Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
HZ208307 · ISSN 1868-5757 · www.datakontext.com Februar 1/2021
Künstliche Intelligenz:
Fair oder gefährlich?
Warum Ethik in
der KI zum zentralen
Thema wird
Schwerpunkt Datenschutz: Cloud-Forensik:
Cybersecurity: Folgenabschätzung risiko Blick in die großen „Verstecke“
Trends, E-Mail, behafteter Tools am Beispiel von Cyberkriminellen
Ransomware, Banking von Microsoft 365
EDITORIAL
WIRD DER MENSCH ZUR
MARIONETTE DER
KÜNSTLICHEN INTELLIGENZ?
Mit dem wachsenden Einfluss der Künstlichen Intelligenz (KI) auf immer mehr Lebensbereiche fragen
sich viele Menschen, wo das hinführen soll. Zweifellos bringt KI – oder ihre derzeit oft noch vorherr-
schende Vorstufe Machine Learning (ML) – in vielen Bereichen große Erleichterungen, höhere Effizienz
oder schlicht Komfort. Nahezu alle smarten Gadgets, Smartphones, Geräte für das smarte Heim, smarte
Gebäude und Städte, intelligentes Verkehrsmanagement etc. haben bereits mehr oder weniger weit
entwickelte Vorstufen der KI eingebaut. Themen wie intelligente Fahrassistenten und autonomes Fah-
ren wären ohne KI nicht denkbar. In der Medizin leistet KI bereits oft wertvolle Unterstützung. Und in
der IT wäre eine wirksame Verteidigung gegen Cyberangriffe heute ohne KI nicht mehr möglich – was
aber nicht zuletzt daran liegt, dass auch die Angreifer es verstehen, KI sehr versiert für ihre Zwecke ein-
zusetzen.
Stefan Mutschler
Zweifellos haben auch soziale Netzwerke unser Leben reicher, aufregender, effektiver und bequemer
gemacht. Algorithmen in sozialen Netzwerken – allen voran in Facebook – sind darauf ausgelegt, den
Nutzer bei der Stange zu halten. Der einfache Trick: KI analysiert die Interessen der Nutzer anhand der
angeklickten Beiträge und findet Ähnliches zur weiteren Lektüre beziehungsweise Betrachtung – gern
noch etwas „schmackiger“. Klingt soweit harmlos, führt den freudig oder empört erregten Nutzer aber
immer stärker in eine Welt ohne Tellerrand. Im Klartext: In gewisser Weise agieren solche Netzwerke
wie Radikalisierungsmaschinen in Klick-Geschwindigkeit. Das mag zwar keine Absicht, sondern „nur“
eine Nebenerscheinung der Gier nach mehr Klicks und längerer Verweildauer sein – der problematische
Nebeneffekt wird aber sozusagen billigend in Kauf genommen.
Das in den meisten sozialen Medien streng umgesetzte Recht auf Meinungsfreiheit wäre ich bereit
hoch zu loben und hart zu verteidigen, gäbe es da nicht noch diesen anderen Megatrend im Internet:
industriell organisierte Desinformation. Riesige und technisch hervorragend ausgestattete „Medien-
häuser“ produzieren und verbreiten einen Mix aus verdrehten, bewusst falsch pointierten, hoffnungs-
los übertrieben und nicht zuletzt schlicht frei erfundenen „News“ – manchmal perfiderweise noch
gewürzt mit einer Prise echter Fakten. Dank KI-Unterstützung kommt alles sehr real und glaubwür-
dig daher. Dahinter stecken in totalitären Systemen die Regierungen, in demokratischen Systemen
meist potente Unternehmen mit besonders rechts, links oder esoterisch engagierten Führern. Ziele
sind meist die Diskreditierung von Personen oder Gruppen, das Säen von Misstrauen gegenüber den
„Mainstream“-Medien, Organisationen und Regierungen, sowie insgesamt die Destabilisierung der Ge-
sellschaftsstrukturen. Eine zerrissene Gesellschaft ist eben leichter in die jeweils gewünschte Richtung
zu manipulieren als eine gefestigte. Da die sozialen Medien als wichtiger Verbreitungskanal eben auch
dieser „News“ dienen, wirkt die Meinungsfreiheit hier als Katalysator für extreme Haltungen.
Mit diesen Ausführungen wollte ich Sie für ein Thema sensibilisieren, das wir in dieser Ausgabe in drei
Beiträgen aus unterschiedlichen Blickwinkeln aufbereitet haben: „Ethische KI“. „Der Einfluss Künstlicher
Intelligenz auf menschliche Selbstbestimmung“ berichtet über ein Impulspapier des Forum Privatheit
des Fraunhofer ISI (ab Seite 10). „Wissenschaft als Helfer für angewandte Ethik in der KI-unterstützten
IT“ diskutiert die Rolle der KI bei der strategischen Abwehr von Cyberangriffen und den Zusammen- facebook.com/itsicherheit
hang mit ethischen Richtlinien (ab Seite 53). „Auf dem Weg zur Fremdbestimmung“ schließlich unter-
sucht die Auswirkungen der Tatsache, dass KI mit jeder angenommenen Hilfestellung enger an uns
herantritt und eine wichtigere Rolle in unser aller Leben einnimmt (ab Seite 57). twitter.com/it_sicherheit24
Viel Spaß beim Lesen!
Ihr Stefan Mutschler www.itsicherheit-online.com/
newsletter
Chefredakteur
IT-SICHERHEIT_1/2021 3
KÜNSTLICHE INTELLIGENZ: FAIR ODER GEFÄHRLICH?
CYBERSICHERHEIT
E-MAIL, RANSOMWARE,
BANKING, TRENDS
26
EDITORIAL
18 IT-Sicherheit für Unternehmen
3 Wird der Mensch zur Marionette der DEN IMPFSTOFF VOR HACKERN SCHÜTZEN
Künstlichen Intelligenz?
20 Review Monitoring für Business Security
NEWS in Unternehmen
RUF UND BEWERTUNGEN STÄNDIG IM BLICK
6 Unternehmens-News
22 Identity- und Access-Management (IAM) als
8 Produkt-News Schlüssel für sicheres Homeoffice
VORGEHENSWEISE UND TIPPS FÜR
AUS DER SZENE FERNWERKER
10 Der Einfluss Künstlicher Intelligenz auf CYBERSICHERHEIT
menschliche Selbstbestimmung
HANDLUNGSEMPFEHLUNGEN 26 So wird das Top-Angriffsziel E-Mail
FÜR EINE VERTRAUENSWÜRDIGE KI zum Hacker-Flop
VORSORGE IST BESSER ALS NACHSORGE
12 eco übernimmt Projektmanagement
der GAIA-X Federation Services 30 Warum Ransomware noch immer
OFFENHEIT DURCH OPEN-SOURCE-ANSATZ so erfolgreich ist
UMFASSENDE SICHERHEITSMODELLE
14 Bringt die neue Arbeitskultur nach COVID-19 ERFORDERLICH
mehr Frauen in die IT?
WANDEL IN DER IT-(SICHERHEIT-)SZENE 34 Finanzinstitute bleiben beliebtes Ziel
von Cyberkriminellen
SECURITY MANAGEMENT BANKING-SECURITY-TRENDS 2021
16 Vereinfachte Kontrolle des Berechtigungs 38 Diese vier Bedrohungen sollte jetzt jede
konzepts durch ein Rollenmodell Organisation auf dem Schirm haben
GEORDNETE RECHTESTRUKTUREN TENDENZEN FÜR DIE CYBERSICHERHEIT 2021
4 IT-SICHERHEIT_1/2021
WARUM ETHIK IN DER KI ZUM ZENTRALEN THEMA WIRD
14 BRINGT DIE NEUE
ARBEITSKULTUR NACH COVID-19
MEHR FRAUEN IN DIE IT?
30
WARUM RANSOMWARE
NOCH IMMER SO
ERFOLGREICH IST
ENDPOINT | MOBILE SECURITY
60 DS-GVO-KONFORME
NUTZUNG RISIKOBEHAFTETER TOOLS
44 Was Nutzer tun und tun sollten, um ihr
Smartphone sicherer zu machen
DEN „STÄNDIGEN BEGLEITER“ RICHTIG
BEHANDELN 57 Gastkommentar von Jona Boeddinghaus:
Warum wir über Ethische KI reden müssen
CLOUD SECURITY | WEB APP SECURITY AUF DEM WEG ZUR FREMDBESTIMMUNG?
46 Datensicherung, Disaster Recovery und Mobilität IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT
in modernen Anwendungen
CONTAINER ERFOLGREICH ABSICHERN 60 DS-GVO-konforme Nutzung
risikobehafteter Tools
AUS FORSCHUNG UND TECHNIK DIE DATENSCHUTZ-FOLGENABSCHÄTZUNG
AM BEISPIEL VON MICROSOFT 365
48 Herausforderungen für die digitale Forensik
in Cloud-Umgebungen SERVICES
BLICK IN DIE GROSSEN „VERSTECKE“ VON
CYBERKRIMINELLEN 43 Webportal
53 Wissenschaft als Helfer für angewandte Ethik 66 VORSCHAU: Ausblick auf Ausgabe 2 | 2021
in der KI-unterstützten IT
IM SINNE DER GESELLSCHAFT 66 Impressum
IT-SICHERHEIT_1/2021 5
NEWS | UNTERNEHMEN
FRIEDHELM LOH GROUP BÜNDELT MCAFEE UND INGRAM MICRO
DREI START-UPS ZU GERMAN EDGE KÜNDIGEN ERWEITERTE PARTNER-
CLOUD SCHAFT AN
Drei Tochterunternehmen der Friedhelm Loh Group sind jetzt eins: Ger- McAfee und Ingram Micro Inc. kündigen ihre erweiterte weltweite Zu-
man Edge Cloud, IoTOS und iNNOVO Cloud. Die Kompetenzen der im sammenarbeit zur Stärkung des Channel Programms an. Die neue Ver-
IIoT-, Cloud- und Edge-Computing-Markt etablierten Unternehmen wer- einbarung ermöglicht den Zugang zu McAfee-Produkten und -Lösungen
den jetzt in der German Edge Cloud (GEC) vereint. Das Portfolio hat zwei über das globale Vertriebsnetz von Ingram Micro, einschließlich seiner
Schwerpunkte: Kunden in der produzierenden Industrie gewinnen mit regionalen Cloud Marketplaces und Centers of Excellence.
den Edge-Cloud-Lösungen des Unternehmens erhebliche Effizienzvor-
teile, etwa durch Data Analytics – bei voller Datensouveränität. Zweitens McAfee hat sein SaaS-Portfolio Ende 2020 auf dem US-amerikanischen
ermöglicht GEC als Cloud Automation Partner die Migration und Auto- Ingram Micro Cloud Marketplace eingeführt und plant, seine Präsenz im
mation von Kundenanwendungen in Multi-Cloud-Umgebungen und den Laufe des Jahres 2021 auf den E-Commerce-Plattformen von Ingram Micro
sicheren Gaia-X-konformen und hochverfügbaren Betrieb. zu erweitern. Damit wollen die Unternehmen die Chancen und positiven
Auswirkungen der Cloud-Transformation auf die Channel-Landschaft unter-
Gegründet innerhalb der Friedhelm Loh Group bietet das Unternehmen stützen. Gemeinsam arbeiten sie daran, Channel-Partnern dabei zu helfen,
das erste schlüsselfertige Edge-Cloud-Rechenzentrum für die intelligen- diese Dynamik aufzugreifen, ihr Angebot zu erweitern und dabei die Cloud-
te Analyse von Produktionsdaten und die Vernetzung von Fabriken welt- Einführung zu beschleunigen. Darüber hinaus erweitert Ingram Micro ge-
weit. Mit dem Know-how der bisherigen Schwestergesellschaft iNNOVO meinsam mit McAfee seine Dienstleistungen, um den Wechsel von älterer
Cloud hat das Unternehmen Spezialisten in Automation, Migration, Sicherheitstechnologie zu McAfee MVISION-Produkten anzubieten. n
Betrieb und Service von verteilten Anwendungen in Multi-Cloud-Archi-
tekturen an Bord. Die Software-Anwendungen und Integrationsservices
der ehemaligen IoTOS runden das Angebot ab. Know-how in industrie- DIE IPG-GRUPPE WIRD TEIL DER
spezifischen IT-Landschaften zur komplexen Produktionssteuerung und TIMETOACT GROUP
für Manufacturing Execution Systems (MES) steht Kunden zur Verfügung. Die TIMETOACT GROUP mit Hauptsitz in Köln erwirbt die Mehrheit der
Damit unterstützt die German Edge Cloud die Kunden bei den Herausfor- Aktien der IPG Information Process Group Holding AG mit Sitz in Winter-
derungen auf dem Weg zur Umsetzung des Industrial Internet of Things thur. Durch die Übernahme werden die Kompetenzen zu Identity-and-
(IIoT). Access-Management-(IAM-)Lösungen im DACH-Markt zusammenge-
schlossen. IAM gewinnt im Rahmen der IT-Sicherheit und Digitalisierung
Mit dieser einzigartigen Kombination im Lö- immer mehr an Bedeutung und wird durch den Zusammenschluss der
sungsportfolio ist German Edge Cloud jetzt beiden Unternehmensgruppen optimal bedient.
Komplettanbieter – von der Beratung über die
Implementierung bis hin zum Betrieb von Soft- Mit abgeschlossenem Vertrag zur Übernahme der Aktien-Mehrheit der
ware-Anwendungen auf kundeneigenen Clouds, IPG Holding AG durch die TIMETOACT GROUP entsteht der führende IT-
einer Hyperscaler-Cloud oder der GEC-eigenen Dienstleister für Identity-and-Access-Management-(IAM-)Lösungen in
Cloud- bzw. Edge-Infrastruktur – ohne Vendor Deutschland, Österreich und der Schweiz. Mit der Übernahme stärken
Lock-in. „Da wir alles aus einer Hand anbie- Dr. Sebastian Ritz: beide Unternehmen ihre Position im Markt für „Identity driven Security“.
ten, erhalten unsere Kunden eine konsolidierte „Von GEC erhalten Die Transaktion ist bereits vollzogen, und weiteres Wachstum in diesem
Lösung für heterogene Datenlandschaften und Unternehmen eine Bereich ist geplant. „Wir beobachten die starke Performance von IPG
konsolidierte Lösung
das entsprechende Prozess-Know-how. Bisher schon lange und sind von der hohen Qualität ihrer Leistungen überzeugt.
für heterogene Cloud
brauchten Kunden mehrere Partner, beispiels- Architekturen und Gemeinsam mit unserem IAM-Team werden wir bedeutende Mehrwerte
weise ein Systemhaus, einen Service-Integrator das entsprechende für unsere Kunden und Mitarbeiter schaffen“, so Felix Binsack, Geschäfts-
und ein Consulting-Unternehmen. Gleichzeitig Prozess-Know-how führer der TIMETOACT GROUP.
– aus einer Hand
sind wir Cloud-Automation-Partner für Soft-
ohne Vendor Lock-in.“
wareunternehmen“, so Dr. Sebastian Ritz, Ge- (Foto: Friedhelm Loh Die IPG integriert und betreibt ausschließlich Identity-and-Access-Manage-
schäftsführer der German Edge Cloud. n Group) ment-Lösungen für alle wesentlichen Wirtschaftszweige und wird seine
Aktivitäten in Deutschland massiv erweitern. Auch wenn die IPG nach dem
Zusammenschluss eigenständig bleibt, so werden die beiden Unterneh-
mensgruppen künftig mit vereinten
Kräften Identitäts-, Zugriffs- und
Governance-Lösungen im DACH-
Markt vorantreiben. n
Marco Rohrer, CEO IPG Gruppe (links)
und Felix Binsack, Geschäftsführer
TIMETOACT GROUP (Foto: TIMETOACT)
6 IT-SICHERHEIT_1/2021
UNTERNEHMEN | NEWS
HORNETSECURITY KAUFT VEEAM- NEUGRÜNDUNG K4 DIGITAL: GANZ-
KONKURRENT ALTARO HEITLICHE DIGITALISIERUNG UND
Es wird fast zur Tradition: Hornetsecurity star- CYBERSICHERHEIT FÜR DIE INDUSTRIE
tet fulminant ins neue Jahr und verkündet eine Unter dem Dach der K4 DIGITAL haben sich im letzten Quartal 2020 zwölf
weitere erfolgreich abgeschlossene Übernah- der renommiertesten deutschen Security- und Branchenexperten for-
me. Mit der Bekanntgabe übernimmt Hornet- miert, um das Thema Cybersicherheit für Industrieunternehmen in einer
security 100 Prozent der Anteile des wachs- neuen, ganzheitlichen Form zu realisieren. Im Gegensatz zum typischen
tumsstarken internationalen Anbieters für IT-zentrierten Ansatz einer klassischen Systemhausdienstleistung un-
Back-up-Lösungen, Altaro. Nach der Übernahme terstützt K4 DIGITAL Unternehmen und Organisationen bei der Planung
des spanischen Marktführers für Cloud-E-Mail- „Mit der Integration und Realisierung von unternehmensübergreifenden Security-Prozessen,
Security-Lösungen Spamina im Januar 2019 und der Back-up-Lösungen um diese gegen heutige und künftige Cyberrisiken zu schützen. Auf Basis
der Akquisition des englischen Country Partners von Altaro in Hornet- einer umfassenden Workforce Transformation vereint K4 DIGITAL indus
securitys E-Mail Cloud
EveryCloud zum Jahresbeginn 2020 erschließt Security Produktport-
trielle Prozesse mit der Digitalisierung und der Cybersicherheit unter
der europäische Cloud-Security-Spezialist dieses folio vervollständigen einer einheitlichen Management- und Sicherheitsstrategie – beispiels-
Mal ein neues Produktsegment, das die eigenen wir das Puzzle eines weise in den Bereichen Produktion, kritische Infrastrukturen, Verkehr
Services um zuverlässige Back-up-Lösungen umfassenden Security- und Logistik, Versorgung, Gebäude- und Städteentwicklung (Smart City
Pakets“, so Daniel
ergänzt. Damit wird Hornetsecurity zu der Euro- Hofmann, CEO von
und Smart Building), um nur einige zu nennen.
päischen Antwort auf Security und Compliance Hornetsecurity.
im Microsoft-365-Umfeld. (Foto: Hornetsecurity) Das Team unter der Leitung von Michael Krammel setzt auf eine interdis-
ziplinäre und ganzheitliche Herangehensweise, welche dem tatsächli-
„Alle Altaro-Gründer bleiben an Board und erhalten eine neue Rolle in- chen heutigen Stand der Industrie gerecht wird. Im Fokus stehen nicht
nerhalb der Hornetsecurity Gruppe. Die bestehenden internationalen nur die technischen Möglichkeiten und Argumente, die sich ausschließ-
Standorte werden in den nächsten Jahren weiter ausgebaut, um unsere lich auf die IT-Infrastruktur beziehen, sondern das integrale Zusammen-
Partner noch schneller mit neuen Produkten und Lösungen zu versor- wirken in Geschäftsmodellen, Organisationsstrukturen, Prozessen, Tech-
gen“, betont Daniel Hofmann, CEO von Hornetsecurity. „Unser Ziel ist es, nologien und allem voran Menschen. n
allen Unternehmen eine vollständige Security- und Compliance-Lösung
für ihren Einsatz von Cloud-Technologien zu bieten. Mit der Integration
der Back-up-Lösungen von Altaro in Hornetsecuritys E-Mail Cloud Secu-
SOPHOS ALS COMMON VULNERA
rity Produktportfolio vervollständigen wir das Puzzle eines umfassenden
BILITY AND EXPOSURE NUMBERING
Security-Pakets.“ n
AUTHORITY (CVE) ANERKANNT
Sophos wurde als Common Vulnerabilities and Exposures (CVE) Num-
IVANTI SCHLIESST ÜBERNAHME bering Authority (CNA) im CVE-Programm anerkannt. Das CVE ist ein
VON MOBILEIRON UND PULSE SECURE internationaler Standard zur Identifizierung und Benennung von Cyber-
ERFOLGREICH AB sicherheitslücken. Mit der Aufnahme ist Sophos berechtigt, internati-
Ivanti hat den Abschluss der Übernahmen von MobileIron und Pulse onal gültige CVE-Kennungen für Sicherheitslücken im Rahmen seiner
Secure LLC, bekannt gegeben. MobileIron ist ein führender Anbieter von Produkte zu vergeben. Der Vorteil besteht darin, dass Sicherheitsforscher
Unified-Endpoint-Management-Lösungen mit dem Fokus auf Mobil- nun direkt mit Sophos zusammenarbeiten können, um CVEs für die Pro-
geräten. Pulse Secure ist im Bereich der sicheren Zugangslösungen und dukte des Unternehmens zu vergeben. Dies erleichtert die Prozesse des
mobilen Sicherheitsanwendungen führend. Durch den Zusammen- Reportings sowie die Zuweisung von CVEs.
schluss festigt Ivanti, das von Clearlake Capital Group, L.P. und TA Associ-
ates unterstützt wird, seine Position als weltweiter Marktführer in den Das CVE-Programm ist ein internationales Gemeinschaftsprojekt, das
Bereichen Unified Endpoint Management (UEM), Zero Trust Security und ein offenes Register für Schwachstellen anhand von CVEs führt. Es steht
IT Service Management (ITSM). Sicherheitsforschern und Anbietern von Informationstechnologie zur
Verfügung. Die Verwendung einer gemeinsamen Bezeichnung erleichtert
„Wir freuen uns, die Teams von MobileIron und Pulse Secure in der Ivanti die gemeinschaftliche Nutzung und den Abgleich von Daten zwischen
Familie willkommen zu heißen“, sagte Jim Schaper, Vorstandsvorsitzen- unterschiedlichen Security-Datenbanken und -Tools, die Schwachstellen
der und CEO von Ivanti. „Unsere Plattform für intelligente Nutzererfah- finden und listen. n
rungen wird das geschäftliche Leben durch Hyper-Automatisierung und
sichere Verbindungen auf jedem Gerät, für jeden Benutzer, wo und wie
auch immer er arbeitet, unterstützen. Unsere Kunden können auf diese
Weise freier zusammenarbeiten und innovieren, während gleichzeitig
das Risiko von Datenverstößen verringert und die Erfahrungen der Mitar-
beiter verbessert werden.“ n
IT-SICHERHEIT_1/2021 7
NEWS | PRODUKTE
NEUE AWARENESS-PLATTFORM
GARANTIERTER SCHUTZ ERLAUBT MEHRERE AWARENESS-
VOR SCHADSOFTWARE OHNE TRAININGS IN EINER KAMPAGNE
MEHRAUFWAND Das Schweizer Unternehmen Lucy Security präsentiert seine neue Ver-
Der Antivirus-Hersteller SecuLution aus Werl hat mit SecuLution sion 4.7.7.der Lucy Awareness-Plattform. Bei der neuen Version wurde
Application Whitelisting 2.0 den Aufwand, den Whitelisting vor allem das Learning Management System (LMS) optimiert und aus-
bislang für Admins bedeutete, auf ein Minimum reduziert; ein gebaut. Mit Lucy Security erhalten Unternehmen eine Standard-Soft-
patentiertes Automatisierungsverfahren macht es möglich. wareplattform an die Hand, um mittels Angriffssimulationen Mitarbei-
ter zu schulen. Außerdem können sie mit Malware-Simulationen die
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unternehmensweite Infrastruktur prüfen und mit der Lernplattform
empfiehlt bereits im Grundschutz-Kompendium 2018 den Mitarbeiter zu speziellen Cybersecurity-Themen trainieren. Die Ergeb-
Einsatz von Application Whitelisting: Gegenüber herkömmlicher nisse der verschiedenen Tests werden mit der Softwareplattform lau-
Antivirensoftware bieten Whitelisting-Lösungen den Vorteil fend überprüft und schließlich mit Reporting-Funktionen angereichert.
hundertprozentigen Schutzes – was nicht bekannt ist, wird So werden Mitarbeiter dazu motiviert, ein umfassendes Sicherheitsver-
nicht ausgeführt. Unter Administratoren gilt Whitelisting ständnis zu entwickeln und souverän umzusetzen.
jedoch als arbeitsintensiv; dagegen schaffte SecuLution bereits
mit der Startversion Abhilfe. Neu bei der neuen LUCY-Plattform ist unter anderem die Funktion,
dass in einer Awareness-Kampagne mehrere Kurse gebündelt werden
Die Version 2.0 will nun endgültig mit dem Vorurteil können. Kursbibliotheken können ab sofort sehr einfach erstellt und
aufräumen, Whitelisting sei aufwendig. Auf dem AdminWizard im LMS den Benutzern zur Verfügung gestellt werden. Zudem wurde
Dashboard sehen Admins auf einen Blick, was auf den das Benutzermanagement optimiert: Nutzerkonten von verschiedenen
Endpoints passiert. Anpassungen von .config-Dateien oder Anwendergruppen können beispielsweise über Schnittstellen mit der
Batch-Jobs gehören der Vergangenheit an. Der Agent arbeitet LUCY-Software synchronisiert werden (gruppenbasiertes LDAP-Sync).
nahtlos mit einer automatisch lernenden VM und der von Die Lucy-Security-Plattform 4.7.7 ist ab sofort als Download verfügbar. n
SecuLution-Mitarbeitern gepflegten TrustLevel-Datenbank
zusammen. Admins haben nun mehr Kontrolle und deutlich
weniger Arbeit. Neben der kostenlosen 60-tägigen Teststellung
bietet SecuLution ab der Version 2.0 eine vollständige Geld-
COMMUNITY-WEBSEITE FÜR
zurück-Garantie.
DevSecOps-TEAMS
www.seculution.de Viele Unternehmen setzen heute auf einen kontinuierlichen Integra-
tions- und Implementierungsansatz. Der Zyklus ist kürzer geworden,
vor allem dank DevOps, das auf Automatisierung und die Bünde-
lung sich ergänzender Fähigkeiten setzt, um die Wertschöpfung und
Reaktionsfähigkeit von Unternehmen zu erhöhen. DevOps-Teams sind
angehalten, Anwendungssicherheit bereits in der Designphase zu in-
KUBERNETES-NATIVE SPEICHER- tegrieren, indem sie Kontrollfunktionen in den Code ihrer APIs und An-
FUNKTIONEN FÜR EDGE-SZENARIEN wendungen selbst einbauen.
SUSE, Anbieter der Rancher Container-Management-Plattform, stellt
Longhorn 1.1 vor. Seit Oktober 2019 ist Longhorn ein Sandbox-Projekt Rohde & Schwarz Cybersecurity bietet seit rund zwanzig Jahren Web-
der Cloud Native Computing Foundation (CNCF). Mit der allgemeinen Application-Firewall-Technologien an und macht diese mit R&S Trusted
Verfügbarkeit von Longhorn im Juni 2020 ist die Adaption seither um Application Factory für Entwickler zugänglich. Diese Sicherheitslösung
235 Prozent gestiegen und das Projekt gilt heute eine zentrale Größe, ist für DevSecOps-Teams gedacht. Sie wird als Container bereitgestellt
wenn es um Kubernetes und Storage geht. Die neue Version ermöglicht und kann an jede cloudbasierte native Anwendung angedockt werden.
Rancher-Anwendern die Nutzung einer Kubernetes-nativen Speicher Im Rahmen des kürzlich erfolgten Launches von R&S Trusted Applica-
lösung auf eingeschränkter Hardware in Edge-Umgebungen. tion Factory macht Rohde & Schwarz Cybersecurity seine neue Com-
munity-Webseite offiziell: https://dev-appsec.rohde-schwarz.com/.
Mit Longhorn 1.1 profitieren DevOps-Teams von der einfachen Verwal- Die Seite richtet sich an Anwendungsentwickler, Cloud- und Security-
tung persistenter Daten in beliebigen Kubernetes-Umgebungen sowie Experten, operative Teams, die für Sicherheit und digitale Transforma-
einem herstellerneutralen Ansatz für Cloud-nativen Speicher für den tion zuständig sind, sowie an IT- und Business-Führungskräfte, die in
Unternehmenseinsatz. Rancher-Anwender sollen mit diesem neuen ihrem Unternehmen agile Prozesse – „digitale Fabriken“ – aufgesetzt
Update die Belastbarkeit ihrer Edge-Umgebungen erhöhen, etwa durch haben oder in naher Zukunft umsetzen. Das Ziel der neuen Plattform
ARM64-Unterstützung, neue Selbstheilungsfunktionen und verbesserte ist es, DevSecOps-Teams bei der Bewältigung ihrer täglichen Aufgaben
Transparenz in Sachen Performance von Longhorn 1.1. n zu unterstützen. n
8 IT-SICHERHEIT_1/2021
PRODUKTE | NEWS
DATENRESILIENZ FÜR KUBERNETES- CYBER DEFENSE SERVICES FÜR
APPLIKATIONEN ZUVERLÄSSIGEN RUNDUMSCHUTZ
Red Hat präsentiert Red Hat OpenShift Container Storage 4.6 mit neuen
© sdecoret - stock.adobe.com
Datenresilienz-Funktionen für Cloud-native Workloads in Hybrid- und
Multicloud-Umgebungen. Je stärker Unternehmen die Kubernetes-
Technologie für geschäftskritische Anwendungen nutzen, desto mehr
benötigen sie auch Lösungen für die Datenstabilität. Mit Red Hat
OpenShift Container Storage 4.6 können Unternehmen nun ihre beste-
henden Datensicherungsfunktionen auf Kubernetes-Anwendungen
erweitern, ohne dass zusätzliche Technologien oder Infrastruktur-
Upgrades erforderlich sind. Das Produkt ist eng mit der Enterprise-
Kubernetes-Plattform Red Hat OpenShift integriert und bietet folgende Viele Unternehmen unterschätzen die Gefahr von Cyberkriminellen.
Datenresilienz-Features: Dabei stellen virtuelle Attacken eine der größten Bedrohungen dar.
Denn sowohl die Angriffsflächen von Firmen als auch die Anforderungen
Eine Snapshot-Funktion, orchestriert durch das Container Storage an die Security-Abteilungen wachsen. Gerade umfangreiche IT-Um-
Interface (CSI), für anpassbare Point-in-Time-Snapshots und Clones gebungen mit älteren Anwendungen lassen sich schwer kontrollieren.
von persistenten Datenvolumina. IT-Administratoren und Anwen- Controlware unterstützt als renommierter deutscher Systemintegrator
dungsentwickler können damit schneller zu einem früheren Zustand und Managed Service Provider mit individuellen Lösungen rund um
zurückkehren. Cyber Defense Services.
OpenShift APIs für die Datensicherheit, um Daten und Anwendun- Von der Risikoerkennung über die Analyse bis hin zur Abwehr: Die
gen, die in Container-Pods laufen, korrekt wiederherzustellen. Un- Experten im Controlware Cyber Defense Center (CDC) am Standort
ternehmen des Partner-Ökosystems von Red Hat können damit ihre Deutschland unterstützen Kunden umfangreich und nachhaltig. Mit
Datensicherungslösungen effizienter in OpenShift integrieren. dem Lösungsportfolio bietet Controlware Kunden vier unterschiedliche
Service-Module, die individuell miteinander kombiniert werden können.
Eine Unterstützung eines umfassenden Ökosystems führender An- Das erste Modul ist der Advanced Threat Detection Service (ATD). Dieser
bieter von Back-up-Lösungen, darunter die von Red Hat zertifizierten schützt durch eine KI-gestützte Anomalie-Erkennung im Netzwerk-
Lösungen IBM Spectrum Protect Plus, TrilioVault für Kubernetes und Datenverkehr Infrastrukturen und Daten vor Cyberangriffen und hilft
Kasten K10 von Veeam. Unternehmen, schneller auf Attacken zu reagieren. Einen ähnlichen
Ansatz verfolgt das zweite Modul, der Client-basierte Endpoint
Die neuen Datenresilienz-Funktionen sind mit Red Hat OpenShift Detection & Response Service (EDR). Des Weiteren ist Controlware mit
© Nizwa Design - stock.adobe.com
Container Storage 4.6 ab sofort verfügbar. n dem Vulnerability Management Service (VMS) in der Lage, Schwach
stellen regelmäßig zu analysieren und zu überwachen. Zudem erlaubt
der VMS einen vollständigen Überblick über die Angriffspunkte
kritischer Assets. Im Portfolio enthalten ist zudem der Advanced-Log-
Analytics-Service (ALA). Hier führen die Experten des CDC die Log-Files
des Kunden zunächst in einem Log-Management-System zusammen.
Anschließend werden die Daten mithilfe leistungsstarker SIEM- und
Verhaltensanalyse-Tools konsolidiert, angereichert und korreliert, um
Hinweise auf Anomalien und potenzielle Angriffe zu erhalten. n
NEUE ASSET DISCOVERY- UND M
ONITORING-SERVICES
CybelAngel gibt die Verfügbarkeit neuer Dienste für seine KI-gestützte CybelAngel visualisiert und priorisiert die Risiken dieser, bis dato nicht
Sicherheits-Plattform bekannt. Diese wird mit den Funktionen Asset verwalteten Systeme direkt von der SaaS-Oberfläche der Plattform
Discovery und Monitoring um umfangreiche Schutzmaßnahmen ge- aus. Dafür wird weder neue Hardware benötigt, noch muss zusätzli-
gen digitale Risiken erweitert. Die Plattform und das Analystenteam ches Personal eingestellt werden. Anwender haben durch die neuen
von CybelAngel wollen damit in der Lage sein, bisher verborgene Ge- Funktionen einen deutlich besseren Überblick über die Risiken für
räte und gefährliche Dienste adhoc zu identifizieren, die von Sicher- Unternehmen, Marken und Compliance. CybelAngel Asset Discovery
heitsteams bisher nicht entdeckt wurden. Zu diesen Schatten-Assets and Monitoring ist ab sofort erhältlich. Die Lösung ist mit Port- und
gehören beispielsweise Datenserver, Cloud-Datenbanken, Industriesys- Schwachstellen-Scannern gekoppelt ermöglicht die rasche Erkennung
teme und IoT-Geräte. Das Spektrum reicht dabei von Consumer-Endge- von Schatten-IT. Die CybelAngel-Lösung arbeite laut Hersteller ohne
räten bis hin zu medizinischen Geräten. False Positives und liefere nur verifizierte Ergebnisse. n
IT-SICHERHEIT_1/2021 9
AUS DER SZENE Der Einfluss Künstlicher Intelligenz auf menschliche Selbstbestimmung HANDLUNGS EMPFEHLUNGEN FÜR EINE VERTRAUENS WÜRDIGE KI Künstliche Intelligenz (KI) beeinflusst schon heute unser Leben und wird dies in Zukunft noch stärker tun. KI-basierte Technologien bringen viele Vorteile, aber ebenso Risiken mit sich. Ein neues Impulspapier des vom Fraunhofer ISI koordinierten Forschungsverbunds Forum Privatheit gibt in diesem Kontext 15 Empfehlungen, wie die menschliche Selbstbestimmung trotz Künstlicher Intelligenz nicht nur erhalten, sondern sogar gefördert werden kann. 10 IT-SICHERHEIT_1/2021
AUS DER SZENE
I
HINWEIS
n den letzten Jahren haben KI-Techno- Das Thema „Ethische KI“ rinnen und Verbrauchern meint dies insbe-
logien rasante Fortschritte gemacht und hat IT-SICHERHEIT auch in sondere die Stärkung von Einrichtungen wie
werden bereits in den unterschiedlichs- zwei Beiträgen in der Rubrik Datenschutzbehörden oder Verbraucherschutz-
ten Ausprägungen in Wirtschaft, Industrie oder „Forschung und Technik“ organisationen, um unabhängige Kontrollen im
der Medizin sowie vielen anderen Bereichen dieser Ausgabe ausführlich KI-Bereich durchführen zu können. Schließlich
eingesetzt. Im Fokus stehen häufig die Vorteile, unter unterschiedlichen möchte Deutschland und Europa den so ge-
welche KI unbestritten mit sich bringt: So kann nannten ‚dritten Weg‘ gemeinwohlorientierter
Gesichtspunkten thematisiert.
der Einsatz von KI-Technologien im Gesund- KI und nicht den des rein profitorientierten Digi-
heitswesen – etwa bei Menschen mit Seh- talkapitalismus weltweit dominanter IT-Firmen
oder Hörbehinderungen – Wahrnehmungsein- oder des totalitären Digitalautoritarismus chine-
schränkungen ausgleichen. Ein weiteres, weit sischer Spielart gehen.“
verbreitetes Einsatzgebiet ist personalisierte Der vom Fraunhofer ISI koordinierte Forschungs-
Werbung, die etwa auf das persönliche Profil verbund Forum Privatheit hat in diesem Kontext Dass KI-gestützte Massenbeeinflussung in der
von Nutzerinnen und Nutzern von Social-Me- ein Impulspapier zum Thema „Künstliche Intelli- Praxis funktioniert, ist laut Impulspapier durch
dia-Plattformen zugeschnitten ist. genz und Selbstbestimmung“ verfasst und dabei verschiedene Studien deutlich geworden. In einer
15 Handlungsempfehlungen für eine vertrau- Studie seien beispielsweise mehr als drei Millio-
Wenn personalisierte Werbung allerdings in enswürdige KI formuliert, welche menschliche nen Facebook-Nutzer mit personalisierter Wer-
Abhängigkeit von psychometrisch ermittelten Selbstbestimmung trotz Künstlicher Intelligenz bung angesprochen worden, die in Abhängigkeit
Persönlichkeitseigenschaften individualisiert, nicht nur erhalten, sondern sogar fördern können. von psychometrisch ermittelten Persönlichkeits-
also mittels „Micro-Targeting“ ein psychologi- eigenschaften individualisiert wurde. Bei Wer-
sches Profil erstellt beziehungsweise die Per- HANDLUNGS bung, die auf das psychologische Profil, also etwa
sönlichkeit eines Menschen digital ausgelesen EMPFEHLUNGEN die gemessene Extra- oder Introvertiertheit einer
wird, ist dies durchaus problematisch. Die auf Person abgestimmt war, ergab sich demnach
solche Weise erzeugten individualisierten Mar- Eine der Empfehlungen lautet, dass algorith- eine signifikant höhere Klick- und Kaufrate als
keting- oder Wahlkampfbotschaften können mischen Entscheidungssystemen mit Auswir- bei nicht-individualisierter Werbung. Dass ein auf
Verhaltensmanipulation begünstigen, was in kungen auf das menschliche Zusammenleben Gefühle oder Instinkte abzielendes „Micro-Tar-
fundamentalem Widerspruch zur Idee mensch- demokratisch festgelegte Fairnesskriterien zu- geting“ im großen Stil funktioniere, zeigten auch
licher Selbstbestimmtheit steht. Dies gilt eben- grunde liegen müssen. Zudem sollte der Grad an die Wahlbeeinflussungen der vergangenen Jahre,
falls, wenn Algorithmen über Kreditwürdigkeit Schutzmechanismen – etwa durch Regulierung sei es in der Leave.EU-Kampagne in Großbritan-
und Bildungschancen von Menschen „ent- seitens des Gesetzgebers – mit steigendem nien oder dem US-Wahlkampf der Republikani-
scheiden“ oder selbstlernende Computersyste- Schädigungspotenzial einer KI zunehmen. Neben schen Partei 2016. Unternehmen wie Cambridge
me täuschend echte Bilder, Texte oder Videos verstärkten Pflichten für Produkt- beziehungs- Analytica hätten sich auf diese Art der Wahlbe-
synthetisch erstellen und diese dazu eingesetzt weise Technologiehersteller potenziell gefährli- einflussung spezialisiert.
werden, um Menschen zu schaden (Deepfakes). cher KI-Anwendungen sollte auch die Vertretung
von Betroffeneninteressen gestärkt werden. Das Impulspapier ist Teil der Forschungsaktivi-
GRUNDLAGEN FÜR EINE Zivilgesellschaftliche Initiativen und Intermedi- täten des Fraunhofer ISI im Bereich Künstliche
VERTRAUENSWÜRDIGE KI äre, wie Datenschutz-Aufsichtsbehörden oder Intelligenz. Dabei werden die Entwicklung und
Verbraucherschutzorganisationen, würden bei Implementierung von KI aus einer Innovati-
Um einem derartigen missbräuchlichen Einsatz einer derartigen Konzeption einerseits Beratung onsperspektive analysiert. Der KI-Forschung
vorzubeugen, sollte KI der Idee einer gemein- über Risiken durch KI anbieten und andererseits am Fraunhofer ISI liegt ein systemischer Ansatz
wohlorientierten Technikentwicklung folgen, bei der kritischen Bewertung von KI-Anwendun- zugrunde, der die technischen, wirtschaftlichen,
die den Erhalt und Ausbau demokratischer gen, ihrer Zertifizierung und der Vertretung von politischen und gesellschaftlichen Aspekte in
Werte und Grundrechte zum Ziel haben. Da- Betroffeneninteressen mitwirken. den Blick nimmt und sowohl Potenziale als auch
her ist es besonders wichtig, schon heute die kritische Effekte von KI benennt. n
Grafik: © Jiw Ingka - stock.adobe.com
Grundlagen für eine vertrauenswürdige KI zu KRITISCHE BEWERTUNGS
legen, gerade weil eine vollständige Transpa- KOMPETENZEN STÄRKEN S.M.
renz und Kontrolle über KI – so wie auch über
andere komplexe Technologien – gar nicht Murat Karaboga, Privacy-Forscher am Fraunho-
möglich und auch nicht realistisch ist. Dennoch fer ISI und Mitautor des Impulspapiers, unter- Eine Kurzversion des Impuls
sollten Menschen KI-basierte Entscheidungs- streicht: „Künftig sollte die kollektive Beteiligung papiers ist hier verfügbar:
logiken verstehen können, weshalb Prinzipien an der Gestaltung von KI ein stärkeres Gewicht Dort gibt es auch einen Link zur
wie Transparenz und Nachvollziehbarkeit eine erhalten. Neben der Förderung der kritischen ausführlichen Version des Papiers.
wichtige Rolle zukommt. Bewertungskompetenz bei den Verbrauche-
IT-SICHERHEIT_1/2021 11AUS DER SZENE
eco übernimmt Projektmanagement
der GAIA-X Federation Services
OFFENHEIT DURCH
OPEN-SOURCE-ANSATZ
Gemeinsam mit Partnern wird der eco – Verband der Internetwirt-
schaft e.V. die GAIA-X Federation Services spezifizieren. Zu diesem
Zweck hat er ein Project Management Office (PMO) eingerichtet
und fünf Arbeitspakete definiert. Das Bundesministerium für Wirtschaft
und Energie (BMWi) fördert das Projekt mit rund 13,5 Millionen Euro.
Bis April 2021 sollen die Spezifikationen stehen.
M it dem Projektstart haben wir
den Grundstein dafür gelegt,
das Leistungsversprechen
von GAIA-X einzulösen“, sagt Andreas Weiss,
Geschäftsbereichsleiter Digitale Geschäftsmo-
nutzergruppen auch als Teil von GAIA-X selbst
organisieren, sofern sie mit den entsprechenden
Regeln konform gehen.
EINHEITLICHER DATEN-
INNOVATIVES ÖKO
SYSTEM FÜR DATEN
UND SERVICES
„Die aktuelle COVID-19-Situation zeigt, dass
delle im eco-Verband. „Bei GAIA-X handelt es UND SERVICERAUM AUF stabile und resiliente digitale Infrastrukturen
sich um ein föderatives Konzept. Dies schafft und Dienste von großer Bedeutung sind“, sagt
einen Raum für Selbstbestimmtheit, den wir in
BASIS GEMEINSAM VER- Andreas Weiss. Für Anbieter im Infrastruktur
Deutschland und Europa sehr zu schätzen wis- EINBARTER REGELN ökosystem bieten sich durch die standardisierte
sen.“ In diesem Sinne sollen auch die Dienste Im Zentrum der ersten Spezifikationsrunde bis Vernetzung neue Möglichkeiten, innovative und
zum Föderieren (Federation Services) innerhalb zum Frühjahr 2021 stehen die fünf GAIA-X Kern- maßgeschneiderte Angebote auf den Markt zu
des GAIA-X Ökosystems als Open Source erstellt services Identity & Trust, Federated Catalogue, bringen. Sie können beispielsweise ihre Services
werden. Auf dieser Grundlage können sich Be- Sovereign Data Exchange, Compliance und Fede- miteinander verknüpfen, gemeinsam weiterent-
ration Services Integration & Portal. In den fünf wickeln, ausbauen und skalieren.
Arbeitspaketen geht es vor allem darum, die wei-
tere Entwicklung zu unterstützen und die Inter- Das Ziel von GAIA-X ist die Konzeption einer
operabilität aller Gewerke zu gewährleisten. Das föderierten Dateninfrastruktur mit Fokus auf
Projekt startet mit einer Phase zur Spezifizierung Datensouveränität und Datenverfügbarkeit, ba-
der Anforderungen mit dem Ziel, im April mit der sierend auf europäischen Standards und Werten,
Ausschreibung der einzelnen Gewerke zu starten. mit dem Ziel, Innovation in Europa zu fördern.
In der GAIA-X-Initiative haben sich in kürzester
Das angestrebte GAIA-X Regelwerk möchte Da- Zeit schon mehr als 300 Unternehmen und Or-
Grafik: ©Nuthawut - stock.adobe.com
Die aktuelle COVID-19- tenökosysteme und Infrastrukturökosysteme ganisationen mit über 500 Personen aktiv in die
Situation zeigt, dass stabile miteinander verknüpfen. Im Ergebnis soll ein Gestaltung von GAIA-X eingebracht. Davon sind
und resiliente digitale föderiertes und interoperables Gesamtökosys- 75 Prozent der Privatwirtschaft zuzuordnen, wo-
tem entstehen. Teilnehmer könnten Daten und von wiederum die Hälfte zum Bereich der klei-
Infrastrukturen und Dienste
Services souverän über sektorspezifische Daten- nen und mittleren Unternehmen (KMU) zählt. n
von großer Bedeutung sind“ räume hinweg nutzen. Alle Daten- und Service-
ANDREAS WEISS, Angebote seien transparent und die Abhängig-
Geschäftsbereichsleiter Digitale Geschäfts- keiten von einzelnen Anbietern, sogenannte
modelle im eco-Verband. (Foto: eco) Lock-in-Effekte, würden reduziert. S.M.
12 IT-SICHERHEIT_1/2021– ADVERTORIAL –
Corona-Pandemie:
Digitale Weiterbildungen laut
Studie gefragt wie nie zuvor
Die Corona-Krise treibt die Nachfrage nach Online-Weiterbildun- dem eigentlichen Angebot. Kostenfreie Schulungen können ein
gen bei Erwerbstätigen in die Höhe. Fast 90 Prozent der Befragten Einstieg in neue Themengebiete sein und das Grundlagenwissen
haben seit Beginn der Pandemie an digitalen Schulungen teilge- vermitteln“, sagt Anja Olsok, Geschäftsführerin der Bitkom Service-
nommen. Häufig erfüllen diese Formate zur beruflichen Weiter- gesellschaft. Gleichzeitig betont sie: „Zur strategischen Weiterbil-
entwicklung jedoch nur bedingt die Erwartungen der Teilnehmen- dung von Fachkräften und Spezialisten sind jedoch ausreichende
den. Gleichzeitig wächst der Bedarf an tiefergehenden virtuellen Weiterbildungsbudgets sowie individuell bemessene zeitliche
Bildungsmaßnahmen für Fach- und Führungskräfte. Zu diesen Ressourcen von zentraler Bedeutung.“
Ergebnissen kommt eine aktuelle Studie der Bitkom Akademie
in Zusammenarbeit mit der Transformationsberatung HRpepper Weiterbildungsanbieter reagieren auf
Management Consultants. steigende Nachfrage
Etwa jeder Dritte nutzt mehr Arbeitszeit Der steigende Bedarf an virtuellen Weiterbildungen sorgt für neue
zur Qualifizierung Angebote. So hat die Bitkom Akademie seit Beginn der Corona-
Krise ihr Programm an digitalen Weiterbildungen stetig ausgebaut.
Fast jeder dritte Erwerbstätige (31 %) hat sich seit März mehr Zeit Neben kostenfreien Live-Online-Seminaren bietet die Bitkom Aka-
für berufliche Weiterbildungen genommen. Besonders stark wuchs demie nun auch verstärkt Online-Ausbildungen mit Zertifikatsprü-
die Nachfrage nach kostenfreien Online-Seminaren, virtuellen fungen sowie virtuelle Workshops an. Erst kürzlich wurden neue
Konferenzen und digitalen Workshops. So gaben etwa neun von Seminare in das Portfolio der Tochtergesellschaft von Deutschlands
zehn Befragten an, kostenfreie Online-Seminare besucht zu haben. führendem Digitalverband Bitkom aufgenommen.
Ebenfalls häufig nachgefragt waren kostenlose Web-Konferenzen
(68 %) sowie digitale Workshops (49 %). Unter den kostenpflich- Weiterbildung 2025 – wie die Zukunft des
tigen Formaten waren Trainings und Workshops die am meisten Lernens gestaltet wird
genutzten Angebote. Ungefähr jeder fünfte Befragte hatte ein sol-
ches Seminar absolviert. „Unsere Studie zeigt, dass viele Beschäf- In ihrer gemeinsamen Studie Weiterbildung 2025 haben die Bitkom
tigte ihre zeitlichen Ressourcen bewusst zur Qualifizierung für Akademie und die Transformationsberatung HRpepper Manage-
kommende Herausforderungen nutzen. Damit übernimmt bereits ment Consultants die Zukunft des Lernens – aber auch die akuten
jetzt ein Großteil selbst die Verantwortung für die eigene berufliche Auswirkungen der COVID-19-Pandemie auf die Weiterbildungsland-
Weiterentwicklung“, sagt Dr. Matthias Meifert, Managing Partner schaft – untersucht. Dafür wurden etwa 400 Fach- und Führungs-
der HRpepper Management Consultants. kräfte befragt sowie fast ein Dutzend Experteninterviews geführt.
Hohe Erwartungen an kostenfreie Inhalte Die Studie steht online zum kostenfreien Download bereit:
bitkom-akademie.de/weiterbildung-2025
Die Studie offenbart ein deutliches Ungleichgewicht zwischen den
Erwartungen der Teilnehmer und den angebotenen Inhalten. Fast
die Hälfte der Befragten war nur teilweise oder nicht zufrieden
mit den genutzten Weiterbildungsangeboten. „An dieser Stelle
zeigt sich eine Diskrepanz zwischen der Erwartungshaltung undAUS DER SZENE
Bringt die neue Arbeitskultur nach
COVID-19 mehr Frauen in die IT?
WANDEL IN DER
IT-(SICHERHEIT-)SZENE
Der Mangel an Frauen in der IT ist nach wie vor eine
große Herausforderung für die gesamte Branche. Ein
spezifischer Blick auf die Cybersicherheit – eine der
wichtigsten Wachstumsbranchen der IT –
unterstreicht die Tiefe des Problems, aber auch
die potenziellen Chancen für alle Beteiligten.
Können die jüngsten Veränderungen in der
Arbeitskultur Unternehmen helfen, den
Fachkräftemangel zu überwinden – und
mehr Frauen in die IT-Branche bringen?
D er Mangel an Fachkräften im IT-
Bereich ist seit Jahren ein ernstes
Problem. Insbesondere kleinere
Unternehmen in eher ländlichen Regionen ha-
ben oft Schwierigkeiten, qualifizierte Mitarbei-
lehrern gemacht. Was einst im professionel-
len Umfeld als undenkbar galt, wird heute als
menschlich akzeptiert: Der Postbote klingelt
während des Zoom-Meetings an der Tür, Kinder
tauchen am Schreibtisch auf und fordern Auf-
Bereich der Cybersicherheit im Jahr 2020 „nur“
noch bei 3,12 Millionen Beschäftigten – ein
Rückgang von über vier Millionen Beschäftigten
gegenüber dem Vorjahr. Trotzdem ist das noch
eine riesige Anzahl und eine anhaltende Quelle
ter für die Besetzung offener Stellen zu finden. merksamkeit, und Katzen finden den Weg vor von Schwierigkeiten für Organisationen, die
Dies beeinträchtigt nicht nur das Tagesgeschäft, die Web-Kamera. händeringend nach Mitarbeitenden suchen.
sondern hindert Unternehmen auch daran,
wichtige Projekte für die digitale Transforma- Es ist sehr wahrscheinlich, dass das Homeoffice DER WERT UNTER-
tion umzusetzen. Mehr Frauen in der IT-Bran- auch nach der Corona-Krise deutlich häufiger SCHIEDLICHER TALENTE
che könnten die Lösung des Problems für eine genutzt werden wird als vorher. Dies könnte
Branche sein, die nach neuen Talenten lechzt. nicht nur die Work-Life-Balance der Mitarbeiter Wie viele andere Industriezweige, müsste auch
Die aktuelle Pandemie könnte eine Gelegenheit verbessern, sondern auch dazu beitragen, zwei die Cybersicherheit mehr Frauen auf allen Ebe-
bieten, einen Wandel einzuleiten. wichtige Probleme in der IT zu beseitigen: den nen einstellen. Angefangen bei den Frauen, die
Mangel an Fachkräften und die Erhöhung des ganz am Anfang ihrer Karriere stehen, bis hin
PANDEMIE BIETET CHAN- Frauenanteils in der Branche. zu etablierteren, erfahrenen Fachkräften. Ein
CEN FÜR EINEN WANDEL Haupthindernis für viele Frauen, Karriere zu
Beispiel Cybersicherheit: Zwar lag nach neuen machen ist es jedoch, nach einer längeren Pause
Nationale Lockdowns und Social Distancing Untersuchungen von ISC2 (The International in den Beruf zurückzukehren. Grund dafür ist
haben viele Arbeitskräfte in das Homeoffice Information System Security Certification Con- meist die fehlende Flexibilität der Arbeitgeber:
getrieben und berufstätige Eltern zu Teilzeit- sortium) der weltweite Arbeitskräftemangel im Nach dem Mutterschaftsurlaub haben Mütter
14 IT-SICHERHEIT_1/2021AUS DER SZENE
nach der Geburt eines Babys den Weg zur Rück- DIE WELT WIRD ZUM
kehr an den Arbeitsplatz zu ebnen. Heute wer- TALENTPOOL
den sie jedoch oft nach einer längeren Pause für
ein breiteres Spektrum von Situationen auf alle Da Fernarbeit in den meisten Organisationen
Frauen ausgeweitet. Um qualifizierte Frauen wahrscheinlich eine Option bleiben wird und
anzuwerben, haben einige größere Unterneh- vielerorts langfristig die „neue Normalität“ ist,
men damit begonnen, umfassendere Program- haben leitende Manager und Personalabtei-
me zur Unterstützung anzubieten, in denen sie lungen jetzt eine sehr gute Gelegenheit, ihre
feste Stellen mit Teilzeit oder flexiblen Arbeits- Belegschaft zu diversifizieren, indem sie Talente
zeiten ausschreiben. aus der ganzen Welt rekrutieren. Dies kann
Vorteile bieten, da vielfältige Teams Kreativi-
Diese Initiativen kombinieren in der Regel flexi- tät und neue Perspektiven in Branchen wie der
ble Arbeitszeiten mit Schulungen, Mentorschaf- Cybersicherheit einbringen können. Außerdem
ten, Gemeinschaften innerhalb einer Organisa- verfügen Frauen in der Regel über einen hohen
tion und anderer Unterstützung. Auch kleinere emotionalen IQ und ein hohes Maß an Einfüh-
Unternehmen können sich stärker bewusst ma- lungsvermögen, was die Zusammenarbeit im
chen, dass die Integration von Frauen in das Un- Team fördern kann. Studien haben bereits ge-
ternehmen von Vorteil sein und die Qualifikati- zeigt, dass vielfältige Teams in 87 Prozent der
onslücke bei erfahrenen Mitarbeitern schließen Fälle bessere Entscheidungen treffen.
kann. Dies kann für Arbeitgeber enorme Vorteile
bringen. Denn viele Fachkräfte verfügen bereits Trotz der enormen Herausforderungen, die
über Fähigkeiten, die sie für neue Aufgaben COVID-19 mit sich bringt, könnte der Impuls,
interessant machen. Es gibt zum Beispiel einen den es hinter Arbeitskulturen mit einer besseren
wachsenden Trend, dass Fachkräfte aus der Ausgewogenheit, größerer Flexibilität und mehr
allgemeinen IT in die Cyber Security wechseln. Einfühlungsvermögen ausgelöst hat, durchaus
Personen mit Erfahrung in Helpdesk-Rollen sind einen willkommenen zusätzlichen Impuls für
ein gutes Beispiel: Die kreative und hilfsbereite Frauen im IT-Bereich bieten. Und das sowohl
Denkweise, die in diesen Fällen gut funktio- im Allgemeinen als auch in der Cybersicherheit
niert, sowie das IT-Wissen, das sie mitbringen, im Besonderen. Diejenigen Organisationen, die
bietet eine ideale Grundlage für eine Karriere in jetzt handeln, um die Gleichstellung in der Cy-
der IT-Security. Es obliegt der Branche, dafür zu bersicherheit und in der IT-Branche aufzubauen
sorgen, dass diese Möglichkeiten allen gleicher- und aufrechtzuerhalten, werden zukünftig viel
maßen geboten werden, unabhängig vom Ge- besser in der Lage sein, dem Fachkräftemangel
faktisch zwei Vollzeitarbeitsplätze – einen im schlecht und der Station ihres Karrierewegs. zu trotzen. n
Job und einen zu Hause. Teilzeitarbeit ist jedoch
in der IT- und Sicherheitsbranche eher eine Sel- AUTOMATISIERUNG IST
tenheit, und bisher war es in vielen Betrieben EIN WICHTIGER WACHS-
verpönt, von zu Hause aus zu arbeiten. Und
während der Mutterschaftsurlaub nicht der
TUMSBEREICH
einzige Grund für eine berufliche Auszeit ist, In ähnlicher Weise entwickelt sich die Auto-
hat die Industrie heute sehr wohl die Möglich- matisierung der IT-Security zu einem wichti-
keit, Technologie und gezielte Programme zu gen Wachstumsbereich in der Branche. Sie hilft
nutzen, um Fachkräften zu helfen, wieder ins Fachleuten, sich leichter mit den alltäglichen
Berufsleben zurückzukehren oder sich neu zu Aspekten ihrer Arbeit auseinanderzusetzen
Bild: ©metamorworks - stock.adobe.com
integrieren. und unterstützt sie dabei, priorisierte Aufga-
ben zu erledigen. Dies wird Möglichkeiten für
PROGRAMME ZUR RÜCK- spezifische Jobs für die „Sicherheitsautomati-
KEHR AN DEN ARBEITS- sierung“ eröffnen, die sich nicht so sehr auf das
technische Know-how konzentrieren, sondern
PLATZ SIND SELTEN stattdessen logische Denkprozesse erfordern,
Diese Programme zur Rückkehr an den Arbeits- um zu verstehen, was auf einer höheren Ebene
SAMANTHA HUMPHRIES,
platz sind zwar nicht neu, aber immer noch geschieht. Diese Rollen könnten ideal für Frauen Senior Security Strategist bei
selten. Ursprünglich wurden sie von größeren geeignet sein, die funktionsübergreifende Fä- Exabeam
Organisationen ins Leben gerufen, um Frauen higkeiten aus früheren Rollen nutzen können.
IT-SICHERHEIT_1/2021 15SECURITY MANAGEMENT
Vereinfachte Kontrolle des Berechtigungskonzepts
durch ein Rollenmodell
GEORDNETE
RECHTESTRUKTUREN
Je nach Abteilung und Position dürfen Mitarbeiter nur die IT-Berechtigungen
besitzen, die sie für die Ausübung ihrer Tätigkeit benötigen (Need-to-know-
Prinzip) – so sollte es zumindest sein. Denn in der Praxis sieht das häufig anders
aus. Aufgrund von betrieblichen Anforderungen, wie beispielsweise dem
Abteilungswechsel eines Mitarbeiters, müssen Berechtigungen immer wieder
angepasst werden. Ebenso gut kann es vorkommen, dass ein Arbeitnehmer
temporär Berechtigungen erhält, weil er Unterstützung in einem speziellen
Projekt leisten muss. Um diese Berechtigungsveränderungen nachvollziehen,
bewerten und kontrollieren zu können, hilft der Einsatz einer Access-Governance-
Lösung; im Speziellen die Nutzung eines softwaregestützten Werkzeugs zur
Rollenbildung. Durch ein entsprechendes Rollenmodell ist der
Vergleich zwischen den Berechtigungen, die ein Mitarbeiter
haben sollte (Soll-Rollenmodell), und den
tatsächlich vergebenen Berechtigungen
(Ist-Zustand) auf Knopfdruck
möglich.
A bhängig davon, in welcher
Position und Abteilung ein
Mitarbeiter arbeitet, benötigt
er bestimmte Rechte. So muss beispielswei-
se der Personalleiter auf andere Applikationen
nen Berechtigung steigt das Risiko, dass durch
Überberechtigungen Sicherheitslücken oder
falsche Berechtigungskonstellationen entstehen
(„Segregation of Duties“), die unbedingt vermie-
den werden müssen. Daher sollten Rollen und
und Daten zugreifen als Verantwortliche in der Rechte innerhalb des Unternehmens eindeutig
Fertigung. Insgesamt gilt es, alle Angestellten festgelegt sein und jederzeit in einer anschau-
mit den essenziellen Rechten auszustatten, aber lichen Übersicht eingesehen werden können.
Überberechtigungen unter allen Umständen Dabei kann eine Access-Governance-Lösung
zu vermeiden. Denn mit jeder falsch vergebe- unterstützen.
16 IT-SICHERHEIT_1/2021SECURITY MANAGEMENT
Matrix-Ansicht im daccord RoleBuilder von G+H Systems (Quelle: G+H Systems)
Kommt es zu Änderungen, werden neue Arbeit- 3. Übersichtliche Ansichten und
nehmer eingestellt, oder stellt sich generell die Filtermöglichkeiten über Systeme,
Frage, wer welche Berechtigungen haben soll, Personen und deren Berechtigungen
müssen dem jeweiligen Arbeitnehmer die Rech- 4. Unterstützung bei der Rollenbildung
te durch den Einsatz einer Access-Governance- durch Aufzeigen prozentualer
Lösung nicht mehr einzeln zugewiesen werden. Verteilung eines Rechtes, beispiels
Stattdessen kann man dieser Person eine oder weise innerhalb einer Abteilung
mehrere Rollen zuweisen. Dadurch wird der 5. Bündelung der Berechtigungen
Prozess deutlich vereinfacht und fehlerhaften zu Rollen
Rechtestrukturen effektiv begegnet. 6. Zuordnung der Rollen zu Personen
STRUKTURIERTE INTELLIGENTE Insgesamt stellen die Themen Berechtigungs-
RECHTEVERGABE ÜBER UND EFFIZIENTE vergabe, -entzug und -kontrolle eine große He-
rausforderung für Unternehmen dar. Mit einem
EIN ROLLENMODELL ROLLENMODELLIERUNG erarbeiteten Rollenmodell und der Einbettung
Für gewöhnlich gibt es in Unternehmen mehre- Unternehmen haben die Notwendigkeit, ein in eine Access-Governance-Lösung lassen sich
re Mitarbeitergruppen, die die gleichen Rechte Rollenmodell auf Basis der aktuell vergebenen jedoch Zeit und Kosten hinsichtlich der Adminis-
haben sollten. Dies trifft zum Beispiel häufig Berechtigungen aufzubauen. Doch was ist hier tration reduzieren. Darüber hinaus werden die
auf Personen aus derselben Abteilung zu. Ist eine sinnvolle und vor allem effiziente Herange- Qualität der Vergabe und Kontrolle von Berech-
dies der Fall, können diverse Rechtekombinatio hensweise? Und was sollte ein softwaregestütz- tigungen erhöht und gleichzeitig Sicherheitsrisi-
nen mit einer entsprechenden Access-Gover- tes Werkzeug zur Rollenbildung unbedingt mit- ken minimiert. n
nance-Lösung softwaregestützt zu Rollen und bringen? Sechs Schritte führen zum passenden
Rollenstrukturen zusammengefasst werden. Rollenmodell:
Bild: ©md3d - stock.adobe.com
Mitarbeiter aus derselben Abteilung haben dann
gegebenenfalls die gleiche Rolle. Führt man 1. Darstellung der Mitarbeiter und
diese Schritte für das komplette Unternehmen deren Berechtigungen nach
weiter aus, erhält man ein Soll-Rollenmodell, Organisationseinheiten (Position,
das sich jederzeit mit dem aktuellen Ist-Zustand Team, Abteilung)
vergleichen lässt. Fallen hierbei Missstände auf, 2. Analyse des gewählten SEBASTIAN SPETHMANN,
können diese mit Blick auf den Soll-Zustand ein- Personenkreises auf ähnliche Account Manager bei G+H Systems
fach behoben werden. Rechtekombinationen
IT-SICHERHEIT_1/2021 17Sie können auch lesen
