Vertrauen Sie in die Sicherheit Ihrer IT? - Knowhow für das unternehmensmanagement - Radar Cyber Security
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Knowhow für das Unternehmensmanagement
Vertrauen
Sie in die
Sicherheit
Ihrer IT?
powered by
Ausgabe 2
1
Vertrauen ist die
Basis für Sicherheit.
Auch in einer vernetzten Welt gibt es gute Gründe, auf die Sicherheit der
IT vertrauen zu können. Das Management von RadarServices, Europas
Marktführer für IT Security Monitoring, zeigt sie im großen Interview über ihre
eigenen IT-Sicherheitsmaßnahmen auf.
Bild: Stanislav Jenis
2 3
EDITORIAL
Liebe Leserinnen und Leser,
vertrauen Sie in die Sicherheit Ihrer IT? Eine Frage ganz grundsätzlicher Art,
die nach vielen Schlagzeilen über Spionage, Datenentwendung und Ransom-
ware-Attacken für viele aktueller denn je ist.
Wir ergründen im Gespräch mit Experten, was Unternehmen aller Branchen
tun können, um das eigene genauso wie das Vertrauen der Kunden in ihre
IT zu stärken. Detailliert fragen wir nach worauf sich Vertrauen objektiv und
subjektiv begründen kann.
Ausführlich zu Wort kommen die, die es besonders gut wissen müssen: Die
Geschäftsführer von Europas größtem Cyber Defense Center. Sie schützen
Unternehmen vor Cyberangriffen und wissen wann IT-Sicherheitsmaßnah-
men tatsächlichen Schutz von Unternehmenswerten bieten und wann nicht.
Initiativen auf europäischer Ebene wachsen und fördern die gemeinsamen
Ansätze für den Schutz unserer Werte. Allem voran hält die European Cyber
Security Organisation (ECSO), vertreten durch Luigi Rebuffi, wichtige Fäden
in der Hand. Auf der anderen Seite schaffte Maximilian Schrems Tatsachen,
indem er gegen Facebook vor dem Europäischen Gerichtshof klagte und
gewann. Wir baten diese Meinungsführer um ihre aktuellen Einschätzungen.
Eine wichtige Vertrauensgrundlage bildet auch das eigene Wissen über den
neuesten Stand der Technik und die Schutzmöglichkeiten für die IT. Dazu
gab uns Eric Maiwald, Vice President beim IT-Research-Spezialisten Gartner,
einen weltweiten Technologieüberblick.
Schlussendlich gibt es die „Vertrauensbeweise“ in Form von Zertifizierungen,
die Vertrauen schaffen, weil sie unter Hinzuziehung von vielen verschiede-
nen Experten in aufwendiger Art und Weise entstehen und weiterentwickelt
werden. Ein Blick hinter diese Kulissen erlaubten uns DDr. Stampfl-Blaha und
Dr. Karl Grün von Austrian Standards.
Es ist unser Ziel, dass durch die Lektüre der Ausgabe „IT Security – Knowhow
für das Unternehmensmanagement“ Vertrauen in die IT-Sicherheit zurückge-
wonnen wird und Maßnahmen ersichtlich werden, die jeder ergreifen kann,
um sich sicherer zu fühlen. Denn schlussendlich bildet das Vertrauen die
Basis für die Akzeptanz des technologischen Fortschritts in unserer Gesell-
schaft.
In diesem Sinne wünsche ich Ihnen eine gute Lektüre.
Ihre Isabell Claus, Herausgeberin
4 5
Vertrauensbeweise: Die Rolle von ISO-Standards für die
IT-Sicherheit S. 24
„Verantwortung schafft Vertrauen!“ S. 8
DON’T PANIC!
INHALT
STRATEGIE
8 „Verantwortung schafft Vertrauen!“
„Wir müssen die zahlreichen Herausforderun- 12 „Wir müssen die zahlreichen Herausforderungen gemeinsam
DON’T PANIC! PLAN! – Die EU-Datenschutz-
gen gemeinsam meistern!“ – Interview mit Luigi meistern!“ – Interview mit Luigi Rebuffi, Generalsekretär der ECSO
Grundverordnung wirft ihre Schatten voraus
Rebuffi, Generalsekretär der ECSO S. 12
S. 26 16 „Das Vertrauen wird derzeit auf eine harte Probe gestellt“ –
„Das Vertrauen wird derzeit auf eine harte Interview mit Max Schrems
Probe gestellt“ – Interview mit Max Schrems TECHNOLOGIE
S. 16
18 2017 – Wo stehen wir in Sachen IT-Sicherheit und worauf
müssen wir uns konzentrieren? – Interview mit Eric Maiwald,
Managing Vice President bei Gartner
20 Einblicke in die Erforschung von Sicherheitstechnologien:
2017
„Neue Modelle werden wie Impfstoffe getestet“
ORGANISATION & COMPLIANCE
24 Vertrauensbeweise: Die Rolle von ISO-Standards für die IT-
Sicherheit
26 DON’T PANIC! PLAN! – Die EU-Datenschutz-Grundverordnung
wirft ihre Schatten voraus
RadarServices im Überblick
2017 – Wo stehen wir in Sachen IT-Sicherheit
Einblicke in die Erforschung von Sicherheits-
und worauf müssen wir uns konzentrieren? 29 News, Events und Infos
technologien: „Neue Modelle werden wie Impf-
S. 18
stoffe getestet“ S. 20 35 Impressum
6 7
„Verantwortung schafft Vertrauen!“
STRATEGIE
„Verantwortung
schafft Vertrauen!“
Das Management von Europas führendem Managed
Security Services Anbieter erklärt die Faktoren, die dem
Vertrauen in die eigene Sicherheit zugrunde liegen.
D ie Nutzung heutiger und besonders auch
zukünftiger IT-Anwendungen und Dienstleis-
tungen erfordert Vertrauen in die IT-Sicherheit. In
zusammen oder – wie im Fall der USA – verpflichten
sie sogar auf dem Rechtsweg zur Kooperation.
Das Vertrauen der Menschen in den Schutz der
der virtuellen Welt fehlen aber physische Sicher- persönlichen Daten und in die Sicherheit der IT ist
heitsmechanismen wie wir sie aus der „realen“ seit diesen Veröffentlichungen spürbar und nachvoll-
Welt kennen. Sicherheitsmaßnahmen die uns ziehbar gesunken.
veranlassen darauf zu vertrauen, dass die Brem- Das verlorengegangene Vertrauen in eine sichere
sen in unserem Auto funktionieren oder dass das IT muss zurückgewonnen werden. Es ist die Basis für
Flugzeug, in dem wir reisen, nicht abstürzt, sind Wirtschaftswachstum und für die Weiterentwick-
nicht übertragbar. lung des globalen Digitalisierungstrends in allen
Nur punktuell lassen sich wichtige Funktionen, wie Lebensbereichen. Es verringert Transaktions- und
die Integrität der Systeme, Sicherheit vor Missbrauch, Kontrollkosten, fördert Handel und Wachstum, die
Schutz der personenbezogenen Daten und Schutz Entwicklung der Finanzmärkte und die Akzeptanz
vor digitalen Angriffen vom Benutzer selbst über- und Nachfrage nach neuen Technologien. Es ist
prüfen. Deshalb spielt Vertrauen eine wichtige Rolle damit eine Grundvoraussetzung für langfristigen
dafür, wie IT-Sicherheit wahrgenommen wird, wie Geschäftserfolg in allen Branchen.
Menschen mit IT umgehen und welchen Unterneh-
men sie Daten preisgeben und von denen sie Kunden
werden.
Wie Vertrauen zurück
Medienberichte über Cyberattacken auf große gewonnen wird
Unternehmen, Behörden, ganze Branchen und Länder
beeinflussen unser Vertrauen. Auf diesem Weg erfuhr Eine rein wirtschaftliche Betrachtung von Lösungen
die Öffentlichkeit, dass ausländische Regierungen blendet den Vertrauensfaktor meist aus und reduziert
immense Datenmengen ohne Zustimmung der be- den Beitrag von Technologie auf eine oberflächliche
troffenen Privatpersonen, Unternehmen und öffent- Kosten-Nutzen-Rechnung. Ob aus dieser Betrachtung
lichen Institutionen sammeln und analysieren. Sie eine tatsächliche Effektivität im akuten Angriffsfall
arbeiten dabei mit großen Technologieunternehmen geschlossen werden kann, ist zu bezweifeln.
Bild: Stanislav Jenis
8 9
STRATEGIE „Verantwortung schafft Vertrauen!“
Wir befragten deshalb die IT-Sicherheitsexperten Harald
Reisinger, Thomas Hoffmann und Christian Polster von werden, ist bei uns tief verwurzelt. Denn alle Werk- Managementprioritäten, der Stellenwert von Compli-
RadarServices, Europas Marktführer für IT-Security zeuge sind nur so gut, wie der der sie anwendet. Im
„Big Picture“ unterziehen wir die Gesamtkonzeption
ance, das Bewusstsein bei MitarbeiterInnen und ihr
Einsatz für eine „gelebte“ IT-Sicherheit spielen eine
Monitoring, über deren Vertrauen in ihre eigene IT-Sicherheit aller Sicherheitsmaßnahmen deshalb einer regelmä-
ßigen Überprüfung. Unkoordinierte „Insellösungen“
wichtige Rolle.
Wenn Sie neue Sicherheitstechnologien auswäh-
und die Faktoren, die das Vertrauen rechtfertigen. gibt es nicht. Darüber hinaus stellen wir sicher, dass
jeden Tag ausreichend und vor allem gut qualifizierte
len, sollten Sie auf die Rahmenfaktoren viel Wert
legen. Ein objektiver Kriterienkatalog ist genauso
Experten einen Blick auf unsere Sicherheit haben. wichtig, wie das subjektive Vertrauen gegenüber den
Sie konfigurieren die Werkzeuge, beherrschen sie im handelnden Personen beim Hersteller. Persönlicher
kleinsten Detail und passen sie immer an die aktu- statt virtueller Kontakt. Die gleiche Sprache sprechen
ellen Gegebenheiten an. Auch die ständige Weiter- statt Sprachbarrieren. Ein guter Informationsfluss
bildung, die Teil der Arbeit der Security Intelligence statt stockende Prozesse. All das schafft viel Ver-
Harald Reisinger: Zuerst einmal: Ja, ich vertraue in ist ein wichtiger Unterschied zu Managed Service Experten ist, macht uns sicher. So sind wir erstklassig trauen und ist entscheidend, wenn es wirklich einmal
die Sicherheit unserer IT! Was mich dazu führt, Anbietern, die nur Dritttechnologien im Einsatz haben gegen Angreifer gerüstet. dringend ist.
sind unter anderem viele messbare Faktoren. Dazu und damit nicht die Möglichkeit besitzen den Source
zählen die täglichen Berichte aus unserem eigenen, Code zu analysieren und nicht feststellen können, ob Christian Polster: Gute Hinweise geben auch die
laufenden IT-Security Monitoring, unsere etablierten Quality Assurance und Testing ausreichend erfolgt ist
Was raten Sie Unterneh Standorte des Herstellers und deren Rechtsräume,
Best Practices und Prozesse, die in Notfallsituationen oder nicht. men aus allen Branchen, Unternehmenskennzahlen als auch Ziele, Referenzen
greifen würden, unsere streng evaluierten Sicher- Qualitätssicherung fängt bei uns bereits bei der und Qualitätskennzeichen wie „Made in Europe“.
heitskomponenten, unsere gelebte Compliance und Erforschung neuer Technologien und zukünftig benö-
die das Vertrauen in ihre Zertifizierungen sowie die Bedeutung des konkreten
unsere organisatorischen Sicherheitsmaßnahmen tigter Verfahren als Basis für die Erfüllung von hoch- IT-Sicherheit stärken wollen? Produkts im Portfolio eines Herstellers und die Erwar-
und Awareness-Trainings. Natürlich baue ich unser qualitativen, automatisierten IT-Sicherheitsanalysen tung an seine Kompetenz im relevanten Geschäftsbe-
Vertrauen daneben auch auf unsere langjährige an. Sorgfältig ausgewählte Algorithmen und statisti- Harald Reisinger: Führen Sie einen Check von allen reich sind ebenso wichtig. Auch die Prüfung, wie „fit“
Erfahrung und Expertenwissen auf. Wir wissen, was sche Methoden, die zu den gewünschten Ergebnissen Technologien und den dahinterstehenden Anbieter- ein Anbieter im Thema Datenschutz ist, ist ein guter
auf der Seite der Angreifer passiert – damit haben wir führen, eine theoretische und objektiv begründbare unternehmen durch und betrachten Sie sie im Ge- Hinweis darauf, welchen Stellenwert er tatsächlich
natürlich einen Wissensvorsprung zu Unternehmen, Basis und ein ausgiebiger Praxistest sind das Funda- samtkontext. Für viele Unternehmen aus IT-fremden IT-Sicherheit und dem Schutz von Daten gibt. Europa
die sich in ihrem Kerngeschäft nicht rein darauf kon- ment, welches unsere Researchabteilung zur Entwick- Branchen ist dieses Thema eine „black box“, ein nicht setzt mit der neuen EU-Datenschutz-Grundverord-
zentrieren die eigene IT und die von vielen Kunden lung beisteuert. einschätzbares Risiko, dass einige bereit sind bis zu nung international den höchsten Anforderungsmaß-
weltweit tagtäglich sicherer zu machen. Der darauf folgende Entwicklungsprozess basiert einem bestimmten Ausmaß zu akzeptieren während stab. Umfassende nationale Gesetzgebungen sowie
auf definierten Best Practices und Standards der si- die Skepsis vieler Unternehmen wächst. Hier zählen Zertifizierungsmöglichkeiten und -erfordernisse füh-
Christian Polster: Das Vertrauen in die Sicher- cheren Entwicklung,die von unseren Mitarbeitern lau- harte Fakten und umfangreiche Einschätzungen, die ren zudem zu einem vergleichsweise enorm hohen
heit unserer IT ist auch mit unserem steten Drang fend einzuhalten sind. Ein „multi-layered approach“, jede Organisation für sich selbst erstellen sollte. IT-Sicherheitsniveau in Europa. Diese Anforderungen
nach dem weiteren Erforschen und Entwickeln von das heißt die Kontrolle des gesamten Entstehungs- sollten Sicherheitsdienstleister „aus dem ff“ beherr-
IT-Sicherheitserkennungs- und -bewertungsmög- prozesses, ist ein wesentliches Qualitätsmerkmal. Thomas Hoffmann: Die Ansprüche hinsichtlich Ver- schen und auch beherzigen. Das bildet die Basis für
lichkeiten begründet! Wir beschäftigen ein großes Auch ein Vieraugenprinzip ist beim Coding ein Muss. antwortung, Klarheit und Transparenz, die Anbieter Vertrauen in ihre Lösungen.
Entwicklungsteam für die Sicherheitssoftware, die Unser Quality Assurrance Team führt dann sowohl an sich selbst stellen, sind unterschiedlich hoch.
bei unseren Kunden und natürlich auch bei uns im automatisierte als auch manuelle Tests auf verschie-
Einsatz ist. Mit dieser IT-Security Monitoring-Techno- denen Ebenen mit Echtdaten durch, um mögliche
logie überwachen wir tagtäglich die verschiedenen Negativeffekte von Codeänderungen festzustellen.
Einfallstore für Cyberangreifer für große und mittel- Immer aktuell gehaltene Dokumentationen sind ein
ständische Unternehmen. Durch die Eigenentwick- weiteres „must have“ in der Entwicklung. Schlussend-
lung stellen wir sicher, dass die Software unseren lich bilden wir Research-, Entwicklungs- und Testing- Fazit Es gibt zahlreiche objektive und subjektive Faktoren, um die Sicherheit unserer
IT und die Effektivität der dafür eingesetzten Technologien und Ressourcen zu
Vorstellung und Ansprüchen an die Erkennung von teams ständig fort.
überprüfen. Auf der Basis einer Evaluierung dieser Faktoren können Sie begrün-
IT-Security Incidents und Risiken entspricht, diese
detes Vertrauen entwickeln oder verlorengegangenes Vertrauen zurückgewinnen.
auch ständig weiterentwickelt wird und einen starken Thomas Hoffmann: Vertrauen ist die Basis für Sicher-
Unternehmen, die Sicherheitstechnologien einkaufen um die Daten ihrer Kunden zu
Fokus auf verhaltensbasierten Analysen hat. Darüber heit und ich habe vollstes Vertrauen in die Sicherheit
schützen, sind dabei besonders gefragt. Sie sollten die Sicherheit ihrer IT für sich
hinaus stellen wir so sicher, dass eseinerseits keine unserer IT! Das Bewusstsein, dass wir nicht nur die
und ihre Kunden regelmäßig und umfassend prüfen. Ein Aufwand, der mit wertvol-
Hintertüren in der Software gibt und, dass sie einer richtigen Werkzeuge für die IT-Sicherheit im Einsatz
lem Kundenvertrauen belohnt wird.
ausreichenden Qualitätssicherung unterliegt. Das haben, sondern dass diese auch richtig eingesetzt
10 11
„Wir müssen die zahlreichen Herausforderungen gemeinsam meistern!“
STRATEGIE
„Wir müssen die zahlrei-
chen Herausforderungen
gemeinsam meistern!“
Im Jahr 2016 wurde die European Cyber Security Organization (ECSO) in Brüssel gegründet. Die Organisation
ist der führende Zusammenschluss von großen europäischen Unternehmen, KMUs, Forschungszentren,
Universitäten, Clustern und Vereinigungen, lokalen, regionalen und nationalen Verwaltungen der europäi-
schen Mitgliederstaaten, Mitgliedern des Europäischen Wirtschaftsraumes (EWR) sowie der Europäischen
Freihandelsorganisation (EFTA) und H2020 assoziierten Ländern. Im Interview erklärt Luigi Rebuffi, General
sekretär der ECSO, die Herausforderungen, vor denen Europa im Thema Cybersecurity steht.
Bild: iStock.com/artJazz
Bild: ©ECSO
12 13
STRATEGIE „Wir müssen die zahlreichen Herausforderungen gemeinsam meistern!“
In welchen Bereichen sehen Sie die größten Herausforderun- Energie, E-Government, Finanzen und Telekommunikation. • Schutz von kritischen Infrastrukturen vor Cyberbedrohungen durch Cyberattacken gegen Unternehmen erschüttert und von
gen in Sachen IT-Sicherheit für europäische Unternehmen in durch die stärkere Anwendung zuverlässiger Cybersecurity- der Bevölkerung, angestachelt durch Whistleblower, hinterfragt.
den kommenden Jahren? Zudem sieht sich die europäische Industrie weiterhin mit Hinder- Lösungen in den verschiedenen Sektoren (Energie, Gesund- Der Schutz und der Umgang mit Daten stehen im Zentrum dieser
nissen hinsichtlich Forschung und Innovation (verstreute Finan- heit, Verkehr usw.) Thematik. Um dieses Vertrauen erneut aufzubauen und zu stär-
Die boomende Digitalisierung der europäischen Gesellschaft, zierung aufgrund des fehlenden transnationalen Ansatzes und • Regulierung massiver Datenansammlungen zur Erhöhung der ken, müssen wir folgende Ziele erreichen:
Industrie und Wirtschaft hat eine neue industrielle Revolution einer globalen europäischen Investitionsstrategie; von impor- allgemeinen Sicherheit
ermöglicht, die den Rahmen für einen digitalen Binnenmarkt in tierten IuK-Produkten geleitete Innovationen) konfrontiert. Auch • Steigerung der digitalen Autonomie Europas • Wiederaufbau und Stärkung der Zusammenarbeit zwi-
Europa bildet. Angetrieben durch neu aufkommende und schnell Marktentwicklungen (hartnäckige Fragmentierung; der Markt • Verbesserung von Sicherheit und Vertrauen entlang der ge- schen Anwendern, öffentlicher Verwaltung und Industrie mit
voranschreitende digitale Technologien wie das Internet of wird von außereuropäischen Anbietern dominiert, was zu einer samten Lieferkette Schwerpunkt auf den zuvor genannten dringlichsten Themen.
Things (IoT), 5G, Cloud Computing, Datenanalyse und Robotik Abhängigkeit in der strategischen Lieferkette beiträgt), schränkt • Ankurbelung von Investitionen in wirtschaftlichen Sektoren, in Aus diesem Grund vereint die ECSO als Dachorganisation
führten diese Veränderungen zu einem beträchtlichen Anstieg ihre Wettbewerbsfähigkeit ein. Diese Hindernisse gehen Hand denen Europa eindeutig eine Führungsrolle einnimmt verschiedene Stakeholder, sowohl aus dem privaten (Indust-
von Freiheit und Wohlstand in Gesellschaft und Wirtschaft. An- in Hand mit geringen Investitionen (schwache Unternehmens- • Unterstützung von KMUs und deren Innovationen rie, Forschungszentren, Universitäten, Betreiber) als auch aus
dererseits zeigten sie jedoch auch einige bedeutende Schwach- kultur), einem Mangel an Cybersecurity-Experten und geringem • Stärkung der Wettbewerbsfähigkeit dem öffentlichen Sektor (nationale und regionale öffentliche
stellen auf. politischem Engagement auf europäischer Ebene als Resultat • Entwicklung innovativer Technologien und Dienstleistungen Behörden), strukturiert nach einem Governance-Modell, das
Cyberattacken schaffen es immer öfter in die Schlagzeilen stark ausgeprägter Nationalbestrebungen. zur Bewältigung entstehender Bedrohungen eine solche Zusammenarbeit fördert und erleichtert. Diese
und zerren ganze Unternehmen ins Rampenlicht, was das Ver- Diese Hindernisse erfordern industrielle Maßnahmen (For- • Unterstützung der Entwicklung von Bildungsprogrammen und Mischung aus verschiedenen Stakeholdern gibt den ECSO-
trauen der Anwender in die von den Unternehmen angebotenen schung und Innovation, Schwachstellenanalysen, Investitionen Berufsausbildungen Mitgliedern die Möglichkeit, sich gemeinsam mit Cybersecuri-
Dienstleistungen beeinträchtigt. Sowohl mit ihren Methoden als usw.), unterstützt durch politische Maßnahmen und angemes- ty-Themen zu befassen.
auch mit ihren Zielen setzen diese sich kontinuierlich weiter- sene rechtliche und operative Rahmenbedingungen sowohl auf Seit der Unterzeichnung des Vertrags zwischen der PPP und der
entwickelnden Angriffe auch die Gesetzgeber unter den Druck mitgliedsstaatlicher Ebene als auch europaweit (z.B.: Umsetzung Europäischen Kommission arbeitet die ECSO intensiv an ihrem • Ausbau von Kampagnen zur Stärkung des öffentlichen Be-
der Öffentlichkeit, entschlossene Maßnahmen zum Schutz der der NIS-Richtlinie, gemeinsame Industriepolitik, Investitionen, Beitrag zur europäischen Initiative mit dem Ziel, Rahmenbedin- wusstseins für die potentiell negativen Folgen der Digitalisie-
Bürger und Konsumenten und zur Sicherung kritischer Infrastruk- Verordnungen / Richtlinien). gungen für Cybersecurity-Zertifizierungen von IuK-Produkten rung und die Möglichkeiten zum Schutz von Daten. Die ECSO
turen zu setzen, um drastische Störungen wesentlicher Dienst- Vor diesem Hintergrund hat die Europäische Kommission eine und -Dienstleistungen zu entwickeln. Darüber hinaus hat die hat mehrere Maßnahmen gesetzt, um die digitalen Kenntnisse
leistungen wie Energie, Verkehr usw., die zunehmend digitalisiert Initiative zur Gründung einer öffentlich-privaten Partnerschaft ECSO ihre strategische Forschungs- und Innovationsagenda bereits in einer sehr frühen Phase der Bildungssysteme zur
werden, zu verhindern. (PPP) für Cybersecurity mit Hauptschwerpunkt auf Forschung festgelegt und wird die Umsetzung strategischer Forschungen verbessern und die notwendigen Programme zur Expertenaus-
Aus dem neuesten Bericht zur Bedrohungslage aus dem Jahr und Innovation in Europa sowie der Unterstützung wichtiger in Europa weiterhin über den Umfang des Rahmenprogramms bildung anzubieten.
2016 der Europäischen Agentur für Netz- und Informationssi- industrieller Maßnahmen zum Schutz des digitalen Binnenmarkts H2020 hinaus sowie nach Ende des Vertrags mit der Europäi-
cherheit (ENISA) und anderen Studien geht hervor, dass sich und zum Ausbau der Wettbewerbsfähigkeit der Industrie gesetzt. schen Kommission weiterhin unterstützen. • Investitionen in die Entwicklung, Herstellung und Anwen-
Hacker vorwiegend auf folgende Angriffsarten konzentrieren: dung zuverlässiger Cybersecurity-Lösungen und Systeme
Was sind die dringlichsten Themen, mit denen sich die ECSO Das Vertrauen in die IT-Sicherheit muss wiederhergestellt für den Einsatz auf strategischen Ebenen der Lieferkette und
• Distributed Denial-of-Service (DDoS)-Attacken durch infizier- in naher Zukunft befassen wird? werden, nachdem sich der Verdacht, dass ausländische Re- die Erlangung eines gewissen Maßes an digitaler Autonomie
te IoT-Geräte, gierungen massive Datenmengen ohne Wissen der Einzelper- hinsichtlich des Schutzes kritischer Infrastrukturen.
• Erpressungstrojaner, auch Ransomware genannt, die Telefone, Die ECSO hat in ihrer Industriepolitik mehrere Problembereiche sonen, Unternehmen oder öffentlichen Behörden sammeln
Laptops, PCs und andere Geräte ins Visier nehmen. Der „Global festgestellt. Die Organisation hat sechs Arbeitsgruppen gegrün- und analysieren, bestätigt hat. Dazu kommt noch, dass in den • Verbesserung der Interoperabilität durch gemeinsame
Application and Network Security“-Bericht 2016-2017 von det (Standardisierung, Zertifizierung und Kennzeichnung; Markt- Medien regelmäßig über groß angelegte Cyberattacken be- Standards und einen Zertifizierungsmechanismus. Durch
Radware hat aufgezeigt, dass 49% der europäischen Unter- entwicklung und Investitionen; branchenspezifische Anwendung richtet wird. Was wird auf EU-Ebene getan, um das Vertrauen die Gründung der öffentlich-privaten Partnerschaft hat die
nehmen bestätigten, dass im Jahr 2016 Cyber-Ransomware von Cybersecurity-Lösungen; Unterstützung von KMUs und wiederherzustellen? Europäische Kommission ihre Bereitschaft zur Auslotung der
den ersten Platz der Angriffsarten belegt hat. Das stellt einen Regionen; Aus- und Weiterbildung; Forschung und Innovation). Möglichkeit, einen Rahmen für die Cybersecurity-Zertifizierung
Anstieg um fast 100% gegenüber den 2015 ermittelten 25% Jede dieser Arbeitsgruppen befasst sich mit einer oder mehreren Das Vertrauen zwischen Anwender und Anbieter einer Dienst- von IuK-Produkten und -Dienstleistungen zu schaffen, erklärt,
dar. grundlegenden Maßnahmen, die alle darauf ausgerichtet sind, leistung sowie zwischen den Bürgern und ihrer Regierung ist es- der durch ein europäisches Kennzeichnungssystem für die
• Attacken auf kritische Infrastrukturen wie Verkehr, Gesundheit, die folgenden strategischen und operativen Ziele zu erreichen: sentiell. Wie bereits erwähnt, wird dieses Vertrauen zunehmend Sicherheit von IuK-Produkten ergänzt werden könnte.
14 15
Das Vertrauen wird derzeit auf eine harte Probe gestellt
STRATEGIE
Maximilian Schrems, Jurist, Autor und Datenschutzaktivist
aus Salzburg, klagte vor dem Europäischen Gerichtshof gegen
Facebook. Das Urteil beendete das transnationale Safe-
Harbor-Abkommen zwischen der EU und den USA. Im Interview
bewertet er die aktuelle internationale Lage.
Wie wichtig ist das Vertrauen der beziehungen. Um sich von der Konkurrenz durch europäische Nutzer verursacht, die
User für die Weiterentwicklung abheben zu können, ist es nötig Daten zunehmend nach Anti-Cloud-Lösungen
innovativer Technologien? offen zu legen und klare Aussagen zu verlangen. In Europa gibt es ab Mai 2018
treffen. Nur so kann meiner Meinung eine neue Datenschutzverordnung. Bei
Wir erleben derzeit viele Menschen, die nach Vertrauen geschaffen werden. Verstößen gegen diese Verordnungen
sich unwohl mit den neuen Technologien Nachvollziehbare Aussagen im Gegensatz drohen Unternehmen saftige Strafen.
fühlen. Diese sind für das Gegenüber nur zu „blumigen Umschreibungen“ sind un- Diese können bei Unternehmen bis zu
schwer greifbar und derartig komplex, bedingt nötig um die komplexe Thematik 20 Millionen Euro oder 4% des globalen
dass der Einzelne sie nur schwer beur- dem Durchschnitts-User näher bringen zu Konzernumsatzes betragen. Im Vergleich
teilen kann. In der digitalen Welt wird das können. zur derzeitigen Verordnung handelt es
Vertrauen meiner Meinung nach derzeit sich hier tatsächlich um ein massiv verän-
auf eine harte Probe gestellt. Die Thematik Kennen Sie Unternehmen, die Sie für dertes Strafausmaß. Denn bisher waren
an sich ist ja sehr komplex und schwer zu ihren „gelebten“ Datenschutz loben die Strafen einfach zu niedrig um die
durchschauen. Vor allem im B2B Bereich würden? hohen Compliance-Kosten, die für eine
beobachte ich bereits, dass Vertrauen ei- Einhaltung der Regelungen nötig gewesen
nen immer höheren Stellenwert bekommt. Der „gelebte“ Datenschutz zählt meiner wären, zu rechtfertigen. Viele Unterneh-
Denn für Kunden und Geschäftspartner Meinung nach noch nicht zum Main- men werden meiner Einschätzung nach
wird es immer wichtiger, dass das Umfeld stream. Es gibt durchaus einige Start-ups, erst zu einem späteren Zeitpunkt aufwa-
sicher und zuverlässig ist. Früher haben die sich mit dieser Thematik auseinander- chen. Es wird jedoch schwierig werden
Unternehmen eher den Ansatz „je billiger, setzen. Großteils wird in diesem Bereich Experten in diesem Bereich zu finden. Die
desto besser“ in Bezug auf diverse IT- jedoch auf Open Source gesetzt. Dies Verantwortlichen in Unternehmen stehen
Lösungen verfolgt. Mittlerweile jedoch stellt aber keinen finanziellen Anreiz dar. unter großem Druck, denn Compliance-
achten sie verstärkt auf die damit einher- Einige Unternehmen versuchen derzeit in technisch ist mit Sicherheit mit längeren
gehenden, vielmals oft nicht beachteten diese Kerbe zu schlagen, es handelt sich Vorlaufzeiten für die Umsetzung zu
Compliance-Kosten. Diese Entwicklung meiner Beobachtung nach aber derzeit rechnen. Schon jetzt beobachte ich einen
„Das Vertrauen wird beobachte ich derzeit vermehrt. nach wie vor um Nischenlösungen. großen Zulauf bei Rechtsanwaltskanzlei-
en, die über Datenschutz-Expertise ver-
Vertrauen schaffen, Vertrauen Wie entwickelt sich Ihrer Meinung fügen. Dies wird sich in den kommenden
genießen – was sollten und können nach der Datenschutz in Europa und Monaten sicherlich noch verstärken. Man
derzeit auf eine harte
Unternehmen tun, um sich Vertrau den USA als Basis für Vertrauen in darf gespannt sein, wie sich in Anbetracht
en zu erarbeiten? Technologie bis 2025? der Vielzahl der Neuerungen und der er-
höhten Strafdrohung die Unternehmen fit
Bild: © 2011 europe-v-facebook.org
Meiner Meinung nach gilt es Transparenz In den USA sehe ich derzeit wenige große für die neue EU-Datenschutz-Verordnung
Probe gestellt“
zu schaffen und proaktiv zu sein. Denn Entwicklungen. Alle Fälle werden aktuell machen werden.
Vertrauen ist auch eine wichtige Grundvo- so gut es geht rechtlich niedergeschla-
raussetzung für erfolgreiche Geschäfts- gen. Marktbewegungen werden großteils
16 17
2017 – Wo stehen wir in Sachen IT-Sicherheit und worauf müssen wir uns konzentrieren?
TECHNOLOGIE
2017
Wo stehen wir in Sachen IT-
Sicherheit und worauf müssen
wir uns konzentrieren?
Ein Interview mit Eric Maiwald, Managing Vice President des Security
& Risk Management Teams innerhalb des Researchbereichs “Techni-
Bild: ©Gartner
cal Professionals” bei Gartner.
Herr Maiwald, wie sieht der Status Quo der IT- Externe Sicherheitsbewertungen und externes Risi- die größten Herausforderungen in Sachen Sicherheit Wozu raten Sie also Organisationen diesbezüg-
Sicherheit in Organisationen heutzutage aus? komanagement erweisen sich als besonders zeitauf- dar. Ramsomware-Attacken und IoT-Hacking zeigen lich?
wendig, und gutes Sicherheitspersonal ist schwer zu jedoch einen größeren Bedarf an Maßnahmen zur
Sicherheit zählt nach wie vor zu den Hauptanliegen finden und zu halten (Branchenschätzungen von bis Erhaltung von Sicherheit und Zuverlässigkeit in den Meiner Meinung nach sind drei Dinge ganz essentiell.
von Unternehmens- und IT-Führungskräften, und Cy- zu 1,5 Mio. Jobangeboten im Cybersecurity-Bereich Bereichen Integrität und Verfügbarkeit auf.
bersecurity genießt auch in Mainstream-Medien im- bis 2019). Erstens: Die Anwendung eines zunehmend evidenz-
mer mehr Aufmerksamkeit. Datenpannen, einschließ- Zweitens: Hartnäckige Angreifer umgehen präventive basierten Ansatzes für Cybersecurity-Technologien
lich Diebstahl von persönlichen Informationen, In Anbetracht der hohen Aktualität von Sicherheits- Kontrollen früher oder später. Daher ist es extrem und -Praktiken. Sofern nicht durch Compliance-Vor-
geistigem Eigentum sowie E-Mails und Unterlagen lücken und der allgemeinen öffentlichen Meinung zu wichtig, solche Angriffe zu erkennen und angemes- gaben erforderlich, sollten „Best Practice“-Kontrollen
von Regierungen und Unternehmen, sind weiterhin Privatsphäre und Sicherheit sind eine zunehmende sen darauf reagieren zu können. Neue Ansätze wie mit fragwürdiger Effizienz oder zu hohen Kosten im
das größte Problem. Doch auch andere Vorfälle und Regulierung und eine bessere Übersicht fast unver- maschinelles Lernen und Deception-Technologien Verhältnis zur Menge an Risikoverminderung, die sie
Themen wie Ransomware, DoS-Attacken und der meidbar. Die Details und der Umfang dieser Regulie- stellen vielversprechende Mechanismen zur Entlas- bewirken, vermieden werden.
allgemeine Missbrauch von Computersystemen (zum rungen sind jedoch schwer einzuschätzen. Zudem tung des Menschen beim Ausführen dieser Tätigkei-
Beispiel Klickbetrug) wirken sich auf Organisationen haben leider viele Organisationen Schwierigkeiten ten dar. Zweitens: Der Ausbau der Grundsicherheit, wie etwa
unterschiedlichster Arten und Größen aus. Auch das mit der Interpretation, was mit einem „risikobasierten Malware-Kontrollen und Schwachstellenmanage-
Aufzeigen von Schwachstellen im IoT-Bereich hat Ansatz“ im Vergleich zur Verwendung strengerer Drittens: Die Effizienz „traditioneller“ Methoden bei ment sowie die Nutzung der auf Mobilgeräten, in
mögliche Auswirkungen demonstriert und zeigt, dass Compliance-Checklisten gemeint ist. der Umsetzung mancher Sicherheitskontrollen ist der Cloud und in anderen Technologien integrierten
sich die Art der digitalen Unternehmensrisiken wan- im modernen IT-Umfeld gesunken. Grundlegende Sicherheitssysteme in Kombination mit Sicherheits-
delt. Sicherheit ist nunmehr ein größeres Cybersecu- Wie schon in den Jahren davor wird auch 2017 die Konzepte wie die Einschränkung von Administrator- Add-ons, um eine bessere Sichtbarkeit und Kontrolle
rity-Anliegen. Abstimmung dieser Forderungen nach besseren rechten, die Härtung der Konfiguration, Malware- zu gewährleisten.
risikobasierten Ansätzen mit der Möglichkeit, Sicher- Kontrollen und Schwachstellenmanagement bleiben
Gleichzeitig wird von Sicherheits- und Risikoma- heits- und Risikopraktiken einzusetzen, wieder eine jedoch essentiell. Und drittens: Die Investition in Methoden und Tech-
nagemetteams immer noch erwartet, mit weniger Herausforderung darstellen. nologien zur Erkennung und Reaktion mit Haupt-
mehr zu schaffen. Sicherheitsteams sollen bessere Und viertens: Die Sicherheit auf Infrastrukturebene schwerpunkt auf der Überwachung von System- und
Wegbereiter für Geschäfte sein, werden aber häufig Mit welchen Bereichen der IT-Sicherheit sollten verändert sich in mobilen und Cloud-Umgebungen Userverhalten. Man sollte Lösungsansätze im
nicht von Beginn eines Projekts an miteinbezogen. Si- sich IT-Führungskräfte vor allem beschäftigen? und wird oft mit zu wenig Granularität implementiert, Zusammenhang mit maschinellem Lernen nutzen, um
cherheitsteams, vor allem jene mit geringen Ressour- um modernen Angriffen begegnen zu können. Hier ist den manuellen Aufwand zu reduzieren, und Decepti-
cen, stehen bei vielen Projekten unter Zeitdruck und Meiner Meinung nach gibt es da vier Bereiche. es notwendig, die Sicherheit von Host, Anwendung on-Technologien zur Verbesserung der Erkennungs-
haken daher lieber Compliance- und Prüfungscheck- und Daten zu erhöhen, vor allem bei Cloud-, mobilen genauigkeit ernsthaft in Erwägung ziehen.
listen ab als Zeit in umfassende Risikoanalysen und Erstens: Privatsphäre und die Vertraulichkeit von Da- und IoT-Anwendungen.
die Auswahl von Kontrollmechanismen zu investieren. ten stellen für die meisten Organisationen weiterhin
18 19Einblicke in die Erforschung von Sicherheitstechnologien
TECHNOLOGIE
IT-Sicherheitstechnologien haben ihren Ursprung in der Er-
forschung von statistischen Modellen. Mit ihnen werden
Anomalien in riesigen Datenmengen erkannt. Ein Blick in die
Einblicke in die Erforschung Forschungsabteilung von RadarServices, Europas führendem
Anbieter für kontinuierliches IT Security Monitoring, zeigt, wie
von Sicherheitstechnologien: Modelle geprüft werden bevor sie zum Praxiseinsatz kommen.
Neue Modelle
werden wie
Impfstoffe
getestet ©Arnold Mike
1. Die Forschungsrichtung festlegen in den IT-Landschaften unserer Kunden im Auge ha-
Das schnelle Auffinden von Anomalien in einer IT- ben. Sie möchten aus großen Datenmengen ein ganz
Landschaft ist die Voraussetzung für das zeitgerechte bestimmtes Muster herauslesen und bitten uns dafür
Erkennen von aktuellen Cyberangriffen. Bei großen ein Modell zu bauen“ so Andreas Esders-Kopecky
Unternehmen ist das jedoch eine Big Data Problem- aus der RadarServices Forschung. „Ähnliche Impulse
stellung. Um die Nadel im Heuhaufen zu finden, ist es können auch von den IT-Sicherheitsverantwortlichen
in erster Linie wichtig, eine Vorstellung davon zu ha- in unseren Kundenunternehmen kommen. Die Frage-
ben, wie diese Nadel aussieht. „Diese Information be- stellungen werden von ihnen aus ganz verschiedenen
kommen wir von unserem Security Intelligence Team. Branchen an uns herangetragen. Wenn wir wissen,
Sie sind die Experten, die jeden Tag alle Geschehnisse wonach wir in großen Datenmengen suchen sollen,
20 21TECHNOLOGIE Einblicke in die Erforschung von Sicherheitstechnologien
prüfen wir sämtliche in Frage kommende Modelle bewerten zu können, dass Anomalien trotz der aus-
aus unserer Erfahrung oder auch aus ganz anderen führlichen Tests nicht erkannt werden, wird eine Risi-
Mustererkennung in Bereichen wie der Ökonometrie oder der Bioinfor- koanalyse in einem separaten Schritt durchgeführt.
großen Datenmengen matik. Überall gibt es unterschiedlichen Bedarf und Beurteilt wird dabei ein weiteres Mal, ob das einge-
– wie Visualisierung hilft,
so gestalten wir unterschiedliche Lösungswege“ so setzte Modell genügend Anomalien erkennt und auf
statistische Modelle
nachvollziehen zu Esders-Kopecky weiter. „Impulse von außen werden der anderen Seite nicht zu viel „unbrauchbare Daten“
können im Forschungsteam aufgegriffen und weiterentwi- (False Positives und False Negatives) generiert. „Die
ckelt. Es werden zusätzliche Muster ausgewertet Risikobewertung läuft in jedem Statistik-Szenario
und alle zu einer übergeordneten Strategie für die ähnlich ab: So wird zum Beispiel bei der Einführung
Verbesserung der gesamten IT-Risikoerkennung und von neuen Impfstoffen ebenfalls abgewogen, ob der
-analyse aggregiert“ so Christian Polster, verantwort- Impfstoff gut genug funktioniert um die entstehenden
lich für den Bereich Forschung im Management von Risiken abzufedern. So gehen wir auch in unserer
RadarServices. Risikobewertung für den Einsatz eines Modells vor“
so Polster.
2. Der Validierungsprozess
Die Arbeit des Research-Teams ist darauf ausgelegt 4. Visualisierung der Modellentscheidungen
ein valides Modell zu finden, um in vielen unter- Modelle und deren Grenzen bis ins Detail verstehen,
schiedlichen Fallbeispielen zu den richtigen Ergebnis- das ist eine wichtige Voraussetzung, damit selbst die
sen zu kommen. „Anfangs erhalten wir zum Beispiel Statistik-Experten Vertrauen in die richtige Funkti-
einen Ausschnitt an Daten von unseren Kollegen aus onsweise haben. Eine zentrale Methode dafür ist die
dem Security Intelligence Team. Wir wissen, dass in Visualisierung der Modellentscheidungen. Während
diesen Daten interessante Muster sind. Sie wurden das bei nicht allzu komplexen Modellen möglich
aber von bestehenden Systemen nicht automatisiert ist, zählen bei hochkomplexen Modellen umfas-
erkannt. Deshalb überlegen wir ein Modell und eva- sende Testreihen. Mit ihnen wird der Datenzufluss
luieren zuerst einmal, was an diesen Daten unge- dargestellt und veranschaulicht welche Anomalien
wöhnlich ist. Im darauffolgenden Validierungsprozess ein Modell am Ende des Tages in einer Vielzahl von
suchen wir den Punkt, an dem die Trennschärfe Szenarien tatsächlich aufzeigt. „Die ausführlichen
zwischen Anomalie und Nicht-Anomalie verschwin- Valdierungs-, Test-, Risikoanalyse- und Visualisie-
det“ so Esders-Kopecky. Es wird analysiert, ob sich rungsprozesse sind notwendig um unsere Security
die Fehlerrate (False Positives und False Negatives) Intelligence Experten, unser Management und uns
beim gewählten Modell in einem akzeptablen Rah- selbst nachhaltig davon zu überzeugen, dass wir das
men hält. Wenn dieser umfangreiche Analyse- und eingesetzte Modell auf Herz und Nieren geprüft ha-
Evaluierungsprozess erfolgreich abgeschlossen ben und wir darauf vertrauen können, dass es Alarm
wurde, ist das neue Modell nachvollziehbar und somit schlägt, wenn es soll. Nur dann wird es in der Praxis
vertrauenswürdig. Für eine hohe Qualität dauert das eingesetzt und unsere Arbeit ist erfolgreich abge-
oftmals mehrere Monate und ist auch nur durch ein schlossen“ so Esders-Kopecky abschließend.
gesamtes Forschungsteam mit vielen verschiedenen
Erfahrungsschätzen möglich.
3. Die Risikobewertung vor dem Praxiseinsatz
Das Modell ist ausgewählt und mit zahlreichen Daten-
©Arnold Mike
sets auf seine Passfähigkeit getestet. Um das Risiko
22 23Vertrauensbeweise: die Rolle von ISO-Standards für die IT-Sicherheit
ORGANISATION & COMPLIANCE
Die Rolle von ISO-Standards
Bilder: ©Austrian Standards
Links: Dr. Karl Grün,
Austrian Standards
Rechts: DDr. Elisabeth
für die IT-Sicherheit
Stampfl-Blaha, Austrian
Standards und Interna-
tional Organization for
Standardization (ISO)
Zertifizierungen sind ein wichtiges Standards schaffen Vertrauen. Was sind wich wendung einbringen und Verbesserungen vorschla- Standards entsprechendes Sicherheitsmanagement-
tige Komponenten im Entstehungsprozess von gen kann. Was noch dazukommt: Eine anerkannte system implementiert wurde und ständig verbessert
Ausdrucksmittel, um Kunden von der eigenen Standards, die deren breite Akzeptanz und das Organisation mit jahrzehntelanger Erfahrung und wird. Das erleichtert die Zusammenarbeit mit Kunden
Qualität der Produkte und Prozesse zu Vertrauen, das sie erzeugen, sichern? einem weltweiten Netzwerk wie Austrian Standards und Geschäftspartnern und schafft gegenseitiges
begleitet und managt diesen Prozess und sorgt für Vertrauen.
überzeugen. Die ISO/IEC 27000 Serie der Stampfl-Blaha: Entscheidend für das Vertrauen, das faire Spielregeln. Das ist ganz wesentlich. Denn Stan-
International Organization for Standardization Standards – und zwar Standards in jedem Fachbe- dards werden auch im Bereich von Forschung und Welche Empfehlungen geben Sie Unternehmen
reich – entgegengebracht wird, sind einerseits die Entwicklung immer wichtiger, weil sie Innovationen für einen effektiven Aufbau eines ISMS (Informa
hat eine besonders hohe Bedeutung im Bereich hohe und anerkannte Qualität des Inhalts und ande- den Zugang zum Markt erleichtern und verhindern, tion Security Management System)? Was ist für
IT-Sicherheit. DDr. Elisabeth Stampfl-Blaha, rerseits die Art und Weise, wie diese Standards zu- dass inkompatible Insellösungen entstehen. das tägliche Arbeiten damit entscheidend?
stande kommen. Wir haben es hier mit einem offenen
Vice President Technical Management der und völlig transparenten Prozess zu tun, was absolute Wie wichtig wird es für Unternehmen aller Bran Grün: Zunächst heißt es in der obersten Führung
International Organization for Standardization Voraussetzung für die Akzeptanz von Standards ist. chen sein, in den nächsten Jahren Zertifizierun das notwendige Bewusstsein zu entwickeln, dass
Offenheit und Transparenz in folgender Hinsicht: Jede gen für die IT-Sicherheit zu haben? IT-Sicherheit höchste Priorität hat – und zwar am
(ISO) zwischen 2012 bis 2016 und Managing Person kann ein Projekt zur Entwicklung eines Stan- besten, bevor etwas passiert. Dann muss man sich
Director von Austrian Standards, und Dr. Karl dards beantragen, und es können alle mitarbeiten, Grün: IT-Sicherheit hat heute einen extrem hohen informieren, welche rechtlichen und vertraglichen
die das Thema interessiert, die davon betroffen sind Stellenwert, und sie wird angesichts des stark stei- Anforderungen es an den Datenschutz und an IT-
Grün, Director Standards Development bei und die sich dabei „auskennen“. Wichtig ist, dass das genden elektronischen Datenaustauschs auch über Sicherheit gibt und was aktueller Standard ist, sich
Austrian Standards, gewähren interessante Komitee, in dem das Projekt behandelt wird, ausge- Unternehmensgrenzen hinaus wird diese an Bedeu- also eingehend mit der Serie ISO/IEC 27000 ausein-
wogen besetzt ist, also keine Interessengruppe eine tung zunehmen. Mit der wachsenden, nahezu voll- andersetzen. Sie sind universell für Unternehmen und
Einblick in die Entstehung und Bedeutung von andere dominiert. Denn da geht es nicht um Über- ständigen Digitalisierung aller Lebensbereiche und Organisationen jeder Art und Größe anwendbar. Nach
Standards. stimmen, sondern um Überzeugen, also um Konsens. der gesamten Arbeitswelt ist IT-Sicherheit einfach diesen Leitlinien heißt es dann, das ISMS aufzubauen
Wesentlich sind noch zwei Dinge: Zum einen, dass unabdingbar. Und damit wird es für Unternehmen und sobald alles passt, zertifizieren zu lassen. Klar ist
man sich auch dann einbringen kann, wenn man nicht essentiell, nachweisen zu können, dass sie alles tun natürlich, dass das kein abgeschlossener Prozess ist,
im Komitee ist, etwa indem man zu Projektanträgen damit ihre IT-Anwendungen und ihre IT-Infrastruktur sondern im wahrsten Sinn des Wortes eine tägliche
und Entwürfen Stellungnahmen abgibt – etwas, das sicher sind. Eine Zertifizierung ist dabei von zentraler Herausforderung. Denn auch die Bedrohungen än-
ebenfalls allen offensteht. Zum anderen, dass man Bedeutung, also die Bestätigung durch eine unab- dern sich und wachsen.
jederzeit seine Erfahrungen aus der praktischen An- hängige Stelle, dass ein den weltweit anerkannten
24 25DON’T PANIC! PLAN! – Die EU-Datenschutz-Grundverordnung wirft ihre Schatten voraus
ORGANISATION & COMPLIANCE
DON’T PANIC!
Datenschutzanforderungen an Unternehmen werden ab Mai
2018 nochmals massiv erhöht. Die EU-Datenschutz-Grundver-
ordnung verlangt von Organisationen, den Mensch hinter einem
Datensatz mehr in den Vordergrund zu rücken. Seine Daten
müssen geschützt werden und ihm ist dafür Rechenschaft zu
tragen. Gelingt das nicht, drohen Organisationen hohe Strafen.
Die eu-dsgvo schützt einen besonders weiten Kreis
von Personen. Lediglich anonyme Daten, das sind
Daten, deren personenbezogene Herkunft tatsäch-
lich nicht mehr herstellbar ist, sollen nicht unter die
Regelung fallen. Gleichzeitig richtet sie sich an einen 2. Secure your IT.
weiten Kreis von Organisationen: Alle, die Daten von
EU-Bürgern in ihren Systemen verarbeiten, fallen
Der zentrale Artikel 32 EU-DSGVO besagt: „Unter
unter die Verordnung. Sie müssen nicht in der EU
Berücksichtigung des Stands der Technik, der Im-
angesiedelt sein oder Server in der EU nutzen.
plementierungskosten und der Art des Umfangs, der
Es ist höchste Zeit für Unternehmen, sich diesen
Die EU-Datenschutz-
Umstände und der Zwecke der Verarbeitung sowie
Anforderungen zu stellen. 5 zentrale Aufgaben gilt es
der unterschiedlichen Eintrittswahrscheinlichkeit und
zu meistern.
Schwere des Risikos für die Rechte und Freiheiten
natürlicher Personen treffen der Verantwortliche und
Grundverordnung
der Auftragsverarbeiter geeignete technische und
organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten.“
1. Prioritize your Damit wird klar, dass vom Gesetzgeber keine
wirft ihre Schatten
bestimmten Sicherheitsmaßnahmen definiert werden,
tasks. sondern geeignete technisch-organisatorische Maß-
nahmen risikoabhängig zu ergreifen sind.
Stellen Sie also potentielle Risiken und ihre aktu-
Entwickeln Sie ein grundlegendes Konzept für die
voraus
ellen IT-Sicherheitsmaßnahmen einander gegenüber
Erfüllung der Anforderungen aufbauend
und analysieren Sie mögliche Lücken. Entwickeln Sie
auf dem Status Quo in Ihrem Unternehmen. Pri-
die Fähigkeit, Cyberangriffe schnell aufzudecken und
orisieren Sie die To Dos. Ziehen Sie Rechts- und
darauf zu reagieren sodass Sie potentielle Schäden
IT-Sicherheitsexperten zu Ihren Planungen hinzu, um
minimieren. Evaluieren Sie dafür Werkzeuge wie ein
die einzelnen Anforderungen der EU-DSGVO richtig
Security Information & Event Management (SIEM)
zu interpretieren.
für ein proaktives Überwachen Ihrer IT-Sicherheit.
Es gilt einerseits Ihre Organisation vor Cyberatta-
SIEM ermöglicht die proaktive Überwachung des
cken zu schützen und andererseits, den Menschen,
Netzwerks und die Identifikation von Sicherheitsbe-
deren Daten Sie verarbeiten, Rechte einzuräumen
drohungen in Echtzeit. Es sammelt Logs und führt
und prozessual zu verankern. Ein dritter, strategisch
blitzschnelle Suchen aus. SIEM bietet einen Überblick
wichtiger Schritt, wird die Etablierung von Sicher-
der Aktivitäten im Unternehmensnetzwerk und doku-
heitsmaßnahmen im Produkt- und Prozessdesign sein.
mentiert alle Transaktionen sorgfältig. Im Falle eines
Richten Sie alle Maßnahmen darauf aus, Vertrau-
Datenlecks stellt SIEM Logs sicher und ermöglicht
en in sich und Ihre IT bei Kunden, Mitarbeitern und
einen Überblick darüber, worauf zugegriffen wurde.
Stakeholdern zu stärken.
26 27TECHNOLOGIE
RadarServices im Überblick
4. Map your data.
Personen müssen zukünftig explizit und umfang-
reich über geplante Datenberarbeitungen informiert
News, Events und Infos
werden. Zusätzlich bestehen in vielen Bereichen
Zustimmungspflichten. Eine datenschutzrechtliche
aus dem Hause RadarServices
Einwilligung ist stets zweckgebunden, d.h. sie muss
für die konkreten Verarbeitungszwecke gegeben
werden.
Darüber hinaus hat jede Person das Recht, in kla-
3. Focus on rer und leicht verständlicher Form, Auskunft über die
detection.
Verarbeitung ihrer Daten zu erhalten oder auch deren
Löschung zu verlangen. Auch eine Überführung von
Über uns RadarServices ist Europas führendes Technologieunternehmen im Bereich Detection &
Response. Im Mittelpunkt steht die zeitnahe Erkennung von Risiken für die Sicherheit
Daten in die Systeme eines anderen Dienstleisters der IT von Unternehmen und Behörden als Solution oder als Managed Service. Basis
muss auf Wunsch einer Person problemlos und in dafür ist eine hochmoderne, eigenentwickelte Technologieplattform mit der Kunden
Die EU-DSGVO sieht bei einem Sicherheitsvorfall
einem allgemein gängigen Format möglich sein. ihr Security Operations Center (SOC) aufbauen können oder die in Kombination mit
Meldepflichten an Aufsichtsbehörden innerhalb von
Sie benötigen dafür einen Komplettüberblick über Security-Analyseexperten, bewährten Prozessen und Best Practices als SOC as a Service
maximal 72 Stunden nach Bekanntwerden vor. Auch
alle verwendeten IT-Assets und über die personen- zur Verfügung steht. Das Ergebnis: Eine besonders effektive und effiziente Verbesserung
Betroffene müssen informiert werden, wenn der Vor-
bezogenen Daten, die darauf verfügbar sind. Richten von IT-Sicherheit und -Risikomanagement, kontinuierliches IT Security Monitoring und
fall voraussichtlich ein hohes Risiko für ihre persön-
Sie darauf aufbauend Prozesse ein, die Personen ihre ein auf Knopfdruck verfügbarer Überblick über die sicherheitsrelevanten Informationen
lichen Rechte und Freiheiten zur Folge hat. Kommt
umfangreichen Rechte, wie z.B. auf Einsicht, Daten- in der gesamten IT-Landschaft einer Organisation.
eine Organisation ihren Pflichten nicht nach, drohen
portabilität und Löschung umzusetzen, ermöglichen. RadarServices hat seinen Hauptsitz in Wien, Österreich. Zu den Kunden gehören mit-
hohe Strafen (bis zu 20 Millionen Euro bzw. 4 % des
telständische und große Unternehmen mit bis zu 350.000 Mitarbeitern sowie Behörden.
Konzernumsatzes). Erhebliche Reputationsschäden
Mit unseren weltweiten SOCs wird eine Serviceerbringung in Ihrer Nähe gewährleistet.
gehen damit einher.
Diesen Szenarien muss einerseits vorgebeugt und
andererseits mit Dokumentationsmaßnahmen sowie
funktionierenden Notfallprozessen (Best Practices) 5. PRivacy by design
gefolgt werden. Ein Security Information & Event
Management (SIEM) erfüllt hierfür mehrere Aufga-
& default. RadarServices wird mit „Deloitte EMEA Technology
ben. Darüber hinaus sollte der Einsatz von Werkzeu-
gen, wie einem Network-based Intrusion Detection Die EU-DSGVO verlangt von Unternehmen, Daten- Fast 500 Award“ 2016 und „Cybersecurity Excellence
System, einem kontinuierlichen Schwachstellenma- schutz proaktiv anzugehen. So verlangt sie auch,
nagement und Advanced Threat Detection for Email & dass Technik, die bei Datenverarbeitungsprozessen Award” 2017 ausgezeichnet
Web, geprüft werden. Sinn und Zweck dieser Risiko- zum Einsatz kommt, so „designed“ werden soll, dass
managementmodule ist der Aufbau eines ganzheit- sie schon von Haus aus datenschutzfreundlich ist
Mit 1.270% Umsatzwachstum im Zeitraum 2012 bis 2015 gehört RadarServices zu den Top 100 der am
lichen Schutzschirms für die IT einer Organisation, und beispielsweise bestimmte Datenverarbeitungen
schnellsten wachsenden Technologieunternehmen in Europa, dem Nahen Osten und Afrika (EMEA) in 2016.
inklusive den Teilen, auf denen personenbezogene gar nicht erlaubt oder zumindest sicher ausgestaltet.
Damit erreichte das Unternehmen Platz 69 unter den „Deloitte EMEA Technology Fast 500“ in 2016. Anfang
Daten verarbeitet werden. Privacy by Default heißt, dass automatisch nur solche
2017 folgte die nächste Auszeichnung: RadarServices wurde Finalist bei den Cybersecurity Excellence Awards.
Daten ermittelt werden die – z.B. wenn ein Kunde ein
Die Jury, welche aus renommierten Branchenexperten bestand, bewertete die Kandidaten unter anderem im
neues Produkt oder eine Dienstleistung kauft – für
Hinblick auf ihre Zukunftsfähigkeit, das Marktpotential sowie den Track Record und betonte bei der Bewertung
den Vertragsabschluss und damit für die Verarbei-
von RadarServices insbesondere die herausragende Innovationskraft im Hinblick auf die Bekämpfung von IT-
tung auch tatsächlich erforderlich sind.
Sicherheitsrisiken.
Daneben bedeutet Privacy by Design, dass neue
Dienste und Geschäftsprozesse, die Einhaltung der
Vorgaben durch die EU-DSGVO sicherstellen müssen.
IT-Abteilungen müssen Datenschutz und Privatsphä-
re also in das gesamte System bzw. den Prozess-
Lebenszyklus integrieren und das im Anlassfall auch
fundiert nachweisen können.
Zukünftig sollten Sie also Ihr Produkt- oder Pro-
zessdesign auch anhand von Datenschutzüberlegun-
gen ausrichten. Evaluieren Sie die Möglichkeiten und
Bild: iStock.com/shulz
Notwendigkeiten für solche Veränderungen rechtzei-
tig und bereichsübergreifend.
28 29Sie können auch lesen
