auch nach der Krise weiter und
                                                                             hat sogar eine Beschleunigung er-
                                                                             fahren durch die Maßnahmen zur
                                                                             Krisenbewältigung. Wenn jetzt
                                                                             also Security-Konzepte überarbei-
                                                                             tet werden, sollte auch an die An-
                                                                       Bild: Halfpoint/stock.adobe.com

                                                                             forderungen für die Zeit nach der
                                                                             Corona-Krise gedacht werden.
                                                                             Der Digitalverband Bitkom nennt
                                                                             Beispiele für andauernde Ver-
                                                                             änderungen: Cloud statt Akten-
                                                                             schrank, Online-Meeting statt
                                                                             Geschäftsreise, Bestellungen und
                                                                             Rechnungsversand über Kunden-
        Digitalisierung hat einen Schub                                      portale statt per Brief und Fax.
        bekommen                                               Wie eine Umfrage von Eco – Verband der Inter-
        CISOs sollten nicht nur überlegen, wie sich die        netwirtschaft e.V. ergab, wollen rund ein Drittel
        IT-Sicherheit für die restliche Zeit, in der Be-       der Angestellten (32,6 Prozent) auch in nächster
        schäftigte im Home Office tätig sind, verbessern       Zeit vermehrt mithilfe von Videokonferenzen
        lässt, und auch nicht nur, wie sich die Home-          mit Kunden und Kollegen kommunizieren.
        Office-Arbeitsplätze wieder auflösen und sicher        Über 20 Prozent wollen mehr Tools zur Online-
        zurück in die Büros verlagern lassen.                  Projektarbeit im Team nutzen. Rund 10 Prozent

IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

 XXXXXXXXXXXXXXXXXXXXXXXXXX
                                                           DIE ZEIT NACH DER KRISE                        25

                                                                                    Mit der IT-Sicherheit
                                                                                    im Home Office ist es
                                                                                    nicht so gut bestellt,
                                                                                    wie eine Umfrage von
                                                                                    TeleTrusT ergab.

setzen vermehrt auf digitale Weiterbildungs-      Tools an Beliebtheit gewonnen haben. Nicht
angebote. Diese Entwicklungen müssen in den       zuletzt können auch neue Wünsche entstanden
Security-Konzepten Berücksichtigung finden.       sein, in Zukunft andere Endgeräte und Applika-
                                                  tionen im Unternehmen zu verwenden, die den
Folgen der Home-Office-Erfahrung                  privaten Geräten und Anwendungen im Home
Die Studie „Veränderung der Arbeitswelt durch     Office ähnlicher sind.
Corona“ von YouGov hat untersucht, wie die
Tätigkeit im Home Office nach der Corona-Kri-     Generelle Änderungen in der
se aussehen kann. 68 Prozent der Beschäftigten    Endpoint Security sinnvoll
wünschen sich eine Lockerung der Regelungen.      Es zeigt sich: Die Corona-Krise hat einen Digi-
Sie wollen entweder mindestens einen Tag in       talisierungsschub bzw. Digitalisierungszwang
der Woche von Zuhause arbeiten (29 Prozent)       ausgelöst. Viele Maßnahmen wie die Einrich-
oder flexibel entscheiden können, ob sie im       tung von Home Offices mussten überstürzt
Heimbüro oder in der Dienststelle tätig sind      erfolgen und liefen ohne ausreichende Sicher-
(31 Prozent). Acht Prozent der Mitarbeiter kön-   heitsmaßnahmen ab. Zur Krisenvorsorge, aber
nen sich sogar ein Arbeitsleben ohne festen Ar-   auch um der steigenden Digitalisierung zu
beitsplatz im Firmengebäude vorstellen.           entsprechen, sollten CISOs prüfen, wie sie die
Offensichtlich müssen sich CISOs darauf ein-      Endpoint Security unabhängig vom Standort si-
stellen, dass es mehr Arbeit im Home Office       cherstellen können, damit Arbeitsplätze flexibel
und entsprechend mehr Bedarf an geeigneter        aufgebaut und abgebaut werden können und
Endpoint Security geben könnte. Ebenso sollte     damit die zunehmende virtuelle Zusammen-
man damit rechnen, dass die virtuelle Zusam-      arbeit nicht zur Bedrohung, sondern zu einem
menarbeit und der Einsatz entsprechender          Motor im Unternehmen werden kann.             Q

                                                    IT-BUSINESS / SECURITY-INSIDER IT-Sicherheit Made in Germany

Sie können auch lesen