Warum Ethik in der KI zum zentralen Thema wird - Künstliche Intelligenz: Fair oder gefährlich? - IT ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
HZ208307 · ISSN 1868-5757 · www.datakontext.com Februar 1/2021 Künstliche Intelligenz: Fair oder gefährlich? Warum Ethik in der KI zum zentralen Thema wird Schwerpunkt Datenschutz: Cloud-Forensik: Cybersecurity: Folgenabschätzung risiko Blick in die großen „Verstecke“ Trends, E-Mail, behafteter Tools am Beispiel von Cyberkriminellen Ransomware, Banking von Microsoft 365
EDITORIAL WIRD DER MENSCH ZUR MARIONETTE DER KÜNSTLICHEN INTELLIGENZ? Mit dem wachsenden Einfluss der Künstlichen Intelligenz (KI) auf immer mehr Lebensbereiche fragen sich viele Menschen, wo das hinführen soll. Zweifellos bringt KI – oder ihre derzeit oft noch vorherr- schende Vorstufe Machine Learning (ML) – in vielen Bereichen große Erleichterungen, höhere Effizienz oder schlicht Komfort. Nahezu alle smarten Gadgets, Smartphones, Geräte für das smarte Heim, smarte Gebäude und Städte, intelligentes Verkehrsmanagement etc. haben bereits mehr oder weniger weit entwickelte Vorstufen der KI eingebaut. Themen wie intelligente Fahrassistenten und autonomes Fah- ren wären ohne KI nicht denkbar. In der Medizin leistet KI bereits oft wertvolle Unterstützung. Und in der IT wäre eine wirksame Verteidigung gegen Cyberangriffe heute ohne KI nicht mehr möglich – was aber nicht zuletzt daran liegt, dass auch die Angreifer es verstehen, KI sehr versiert für ihre Zwecke ein- zusetzen. Stefan Mutschler Zweifellos haben auch soziale Netzwerke unser Leben reicher, aufregender, effektiver und bequemer gemacht. Algorithmen in sozialen Netzwerken – allen voran in Facebook – sind darauf ausgelegt, den Nutzer bei der Stange zu halten. Der einfache Trick: KI analysiert die Interessen der Nutzer anhand der angeklickten Beiträge und findet Ähnliches zur weiteren Lektüre beziehungsweise Betrachtung – gern noch etwas „schmackiger“. Klingt soweit harmlos, führt den freudig oder empört erregten Nutzer aber immer stärker in eine Welt ohne Tellerrand. Im Klartext: In gewisser Weise agieren solche Netzwerke wie Radikalisierungsmaschinen in Klick-Geschwindigkeit. Das mag zwar keine Absicht, sondern „nur“ eine Nebenerscheinung der Gier nach mehr Klicks und längerer Verweildauer sein – der problematische Nebeneffekt wird aber sozusagen billigend in Kauf genommen. Das in den meisten sozialen Medien streng umgesetzte Recht auf Meinungsfreiheit wäre ich bereit hoch zu loben und hart zu verteidigen, gäbe es da nicht noch diesen anderen Megatrend im Internet: industriell organisierte Desinformation. Riesige und technisch hervorragend ausgestattete „Medien- häuser“ produzieren und verbreiten einen Mix aus verdrehten, bewusst falsch pointierten, hoffnungs- los übertrieben und nicht zuletzt schlicht frei erfundenen „News“ – manchmal perfiderweise noch gewürzt mit einer Prise echter Fakten. Dank KI-Unterstützung kommt alles sehr real und glaubwür- dig daher. Dahinter stecken in totalitären Systemen die Regierungen, in demokratischen Systemen meist potente Unternehmen mit besonders rechts, links oder esoterisch engagierten Führern. Ziele sind meist die Diskreditierung von Personen oder Gruppen, das Säen von Misstrauen gegenüber den „Mainstream“-Medien, Organisationen und Regierungen, sowie insgesamt die Destabilisierung der Ge- sellschaftsstrukturen. Eine zerrissene Gesellschaft ist eben leichter in die jeweils gewünschte Richtung zu manipulieren als eine gefestigte. Da die sozialen Medien als wichtiger Verbreitungskanal eben auch dieser „News“ dienen, wirkt die Meinungsfreiheit hier als Katalysator für extreme Haltungen. Mit diesen Ausführungen wollte ich Sie für ein Thema sensibilisieren, das wir in dieser Ausgabe in drei Beiträgen aus unterschiedlichen Blickwinkeln aufbereitet haben: „Ethische KI“. „Der Einfluss Künstlicher Intelligenz auf menschliche Selbstbestimmung“ berichtet über ein Impulspapier des Forum Privatheit des Fraunhofer ISI (ab Seite 10). „Wissenschaft als Helfer für angewandte Ethik in der KI-unterstützten IT“ diskutiert die Rolle der KI bei der strategischen Abwehr von Cyberangriffen und den Zusammen- facebook.com/itsicherheit hang mit ethischen Richtlinien (ab Seite 53). „Auf dem Weg zur Fremdbestimmung“ schließlich unter- sucht die Auswirkungen der Tatsache, dass KI mit jeder angenommenen Hilfestellung enger an uns herantritt und eine wichtigere Rolle in unser aller Leben einnimmt (ab Seite 57). twitter.com/it_sicherheit24 Viel Spaß beim Lesen! Ihr Stefan Mutschler www.itsicherheit-online.com/ newsletter Chefredakteur IT-SICHERHEIT_1/2021 3
KÜNSTLICHE INTELLIGENZ: FAIR ODER GEFÄHRLICH? CYBERSICHERHEIT E-MAIL, RANSOMWARE, BANKING, TRENDS 26 EDITORIAL 18 IT-Sicherheit für Unternehmen 3 Wird der Mensch zur Marionette der DEN IMPFSTOFF VOR HACKERN SCHÜTZEN Künstlichen Intelligenz? 20 Review Monitoring für Business Security NEWS in Unternehmen RUF UND BEWERTUNGEN STÄNDIG IM BLICK 6 Unternehmens-News 22 Identity- und Access-Management (IAM) als 8 Produkt-News Schlüssel für sicheres Homeoffice VORGEHENSWEISE UND TIPPS FÜR AUS DER SZENE FERNWERKER 10 Der Einfluss Künstlicher Intelligenz auf CYBERSICHERHEIT menschliche Selbstbestimmung HANDLUNGSEMPFEHLUNGEN 26 So wird das Top-Angriffsziel E-Mail FÜR EINE VERTRAUENSWÜRDIGE KI zum Hacker-Flop VORSORGE IST BESSER ALS NACHSORGE 12 eco übernimmt Projektmanagement der GAIA-X Federation Services 30 Warum Ransomware noch immer OFFENHEIT DURCH OPEN-SOURCE-ANSATZ so erfolgreich ist UMFASSENDE SICHERHEITSMODELLE 14 Bringt die neue Arbeitskultur nach COVID-19 ERFORDERLICH mehr Frauen in die IT? WANDEL IN DER IT-(SICHERHEIT-)SZENE 34 Finanzinstitute bleiben beliebtes Ziel von Cyberkriminellen SECURITY MANAGEMENT BANKING-SECURITY-TRENDS 2021 16 Vereinfachte Kontrolle des Berechtigungs 38 Diese vier Bedrohungen sollte jetzt jede konzepts durch ein Rollenmodell Organisation auf dem Schirm haben GEORDNETE RECHTESTRUKTUREN TENDENZEN FÜR DIE CYBERSICHERHEIT 2021 4 IT-SICHERHEIT_1/2021
WARUM ETHIK IN DER KI ZUM ZENTRALEN THEMA WIRD 14 BRINGT DIE NEUE ARBEITSKULTUR NACH COVID-19 MEHR FRAUEN IN DIE IT? 30 WARUM RANSOMWARE NOCH IMMER SO ERFOLGREICH IST ENDPOINT | MOBILE SECURITY 60 DS-GVO-KONFORME NUTZUNG RISIKOBEHAFTETER TOOLS 44 Was Nutzer tun und tun sollten, um ihr Smartphone sicherer zu machen DEN „STÄNDIGEN BEGLEITER“ RICHTIG BEHANDELN 57 Gastkommentar von Jona Boeddinghaus: Warum wir über Ethische KI reden müssen CLOUD SECURITY | WEB APP SECURITY AUF DEM WEG ZUR FREMDBESTIMMUNG? 46 Datensicherung, Disaster Recovery und Mobilität IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT in modernen Anwendungen CONTAINER ERFOLGREICH ABSICHERN 60 DS-GVO-konforme Nutzung risikobehafteter Tools AUS FORSCHUNG UND TECHNIK DIE DATENSCHUTZ-FOLGENABSCHÄTZUNG AM BEISPIEL VON MICROSOFT 365 48 Herausforderungen für die digitale Forensik in Cloud-Umgebungen SERVICES BLICK IN DIE GROSSEN „VERSTECKE“ VON CYBERKRIMINELLEN 43 Webportal 53 Wissenschaft als Helfer für angewandte Ethik 66 VORSCHAU: Ausblick auf Ausgabe 2 | 2021 in der KI-unterstützten IT IM SINNE DER GESELLSCHAFT 66 Impressum IT-SICHERHEIT_1/2021 5
NEWS | UNTERNEHMEN FRIEDHELM LOH GROUP BÜNDELT MCAFEE UND INGRAM MICRO DREI START-UPS ZU GERMAN EDGE KÜNDIGEN ERWEITERTE PARTNER- CLOUD SCHAFT AN Drei Tochterunternehmen der Friedhelm Loh Group sind jetzt eins: Ger- McAfee und Ingram Micro Inc. kündigen ihre erweiterte weltweite Zu- man Edge Cloud, IoTOS und iNNOVO Cloud. Die Kompetenzen der im sammenarbeit zur Stärkung des Channel Programms an. Die neue Ver- IIoT-, Cloud- und Edge-Computing-Markt etablierten Unternehmen wer- einbarung ermöglicht den Zugang zu McAfee-Produkten und -Lösungen den jetzt in der German Edge Cloud (GEC) vereint. Das Portfolio hat zwei über das globale Vertriebsnetz von Ingram Micro, einschließlich seiner Schwerpunkte: Kunden in der produzierenden Industrie gewinnen mit regionalen Cloud Marketplaces und Centers of Excellence. den Edge-Cloud-Lösungen des Unternehmens erhebliche Effizienzvor- teile, etwa durch Data Analytics – bei voller Datensouveränität. Zweitens McAfee hat sein SaaS-Portfolio Ende 2020 auf dem US-amerikanischen ermöglicht GEC als Cloud Automation Partner die Migration und Auto- Ingram Micro Cloud Marketplace eingeführt und plant, seine Präsenz im mation von Kundenanwendungen in Multi-Cloud-Umgebungen und den Laufe des Jahres 2021 auf den E-Commerce-Plattformen von Ingram Micro sicheren Gaia-X-konformen und hochverfügbaren Betrieb. zu erweitern. Damit wollen die Unternehmen die Chancen und positiven Auswirkungen der Cloud-Transformation auf die Channel-Landschaft unter- Gegründet innerhalb der Friedhelm Loh Group bietet das Unternehmen stützen. Gemeinsam arbeiten sie daran, Channel-Partnern dabei zu helfen, das erste schlüsselfertige Edge-Cloud-Rechenzentrum für die intelligen- diese Dynamik aufzugreifen, ihr Angebot zu erweitern und dabei die Cloud- te Analyse von Produktionsdaten und die Vernetzung von Fabriken welt- Einführung zu beschleunigen. Darüber hinaus erweitert Ingram Micro ge- weit. Mit dem Know-how der bisherigen Schwestergesellschaft iNNOVO meinsam mit McAfee seine Dienstleistungen, um den Wechsel von älterer Cloud hat das Unternehmen Spezialisten in Automation, Migration, Sicherheitstechnologie zu McAfee MVISION-Produkten anzubieten. n Betrieb und Service von verteilten Anwendungen in Multi-Cloud-Archi- tekturen an Bord. Die Software-Anwendungen und Integrationsservices der ehemaligen IoTOS runden das Angebot ab. Know-how in industrie- DIE IPG-GRUPPE WIRD TEIL DER spezifischen IT-Landschaften zur komplexen Produktionssteuerung und TIMETOACT GROUP für Manufacturing Execution Systems (MES) steht Kunden zur Verfügung. Die TIMETOACT GROUP mit Hauptsitz in Köln erwirbt die Mehrheit der Damit unterstützt die German Edge Cloud die Kunden bei den Herausfor- Aktien der IPG Information Process Group Holding AG mit Sitz in Winter- derungen auf dem Weg zur Umsetzung des Industrial Internet of Things thur. Durch die Übernahme werden die Kompetenzen zu Identity-and- (IIoT). Access-Management-(IAM-)Lösungen im DACH-Markt zusammenge- schlossen. IAM gewinnt im Rahmen der IT-Sicherheit und Digitalisierung Mit dieser einzigartigen Kombination im Lö- immer mehr an Bedeutung und wird durch den Zusammenschluss der sungsportfolio ist German Edge Cloud jetzt beiden Unternehmensgruppen optimal bedient. Komplettanbieter – von der Beratung über die Implementierung bis hin zum Betrieb von Soft- Mit abgeschlossenem Vertrag zur Übernahme der Aktien-Mehrheit der ware-Anwendungen auf kundeneigenen Clouds, IPG Holding AG durch die TIMETOACT GROUP entsteht der führende IT- einer Hyperscaler-Cloud oder der GEC-eigenen Dienstleister für Identity-and-Access-Management-(IAM-)Lösungen in Cloud- bzw. Edge-Infrastruktur – ohne Vendor Deutschland, Österreich und der Schweiz. Mit der Übernahme stärken Lock-in. „Da wir alles aus einer Hand anbie- Dr. Sebastian Ritz: beide Unternehmen ihre Position im Markt für „Identity driven Security“. ten, erhalten unsere Kunden eine konsolidierte „Von GEC erhalten Die Transaktion ist bereits vollzogen, und weiteres Wachstum in diesem Lösung für heterogene Datenlandschaften und Unternehmen eine Bereich ist geplant. „Wir beobachten die starke Performance von IPG konsolidierte Lösung das entsprechende Prozess-Know-how. Bisher schon lange und sind von der hohen Qualität ihrer Leistungen überzeugt. für heterogene Cloud brauchten Kunden mehrere Partner, beispiels- Architekturen und Gemeinsam mit unserem IAM-Team werden wir bedeutende Mehrwerte weise ein Systemhaus, einen Service-Integrator das entsprechende für unsere Kunden und Mitarbeiter schaffen“, so Felix Binsack, Geschäfts- und ein Consulting-Unternehmen. Gleichzeitig Prozess-Know-how führer der TIMETOACT GROUP. – aus einer Hand sind wir Cloud-Automation-Partner für Soft- ohne Vendor Lock-in.“ wareunternehmen“, so Dr. Sebastian Ritz, Ge- (Foto: Friedhelm Loh Die IPG integriert und betreibt ausschließlich Identity-and-Access-Manage- schäftsführer der German Edge Cloud. n Group) ment-Lösungen für alle wesentlichen Wirtschaftszweige und wird seine Aktivitäten in Deutschland massiv erweitern. Auch wenn die IPG nach dem Zusammenschluss eigenständig bleibt, so werden die beiden Unterneh- mensgruppen künftig mit vereinten Kräften Identitäts-, Zugriffs- und Governance-Lösungen im DACH- Markt vorantreiben. n Marco Rohrer, CEO IPG Gruppe (links) und Felix Binsack, Geschäftsführer TIMETOACT GROUP (Foto: TIMETOACT) 6 IT-SICHERHEIT_1/2021
UNTERNEHMEN | NEWS HORNETSECURITY KAUFT VEEAM- NEUGRÜNDUNG K4 DIGITAL: GANZ- KONKURRENT ALTARO HEITLICHE DIGITALISIERUNG UND Es wird fast zur Tradition: Hornetsecurity star- CYBERSICHERHEIT FÜR DIE INDUSTRIE tet fulminant ins neue Jahr und verkündet eine Unter dem Dach der K4 DIGITAL haben sich im letzten Quartal 2020 zwölf weitere erfolgreich abgeschlossene Übernah- der renommiertesten deutschen Security- und Branchenexperten for- me. Mit der Bekanntgabe übernimmt Hornet- miert, um das Thema Cybersicherheit für Industrieunternehmen in einer security 100 Prozent der Anteile des wachs- neuen, ganzheitlichen Form zu realisieren. Im Gegensatz zum typischen tumsstarken internationalen Anbieters für IT-zentrierten Ansatz einer klassischen Systemhausdienstleistung un- Back-up-Lösungen, Altaro. Nach der Übernahme terstützt K4 DIGITAL Unternehmen und Organisationen bei der Planung des spanischen Marktführers für Cloud-E-Mail- „Mit der Integration und Realisierung von unternehmensübergreifenden Security-Prozessen, Security-Lösungen Spamina im Januar 2019 und der Back-up-Lösungen um diese gegen heutige und künftige Cyberrisiken zu schützen. Auf Basis der Akquisition des englischen Country Partners von Altaro in Hornet- einer umfassenden Workforce Transformation vereint K4 DIGITAL indus securitys E-Mail Cloud EveryCloud zum Jahresbeginn 2020 erschließt Security Produktport- trielle Prozesse mit der Digitalisierung und der Cybersicherheit unter der europäische Cloud-Security-Spezialist dieses folio vervollständigen einer einheitlichen Management- und Sicherheitsstrategie – beispiels- Mal ein neues Produktsegment, das die eigenen wir das Puzzle eines weise in den Bereichen Produktion, kritische Infrastrukturen, Verkehr Services um zuverlässige Back-up-Lösungen umfassenden Security- und Logistik, Versorgung, Gebäude- und Städteentwicklung (Smart City Pakets“, so Daniel ergänzt. Damit wird Hornetsecurity zu der Euro- Hofmann, CEO von und Smart Building), um nur einige zu nennen. päischen Antwort auf Security und Compliance Hornetsecurity. im Microsoft-365-Umfeld. (Foto: Hornetsecurity) Das Team unter der Leitung von Michael Krammel setzt auf eine interdis- ziplinäre und ganzheitliche Herangehensweise, welche dem tatsächli- „Alle Altaro-Gründer bleiben an Board und erhalten eine neue Rolle in- chen heutigen Stand der Industrie gerecht wird. Im Fokus stehen nicht nerhalb der Hornetsecurity Gruppe. Die bestehenden internationalen nur die technischen Möglichkeiten und Argumente, die sich ausschließ- Standorte werden in den nächsten Jahren weiter ausgebaut, um unsere lich auf die IT-Infrastruktur beziehen, sondern das integrale Zusammen- Partner noch schneller mit neuen Produkten und Lösungen zu versor- wirken in Geschäftsmodellen, Organisationsstrukturen, Prozessen, Tech- gen“, betont Daniel Hofmann, CEO von Hornetsecurity. „Unser Ziel ist es, nologien und allem voran Menschen. n allen Unternehmen eine vollständige Security- und Compliance-Lösung für ihren Einsatz von Cloud-Technologien zu bieten. Mit der Integration der Back-up-Lösungen von Altaro in Hornetsecuritys E-Mail Cloud Secu- SOPHOS ALS COMMON VULNERA rity Produktportfolio vervollständigen wir das Puzzle eines umfassenden BILITY AND EXPOSURE NUMBERING Security-Pakets.“ n AUTHORITY (CVE) ANERKANNT Sophos wurde als Common Vulnerabilities and Exposures (CVE) Num- IVANTI SCHLIESST ÜBERNAHME bering Authority (CNA) im CVE-Programm anerkannt. Das CVE ist ein VON MOBILEIRON UND PULSE SECURE internationaler Standard zur Identifizierung und Benennung von Cyber- ERFOLGREICH AB sicherheitslücken. Mit der Aufnahme ist Sophos berechtigt, internati- Ivanti hat den Abschluss der Übernahmen von MobileIron und Pulse onal gültige CVE-Kennungen für Sicherheitslücken im Rahmen seiner Secure LLC, bekannt gegeben. MobileIron ist ein führender Anbieter von Produkte zu vergeben. Der Vorteil besteht darin, dass Sicherheitsforscher Unified-Endpoint-Management-Lösungen mit dem Fokus auf Mobil- nun direkt mit Sophos zusammenarbeiten können, um CVEs für die Pro- geräten. Pulse Secure ist im Bereich der sicheren Zugangslösungen und dukte des Unternehmens zu vergeben. Dies erleichtert die Prozesse des mobilen Sicherheitsanwendungen führend. Durch den Zusammen- Reportings sowie die Zuweisung von CVEs. schluss festigt Ivanti, das von Clearlake Capital Group, L.P. und TA Associ- ates unterstützt wird, seine Position als weltweiter Marktführer in den Das CVE-Programm ist ein internationales Gemeinschaftsprojekt, das Bereichen Unified Endpoint Management (UEM), Zero Trust Security und ein offenes Register für Schwachstellen anhand von CVEs führt. Es steht IT Service Management (ITSM). Sicherheitsforschern und Anbietern von Informationstechnologie zur Verfügung. Die Verwendung einer gemeinsamen Bezeichnung erleichtert „Wir freuen uns, die Teams von MobileIron und Pulse Secure in der Ivanti die gemeinschaftliche Nutzung und den Abgleich von Daten zwischen Familie willkommen zu heißen“, sagte Jim Schaper, Vorstandsvorsitzen- unterschiedlichen Security-Datenbanken und -Tools, die Schwachstellen der und CEO von Ivanti. „Unsere Plattform für intelligente Nutzererfah- finden und listen. n rungen wird das geschäftliche Leben durch Hyper-Automatisierung und sichere Verbindungen auf jedem Gerät, für jeden Benutzer, wo und wie auch immer er arbeitet, unterstützen. Unsere Kunden können auf diese Weise freier zusammenarbeiten und innovieren, während gleichzeitig das Risiko von Datenverstößen verringert und die Erfahrungen der Mitar- beiter verbessert werden.“ n IT-SICHERHEIT_1/2021 7
NEWS | PRODUKTE NEUE AWARENESS-PLATTFORM GARANTIERTER SCHUTZ ERLAUBT MEHRERE AWARENESS- VOR SCHADSOFTWARE OHNE TRAININGS IN EINER KAMPAGNE MEHRAUFWAND Das Schweizer Unternehmen Lucy Security präsentiert seine neue Ver- Der Antivirus-Hersteller SecuLution aus Werl hat mit SecuLution sion 4.7.7.der Lucy Awareness-Plattform. Bei der neuen Version wurde Application Whitelisting 2.0 den Aufwand, den Whitelisting vor allem das Learning Management System (LMS) optimiert und aus- bislang für Admins bedeutete, auf ein Minimum reduziert; ein gebaut. Mit Lucy Security erhalten Unternehmen eine Standard-Soft- patentiertes Automatisierungsverfahren macht es möglich. wareplattform an die Hand, um mittels Angriffssimulationen Mitarbei- ter zu schulen. Außerdem können sie mit Malware-Simulationen die Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unternehmensweite Infrastruktur prüfen und mit der Lernplattform empfiehlt bereits im Grundschutz-Kompendium 2018 den Mitarbeiter zu speziellen Cybersecurity-Themen trainieren. Die Ergeb- Einsatz von Application Whitelisting: Gegenüber herkömmlicher nisse der verschiedenen Tests werden mit der Softwareplattform lau- Antivirensoftware bieten Whitelisting-Lösungen den Vorteil fend überprüft und schließlich mit Reporting-Funktionen angereichert. hundertprozentigen Schutzes – was nicht bekannt ist, wird So werden Mitarbeiter dazu motiviert, ein umfassendes Sicherheitsver- nicht ausgeführt. Unter Administratoren gilt Whitelisting ständnis zu entwickeln und souverän umzusetzen. jedoch als arbeitsintensiv; dagegen schaffte SecuLution bereits mit der Startversion Abhilfe. Neu bei der neuen LUCY-Plattform ist unter anderem die Funktion, dass in einer Awareness-Kampagne mehrere Kurse gebündelt werden Die Version 2.0 will nun endgültig mit dem Vorurteil können. Kursbibliotheken können ab sofort sehr einfach erstellt und aufräumen, Whitelisting sei aufwendig. Auf dem AdminWizard im LMS den Benutzern zur Verfügung gestellt werden. Zudem wurde Dashboard sehen Admins auf einen Blick, was auf den das Benutzermanagement optimiert: Nutzerkonten von verschiedenen Endpoints passiert. Anpassungen von .config-Dateien oder Anwendergruppen können beispielsweise über Schnittstellen mit der Batch-Jobs gehören der Vergangenheit an. Der Agent arbeitet LUCY-Software synchronisiert werden (gruppenbasiertes LDAP-Sync). nahtlos mit einer automatisch lernenden VM und der von Die Lucy-Security-Plattform 4.7.7 ist ab sofort als Download verfügbar. n SecuLution-Mitarbeitern gepflegten TrustLevel-Datenbank zusammen. Admins haben nun mehr Kontrolle und deutlich weniger Arbeit. Neben der kostenlosen 60-tägigen Teststellung bietet SecuLution ab der Version 2.0 eine vollständige Geld- COMMUNITY-WEBSEITE FÜR zurück-Garantie. DevSecOps-TEAMS www.seculution.de Viele Unternehmen setzen heute auf einen kontinuierlichen Integra- tions- und Implementierungsansatz. Der Zyklus ist kürzer geworden, vor allem dank DevOps, das auf Automatisierung und die Bünde- lung sich ergänzender Fähigkeiten setzt, um die Wertschöpfung und Reaktionsfähigkeit von Unternehmen zu erhöhen. DevOps-Teams sind angehalten, Anwendungssicherheit bereits in der Designphase zu in- KUBERNETES-NATIVE SPEICHER- tegrieren, indem sie Kontrollfunktionen in den Code ihrer APIs und An- FUNKTIONEN FÜR EDGE-SZENARIEN wendungen selbst einbauen. SUSE, Anbieter der Rancher Container-Management-Plattform, stellt Longhorn 1.1 vor. Seit Oktober 2019 ist Longhorn ein Sandbox-Projekt Rohde & Schwarz Cybersecurity bietet seit rund zwanzig Jahren Web- der Cloud Native Computing Foundation (CNCF). Mit der allgemeinen Application-Firewall-Technologien an und macht diese mit R&S Trusted Verfügbarkeit von Longhorn im Juni 2020 ist die Adaption seither um Application Factory für Entwickler zugänglich. Diese Sicherheitslösung 235 Prozent gestiegen und das Projekt gilt heute eine zentrale Größe, ist für DevSecOps-Teams gedacht. Sie wird als Container bereitgestellt wenn es um Kubernetes und Storage geht. Die neue Version ermöglicht und kann an jede cloudbasierte native Anwendung angedockt werden. Rancher-Anwendern die Nutzung einer Kubernetes-nativen Speicher Im Rahmen des kürzlich erfolgten Launches von R&S Trusted Applica- lösung auf eingeschränkter Hardware in Edge-Umgebungen. tion Factory macht Rohde & Schwarz Cybersecurity seine neue Com- munity-Webseite offiziell: https://dev-appsec.rohde-schwarz.com/. Mit Longhorn 1.1 profitieren DevOps-Teams von der einfachen Verwal- Die Seite richtet sich an Anwendungsentwickler, Cloud- und Security- tung persistenter Daten in beliebigen Kubernetes-Umgebungen sowie Experten, operative Teams, die für Sicherheit und digitale Transforma- einem herstellerneutralen Ansatz für Cloud-nativen Speicher für den tion zuständig sind, sowie an IT- und Business-Führungskräfte, die in Unternehmenseinsatz. Rancher-Anwender sollen mit diesem neuen ihrem Unternehmen agile Prozesse – „digitale Fabriken“ – aufgesetzt Update die Belastbarkeit ihrer Edge-Umgebungen erhöhen, etwa durch haben oder in naher Zukunft umsetzen. Das Ziel der neuen Plattform ARM64-Unterstützung, neue Selbstheilungsfunktionen und verbesserte ist es, DevSecOps-Teams bei der Bewältigung ihrer täglichen Aufgaben Transparenz in Sachen Performance von Longhorn 1.1. n zu unterstützen. n 8 IT-SICHERHEIT_1/2021
PRODUKTE | NEWS DATENRESILIENZ FÜR KUBERNETES- CYBER DEFENSE SERVICES FÜR APPLIKATIONEN ZUVERLÄSSIGEN RUNDUMSCHUTZ Red Hat präsentiert Red Hat OpenShift Container Storage 4.6 mit neuen © sdecoret - stock.adobe.com Datenresilienz-Funktionen für Cloud-native Workloads in Hybrid- und Multicloud-Umgebungen. Je stärker Unternehmen die Kubernetes- Technologie für geschäftskritische Anwendungen nutzen, desto mehr benötigen sie auch Lösungen für die Datenstabilität. Mit Red Hat OpenShift Container Storage 4.6 können Unternehmen nun ihre beste- henden Datensicherungsfunktionen auf Kubernetes-Anwendungen erweitern, ohne dass zusätzliche Technologien oder Infrastruktur- Upgrades erforderlich sind. Das Produkt ist eng mit der Enterprise- Kubernetes-Plattform Red Hat OpenShift integriert und bietet folgende Viele Unternehmen unterschätzen die Gefahr von Cyberkriminellen. Datenresilienz-Features: Dabei stellen virtuelle Attacken eine der größten Bedrohungen dar. Denn sowohl die Angriffsflächen von Firmen als auch die Anforderungen Eine Snapshot-Funktion, orchestriert durch das Container Storage an die Security-Abteilungen wachsen. Gerade umfangreiche IT-Um- Interface (CSI), für anpassbare Point-in-Time-Snapshots und Clones gebungen mit älteren Anwendungen lassen sich schwer kontrollieren. von persistenten Datenvolumina. IT-Administratoren und Anwen- Controlware unterstützt als renommierter deutscher Systemintegrator dungsentwickler können damit schneller zu einem früheren Zustand und Managed Service Provider mit individuellen Lösungen rund um zurückkehren. Cyber Defense Services. OpenShift APIs für die Datensicherheit, um Daten und Anwendun- Von der Risikoerkennung über die Analyse bis hin zur Abwehr: Die gen, die in Container-Pods laufen, korrekt wiederherzustellen. Un- Experten im Controlware Cyber Defense Center (CDC) am Standort ternehmen des Partner-Ökosystems von Red Hat können damit ihre Deutschland unterstützen Kunden umfangreich und nachhaltig. Mit Datensicherungslösungen effizienter in OpenShift integrieren. dem Lösungsportfolio bietet Controlware Kunden vier unterschiedliche Service-Module, die individuell miteinander kombiniert werden können. Eine Unterstützung eines umfassenden Ökosystems führender An- Das erste Modul ist der Advanced Threat Detection Service (ATD). Dieser bieter von Back-up-Lösungen, darunter die von Red Hat zertifizierten schützt durch eine KI-gestützte Anomalie-Erkennung im Netzwerk- Lösungen IBM Spectrum Protect Plus, TrilioVault für Kubernetes und Datenverkehr Infrastrukturen und Daten vor Cyberangriffen und hilft Kasten K10 von Veeam. Unternehmen, schneller auf Attacken zu reagieren. Einen ähnlichen Ansatz verfolgt das zweite Modul, der Client-basierte Endpoint Die neuen Datenresilienz-Funktionen sind mit Red Hat OpenShift Detection & Response Service (EDR). Des Weiteren ist Controlware mit © Nizwa Design - stock.adobe.com Container Storage 4.6 ab sofort verfügbar. n dem Vulnerability Management Service (VMS) in der Lage, Schwach stellen regelmäßig zu analysieren und zu überwachen. Zudem erlaubt der VMS einen vollständigen Überblick über die Angriffspunkte kritischer Assets. Im Portfolio enthalten ist zudem der Advanced-Log- Analytics-Service (ALA). Hier führen die Experten des CDC die Log-Files des Kunden zunächst in einem Log-Management-System zusammen. Anschließend werden die Daten mithilfe leistungsstarker SIEM- und Verhaltensanalyse-Tools konsolidiert, angereichert und korreliert, um Hinweise auf Anomalien und potenzielle Angriffe zu erhalten. n NEUE ASSET DISCOVERY- UND M ONITORING-SERVICES CybelAngel gibt die Verfügbarkeit neuer Dienste für seine KI-gestützte CybelAngel visualisiert und priorisiert die Risiken dieser, bis dato nicht Sicherheits-Plattform bekannt. Diese wird mit den Funktionen Asset verwalteten Systeme direkt von der SaaS-Oberfläche der Plattform Discovery und Monitoring um umfangreiche Schutzmaßnahmen ge- aus. Dafür wird weder neue Hardware benötigt, noch muss zusätzli- gen digitale Risiken erweitert. Die Plattform und das Analystenteam ches Personal eingestellt werden. Anwender haben durch die neuen von CybelAngel wollen damit in der Lage sein, bisher verborgene Ge- Funktionen einen deutlich besseren Überblick über die Risiken für räte und gefährliche Dienste adhoc zu identifizieren, die von Sicher- Unternehmen, Marken und Compliance. CybelAngel Asset Discovery heitsteams bisher nicht entdeckt wurden. Zu diesen Schatten-Assets and Monitoring ist ab sofort erhältlich. Die Lösung ist mit Port- und gehören beispielsweise Datenserver, Cloud-Datenbanken, Industriesys- Schwachstellen-Scannern gekoppelt ermöglicht die rasche Erkennung teme und IoT-Geräte. Das Spektrum reicht dabei von Consumer-Endge- von Schatten-IT. Die CybelAngel-Lösung arbeite laut Hersteller ohne räten bis hin zu medizinischen Geräten. False Positives und liefere nur verifizierte Ergebnisse. n IT-SICHERHEIT_1/2021 9
AUS DER SZENE Der Einfluss Künstlicher Intelligenz auf menschliche Selbstbestimmung HANDLUNGS EMPFEHLUNGEN FÜR EINE VERTRAUENS WÜRDIGE KI Künstliche Intelligenz (KI) beeinflusst schon heute unser Leben und wird dies in Zukunft noch stärker tun. KI-basierte Technologien bringen viele Vorteile, aber ebenso Risiken mit sich. Ein neues Impulspapier des vom Fraunhofer ISI koordinierten Forschungsverbunds Forum Privatheit gibt in diesem Kontext 15 Empfehlungen, wie die menschliche Selbstbestimmung trotz Künstlicher Intelligenz nicht nur erhalten, sondern sogar gefördert werden kann. 10 IT-SICHERHEIT_1/2021
AUS DER SZENE I HINWEIS n den letzten Jahren haben KI-Techno- Das Thema „Ethische KI“ rinnen und Verbrauchern meint dies insbe- logien rasante Fortschritte gemacht und hat IT-SICHERHEIT auch in sondere die Stärkung von Einrichtungen wie werden bereits in den unterschiedlichs- zwei Beiträgen in der Rubrik Datenschutzbehörden oder Verbraucherschutz- ten Ausprägungen in Wirtschaft, Industrie oder „Forschung und Technik“ organisationen, um unabhängige Kontrollen im der Medizin sowie vielen anderen Bereichen dieser Ausgabe ausführlich KI-Bereich durchführen zu können. Schließlich eingesetzt. Im Fokus stehen häufig die Vorteile, unter unterschiedlichen möchte Deutschland und Europa den so ge- welche KI unbestritten mit sich bringt: So kann nannten ‚dritten Weg‘ gemeinwohlorientierter Gesichtspunkten thematisiert. der Einsatz von KI-Technologien im Gesund- KI und nicht den des rein profitorientierten Digi- heitswesen – etwa bei Menschen mit Seh- talkapitalismus weltweit dominanter IT-Firmen oder Hörbehinderungen – Wahrnehmungsein- oder des totalitären Digitalautoritarismus chine- schränkungen ausgleichen. Ein weiteres, weit sischer Spielart gehen.“ verbreitetes Einsatzgebiet ist personalisierte Der vom Fraunhofer ISI koordinierte Forschungs- Werbung, die etwa auf das persönliche Profil verbund Forum Privatheit hat in diesem Kontext Dass KI-gestützte Massenbeeinflussung in der von Nutzerinnen und Nutzern von Social-Me- ein Impulspapier zum Thema „Künstliche Intelli- Praxis funktioniert, ist laut Impulspapier durch dia-Plattformen zugeschnitten ist. genz und Selbstbestimmung“ verfasst und dabei verschiedene Studien deutlich geworden. In einer 15 Handlungsempfehlungen für eine vertrau- Studie seien beispielsweise mehr als drei Millio- Wenn personalisierte Werbung allerdings in enswürdige KI formuliert, welche menschliche nen Facebook-Nutzer mit personalisierter Wer- Abhängigkeit von psychometrisch ermittelten Selbstbestimmung trotz Künstlicher Intelligenz bung angesprochen worden, die in Abhängigkeit Persönlichkeitseigenschaften individualisiert, nicht nur erhalten, sondern sogar fördern können. von psychometrisch ermittelten Persönlichkeits- also mittels „Micro-Targeting“ ein psychologi- eigenschaften individualisiert wurde. Bei Wer- sches Profil erstellt beziehungsweise die Per- HANDLUNGS bung, die auf das psychologische Profil, also etwa sönlichkeit eines Menschen digital ausgelesen EMPFEHLUNGEN die gemessene Extra- oder Introvertiertheit einer wird, ist dies durchaus problematisch. Die auf Person abgestimmt war, ergab sich demnach solche Weise erzeugten individualisierten Mar- Eine der Empfehlungen lautet, dass algorith- eine signifikant höhere Klick- und Kaufrate als keting- oder Wahlkampfbotschaften können mischen Entscheidungssystemen mit Auswir- bei nicht-individualisierter Werbung. Dass ein auf Verhaltensmanipulation begünstigen, was in kungen auf das menschliche Zusammenleben Gefühle oder Instinkte abzielendes „Micro-Tar- fundamentalem Widerspruch zur Idee mensch- demokratisch festgelegte Fairnesskriterien zu- geting“ im großen Stil funktioniere, zeigten auch licher Selbstbestimmtheit steht. Dies gilt eben- grunde liegen müssen. Zudem sollte der Grad an die Wahlbeeinflussungen der vergangenen Jahre, falls, wenn Algorithmen über Kreditwürdigkeit Schutzmechanismen – etwa durch Regulierung sei es in der Leave.EU-Kampagne in Großbritan- und Bildungschancen von Menschen „ent- seitens des Gesetzgebers – mit steigendem nien oder dem US-Wahlkampf der Republikani- scheiden“ oder selbstlernende Computersyste- Schädigungspotenzial einer KI zunehmen. Neben schen Partei 2016. Unternehmen wie Cambridge me täuschend echte Bilder, Texte oder Videos verstärkten Pflichten für Produkt- beziehungs- Analytica hätten sich auf diese Art der Wahlbe- synthetisch erstellen und diese dazu eingesetzt weise Technologiehersteller potenziell gefährli- einflussung spezialisiert. werden, um Menschen zu schaden (Deepfakes). cher KI-Anwendungen sollte auch die Vertretung von Betroffeneninteressen gestärkt werden. Das Impulspapier ist Teil der Forschungsaktivi- GRUNDLAGEN FÜR EINE Zivilgesellschaftliche Initiativen und Intermedi- täten des Fraunhofer ISI im Bereich Künstliche VERTRAUENSWÜRDIGE KI äre, wie Datenschutz-Aufsichtsbehörden oder Intelligenz. Dabei werden die Entwicklung und Verbraucherschutzorganisationen, würden bei Implementierung von KI aus einer Innovati- Um einem derartigen missbräuchlichen Einsatz einer derartigen Konzeption einerseits Beratung onsperspektive analysiert. Der KI-Forschung vorzubeugen, sollte KI der Idee einer gemein- über Risiken durch KI anbieten und andererseits am Fraunhofer ISI liegt ein systemischer Ansatz wohlorientierten Technikentwicklung folgen, bei der kritischen Bewertung von KI-Anwendun- zugrunde, der die technischen, wirtschaftlichen, die den Erhalt und Ausbau demokratischer gen, ihrer Zertifizierung und der Vertretung von politischen und gesellschaftlichen Aspekte in Werte und Grundrechte zum Ziel haben. Da- Betroffeneninteressen mitwirken. den Blick nimmt und sowohl Potenziale als auch her ist es besonders wichtig, schon heute die kritische Effekte von KI benennt. n Grafik: © Jiw Ingka - stock.adobe.com Grundlagen für eine vertrauenswürdige KI zu KRITISCHE BEWERTUNGS legen, gerade weil eine vollständige Transpa- KOMPETENZEN STÄRKEN S.M. renz und Kontrolle über KI – so wie auch über andere komplexe Technologien – gar nicht Murat Karaboga, Privacy-Forscher am Fraunho- möglich und auch nicht realistisch ist. Dennoch fer ISI und Mitautor des Impulspapiers, unter- Eine Kurzversion des Impuls sollten Menschen KI-basierte Entscheidungs- streicht: „Künftig sollte die kollektive Beteiligung papiers ist hier verfügbar: logiken verstehen können, weshalb Prinzipien an der Gestaltung von KI ein stärkeres Gewicht Dort gibt es auch einen Link zur wie Transparenz und Nachvollziehbarkeit eine erhalten. Neben der Förderung der kritischen ausführlichen Version des Papiers. wichtige Rolle zukommt. Bewertungskompetenz bei den Verbrauche- IT-SICHERHEIT_1/2021 11
AUS DER SZENE eco übernimmt Projektmanagement der GAIA-X Federation Services OFFENHEIT DURCH OPEN-SOURCE-ANSATZ Gemeinsam mit Partnern wird der eco – Verband der Internetwirt- schaft e.V. die GAIA-X Federation Services spezifizieren. Zu diesem Zweck hat er ein Project Management Office (PMO) eingerichtet und fünf Arbeitspakete definiert. Das Bundesministerium für Wirtschaft und Energie (BMWi) fördert das Projekt mit rund 13,5 Millionen Euro. Bis April 2021 sollen die Spezifikationen stehen. M it dem Projektstart haben wir den Grundstein dafür gelegt, das Leistungsversprechen von GAIA-X einzulösen“, sagt Andreas Weiss, Geschäftsbereichsleiter Digitale Geschäftsmo- nutzergruppen auch als Teil von GAIA-X selbst organisieren, sofern sie mit den entsprechenden Regeln konform gehen. EINHEITLICHER DATEN- INNOVATIVES ÖKO SYSTEM FÜR DATEN UND SERVICES „Die aktuelle COVID-19-Situation zeigt, dass delle im eco-Verband. „Bei GAIA-X handelt es UND SERVICERAUM AUF stabile und resiliente digitale Infrastrukturen sich um ein föderatives Konzept. Dies schafft und Dienste von großer Bedeutung sind“, sagt einen Raum für Selbstbestimmtheit, den wir in BASIS GEMEINSAM VER- Andreas Weiss. Für Anbieter im Infrastruktur Deutschland und Europa sehr zu schätzen wis- EINBARTER REGELN ökosystem bieten sich durch die standardisierte sen.“ In diesem Sinne sollen auch die Dienste Im Zentrum der ersten Spezifikationsrunde bis Vernetzung neue Möglichkeiten, innovative und zum Föderieren (Federation Services) innerhalb zum Frühjahr 2021 stehen die fünf GAIA-X Kern- maßgeschneiderte Angebote auf den Markt zu des GAIA-X Ökosystems als Open Source erstellt services Identity & Trust, Federated Catalogue, bringen. Sie können beispielsweise ihre Services werden. Auf dieser Grundlage können sich Be- Sovereign Data Exchange, Compliance und Fede- miteinander verknüpfen, gemeinsam weiterent- ration Services Integration & Portal. In den fünf wickeln, ausbauen und skalieren. Arbeitspaketen geht es vor allem darum, die wei- tere Entwicklung zu unterstützen und die Inter- Das Ziel von GAIA-X ist die Konzeption einer operabilität aller Gewerke zu gewährleisten. Das föderierten Dateninfrastruktur mit Fokus auf Projekt startet mit einer Phase zur Spezifizierung Datensouveränität und Datenverfügbarkeit, ba- der Anforderungen mit dem Ziel, im April mit der sierend auf europäischen Standards und Werten, Ausschreibung der einzelnen Gewerke zu starten. mit dem Ziel, Innovation in Europa zu fördern. In der GAIA-X-Initiative haben sich in kürzester Das angestrebte GAIA-X Regelwerk möchte Da- Zeit schon mehr als 300 Unternehmen und Or- Grafik: ©Nuthawut - stock.adobe.com Die aktuelle COVID-19- tenökosysteme und Infrastrukturökosysteme ganisationen mit über 500 Personen aktiv in die Situation zeigt, dass stabile miteinander verknüpfen. Im Ergebnis soll ein Gestaltung von GAIA-X eingebracht. Davon sind und resiliente digitale föderiertes und interoperables Gesamtökosys- 75 Prozent der Privatwirtschaft zuzuordnen, wo- tem entstehen. Teilnehmer könnten Daten und von wiederum die Hälfte zum Bereich der klei- Infrastrukturen und Dienste Services souverän über sektorspezifische Daten- nen und mittleren Unternehmen (KMU) zählt. n von großer Bedeutung sind“ räume hinweg nutzen. Alle Daten- und Service- ANDREAS WEISS, Angebote seien transparent und die Abhängig- Geschäftsbereichsleiter Digitale Geschäfts- keiten von einzelnen Anbietern, sogenannte modelle im eco-Verband. (Foto: eco) Lock-in-Effekte, würden reduziert. S.M. 12 IT-SICHERHEIT_1/2021
– ADVERTORIAL – Corona-Pandemie: Digitale Weiterbildungen laut Studie gefragt wie nie zuvor Die Corona-Krise treibt die Nachfrage nach Online-Weiterbildun- dem eigentlichen Angebot. Kostenfreie Schulungen können ein gen bei Erwerbstätigen in die Höhe. Fast 90 Prozent der Befragten Einstieg in neue Themengebiete sein und das Grundlagenwissen haben seit Beginn der Pandemie an digitalen Schulungen teilge- vermitteln“, sagt Anja Olsok, Geschäftsführerin der Bitkom Service- nommen. Häufig erfüllen diese Formate zur beruflichen Weiter- gesellschaft. Gleichzeitig betont sie: „Zur strategischen Weiterbil- entwicklung jedoch nur bedingt die Erwartungen der Teilnehmen- dung von Fachkräften und Spezialisten sind jedoch ausreichende den. Gleichzeitig wächst der Bedarf an tiefergehenden virtuellen Weiterbildungsbudgets sowie individuell bemessene zeitliche Bildungsmaßnahmen für Fach- und Führungskräfte. Zu diesen Ressourcen von zentraler Bedeutung.“ Ergebnissen kommt eine aktuelle Studie der Bitkom Akademie in Zusammenarbeit mit der Transformationsberatung HRpepper Weiterbildungsanbieter reagieren auf Management Consultants. steigende Nachfrage Etwa jeder Dritte nutzt mehr Arbeitszeit Der steigende Bedarf an virtuellen Weiterbildungen sorgt für neue zur Qualifizierung Angebote. So hat die Bitkom Akademie seit Beginn der Corona- Krise ihr Programm an digitalen Weiterbildungen stetig ausgebaut. Fast jeder dritte Erwerbstätige (31 %) hat sich seit März mehr Zeit Neben kostenfreien Live-Online-Seminaren bietet die Bitkom Aka- für berufliche Weiterbildungen genommen. Besonders stark wuchs demie nun auch verstärkt Online-Ausbildungen mit Zertifikatsprü- die Nachfrage nach kostenfreien Online-Seminaren, virtuellen fungen sowie virtuelle Workshops an. Erst kürzlich wurden neue Konferenzen und digitalen Workshops. So gaben etwa neun von Seminare in das Portfolio der Tochtergesellschaft von Deutschlands zehn Befragten an, kostenfreie Online-Seminare besucht zu haben. führendem Digitalverband Bitkom aufgenommen. Ebenfalls häufig nachgefragt waren kostenlose Web-Konferenzen (68 %) sowie digitale Workshops (49 %). Unter den kostenpflich- Weiterbildung 2025 – wie die Zukunft des tigen Formaten waren Trainings und Workshops die am meisten Lernens gestaltet wird genutzten Angebote. Ungefähr jeder fünfte Befragte hatte ein sol- ches Seminar absolviert. „Unsere Studie zeigt, dass viele Beschäf- In ihrer gemeinsamen Studie Weiterbildung 2025 haben die Bitkom tigte ihre zeitlichen Ressourcen bewusst zur Qualifizierung für Akademie und die Transformationsberatung HRpepper Manage- kommende Herausforderungen nutzen. Damit übernimmt bereits ment Consultants die Zukunft des Lernens – aber auch die akuten jetzt ein Großteil selbst die Verantwortung für die eigene berufliche Auswirkungen der COVID-19-Pandemie auf die Weiterbildungsland- Weiterentwicklung“, sagt Dr. Matthias Meifert, Managing Partner schaft – untersucht. Dafür wurden etwa 400 Fach- und Führungs- der HRpepper Management Consultants. kräfte befragt sowie fast ein Dutzend Experteninterviews geführt. Hohe Erwartungen an kostenfreie Inhalte Die Studie steht online zum kostenfreien Download bereit: bitkom-akademie.de/weiterbildung-2025 Die Studie offenbart ein deutliches Ungleichgewicht zwischen den Erwartungen der Teilnehmer und den angebotenen Inhalten. Fast die Hälfte der Befragten war nur teilweise oder nicht zufrieden mit den genutzten Weiterbildungsangeboten. „An dieser Stelle zeigt sich eine Diskrepanz zwischen der Erwartungshaltung und
AUS DER SZENE Bringt die neue Arbeitskultur nach COVID-19 mehr Frauen in die IT? WANDEL IN DER IT-(SICHERHEIT-)SZENE Der Mangel an Frauen in der IT ist nach wie vor eine große Herausforderung für die gesamte Branche. Ein spezifischer Blick auf die Cybersicherheit – eine der wichtigsten Wachstumsbranchen der IT – unterstreicht die Tiefe des Problems, aber auch die potenziellen Chancen für alle Beteiligten. Können die jüngsten Veränderungen in der Arbeitskultur Unternehmen helfen, den Fachkräftemangel zu überwinden – und mehr Frauen in die IT-Branche bringen? D er Mangel an Fachkräften im IT- Bereich ist seit Jahren ein ernstes Problem. Insbesondere kleinere Unternehmen in eher ländlichen Regionen ha- ben oft Schwierigkeiten, qualifizierte Mitarbei- lehrern gemacht. Was einst im professionel- len Umfeld als undenkbar galt, wird heute als menschlich akzeptiert: Der Postbote klingelt während des Zoom-Meetings an der Tür, Kinder tauchen am Schreibtisch auf und fordern Auf- Bereich der Cybersicherheit im Jahr 2020 „nur“ noch bei 3,12 Millionen Beschäftigten – ein Rückgang von über vier Millionen Beschäftigten gegenüber dem Vorjahr. Trotzdem ist das noch eine riesige Anzahl und eine anhaltende Quelle ter für die Besetzung offener Stellen zu finden. merksamkeit, und Katzen finden den Weg vor von Schwierigkeiten für Organisationen, die Dies beeinträchtigt nicht nur das Tagesgeschäft, die Web-Kamera. händeringend nach Mitarbeitenden suchen. sondern hindert Unternehmen auch daran, wichtige Projekte für die digitale Transforma- Es ist sehr wahrscheinlich, dass das Homeoffice DER WERT UNTER- tion umzusetzen. Mehr Frauen in der IT-Bran- auch nach der Corona-Krise deutlich häufiger SCHIEDLICHER TALENTE che könnten die Lösung des Problems für eine genutzt werden wird als vorher. Dies könnte Branche sein, die nach neuen Talenten lechzt. nicht nur die Work-Life-Balance der Mitarbeiter Wie viele andere Industriezweige, müsste auch Die aktuelle Pandemie könnte eine Gelegenheit verbessern, sondern auch dazu beitragen, zwei die Cybersicherheit mehr Frauen auf allen Ebe- bieten, einen Wandel einzuleiten. wichtige Probleme in der IT zu beseitigen: den nen einstellen. Angefangen bei den Frauen, die Mangel an Fachkräften und die Erhöhung des ganz am Anfang ihrer Karriere stehen, bis hin PANDEMIE BIETET CHAN- Frauenanteils in der Branche. zu etablierteren, erfahrenen Fachkräften. Ein CEN FÜR EINEN WANDEL Haupthindernis für viele Frauen, Karriere zu Beispiel Cybersicherheit: Zwar lag nach neuen machen ist es jedoch, nach einer längeren Pause Nationale Lockdowns und Social Distancing Untersuchungen von ISC2 (The International in den Beruf zurückzukehren. Grund dafür ist haben viele Arbeitskräfte in das Homeoffice Information System Security Certification Con- meist die fehlende Flexibilität der Arbeitgeber: getrieben und berufstätige Eltern zu Teilzeit- sortium) der weltweite Arbeitskräftemangel im Nach dem Mutterschaftsurlaub haben Mütter 14 IT-SICHERHEIT_1/2021
AUS DER SZENE nach der Geburt eines Babys den Weg zur Rück- DIE WELT WIRD ZUM kehr an den Arbeitsplatz zu ebnen. Heute wer- TALENTPOOL den sie jedoch oft nach einer längeren Pause für ein breiteres Spektrum von Situationen auf alle Da Fernarbeit in den meisten Organisationen Frauen ausgeweitet. Um qualifizierte Frauen wahrscheinlich eine Option bleiben wird und anzuwerben, haben einige größere Unterneh- vielerorts langfristig die „neue Normalität“ ist, men damit begonnen, umfassendere Program- haben leitende Manager und Personalabtei- me zur Unterstützung anzubieten, in denen sie lungen jetzt eine sehr gute Gelegenheit, ihre feste Stellen mit Teilzeit oder flexiblen Arbeits- Belegschaft zu diversifizieren, indem sie Talente zeiten ausschreiben. aus der ganzen Welt rekrutieren. Dies kann Vorteile bieten, da vielfältige Teams Kreativi- Diese Initiativen kombinieren in der Regel flexi- tät und neue Perspektiven in Branchen wie der ble Arbeitszeiten mit Schulungen, Mentorschaf- Cybersicherheit einbringen können. Außerdem ten, Gemeinschaften innerhalb einer Organisa- verfügen Frauen in der Regel über einen hohen tion und anderer Unterstützung. Auch kleinere emotionalen IQ und ein hohes Maß an Einfüh- Unternehmen können sich stärker bewusst ma- lungsvermögen, was die Zusammenarbeit im chen, dass die Integration von Frauen in das Un- Team fördern kann. Studien haben bereits ge- ternehmen von Vorteil sein und die Qualifikati- zeigt, dass vielfältige Teams in 87 Prozent der onslücke bei erfahrenen Mitarbeitern schließen Fälle bessere Entscheidungen treffen. kann. Dies kann für Arbeitgeber enorme Vorteile bringen. Denn viele Fachkräfte verfügen bereits Trotz der enormen Herausforderungen, die über Fähigkeiten, die sie für neue Aufgaben COVID-19 mit sich bringt, könnte der Impuls, interessant machen. Es gibt zum Beispiel einen den es hinter Arbeitskulturen mit einer besseren wachsenden Trend, dass Fachkräfte aus der Ausgewogenheit, größerer Flexibilität und mehr allgemeinen IT in die Cyber Security wechseln. Einfühlungsvermögen ausgelöst hat, durchaus Personen mit Erfahrung in Helpdesk-Rollen sind einen willkommenen zusätzlichen Impuls für ein gutes Beispiel: Die kreative und hilfsbereite Frauen im IT-Bereich bieten. Und das sowohl Denkweise, die in diesen Fällen gut funktio- im Allgemeinen als auch in der Cybersicherheit niert, sowie das IT-Wissen, das sie mitbringen, im Besonderen. Diejenigen Organisationen, die bietet eine ideale Grundlage für eine Karriere in jetzt handeln, um die Gleichstellung in der Cy- der IT-Security. Es obliegt der Branche, dafür zu bersicherheit und in der IT-Branche aufzubauen sorgen, dass diese Möglichkeiten allen gleicher- und aufrechtzuerhalten, werden zukünftig viel maßen geboten werden, unabhängig vom Ge- besser in der Lage sein, dem Fachkräftemangel faktisch zwei Vollzeitarbeitsplätze – einen im schlecht und der Station ihres Karrierewegs. zu trotzen. n Job und einen zu Hause. Teilzeitarbeit ist jedoch in der IT- und Sicherheitsbranche eher eine Sel- AUTOMATISIERUNG IST tenheit, und bisher war es in vielen Betrieben EIN WICHTIGER WACHS- verpönt, von zu Hause aus zu arbeiten. Und während der Mutterschaftsurlaub nicht der TUMSBEREICH einzige Grund für eine berufliche Auszeit ist, In ähnlicher Weise entwickelt sich die Auto- hat die Industrie heute sehr wohl die Möglich- matisierung der IT-Security zu einem wichti- keit, Technologie und gezielte Programme zu gen Wachstumsbereich in der Branche. Sie hilft nutzen, um Fachkräften zu helfen, wieder ins Fachleuten, sich leichter mit den alltäglichen Berufsleben zurückzukehren oder sich neu zu Aspekten ihrer Arbeit auseinanderzusetzen Bild: ©metamorworks - stock.adobe.com integrieren. und unterstützt sie dabei, priorisierte Aufga- ben zu erledigen. Dies wird Möglichkeiten für PROGRAMME ZUR RÜCK- spezifische Jobs für die „Sicherheitsautomati- KEHR AN DEN ARBEITS- sierung“ eröffnen, die sich nicht so sehr auf das technische Know-how konzentrieren, sondern PLATZ SIND SELTEN stattdessen logische Denkprozesse erfordern, Diese Programme zur Rückkehr an den Arbeits- um zu verstehen, was auf einer höheren Ebene SAMANTHA HUMPHRIES, platz sind zwar nicht neu, aber immer noch geschieht. Diese Rollen könnten ideal für Frauen Senior Security Strategist bei selten. Ursprünglich wurden sie von größeren geeignet sein, die funktionsübergreifende Fä- Exabeam Organisationen ins Leben gerufen, um Frauen higkeiten aus früheren Rollen nutzen können. IT-SICHERHEIT_1/2021 15
SECURITY MANAGEMENT Vereinfachte Kontrolle des Berechtigungskonzepts durch ein Rollenmodell GEORDNETE RECHTESTRUKTUREN Je nach Abteilung und Position dürfen Mitarbeiter nur die IT-Berechtigungen besitzen, die sie für die Ausübung ihrer Tätigkeit benötigen (Need-to-know- Prinzip) – so sollte es zumindest sein. Denn in der Praxis sieht das häufig anders aus. Aufgrund von betrieblichen Anforderungen, wie beispielsweise dem Abteilungswechsel eines Mitarbeiters, müssen Berechtigungen immer wieder angepasst werden. Ebenso gut kann es vorkommen, dass ein Arbeitnehmer temporär Berechtigungen erhält, weil er Unterstützung in einem speziellen Projekt leisten muss. Um diese Berechtigungsveränderungen nachvollziehen, bewerten und kontrollieren zu können, hilft der Einsatz einer Access-Governance- Lösung; im Speziellen die Nutzung eines softwaregestützten Werkzeugs zur Rollenbildung. Durch ein entsprechendes Rollenmodell ist der Vergleich zwischen den Berechtigungen, die ein Mitarbeiter haben sollte (Soll-Rollenmodell), und den tatsächlich vergebenen Berechtigungen (Ist-Zustand) auf Knopfdruck möglich. A bhängig davon, in welcher Position und Abteilung ein Mitarbeiter arbeitet, benötigt er bestimmte Rechte. So muss beispielswei- se der Personalleiter auf andere Applikationen nen Berechtigung steigt das Risiko, dass durch Überberechtigungen Sicherheitslücken oder falsche Berechtigungskonstellationen entstehen („Segregation of Duties“), die unbedingt vermie- den werden müssen. Daher sollten Rollen und und Daten zugreifen als Verantwortliche in der Rechte innerhalb des Unternehmens eindeutig Fertigung. Insgesamt gilt es, alle Angestellten festgelegt sein und jederzeit in einer anschau- mit den essenziellen Rechten auszustatten, aber lichen Übersicht eingesehen werden können. Überberechtigungen unter allen Umständen Dabei kann eine Access-Governance-Lösung zu vermeiden. Denn mit jeder falsch vergebe- unterstützen. 16 IT-SICHERHEIT_1/2021
SECURITY MANAGEMENT Matrix-Ansicht im daccord RoleBuilder von G+H Systems (Quelle: G+H Systems) Kommt es zu Änderungen, werden neue Arbeit- 3. Übersichtliche Ansichten und nehmer eingestellt, oder stellt sich generell die Filtermöglichkeiten über Systeme, Frage, wer welche Berechtigungen haben soll, Personen und deren Berechtigungen müssen dem jeweiligen Arbeitnehmer die Rech- 4. Unterstützung bei der Rollenbildung te durch den Einsatz einer Access-Governance- durch Aufzeigen prozentualer Lösung nicht mehr einzeln zugewiesen werden. Verteilung eines Rechtes, beispiels Stattdessen kann man dieser Person eine oder weise innerhalb einer Abteilung mehrere Rollen zuweisen. Dadurch wird der 5. Bündelung der Berechtigungen Prozess deutlich vereinfacht und fehlerhaften zu Rollen Rechtestrukturen effektiv begegnet. 6. Zuordnung der Rollen zu Personen STRUKTURIERTE INTELLIGENTE Insgesamt stellen die Themen Berechtigungs- RECHTEVERGABE ÜBER UND EFFIZIENTE vergabe, -entzug und -kontrolle eine große He- rausforderung für Unternehmen dar. Mit einem EIN ROLLENMODELL ROLLENMODELLIERUNG erarbeiteten Rollenmodell und der Einbettung Für gewöhnlich gibt es in Unternehmen mehre- Unternehmen haben die Notwendigkeit, ein in eine Access-Governance-Lösung lassen sich re Mitarbeitergruppen, die die gleichen Rechte Rollenmodell auf Basis der aktuell vergebenen jedoch Zeit und Kosten hinsichtlich der Adminis- haben sollten. Dies trifft zum Beispiel häufig Berechtigungen aufzubauen. Doch was ist hier tration reduzieren. Darüber hinaus werden die auf Personen aus derselben Abteilung zu. Ist eine sinnvolle und vor allem effiziente Herange- Qualität der Vergabe und Kontrolle von Berech- dies der Fall, können diverse Rechtekombinatio hensweise? Und was sollte ein softwaregestütz- tigungen erhöht und gleichzeitig Sicherheitsrisi- nen mit einer entsprechenden Access-Gover- tes Werkzeug zur Rollenbildung unbedingt mit- ken minimiert. n nance-Lösung softwaregestützt zu Rollen und bringen? Sechs Schritte führen zum passenden Rollenstrukturen zusammengefasst werden. Rollenmodell: Bild: ©md3d - stock.adobe.com Mitarbeiter aus derselben Abteilung haben dann gegebenenfalls die gleiche Rolle. Führt man 1. Darstellung der Mitarbeiter und diese Schritte für das komplette Unternehmen deren Berechtigungen nach weiter aus, erhält man ein Soll-Rollenmodell, Organisationseinheiten (Position, das sich jederzeit mit dem aktuellen Ist-Zustand Team, Abteilung) vergleichen lässt. Fallen hierbei Missstände auf, 2. Analyse des gewählten SEBASTIAN SPETHMANN, können diese mit Blick auf den Soll-Zustand ein- Personenkreises auf ähnliche Account Manager bei G+H Systems fach behoben werden. Rechtekombinationen IT-SICHERHEIT_1/2021 17
Sie können auch lesen