Fachmagazin für Informationssicherheit und Datenschutz 5|2019

49187HZ200016 ISSN: 1868-5757

Entwicklungen und aktuelle Trends in der IT-Sicherheit

Im Interview: Mario Emig, Controlware

www.itsicherheit-online.com

Bürger-ID: Das Smartphone als Ausweis

Technischer Brandschutz: Basiskonzepte

Messe: it-sa in Nürnberg öffnet ihre Pforten

3IT-SICHERHEIT [5/2019]

EDITORIAL

In einer immer weiter digitalisierten Welt laufen viele Prozes­

se, die heute noch persönliche Präsenz oder/und Anträge auf

Papier erfordern, schlicht über das Netz. So könnten beispiels­

weise Kommunen, Länder und Unternehmen ihren Bürgern

beziehungsweise Kunden neue E­Government­ und Smart­

City­ Anwendungen zugänglich machen. Laut einer Studie des

Fraunhofer­Instituts bieten aber insbesondere Kommunen in

Deutschland viel zu wenig Online­Verfahren an. „Das Fehlen von

entsprechenden Angeboten führt dazu, dass diese kaum be­

kannt sind und selten genutzt werden“, schreibt Prof. Norbert

Pohlmann, Informatikprofessor für Informationssicherheit und

Leiter des Instituts für Internet­Sicherheit – if(is) an der Westfä­

lischen Hochschule in Gelsenkirchen, in seinem Beitrag „Smart­

phone Bürger­ID“ in dieser Ausgabe. „Dabei könnte über ein

Drittel der Kosten für die Verwaltung in Deutschland eingespart

werden.“

Die lahmende Digitalisierung führt in vielen Bereichen zu einer

massiven Verschwendung von Zeit und Ressourcen. Allerdings

ist die Skepsis gegenüber digitalen Diensten von Seiten der

Anbieter ebenso wie der der Nutzer nicht ganz unbegründet.

Die bange Frage lautet immer: Liegt das Sicherheitsniveau auf

einem dem Service angemessenen Niveau? Wenn die Bestel­

lung bei einem Online­Handel gefakt wird, ist das sehr ärgerlich.

Wenn aber Kriminelle einen digitalen Ausweis stehlen, können

die Folgen für Betroffene katastrophal sein. Speziell im Bereich

der E­Government­Angebote sind höchste Sicherheitsstandards

absolute Pflicht.

Das gilt an erster Stelle für eine fälschungssichere „digitale Iden­

tität“, die als Basis für sichere Authentifizierungsprozesse un­

erlässlich ist. Es scheint sich ein Trend abzuzeichnen, der den

„ Alleskönner” Smart phone auch in dieser Angelegenheit vor

Das Smartphone als Ausweis: Bürger-ID

ihren Karren spannt. In der Tat

spricht einiges dafür. Die in den

smarten Begleitern verbaute

Technik reicht vom eingebauten

Hardware Keystore über bio­

metrische Sensoren (Fingerab­

druck, Gesichtserkennung, Iris

Scanner und mehr) bis hin zum

Multi touch­Bildschirm zur visu­

ellen Datenkontrolle. Auf der

vergangenen European Identity

& Cloud Conference (EIC) in München etwa hat Belgian Mobile

ID mit ihrer „itsme“­App für einiges Aufsehen gesorgt. Die damit

realisierbare digitale Identität sei bereits von 13 Regierungen in

Europa akzeptiert.

Auch in Deutschland laufen ähnliche Entwicklungen auf Hoch­

touren. Die Smartphone Bürger­ID ist ein Kooperationsprojekt

zwischen dem Institut für Internet­Sicherheit der Westfälischen

Hochschule, XignSys, der Stadt Gelsenkirchen und der Stadt

Aachen. Prof. Pohlmann bindet die Vorstellung dieses Projekts

im erwähnten Beitrag in übergeordnete Betrachtungen zu Pass­

wort­Sicherheit und andere Mechanismen, wie Zwei­ und Mehr­

Faktor­Authentifizierung, ein.

Viel Spaß beim Lesen!

Ihr Stefan Mutschler

Chefredakteur

www.itsicherheit­online.com/newsletter facebook.com/itsicherheit IT­SICHERHEITtwitter.com/it_sicherheit24

Stef

an M

utsc

hler

Mit freundlicher Unterstützung von

20.–22.11.2019Köln, Maternushaus

43.

2. SOLUTIONS-FORUMfür Datenschutz und IT-Sicherheit

38. -FORUM

DS-GVO: Aktuelle Herausforderungen bis zur Künstlichen Intelligenz (KI)

Mit dem

DATAKONTEXT GmbH · Postfach 41 28 · 50217 Frechen · Tel.: +49 22 34/989 49 - 40 · Fax: +49 22 34/989 49 - 44Internet: datakontext.com · E-Mail: tagungen@datakontext.com

Jetzt informieren und anmelden unter dafta.de

audatis MANAGERDatenschutzmanagement einfach online

5IT-SICHERHEIT [5/2019]

INHALT

Editorial3 Das Smartphone als Ausweis: Bürger-ID

News – Unternehmen6 Aktuelle Meldungen

Produktnews10 Neuheiten auf dem Markt

Aus der Szene14 It-sa profi tiert von Digitalisierungsrisiken – Security fi rst16 Hat der Airbag in der IT-Sicherheit ausgedient? –

Zur Halbwertszeit von Sicherheitslösungen

Titel20 Im Interview: Mario Emig, Controlware –

Security Day: Spiegel des Wandels in der IT-Sicherheit

Security Management26 SIEM wird zunehmend Teil der Security-Strategie –

Gesamtsicht in Sachen IT-Sicherheit30 Konzept zur Krisenbewältigung – Was für ein Desaster!34 Unternehmen profi tieren umfassend von einem betriebs-

internen Krisenmanagement – Es geht ums Überleben

Internet der Dinge38 Wie RPA und KI Geschäftsprozesse im Gesundheitswesen

beeinfl ussen können – Einsatz für Kollege Roboter40 Wie das IoT in der Industrie Wirklichkeit wird –

Erfolgreich zur Smart Factory

Cybersicherheit44 Aus dem Schatzkästchen eines Pentesters –

Strategien zum Schutz gegen das Passwort-Hacking48 Sicheres Navigieren von digitalen Risiken –

Terra Incognita 2.0

Physische Sicherheit54 Hohe Gefährdungslage erfordert umfassende

Maßnahmen für Cyber Security – Tatort Rechenzentrum58 Aktuelle Basics im technischen Brandschutz –

Ein ungeliebtes Must- have im Rechenzentrum

Endpoint/Mobile Security62 Anatomie einer App-Schwachstelle und Lehren für

Entwickler – Manipulierbare WhatsApp- und Telegram-Mediendateien

66 Admin-Rechteverwaltung als Grundpfeiler der Bekämpfung von Einbruchsfolgen – IT-Security endet nicht an der Firewall

Cloud-/Web App Security68 Die Zukunft IT-Infrastruktur für New Work verschmilzt

zum Cloud Area Network – Security trifft WAN

Datenschutz/Back-up/Archivierung72 DS-GVO-konforme Videoüberwachung –

Sicherheit der Sicherheit

Aus Forschung und Technik74 IT-Sicherheit als Wegbereiter für die Digitalisierung –

Smartphone Bürger-ID

IT-Recht & Rechtsprechung84 Fallbeispiel zum IT-Recht:

Das Behördenverfahren der DS-GVO86 Urteilsbesprechung88 EuGH-Urteil zur digitalen Arbeitszeiterfassung –

Korrekt „Maßnehmen“

Services82 Buchvorstellung83 Webportal90 Impressum

Vorschau90 Ausblick auf die Ausgabe 6/2019

4638 6820

Im Interview: Mario Emig, Controlware

Einsatz für Kollege Roboter Tatort Rechenzentrum Smartphone Bürger-ID

NEWS – UNTERNEHMEN

CITRIX ERHÄLT BESTÄTIGUNG FÜR UNI-FIED ENDPOINT MANAGEMENT

Der aktuelle Marktforschungsbericht des US-Analysten-hauses Gartner („Gartner Magic Quadrant for Unified Endpoint Management (UEM) Tools“ von August 2019) stuft Citrix als Marktführer für einheitliches Endgeräte-Management ein. „Wir bei Citrix möchten unseren Kun-den Lösungen anbieten, mit denen sie die Geräte ihrer Mitarbeiter einfach und effizient verwalten können, so-dass Arbeitnehmer ihrerseits möglichst produktiv sind“, sagt Calvin Hsu, Vice President Product Marketing bei Citrix. Mit Citrix Endpoint Management, einem Teil der Digital-Workspace-Angebote von Citrix, schaffen Unter-nehmen einen personalisierten Zugang zu Anwendun-gen und Informationen, die Mitarbeiter brauchen, um möglichst produktiv zu sein. Weitere Hauptmerkmale, die zur positiven Bewertung bei Gartner maßgeblich beigetragen haben, sind eine zentrale Management-Oberfläche und dynamische Sicherheits-Policies, basie-rend auf dem Nutzerverhalten.

MCAFEE KAUFT CLOUD-SICHERHEITS-PLATTFORM NANOSEC

Das Sicherheitsunternehmen McAfee hat die Übernah-me der cloudbasierten Sicherheitsplattform NanoSec bekanntgegeben. Durch die Übernahme von NanoSec will McAfee sein Cloud-Sicherheitsproduktportfolio „MVISION“ stärken. So werden NanoSecs Ressourcen in Form von Containern und Kubernetes in „MVISION Cloud“ und „MVISION Server Protection“ integriert. Da-mit sollen Governance, Compliance und Sicherheit in hybriden Multi-Cloud-Umgebungen optimiert werden. McAfee verfolgt durch die Übernahme von NanoSec den DevSecOps-Ansatz, wonach Sicherheit im Entwick-lungsprozess von Anwendungen integriert wird, um po-tenzielle Schwachstellen bereits vor dem Einsatz der

BARRACUDA ERWIRBT INDISCHES START-UP INFISECURE TECHNOLOGIES

Barracuda hat das indische Start-up InfiSecure Techno-logies erworben. Damit stattet der Sicherheitsspezia-list seinen erst kürzlich vorgestellten Service Advanced Bot Protection für die Barracuda WAFaaS-Plattformen sowie die Web Application Firewall mit erweiterten Funktionen aus. InfiSecure Technologies hat sich auf die Erkennung und Minimierung fortschrittlicher Bots

mit niedriger Latenzzeit spezialisiert. Laut Gartner sind „DDoS-Angriffe, betrügerische Käufe, Web Scraping so-wie Schwachstellen-Scans und -Angriffe die Hauptarten von Bot-Angriffen“. Solch schadhafte Bots entwickeln sich ständig weiter, so dass sie menschliches Verhalten immer genauer nachahmen können. Abwehrstrategien zur Bot-Erkennung und -Minderung werden daher im-mer wichtiger. Low-and-Slow-Bots, die Daten langsam anfordern, und wechselnde IP-Adressen erfordern spezi-elle Fingerprinting-Techniken zur Erkennung. Infi Secures Technologie liefert zusammen mit den vielfältigen Lö-sungen aus Barracudas Infrastruktur weltweiter Bedro-hungserkennung der Barracuda WAF ab sofort einen erweiterten Funktionsumfang zur Bekämpfung und Ab-wehr solcher Angriffe.

Besuchen Sie uns: it-sa in Nürnberg Halle 9, Stand 9-411

Rittal Lösungen für die Technologie der Zukunft.

Mit Edge Computing verarbeiten Sie große Datenmengen am Ort der Entstehung. Sicher und in Echtzeit. Wie Sie Ihre IT-Infrastruktur flexibel, wirtschaftlich und international auf die neuen Herausforderungen vorbereiten, entdecken Sie bei Rittal: www.rittal.com/it-solutions.

Anz_IT_Sicherheit_5_2019_2x210x102.indd 1 14.08.19 14:24

über eine eigens zu diesem Zweck entwickelte Schnittstelle.

„Auch heute noch ist vielen Un-ternehmern und Geschäftsführern nicht bewusst, dass die Einhaltung von relevanten rechtlichen Vorga-ben ohne Nutzung einer Software für E-Mail-Archivierung faktisch kaum möglich ist,“ so Norbert Neu-deck, Director of Sales bei MailSto-re. „Wir freuen uns im Rahmen un-serer Partnerschaft mit DATEV eine sehr datenschutzaffine Zielgruppe für das Thema weiter sensibilisie-ren zu können und ihr gleichzeitig eine Lösung für die rechtssichere E-Mail-Archivierung anzubieten.“

NTT SECURITY UNTERSTÜTZT EUROPOL BEI DER BEKÄMPFUNG VON CYBERKRIMINALITÄT

NTT Security (Germany) hat mit dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (Eu-ropean Cybercrime Centre, kurz EC3), das bei Euro-pol in Den Haag angesiedelt ist, eine Absichtserklärung ( Memorandum of Understanding) unterzeichnet. Die Vereinbarung sieht vor, strategische Erkenntnisse über Bedrohungen zu teilen, um Cybekriminalität weltweit besser verhindern zu können. Das Memorandum of Un-

NEWS – UNTERNEHMEN

Anwendung identifizieren und beheben zu können. So kommentiert Rajiv Gupta, General Manager der Cloud Security Business Unit bei McAfee: „Die Technologie von NanoSec ist eine Erweiterung der McAfee MVISION Cloud, die unsere CASB- und CWPP-Produkte verbes-sert und DevSecOps-Prozesse zur Optimierung von Governance und Sicherheit umsetzt.“

NEUER DATEV-SOFTWARE-PARTNER FÜR DIE RECHTSSICHERE E-MAIL- ARCHIVIERUNG

MailStore Software ist neuer DATEV-Software-Partner für die E-Mail-Archivierung. DATEV selbst will sich zu-künftig auf die Komplettierung der digitalen Mandante-nakte im eigenen Dokumentenmanagementsystem kon-zentrieren. Der Nürnberger Anbieter von Software und IT-Dienstleistungen für Steuerberater, Wirtschaftsprü-fer, Rechtsanwälte und Unternehmen empfiehlt seinen Kunden für die E-Mail-Archivierung die Lösung MailS-tore Server. Mithilfe der in Deutschland entwickelten und seit mehr als zehn Jahren markterprobten E-Mail-Archivierungssoftware können DATEV-Kunden die Ein-haltung rechtlicher Vorgaben bei der Archivierung ein- und ausgehender E-Mails sicherstellen. Die Software der Viersener Entwickler ist bereits im DATEV-Marktplatz als Empfehlung für rechtssichere E-Mail-Archivierung gelistet. Da bereits viele DATEV-System-Partner auch mit MailStore zusammenarbeiten, ist der Einsatz der im Markt führenden und systemoffenen Software mit einfachen Mitteln umzusetzen. Die Migration der Be-standskunden der DATEV E-Mail-Archivierung erfolgt

„Auch heute noch ist vielen Unternehmern und Geschäftsführern nicht bewusst, dass die Einhaltung von relevanten rechtlichen Vorgaben ohne Nut-zung einer Software für E-Mail-Archivierung faktisch kaum mög-lich ist,“ so Norbert Neudeck, Director of Sales bei MailStore. (Foto: MailStore)

Discover the Edge.

Anz_IT_Sicherheit_5_2019_2x210x102.indd 2 14.08.19 14:24

NEWS – UNTERNEHMEN

EXCLUSIVE NETWORKS SCHLIESST VERTRAG MIT BITGLASS

Die Nutzung der Cloud ist heu-te für den Großteil der Firmen selbstverständlich. Allerdings klaffen noch erhebliche Lü-cken bei der Absicherung der genutzten Cloud-Dienste. Mit seiner agentenlosen Technolo-gie bietet Bitglass Schutz vor Zero-Day-Lücken und ande-ren Bedrohungen und ermög-licht umfassenden Datenschutz für jede Anwendung und jedes Endgerät. Deshalb hat der Va-lue Added Distributor Exclusi-ve Networks sein Portfolio um diesen Hersteller erweitert. Die Lösungen des Cloud Access Security Brokers (CASB) sind damit auch für Exclusive-Net-works-Kunden im gesamten deutschsprachigen Raum ver-fügbar. „Da die Cloud-Nutzung inzwischen auch in Deutsch-land rasch zunimmt und Mitar-beiter Daten und Dienste immer öfter orts- und geräteunabhän-gig nutzen wollen, müssen sich auch die Strategien zur Absicherung der wertvollen Firmendaten und zur Ge-währleistung des Datenschutzes anpassen. Hier ergänzt Bitglass unser lösungsorientiertes Portfolio perfekt und bedient zielgenau einen wachsenden Bedarf bei den Unternehmen“, erklärt Florian Zink, Geschäftsführer Deutschland und Managing Director DACH bei Exclu-sive Networks. „Besonders hervorzuheben ist dabei die agentenlose Technologie von Bitglass, die ohne invasive

8 IT-SICHERHEIT [5/2019]

derstanding (MoU) zwischen Europol und NTT Securi-ty definiert ein Framework für den Austausch strategi-scher Bedrohungsdaten sowie von Informationen über Trends rund um Cybersicherheit und Best Practices der Branche. Im Rahmen der Vereinbarung wird NTT Se-curity das European Cybercrime Centre bei deren Ar-beit mit den Strafverfolgungsbehörden in den Mitglied-staaten unterstützen und dafür unter anderem Daten und Informationen für die jährliche Bewertung der Be-drohungslage durch die organisierte Internetkriminali-tät (Internet Organised Crime Threat Assessment, kurz IOCTA) liefern. Der IOCTA ist der wichtigste strategi-sche Bericht von Europol über neue Bedrohungen und Entwicklungen in der Cyberkriminalität sowie die dar-aus resultierenden Empfehlungen an Strafverfolgungs-behörden, politische Entscheidungsträger und Regulie-rungsbehörden, damit diese wirksam und aufeinander abgestimmt reagieren können.

SOPHOS SCHLIESST PARTNERSCHAFT MIT SPEZIALDISTRIBUTOR ACMEO

Sophos zollt dem enormen Wachstum im Bereich Ma-naged Services Rechnung und hat mit acmeo einen auf MSPs fokussierten Spezialdistributor für den deutschen Markt an Bord geholt. Damit will das Unternehmen sein Wachstum in diesem Bereich weiter beschleunigen und seinen Partnern die optimalen Voraussetzungen liefern, um ihr MSP-Geschäft auszubauen oder auch komplett neu in das zukunftsträchtige Geschäftsmodell einzu-steigen. „Durch die Partnerschaft mit acmeo können wir einen echten Mehrwert für unsere Partner schaffen. Als VAD für Managed Services ist das Unternehmen die perfekte Ergänzung zum MSP-Team von Sophos und hilft effektiv dabei, den Transformationsprozess erfolg-reich zu absolvieren“, so Michael Gutsch, Head of MSP CEEMEA bei Sophos. „Mit Sophos als neuem Partner er-gänzen wir unser Security-Portfolio und bieten unseren Partnern die relevanten Komponenten eines Managed-Security-Konzepts. Wir freuen uns sehr, dass wir einen solch starken Hersteller gewinnen konnten, der mit sei-nen zukunftsweisenden Technologien seit über 30 Jah-ren am Markt agiert ...“, so Stefan Steuer, Business De-velopment bei acmeo. Die umfängliche Plattform von acmeo für Managed Services mit vorgefertigten Ab-rechnungs-, Ticket-Management- und -Monitoring-Sys-temen bietet Partnern von Sophos die Möglichkeit, in das neue Geschäftsfeld ein- beziehungsweise mit be-stehenden Services weiter aufzusteigen – effiziente Ser-vice Enablement Beratung inklusive.

Henning Meyer (links), acmeo, und Michael Gutsch (rechts), Sophos Technology. (Foto: Sophos)

„Bitglass ergänzt unser lösungsorientiertes Port-folio perfekt und bedient zielgenau einen wach-senden Bedarf bei den Unternehmen“, erklärt Florian Zink, Geschäfts-führer Deutschland und Managing Director DACH bei Exclusive Networks (Foto: Exclusive Networks)

Profile auf den Endgeräten der Nutzer auskommt, sowie die Tatsache, dass sich alle im Unternehmen genutzten Cloudanwendung absichern lassen …“

ADVERTORIAL

Die Anforderungen an die IT-Sicherheit in Behörden, Unternehmen und in der Industrie wandeln sich stetig. Regelmäßig müssen die Verantwort-lichen auf neue Gefahrenszenarien reagieren, um dem durchgängig hohen Druck der Cyberkriminalität standzuhalten. Behörden und Gesetzgeber reagieren mit neuen Regularien auf diese veränderten Ausgangslagen. In der Folge sollten sich die Mitarbeiterinnen und Mitarbeiter in der IT-Sicherheit auch mit diesen neuen Gegebenheiten vertraut machen.

Der neue BSI IT GrundschutzDer IT-Grundschutz des Bundesamts für Sicherheit in der Informations-technologie (BSI) bildet in vielen Betrieben und Unternehmen die Basis für ein erfolgreiches Sicherheitsmanagement. Damit die BSI-Standards auch weiterhin zuverlässig zur Identifi kation notwendiger Sicherheitsmaßnahmen dienen, werden sie regelmäßig an die vor-herrschenden Gegebenheiten und Gefahrensituationen angepasst. Gleichzeitig greift das BSI auch steuernd in die Weiterbildung von IT-Sicherheitsexperten ein.

Bereits seit Mitte 2019 gelten die neuen Vorgaben für Basis- und Aufbauschulungen des Bundesamts für Sicherheit in der Informations-technologie. Die neuen Vorgaben sorgen dafür, dass sich das Curriculum und die Qualifi zierungsanforderungen der Schulungen noch stärker an den aktuellen Gefahrenszenarien orientieren. Darüber hinaus soll eine gleichbleibend hohe und zugleich einheitliche Qualität in der berufl ichen Weiterbildung zum IT-Grundschutz sichergestellt werden.

Auf der Grundlage dieser BSI-Standards entstehen auch neue Schulungen – etwa der BSI IT Grundschutz-Praktiker. Im Rahmen dieser Weiterbildung werden die Teilnehmenden umfassend auf ihre Rolle als IT-Sicherheitsexperten in ihren jeweiligen Unternehmen vorbereitet. Auch kürzlich besuchte Ausbildungen behalten ihren Wert. So können Absolventen von BSI IT Grundschutz-Schulungen innerhalb eines festgelegten Zeitraums eine zusätzliche Prüfung zur Erlangung der neuen Zertifi kate ablegen.

Doch nicht nur das Bundesamt für Sicherheit in der Informationstechno-logie passt die Vorgaben rund um Cyber Security an. Auch der Gesetzgeber wird aktiv.

IT-Sicherheitsgesetz 2.0 sorgt für mehr KRITIS-BetreiberUm Cyberangriff en wirksam entgegenzutreten, beschloss die Bundes-regierung 2015 das IT-Sicherheitsgesetz. Da sich die Gefährdungs lage

seither stetig weiterentwickelt hat, wird derzeit das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) erarbeitet. Ein Referentenentwurf liegt bereits vor. Neben zahlreichen neuen Befugnissen und Berechtigungen für die betroff enen Behörden, könnte das neue Gesetz auch unmittelbare Auswirkungen auf die IT-Sicherheitsinfrastruktur in zahlreichen Unternehmen haben.

Bereits heute zählen zahlreiche Unternehmen zu den Betreibern kritischer Infrastrukturen. Sie sind verpfl ichtet, besondere Regularien einzuhalten. Im Zuge der Absenkung der Schwellenwerte dürfte der Anwendungsbereich der kritischen Infrastrukturen um einige Branchen und Unternehmen erweitert werden. Zählten bisher Unternehmen aus Bereichen wie Ernährung, Energie, Finanzwesen oder Gesundheitssektor zu den KRITIS-Betreibern, könnten nach dem IT-SIG 2.0 auch sogenannte Unternehmen von besonderer wirtschaftlicher Bedeutung unter diese Kategorie fallen. Dies kann unter Umständen auch für deren Zulieferer gelten und damit ganze Versorgungsketten betreff en.

Auch wenn bisher nur ein Referentenentwurf kursiert, scheint es ratsam, dass die betroff enen Unternehmen und ihre Verantwortlichen bereits jetzt beginnen, die nötigen personellen Ressourcen einzuplanen. Durch Aus- und Weiterbildung können Teammitglieder schnell und effi zient in die Lage versetzt werden, die neu geltenden Regularien, Vorschriften und Verordnungen gesetzeskonform und dabei möglichst reibungslos im eigenen Unternehmen umzusetzen.

Dem Fachkräftemangel entgegenwirkenDie aktuellen Anpassungen in den Standards und Vorschriften rund um die IT-Sicherheit sorgen auch dafür, dass die Verantwortlichen für Cyber Security ihre abgesteckten Aufgabenbereiche und eingeplanten Ressourcen an die neuen Gegebenheiten anpassen müssen. In der aktuellen wirtschaftlichen Lage ist es jedoch häufi g schwierig, die dringend benötigten Experten durch klassisches Recruiting zu gewinnen. Naheliegender scheint da die Qualifi kation erfahrener Kolleginnen und Kollegen aus dem eigenen Unternehmen. Die Bitkom Akademie bietet ein breit gefächertes Seminarangebot rund um die IT-Sicherheit. Das Programm reicht von Grundlagen-Seminaren für Einsteiger bis hin zu spezialisierten Ausbildungen für erfahrene IT-Sicherheitsexperten. Darüber hinaus fi nden auch regelmäßig kostenfreie Live-Online-Schulungen zur Vermittlung des Basiswissens statt. n

IT-Sicherheit: Neue Regularien gegen Cyber-CrimeIT-Sicherheitsbeauftragte werden für Herausforderungen geschult

Das gesamte Seminarprogramm der Bitkom Akademie zur IT-Sicherheit fi nden Sie unter: www.bitkom-akademie.de/bildungsjourney/it-sicherheit

von Versicherungen, von Privatpersonen oder professio-nellen Nutzern, etwa in Behörden, Banken, Versicherun-gen oder Krankenkassen, mit einem hohen Maß an Da-tensicherheit, Authentizität und Vertraulichkeit getätigt werden. Kobil bietet die drei neuen Modelle ab Oktober über die Banken weltweit an.

PRODUKT NEWS

SCHUTZ VOR DATENDIEBSTAHL BEI DER KÜNDIGUNG VON MITARBEITERN

Genauso wie es einen geordneten Onboarding-Prozess gibt, ist auch das Offboarding in den meisten Unterneh-men klar strukturiert. Scheidende Angestellte wissen, wann und wo sie Laptop, Handys oder Mitarbeiteraus-weise abgeben und welche Papiere sie unterzeichnen müssen. Doch oft wird nicht sichergestellt, welche Da-ten sie digital kopieren oder gar ganz löschen, um der alten Firma zu schaden oder im zukünftigen Job davon zu profitieren. Ein klares Sicherheitsrisiko, denn laut ak-tuellen Studien geben etwa 60 Prozent der Arbeitneh-mer an, nach einer Kündigung Kundenlisten, Quellcodes oder Produktpläne mitzunehmen. Daten, die in den fal-schen Händen Unternehmen geschäftskritisch gefähr-den könnten. Um diese Sicherheitslücke zu schließen, hilft jetzt Code42.

So integriert Code42 neue Warnfunktionen in seine Next-Gen Data-Loss-Protection-Lösung, um Unterneh-men effizienter beim Datenschutz – im Fall einer Kündi-gung – zu unterstützen. Darüber hinaus ist die Lösung ab sofort auch als integriertes Angebot für IBM Resilient erhältlich, eine Plattform zur Organisation und Automa-tisierung von Incident-Response-Prozessen. Die Code42 for Resilient App steht Security-Experten über IBM Se-curity App Exchange zur Verfügung und ermöglicht es, bestehende automatisierte Reaktionen auf Sicherheits-risiken einzubinden und so Insider Threats frühzeitig zu erkennen und zu beheben.

SECURITY HARDWARE FÜR SENSIBLE ONLINE-TRANSAKTIONEN

Kobil Systems bringt mit der sign-Reihe eine mobile Plattform für sichere Online-Transaktionen auf den Markt. Nutzer der digitalen Hardwarelösung, die zunächst in drei Modellversionen verfügbar ist, können unabhängig von Smartphone, Desktop, Betriebssystem oder Vernet-zung über einen gesicherten Internet-Zugang Transakti-onen aller Art tätigen und bequem mit einem Klick be-stätigen. Auch eigene, sensible Applikationen können in das System integriert werden. Ein unabhängi-ger Sicherheitskanal so-wie ein vertrauenswür-diger Server schützen die gesamte Kommuni-kationsumgebung. So können mit den sign-Geräten alle Online-Ak-tivitäten, insbesondere aber signierte Transak-tionen, wie Überwei-sungen, Reisebuchun-gen oder der Abschluss

10 IT-SICHERHEIT [5/2019]

PLATTFORM ZUR DATENKLASSIFIZIERUNG

Netwrix kündigte die neueste Ergänzung seines Pro-duktportfolios an: die Netwrix Datenklassifizierung. Mit dieser Plattform, die auf der Technologie von Concept Searching, dem Neuerwerb von Netwrix, aufbaut, kön-nen Unternehmen sicherstellen, dass ihre Daten für das Unternehmen von Nutzen sind und effektiv verarbei-tet werden, da sie automatisch ermittelt, kategorisiert und mit Metadaten gekennzeichnet werden. „Mit dieser Mehrwertlösung können un-sere Kunden ihre Geschäfts-entwicklungsaktivitäten ver-bessern und den Wert ihrer Unternehmensdaten steigern“, so Martin Garland, Präsident der Business Unit Concept Se-arching bei Netwrix. „Komple-xe Data-Governance-Prozesse werden automatisiert und Si-cherheitsmaßnahmen priori-siert. Darüber hinaus können Datenschutz- und Compli-ance-Anforderungen bei ge-ringeren Kosten problemlos erfüllt werden.“

Martin Garland, Präsident der Business Unit Concept Searching bei Netwrix. (Foto: Netwrix)

Die handliche Security-Hardware hat zur Bestätigung von Transaktionen nur zwei Tasten (rot und grün) und den Touchscreen zur Bedienung. (Quelle: Kobil)

KÜNSTLICHE INTELLIGENZ ZUR AUSWEIS-ÜBERPRÜFUNG

Online ein Konto eröffnen oder einen Telefonvertrag ab-schließen? Für viele Menschen ist das Alltag. Die Anbie-ter hinter diesen Services sind jedoch verpflichtet, je-den einzelnen Nutzer eindeutig zu identifizieren. Da sich traditionelle, aufwendige Verfahren, wie Video- oder Post-Ident, als nutzerunfreundlich und unzuverlässig herausgestellt haben, setzen Unternehmen im digitalen Zeitalter zunehmend auf High-Tech. Mit der Kamera im Smartphone oder Tablet wird der Ausweis des Kunden gescannt und auf Echtheit geprüft. Eines der größten Probleme dieses Verfahrens löst jenID mit seiner neus-ten Technologie: den Schutz vor Identitätsbetrug.

Genuine-ID ist eine Online-Lösung zur Überprüfung von Ausweisdokumenten. Sie basiert auf hochauflösenden Kameraaufnahmen, den Materialeigenschaften von Aus-

SICHERE DATENVERSCHLÜSSELUNG FÜR JEDEN SPEICHERORT

DataLocker präsentiert im Zuge eines Relaunches die neue, nun zentral gemanagte Version der Datenver-schlüsselungslösung SafeCrypt (vormals SkyCrypt). SafeCrypt kann zur sicheren Verschlüsselung von Da-ten unabhängig vom jeweiligen Speicherort genutzt werden. Als virtuelles Laufwerk verschlüs-selt SafeCrypt Daten direkt auf dem lokalen Rechner des Nutzers. Zum Einsatz kommt dabei eine 256-Bit-AES-Verschlüsselung im CFB-Modus inklusi-ve Zertifizierung nach FIPS 140-2.

SafeCrypt ist mit ver-schiedensten Plattfor-men kompatibel und unabhängig vom be-vorzugten Speicherort verwendbar, für den

BACKDOORFREIE ENDPOINT-PROTEC-TION-LÖSUNG „MADE IN GERMANY“

Endgeräte zählen zu den wichtigsten Einfallstoren für Angriffe auf IT-Infrastrukturen. Dennoch sind sie häu-fig nicht ausreichend abgesichert. Stattdessen weisen viele entsprechende Sicherheitslösungen nach wie vor versteckte Hintertüren auf. Seit der ersten September-woche ist nun die neue modulare TUX-Endpoint-Pro-tection des deutschen Cyber-Security-Anbieters Tux-guard verfügbar. Die Technologie setzt auf künstliche Intelligenz sowie Machine Learning und eignet sich für jede Unternehmensgröße. Auch das Tuxguard Manage-ment Center (TGMC) mit Touch-Funktion verfügt mit dem aktuellen Release über ein neues Look and Feel, um System administratoren noch besser bei ihrer Arbeit zu unterstützen. Kunden, die bereits die TUX-Firewall im Einsatz haben, können jetzt alle Sicherheitskomponen-ten des Herstellers in einer zentralen Managementkon-sole verwalten. „Unternehmen sind durch Meldungen hinsichtlich Backdoors in verschiedenen Softwarepro-dukten noch immer sehr verunsichert“, sagt Uwe Han-reich, Geschäftsführer von Tuxguard. „Deshalb stehen wir ihnen mit unseren in Deutschland entwickelten Tech-nologien zur Seite, auf die sie zu 100 Prozent vertrauen können.“

FORENSIK-TOOL LIEST SICHERE INSTANT MESSAGING-APP „SIGNAL“ AUS

ElcomSoft aktualisiert Elcomsoft Phone Viewer (EPV), ein einfach zu bedienendes forensisches Tool für den schnellen Zugriff auf Informationen aus lokalen und mo-bilen iOS-Back-ups. EPV kann ab sofort Chat-Verläufe von Signal entschlüsseln und anzeigen; Signal ist eine der weltweit sichersten Messenger-Apps. Darüber hi-naus ist EPV in der Lage, lokale iOS-Back-up-Passwör-ter wiederherzustellen, die für die Screen-Time-Funktion und zur Beschränkung der Bildschirmzeiten eingerichtet wurden.

11IT-SICHERHEIT [5/2019]

PRODUKT NEWS

weisdokumenten sowie dem Einsatz künstlicher Intelli-genz. Nimmt der Smartphone-Nutzer ein Foto von einem Dokument auf, soll jenID in der Lage sein, die Aufnah-me bis in die kleinsten sichtbaren Teile des Bildes, den Sub-Pixel-Bereich, zu analysieren. Die Software erfasst dabei optische Besonderheiten ebenso wie die Materi-aleigenschaften des Papiers. Diese werden zusammen-gefasst an die Server von jenID übermittelt. Dort stellt ein mit Originalvorlagen trainiertes Programm fest, ob die Eigenschaften mit denen eines echten Dokuments übereinstimmen.

Die kostenlos verfügbare App zur ID-Verifi zierung, „Genuine-ID Document Check“ ist im Google Play Store ebenso wie in Apples App Store verfügbar. (Foto: jenID)

sich eine automatische Synchronisierung ein richten lässt. Die Lösung eignet sich dadurch insbesondere auch für Anwender, Unternehmen und Organisationen, die den Schutz ihrer Daten bei der Nutzung von Cloud-Speichern oder Netzwerklaufwerken erhöhen möchten. Ein weiteres Einsatzszenario ist – neben der lokalen Ver-schlüsselung von Dateien und Ordnern – beispielswei-se die Absicherung von virtuellen Desktops in VDI-In-frastrukturen. SafeCrypt kann zudem als Alternative für verschlüsselte externe Speichermedien in Unternehmen eingesetzt werden, in denen der Anschluss solcher Ge-räte durch entsprechende Sicherheitsrichtlinien unter-sagt ist.

DataLocker präsentiert die neue, nun zentral gemanagte Version der Datenverschlüsselungslösung SafeCrypt. (DataLocker)

ADVERTORIAL – PRODUKTPROFIL

Security & Operations mit KI

Bedrohungen für IT-Infrastrukturen frühzeitig zu erkennen und kritische Systemzustände vorherzusagen ist Ziel und Zweck von CuriX®, ein Produkt des Softwareherstellers IC information company AG. Das Software unternehmen mit Standorten in der Schweiz und in Deutschland setzt bei der Entwicklung auf einen ausge wogenen Mix aus bewährten Methoden und neuen Ansätzen. Durch die Kombination aus Machine-Learning-Algorithmen und statistischen Methoden detektiert CuriX®

zuverlässig Anomalien in IT-Systemen. Vollauto matisiert erkennt CuriX® kausale Zusammenhänge, Fehlerursachen und Stör-einfl üsse, um Systemausfälle vorherzusagen. So können Verantwortliche frühzeitig Gegenmaßnahmen einleiten und Schä-den verhindern. CuriX® unterstützt Unternehmen dabei, einen hochverfügbaren Betrieb von IT-Systemen sicherzustellen.

Data Analytics für resiliente IT-SystemeFür einen sicheren und hochverfügbaren Betrieb von IT-Infrastrukturen kommt CuriX® als AIOps Plattform oder als Ergänzung zu bestehenden SIEM- oder ITOM-Lösungen zum Einsatz. Ergebnisse aus SIEM- oder ITOM-Tools liegen in der Regel in Form von Alarmierungen und Echtzeitinforma-tionen vor und erlauben nur ein Reagieren auf bereits eingetretene kritische Systemzustände. Auf der Basis dieser verfügbaren Rohdaten (Big Data) ex trahiert und aggregiert CuriX® KPI’s für die anschließende Zeitreihenana-lyse. Der Einsatz von künstlicher Intelligenz (Machine-Learning- Algorithmen) dient zur Generierung von dynamischen Baselines. Diese zeigen das normale Systemverhalten auf und dienen zur Erkennung von Anomalien. CuriX®

ersetzt das aufwendige und fehleranfällige Bestimmen von Schwellwerten.

Vorhersagen und LokalisierenMittels kontinuierlich angepassten Vorhersagemodellen alarmiert CuriX den Nutzer frühzeitig und proaktiv bei auftretenden Anomalien über sich

andeutende Unregelmäßigkeiten in der Systemumgebung. Somit ist es möglich, rechtzeitig vor dem möglichen Systemausfall Gegenmaßnah-men einzuleiten. Als besonderen Mehrwert für den Nutzer stellt CuriX®

neben den Alarmierungen zu bevorstehenden kritischen Systemzustän-den auch Lokationsinformationen der Fehlerursache (Root Cause) bereit. Diese basieren auf permanent durchgeführten Korrelationsanalysen.

Agieren statt ReagierenAus den vorhergesagten Fehler- und Ortsinformationen der betroffenen Komponente lassen sich in einem weiteren Schritt konkrete Maßnahmen zur proaktiven Fehlervermeidung ableiten. Diese werden dem Nutzer als Heal Advice zur Verfügung gestellt. So kann der Systemverantwortliche sofort, proaktiv und lösungsorientiert agieren, statt nur zu reagieren. Diese Vorgehensweise ist ein weiterer Schritt zur total resilienten, sich selbst heilenden und voll automatisierten IT-Infrastruktur. Bi

lder

: ©

Nico

ElN

ino/

Shut

ters

tock

.com

(li.)

; © W

right

Stu

dio/

Shut

ters

tock

.com

(re.

)

PRODUKTPROFIL – ADVERTORIAL

Mehrwert im Risiko-, Kosten- und RessourcenmanagementDer Einsatz der CuriX® AIOps Plattform mit ihrer Anomalie-Detektion, Vor-hersagemodellen, Fehlerlokation und Bereitstellung der Heal Advices redu-ziert das Risiko von Systemausfällen. Die durchgängige Anwendung der CuriX® AIOps Plattform bietet enormes Potenzial zur Ressourcenoptimie-rung und Kostenreduzierung. Durch den hohen Grad der Automatisierung wirkt CuriX® damit sogar dem steigenden IT-Fachkräftemangel entgegen.

Get in touch with CuriX®

Allen Unternehmen, die mehr als nur den IST-Zustand ihrer IT-Infrastruk-tur überwachen wollen, bietet die IC einen innovativen und visionären Lösungsansatz. Besuchen Sie uns auf der it-sa2019 in der Halle 10.1 am Stand 10.1-528 oder vereinbaren Sie einen unverbindlichen Termin. ■

Die Grafiken zeigen die Unterschiede der funktionalen Abdeckungs- und Aktivitätsgrade zwischen heute gängigen Monitoring-Tools und AIOps-Ansätzen (oben) und CuriX® (unten).

Mit der Detektion von Anomalien und der automatischen Korrelation von KPIs ist mit CuriX® ein frühzeitiges und proaktives Eingreifen vor Eintritt eines Systemausfalls möglich.

Ihre Ansprechpartnerin in der Schweiz:Frau Fabienne BuserTelefon : +41 76 408 82 29E-Mail: curix@ic-information.com

Ihr Ansprechpartner in Deutschland:Herr Henning TamsTelefon : +49 761 478 73 88E-Mail: curix@ic-information.com

IC information companySchweiz: Im Wannenboden 2 | CH-4133 Pratteln | +41 61 826 9000Deutschland: Basler Str. 115 | D-79115 Freiburg | +49 761 478 7388https://www.ic-information.com | email@ic-information.com

Neue Bezahlmodelle, die globale Vernetzung von Produktionsketten und E-Health – die Digitalisierung verändert, wie wir Le-ben und Arbeiten. Und sie birgt Gefahren: Cyberkriminelle räumen Bankkonten leer, lassen Fließbänder stillstehen oder erlan-gen sogar die Kontrolle über medizintechnische Geräte. Als weltweit ausstellerstärkste Fachmesse zum Thema Cybersicher-heit bietet die it-sa vom 8. bis 10. Oktober 2019 in nun vier Hallen des Messezentrums Nürnberg ein umfassendes Angebot an Produkten und Lösungen für mehr IT-Sicherheit.

It­sa profitiert von Digitalisierungsrisiken

Security first

14 IT-SICHERHEIT [5/2019]

Auch wenn die Zahl der Aussteller in diesem Jahr­nicht­signifi­kant­über­der­des­Vorjahres­liegt (knapp über 700 im Vergleich zu 698 in letzten Jahr), erweitert die it-sa dieses Jahr das Flächenangebot und verteilt sich erst-mals auf vier Hallen. Damit soll vor allem den wachsenden Forderungen der Aussteller und den Besucherströmen Rechnung getragen werden. Nach 14.290 Besuchern im letzten Jahr erwarten die Nürnberger hier in diesem Jahr erneut Rekordzahlen. Das begleitende Kongressprogramm Congress@ it-sa startet wie üblich bereits am Vortag, auch in die-sem Jahr mit der Jahrestagung der IT-Sicher-heitsbeauftragten in Ländern und Kommu-nen.­Ebenfalls­bereits­am­7.­Oktober­fi­ndet­UP19@it-sa statt, die zweite Ausgabe des „CyberEconomy Match-up“ zur it-sa.

Seit mehreren Jahren zeichnet die it-sa mit zweistelligen Wachstumsraten bei der Aus-

steller- und Besucherbeteiligung die rasan-te Entwicklung der IT-Sicherheitsindustrie nach. Bei einer Befragung des Bundesver-bands IT-Sicherheit TeleTrusT zur Messe-Präferenz seiner Mitgliedsunternehmen setzte sich die it-sa erneut mit an die Spit-ze. „Größten Zuspruch der deutschen IT-Si-cherheitshersteller­ fi­nden­ aktuell­ die­ it-sa­in Nürnberg und die RSA in San Francisco“, gab der Verband im April bekannt. Ebenfalls steil nach oben zeigt die Kurve der von den beteiligten Unternehmen gebuchten Aus-stellungsfl­äche.­ „Heute,­ fünf­ Monate­ vor­der­ it-sa­ 2019,­ liegt­ die­ Standfl­äche­ der­bisher gemeldeten Aussteller schon über dem Ergebnis der letzten Veranstaltung“, so­Frank­Venjakob,­Executive­Director­it-sa,­NürnbergMesse. Zur it-sa 2019 erweitert die Halle 11.0 die bisherige Hallenkonstellation, um­die­benötigten­Standfl­ächen­realisieren­zu können.

Umfangreiches Messe­, Foren­und Kongressprogramm

Wie­in­den­Vorjahren­steht­mit­Startup@itsa­jungen­Unternehmen­eine­gesondert­ausge-wiesene­Präsentationsfl­äche­zu­attraktiven­Konditionen offen. Das Programm der offe-nen Foren lockt auch in diesem Jahr mit rund 350 erwarteten Vorträgen auf die it-sa: In jeder­Halle­fi­nden­zahlreiche­Kurzvorträge­der Aussteller statt, die IT-Sicherheitsfragen aus Perspektive von Management und Tech-nik beleuchten. Zu den Höhepunkten zählen die als „it-sa insights“ ausgewiesenen Pro-grammpunkte – produktneutrale Vorträge und Expertendiskussionen von Verbänden und Organisationen – sowie das „Internati-onal Forum“ als rein englischsprachige Vor-tragsbühne. Im Mittelpunkt der Forenbeiträ-ge stehen unter anderem rechtliche Fragen und IT-Security-Trends, wie der Einsatz

AUS DER SZENE

künstlicher Intelligenz, sowie IT-Sicherheit für Industrie 4.0 und kritische Infrastruktu-ren. Speziell für KMUs bringt der Bundesver-band mittelständische Wirtschaft, Unterneh-merverband Deutschlands e.V. (BVMW), das Thema IT-Sicherheit auf die Agenda: Die Dis-kussionsrunde am ersten Messetag widmet sich Themen wie dem Risikofaktor Mensch und typischen Angriffsszenarien wie Social Engineering. Handfeste Erfahrungswerte mit Gamifi­cation­zur­Mitarbeitersensibilisierung­verspricht der Impulsvortrag „Komm, lass uns spielen“ von Deutsche Post DHL Group. Weitere Vorträge behandeln beispielsweise die zivilrechtliche Haftung bei Cybersicher-heitsvorfällen, Datenschutzfragen beim Ein-satz künstlicher Intelligenz, IoT-Anwendun-gen und Big Data oder Automatisierung und Visualisierung für Forensik und Monitoring.

Datenschutz, IoT und Mythos KI

Das begleitende Kongressprogramm Con-gress@it-sa startet bereits am Vortag der it-sa und begleitet die Fachmesse unter an-derem mit Beiträgen zu den Themen Cyber-Resilienz, Datenschutz oder SAP Security. Über den „Mythos KI“ informiert die Fir-ma cirosec bereits am Montag, den 7. Ok-tober. Schließlich ist die Frage, ob der Ein-satz künstlicher Intelligenz die IT-Sicherheit revolutioniert, eine der derzeit meistdisku-tierten Fragen in der IT-Sicherheitsgemein-de – Lösungsanbieter und Anwender sind auf der Suche nach Einsatzmöglichkeiten. Die von der Bundesakademie für öffentliche Verwaltung­jährlich­in­Kooperation­mit­dem­IT-Planungsrat ausgerichtete Jahrestagung der IT-Sicherheitsbeauftragten in Ländern und Kommunen ist zur it-sa 2019 erneut im Kongressprogramm, genauso wie der IT-Grundschutz-Tag des Bundesamtes für Si-cherheit in der Informationstechnik.

CyberEconomy Match­up geht in die zweite Runde

Am Tag vor der it-sa treten bei UP19@it-sa zwölf Start-ups aus dem IT-Sicherheitsbe-

reich an, um potenzielle Investoren in ei-nem Speed-Pitch zu überzeugen. Beim Cyber Economy Match-Up für Start-ups, Macher und Entscheider darf sich präsen-tieren,­wer­vorab­die­Fachjury­überzeugen­konnte. Sie bewertet das Gesamtpaket aus Angebot, Unternehmen sowie Vertriebs- und Marketingstrategie. Dem Gewinner des UP19@ it-sa Award winkt ein individuelles Coaching und Mentoring durch den Digital Hub Cybersecurity und das Bayerische IT-Si-cherheitscluster.

Investigativjournalist Misha Glenny hält Special Keynote der it­sa 2019

Wie in den vergangenen Jahren konnte die it-sa auch in diesem Jahr wieder einen hochkarätigen Sprecher für die „Special Key note“ gewinnen: Misha Glenny, preis-gekrönter­ britischer­ Investigativjourna-list,­Autor­des­Bestsellers­„McMafi­a“­und­Cyber crime-Experte spricht am Donners-tag, den 10. Oktober um 12:00 Uhr im Forum International. Der Zutritt ist für alle Besucher und Vertreter der ausstellenden Unternehmen frei.

Der Special Keynote Speaker der it-sa 2019 heißt Misha Glenny. (Foto: Misha Glenny)

In seinem Vortrag „The Vitruvian Paradox: The Changing Face of the Human in Cyber Security“ bricht Glenny mit der gängigen Vorstellung, der Mensch sei das schwächs-te Glied einer stabilen IT-Sicherheitskette. Er argumentiert, dass von der zunehmen-den Komplexität unserer digitalen Infra-struktur eine noch größere Gefahr ausgeht. Entscheidend wird deshalb sein, dass der

Mensch die Kontrolle über die IT-Systeme behält. Glenny, der auch Konzernvorstän-de in Sachen IT-Sicherheit berät, zeigt, warum es vor diesem Hintergrund bis in die höchsten Führungseben einen Wandel braucht: Nur mit einer umfassenden Sensi-bilisierung für digitale Gefahren lässt sich der Siegeszug von global operierenden Ha-ckern im Zeichen der organisierten Krimi-nalität verhindern.

Im Anschluss an seine Special Keynote steht Misha Glenny für Fragen aus dem Publikum zur Verfügung. n

S.M.

AUS DER SZENE

15IT-SICHERHEIT [5/2019]

VERANSTALTUNGSORT: Messezentrum Nürnberg

VERANSTALTUNGSTERMIN: Dienstag, 8. bis Donnerstag, 10. Oktober 2019

ÖFFNUNGSZEITEN: 8. Oktober 2019: 9.00–18.00 Uhr 9. Oktober 2019: 9.00–18.00 Uhr 10. Oktober 2019: 9.00–17.00 Uhr

CONGRESS@it-sa: Montag, 7. bis Donnerstag, 10. Oktober 2019

◀ Auch in diesem Jahr erwartet die it-sa erneut Besucherrekorde. (Foto: NuernbergMesse/ Thomas Geiger)

Bild

: © d

epos

itpho

tos.c

om/c

orba

cser

dar.g

mai

l.com

Moderne Autos sind heute sicherer denn je. Doch das hohe Sicherheitsniveau kam nicht über Nacht. Innovative Sicherheitslösungen wurden nach und nach in das Auto integriert: Die Knautschzone gibt es seit 1952, der erste Dreipunktgurt wur-de in den frühen 1960er Jahren eingeführt, der Airbag kam im Jahr 1980 heraus und schließlich hatte das Elektronische Stabilitätsprogramm (ESP) nach dem soge-nannten „Elchtest“ zu Beginn der 2000er Jahre seinen Durchbruch. Inzwischen sind diese Lösungen längst verpfl ichtender Standard in allen neu zugelassenen Fahrzeugen. In der IT-Sicherheit gibt es seit Jahren eine vergleichbare Evolution von Sicherheitslösungen. Doch was ist davon heute „Stand der Technik“? Und gibt es vielleicht Lösungen, deren Halbwertszeit längst überschritten ist?

Hat der Airbag in der IT­Sicherheit ausgedient?

Zur Halbwertszeit von Sicherheitslösungen

In der Diskussion um technische Lösun-gen hat sich mit der sogenannten Kalkar-Entscheidung von 1978 eine Drei-Stufen-Theorie etabliert. In Abhängigkeit von der allgemeinen und wissenschaftlichen Aner-kennung einer Problemlösung und deren Bewährung beziehungsweise Verfügbarkeit in der Praxis, werden heute auch Security Tools in drei Kategorien unterteilt:

a) „allgemein anerkannte Regeln der Technik“,

b) „Stand der Technik“ sowiec) „Stand der Wissenschaft und Forschung“.

Der Stand der Technik gilt in der IT-Sicherheit in den meisten Fällen als angestrebter Zu-

stand, da hier ein Optimum von Kosten und Nutzen angenommen wird.

Es geht – wie so oft – um Geld

Häufi­g­werden­Änderungen­ in­der­Bewer-tung des Stands der Technik einer breiteren Öffentlichkeit erst dann bewusst, wenn sie von­diesen­Änderungen­selbst­betroffen­ist.­So­hat­etwa­die­regulatorische­Änderung­im­Zuge der PSD2-Richtlinie zum Zahlungsver-kehr im europäischen Binnenmarkt Auswir-kungen auf einen großen Nutzerkreis: Im Onlinebanking und im elektronischen Zah-lungsverkehr mit Kreditkarten oder neuen mobilen Zahlungslösungen wird das Sicher-heitsniveau erhöht. Zukünftig reicht für die

Autorisierung von Zahlungen nicht mehr der Besitz beispielsweise einer Kreditkarte mit Kreditkartennummer und aufgedrucktem Sicherheitscode. Vielmehr ist es im Rahmen der­ neuen­ Zwei-Faktor-Authentifi­zierung­(2FA)­verpfl­ichtend,­sich­anhand­zweier­von­drei Merkmalen – Besitz, Biometrie oder Wissen­ –­ zu­ identifi­zieren.­ Im­Onlineban-king ist dies zur Autorisierung von Zahlun-gen schon länger Standard. Der Geltungsbe-reich wird mit PSD2 deutlich erweitert.

Aufgrund diverser Missbrauchsfälle bedeu-tet die Neuregulierung aber auch den Ab-schied von einigen etablierten Sicherheits-lösungen. Die iTAN in Form gedruckter TAN-Listen oder der Service SMS-TAN wer-

AUS DER SZENE

16 IT-SICHERHEIT [5/2019]

den von vielen Banken aktuell abgelöst und durch neue Mechanismen ersetzt.

Identifizierung und Authentifizierung

Vor der Autorisierung von Transaktionen kommt in vielen Systemen die Anmeldung. Oder anders formuliert: ein Vorgang zur Identifi­zierung­ und­Authentifi­zierung­ von­Benutzern. Hier scheint die Halbwertszeit von Lösungen begrenzt zu sein. Doch der Schein­ trügt:­ Die­ Faktoren­ zur­Authentifi­-zierung­sind­seit­ jeher­Kombinationen­aus­Besitz und Wissen sowie gegebenenfalls biometrischen Merkmalen. Diese Faktoren werden nun lediglich in neuer Weise kom-biniert oder die einzelnen Elemente mit hö-herer Komplexität genutzt. Lange galten al-phanummerische Kennwörter von sechs bis

acht Zeichen als „sicher“ – heute empfehlen viele Experten mindestens acht Zeichen, so-fern alle druckbaren Zeichen – einschließlich Sonderzeichen – genutzt werden können. Und in der Biometrie? Hier hält sich hartnä-ckig das Gerücht, dass ein in falsche Hände gelangter Fingerabdruck oder Gesichtsscan für immer verloren ist. Tatsächlich erlangen die meisten Angreifer – wenn überhaupt – lediglich ein durch einen Algorithmus be-schriebenes Abbild der biometrischen Eigen-schaft. Sobald die Technologie durch neue Sensoren oder veränderte Algorithmen ein neues Abbild erzeugt, kann diese Eigen-schaft wieder genutzt werden.

Was veraltet tatsächlich?

Bleibt die Frage, was wirklich in der IT-Si-cherheit veraltet. Ein zentraler Sicherheits-

mechanismus ist die Verschlüsselung. Über viele Jahre wurde der 1975 veröffentlichte Data Encryption Standard (DES) mit einem 56 Bit langen Schlüssel verwendet. Das Ver-fahren gilt spätestens seit der Jahrtausend-wende als veraltet und wurde durch den Ad-vanced Encryption Standard (AES) abgelöst. Dieses Verfahren wird auch heute noch ge-nutzt – mit unterschiedlichen und über die Jahre immer längeren Schlüsseln.

Quantencomputer wären heutzutage in der Lage, wichtige asymmetrische Verschlüsse-lungen, wie RSA oder Elgamal, zu brechen. Es ist nur eine Frage der Zeit bis Quanten-computer verfügbar sind und für eine Viel-zahl von wichtigen Anwendungsfällen – vom Onlineshopping bis zur E-Mail-Ver-schlüsselung – auf neue Verschlüsselungs-verfahren gewechselt werden muss.

AUS DER SZENE

17IT-SICHERHEIT [5/2019]

Anzeige

audatis MANAGERDatenschutzmanagement einfach online

18 IT-SICHERHEIT [5/2019]

AUS DER SZENE

Folglich müssen sich Unternehmen bereits heute Gedanken darüber machen, wie sie neue Verfahren in Zukunft in ihren Produk-ten und IT-Landschaften umsetzen.

Wo bleibt die Innovation?

Viele IT-Sicherheitslösungen sind also nicht wirklich neu. Einige evolutionäre Entwicklungen­ lassen­ sich­ aber­ identifi­-zieren. Das Management von Schwachstel-len,­die­ Identifi­kation­von­Schadsoftware­und die Erkennung von Angriffen sind für sich genommen keine neuen Security-Dis-ziplinen. Viele Anbieter und Unternehmen setzen allerdings auf eine Orchestrierung dieser Elemente. Das führt einerseits zu einem transparenteren, vernetzten Bild der Risikosituation, andererseits wird eine Inte gration von Prozessen angestrebt. Ein integrierter Prozess muss beispielsweise neue Geräte im Netzwerk erkennen, alle Geräte auf technische Schwachstellen (Vulnerabilities) scannen und relevante Si-cherheits-Updates möglichst zeitnah und mit adäquatem Test in die Infrastruktur ausrollen. Plattformstrategien integrieren unterschiedliche Elemente einer wirksa-men Cyberabwehr und bieten über offene Schnittstellen die Möglichkeit zur Integra-tion ergänzender Elemente.

Sicherheitslösungen haben in der Vergan-genheit oft auf Basis von Signaturen be-kannte­Muster­ identifi­ziert.­ Moderne­ Lö-sungen ergänzen dies durch proaktive Fähigkeiten, die verhaltensbasiert Angriffe erkennen können. Im weiten Feld von Ma-chine Learning und Künstlicher Intelligenz wird den erweiterten Fähigkeiten der An-greifer Rechnung getragen. Ist eine Schad-software in der Lage, sich durch Mutation vor der signaturbasierten Erkennung zu ver-stecken, sind verhaltensbasierte Lösungen zur Angriffserkennung notwendig.

Verhalten kann in diesem Kontext eine Ei-genschaft der Schadsoftware sein, wie das Ziel der maximalen Verbreitung im Netz-werk. Das Verhalten kann aber auch auf Basis von bekannten Angriffsmustern oder weit verbreiteten Hacking Tools abgeleitet werden. So sind moderne Sicherheitslösun-gen in der Lage, Angriffe unter Nutzung von

Tools oder das Hochladen von verbreiteten Hintertüren zu detektieren.

Eine weitere wirksame Methode zur Erken-nung von Angriffen ist die Analyse des auf-gehenden Netzwerkverkehrs. So deutet die Kommunikation zu einem Command-and-Control-Server auf die Infektion mit einer Malware hin.

Setzen wir falsche Lösungen ein?

Wirkliche Innovation in der IT-Sicherheit entsteht dort, wo sich IT-Betrieb und IT-Entwicklung­ signifi­kant­ verändert­ haben.­Sicherheitsorganisationen­ glauben­ häufi­g­noch an die Wirksamkeit von netzwerkba-sierten oder Endpoint-Sicherheitslösungen, auch wenn diese in Cloud-Umgebungen und in agilen Entwicklungsprozessen nur sehr eingeschränkt wirksam sind.

In IT-Umgebungen, die von Multi-Cloud, Micro services und Containern bestimmt werden, sind die Lebenszyklen kurz und die Prozesse hochgradig agil. Die genannten Sicherheitslösungen sind oft unzureichend und müssen ergänzt werden. Beispielhaft hierfür ist die automatische Anbindung ei-nes neuen Containers an das unterneh-mensweite SIEM (Security Incident and Event Management).

Zudem bieten die großen Anbieter von Cloud Services zunehmend eigene Sicherheitslö-sungen – etwa im Bereich des Identity and Access oder des Schwachstellenmanage-ments – an. Der Einsatz dieser Lösungen ist stark vom Cloud-Nutzungsszenario ab-hängig. Da viele Unternehmen aktuell in hybriden Nutzungsszenarien oder mit Mul-ti-Cloud-Strategien arbeiten, ist die richtige Integration nur im konkreten Einzelfall zu be-werten. Dies gilt insgesamt für die Integrati-on der Cloud-Lösungen in die bisherige Welt: Anpassungen und erweiterte Funktionalitä-ten im Netzwerk- und Firewallmanagement sind in Cloud-Betriebsmodellen notwendig.

Immer mehr Sicherheit

Gibt es veraltete Sicherheitslösungen, die Unternehmen gleich morgen abschalten

können?­In­der­Praxis­häufi­g­nicht.­Da­sich­Betriebsmodelle oft noch in einer Transition befi­nden­ und­ auch­ die­ Zielarchitektur­ hy-bride Konstrukte sind, werden uns viele IT-Sicherheitslösungen noch lange begleiten. Die veränderte Bedrohungslage bedingt eine kontinuierliche und evolutionäre Wei-terentwicklung.

Am Ende ist es doch wie mit dem Auto. Nachdem­sich­ lange­ Jahre­nach­der­Erfi­n-dung und Verbreitung des Automobils nie-mand mit Sicherheit befasst hatte, sind seit den 1960er Jahren immer neue Sicherheits-elemente dazugekommen. Und ohne Airbag und ESP kommt heute kein Neuwagen mehr auf die Straße. n

DR. MICHAEL FALK, Partner, Cyber Security, KPMG. Michael Falk berät­Kunden­bei­der­Identifi­zierung­und­dem­effi­zienten­Schutz­ihrer­digitalen­Kronjuwelen.­An der Schnittstelle von Fachbereichen und IT entwickelt er Strategien und Roadmaps für den Schutz vor Cyberangriffen. Mit Methoden des Risikomanagements sorgt er für einen Ausgleich zwischen Cyberrisiken und Chancen der digitalen Transformation im Unternehmen.

SEBASTIAN SCHULZE, Senior Manager, Cyber Security, KPMG. Sebastian Schulze berät Kunden beim Design und der Implementierung von Sicherheitskonzepten unter Beachtung des Defense-in-Depth-Ansatzes. Aus­der­Perspektive­eines­Hackers­identifi­ziert­er­hierzu potenzielle Angriffsvektoren und entwickelt­mehrstufi­g­aufeinander­abgestimmte­Sicherheitsmaßnahmen, um diesen zielgerichtet entgegenzuwirken.

ADVERTORIAL

Das­Produktportfolio­reicht­von­hochentwickelten­UTM­(Unifi­ed­Threat­Management)-Plattformen­über­Multifaktor-Authentifi­zierung­bis­hin­zu­Technologien für umfassenden WLAN-Schutz. Mehr als 80.000 Unterneh-men weltweit vertrauen auf die ausgeklügelten Sicherheitsmechanismen und­profi­tieren­von­der­einfachen­Handhabung­der­WatchGuard-Lösungen.­Kernzielgruppen sind nach wie vor kleine bis mittlere Unternehmen sowie dezentral­aufgestellte­Organisationen­aus­jeder­Branche­–­vom­Einzelhan-del über den Bildungssektor, das Gesundheitswesen, Gastronomie und Hotellerie bis hin zum produzierenden Gewerbe. Der Vertrieb erfolgt über ein Netzwerk von mehr als 10.000 Partnern in 120 Ländern.

Mehrschichtige GefahrenabwehrBasis des anhaltenden Erfolgs von WatchGuard ist die zielgerichtete Verbin-dung aus leistungsstarker Hardware und den besten am Markt verfügbaren Sicherheitsdiensten unterschiedlichster Anbieter. Das eigens entwickelte Betriebssystem Fireware stellt sicher, dass alle nach Bedarf kombinierba-ren Scan-Module perfekt zusammenspielen – bei maximaler Gesamtper-formance. Durch die modulare Architektur garantiert WatchGuard neben hohem Datendurchsatz vor allem Skalierbarkeit und Flexibilität im Rahmen einer sich verändernden Bedrohungslandschaft. Die webbasierte Manage-ment-Konsole­ermöglicht­zudem­das­einfache­Konfi­gurieren­und­Steuern­aller­Sicherheitsfunktionen­mittels­einer­zentralen­Oberfl­äche­von­jedem­beliebigen Ort aus.

Benutzerfreundliche VisualisierungDamit IT-Abteilungen vor dem Hintergrund der mannigfaltigen Heraus-forderungen nicht die Kontrolle verlieren, setzt WatchGuard bei all seinen Lösungen auf leistungsstarke und gleichzeitig nutzerfreundliche Analyse- und Visualisierungsmöglichkeiten. Auf diese Weise ergeben sich passgenaue Einblicke in die Datenaustauschprozesse im Netzwerk. Individuelle Fragen

zu wichtigen Sicherheitsthemen und -trends sind im Handumdrehen be-antwortet.­Administratoren­gewinnen­ein­solides­Fundament­zur­Defi­nition­zielgerichteter Security-Policies, die im Zuge des modernen Echtzeit-Re-portings auch schnell an neue Bedrohungsszenarien angepasst werden kön-nen. Gleichzeitig lassen sich Performance-Engpässe aufspüren und sofortige Gegenmaßnahmen ergreifen.

Sicheres WLANDie gesamte Sicherheitsfunktionalität kann mithilfe der Access Points von WatchGuard­jederzeit­auf­WLAN-Umgebungen­übertragen­werden.­Darüber­hinaus bietet die neue WatchGuard Wi-Fi Cloud zusätzlichen Mehrwert. Neben einem umfassenden WIPS (Wireless Intrusion Prevention System) profi­tieren­Anwender­von­detaillierten­Analysen­im­Hinblick­auf­die­WLAN-Nutzung.

Effektive MFAIm Sommer 2018 hat WatchGuard das Produktportfolio mit AuthPoint noch um­eine­moderne­Lösung­für­die­Multifaktor-Authentifi­zierung­(MFA)­erwei-tert. Über den cloudbasierten Ansatz mit eigener Smartphone-App können gerade kleinere und mittlere Unternehmen dieses aktuelle Brennpunktthe-ma­der­Branche­auf­einfache­und­kosteneffi­ziente­Weise­umsetzen.

Im Rahmen der kontinuierlichen Weiterentwicklung und Verknüpfung der angebotenen Sicherheitstechnologie sorgt WatchGuard dafür, dass Unternehmen stets mit neuen Angriffs-trends Schritt halten können – bei gleichzeitig minimalem Aufwand. n

Bereits 1996 ist WatchGuard Technologies mit dem Ziel angetreten, mittelständischen Unternehmen mit effi zienter IT-Sicherheits -technologie auf Enterprise-Niveau den Rücken zu stärken. Seitdem gehört das Unternehmen mit Sitz in Seattle (USA) zu den führenden Anbietern im Bereich Netzwerksicherheit.

WatchGuard Technologies

Kontakt:

WatchGuard Technologies Wendenstraße 37920537 Hamburg

Telefon: +49 (700) 9222 9333E-Mail: germanysales@watchguard.comwww.watchguard.de

Ansprechpartner: Paul Moll

Halle 10.1,

Stand 410

20 IT-SICHERHEIT [5/2019]20 IT-SICHERHEIT [5/2019]

ITS: Herr Emig, wie hat sich der Controlware Branchen-treff, der Security Day, in den letzten Jahren verändert?

Mario Emig: Zugegebenermaßen waren wir bei der ersten Veranstaltung vor elf Jahren am 1. Oktober 2009 alle ziem-lich nervös, weil wir nicht sicher sein konnten, wie dieses Format von unseren Kunden angenommen wird. Wir star-teten damals bereits mit einem Programm, bei dem sich unsere Kunden an zwei Tagen ihr individuelles Tagespro-gramm aus mehreren Session Tracks selbst zusammenstel-len konnten. Dieses Grundkonzept haben wir bis heute bei-behalten.

ITS: Die Veranstaltung fand aber nicht immer in Hanau statt?

Mario Emig: Nein, erst vor zwei Jahren zogen wir damit aus unseren eigenen Räumlichkeiten in den Congress Park Hanau (CPH). Der Vorteil, die Veranstaltung in unseren ei-

TITEL-INTERVIEW

genen Räumlichkeiten beziehungsweise im Nachbargebäu-de unserer Schwesterfi rma ExperTeach abzuhalten, lag vor allem darin, unseren Kunden, die aus den weiter entfern-ten Regionen Deutschlands oder aus Österreich und der Schweiz anreisten, die Controlware Firmenzentrale vorstel-len zu können. Die Besucher hatten die Möglichkeit, bei einem Rundgang durch unsere Labs und unser Customer Service Center (CSC) einen Blick hinter die Kulissen zu werfen. Die Entscheidung für einen Umzug nach Hanau wurde eher aus einem Luxusproblem heraus getroffen: Wir waren immer stärker überbucht.

ITS: Was hat sich in den letzten Jahren im Bereich IT-Secu-rity auf der Herstellerseite getan?

Mario Emig: Es hat sich viel verändert. Auf der einen Seite gibt es immer wieder innovative neue Hersteller, die auf-kommende Themen speziell adressieren. Hier gibt sicher-lich mehr als hundert Security Start-ups, die durchaus in-

2019 jährt sich der Controlware Security Day zum elften Mal. Gefahren, Herausforderungen und Lösungsansätze in Sachen IT-Sicherheit haben sich seither grundlegend verändert – und mit ihnen Form und thematische Gestal-tung des mittlerweile etablierten und renommierten Security-Events. Über Security und Security Day im Wandel der Zeit stand Mario Emig, Head of Information Security Business Development bei Controlware, Rede und Ant-wort im Gespräch mit IT-SICHERHEIT.

IM INTERVIEW: MARIO EMIG,

CONTROLWARE

SECURITY DAY: SPIEGEL DES WANDELS IN DER IT-SICHERHEIT

21IT-SICHERHEIT [5/2019] 21IT-SICHERHEIT [5/2019]

teressante Lösungen anbieten und jedes Jahr kommen neue hinzu. Aber es ist jetzt schon absehbar, dass sich nicht alle langfristig durchsetzen werden.

Auf der anderen Seite finden wir nach wie vor die etablier-ten Hersteller, die entweder ihr Lösungsportfolio durch Ei-genentwicklungen oder durch Zukäufe von Technologien erweitern. Dieser Trend hat sich eher noch verstärkt.

ITS: Wie gehen Sie mit dieser Thematik bei Controlware um? Wie behalten Sie den Überblick?

Mario Emig: Zum einen melden sich neue Anbieter ak-tiv bei uns, zum anderen beobachten wir permanent den Markt. Allerdings nicht mit dem Ansatz, ständig neue Her-steller in unser Portfolio aufzunehmen. Die meisten Kun-den haben schon heute zu viele Systeme unterschiedlicher Hersteller in ihren Infrastrukturen. Diese Vielzahl von Lö-sungen müssen ja auch betrieben werden – in der Regel mit jeweils einem eigenen proprietären Management. Gleich-zeitig hat sich der Mangel an Fachkräften in den letzten Jahren noch verstärkt und in absehbarer Zeit ist auch kei-ne Änderung in Sicht. Folglich versuchen die Kunden per-sonelle Engpässe und Komplexitäten der Infrastrukturen durch Konsolidierungen zu reduzieren. Der Trend zu mehr Automatisierung wird ebenfalls aus dieser Thematik her-aus weiter zunehmen. Hinzu kommen natürlich ökonomi-sche Überlegungen.

ITS: Wie sehen Sie die aktuellen Entwicklungen zum The-ma Ransomware?

Mario Emig: Die klassischen, signaturbasierten Erken-nungsmethoden stoßen schon länger an ihre Grenzen, bei Malware allgemein und bei Ransomware im Besonderen. Die Security-Industrie hat hier durchaus mit effektiven Lö-sungen reagiert. Bereits vor einigen Jahren wurden Sand-box-Technologien eingeführt, die Schadcode zunächst in einer abgeschlossenen Umgebung – einer Sandbox – aus-führen und ziemlich zuverlässig bewerten können, ob es sich um Schadcode handelt oder nicht. Allerdings wird hierzu nicht zwingend ein Stand-alone-Anbieter benötigt, sondern oftmals von den Anbietern von Security-Gesamt-lösungen als kostenpflichtiges Feature ergänzt.

ITS: Sandbox-Lösungen gelten aber als sehr komplex. Wie unterstützen Sie hier Ihre Kunden? Kann an dieser Stelle auch Künstliche Intelligenz (KI) zum Einsatz kommen?

Mario Emig: Die Sandbox-Technologie ist heute ziemlich ausgereift. Allerdings ist die Komplexität in der Tat nicht zu unterschätzen. So benötigen Unternehmen erfahrungs-

gemäß konkrete Handlungsempfehlungen – insbesondere dann, wenn tatsächlich Malware gefunden wurde. Wir un-terstützen unsere Kunden an dieser Stelle mit eigenen Ser-vices, insbesondere bei Alerts einer Sandbox-Lösung. Hier stellt sich beispielsweise die Frage, ob ein Angriff erfolg-reich war und wie konkret die nächsten Schritte aussehen sollen.

Den Anspruch, Schadcode nicht nur signaturbasiert zu er-kennen, sondern Algorithmen beziehungsweise mathema-tische Methoden zu verwenden, um Malware/Advanced Persistent Threats effektiv zu stoppen, haben nicht nur KI-orientierte Start-ups, sondern natürlich auch die etablierten Player. So setzt heutzutage nahezu jeder größere Anbieter von Sicherheitslösungen KI ein, um seine Lösungen zu ver-bessern, beziehungsweise diese zu vervollständigen. Inso-fern würde ich KI nicht isoliert betrachten wollen, sondern als sinnvolle Ergänzung sehen. Grundsätzlich werden mei-ner Meinung nach hier nicht unbedingt kleine Start-ups den Markt bestimmen, sondern die Unternehmen, die über die meisten Daten verfügen. Für effektive Lösungen ent-sprechender Machine Learning- beziehungsweise KI-An-sätze werden Unmengen an Daten benötigt, die wiederum die KI füttern. Die Hersteller, die bereits über Jahre Daten von Malware und „sauberen“ Samples gesammelt haben, sind hier klar im Vorteil.

ITS: Besteht nicht auch die Gefahr, dass Angreifer KI nut-zen?

Mario Emig: Absolut. Allerdings ist dieser Wettlauf zwi-schen Angreifern und Security-Industrie nicht neu. Es geht schon immer darum, schneller zu sein. Dieser Wettlauf wird sich auch im Kontext von KI nicht komplett ändern. Ich möchte hier nicht zu sehr ins Detail gehen, aber Angreifer werden wahrscheinlich genau darauf achten, ob KI zum Einsatz kommt und eventuell vorhandene Schwachstellen einer KI gezielt ausnutzen.

Bevor wir allerdings allzu schnell über den Einsatz von immer weiteren Technologien sprechen, plädiere ich auf alle Fälle dafür, bereits vorhandene Sicherheitsmechanis-men umzusetzen. Im Kampf gegen Ransomware haben sich eine Reihe von Maßnahmen bewährt, beispielsweise das Blockieren von Macros in Office-Dokumenten, IPS-Si-gnaturen für Landing Pages von Exploit Kits auf Prevent setzen, regelmäßige Back-ups etc. Viele dieser Maßnah-men sind sogar relativ einfach umzusetzen und erhöhen das Sicherheitsniveau erheblich. Wir unterstützen Unter-nehmen zudem durch Awareness-Schulungen, um bei den Mitarbeitern ein besseres Verständnis für Cybergefahren zu schaffen.

TITEL-INTERVIEW

SECURITY DAY: SPIEGEL DES WANDELS IN DER IT-SICHERHEIT

ITS: Lassen Sie uns über eine Spezialform von Ransom-ware in Bereichen von Gebäudeautomation sprechen, der sogenannten Siegeware. Wie sehen Sie hier die aktuelle Si-tuation?

Mario Emig: Grundsätzlich ist der enorme Anstieg von Ransomware damit zu erklären, dass Angreifer ohne hohes Risiko viel Geld verdienen können. In der Vergangenheit war vor allem die breite Masse Ziel der Angriffe mit Ran-somware. Durch die Versprechung – die Verschlüsselung von Datenträgern wieder rückgängig zu machen – konnte durch die Bezahlung von kleineren Beträgen via Bitcoin oder anderen Crypto-Währungen schnelles Geld verdient werden. Mit zielgerichteten Angriffen auf Unternehmen lassen sich die Beträge, die erpresst werden, noch wesent-lich steigern. Während Privatpersonen für die vermeintliche

Rückgewinnung der Urlaubsfotos mehrere 100 Euro zah-len, sind Unternehmen häufi g bereit, mehrere 10.000 Euro zu zahlen, wenn beispielsweise Kundendaten betroffen sind oder die IT-Infrastruktur für Tage oder Wochen auszufal-len droht. Entsprechende Ausfälle durch Ransomware mit Schadenssummen im zweistelligen Millionenbereich waren tatsächlich auch prominent der Presse zu entnehmen.

Angriffe auf Kontrollsysteme für Gebäude sind nur der nächste logische Schritt der Angreifer. Aufgrund des zuneh-menden Einsatzes von Steuerungssystemen für Brandmel-de-, Beleuchtung- und Sicherheitssysteme sowie deren Ver-netzung sind diese Systeme sowohl für eine Fernwartung, aber eben auch theoretisch für Angreifer aus dem Internet

mehr oder weniger einfach zu erreichen. Während jedoch die klassische Offi ce-IT recht gut geschützt wird, haben Operational Technology (OT)-Umgebungen – zu der ich jetzt einfachheitshalber die von Ihnen angesprochene Ge-bäudeautomation hinzuzähle – noch erheblichen Nachhol-bedarf in Bezug auf die Absicherung gegen Angriffe.

ITS: Worin liegen grundsätzliche Unterschiede zwischen IT- und OT-Security?

Mario Emig: Bei IT (Information Technology) und OT (Operational Technology) handelte es sich in der Vergan-genheit meist um getrennte Bereiche, die demzufolge auch unabhängig voneinander ihre jeweiligen Aufgaben erledig-ten. Anknüpfungspunkte zwischen beiden Fachbereichen gab es kaum. Das ändert sich nun in der Ära der immer

komplexeren Vernetzungen durch Internet beziehungsweise Internet der Dinge (IoT) grundlegend. IT und OT sollen und müssen jetzt zwangsläufi g nahtlos ineinandergreifen.

Genau hier entstehen die ersten ernstzuneh-menden Herausforderungen. Diese vernetzten Welten und Geräte müssen verwaltet und ab-gesichert werden. In der OT-Welt wurden die Systeme bisher in abgeschlossenen Umgebun-gen betriebenen. Zudem war die OT in erster Linie darauf ausgerichtet, die Verfügbarkeit der Anlagen zu gewährleisten. Die IT-Welt hingegen hat historisch gesehen weit mehr Er-fahrung mit globalen Vernetzungen und Ab-sicherungen durch die Nutzung des Internets. Auf der anderen Seite haben IT-Teams wiede-rum in der Regel wenig Erfahrung mit indus-triellen Systemen, kennen sich zum Beispiel mit den dort genutzten Industrieprotokollen kaum aus. In der Praxis gilt es nun, diese bei-den Welten zusammenzuführen und sicher-heitstechnisch gemeinsam zu betrachten.

ITS: Ist die Sicherung von OT-Umgebungen aus Ihrer Sicht der wichtigste Trend?

Mario Emig: Die Sicherung von Operational Technology ist tatsächlich ein sehr aktuelles Thema, das uns auch noch über die nächsten Jahre begleiten wird. Ebenso wichtig und aktuell sehe ich allerdings die Absicherung von Cloud-Um-gebungen.

ITS: Vielen Dank für das Gespräch!

Das Interview mit Mario Emig führte Stefan Mutschler, freier Journalist und Chefredakteur IT-SICHERHEIT.

22 IT-SICHERHEIT [5/2019]

TITEL-INTERVIEW

DataAgenda.deIHR PORTAL ZUM DATENSCHUTZ

kostenfreie Arbeitspapiere, Checklisten uvm.

Videos in TV-Qualität zur aktuellen Gesetzeslage mit Handlungsempfehlungen

aktuelle Nachrichten zum Datenschutz: Urteile, Fallbeispiele, Entwicklungen

Datenschutz Newsbox – aktuelle Themen monatlich im Überblick

Videos in TV-Qualität zur aktuellen Gesetzeslage

kostenfreies Expertenwissenin GDD-Qualität

+++ DS-GVO Bußgelder +++ Löschpflichten und Löschkonzepte +++ Stellung des Betriebsrates nach DS-GVO +++ Fotos und die DS-GVO +++ Datenschutz beim E-Mail-Versand +++ EuGH: Facebook Fanpages +++

ADVERTORIAL – PRODUKTPROFIL

Die Angriffsstrategien von Malware – und wie man sie effektiv unterbinden kannvon Dr. Michael von der Horst, Managing Director Cybersecurity, Cisco Germany

TALOS ist die CyberThreat-Forschungs organisation von Cisco. Über 300 Forscher und White-Hat-Hacker überwachen jeden Tag das Internet (www.talosintelligence.com). Mit der Analyse der aktu-ellen Bedrohungslage liefert TALOS wertvolle Erkenntnisse zur automatisierten täglichen Optimierung der Cisco-Security-Lösungen und damit der besseren Sicherheit des Unternehmensnetzwerks.Zudem hat TALOS durch die Analyse aller wesentlichen Malware und Cyber-Attacken der letzten Jahre umfangreiches Wissen über den mehrstufi gen Ablauf von Angriffen gesammelt:

PRODUKTPROFIL – ADVERTORIAL

In den allermeisten Fällen ist eine Netzwerkverbindung erforder-lich, um die nächste Stufe eines Angriffs zu erreichen. Durch geeig-nete­Maßnahmen­kann­die­Verbreitung­deswegen­auch­an­jeder­Stufe gestoppt werden. Idealerweise sind die verschiedenen Ver-teidigungslösungen untereinander vernetzt, um so einen Informa-tionsaustausch zu ermöglichen und die Effektivität zu erhöhen.

Im Einzelnen bedeutet dies:

1. Automatisiertes AusspähenDie Ausspäh-Aktivitäten führen zu erkennbaren Abweichungen vom­normalen­Netzwerk-Traffi­c.­Solche­Anomalien­können­mit­geeigneten Werkzeugen, wie z. B. Cisco Stealthwatch erkennt werden. Aus diesen Erkenntnissen können dann optimierte Sig-naturen/IoCs zur Verbesserung der Effektivität von Firewalls und Scannern gewonnen werden.

2. Zusammenbau der Malware (Exploit-Kits)TALOS analysiert regelmäßige neue Exploit-Kits, sobald sie im Internet verfügbar sind. Daraus ergeben sich Hinweise zum Vor-gehen der Malware, die u.a. zu einer besseren Erkennung durch Cisco-Firewalls und Web-/E-Mail Scannern genutzt werden.

3. Erst-Infi ltrationÜber 80% der Malware-Schadsoftware gelangen initial über E-Mail oder Webseiten auf die Nutzer-Endgeräte und somit in die abgesicherten­Unternehmensnetze.­Diese­Infi­ltration­kann­durch­mehrere, voneinander unabhängigen Maßnahmen blockiert wer-den. Web-Filter analysieren den http(s) Internet Zugriff auf Schad-Inhalte und blockieren diese. E-Mail-Scanner (gerade auch im Zusammenhang mit O365 Installationen) erkennen und entfernen maliziöse Dateien. Ein DNS-Schutz (wie Cisco Umbrella) verhindert den Zugriff auf gefährliche Domains.

4. Exploit & Installation der MalwareExploits nutzen in der Regel bekannte, aber nicht gepatchte Schwachstellen aus. Zero-Day Attacken sind eher selten und werden vor allem bei sehr „wertvollen“ Zielen eingesetzt.

Die Installation läuft meist in mehreren Phasen ab, inkl. dem Nachladen von auf das Zielsystem zugeschnittenem Code. Dieser Prozess kann an mehreren Stellen unterbunden werden:

IPS-Systeme­erkennen­die­Infi­ltration­und­melden/­stoppen­sie.­In­Verbindung mit NGFW-Systemen kann die Kommunikation wäh-rend des Installationsprozesses unterbunden werden. Verhaltens-anomalien auf dem Endgerät werden mit Systemen wie Cisco Advanced Malware Protection (AMP) erkannt und die betroffenen Geräte in Quarantäne geschickt.

Unabhängig davon – und deswegen besonders sicher – unter-bindet ein DNS-Schutz die Kontaktaufnahme zu maliziösen Code- Staging-Servern.

5. Kontaktaufnahme mit dem C2-ServerOhne einen Rückkanal zu Command & Control (C2) Servern funk-tioniert keine Schadsoftware. Dieser Rückkanal und seine Nutzung kann wiederum auf vielfältige Weise und unabhängig voneinander durch Netzwerk-Anomalie Erkennung, DNS-Schutz und NGFW erkennt und blockiert werden.

6. Weiterverbreitung der Schadsoftware im lokalen Netz

Einmal im Netzwerk aktiv versucht die Schadsoftware durch die Ausnutzung von Netzwerk-Exploits sich weiter zu verbreiten und fest zu setzen. Auch hier folgt die Ausbreitung den Stufen 4 und 5. Eine umfassende Anomalie-Erkennung (Stealthwatch) ist zwingend notwendig, um dies zu erkennen.

Cisco ist weltweit der einzige Hersteller, der für all diese Stufen komplette und vernetzte Lösungen anbietet, so dass ein Höchst-maß an Schutz durch Automation und Integration erreicht werden kann. ■

Wir freuen uns auf Ihren Besuch in

Halle 10 | Stand 220

Sie möchten mehr über Cisco Security Lösungen

und deren vielfältigen Einsatzmöglichkeiten

erfahren? Dann treffen Sie die Security Experten

von Cisco Systems am 8.–10. Oktober 2019 in

Nürnberg auf dem Westcon-Comstor Stand auf

der it-sa, Europas größten IT-Security Messe.

Sichern Sie sich Ihre it-sa Freikarte.

https://comstor360.de/event/itsa2019/

Bild

: © d

epos

itpho

tos.c

om/D

ecaS

tock

Gesteigerte Sicherheitsvorkehrungen sind in immer mehr Branchen gesetzlich vorgeschrieben. SIEM-Systeme (Security Inci-dent and Event Management) erweisen sich dabei als wertvolle Tools, um die hohen Anforderungen zu bewältigen. Ziel ist es, die IT-Sicherheit im Unternehmen zu vereinheitlichen und transparent zu gestalten.

SIEM wird zunehmend Teil der Security­Strategie

Gesamtsicht in Sachen IT-Sicherheit

26 IT-SICHERHEIT [5/2019]

Das Analystenhaus IDC hat kürzlich den Report „WW Security Information & Event Management Market Share 2018“ ver-öffentlicht. Demnach wächst der SIEM-Markt­jährlich­um­12,4­Prozent­mit­gesamt­rund drei Milliarden US-Dollar Umsatz. Als Top-3-Player sind in dem Report Splunk mit­19,8 Prozent­Marktanteil,­gefolgt­von­IBM mit 18,8 Prozent und Micro Focus mit 9,9 Prozent­Marktanteil­ausgewiesen

Deutsche Unternehmen bauen IT­Sicherheit aus

Dass IT-Sicherheit bei IT-Entscheidern auf der Prioritätenliste ganz oben steht, ist be-kannt. Gerade in deutschen Unternehmen fi­ndet­aktuell­ein­Umdenken­statt:­Es­wer-den IT-Security-Abteilungen aufgebaut, die aktiv Risikoanalysen und -bewertungen

durchführen, sich mit den Details von Mal-ware beschäftigen und die Techniken von Cyberangreifern verstehen wollen. Nach MITRE ATT&CK (Eine weltweit zugängli-che Wissensdatenbank über gegnerische Taktiken und Techniken, die auf realen Beobachtungen basieren. Die ATT&CK- Wissensdatenbank dient als Grundlage für die­Entwicklung­ spezifi­scher­Bedrohungs-modelle und -methoden im privaten Sektor, in der Regierung und in der Produkt- und Dienstleistungsgemeinschaft für Cybersi-cherheit.) will man über Silos hinweg alles im Blick behalten. Diese IT-Sicherheitsab-teilungen sind auch zuständig für Analy-sen von Malware- und Sicherheitsvorfäl-len und suchen nach dem Root Cause, dem schwächsten Glied in der Kette, um die IT-Sicherheit in der Organisation aktiv zu verbessern. Das IT-Betriebsteam ist dafür

zuständig, die Empfehlungen der IT-Sicher-heitsabteilungen auf ihren Systemen oder Netzwerkkomponenten entsprechend um-zusetzen. Diese IT-Sicherheitsabteilungen sind auf Daten angewiesen, um die Visi-bilität über Silos hinweg einschätzen und darauf basierend Entscheidungen fällen zu können.

Gesetzliche Vorgaben erfordern SIEM

Neben der verschärften Bedrohungslage sehen sich IT-Entscheider mit strengeren gesetzlichen Anforderungen an die System- und Datensicherheit konfrontiert. Zu nen-nen ist hier die EU-Datenschutz-Grundver-ordnung (DS-GVO), die inzwischen seit gut einem Jahr in Kraft ist. Das IT-Sicherheits-gesetz zum Schutz Kritischer Infrastruktu-

26 IT-SICHERHEIT [5/2019]

SECURITY MANAGEMENT

SECURITY MANAGEMENT

ren (KRITIS) fordert bei Datendiebstahl oder System­ausfällen­eine­Meldepflicht­und­ge-naue Auskünfte darüber, welcher Nutzer betroffen war und welche Ursachen dem Vorfall zugrunde lagen. Zusätzlich kommt beim IT-Sicherheitsgesetz und der DS-GVO erschwerend hinzu, dass Unternehmen ver-pflichtet­sind,­ihre­Daten­und­Systeme­an-gemessen und nachweisbar zu schützen und entsprechende Schutzmechanismen aufzusetzen und zu befolgen. All das wird in einem SIEM-System festgehalten.

Als nationale Cybersicherheitsbehörde er-arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststan-dards für die Sicherheit der Informations-technik des Bundes auf der Grundlage des § 8 Abs. 1 BSIG, (http://www.gesetze-im-in-ternet.de/bsig_2009/__8.html). Als gesetz-liche­Vorgabe­definieren­Mindeststandards­ein konkretes Mindestniveau für die Infor-mationssicherheit.­Die­Definition­erfolgt­auf­Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf.

Das BSI hat neben dem IT-Grundschutzka-talog mittlerweile auch die „Mindeststan-dards­ Bund“­ definiert.­ Diese­ Standards­haben das Ziel, nicht ein möglichst hohes Niveau, sondern ein Mindestniveau an IT-Sicherheit festzulegen. Auch hier wurde das Hauptaugenmerk auf die Protokollierung und Detektion von sicherheitsrelevanten Er-eignissen gelegt. Das IT-Sicherheitsgesetz 1.0 legt fest, dass das Mindestniveau in der Bundesverwaltung und allen Bundesbehör-den nicht unterschritten werden darf. Mit Entwurf des IT-Sicherheitsgesetzes 2.0 soll die Gültigkeit ausgeweitet werden. Davon betroffen sind alle Behörden und Organisati-onen, die eine digitale Schnittstelle zu einer Bundesbehörde haben, sowie Unternehmen, welche als Kritische Infrastrukturen gelten und deren Lieferanten. Kritische Infrastruk-turen sind Organisationen und Einrichtun-gen mit wichtiger Bedeutung für das staat-liche Gemeinwesen aus allen Branchen, so etwa Energie, Informationstechnik und Telekommunika tion, Gesundheit etc. Beim BSI­sollen­allein­29 Planstellen­geschaffen­werden, um die behördeninternen Proto-

kollierungsereignisse von Bundesbehörden durch eine systematische Analyse auszuwer-ten und Cyberangriffe zu erkennen.

Es bleibt abzuwarten, wann Betreiber von Kritischen Infrastrukturen alle Protokol-lierungsdaten aktiv an das BSI schicken müssen, denn nur so kann ein Staat bei-spielsweise einen national angelegten Cy-berangriff auf das Stromnetz über mehrere Anbieter hinweg frühzeitig erkennen, be-werten und entsprechend darauf reagie-ren. In Israel ist das schon heute der Fall. Dort gibt es im Ministerium für Energie ein Cyber-Security-Center, welches die IT-Sicherheit und -Zugriffe zentral von allen

Kraftwerkssystemen in der Privatwirtschaft überwacht.

SIEM aktiv als Kommando­zentrale nutzen

Die Zeiten sind vorbei, in denen man mit dem SIEM-System lediglich monatliche Compliance-Reportings erstellte oder es als Monitoring-Center mit Dashboards einsetz-te. IT-Security-Teams wollen heute aktiv mit ihrem SIEM arbeiten. Das SIEM muss dem Security-Team dabei helfen, schnell und ein-fach Fragestellungen zu beantworten und dies bei Bedarf mit zusätzlichem Kontext oder erhöhter Komplexität. Dazu muss es

Anzeige

5. – 6. November 2019Nürnberg, Germany

Ist der Einsatz von Künstlicher Intelligenz rechtskonform realisierbar und von der Gesellschaft akzeptiert? Diese Frage-stellung führt auf der Net.Law.S 2019 Experten und Treiber der digitalen Transformation zusammen. Durch Wissensaustausch und interdisziplinäre Diskussion bringen wir die Digitalisierung erfolgreich in die Wirtschaft.

* Die Teilnehmerzahl ist begrenzt.

Melden Sie sich jetzt zur Konferenz an:*

netlaws.de/anmeldung

Konferenz für die Digitalisierung

der Wirtschaft

Premium Medienpartner: Heise Medien

NET.Wann gerät die Technik ins Spannungsfeld von Recht und Gesellschaft?

LAW.Wie weit kann die Rechtsprechung mit dem digitalen Fortschritt mithalten?

S. – SocietyWie wirkt sich die digitale Transformation auf die Gesellschaft aus?

netlaws19_107x140_kes_BES.indd 1 12.09.19 16:07

SECURITY MANAGEMENT

schnell neue Datenquellen und Formate er-schließen, verstehen was passiert und ent-sprechend darauf reagieren. Ein effektives SIEM muss Entscheidungen vereinfachen und sich von einem passiven Monitoring Tool hin zu einer Kommandozentrale ent-wickeln. Das Security-Team muss mit SIEM bei­Bedarf­auch­Konfi­gurationsänderungen­oder Reaktionen auf Virenausbrüche aus-führen – im Zweifel automatisiert in Echt-zeit und falls erforderlich mit schnellen Ge-nehmigungsprozessen.

Viele Unternehmen und IT-Sicherheitsteams bauen erst langsam ihre Strategie auf, um frühzeitig Sicherheitsprobleme zu erkennen und entsprechende Security-Response-Pro-zesse zu etablieren. Um konkret und schnell loszulegen, können vorgefertigte Playbooks und analytische Storys von Herstellern wei-terhelfen.­Wichtig­ ist­ jedoch,­ diese­ nicht­einfach zu übernehmen, sondern als Vorla-gen für das eigene Unternehmen zu nutzen und­an­die­jeweilige­Umgebung,­Unterneh-menskultur und Risikoakzeptanz anzupas-sen. Fortgeschrittene IT-Sicherheitsteams fokussieren sich nahezu ausschließlich auf die Beobachtung unbekannter Angriffstak-tiken oder potenzieller Risiken, die bei der Einführung neuer Systeme und Services ent-stehen. Zur frühen Erkennung erstellen sie dazu­neue­Analytics­und­defi­nieren­mithilfe­von Playbooks, wie darauf reagiert werden soll.

SIEM-Systeme sind von enormer Bedeu-tung für Security-Operation-Center- (SOC-) und Computer-Emergency-Response-Teams (CERT), um Antworten über unterschied-lichste Technologie-Stacks zu erhalten und immer wieder neue Fragen zu stellen, ob an die Firewall, an Cloud-Dienste oder ge-schäftliche Webanwendungen. Ein SIEM verarbeitet heute Daten von nahezu allem, was digital ist. Ferner ermöglichen moderne SIEM-Systeme­jede­Art­von­Fragestellung­an­die unternehmensinternen Daten – egal, ob historische Daten für die forensische Ana-lyse­oder­ in­Echtzeit­zur­Konfi­guration­als­Alarm. Ein solches SIEM-System entwickelt sich mit dem IT-Security-Team und bietet Optionen von einfachen bis hin zu kom-plexen Machine-Learning-Funktionen.

Automatisierte SIEM­Systeme verändern die Arbeitswelt

Verantwortliche für Informationssicherheit werden das SIEM in den nächsten Jahren zu-nehmend strategisch als Kommandozentrale für die frühzeitige Erkennung von Cyberan-griffen sowie für die Teilautomatisierung der Reaktion auf Security-Vorfälle nutzen. Durch die automatisierte Bearbeitung von Securi-ty-Alarmen und -Vorfällen durch Systemin-tegrationen und Playbooks erhält der IT-Se-curity-Experte mindestens 50 Prozent seiner Zeit zurück und kann diese mit komplexeren Aufgaben zubringen, die kreative Herange-

hensweisen­fordern.­Das­Anforderungsprofi­l­des IT-Security-Experten wird sich dadurch ändern. Künftig wird es zwei Aufgabenfel-der geben: Security-Content-Entwickler und Automation Engineer. Der Security-Content-Entwickler wird seinen Fokus auf neue Play-books und Analytics zur frühzeitigen Erken-nung legen, der Auto mation Engineer treibt hingegen die Systemintegration voran, da-mit diese über Playbooks angesprochen werden können. n

MATTHIAS MAIER, Security-Experte bei Splunk

28 IT-SICHERHEIT [5/2019]

Ein SIEM verarbeitet heute Daten von nahezu allem, was digital ist.(Quelle: Splunk)

SIEM-Systeme haben sich seit ihrer Anfangszeit vom Nachforschungs-, über Monitoring- und Analyse-Tool bis hin zum umfassenden Security-Steuerungssystem entwickelt. (Quelle: Splunk)

Cyber Security Fairevent – for Professionals Only

Neuer Standort: Dortmund und NRW – eine Region mit viel neuem Potenzial.Neuer Termin: 04. März – 05. März 2020. Innovative Cyber Security Solutions, gleich zum Jahresbeginn.

Neues Konzept: Messe & Event mit Kongress – eine Business-Plattform für Aussteller & Besucher.Neues Erlebnis: Solution Panels, C-Level Network Area, Ausstellung & Foren, Show Acts u. v. m.

Neue Kontakte: Angebot & Nachfrage-Matching für zukünftige Geschäftsanbahnungen.

Erleben Sie mehr auf dem Fairevent! Entdecken Sie Cyber Security Solutions, die Sie weiterbringen: www.cybersecurity-fairevent.com

Cyber Security Solutions neu entdecken – das Fairevent in Dortmund erleben!

Messe Messe Messe ||| Event Event Event ||| Kongress Kongress Kongress ||| Erlebniswelt Erlebniswelt Erlebniswelt

Dortmund, 04. – 05. März 2020, Halle 8Dortmund, 04. – 05. März 2020, Halle 8Dortmund, 04. – 05. März 2020, Halle 8

Rethink Cyber Security

Unsere MedienpartnerUnsere MedienpartnerUnsere Medienpartner

&

Eine Veranstaltung von Waveline-Mar.Com

© d

epos

itpho

tos.c

om/v

icnt2

815

30 IT-SICHERHEIT [5/2019]

Ein Desaster macht aus, dass es sich im Vorfeld nicht ankündigt. Als katastrophales Ereignis trifft es eine Gemeinschaft, die Wirtschaft und/oder ein Ökosystem plötzlich. Auch ein Rechenzentrum funktioniert wie ein Ökosystem. Wird es von einer Katastrophe heimgesucht, die Strukturen und Daten ernsthaft stört und werden damit materielle und wirtschaftliche Verluste verursacht, übersteigt dies die Fähigkeit des Betreibers, sie mit eigenen Ressourcen zu meistern. Was zählt, ist effektive und situationsgetriebene Krisenbewältigung.

Konzept zur Krisenbewältigung

Was für ein Desaster!

SECURITY MANAGEMENT

Ein gutes Konzept zur Krisenbewältigung, das Spielraum für Improvisation lässt – so lautet das Erfolgsrezept. Ein Rezept, das die thailändische Festplattenindustrie anwen-dete, als 2011 starker Regen einsetzte und Fabriken­ sintfl­utartig­ unter­Wasser­ setzte.­Als klar wurde, dass aufgestapelte Sandsä-cke um die Anlage des Herstellers Western Digital nicht mehr ausreichen, schlossen

sich­die­Technikunternehmen­vor­Ort­fl­ink­zusammen und beauftragten thailändische Marinetaucher, die Werkzeuge zur Herstel-lung von Festplattenlaufwerken zu bergen. Beim Auftragsfertiger Benchmark Elec-tronics fertigten die Mitarbeiter Flöße aus Blech, die sie einsetzten, um den Bestand aus dem Werk zu entfernen. Jede geborge-ne Maschine wurde demontiert, dekontami-niert und wieder zusammengesetzt. Durch das schnelle koordinierte Improvisieren war die thailändische Branche für PC-Kompo-nenten viel schneller wieder am Markt, als Analysten dies vorhergesagt hatten.

Es kann gar nicht so blöd kommen, wie es kommt

Blitzeinschläge, erschöpfte LKW-Fahrer, ein einziges Eichhörnchen – die Liste bekann-

ter und überraschender Brandzünder für Katastrophen im Rechenzentrumsbetrieb ist lang. Sie alle eint die erforderliche Kon-sequenz: Eine Notfallwiederherstellung, im englischen Disaster Recovery (DR) genannt, muss her. Ein solcher Masterplan bündelt zwingend alle Maßnahmen, die Sicherheits-verantwortliche nach einem Komponenten-Ausfall in IT-Systemen ergreifen.

Noch vor der Zerstörung von Hardware ist Datenverlust das Schlimmste, was einem Betrieb passieren kann. Jedes Unternehmen verfügt über eine individuelle Geschäftsstra-tegie und eine sich daraus ableitende IT-Si-cherheitsstrategie, die Datenverfügbarkeit und Datensicherheit unterschiedlich hoch priorisiert und daraus Normalzustände für den­IT-Betrieb­defi­niert.­Im­Zeitstrahl­(Bild 1)­markiert der grüne Punkt den gewohnten,

Die Reaktion auf Katastrophen kann wichtiger sein, als sie zu verhindern.“

(Joshua J. Romero)

31IT-SICHERHEIT [5/2019]

SECURITY MANAGEMENT

vom Unternehmen akzeptierten Status im Rechenzentrumbetrieb. Zum Zeitpunkt X tritt­ durch­ Umwelteinfl­üsse,­menschliches­oder technisches Versagen die Katastrophe ein. Diese kann, wenn sie sich nicht zum Bei-spiel in Form eines Blitzeinschlags oder einer Überschwemmung klar zu erkennen gibt, für einen gewissen Zeitraum unbemerkt weiter wirken. Man denke hier an Eichhörnchen, die sich genüsslich über die Ummantelung von Kabeln hermachen, ohne hierbei für Aufse-hen zu sorgen. Schleichend verschlechtert sich die Performance. In diesem Zeitfenster des Undercover-Desasters bemühen sich die IT-Mitarbeiter darum, die Hochverfügbarkeit der Daten mit gewohnten Bordmitteln auf-rechtzuerhalten. Sobald klar ist, dass dies nicht mit Leichtigkeit gelingen kann, gilt der Gau als erkannt.

Die Katastrophe ist bemerkt, aber das um Sicherheit und wenig Lärm bemühte IT-Team versucht weiterhin, Herr der Lage zu werden. Sind alle internen Strategien aus-gereizt, muss die Katastrophe dem Manage-ment gemeldet werden. Wir sprechen hier

vom „Disaster Announcement“, das einen Wendepunkt markiert. Der Verantwortliche informiert die Geschäftsführung, dass eine Katastrophe vorliegt, die er alleine nicht be-wältigen kann und dass weitere Maßnah-men ergriffen werden müssen. Bezogen auf den Rechenzentrumsbetrieb steht folgende Managemententscheidung an: Wir schalten das Rechenzentrum um. Damit beginnt die Wiederherstellungsphase. Sowohl die IT-Systeme als auch die Daten aus der letz-ten funktionierenden Datensicherung müs-sen wieder in Betrieb genommen werden. Am Ende dieses zeitlichen Ablaufs steht die Wiederaufnahme der Produktion, bezie-hungsweise des gewohnten Geschäftsbe-triebs.

Disaster Recovery

Der Disater-Recovery-Prozess umfasst in der Regel vier Stufen (Bild 2):

Wunsch und WirklichkeitKommen wir zurück zur IT-Sicherheitsstra-tegie,­ die­ jedem­datenverarbeitenden­Un-

ternehmen als Konzept vorliegen sollte. Ein Konzept, das sich wiederum an den unter-nehmensspezifi­schen­Maximen­ für­Daten-verfügbarkeit, Datensicherheit und Wirt-schaftlichkeit orientiert. Wie lange darf uns eine Katastrophe aus wirtschaftlicher Sicht ausknocken? Das ist die zentrale Frage, die sich die Geschäftsführung beantwor-ten muss. Hier greift für Disaster Recovery der Begriff „Maximum Acceptable Outage“ (MAO) aus der Betriebswirtschaftslehre. Er bezeichnet die maximale Ausfallzeit für Ge-schäftsprozesse oder Servicefunktionen, die das Unternehmen akzeptieren kann, bevor geschäftskritische Konsequenzen drohen. So defi­niert­ein­Versicherungskonzern­als­fi­kti-ves Beispiel maximal 24 Stunden Datenver-lust als Risiko und begrenzt die höchstmög-liche Wiederherstellungszeit auf drei Tage. Damit MAO kein Hoffnungsszenario bleibt, sondern die Realität wiederspiegelt, muss das Konzept Umfang und Kosten aller Maß-nahmen klar benennen.

Daten sichern und Daumen drückenIm Rahmen von DR spielt der Begriff „Reco-very­Point­Objective“­(RPO)­eine­große­Rol-le. Er meint die Zeitspanne zwischen dem letzten Back-up und dem maximal entfernt liegenden Zeitpunkt, bis zu dem Daten auf-grund eines Ausfalls verloren sein dürfen. Auch RPO ist akzeptanzgetrieben und va-riiert: Je höher die Datenverfügbarkeit und Datensicherheit im Unternehmen aufge-hängt sind, desto schmaler ist die RPO. Ist gar kein Datenverlust bei einem Systemaus-fall tolerabel, beträgt die RPO demnach null Sekunden.

Basis bereitenIst eine Katastrophenmeldung beim Ma-nagement angekommen, folgen laut Zeit-strahl Maßnahmen zur Wiederherstellung des Geschäftsbetriebs. Zum Startpunkt der Wiederherstellung (im Zeitstrahl gelb mar-kiert) steht der Umfang des potenziellen Datenverlustes fest, der nach dem Ereig-nis aufgetreten ist. Nun wird aufgeräumt: Die­Phase­„Recovery­Time­Objective“­(RTO)­meint nach Verständnis von Gronau IT exakt die Wiederherstellungszeit, in der Geschäfts-funktionen, Systeme und IT-Services so vor-bereitet sind, dass die IT-Mitarbeiter ihr Wie-derherstellungsverfahren einleiten können.

Bild 1: Ablauf einer Katastrophe (Quelle: Gronau IT Cloud Computing)

Bild 2: Disaster Recovery – ein Drama in vier Akten (Quelle: Gronau IT Cloud Computing)

NeustartIn­ der­ nächsten­ und­ finalen­ Etappe­ folgt­die „Work Backlog Recovery“ (WBL), also die zeitaufwendige Wiederherstellung des Ursprungszustands. Dazu gehören alle Ar-beiten, die Transaktionen und Daten aus der­Prä-Desaster-Ära­wiederherstellen.­Eine­Aufräumzeit, die unterschiedlich lange dau-ert und zu deren Ende alle Daten wieder auf-gespielt sind und dem Business wieder zur Verfügung stehen.

Rechenzentrumswahl als Risikominimierung

Disaster Recovery ist eine Teildisziplin von Business Continuity Management (BCM), also eines Prozesses, der Konzepte zur Auf-rechterhaltung des Geschäftsbetriebs ent-wirft und implementiert. Diese Konzepte sollen Unternehmen auf Störungen vorbe-reiten, diese minimieren und managen. Sie sind personenunabhängig, nicht aber rol-lenunabhängig. BC-Konzepte enthalten Ab-laufpläne für eintretende Katastrophen, die auch greifen, wenn der zuständige IT-Mitar-beiter nicht anwesend oder nicht mehr im Unternehmen beschäftigt ist.

Bei der Reduzierung von Stör- und Katas-trophenrisiken im Rahmen von BCM spielt die Wahl des passenden Rechenzentrums eine große Rolle. Dabei gilt zu beachten, dass ein singuläres Rechenzentrum zwar Hochverfügbarkeit von Daten durch zwei physisch getrennte Brandschutz-Bereiche bereitstellen kann, aber keine Disaster-Re-covery-Funktionen aufweist. Um diese Lücke zu schließen, bieten sich folgende, kombi-nierbare Optionen an:

� DR als Cloud Service, gekoppelt an leicht skalierbare und kostengünstige Standby-Komponenten

� DR an einem zweiten, eigenen geeigneten Rechenzentrumsstandort

� DR mit einem Colocation-Partner in kur-zer Entfernung, so dass im Unterschied zu den anderen Optionen synchrone Daten-replikation möglich ist

� DR mit einem über 200 km georedundan-ten Colocation-Partner

Feuerwehrübungen zeigt sich, wie lange es zumindest ohne großen Stress dauert, das Rechenzentrum umzuschalten und den Be-trieb wieder aufzunehmen. Sobald darüber hinaus größere Software-Upgrades im Zu-sammenhang mit der Datensicherung statt-finden,­müssen­diese­Tests­direkt­nach­dem­Upgrade erfolgen. Dabei ist es unerlässlich, dass­alle­CMDB-Informationen­in­jedem­Re-chenzentrum vorliegen, die in Disaster Reco-very eingebunden sind.(1)

Das Datensicherungs­ Quartett: 3­2­1­0

Um im Katastrophenfall auf der sicheren Seite zu sein, sollten Unternehmen ihre Ge-schäftsdaten mindestens in dreifacher Aus-führung­pflegen.­Drei­Kopien­bedeutet,­dass­zusätzlich zur primären Datenquelle zwei weitere Back-ups vorliegen sollten. Das Da-tensicherungs-Quartett ergibt im Fall eines Systemausfalls Sinn. Angenommen, Unter-nehmen­X­speichert­und­pflegt­seine­Daten­auf­Device­#1­und­das­Back-up­befindet­sich­auf Device #2. Beide Hardware-Komponen-ten haben die gleichen Eigenschaften und die Systemfehler, die sie produzieren, sind unabhängig voneinander, haben keine ge-meinsamen Ursachen. Wenn beispielswei-se­Device­#1­und­Device­#2­je­eine­Ausfall-wahrscheinlichkeit von 1/100 haben, dann ist die Wahrscheinlichkeit, dass beide Gerä-te gleichzeitig ausfallen: 1/100 × 1/100 = 1/10.000

Setzt man dieses statistische Rechenbeispiel fort, bedeutet dies bei Primärdaten auf De-vice #1 sowie zwei Back-ups davon auf den Geräten #2 und #3 eine gemeinsame Aus-fallwahrscheinlichkeit aller Datenträger von 1/100 × 1/100 × 1/100 = 1/1.000.000. Vo-raussetzung ist, dass alle Devices die glei-chen Eigenschaften und keine gemeinsamen Fehlerursachen haben. Mit dieser Dreifach-kopie minimiert sich das Risiko, Daten wäh-rend einer Katastrophe zu verlieren. Mit dieser Strategie vermeiden Unternehmen zudem, dass die Primärkopie und ihr Back-up am gleichen physischen Speicherort ge-speichert­werden.­ Zusätzlich­ empfiehlt­ es­sich, kritische Geschäftsdaten auf mindes-tens zwei verschiedenen Arten von Speicher-medien zu speichern.

32 IT-SICHERHEIT [5/2019]

SECURITY MANAGEMENT

IT-Entscheider sollten Vor- und Nachteile der aufgeführten Wahlmöglichkeiten individuell abstimmen. Jedoch existieren Mindestan-forderungen an digitale und physische Si-cherheit sowie an Kommunikationswege ei-nes Rechenzentrums, die erfüllt sein sollten, wenn es Disaster Recovery leisten soll:

� Mindestens Klasse Tier III � EN­50600­Zertifizierung­ � Überwachungs- und Alarmempfangszen-trale gemäß EN 50518

� Minimale Bandbreitenkonnektivität von mindestens­ je­ 2­ ×­ 1­ GBit/s­ an­ jedem­Standort für das Internet

� Mindestens 2 × 10 GBit/s Konnektivität für die Wege Rechenzentrum zu DR Re-chenzentrum mit einer Latenzzeit <= 30 ms

� Mindestens zwei verschiedene redundan-te Kommunikationswege

� Jeder Kommunikationspfad muss von ei-nem anderen Carrier über verschiedene redundant ausgelegte Leitungen stam-men.

� Wenn ein Rechenzentrum auch als Disas-ter-Recovery-Rechenzentrum eines wei-teren Rechenzentrums verwendet wird, müssen die Kommunikationsleitungen physisch getrennt sein.

� Kommunikationswege müssen nach höchsten Standards verschlüsselt werden, also zum Beispiel nicht nur MPLS.

� Asynchrone, verschlüsselte Datenreplika-tion darf einen maximalen Versatz von ei-ner Stunde aufweisen.

� Automatische Umleitung für angeschlos-sene Rechenzentren und deren Partner (Routen)

� Ein Fernzugriff bei Disaster Recovery sollte über einen zusätzlichen separaten Kommunikationspfad eingerichtet wer-den. Alle Zugriffsmöglichkeiten müssen autonom von den Zugriffspfaden weite-rer angeschlossener Rechenzentren sein.

Kontrolle ist besser

Wenn Disaster Recovery als funktionieren-der Baustein von Betriebskontinuitätsma-nagement funktionieren soll, müssen Unter-nehmen bei gewohntem Betrieb mindestens jährlich­ DR-Failover-Tests­ und­Wiederher-stellungstests durchführen. Mit diesen IT-

PIERRE GRONAU, Gründer und Inhaber der Gronau IT Cloud Computing

Das 3-2-1-0-Back-up-Modell des obigen Abschnitts greift, wenn es keine gemeinsa-men Fehlerursachen für alle Geräte gibt, in denen Datenkopien lagern. Es ist hinfällig, sobald Primärdaten und deren Sicherung an derselben Stelle vorliegen. So sind zum Beispiel Festplatten innerhalb eines RAID-Systems statistisch nicht unabhängig von-einander. Außerdem ist es nicht ungewöhn-lich, dass nach einem Festplattenfehler ein Ausfall einer anderen Festplatte vom glei-chen Speicher etwa zur gleichen Zeit auftritt. Aus diesem Grund bewahren Unternehmen, die dem 3-2-1-0-Modell folgen, Kopien ihrer Daten auf mindestens zwei verschiedenen

Speichertypen. Das können interne Festplat-ten und Wechselspeichermedien, wie Bän-der, externe Festplatten, USB-Laufwerke, SD-Karten, CDs, DVDs oder sogar Disketten sein. Auch eine Aufbewahrungsstrategie auf zwei internen Festplatten an verschiedenen Speicherorten­ergibt­Sinn.­In­jedem­Fall­soll-te eine Kopie der Back-ups an einem exter-nen Ort liegen.

Zudem spielt die physische Trennung zwi-schen den Kopien eine große Rolle und es ist keine gute Idee, externe Speichergeräte im gleichen Raum wie zentrale Unternehmens-orte, zum Beispiel Produktionslagerplät-ze, zu halten. Bei Katastrophen wie einem

Brand droht der komplette Datenverlust als Konsequenz. Für Unternehmen aus dem Mittelstand, die ohne Remote- oder Zweig-stellen arbeiten, stellt die Speicherung von Back-ups in der Cloud eine weitere Option dar. Auch Offsite-Kassetten sind nach wie vor bei allen Unternehmensgrößen beliebt.

Disaster Recovery als Sorgenfresser

Der Allianz Risk Report 2019 (2) benennt Cybervorfälle und Betriebsunterbrechun-gen als die beiden größten Sorgen, die die deutsche Wirtschaft plagen. Diese berech-tigten Sorgen liegen im Ranking erstmalig gleichauf, wobei die Top-Risikofaktoren zu-nehmend gemeinsam auftreten. Disaster Re-covery als regelmäßig geübter Maßnahmen-plan kann hier die Auswirkungen reduzieren und­Sorgen­nehmen.­Zu­beachten­ist­jedoch,­dass alle Tests nur Trockenübungen sind und nicht unter realen, also katastrophalen Be-dingungen,­ stattfi­nden­ können.­ Endet­ ein­Testlauf mit einem knappen MAO-Ergebnis, so sollte sich die Unternehmensführung fra-gen, was dieses Ergebnis wohl für einen tat-sächlichen Gau bedeuten würde. Mit einem zeitlichen Puffer von 50 Prozent kann das Management sein Betriebskontinuitätsma-nagement, zumindest im Bereich DR, als er-folgversprechend einstufen. n

33IT-SICHERHEIT [5/2019]

SECURITY MANAGEMENT

Quellen:(1) https://de.wikipedia.org/wiki/Confi guration_Management_Database(2) https://www.allianz.com/de/presse/news/studien/190115_allianz-risk-barometer-2019.html

Bild 3: Um im Katastrophenfall auf der sicheren Seite zu sein, sollten Unternehmen ihre Geschäfts-daten mindestens in dreifacher Ausführung pfl egen. (Quelle: Gronau IT Cloud Computing)

Bild

: © d

epos

itpho

tos.c

om/g

inas

ande

rs

Krisen kommen oftmals schneller als gedacht. Aus diesem Grund sollte jedes Unternehmen mit einem entsprechenden Kri-senmanagement für den Ernstfall gerüstet sein. Denn durch ein angepasstes Management ist jeder Betrieb in der Lage, schnell und souverän mit der Bedrohung umzugehen, ohne einen größeren Schaden zu erleiden oder gar zu verursachen. Dazu ist es notwendig, ein entsprechendes Konzept auszuarbeiten, welches die besonderen Anforderungen der jeweiligen Branche, des Betriebs sowie die aktuelle Gesetzeslage berücksichtigt. Dabei kann ein umfassendes Krisenmanagement noch weitaus mehr: Im Idealfall profi tiert der gesamte Geschäftsbetrieb von den detaillierten Ausarbeitungen.

Unternehmen profitieren umfassend von einem betriebs­internen Krisenmanagement

Es geht ums Überleben

34 IT-SICHERHEIT [5/2019]

Unternehmen mit sogenannten „KRITISchen“ Infrastrukturen­ sind­ gesetzlich­ verpfl­ichtet,­Systeme zur Bewältigung von Krisen und Katastrophen vorzuhalten, da ein Ausfall oder eine Beeinträchtigung der Versor-gungsdienstleistungen dramatische Folgen haben könnte. Zu den betroffenen Branchen gehören unter anderem die Bereiche Ener-gie, Informationstechnik und Telekommu-nikation, Wasser und Ernährung, aber auch das Gesundheitswesen, Versicherungs- und Finanzwesen sowie Transport und Verkehr. Das IT-Sicherheitsgesetz und die KRITIS-Ver-ordnung­ verpfl­ichten­diese­Betriebe­unter­anderem zu Business Continuity Manage-ment (BCM), IT Service Continuity Manage-ment (ITSCM) und zu Crisis Management (CM). BCM und ITSCM leiten vorbeugend proaktiv Maßnahmen ein, um im Vorfeld Ri-siken und Schwachstellen einzuschätzen. Sie bereiten Pläne vor und legen Abläufe für den Ernstfall fest. Krisenmanagement wirkt re-aktiv und greift dann, wenn der Notfall ein-getreten ist. Im Best Case kann nun auf die Vorbereitung von BCM und ITSCM zurück-gegriffen werden. Doch Krisenmanagement ist auch ohne dieses Setup möglich.

Perspektive: Schaden abwen­den und das Unternehmen fortführen

Naturkatastrophe, Flugzeugabsturz oder der Ausbruch einer hochansteckenden Krankheit: Eine Krise kommt oft plötzlich und kann die unterschiedlichsten Auswir-kungen haben. Unternehmen sind dann gleich mehrfach gefordert. Zunächst steht der Schutz von Leib und Leben von Mitar-beitern, Betroffenen und Kunden an erster Stelle. Ihre medizinische Versorgung muss gewährleistet sein, aber auch die Fürsorge-pfl­icht­mit­emotionalen­oder­psychosozia-len Angeboten erfüllt werden. Kommen Per-sonen zu Schaden, wie bei einem Amoklauf auf einem Betriebsgelände, geht es darüber hinaus um den angemessenen und empa-thischen Umgang mit den Verletzten und Angehörigen.

Bei rein technischen Schwierigkeiten, Ma-schinenausfällen, Lieferengpässen oder auch drohender Insolvenz, gilt es, den wirt-schaftlichen sowie den Imageschaden zu begrenzen, indem professionell und ergeb-

nisorientiert agiert wird. In manchen Fällen kommt als weitere Herausforderung hinzu, dass der Normalbetrieb von nichtbetrof-fenen Bereichen aufrechterhalten werden muss.

Die Perspektive beim Krisenmanagement muss es sein, das Unternehmen zu retten und etablierte Mechanismen zu bedienen, um das Geschäft fortzuführen. Dafür wird eine Systematik entwickelt, die in allen Be-reichen und Szenarien funktioniert und die an die Situation individuell anpasst wer-den kann. Die Ursachen der Krise sind dafür nachranging. Es zählt, die Situation in den Griff zu bekommen und zu beherrschen.

Den Krisenstab aufbauen

In einem ersten Schritt bei der Einführung eines Krisenmanagements wird festgelegt, was genau erreicht werden soll. Auf dieser Basis wird eine tragfähige Konzeption er-stellt, die Organisationsform festgelegt und der Krisenstab aufgebaut. Er ist für die stra-tegische Steuerung des Betriebs im Krisen-fall verantwortlich. Ziel ist es, den Krisenstab

34 IT-SICHERHEIT [5/2019]

SECURITY MANAGEMENT

35IT-SICHERHEIT [5/2019]

SECURITY MANAGEMENT

so zu besetzen, dass alle Unternehmens-zweige sinnvoll angebunden und erreicht werden. Er umfasst in der Regel vier bis sechs Funktionen: einen Leiter, einen Ver-treter Kommunikation sowie Vertreter der Fachbereiche und der operativen Organisati-on sowie administrative Kräfte für Protokoll und Visualisierung. Je nach Unternehmen kommen Vertreter der IT, Juristen, HR (Hu-man Resources) und Safety/Security hinzu. Die Rollen müssen mehrfach besetzt wer-den, empfehlenswert sind drei Personen pro Funktion, da der Krisenstab im Worst Case 24 Stunden am Tag bis zu zwei Wochen am Stück im Einsatz sein können muss.

Der Krisenstab agiert nicht abgeschnitten vom Rest in der Isolation, er muss im Gegen-teil­bis­zu­jedem­einzelnen­Mitarbeiter­wir-ken und entsprechende Strukturen nutzen. Dafür bedarf es auch einer klaren Kommu-nikationsregelung: Der Krisenstab informiert Mitarbeiter und Außenwelt gleichermaßen; gerade die Angestellten müssen wissen, was sie im Krisenfall zu tun haben.

Bei der Planung ist es entscheidend, starke Ketten zu bilden, die unter Belastung nicht reißen. Es gilt, die strategische Ebene abzu-decken, zu der Krisenstab und Geschäfts-

führer gehören, aber auch die taktische Ebene mit Fachbereichsleitern, Vorarbeitern und Vertretern der operativen Ebene. Zu-dem­muss­ der­ Krisenstab­mit­ fi­nanziellen­Mitteln, Verantwortlichkeit und Entschei-dungsbefugnissen samt Durchgriffsrech-ten ausgestattet sein. Er braucht dazu das Mandat von der Geschäftsführung, um die Vorgaben auch durchsetzen zu können. Als letzten Schritt gilt es dann, Bewusstsein im Unternehmen schaffen, dass ein Krisenma-nagement existiert und positiv wirkt.

Eine Krise zu bewältigen bedeutet, Ener-gie­und­Ressourcen­–­auch­fi­nanzielle­–­zu­investieren. Eine zentrale Aufgabe des Kri-senstabes ist es, Entscheidungen zu tref-fen, die Ergebnisse auf positive Wirksam-keit zu prüfen und bei Bedarf anzupassen. Die personelle Besetzung des Krisenstabs muss deswegen mit Druck und einem ho-hen Stresslevel umgehen können und darf keine Angst haben. Es bedarf auch einer ausgezeichneten Kommunikations- und Kol-laborationskultur: Ohne sie kann eine Krise nicht bewältigt werden. Denn der Krisenstab braucht Informationen, gibt sie gleichzeitig aber auch kanalisiert weiter. Man muss Hil-fe annehmen, gleichzeitig aber auch geben können.

Unternehmenskritische Sze­narien können vielfältig sein

Eine Krise muss nicht unbedingt eine Natur-katastrophe oder ein Brand sein. Auch un-spektakuläre Vorfälle können weitreichen-de Konsequenzen nach sich ziehen. Etwa, wenn in einem Firmengebäude unerwartet das Trinkwasser ausfällt. Das bedeutet nicht nur, dass kein Frischwasser mehr zugänglich ist, auch das Abwasser wird zu einem Prob-lem, da im gesamten Komplex die Toiletten nicht mehr benutzt werden können. Hinzu kommt, dass oft der Brandschutz nicht mehr gewährleistet ist, da die Löschanlage in der Regel an das Trinkwassernetz gekoppelt ist. Wenn es in dieser Situation wirklich brennt, ist die Krise da.

In anderen Szenarien gilt es, die Krise zu bewältigen, während gleichzeitig der Nor-malbetrieb aufrechterhalten werden muss. Wenn in einem Krankenhaus in einem Ope-rationssaal die Klimaanlage kontaminiert ist, müssen nicht nur der Patient und das OP-Team in Sicherheit gebracht werden. Alle an-wesenden Menschen müssen geschützt und die Ausbreitung der Kontaminierung verhin-dert werden. Der restliche Betrieb, die an-deren OPs, Untersuchungen und Versorgung

Anzeige

Lückenlose Sicherheitim Datenschutz.

Durch die gezielte Umsetzungvon Maßnahmen.

Konzerndatenschutzotris privacy

www.otris.de

36 IT-SICHERHEIT [5/2019]

der Patienten müssen gleichzeitig aufrecht-erhalten werden.

Gutes Krisenmanagement passt zum Unternehmen

Risikomanagement und Arbeitsschutz sind nicht unbedingt Lieblingsthemen in Un-ternehmen. Auch für das Krisenmanage-ment gilt: Es wird gern vernachlässigt und hintenangestellt, denn es bringt keine Ein-nahmen,­keinen­Profi­t.­Hinzu­kommt,­dass­BCM, ITSCM und CS in der Regel einige Ressourcen erfordern und binden sowie mit entsprechendem Kostenaufwand in der Im-plementierung verbunden sind. Viele Unter-nehmen scheuen davor zurück.

Unternehmen lassen sich in der Regel oft erst dann beraten, wenn sie bereits einen Vorfall erlebt haben und zukünftig besser vorbereitet sein wollen. Andere Gründe, ein Krisenmanagement aufzusetzen: Eine Fir-ma der gleichen Branche hatte ein Problem oder­der­Betrieb­ist­gesetzlich­verpfl­ichtet,­Vorkehrungen für Notfälle zu treffen. Aktuell zeichnet­sich­allerdings­eine­positive­Ände-rung im Bewusstsein der Unternehmen hin zur Vorsorge auch im Bereich Krisenmana-gement ab.

Krisenmanagement muss auf das Zielunter-nehmen zugeschnitten sein und darf ihm nicht einfach übergestülpt werden. Ein ex-terner Berater kann dabei helfen, ein ge-eignetes Konzept aufzusetzen. Wichtig: Der

Berater braucht kompetente Ansprechpart-ner im Unternehmen. Nur so gelingt die Er-stellung eines Plans, der im Worst Case auch funktioniert.

Beim Krisenmanagement ist die Organisati-on das Wichtigste. Pläne, Protokolle, Rollen und Zuständigkeiten werden im Vorfeld klar defi­niert.­Im­Ernstfall­kommen­dann­Kreati-vität und Flexibilität hinzu. Die festgelegte Struktur ermöglicht es so, den Kopf frei zu haben, um kreativ und souverän auch mit jenen­Situationen­umgehen­zu­können,­mit­denen man nicht gerechnet hat. Gutes Kri-senmanagement ist Teamarbeit auf der Ba-sis einer durchdachten Organisation. Das teamorientierte Zusammenwirken eines mit High Level Management besetzten Krisen-stabs stellt oft eine interessante Herausfor-derung dar, deren Bewältigung auch geübt werden muss.

Vom Krisenmanagement profitieren

Krisenmanagement hilft Unternehmen, den Ernstfall zu bewältigen und Schaden vom Betrieb abzuwenden. Gutes Krisenmanage-ment kann auch eine echte Chance sein. Ein Beispiel dafür ist die spektakuläre Wasser-landung auf dem Hudson River der US-Air-ways-Maschine 1549 im Jahr 2009, die vom Flughafen La Guardia, New York, nach Char-lotte Douglas International, North Carolina, unterwegs war. Der Airbus A320 war wenige Minuten nach dem Start in einen Schwarm

Kanada-Gänse geraten, welchie die Trieb-werke zerstörten. Dem Piloten, ein ehema-liger Kampfpilot der Airforce, gelang es mit Copilot und Crew, das Flugzeug auf dem Hudson zu landen – alle 155 Passagiere, einer davon im Rollstuhl, wurden gerettet. Trotz diverser, auch schwerer Verletzungen und einem wirtschaftlichen Totalschaden, wendete sich die Krise zu einem Aufsehen erregenden Erfolg: Der Pilot wurde zu einem Helden der Luftfahrtgeschichte, das Zusam-menwirken des gesamten Unternehmens verbesserte die Reputation der Airline – und ebenso den Eindruck von Flugsicherheit. So sieht erfolgreiches Krisenmanagement aus.

Natürlich­ ist­nicht­ jede­Krise­so­spektaku-lär. Doch Unternehmen und Abteilungen können­von­den­Überlegungen­profi­tieren,­die für das Krisenmanagement nötig sind. Eine klare Priorisierung der Arbeit und ein strukturiertes System unterstützten auch im Arbeitsalltag. Gutes Krisenmanagement ver-bindet Struktur sowie Flexibilität und Kreati-vität im Handeln und Denken. n

ASTRID GESCHWENDT, Senior Consultant bei Controllit AG

SECURITY MANAGEMENT

Ziel ist es, als reaktiver Prozess, die Entscheidungsfähigkeit des Unternehmens sicherzustellen und eine zielgerichtete und

koordinierte Bewältigung der Krise zu ermöglichen.

Krisenmanagement Prozess

Identifikation und Analyse von Krisensituationen

Entwicklung von Strategien zur Bewältigung einer Krise

Einleitung und Verfolgung von Gegenmaßnahmen

Aufgaben des Krisenstabs

Merkmale einer Krise

Merkmale einer KriseBedrohlichkeit /

ExistenzbedrohungBewältigung nicht mit

Alltagsorganisation möglich

Unklarheit Komplexität Zeitdruck Unsicherheit Informationsmangel / Informationsflut

ADVERTORIAL

Heute­dominieren­Begriffe­wie­Software-as-a-Service,­Homeoffi­ce,­ mobile User und Industrie 4.0 die Welt der IT. Die Veränderungen und die Möglich keiten durch die digitale Technologie sind immens und räumen auf mit „Das haben wir immer so gemacht“-Prozessen. Eigene Rechen-zentren und geschlossene Firmennetzwerke werden zum Bottleneck, anstatt die Wertschöpfung zu beschleunigen. Die verschiedenen Orte, an denen gearbeitet wird – von unterschiedlichen Niederlassungen bis zum Home- oder mobilen Arbeitsplatz, erfordern ein neues Denken für IT-Security und die Nutzung der Cloud.

24/7 überwachte Sicherheit Die Telonic GmbH, deren Team Kunden aus zahlreichen Branchen – von Verwaltung, Industrie und Logistik über Bank- und Finanzwesen bis zu Konzernen aus der Energieversorgung – betreut, agiert völlig unabhängig von­Herstellern­und­kann­so­die­jeweils­beste­Lösung­für­die­eigenen­Kun-den entwickeln. Mit einem Team von über 80 IT-Servicespezialisten und Entwicklern hat Telonic auch die nötige Manpower, ein Produkt wie den LifeLine-Service zu bieten. Damit gibt Telonic Netzwerkbetreibern rund um die Uhr die nötige Sicherheit einer korrekt arbeitenden Infrastruktur. Durch den SNOC-Support (Security Network Operation Center) wird das Kunden-Netzwerk proaktiv 24 Stunden am Tag, sieben Tage in der Woche und­52 Wochen­im­Jahr­auf­Störungen­oder­Bedrohungen­überwacht.­Dieser­Service­von­Telonic­ist­gemäß­ISO/IEC­27001­zertifi­ziert,­die­Norm­schreibt die Erfordernisse an IT- und sicherheitstechnische Management-systeme fest. Mehr als die Hälfte aller Telonic-Angestellten arbeiten im Service und stehen von der Ist-Analyse über das Design einer idealen Netzwerklösung bis zum täglichen Betrieb zur Verfügung.

SD-WAN für verzweigte NetzwerkeDie­Zukunft­in­der­IT­ist­fl­exibel,­skaliert­ohne­Probleme­und­fi­ndet­kaum­noch in verstaubten Firmenrechenzentren statt. Heute kann ein Netzwerk über­ein­softwaredefi­niertes­WAN­(SD-WAN)­innerhalb­kürzester­Zeit­erweitert werden, nötig ist nur ein Internetanschluss für die Niederlas-sung,­das­Homeoffi­ce­oder­die­Filiale.­Der­Provider­spielt­keine­Rolle,­die­Einrichtung übernimmt das Netzwerk alleine. Ob MPLS, VPN, verschiedene Provider oder unterschiedliche Bandbreiten: Alles kann auf beliebige Art und Weise zu einem homogenen Enterprise-WAN verschmolzen werden. Telonic ist einer der Early Adopter dieser Technologie in Deutschland, und beendete damit auch die Abhängigkeit von einzelnen Serviceprovidern, die bspw. MPLS-Technik anbieten.

New Work, new Infrastructure!Die­neue­Arbeitssituation­mit­Homeoffi­ce,­mobiler­Arbeit­und­zahl­reichen­Niederlassungen fasst Telonic in das Security Fabric in der Cloud. So ­fi­nden­SaaS,­Serverless­Enterprise­Infrastrukturen,­mobile­User­und­IoT­in einem Cloud Area Network eine gemeinsame Basis. Mit dem Modell können Unternehmen hochperformant die unterschiedlichen Lokationen und mobilen User verbinden und dabei ein Höchstmaß an Sicherheit er-reichen. Die historische Methode über Hardware-Firewalls für Outbound Traffi­c­und­MPLS-Router­eines­Carriers­für­die­unternehmensweite­ Vernetzung ist so Geschichte. n

Das Kölner Systemhaus Telonic, seit 1979 im Markt für Netzwerkinfrastruktur und IT-Sicherheit, hat ein Network Security Fabric entwickelt: Ein Sicherheitsschirm für die CAN (Cloud Area Networks) der Zukunft, mit dem Unternehmen effi zient, sicher und hochvernetzt arbeiten können. Nötig macht dies die Digitalisierung, in deren Zuge nahezu alle Branchen umgekrempelt werden.

Telonic führt Security und WAN zu einem sicheren Cloud Area Network zusammen

Telonic führt Security und WAN zu einem sicheren Cloud Area Network zusammen

Telonic führt Security und WAN zu einem sicheren Cloud Area Network zusammen

Kontakt:

Telonic GmbHAlbin-Köbis-Str. 251149 Köln

Tel. +49 2203 9648 0

kontakt@telonic.dewww.telonic.de

Halle 9

Stand 9-342

Bild

: © d

epos

itpho

tos.c

om/iL

exx

38 IT-SICHERHEIT [5/2019]

Wie RPA und KI Geschäftsprozesse im Gesundheitswesen beeinflussen können

Einsatz für Kollege Roboter

INTERNET DER DINGE

Während die Geburtenrate in den Industrie-ländern sinkt, steigt die Lebenserwartung der Bevölkerung. So wächst der Bedarf an medizinischer Versorgung, und der Fachkräf-temangel­im­Pfl­egesektor­macht­sich­immer­stärker bemerkbar. Die Automatisierung von Prozessen kann diesen Problemen ent-gegenwirken. Beim Einsatz von Software-Robotern werden repetitive, zeitaufwendi-ge Routinetätigkeiten, beispielsweise bei Verwaltungs- oder Abrechnungsvorgängen, weg von Mitarbeitern hin zu virtuellen Kol-legen verlagert. Ein schnellerer Datenzugriff erleichtert außerdem die medizinische Be-treuung von Patienten: Durch die Entlastung bei wiederkehrenden Tätigkeiten können sich­die­Ärzte­und­Pfl­eger­wieder­Aufgaben­widmen, die individuelles Urteilsvermögen und Interaktion erfordern. Sie haben somit mehr persönlichen Kontakt zu Patienten und machen­häufi­g­auch­weniger­Fehler.

Zukunftspotenzial für moderne Lösungen zeigt sich auch in der Medizintechnik, denn die­ Versorgung­ von­ Patienten­ fi­ndet­ oft-mals nicht mehr im Krankenhaus, sondern in gleicher Qualität zu Hause statt. Dabei produzieren medizintechnische Produkte zur­häuslichen­Pfl­ege­mehr­und­mehr­Da-ten.­ Diese­ stehen­ zum­ einen­ den­ Pfl­ege-diensten zur Überwachung der Patienten und zum anderen den Herstellern für den Service oder die Weiterentwicklung ihrer Produkte zur Verfügung. Die Informations-

übertragung an den Fabrikanten lässt sich in­vielen­Fällen­durch­herstellerspezifi­sche­Schnittstellen schon beim Design der Ge-räte­gewährleisten.­Für­das­Pfl­egepersonal­bringt­die­Datenverarbeitung­jedoch­diver-se Herausforderungen hervor. Der häusliche Versorgungsdienst hat in der Regel keine direkten Anbindungen an die Systeme der Hersteller oder zu den elek tronischen Da-tenverarbeitungssystemen­zwischen­Ärzten­und Krankenversicherungen. Er muss seine Informationen­meistens­manuell­einpfl­egen­beziehungsweise in Form von E-Mails an die entsprechenden Stellen weiterleiten.

RPA als Unterstützer

Heute setzt auch der Patient selbst immer häufi­ger­ eigenständig­ Produkte­ für­ seine­Pfl­ege­ein­–­ ist­dabei­ jedoch­auf­ indirekte­Schnittstellen zum Anbieter angewiesen, beispielsweise wenn es darum geht, Ver-brauchsmaterialien zu bestellen oder bei Störungen den Kundendienst zu beauftra-gen. Kann der Patient etwa ein Foto seines Gerätes an den Kundendienst schicken, so wären RPA-gestützte Systeme in der Lage, dem Sachbearbeiter bei der Planung und Durchführung entsprechender Aktionen zu helfen, die er bislang noch manuell ausfüh-ren musste. Eine vorgelagerte Bilderken-nung kann hier in Zusammenarbeit mit dem Software-Roboter mit der gleichen Applika-tion, die der Sachbearbeiter zuvor selbst be-

dient hat, die notwendigen Daten ermitteln und den Geschäftsvorfall damit anreichen. Auf­ diese­Weise­ lässt­ sich­ eine­ effi­ziente­und zielgerichtete Weiterverarbeitung durch den Mitarbeiter gewährleisten. Ebenso bie-tet RPA die Möglichkeit, die Seriennummern der eingesetzten Geräte aus Listen zu extra-hieren und Zeile für Zeile abzuarbeiten. Wel-che Schritte und welche Applikationen der Verarbeitungsprozess letztendlich beinhal-tet, ist hierbei nebensächlich – der Prozess bleibt der gleiche wie bei der manuellen Verarbeitung. Die Umsetzung hat allerdings immer­die­Vorgabe,­Abläufe­so­effi­zient­und­kostengünstig wie möglich zu halten.

Level der Automation

Die Verbindung von RPA und künstlicher In-telligenz bildet die nächste Stufe der Auto-matisierung – Systeme treffen eigene Ent-scheidungen, lernen dazu und optimieren Vorgänge selbstständig. Dabei kann KI Auf-gaben zuweisen, die anschließend von RPA ausgeführt werden. Die Software-Roboter stellen die Hände für das Großhirn, die ko-gnitiven Systeme, bereit. In Zukunft könn-ten Automatisierungslösungen zum Beispiel noch­mehr­bei­der­Überwachung­von­pfl­ege-bedürftigen Menschen mitwirken. Oftmals erweist­es­sich­zunächst­ jedoch­als­ausrei-chend und vor allem sinnvoller, RPA allein einzusetzen: Die Automatisierungslösung verwendet – wie ein vegetatives Nervensys-

Smarte Systeme wirken sich auf unseren berufl ichen wie privaten Alltag aus. Künstliche Intelligenz (KI) bildet die Grundlage für sämtliche Technologien, die Menschen tagtäglich nutzen. Die Digitalisierung fordert von Unternehmern eine Neuorientie-rung und Umstrukturierung ihrer Geschäftsprozesse, veraltete Technik weicht neuen Systemen. Beim Einsatz von modernen Technologien spielt außerdem der Schutz von Gesundheitsdaten eine große Rolle, ebenso wie die Qualität der Patientenver-sorgung. Viele Branchen setzen bereits auf die Automatisierung von Geschäftsprozessen mithilfe von Robotic Process Auto-mation (RPA) oder gar künstlicher Intelligenz. Eine gute Lösung auch für das Gesundheitswesen?

39IT-SICHERHEIT [5/2019]

INTERNET DER DINGE

tem – unkomplizierte, regelbasierte Abläufe, ist einfach zu programmieren und besticht durch gut nachvollziehbare Abläufe.

Sowohl das Training als auch die Ausfüh-rung sind deutlich weniger aufwendig als die Einführung von KI, denn diese ist, an-ders als viele denken, keinesfalls von An-fang an „intelligent“. Die Programmierung erfordert­mühselige­Arbeit­sowie­gefi­lterte­und stark aufbereitete Daten, um der Auto-mation das selbstständige Lernen beizubrin-gen. Nur so lässt sich die Gefahr vermeiden, dass das System etwas Falsches lernt. Risi-ken, wie mangelndes Verständnis für getrof-fene Entscheidungen der KI oder eventuel-le Verletzungen des Datenschutzes, gilt es schon­zu­Projektbeginn­aufzuklären­und­zu­vermeiden. Nur mit viel Erfahrung und Auf-wand gelingt es, den Bot dazu zu bringen, Entscheidungen zu treffen, daraus zu lernen und die Programmierung selbstständig zu ändern,­ um­ schlussendlich­ den­ Pfl­egeauf-wand zu minimieren.

KI noch Zukunftsmusik

Aktuell stellen also sowohl das Zusammen-tragen und Aufbereiten der Daten als auch das Training der KI noch einen enormen Zeit-aufwand dar. Ausschlaggebend hierfür ist das typischerweise sehr individuell gestal-tete Umfeld von Unternehmensprozessen, bei dem vortrainierte Systeme an ihre Gren-zen stoßen. Auch wenn es in einigen Berei-chen bereits erfolgreiche Use-Cases gibt, bei denen Standardanwendungen durch einen grundsätzlichen Prozess bedient werden können und eine maßstäbliche KI mögli-cherweise sinnvoll einsetzbar wäre, zählen diese­Projekte­derzeit­noch­zu­den­Ausnah-men. Wer RPA allerdings schon erfolgreich eingesetzt hat, kann die Erfahrungen und die in der Anwendungszeit durch das Tool generierten Daten nutzen, um gegebenen-falls zu einem späteren Zeitpunkt auch kog-nitive Systeme einzuführen.

Heute trifft KI eher in einer nebengeordne-ten Rolle auf RPA – dort, wo große Daten-mengen verarbeitet werden, etwa in der Ver-waltung, bei Lohn- und Gehaltsabrechnung oder im Personalwesen. Mithilfe von Opti-cal Character Recognition (OCR) extrahiert

KI Daten aus unstrukturierten Texten wie zum Beispiel E-Mails oder auch Patienten-akten. Diese werden an einer bestimmten Stelle abgelegt und unter Einsatz einer Big-Data-Analyse oder Mustererkennung aufbe-reitet. So kann das RPA-Tool die Informatio-nen verwenden, um regelbasierte Prozesse durchzuführen.

Neuer Faktor IoT

Neben den etablierten Bereichen der klas-sischen Patientenversorgung durch aktive Unterstützung und Diagnostik in Form von medizinischen­ Geräten­ fl­ießen­ vermehrt­auch Themen rund um das Internet of Things (IoT) in die Medizintechnik ein. Beispiels-weise können Patienten heute Zuckerwerte durch entsprechende Implantate ermitteln und weiterleiten oder kontinuierlich Daten über Herzrhythmusstörungen mithilfe von Mini-EKG-Implantaten drahtlos an ein End-gerät senden. Selbst auf den altbewährten Herzschrittmacher­nimmt­das­ IoT­Einfl­uss.­Wie geht es nun von dort weiter? Wie und durch wen lassen sich diese Daten zukünf-tig in der Summe weiterverarbeiten? Auch direkte Schnittstellen bilden nicht immer die ideale Lösung und bringen sogar die eine oder andere Gefahr mit sich. Aufgrund in der Vergangenheit bekannt gewordener Si-cherheitslücken im Bereich Gesundheitsda-ten könnten Patienten skeptisch reagieren, wenn es darum geht, ihr eigenes Gerät über direkte Schnittstellen via Internet mit dem behandelten Arzt zu verbinden.

Eine weitere Herausforderung: Zwischen lo-kaler Nutzung der Daten durch den Patien-ten und einer potenziellen Weiterverwertung durch den Hersteller beziehungsweise Kran-kenkassen können Medienbrüche aufgrund kurzfristig fehlender Schnittstellen die Über-tragung der Daten in bestehende Systeme kappen. Bis ein solcher Medienbruch mithil-fe von integralen Schnittstellen beseitigt ist, kann RPA eine Brücke bilden, um entspre-chende Informationen in die Netzwerke zu importieren. Immer dort, wo Daten derzeit noch manuell eingegeben werden, können Software-Roboter eine potenzielle Lösung zur Automatisierung darstellen. Selbst wenn RPA nur temporär Abhilfe schafft, ermögli-chen die Bots aufgrund überschaubarer

Zeit- und Kostenaufwände dennoch oftmals einen positiven Business Case.

Datenschutz im Fokus

Zahlreiche­ Betriebe­ befi­nden­ sich­ derzeit­noch nicht in einem Stadium, in dem sie Automation auf Basis von KI sinnvoll ein-setzen können – ihnen mangelt es an der notwendigen Datenquantität und -qualität. Andere scheitern am fehlenden Wissen rund um die Anwendung oder leiden unter einer unzureichenden Unternehmensstrategie beziehungsweise Restriktionen. Der Einsatz von künstlicher Intelligenz bedeutet immer auch, sich intensiv mit dem Thema Daten-schutz auseinanderzusetzen. Je mehr Infor-mationen zum Training einer KI notwendig sind, desto eher kommt es zur Überschrei-tung­der­fi­rmeninternen­Datenschutzgren-zen – gerade wenn es um hochsensible In-formationen aus dem medizinischen Bereich geht. Die Verantwortlichen müssen den aus-reichenden Schutz der zu bearbeitenden Da-ten ganz nach oben auf die Agenda setzen und­ jederzeit­gewährleisten,­bevor­KI­sich­als Game Changer etabliert.

Nicht zuletzt kämpfen einige Betriebe mit einer weiteren Herausforderung, die den Einsatz von kognitiven Systemen erschwert: eine über lange Jahre gewachsene, subopti-mal­gepfl­egte­IT-Landschaft,­die­einen­un-überschaubaren Komplexitätsgrad indivi-dueller Prozesse hervorgebracht hat. Den einzig sinnvollen Weg in das Zeitalter der künstlichen Intelligenz stellt in den meisten Fällen­ also­ tatsächlich­ ein­Vorprojekt­ zur­Prozessoptimierung mit RPA dar. Insgesamt bietet­Automation­jedoch­die­Chance,­auch­die Entwicklungen im Gesundheitswesen maßgeblich zu unterstützen und die Bran-che voranzutreiben. n

ALEXANDER STEINER, Chief Solution Architect der meta:proc

Die Vorteile von Industrie 4.0 sind mittlerweile für alle produzierenden Unternehmen greifbar – selbst wenn sie ältere Maschi-nenparks betreiben. Möglich wird das durch innovative Lösungskonzepte zur Anbindung bestehender Betriebsmittel an das Internet of Things (IoT). Beispiele sind die Erhebung von Anlagendaten direkt an der Maschine und die anschließende Aus-wertung mithilfe von Business Intelligence. Die erforderlichen Soft- und Hardwarelösungen lassen sich leicht nachträglich in-tegrieren – zum Beispiel durch spezialisierte IT-Dienstleister, die in Kooperation mit Herstellern von Verbindungstechnik und Sensorik alle Komponenten aus einer Hand liefern. Im Ergebnis können Unternehmen die Effi zienz ihrer Produktion erheblich steigern und Prozessabläufe kontinuierlich optimieren.

Wie das IoT in der Industrie Wirklichkeit wird

Erfolgreich zur Smart Factory

40 IT-SICHERHEIT [5/2019]

In Echtzeit nachverfolgen, wo sich ein be-stimmtes­Objekt­befi­ndet,­und­heute­Bau-teile austauschen, die morgen defekt wä-ren: Die Vernetzung industrieller Anlagen eröffnet vielfältige Potenziale und schafft größtmögliche Transparenz bezüglich der Produktionsvorgänge. Die gewonnenen Informationen helfen dabei, betriebswirt-schaftliche Fragestellungen zu beantwor-ten – beispielsweise, ob sich die Auslage-rung eines bestimmten Prozessschritts lohnt oder aus welchen Gründen eine Maschine nicht die volle Leistung erbringt. Mithilfe von Industrie-PCs und individuell auf die erforderliche Anwendung zugeschnittener Business-Intelligence-Software lassen sich Maschinen­ und­Anlagen­ jeden­Alters­ ver-

netzen. Das ermöglicht es Mittelständlern, am Internet der Dinge zu partizipieren, ohne die enorme Investition in einen State-of-the-Art-Maschinenpark tätigen zu müssen. Als Systemintegratoren liefern IT-Architektur-häuser die gesamte erforderliche Infrastruk-tur aus einer Hand – von der Soft- und Hard-ware über die IT-Security bis hin zu stabilen WLAN-Netzwerken.

Retrofit – der Weg zur intelligenten Maschine

Eine einfache Lösung, bestehende Anlagen und­Maschinenparks­fi­t­für­Industrie­4.0­zu­machen,­ist­das­Retrofi­t­mithilfe­sogenann-ter Edge-Computing-Systeme. Diese werden

direkt an der Maschine angebracht, wo sie Anlagendaten, wie Temperaturen, Drücke oder Schwingungen, zentral erfassen und auswerten. Nur relevante Informationen – zum Beispiel Messwerte außerhalb eines defi­nierten­Toleranzbereichs­–­werden­an-schließend an zentrale Datenbanken wei-tergeleitet. „Manche Roboter erzeugen vier Gigabyte Daten pro Sekunde. Eine solche In-formationsfl­ut­kann­nicht­vollständig­erfasst­und historisiert werden. Die Edge-Compu-ting-Systeme agieren hier als Gatekeeper“, erklärt Robert Brockbals, Divisionsleiter Business Solutions bei der SIEVERS-GROUP. Das entlastet die Datennetze und verrin-gert die Latenz. Die Messwerte der einzel-nen Maschinen werden in einer Datenbank

INTERNET DER DINGE

zusammengefasst und mit Daten aus ERP-, CRM- oder BDE-Systemen verknüpft. Auf dieser Basis lassen sich die Informationen mithilfe von Business-Intelligence-Lösun-gen für Reportings, Planungen oder Simu-lationen nutzen. Treten an einer Maschine Anomalien auf, können Unternehmen sofort reagieren und mögliche Stillstände vermei-den. In Kombination mit betriebswirtschaft-lichen Informationen zu Produktion oder Ab-satz lassen sich aus den Anlagendaten aber auch Optimierungspotenziale für die gesam-te Fertigung ableiten.

Stabilität und Sicherheit als Grundvoraussetzungen

Durch die Vernetzung von Produktionsan-lagen entstehen im industriellen Umfeld in einem großen Umfang Datenströme, die es zu leiten und zu sichern gilt. Im Rahmen von Industrie-4.0-Konzepten stellen IT-Ar-

chitekturhäuser dazu auf Wunsch stabile WLAN-Netzwerke und belastbare Security-Konzepte bereit. Die Schaffung eines hoch-verfügbaren Netzes ist die Grundvorausset-zung für die smarte Fabrik. Nur so lassen sich große Datenmengen verarbeiten, die einen Einblick in den Status quo der Fabrik ermög-lichen. Um Produktionsanlagen mit verlässli-chem Wi-Fi auszustatten, kommen Technolo-gien wie Radiating Cable zum Einsatz. Diese

Schlitzkabel funktionieren wie eine Antenne mit gleichmäßiger Abstrahlung. So wird eine lückenlose Netzabdeckung mit Highspeed-WLAN­ von­ bis­ zu­ 150 MBit/s­ erreicht.­ Es­gibt­zudem­anwenderspezifi­sche­Faktoren,­die eine Verwendung von Schlitzkabeln er-fordern. Beispielsweise gibt es bestimmte Werkstoffe, die herkömmliche WLAN-Signa-le absorbieren. Dazu gehört unter anderem Aluminium.

INTERNET DER DINGE

◀ In Echtzeit nachverfolgen, wo sich ein be-stimmtes Objekt befi ndet und heute Bauteile austauschen, die morgen defekt sind: Die Vernetzung industrieller Anlagen eröffnet vielfältige Potenziale und schafft größtmögliche Transparenz über die Produktionsvorgänge. (Foto: iStock)

Manche Roboter er-zeugen vier Gigabyte Daten pro Sekunde. Eine solche Informationsflut kann nicht vollständig erfasst und historisiert werden. Die Edge-Computing-Systeme agieren hier als Gatekeeper.“

Robert Brockbals, Divisionsleiter Business Solutions

bei der SIEVERS-GROUP. (Foto: SIEVERS-GROUP)

Manche Roboter er-zeugen vier Gigabyte

Anzeige

Hinterfragen. Neudenken. Anpacken.Veränderung beginnt im Kopf!

www.digitalmindchange.de

24. Oktober 2019BMW Welt München

Veränderung beginnt im Kopf!

// 30+ Speaker// 30h Sessions// 650+ Teilnehmer// 360° Digitalisierung

42 IT-SICHERHEIT [5/2019]

Sobald die Produktionsanlage vernetzt ist, gilt es, die sensiblen Daten im Maschinen-park gegen externe Angriffe zu schützen. Insbesondere für hochspezialisierte mittel-ständische Unternehmen mit führendem Know-how wird IT-Security zu einem im-mer wichtigeren Thema. „Um die Datensi-cherheit unserer Kunden stets im Blick zu haben, nehmen wir ein aktives Monitoring auf der Systemumgebung vor und betreiben eine Security-Leitstelle, die 24/7 verfügbar ist“, sagt Brockbals. Als weitere Maßnah-me zur Härtung der Sicherheit bieten sich Angriffssimulationen (Penetrationstests) an. Damit lassen sich Schwachstellen wie bei-spielsweise offene Firewall-Ports aufdecken. Im Nachgang erhält der Kunde ein Protokoll sowie eine Risikobewertung, sodass akute Sicherheitslücken schnell beseitigt werden können.

Transparenz als Schlüssel zur Effizienz

Die Vernetzung und Überwachung eines bestehenden Maschinenparks erschließen Unternehmen im Wesentlichen über vier Anwendungsbereiche von Industrie 4.0: Condition Monitoring, Energy Management, Asset Tracking und Predictive Maintenance. Das Ziel ist immer der bedarfsgerechte Ein-satz von Betriebsmitteln.

Beim Asset Tracking, der permanenten ana-lytischen Inventur von Werkzeugen, werden Objekte­mittels­RFID­durchgehend­geortet.­Auf diese Weise können Unternehmen den Einsatz wertvollen Equipments optimal ma-nagen und einen Zeit- und Kostenaufwand vermeiden, der bei der Suche oder dem Ver-lust benötigter Werkzeuge entsteht. „Intel-ligente“ Gegenstände erfassen permanent Daten über ihren Zustand oder die Umge-bung und sind in der Lage, mit ihrem Bedie-ner,­anderen­Objekten­sowie­ICT-Systemen­zu kommunizieren.

Beim Condition Monitoring wird so der Zu-stand von Maschinen und Anlagen über-wacht, indem Sensoren Daten über das di-rekte­Umfeld­eines­Objekts­sammeln.­

Die frühzeitige, bedarfsgerechte Ausrichtung von Wartungszyklen anhand dieser Daten ist das Prinzip der Predictive Maintenance (deutsch: vorausschauende Instandhaltung). Da­jeder­Anwender­seine­Maschine­anders­nutzt, ist es vorteilhaft, den Verschleiß mit dieser Technologie präzise und individuell kalkulieren zu können. Analysesoftware er-fasst dabei die Sensordaten, wertet sie aus und erkennt frühzeitig einen möglichen Aus-fall von Komponenten. Defekte Bauteile, die den baldigen Stillstand einer Anlage zu ver-ursachen drohen, können erkannt und aus-getauscht werden, bevor ein tatsächlicher Schaden entsteht. Das damit verbundene Einsparpotenzial ist riesig, da neben einer Verkürzung von Stillstandszeiten auch der Stromverbrauch reduziert und Wartungs-kosten gesenkt werden.

Das ist auch im Hinblick auf das Energy Ma-nagement­von­Bedeutung,­das­eine­Effi­zi-enzmaximierung durch die Einsparung von Energiekosten ermöglicht. Energiedaten können zudem auf einen zu erwartenden Defekt hinweisen – etwa, wenn eine Ma-schine unnötig viel Energie verbraucht, weil eines der Bauteile abgenutzt ist.

Retrofit in der Praxis

Ein Unternehmen, das die Vernetzung sei-nes­Maschinenparks­mithilfe­der­Retrofi­t-Methode bereits erfolgreich abgeschlossen hat, stammt aus der kunststoffverarbeiten-den Industrie. Die verwendete neue Senso-

rik untersucht nun die Spritzgussmaschi-nen,­die­fl­üssigen­Kunststoff­produzieren,­kontinuierlich auf Verschleiß. Die Heraus-forderung: Das Spritzen des Kunststoffes in die Formen muss mit konstanter Geschwin-digkeit erfolgen, damit eine gleichmäßige Befüllung gewährleistet wird. Im Kunststoff befi­nden­sich­jedoch­Glasfaserpartikel,­de-ren Körnung für Abrieb sorgt. Wenn dieser Verschleiß eintritt, dreht sich die Spritz-gussmaschine schneller, um eine gleich-mäßige Fließgeschwindigkeit zu erreichen. Dadurch entsteht mit der Zeit ein übermä-ßiger Energieverbrauch. „Anhand der Ener-giedaten lässt sich prognostizieren, wann ein Bauteil getauscht werden sollte, um den Verbrauch wirtschaftlicher zu gestal-ten und einen drohenden Defekt zu verhin-dern“, erläutert Brockbals. Der Schritt ins Internet der Dinge ermöglicht dem Anwen-der auf diese Weise eine wirtschaftliche und zuverlässige Kunststoffproduktion. n

CHARLOTTE V. SPEE, Journalistin

In Kombination mit betriebswirtschaftlichen Informationen zu Produktion oder Absatz lassen sich aus den Anlagendaten Optimierungspotenziale für die gesamte Fertigung ableiten. (Foto: iStock)

INTERNET DER DINGE

Künstliche Intelligenz für die EnergiewirtschaftWie KI mit Mehrwert bereits eingesetzt wird

13. November 2019, Köln

• Grundlagen für die Anwendung von Maschinellem Lernen

• Überblick: Anwendungsgebiete von KI in der Energiewirtschaft

• Von der Idee zum Projekt – Umsetzung im Unternehmen

• Datenbasierte Geschäftsmodelle mit Smart Metern

• Künstliche Intelligenz im Vegetationsmanagement

• KI leben: Erarbeitung einer unternehmensweiten KI-Strategie

Cybersicherheit für die EnergiewirtschaftBedrohungen erkennen und abwehren

4. Dezember 2019, Düsseldorf

• Das neue IT-Sicherheitsgesetz 2.0• KRITIS-Schutz – Welche Maß-

nahmen sind empfehlenswert?• Blick auf die Täter – Aktuelle

Bedrohungslage und Straf - verfolgung

• Sicherheit ganzheitlich gedacht – Der Nationale Pakt Cybersicherheit

• Mitarbeiter schulen – Der Faktor Mensch in der Cybersicherheit

• Prevention, Detection, Response – Handeln im Ernstfall

• Cyber-Versicherungen – Was steckt genau drin?

www.ew-online.de/cybersicherheit192

Ansprechpartner:Sebastian SchmückeM.A. | Projektmanager Bereich Tagungen/ Konferenzen

Telefon 0 30/ 28 44 94-213Telefax 0 30/ 28 44 94-29213sebastian.schmuecke@ew-online.de

EW Medien und Kongresse GmbH Reinhardtstraße 32 10117 Berlin

IT-Sicherheit in der BeschaffungUmsetzung des BDEW/OE-Whitepaper

3. Dezember 2019, Düsseldorf

• Das BDEW/OE Whitepaper – Ein inhaltlicher Überblick

• Überprüfung der Umsetzung beim Lieferanten

• Anforderungen an Technologie-kategorien und deren Wechsel wirkungen

• Praktische Erfahrungsberichte – Arbeiten mit dem Whitepaper

• Security-Abnahmetests für BDEW/OE Whitepaper Anforderungen

• Umsetzung: Möglichkeiten und Feedback der Hersteller

www.ew-online.de/itsibewww.ew-online.de/kiew

BDEW Bundesverband der Energie- und Wasserwirtschaft e.V.

Melden Sie sich jetzt an!

Buchen Sie die Veranstaltungen am 3. + 4.12.19 im Paket und erhalten Sie 20% Rabatt auf eines der Tickets!

Aktuelle IT-Veranstaltungen

BDEW_AZ_181x260_3er-Kombi.indd 1 13.09.19 10:37

44 IT-SICHERHEIT [5/2019]

Professionelle Penetrationstester (Pentester) versuchen stets, sich Zugang in ein Organisationsnetzwerk zu verschaffen. Schon die unterste Zugriffsebene kann für das erfolgreiche Eindringen ausreichen. Eine der besten Möglichkeiten und vor allem auch die einfachste ist die Verwendung eines Passworts. Aber wie kommen Pentester an Passwörter? Indem sie etwas ganz Einfa-ches machen: sie raten – zielgerichtet und auf Erfahrungswerten basierend. Denn sie kennen aus Erfahrung die typischen Passwörter und Passwortsysteme, die Mitarbeiter gerne wählen, und haben damit Erfolg. Doch es gibt wirkungsvolle Mög-lichkeiten, das Risiko eines nicht autorisierten Zugangs zu minimieren.

Folgende Analysen beruhen auf einem Satz von etwa 130.000 anonymen Organisa-tions- beziehungsweise Mitarbeiter-Pass-wörtern. Sie sind frei von persönlichen und organisationsspezifi­schen­ Informationen,­stammen aus den internen Domainverwal-tungen und sind nur wenigen Personen zu-gänglich. Die gesammelten Daten sind rela-tiv neu: Die meisten der Passwörter wurden von den Benutzern 2017 oder 2018 ausge-wählt. Auch doppelte Passwörter wurden aufbewahrt, damit analysiert werden konn-te, wie oft bestimmte Passwörter und Pass-wortmuster in den verschiedenen Organisa-tionen verwendet werden. Es handelt sich um echte Passwörter, die von echten Per-sonen an ihren persönlichen Arbeitsplätzen verwendet wurden und werden.

Passwörter und Passwortmuster sollten komplex und sicher sein. Tatsächlich aber sind das die meisten nicht.

CYBERSICHERHEIT

Aus dem Schatzkästchen eines Pentesters

Strategien zum Schutz gegen das Passwort-Hacking

Die drei gängigsten Passwort­muster

Es gibt drei sehr gebräuchliche Passwör-ter. Das erste würden die meisten Leute schnell erraten, denn es ist: „Password“! Um fair zu sein, gibt es viele Varianten von „Password“ wie Password1, Password123, Password2, Password1! und viele andere. Password1­ist­das­häufi­gste.­Samt­aller­Va-riationen und einigen kleinen Dekoratio-nen­stellt­es­das­am­häufi­gsten­verwendete­Passwortmuster dar mit 4.001 von 129.812 Einträgen, was rund drei Prozent aller Pass-wörter sind.

Das nächste Passwortmuster ist vielleicht nicht so offensichtlich, aber wenn man sich den Denkprozess des Benutzers vor Augen führt, macht es Sinn. Die gängigsten Fir-men-Passwortrichtlinien verlangen, dass die Mitarbeiter ihr Passwort alle 90 Tage

ändern. Und was ändert sich noch alle drei Monate? Die Jahreszeit! Viele Menschen haben also ein System „erfunden“, bei dem sie ein Passwort verwenden, das leicht zu merken ist und sich nie wiederholt, da sie einfach die aktuelle Jahreszeit wählen und das Jahr anhängen: Winter2018, Sum-mer2017! und Spring16! Wir zählen ins-gesamt 1.788 solcher Passwörter, sprich 1,4 Prozent­aller­Passwörter.

Das dritte Passwortmuster enthält kein bestimmtes Wort, ist aber mit knapp fünf Prozent die häufigste Namensgebung, nämlich der Name der Organisation. Wir haben insgesamt 6.332 Passwörter gefun-den, die den Namen der Firma enthielten. Sie sind in der Regel aus dem Firmennamen und den Variationen wie bei „Password“ zusammengesetzt. Beispiele sind Compa-ny123!, Company1, C0mp@ny1 oder Com-pany2018. Bi

ld: ©

dep

ositp

hoto

s.com

/sbo

tas

45IT-SICHERHEIT [5/2019]

CYBERSICHERHEIT

Diese drei Passwortmuster machen rund zehn Prozent der Passwörter aus. Oder an-ders gesagt: Jedes zehnte Passwort ent-spricht diesen Mustern. Ein bösartiger Akteur braucht möglicherweise nur ein einziges Passwort, um Zugang zu einem Netzwerk zu erhalten. Bei einer Organisa-tion mit 100 Mitarbeitern besteht also eine gute Chance, dass fünf den Firmennamen verwenden, drei mit dem Wort „Password“ herumspielen und ein oder zwei die aktuelle Jahreszeit und das aktuelle Jahr einsetzen. Die­Gefahr­einer­korrekten­Passwortverifi-zierung und eines unbefugten Eindringens wird somit unmittelbar.

Einfache Passwortmuster machen es Hackern leicht

Bei­ Penetrationstests­ wird­ häufig­ festge-stellt, dass die minimale Passwortlänge in der Firma auf acht Zeichen festgelegt ist. Eine Sache, die auffällt, ist, dass sich oft ein Mitarbeiter genau an diese Mindestlänge hält. Eine Auswertung der Passwortlänge ergibt folgendes Bild:

� 8 Buchstaben: 46,0 Prozent � 10 Buchstaben: 17,9 Prozent � 9 Buchstaben: 17,2 Prozent � 11 Buchstaben: 6,4 Prozent � 7 Buchstaben: 4,2 Prozent � 12 Buchstaben: 3,5 Prozent � 6 Buchstaben: 2,2 Prozent � 13 Buchstaben: 1,6 Prozent

Es stellt sich heraus, dass die acht Zeichen nicht­ nur­ am­ häufigsten­ verwendet­ wer-den,­sondern­auch­häufiger­vorkommen­als­die nächsten vier zusammen! Ein cleverer Passwort-Hacker wird sich mit ziemlicher Si-cherheit auf Passwörter mit acht Buchsta-ben konzentrieren.

Eine Analyse der verwendeten Zeichenmus-ter­zeigt,­welche­Zeichen­an­jeder­Position­verwendet­werden,­wo­ jemand­ lieber­den­Großbuchstaben, die Ziffer, das Sonderzei-chen und die Kleinbuchstaben platziert. Menschen neigen dazu, ihr Passwort mit ei-ner Ziffer zu beenden. Acht der zehn wich-tigsten Passwortmuster enden mit einer Zif-fer. Aber welche Ziffer?

� 0: ca. 23.000 Personen � 1: ca. 45.000 Personen � 2: ca. 30.000 Personen � 3: ca. 32.000 Personen � 4: ca. 28.000 Personen � 5: ca. 27.000 Personen � 6: ca. 25.000 Personen � 7: ca. 29.000 Personen � 8: ca. 25.000 Personen � 9: ca. 22.000 Personen

Wenn sie eine Ziffer verwenden sollen, kle-ben die meisten Mitarbeiter einfach eine „1“ ans Ende. Wir haben das bereits bei Password1 und Firma1 gesehen. Doch was ist, wenn es am Ende mehr als eine Ziffer gibt, was verwenden sie dann? Hier die Fa-voriten.

� 23: 2,60 Prozent � 09: 2,47 Prozent � 18: 2,32 Prozent � 17: 1,59 Prozent � 12: 1,56 Prozent � 01: 1,40 Prozent � 11: 1,25 Prozent

Das Top-Ergebnis „23“ weist auf ein ande-res Muster menschlicher Entscheidungen hin. Das zeigt auch die Analyse der letzten drei Ziffern.

� 123: 2,13 Prozent � 009: 2,13 Prozent � 018: 1,17 Prozent � 017: 0,87 Prozent � 234: 0,75 Prozent � 016: 0,53 Prozent

Es wird deutlich, dass Menschen gern ein sehr einprägsames Zahlenmuster am Ende eines Passwortes, nämlich 123, verwenden. Vielleicht ist das die Länge eines kurzen fünfstelligen Passworts? Vielleicht macht man das so, damit man nicht nur eine ein-zige Ziffer verwendet, da man denkt, dass drei Ziffern (irgendwie) besser sind? Doch wie sieht es aus, wenn am Ende vier Ziffern stehen? Überraschenderweise taucht dabei ein neuer Kandidat auf:

� 2009: 2,10 Prozent � 2018: 1,15 Prozent

� 2017: 0,85 Prozent � 1234: 0,71 Prozent � 2016: 0,51 Prozent

Wenn am Ende vier Ziffern verwendet wer-den, dann sind es Jahreszahlen. Aber 1234 ist natürlich auch dabei. Bei Penetrations-tests­ lassen­sich­häufig­Muster­mit­einem­Jahr­am­Ende­des­Passworts­finden,­wie­bei-spielsweise Summer2018. Das Top-Ergebnis „2009“­bleibt­jedoch­ein­wenig­rätselhaft,­da­die­meisten­jahresähnlichen­Muster­auf­die letzten Jahre hinweisen. Aber dies kann von einem einzigen Penetrationstest her-kommen, bei dem eine große Anzahl von Legacy-Accounts erfasst wurden, die seit mehreren Jahren keine Passwort-Rotation mehr gesehen haben. Oder diese Passwör-ter können zu Mitarbeitern gehören, die alle acht oder neun Jahre alte Kinder haben. Das Rätsel ist schwer zu lösen angesichts der Datenanonymisierung, die durchgeführt wird, bevor diese Passwörter zum Passwort-Pool hinzugefügt wurden. Bei fünf Ziffern am Ende kehrt das Muster mit sequentiel-len Ziffern zurück, beginnend mit „12345“.

� 12345: 0,14 Prozent � 23456: 0,10 Prozent � 12334: 0,06 Prozent � 34567: 0,04 Prozent � 45678: 0,02 Prozent � 11111: 0,02 Prozent

Das Verhalten der Menschen ist bei Passwörtern vorhersehbar

Zusammenfassend zeigen die hier gesam-melten und präsentierten Daten, dass das Verhalten der Menschen vorhersehbar ist, wenn sie selbst ihre Passwörter erstellen. Sie müssen sich eine Menge Passwörter merken und haben vielleicht gehört, dass die Wiederverwendung von gleichen Pass-wörtern eine schlechte Idee ist. Also ver-wenden sie ein Passwortmuster, das ein-prägsam ist, beispielsweise mit dem Namen der Firma als Basiswort.

Penetrationstester betonen ständig die Be-deutung einer starken Passwortrichtlinie für die Organisation und empfehlen vor

46 IT-SICHERHEIT [5/2019]

allem­ die­ Zwei-Faktor-Authentifizierung­(2FA).­Doch­häufig­werden­diese­Empfeh-lungen übersehen oder nicht beachtet. Das Ergebnis:­Einer­der­häufigsten­Gründe,­wa-rum Hacker auf Systeme und Netzwerke zu-greifen können, um sensible Informationen zu erobern, sind schwache Passwörter auf-grund schwacher Passwortrichtlinien.

Passwort­Dumps sind eine weitere Gefahrenquelle

Bei Penetrationstests werden die unter-schiedlichsten Techniken verwendet. Dazu gehört die Suche nach online veröffent-lichten Zugangsdaten, möglicherweise in öffentlichen Passwort-Dumps, sprich Pass-wort-Deponien. Sie bestehen aus umfang-reichen Listen mit oft Millionen von Nut-zername-Passwort-Kombinationen, die sich Datendiebe gegenseitig zur Verfügung stel-len.

In Rahmen eines Penetrationstests auf eine Webanwendung konnte eine Reihe von E-Mail-Adressen und Passwörtern in einem öffentlichen Passwort-Dump gefunden wer-den. Mit dieser Liste wurde ein Anmeldever-such durchgeführt und siehe da: Eine der im Passwort-Dump aufgeführten Zugangs-berechtigungen hat im Organisationsnetz-werk funktioniert. Dass ein solches Pass-wort gefunden wurde, liegt wahrscheinlich daran, dass der Benutzer Passwörter auf verschiedenen Websites wiederverwendet und sein Firmenpasswort nach dem Hacking einer anderen Website nicht geändert hat.

Mit dem Zugriff auf das Konto konnte eine große Menge an Kunden-Daten sowie Fi-nanzinformationen aus dem E-Mail-Post-eingang des betroffenen Benutzers he-runtergeladen werden. Interessanterweise hatte der Benutzer die Organisation bereits verlassen, so dass der Zugang in andere Or-ganisationsbereiche entfernt wurde. Den-noch war der E-Mail-Posteingang immer noch vollständig zugänglich. Darüber hi-naus konnten hier weitere interessante In-formationen gesammelt werden, darunter eine Liste von internen Usern, die aktuelle Kennwortrichtlinie für die Webanwendung und viele weitere vertrauliche Informatio-nen. Ein bösartiger Akteur hätte zudem die-

se verlassene E-Mail-Adresse als „vertrau-enswürdiges Konto“ für Phishing-Aktionen bei anderen Usern sowohl intern wie extern verwendet.

Erkennung und Verteidigung

Penetrationstester haben selten mehr als zwei Wochen Zeit, um eine bestimmte Ziel-organisation oder eine bestimmte Zielper-son zu analysieren und zu kompromittieren. Das enge Zeitfenster begrenzt notwendi-gerweise die Möglichkeit für Angriffe, zu-dem ist die gesamte Organisation in Alarm-bereitschaft. Trotz dieser Einschränkungen blieben gut 61 Prozent der Einsätze unent-deckt:

� Entdeckung innerhalb einer Stunde: 8,0 Prozent

� Entdeckung innerhalb eines Tages: 22,5 Prozent

� Entdeckung innerhalb einer Woche: 8,0 Prozent

� Keine Entdeckung: 61,4 Prozent

Wenn der Penetrationstester nicht inner-halb eines Tages erkannt wird, ist es un-wahrscheinlich, dass seine bösartigen Ak-tivitäten überhaupt erkannt werden. Die Erkennungsraten in großen und kleineren Organisationen sind unterschiedlich:

Große Organisation � Entdeckung innerhalb einer Stunde: 12,0 Prozent

� Entdeckung innerhalb eines Tages: 23,9 Prozent

� Entdeckung innerhalb einer Woche: 6,5 Prozent

� Keine Entdeckung: 56,5 Prozent

Kleine Organisation � Entdeckung innerhalb einer Stunde: 5,6 Prozent

� Entdeckung innerhalb eines Tages: 23,6 Prozent

� Entdeckung innerhalb einer Woche: 7,6 Prozent

� Keine Entdeckung: 63,2 Prozent

Penetrationstester bleiben also in kleinen Organisationen­ (weniger­ als­ 1.000  Be-schäftigte)­ häufiger­ unentdeckt­ (63  Pro-

zent) als in großen Organisationen (57 Prozent).­Dieser­Unterschied­ ist­ eine­nähere Betrachtung wert. Große Organisa-tionen haben in der Regel mehr Ressour-cen, um sich zu schützen, aber größere, komplexere Organisationsnetzwerke bie-ten in der Regel auch mehr Möglichkeiten, um­ Schwachstellen,­ Fehlkonfigurationen­und schwache Anmeldeinformationen zu finden.­Sie­haben­natürlich­auch­größere­IT-Budgets und oft erfahrenere Mitarbeiter, was die Gefahrenerkennung deutlich ver-bessern sollte. Aber ehrlich gesagt, ist das Gesamtdelta der Erkennungsrate mit sechs Prozent nicht sonderlich groß, und sowohl große als auch kleine Organisationen tä-ten gut daran, ihre Erkennungsfähigkeiten noch einmal stark zu überprüfen.

Verwaltung von Zugangs­berechtigungen ist gefordert

Die Eroberung von Zugangsdaten ist in der Regel die einfachste Methode, ein Netz-werk zu gefährden. Auf den ersten Blick sollte­es­hier­jedoch­ziemlich­einfach­sein,­einige grundlegende Kontrollen bei der Ver-waltung von Benutzerkonten einzuführen, um die Organisation zu schützen. Leider ist das nicht der Fall. Zum Beispiel gehört das (zeitweilige) Sperren eines Kontos nach ei-ner­definierten­Anzahl­von­fehlgeschlage-nen Passwortversuchen (oft fünf) zu den ältesten automatisierten Sicherheitstechni-ken.­Die­legendäre­Sperre­ist­jedoch­relativ­selten:

� Kontosperrung hatte keine Auswirkung: 60,8 Prozent

� Es gab keine Kontosperrung: 16,2 Prozent

� Kontosperrung hat das Kompromittieren nur verzögert: 16,2 Prozent

� Der Angreifer wurde erkannt: 3,8 Prozent

� Der Angreifer wurde daran gehindert, Authentisierungsangriffe zu­starten:­2,3 Prozent

� Legitime Benutzer wurden ausgeschlossen: 0,8 Prozent

Zur gängigsten Taktik, um Anmeldeinforma-tionen zu gewinnen, gehört „Bruteforcing“, sprich der automatisierte Vorgang, viele,

CYBERSICHERHEIT

TOD BEARDSLEY, Forschungsdirektor bei Rapid7 (Bild: Rapid7)

viele Passwörter pro Konto auszuprobieren. In den Tests, in denen ein Bruteforcing ver-einbart­wurde,­wurde­jedoch­nur­in­sieben­Prozent aller Fälle der Penetrationstester erkannt,­der­Authentifi­zierungsangriff­voll-ständig abgewehrt oder ein Service-Ausfall ausgelöst. Obwohl Kontosperrungen die Er-oberung von Zugangsdaten zumindest ver-langsamt hätten (um rund 16 Prozent), wa-ren sie entweder ineffektiv oder fanden gar nicht statt (77 Prozent).

Zwei­Faktor­Authentifizierung notwendig

Eine wirkungsvolle Anmeldekontrolle ist die Zwei-Faktor-Authentifi­zierung­(2FA).­Nach-dem ein Passwort korrekt eingegeben wur-de, wird der Benutzer um eine zusätzliche Information gebeten. Dies ist in der Regel eine kurze Serie von algorithmisch gene-rierten Zahlen, die auf einem gemeinsamen „Geheimnis“ zwischen dem 2FA-Gerät und dem­authentifi­zierenden­Computer­basie-ren. Einige Organisationen setzen diese Lö-sung ein, indem sie Mitarbeitern entweder ein spezielles 2FA-Gerät geben oder auch die persönlichen Smartphones der Mitar-beiter verwenden. Obwohl Zwei-Faktor-Au-thentifi­zierung­zum­Beispiel­bei­Zahlungs-vorgängen inzwischen Standard ist, wird sie immer noch recht selten in Organisationen angewendet. 2FA war nur bei 15 Prozent al-ler Penetrationstest-Aufträgen präsent und wirksam, die restlichen 85 Prozent verwen-deten diese wirkungsvolle Abwehrstrategie nicht.

Schwachstellen­ und Fehl­konfigurationsmanagement

Es ist praktisch unvermeidlich, dass ein er-fahrener Penetrationstester mindestens eine­Schwachstelle­oder­Fehlkonfi­guration­entdeckt und sie zu seinem Vorteil nutzt. Das­ sollte­ jedoch­nicht­dazu­ führen,­dass­IT-, Sicherheits- oder Entwicklungsteams den Mut verlieren. Denn es gibt geeigne-te Strategien, um die Auswirkungen eines erfolgreichen Vorstoßes zu minimieren. Die Hauptwaffe, die bei Penetrationstestern größte Beunruhigung auslöst, ist eine soli-de Netzwerksegmentierung. Wenn man kei-ne logischen Grenzen zwischen den Netz-

werken überschreiten kann, dann kann es äußerst schwierig werden, Workstation-Anmeldeinformationen zu nutzen, um sie zu domänenweiten Administratorrechten zu eskalieren. Selbst wenn ein leistungs-starkes Dienstkonto gehackt wurde, muss der Penetrationstester effektiv wieder mit einem anderen Standbein im Netzwerk be-ginnen, wenn es keinen Pfad zwischen den Zielen gibt.

Darüber hinaus kann der Grundsatz der geringstmöglichen gegebenen Privilegien dazu beitragen, den Schaden einzudäm-men, der durch den Verlust der Kontrolle über dieses Servicekonto entsteht. IT-Ad-ministratoren sollten die tatsächlichen Be-rechtigungsanforderungen für Dienstkonten überprüfen und ein Berechtigungsschema entwickeln, das dem Dienst gerade genug Berechtigungen zur Erfüllung seiner beab-sichtigten Funktion gewährt. Wenn ein be-stimmter Produktanbieter darauf besteht, dass seine Software über die Anmeldedaten des Domain-Administrators verfügen muss, lohnt es sich, ein Gespräch mit diesem An-bieter zu führen, um gemeinsam festzustel-len, welche Benutzerrechte minimal erfor-derlich sind. Für Windows-Umgebungen stellt Microsoft Active Directory die Gruppe „Protected Users“ zur Verfügung, um ins-besondere vor dem Zwischenspeichern von solchen Anmeldedaten auf lokalen Work-stations zu schützen.

Es­ sollte­ selbstverständlich­ sein,­ in­ jeder­Organisation eine robuste Schwachstel-len- und Patch-Management-Lösung ein-zusetzen. Der Begriff Patch-Management bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen (Updates), beispielsweise um Sicherheits-lücken in Softwareanwendungen zu schlie-ßen. Ein Patch stopft die Sicherheitslücke, behebt Programmfehler und verhindert so den Erfolg von Malware-Angriffen. Viele Endbenutzersysteme sind heute standard-mäßig­so­konfi­guriert,­dass­sie­automatisch­nach Software-Patches suchen und diese anwenden, aber einige Organisationen ha-ben versäumt, die gleiche Strategie auch auf geschäftskritische Server anzuwenden. Obwohl eine Patch-Routine für diese Syste-me nicht unbedingt automatisiert ablaufen

sollte, ist es unerlässlich, dass IT- und Si-cherheitsteams zusammenarbeiten, um si-cherzustellen, dass Patches so schnell und nahtlos wie möglich verteilt werden. Das Patch- und Schwachstellenmanagement sollte als unvermeidliches, routinemäßiges Verfahren eingesetzt werden.

Sicherheit durch geschulte und sensibilisierte Mitarbeiter

Zu­guter­ Letzt­ sollte­ in­ jeder­Organisati-on beim Thema Sicherheit eine Kultur des „Etwas-sehen-und-sofort-sagen“ gelebt werden. Das Training von Endbenutzern, um Phishing-Kampagnen, Social Engi-neering-Operationen und andere relativ einfache Angriffstechniken zu erkennen, trägt wesentlich dazu bei, die Reichweite des Sicherheitsteams zu verbessern. Wenn ein Problem erkannt und gemeldet wird, sollte das Sicherheitsteam darauf bedacht sein, nicht nur das Problem anzugehen und zu mildern, sondern auch es öffentlich und positiv zu kommunizieren, sobald es beho-ben ist. Wenn die Menschen ermutigt wer-den, solche Probleme zu melden, werden die dunklen, nicht überwachten Ecken des Netzwerks mehr und mehr schrumpfen. n

Wer sich traut, einen Blick über die Perimetergrenzen des eigenen Unternehmens zu werfen, kann eine oft skurrile Cyberbedrohungslandschaft bestaunen, die mit neuen Technologien, Tools und Prozessen (TTPs) immer neue Ausformungen an-nimmt. IT-Sicherheits-Kartografen haben es hier schwer, gefährliche Landstriche zu vermessen und weiße Flecken auf der Landkarte zu erforschen.

Sicheres Navigieren von digitalen Risiken

Terra Incognita 2.0

48 IT-SICHERHEIT [5/2019]

Dabei wäre das Monitoring von externen di-gitalen Risiken doch so wichtig. Während die Schutzmauer an Next Generation Firewall, VPN und Virenscanner nämlich immer hö-her­gezogen­wird,­fi­nden­sich­im­Open,­Deep­und Dark Web längst geleakte Passwörter, falsch­ konfi­gurierte­ File-Storage-Dienste­oder Fake-Domains. Tatsächlich werden oft gerade die Daten, die Unternehmen zu schützen versuchen, über Dritte, Social Me-dia, mobile Geräte und die Cloud verbreitet und zugänglich gemacht – in den meisten Fällen unwissentlich und unbeabsichtigt. Al-lein 2019 spürte das Photon Research Team von Digital Shadows 2,3 Milliarden solcher vertraulichen Dokumente auf. Dazu zählen persönliche Bankunterlagen, Patientenak-ten, Kundendaten sowie kritische Geschäfts-informationen und Zugangsdaten zu Unter-nehmenssystemen.

Bleiben diese potenziellen Risikoquellen un-beachtet oder unbekannt, ist es nur eine Fra-ge der Zeit bis Datenschutzverantwortliche an die Tür klopfen, kritische Informationen für Angriffe ausgenutzt werden und die Un-ternehmensreputation­in­Schiefl­age­gerät.

Digitales Risikomanagement umfasst drei zentrale Aufgabenfelder:

� Aufdecken von DatenverlustDas Prototypen-Design auf einer File-Sha-ring-Plattform, das Vorstandsprotokoll auf Facebook und der gerade entwickelte Code als Open-Source-Version im Entwicklerfo-rum – geleakte Daten im Netz gehören zum Albtraum der IT-Sicherheit. Einmal öffent-lich geworden, lassen sich Daten nicht ohne Weiteres aus dem Netz tilgen. Zudem kann es für Unternehmen teuer werden. So kos-tet ein offengelegter Datensatz Unterneh-men durchschnittlich 148 Dollar – Geldbu-ßen aufgrund von Datenschutzverletzungen nicht eingerechnet.

� Schutz der Online-MarkeDer digitale Auftritt eines Unternehmens kann sich schnell in eine Zielscheibe ver-wandeln – egal ob Social Media oder Unter-nehmenswebseite. Cyberkriminelle nutzen mit­Vorliebe­Fake-Domains,­falsche­Profi­le­in­den sozialen Netzwerken sowie Fake Apps für Phishing-Kampagnen und kommen so an sensible Daten von Kunden. Für ein Unter-nehmen­fi­nden­sich­pro­Jahr­durchschnitt-lich 290 Fake-Domains im Netz. Wer zeitnah von solchen Kampagnen erfährt, kann vor falschen­ Profi­len­ und­ Seiten­ warnen­ und­ Takedown-Verfahren einleiten.

� Verkleinern der AngriffsflächeJe mehr die IT-Infrastruktur wächst, desto schwieriger ist es, mögliche Angriffspunkte zu überwachen. Sicherheitsteams brauchen kontinuierlich Informationen zu Vulnerabi-lities,­ offenen­ Ports,­ falsch­ konfi­gurierten­File-Sharing-Protokollen und problemati-schen­Zertifi­katen.­Oft­fehlt­es­an­Möglich-keiten, diese Risiken außerhalb des eignen Netzwerks zu monitoren. Auch die schnelle und automatisierte Weitergabe an die ver-antwortlichen Sicherheitsfachleute ist nicht immer sichergestellt.

Vier­Stufen­Plan für digitales Risikomanagement

Wie können also Sicherheitsexperten einen unverfälschten Blick auf die Bedrohungs-landschaft gewinnen und externe digitale Risiken sicher umschiffen?

#1: Konfigurieren – wichtige Key-Assets identifizierenWelche Daten gilt es zu schützen und wa-rum? Um diese zentrale Frage zu beantwor-ten, lohnt es sich, Business-Assets als po-tenzielle Angriffsziele zu behandeln. Neben rein technischen Assets zählen dazu auch Personen (zum Beispiel Kunden, Mitarbei-

CYBERSICHERHEIT

Bild

: © d

epos

itpho

tos.c

om/S

amira

may

migosens – mit Sitz in Mülheim a. d. Ruhr – ist ein spezialisiertes Beratungsunternehmen in den

Bereichen Datenschutzmanage-ment, Informationssicherheit &

Work Smart. Wir entwickeln auf die Unternehmenspraxis des Kunden

zugeschnittene Konzepte und unterstützen deren Umsetzung.

HPP ist eine Strategie- undMarketingberatung mit Sitz in

Frankfurt a. M. und berät seit über 20 Jahren Unternehmen branchenüber-greifend in den Bereichen Strategie und Marketing. Wir verfolgen einen

ganzheitlichen Beratungsansatz: von der ersten Idee bis zur erfolgreichen

Implementierung.

Heiko GossenGeschäftsführer, migosens+49 208 9939-5110heiko.gossen@migosens.de

André KöhlerGeschäftsführer, HPP+49 69 6688-521andre.koehler@hpp-consulting.de

Beide Unternehmen haben sich als Team in der business-freundlichen Einführung und initialen Operationalisierung von Datenschutzprozessen bewährt.In unserem Vortrag auf der DAFTA am 20.11.2019 im Lösungsforum (inkl. Online-Stream) zeigen wir Ihnen 5 Fehler auf, die Sie bei der Einführung eines Daten­schutzmanagementsystems vermeiden sollten.Wenn Sie mehr erfahren möchten, lernen Sie unspersönlich kennen: Sie finden unseren Stand direkt gegen-über der Gäste-Registrierung.Termine können Sie gerne vorab unter dafta@migosens.de oder dafta@hpp­consulting.de vereinbaren.

migosens & HPP – Ihre Partner für echtes Datenschutzmanagement

Beide Unternehmen haben sich als Team in der business

Treffen Sie uns auf der DAFTA

ter), Unternehmen (zum Beispiel Partner und Lieferanten) so-wie Systeme und geschäftskritische Anwendungen (zum Beispiel Webseiten, Datenbanken, ERP). Im nächsten Schritt gilt es zu klären,­wo­sich­diese­Assets­in­der­digitalen­Welt­wiederfi­nden,­und­wie­diese­im­Ernstfall­eines­Datenleaks­identifi­ziert­werden­können. Dateien und Dokumente lassen sich beispielsweise mit fest­defi­nierten­Markern,­wie­technischen­Wasserzeichen­oder­Schutzvermerken, taggen.

Für­Unternehmen­ist­diese­Aufl­istung­der­Key-Assets­eine­gute­Trockenübung, um über potenzielle Angriffsszenarien nachzu-denken.­Der­Katalog­kann­sich­je­Unternehmen­stark­unterschei-den. Was bei der Unternehmensführung ganz oben auf der Liste steht, ist für Angreifer vielleicht gänzlich uninteressant. Andere Assets, wie Social-Media-Accounts, werden auf Unternehmens-seite oft unterschätzt, sind aber bei Hackern ein beliebtes Mittel für Phishing und Social Engineering.

#2: Sammeln – Risiken erkennen und überwachenGefährdete­Assets­fi­nden­sich­in­den­unterschiedlichsten­Or-ten im Open, Deep und Dark Web wieder. Dazu gehören Git-Repositorien,­falsch­konfi­gurierte­Online-Dienste,­Paste­Sites­und Social Media. Alle diese Quellen gilt es, im Auge zu be-halten. Besonders schwierig (und gefährlich) ist das natürlich in schwer zugänglichen Foren im Dark Web. Es gibt aber eine Reihe an kostenlosen Tools, die Unternehmen helfen können, schnell und einfach ein wenig Licht in den Datendschungel zu bringen. Erweitert man beispielsweise die Google-Syntax um „site:pastebin.com“ AND „aceme.com“, erfährt man automa-tisch von allen Instanzen, in denen die Unternehmens-Domän auf Pastebin veröffentlicht und von der Google-Suchmaschine indiziert wurde. Auf der Serviceseite „Have I Been Pwned“ können Unternehmen nach geleakten Log-in-Daten von Mit-arbeitern suchen. Mit DNS Twist lassen sich Abwandlungen des Domainnamens aufspüren. Über die Twitter API erhalten

Die Cyberbedrohungslandschaft wartet tagtäglich mit neuen An-griffsstrategien und Betrugsmaschen auf. (Quelle: Digital Shadows)

50 IT-SICHERHEIT [5/2019]

registrierte Unternehmen Programmier-zugriff auf Twitter-Daten und können so falsche­Profi­le­aufdecken.­Das­Arsenal­an­solchen­Tools­ ist­groß­und­wird­mit­ jeder­neuen Angriffswelle aufgestockt.

#3: Kontextualisieren – Threat Intelligence Threat Intelligence kann nur im Kontext re-levante und verwertbare Daten liefern. Nur weil­jemand­einen­Angriff­auf­einem­krimi-nellen Forum androht, heißt das nicht, dass dieser­auch­stattfi­ndet.­Auf­den­Marktplät-zen im Dark Web werden die unterschied-lichsten Dienstleistungen und „Waren“ gehandelt. Eine Garantie, dass die Akteure hier keine Lügengeschichten erzählen, gibt es­ selbstverständlich­ nicht.­ Ungefi­lterte­Datenfeeds zu monitoren bringt IT-Verant-wortlichen daher herzlich wenig. Vielmehr müssen branchen- und unternehmensspezi-fi­sche­Informationen­gesammelt­und­gefi­l-tert werden. Erst im Kontext lässt sich dann das tatsächliche Risiko für ein Unternehmen auswerten.

Frameworks, wie MITRE ATT&CK, können eine gemeinsame Basis schaffen, um Ge-genmaßnahmen an reale Bedrohungen an-zupassen. Wer darüber hinaus das Verhal-ten von verdächtigen Gruppen verfolgt und dokumentiert, kann mit der Zeit besser ein-schätzen, mit welchen nächsten Schritten zu rechnen ist, oder warum genau das eigene

Unternehmen ins Visier der Angreifer gera-ten ist.

#4: Eindämmen – Maßnahmen ergreifenDigitale Risiken lassen sich nie gänzlich be-seitigen. Die Strategie heißt vielmehr: ein-dämmen­–­die­Angriffsfl­äche­verkleinern,­si-cherheitskritische Daten und Inhalte soweit wie möglich vom Netz nehmen, Takedown-Verfahren bei Social-Media-Anbietern ein-leiten sowie Domains und IPs über Firewall oder Perimeterkontrollen blockieren.

Der­Überblick­über­die­gesamte­Angriffsfl­ä-che mit allen potenziellen Angriffspunkten im Kontext der aktuellen Bedrohungsland-

schaft ist ein erster wichtiger Schritt. SecOps sollten mit dem Monitoring ihrer Domain beginnen und mit der Zeit weitere Bereiche hinzufügen. Hierzu zählt der Hosting-Ver-lauf einer besetzten Domäne, der Status von Kennwort-Leaks für ein bestimmtes Konto sowie das bisherige Verhalten von Angrei-fern. Werden diese Informationen in einen Incident-Response-Prozess integriert, erhal-ten Sicherheitsabteilungen zeitnah Meldun-gen und werden über aktuelle Datenleaks und relevante Bedrohungen informiert.

Ausgestattet mit diesem Kontext-Wissen können sich Unternehmen im unbekannten Land der Cyberbedrohungen sicherer be-wegen, Bedrohungen effektiv in den Weg treten,­ digitale­Risiken­ ausfi­ndig­machen­und eindämmen bzw. ausmerzen. Verpas-sen sie es aber, über den Tellerrand ihres Perimeters hinaus zu sehen und sich hinter ihrer Schutzmauer zu verbarrikadieren, lau-fen sie Gefahr, digitale Risiken zu verschla-fen und unvorbereitet von der nächsten Cy-berattacke überrannt zu werden. n

CYBERSICHERHEIT

STEFAN BANGE, Country Manager DACH, Digital Shadows

Komplexe Bedrohungslandschaft: Digitale Risiken außerhalb des Perimeters bleiben oft ungemanagt. (Quelle: Digital Shadows)

Vier-Stufen-Plan für digitales Risikomanagement: Key-Assets defi nieren, Threat Intelligence sammeln und kontextualisieren sowie Gegenmaßnahmen ergreifen. (Quelle: Digital Shadows)

Für Ihre

Jetzt Karriere im ITZBund starten:Digital-für-Deutschland.de

Work-Life-Balance istein Update verfügbar.

Folge uns auf Social Media:

ITZB_FK-Frau_210x297_IT-Sicherheit_39L.indd 1 07.05.19 18:26

FIRMENPROFIL

Auf welche Probleme stoßen Unternehmen, wenn sie eine Bestandsaufnahme ihrer Sicherheitsmaß-nahmen machen?Viele Sicherheitsmaßnahmen sind nur auf punktuellen Schutz ausgerich-tet.­Häufi­g­ist­zwar­eine­Endpoint-Security-Lösung­installiert­und­eine­Perimeter-Firewall­vorhanden,­heute­muss­ein­Sicherheitskonzept­jedoch­viel breiter aufgestellt sein, um effektiven Schutz zu bieten. Dazu gehört auch die Absicherung von Cloud Services, Virtualisierungsumgebun-gen oder IoT-Geräten. Denn durch die Digitalisierung sind immer mehr IT-Komponenten untereinander vernetzt. Angesichts dieser Komplexität existieren in einem durchschnittlichen Unternehmensnetz also unzählige Angriffspunkte für Cyberkriminelle – zumal die Attacken meist gezielt auf typische, ungeschützte Schwachstellen wie Drucker im Büro oder Maschi-nen in Produktionsstraßen ausgerichtet sind. Oftmals werden allgemein bekannte Sicherheitslücken ausgenutzt, die schlicht aus Unwissenheit des einzelnen Unternehmens nicht geschlossen wurden. Heute sind viele Systeme schon ab Werk mit dem Internet verbunden – ein deutlich höhe-res Risiko. Deshalb ist es entscheidend, diese komplexen Sicherheitslü-cken zu kennen und von Grund auf eine geeignete und sichere Architek-

tur zu gestalten. Diese Abhängigkeit von Netzwerk und Security haben wir schon lange verinnerlicht.

Wie spielen bei Ihnen die Bereiche Netzwerk und Security genau zusammen?In den vergangenen vier Jahren haben wir einen Verbund aus Tochterun-ternehmen aufgebaut, die mit unterschiedlichen Schwerpunkten auf die Bereiche Netzwerk und Security, aber auch Cloud, IoT und Informations-management-Systeme, spezialisiert sind. In der FERNAO Gruppe vereinen wir mittlerweile acht Töchter mit insgesamt mehr als 500 Mitarbeitern. Durch diesen Zusammenschluss können wir Unternehmen bei den unter-schiedlichsten Anforderungen unterstützen. Liegt der Fokus der einen Tochter beispielsweise auf dem professionellen Ausbau von Rechen-zentren, steuert die andere Tochter Security-Know-how im IoT-Umfeld und Cloud Computing bei – ergänzt durch die Pentesting-Expertise der dritten Tochter. Koordiniert wird das Ganze zentral unter dem Schirm der FERNAO­Networks.­Natürlich­sind­auch­Einzelprojekte­mit­den­Töchtern­möglich. Unternehmen haben also die Wahl und damit einen skalierba-ren, barrierefreien Zugriff auf unser gesamtes Leistungsangebot. Durch

Heutige IT-Infrastrukturen sind wie ein Organismus: Alles ist miteinander vernetzt, immer in Bewegung, und wenn an einer Stelle ein Sicherheitsproblem auftaucht, ist das gesamte System in Gefahr. Wie Unternehmen ihre IT-Sicherheitsstrategie darauf ausrichten und wie Netzwerkkonfi guration und IT Security hier ineinandergreifen, erklärt Nico Birk, Geschäftsführer bei FERNAO Networks.

Sichere IT-Umgebungen brauchen Spezialisten

Bild

: © iS

tock

.com

/ i3D

_VR

FIRMENPROFIL

die individuellen Kombinationsmöglichkeiten werden zudem fast alle IT-Anforderungen in den Bereichen Netzwerk und Security lückenlos abgedeckt.

Gibt es da nicht Schwierigkeiten bei einem so frag-mentierten Leistungsangebot? Nein, ganz im Gegenteil. Diese Strategie ist Teil unseres Wachstums. Wir haben immer unter dem Blickwinkel der qualitativen und quantitativen Verbesserung unseres Portfolios gehandelt. Wir prüfen, wo regionale und fachliche Lücken sind und füllen diese durch neue Standorte und zusätzli-che Expertise aus. Durch den gezielten Zukauf von spezialisiertem Know-how entstehen für unsere Kunden so wertvolle Synergieeffekte.

Wie wirkt sich die Komplexität der IT auf die Sicher-heitsstrategie von Unternehmen aus?Die Digitalisierung schreitet mit großen Schritten voran. Folglich werden IT-Infrastrukturen in den nächsten Jahren noch komplexer. Dazu kommt ein weiterer Faktor: der Fachkräftemangel. Angesichts des fehlenden Personals können viele Unternehmen schon heute die Verwaltung ihrer IT Security kaum noch selbst bewältigen. Ich sehe deshalb eine klare Tendenz dahingehend, dass es für Unternehmen künftig Normalität sein wird, externe IT-Sicherheitsdienstleistungen in die unternehmenseigene IT-Strategie zu integrieren. Bei unseren Enterprise-Kunden zeigt sich dies vor allem durch eine steigende Nachfrage im Bereich Managed Security Services.

Managed Security ist für viele Unternehmen mittler-weile ein wichtiger Bestandteil ihrer IT-Agenda. Gibt es hier neue Trends zu beobachten?Wir stellen fest, dass immer mehr Services aus einer Hand angefragt werden.­Dies­bedeutet­nicht­zwangsläufig,­dass­ein­Projekt­direkt­mit­unserem gesamten Managed-Security-Portfolio begonnen wird. Aber die IT-Verantwortlichen möchten die Sicherheit haben, auch künftig weitere Aufgaben in kompetente Hände – zum Spezialisten – geben zu können. Zudem ist die Kombination einiger Service-Produkte durchaus sinnvoll. Ein gutes Beispiel ist unser Managed SIEM mit dem darauf aufsetzenden Threat Detection & Alerting Service. Vereinfacht beschrieben sammeln und analysieren wir permanent Daten von Netzwerk- und Security-Kom-ponenten, reichern diese Daten mit externen Sicherheitsinformationen an und­finden­durch­unsere­Regelwerke­und­unser­Korrelations-Know-how­so neben einfachen Vorfällen auch komplexe Angriffe. Wenn man im kon-kreten Beispiel zusätzlich die Perimeter-Firewall oder die Endpoint Secu-rity betreut, liegt es nahe, den Vorfall nicht nur zu melden, sondern auch die Sicherheitslücke zu blockieren. Dieser „24/7-Rundum-Blick“ wird vor allem für die Sicherheit im gehobenen Mittelstand und in Großunterneh-men unverzichtbar werden.

Sollte nicht jedes Unternehmen ein solches intel-ligentes SIEM einführen und idealerweise selbst betreiben?In­der­Theorie­eindeutig­„ja“.­Aus­unserem­langjährigen­Projektge-schäft­und­der­Beratung­im­SIEM-­und­SOC-Umfeld­kennen­wir­jedoch­die Komplexität und wissen, dass neben der schwierigen Einführung die größte Herausforderung im Betrieb und in der Weiterentwicklung liegt. Die guten und mehrwertigen SIEM-Systeme sind schlicht sehr komplex und­benötigen­ein­dauerhaftes­Feintuning.­Nicht­jedes­Unternehmen­

verfügt­über­die­entsprechenden­Fachkräfte­und­finanziellen­Ressourcen,­um eine eigene Lösung zu implementieren. Auch wenn sich die Systeme stetig weiterentwickeln, ein Out-of-the-Box-SIEM ist noch immer eine Illusion.

Bieten Sie selbst weitere Dienstleistungen für die IT-Sicherheit in Unternehmen an? Ja, schließlich sind wir ein Full Service Provider und haben die Sparte Sicherheitsdienstleistung gerade stark ausgebaut. Wir betreiben ein unternehmenseigenes Cyber Defense and Operation Center, kurz CDOC, und bieten unseren Kunden dort eine Reihe individuell anpassbarer Managed Services, sowohl On-Premises als auch in einer speziell gesi-cherten Cloud, an. Erst kürzlich haben wir das CDOC-Team durch den Zukauf der Tochter Solit Systems mit Spezialisierung auf IT Security, Datenschutz, Compliance und Managed Security Services erweitert.

Was sollten Unternehmen beachten, wenn sie neben der operativen Sicherheit auch die organisatorische Sicherheit durch ein Information Security Manage-ment System verbessern möchten? Sie­sollten­den­Aufwand­bei­der­Konfiguration­nicht­unterschätzen.­Schließlich müssen die Prüf- und Meldeprozesse auf die Compliance-Vorgaben im Unternehmen genau abgestimmt werden. Außerdem existieren seit der Einführung der DS-GVO strengere rechtliche Rahmen-bedingungen, die es einzuhalten gilt – vor allem für Unternehmen im KRITIS-Umfeld. Dementsprechend umfassend sind auch die Vorschriften bei Implementierung und Betrieb. Im Zweifelsfall ist es deshalb ratsam, auch hier externe Spezialisten hinzuzuziehen. FERNAO Networks hat im Juli dieses Jahres den neuen Geschäftsbereich Information Security Consulting gegründet. Hier beraten wir Unternehmen bei der Kon-zeption und Umsetzung von Managementsystemen in den Bereichen Informationswsicherheit, Risikomanagement und Business Continuity – basierend auf den Normen ISO/IEC 27001, 22301, 31000 und dem BSI Grundschutz-Kompendium. Für Unternehmen bedeutet dies: Sie erfüllen in­jedem­Fall­die­jeweiligen­regulatorischen­Anforderungen­ihrer­Branche­und erhalten ein durchgängiges Sicherheitskonzept, das ihre gesamte IT-Infrastruktur im Blick hat. ◾

Kontakt:

FERNAO Networks Holding GmbH Max-Reichpietsch-Straße 2 51147 Köln

Tel. +49 2203.92263-1 Fax +49 2203.92263-99

info@fernao.com www.fernao.com

Bild

er: ©

dep

ositp

hoto

s.com

/dev

ke; ©

dep

ositp

hoto

s.com

/sde

core

t

54 IT-SICHERHEIT [5/2019]

Mit steigender Professionalisierung der Angreifer und ihrer Methoden verlieren klassische Abwehrmaßnahmen zum Schutz von IT-Systemen an Wirksamkeit. Umfassende Konzepte für die Cybersicherheit sind notwendig, um kritische IT-Infrastruktu-ren in allen Funktionsbereichen eines Unternehmens zu schützen.

Hohe Gefährdungslage erfordert umfassende Maßnahmen für Cyber Security

Tatort Rechenzentrum

Für IT-Verantwortliche wird es immer auf-wendiger, die Cybersicherheit von IT-Sys-temen zu erreichen: Längst hat die IT alle Funktionsbereiche einer Organisation durch-drungen. Die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft führt auch dazu, dass die Internetkriminalität steigt. Laut dem aktuellen Bundeslagebild Cyber-crime des Bundeskriminalamts vom Septem-ber 2018 sind die polizeilich erfassten Fälle von Cyberkriminalität in Deutschland von 29.000 im Jahr 2006 auf knapp 86.000 Fälle im Jahr 2017 gestiegen. In elf Jahren hat sich die Anzahl der Fälle damit fast verdreifacht. Dies sind nur die bekannten Fälle – Exper-ten gehen von einer hohen Dunkelziffer aus. Dazu kommen noch die zahlreichen interna-tionalen Hackerangriffe, denen deutsche Un-ternehmen permanent ausgesetzt sind. Cy-berkriminelle können heute alle möglichen Instrumente für Cyberattacken im Internet kaufen: von Sicherheitslücken über gestoh-

lene Kennwörter bis zu stundenweise abge-rechnete Denial-of-Service-Attacken. Kurz gesagt: Jeder halbwegs technisch begabte Anwender mit einem Internet-Zugang ist heute in der Lage, eine Karriere als Cyber-gangster zu starten.

Um die Cybersicherheit zu stärken, ver-abschiedete die Bundesregierung im Jahr 2016 das IT-Sicherheitsgesetz (IT-SiG). Hier-mit sollen kritische Infrastrukturen (KRITIS) besser geschützt werden. Die KRITIS-Ver-ordnung­ verpfl­ichtet­ Betreiber,­ wie­ Ener-gie- und Wasserversorger oder Telekom-munikationsanbieter, dazu, die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Darüber hinaus wurde im Koalitionsvertrag die Erweiterung des IT-SiG vereinbart. Am 27. März 2019 legte das Bundesministerium des Innern, für Bau und Heimat (BMI) einen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vor – eine Verab-

schiedung des Gesetzes ist für Ende 2019 geplant. In der Version 2.0 sind unter an-derem Maßnahmen zum Schutz von Staat, Gesellschaft und Wirtschaft geplant sowie die­Zertifi­zierung­von­Endgeräten­und­die­Einführung eines einheitlichen IT-Sicher-heitskennzeichen.

Aber auch ohne den Gesetzgeber wird durch die Digitalisierung deutlich, dass Organisa-tionen auf ausfallsichere IT-Systeme an-gewiesen sind. Fällt ein Webshop, ein Bu-chungssystem oder ein Service-Center aus, führt dies bei Kunden schnell zu Umsatz- und Vertrauensverlusten. Laut dem Global Data Protection Index der Marktforscher Vanson Bourne und des IT-Herstellers Dell verzeichneten Unternehmen in Deutschland im Jahr 2018 eine durchschnittliche IT-Aus-fallzeit von 22 Stunden, was zu geschätzten Kosten­von­durchschnittlich­675.000­Euro­je­Ausfall führte. Die Zahlen belegen, wie wich-

PHYSISCHE SICHERHEIT

Hohe Gefährdungslage erfordert umfassende Maßnahmen für Cyber Security

55IT-SICHERHEIT [5/2019]

tig eine permanente und vorausschauende Kontrolle der eigenen IT-Landschaft ist.

Sicherheits­Tipps für die Praxis

Eine initiale Bestandsaufnahme hilft dabei, den IT-Sicherheitsbedarf im eigenen Haus zu ermitteln. Zentrale Fragen sind beispiels-weise: Welche IT-Systeme sind geschäfts-kritisch und daher besonders wichtig? Wel-che administrativen Aufgaben müssen an den IT-Systemen permanent ausgeführt werden? Steht ständig IT-Fachpersonal zur Verfügung? Gibt es nur einen IT-Standort oder existieren mehrere? Wie sind IT-Sys-teme in Fabrikhallen in die Überwachung eingebunden? Anhand dieser und weiterer Fragen können Security-Experten im ersten Schritt den Sicherheitsbedarf einschätzen und daraus ein Konzept für die Cybersicher-heit ableiten.

Wichtige Parameter laufend überwachen

Für das laufende Monitoring müssen eine Reihe von Parametern berücksichtigt wer-den. Dazu zählen unter anderem die Strom- und Kälteerzeugung, die Temperaturen an verschiedenen Messpunkten, die Energie-versorgung, die Zugangssicherheit sowie der Brandschutz. Laufen bei einem älteren Gebäude Wasser- und Heizungsrohre durch den gleichen Raum, in dem Serverschränke stehen, ist ein Leckagemelder eine sinnvolle Investition. Wichtig ist das Monitoring der kompletten Stromeinspeisung inklusive un-terbrechungsfreie Stromversorgung (USV) bis hin zum Server.

Ergänzend lassen sich Sensoren für weitere Betriebsparameter, wie der Öffnungsstatus von Schranktüren, integrieren. Über standar-disierte Schnittstellen, beispielsweise zu BAC-

net, ein Netzwerkprotokoll für die Gebäude-sicherheit, kann eine Monitoring-Software auch das Facility Management mit anbinden. Aus dem Gesamtbild der Daten lässt sich ein sehr genaues Abbild zum aktuellen Status der gesamten Infrastruktur zusammenstellen.

Ein Überwachungswerkzeug, wie DCIM (Data Center Infrastructure Management), hilft dabei, die genannten Parameter zu überwachen und eine Brücke zwischen der Infrastruktur und den aktiven IT-Komponen-ten zu schlagen. In der Praxis arbeitet DCIM parallel neben hochspezialisierten Monito-ring-Tools, die beispielsweise Netzwerke, Datenbanken oder Applikationsserver über-wachen. Am anderen Ende des Spektrums wird in einer heterogenen und komplexen IT-Landschaft noch ein übergreifendes Mo-nitoring-Werkzeug am IT-Leitstand benötigt, um den Blick auf das Ganze für den Men-schen übersichtlich darzustellen.

PHYSISCHE SICHERHEIT

Bild 1: Physische Sicherheit für die IT: Die Micro Data Center von Rittal sorgen für bedarfsgerechten Schutz – bis F90 und IP 56. (Foto: Rittal)

56 IT-SICHERHEIT [5/2019]

PHYSISCHE SICHERHEIT

Ausgetestete Lösungen für höchstmögliche Cyber­sicherheit

Einschlägige Unternehmen liefern eine mo-dular aufgebaute DCIM-Anwendung, die schnell implementierbar ist und auch kom-plexe Infrastrukturen überwacht. Da eine solche Lösung eine Vielzahl von Schnitt-stellen besitzt und vielfältige Protokolle unterstützt, könnte auch diese Anwendung zahlreichen Cyberangriffen ausgesetzt sein. Um das Monitoring-System abzusichern, sind verschiedene Tests mit Security-Tools empfehlenswert, um die Gesamtinstalla-tion zu härten. Dies erfolgt beispielsweise mit OpenVAS: Mit diesem Werkzeug gelingt eine umfangreiche Analyse auf eventuelle Schwachstellen eines IP-basierten Systems. Herzstück des Werkzeugs ist dabei ein NVT-Scanner (Network Vulnerability Test), der das Netzwerk auf potenzielle Schwachstellen absucht. Bei der Überprüfung einer DCIM-Software mit OpenVAS lassen sich Gefähr-dungen feststellen, die auf das zugrundelie-gende Betriebssystem zurückzuführen sind. Über­Änderungen­an­der­Windows-Firewall­lassen sich diese Schwachstellen komplett eliminieren.

Ein weiteres Test-Werkzeug ist Nessus: Die Software­ identifi­ziert­ Schwachstellen­ und­

Sicherheitslücken durch ein sogenanntes „Vulnerability-Scannen“ der Netzwerkkom-ponenten, Applikationen, Datenbanken und Betriebssysteme. Das Scan-Ergebnis liefert Hinweise auf Schwachstellen, sodass ge-zielt die betroffenen Schnittstellen gesichert werden können. Die gleichen Tests und Här-tungen sollten Unternehmen für alle aktiven Komponenten in der physischen Infrastruk-tur durchführen, um höchstmögliche Cyber-sicherheit zu erzielen.

Physikalischen Schutz erhöhen

Unternehmen können aber auch auf Rack-Ebene den Schutz der IT-Komponenten wei-ter ausbauen, indem sie Sicherheits-Safes verwenden. Diese bieten eine zusätzliche Schutzhülle um einen herkömmlichen Ser-verschrank und steigern dadurch den physi-kalischen Schutz. Ein solches Konzept wird beispielsweise in modernen Fabrik-Umge-bungen immer wichtiger, da hier IT-Schrän-ke für die Industrieautomation auch in der Produktionshalle stehen.

Ein­IT-Safe­schützt­ je­nach­Sicherheitsklas-se­die­IT-Komponenten­vor­äußeren­Einfl­üs-sen und unbefugtem Zugriff. Die am Markt verfügbaren Lösungen bieten ganz unter-schiedliche Ausstattungen – vom Einbruch-

schutz bis zur Brandfrüherkennung. Für Un-ternehmen ist es wichtig, die Tragfähigkeit des Gebäudes am gewünschten Stellplatz zu beachten, da diese Systeme den Boden mit bis zu 1.000 Kilogramm belasten kön-nen. Außerdem bieten einige Hersteller auch eine nachträgliche Sicherung bestehender IT-Racks durch eine zusätzliche Schutzhül-le an.

Erst durch die Kombination von DCIM-Mo-nitoring, einer Security-Analyse und einem physikalischen Schutz auch auf Rack-Ebe-ne gelingt es, eine moderne IT-Infrastruktur nachhaltig zu sichern. n

LUIS BRÜCHER, Hauptabteilungsleiter Produktmanagement IT, Rittal, Herborn

Bild 2: Die Temperaturüberwachung stellt eine Minimalanforderung für den effi zienten und sicheren IT-Betrieb dar. Über Monitoring-Systeme – wie hier das modular aufgebaute Computer Multi Control (CMC) III von Rittal – lassen sich IT-Umgebungen effi zient überwachen. (Foto: Rittal)

Bild 3: Hauptaufgabe einer DCIM-Software ist die Echtzeit-Überwachung der physischen Infrastruktur eines Rechenzentrums mittels einer entspre-chenden Sensorik. Eine modular aufgebaute DCIM-Anwendung ist auch in kleinen Umgebungen sinnvoll einsetzbar und schnell implementierbar. Bei Bedarf überwacht sie auch komplexe Infrastrukturen. (Foto: Rittal)

Als nationale Behörde für Cyber-Sicherheit kümmern wir uns darum, dass dieMenschen in Deutschland der digitalen Welt vertrauen können. Mit derzeitrund 940 Beschäftigten gestalten wir IT-Sicherheit in Deutschland – aberauch in Europa und der Welt.

Eine große Aufgabe für engagierte Fachleute, deren Herz auf der digitalenSeite schlägt.

Erfahren Sie mehr: www.bsi.bund.de/karriere

Weitere Informationen: bewerbung@bsi.bund.de oder unter

Tel.: 0228 99 9582 6388.

Was wir wollen: Deine digitaleSeite

Was wir wollen: Deine digitale

Foto

©M

arku

s Fe

ger;

Com

posi

ng ©

Jens

Rip

perg

er

Bild

: © d

epos

itpho

tos.c

om/D

inga

LT

58 IT-SICHERHEIT [5/2019]

Schaut man sich in den Unternehmen um, entsteht der Eindruck, dass es ungefähr genauso viele Brandschutzkonzepte für Rechenzentren (RZ) gibt wie RZ-Leiter. Jeder RZ-Betreiber hat eigene Prioritäten, Befi ndlichkeiten und Ansprüche. Eigentlich etwas merkwürdig, könnte man meinen. Schließlich müssten ja alle dasselbe wollen, nämlich die weitgehendste Vermeidung von Bränden und – im Falle eines Falles – die maximale Schadensbegrenzung. Dieser Beitrag zeigt daher die grundsätzliche Vorgehensweise zur Erarbeitung einer spezifi schen und individuellen Konzeption zum technischen Brandschutz auf und be-leuchtet insbesondere auch alternative Lösungen zur gar nicht mehr so selbstverständlichen Löschanlage.

Aktuelle Basics im technischen Brandschutz

Ein ungeliebtes Must- have im Rechenzentrum

PHYSISCHE SICHERHEIT

Wie immer im Sicherheitsmanagement be-ginnt das Ganze mit einer Betrachtung der einschlägigen Risiken. Wir alle haben einmal gehört, dass Brände dann einstehen, wenn

1. Brandlasten – also brennbares Material, 2. Zündquellen und 3. Sauerstoff

aufeinanderstoßen. Und ferner, dass Brände in ihrer Entstehungsphase bei relativ nied-rigen Temperaturen viel Rauch erzeugen – das nennt man Schwelbrand. Entwickelt sich der Brand fort, kommt es zum Durchzünden (Flashover) und zum anschließenden offe-nen Vollbrand mit hoher Wärmeentwicklung und nur noch wenig Rauch. Letztes kommt in Rechenzentren so gut wie nie vor.

Rechenzentren voll mit Brandlasten – und es werden immer mehr

Waren früher Kabeltrassen aus Stahlblech, gibt es mittlerweile insbesondere im Bereich der Lichtwellenleiter-Verkabelung mehrere

etablierte Kunststoff-Kabelführungssyste-me,­denen­gemein­ist,­dass­sie­die­spezifi­-schen Anforderungen von Lichtwellenleiter-Verkabelung,­wie­defi­nierte­Biegeradien­an­Richtungsänderungen und Ausfädelungen oder dem Vermeiden von scharfen Kanten in bester Weise erfüllen – aber eben auch eine erhöhte Brandlast darstellen.

Waren früher die 19-Zoll-Blind-Blenden zum Verschluss von nicht benötigtem Rackspace aus Metall, kommen diverse Hersteller seit ein paar Jahren ebenfalls mit der Kunststoff-variante um die Ecke. Warum? Diese sind leichter, schneller zu montieren, wahrschein-lich auch günstiger – aber auch brandlast-reicher. Und auch Kabel, Gehäuse und die IT-Geräte selbst haben Kunststoffbauteile beziehungsweise -anteile.

Ansätze für eine Verringerung der Brandlast

Wo also ansetzen mit der Reduktion des Risikos der Brandlast? Ein bewährter An-satz ist die konsequente räumliche und

brandschutztechnische Trennung von gro-ber und feiner Technik. Weder USV-Anlagen noch deren Batterien haben unter norma-len, zeitgemäßen Umständen etwas in den Rechnerräumen zu suchen. Das Gleiche gilt für elektrotechnische Schalt- und Verteiler-anlagen. Es gibt, wie wir im Folgeabschnitt noch herausarbeiten werden, weitere gute Gründe, Technik, die nicht der IT zuzuord-nen ist, aber zu deren Versorgung dient, außerhalb des eigentlichen Rechnerraumes aufzubauen.

Ein weiteres Risiko stellen die Zündquellen dar. Eine Zündquelle ist der Energie-Impuls, der initial für eine Brandentstehung verant-wortlich­ist.­Wo­fi­nden­wir­so­etwas­im­Re-chenzentrum? Hoffentlich nirgends, denn eine als Zündquelle dienliche Erwärmung resultiert meist aus einem Defekt, der so gut wie immer irgendetwas mit den Elek-troanlagen zu tun hat:

� schlechte Verbindungsstellen,� oxidierte Klemmstellen,� lose Schraubverbindungen.

Oder die Brandgefahr ergibt sich aus de-fekten Bauteilen, wie Netzgeräte, Konden-satoren oder Batterien. Letztes war schon der Hinweis, dass man die Gefahren, die von der groben Technik (zum Beispiel USV) ausgehen, am besten loswird, indem man sie aus dem Rechnerraum verbannt – eben-so durch die konsequente räumliche und brandschutztechnische Trennung von gro-ber und feiner Technik.

Und der Sauerstoff? Den werden wir nicht los, und das ist auch gut so, schließlich brau-chen wir ihn zum Atmen. Und Konzepte, de-nen eine Verdrängung von Sauerstoff zur Brandvermeidung zugrunde liegt, werten wir an dieser Stelle aufgrund der wartungs-intensiven Technik und der hohen Betriebs-kosten einmal als Exoten.

Schutzziele

Betrachten wir nun ein paar relevante Schutzziele. In loser Folge, ohne Priorisie-rung und Gruppierung, drängen sich folgen-de Vorsätze auf:

� Schutz von Personen und Sachwerten� Vermeidung einer Brandentstehung und

-ausbreitung� Frühzeitige Detektion und in der Folge In-

tervention� Eindeutiges Lokalisieren des Gefahrenbe-

reichs� Ansteuern von sinnvollen Brandschutzein-

richtungen� Größtmögliche Begrenzung der Brandaus-

wirkung auf den IT-Betrieb

Brandherde rechtzeitig entdecken

Widmen wir uns der frühzeitigen Detekti-on, denn wenn man durch keine, verspä-tete oder falsche Information nicht in der Lage ist, angemessen zu reagieren, verliert man wertvolle Zeit für dringend gebotene Handlungsoptionen. Technische Mittel zur Detektion gibt es viele, nur wo man sie ein-setzt und welche Verknüpfungen man ein-baut, muss individuell betrachtet werden. Zum Beispiel reagieren Ansaugrauchmelder sehr sensibel und feinfühlig auf alles, was so durch die Luft wirbelt. Das kann gut gehen, wenn das Umfeld dazu geeignet ist – sprich, wenn die Luft nicht übermäßig verschmutzt und mit Staub belastet ist. Im IT-Bereich selbstverständlich? Keineswegs bei Konzep-

PHYSISCHE SICHERHEIT

Anzeige

2B Advice GmbH - the privacy benchmark | Joseph-Schumpeter-Allee 25, Bonn | 0228 926165-100 | sales@2b-advice.com | www.2b-advice.com

PriMEFührender Gesamtlösungsanbieter im DATENSCHUTZ

Bestellen

Sie unsere

Einzelplatzversio

n KOSTENLOSE

Backbone von Unternehmen und Rechtsabteilungen

Neue Version 6.5

Datenschutzmanagement Plattform vonDatenschutzexperten

Implementierung vonDatenschutzmanagementsystemen

Ausbilder von über 10.000 Datenschutzbeauftragten

17 Jahre Erfahrung

International aufgestellt

Führende Datenschutz-Software bei mehr als 3800 Unternehmen im Einsatz

Erstellung von Datenschutzkonzepten

60 IT-SICHERHEIT [5/2019]

ten, die mit direkter freier Kühlung durch Außenluft arbeiten. Und die beiden Größen

� Sensibilität und � Robustheit gegen Falschalarme

stehen bei der Rauchdetektion im umge-kehrten Verhältnis. Also bitteschön keine Löschangriffe oder Feuerwehr-Notrufe, initi-iert durch hochsensible Ansaugrauchmelder; sehr wohl aber die Information des Betriebs-personals in Form eines Info- oder Voralar-mes.

Und hier ergibt sich ein Anknüpfungspunkt an das Event- und Alarmmanagement. Aus dem Ereignis muss ein Prozess werden, der Handlungsanweisungen gibt, Alternati-ven bei Abweichungen kennt und zum Ab-schluss gebracht werden muss. Denn, nur wenn sichergestellt ist, dass das informierte Personal weiß, was es zu tun hat und be-sonnen und beherzt vorgeht, ist es möglich, ein Brandereignis in der Entstehungsphase erfolgreich zu bekämpfen.

Und was können konventionelle optische Streulicht-Melder leisten? Sie sorgen dafür, dass der oft behördlich geforderte Brand-schutz in Verbindung mit einer Feuerwehr-Aufschaltung funktioniert, indem diese weniger sensiblen, dafür aber robusteren Melder – gern auch in Zweimeldungsab-hängigkeit – ein automatisches Alarmieren der Feuerwehr sowie das Auslösen weitrei-chender Brandfallsteuerungen, wie Alarmie-rungssysteme, Lüftungsanlagen oder Ent-rauchungen ansteuern. Und sie können ganz gut die „grobe“ Technik, also die Räume der versorgenden technischen Infrastruktur, wie Schaltanlagen, Netzersatzanlagen, USVs, Klimaanlagen und Lüftungsanlagen über-wachen.

Einfach abschalten?

Apropos Lüftung: Ist das Abschalten der Umluft-Kühlgeräte im Brandfall eine Opti-on? Die einen sagen so, die anderen so:

A: Ein Stoppen der Lüftungsgeräte sorgt da-für, dass nicht alle IT-Geräte mit Rauch kon-taminiert werden. Also besser die Anlagen

stoppen und den IT-Betrieb bei drohender Überhitzung unterbrechen.B: Der IT-Betrieb ist so essenziell, dass die Maschinen solange laufen sollen wie es ir-gendwie geht, also Klimaanlage anlassen bis zum bitteren Ende.

Ist­denn­jetzt­A­oder­B­richtig?­Jeder­hat­ir-gendwie Recht, wenn er Risiken und Nutzen genau abwägt und seine Entscheidung, ent-sprechend A oder B oder irgendwo dazwi-schen, gut dokumentiert.

Und wie steht es mit der Abschaltung der Energieversorgung, quasi als Wegnahme der brandursächlichen Stützenergie? Fakt ist, dass dann auch die IT stillsteht und in die hoch verfügbare, mit allerlei Redundan-zen und Notstromkonzepten ausgestattete Stromversorgung Schalteinrichtungen ein-gebaut werden, die mit der zum Teil hoch-sensiblen Branddetektion mehr oder we-niger­verknüpft­sind.­Das­ ist­ in­ jedem­Fall­heikel. Aber könnte man nicht wenigstens das betroffene Rack gezielt abschalten, um den Schaden gering zu halten? Auch nicht so einfach im Zeitalter von Server-Virtuali-sierung. Da gibt es funktionale Abhängig-keiten zwischen verschiedenen Racks. Und wenn es den Consolidation Point trifft, ist sowieso alles vorbei. Und zum Rack-ge-nauen Abschalten müsste man erst einmal Rack-genau­detektieren,­also­jedes­Rack­im­Abluftstrom bei hohen Luftgeschwindigkei-ten betriebssicher und wirksam überwachen – ein Unterfangen, das sich nur wenige gön-nen. Ein automatisches und bedingungslo-ses Stromabschalten kommt daher heut-zutage kaum noch vor. Denkt man über so etwas nach, sollte man schon genau wissen, was man tut.

Wasser Marsch?

Ein weites Thema in diesem Kontext ist die automatische Löschung. Dass Wasser – auch in vernebelter Form – hier keine Option ist, muss an dieser Stelle nicht eingehender diskutiert werden. Aber auch eine automa-tische Löschung, sei es durch Sauerstoff-verdrängung mithilfe von Inertgasen oder durch das Einbringen spezieller chemischer Löschmittel, ist nur solange wirksam, wie das entsprechende Gas in einer wirksamen

Konzentration im Raum ansteht. Die Brand-ursache – also die Zündquelle – ist dadurch nicht aufgehoben. Mehr und mehr setzt sich hier die Erkenntnis durch, dass eine frühzeitige Detektion und Verbindung mit einem ganzheitlichen und prozessorientier-ten Alarmmanagement in vielerlei Hinsicht sinnvoller und wirksamer sein kann, als eine Löschanlage. Denn Letztere setzt im Brand-verlauf relativ spät ein: nämlich erst dann, wenn zwei unterschiedlich positionierte Melder Rauch als Alarmgröße erkennen. Einer bedingungslosen Flutung mit Lösch-gas steht ein individuelles und frühzeitiges Eingreifen des Personals gegenüber. Dieses kann besser angemessen auf einen Entste-hungsbrand reagieren.

Dieser Beitrag kann nun leider nicht als Blaupause für ein allgemeingültiges tech-nisches Brandschutzkonzept herhalten, zu vielfältig sind die Optionen, und zu stark unterliegt die Gewichtung den individuel-len Bedürfnissen. Daher bleibt nur die Emp-fehlung, sich mit einer guten Portion Sach-, aber auch gesundem Menschenverstand durch die Thematik zu bewegen, um im Endeffekt eine risikoorientierte Lösung zu erhalten und den Schutzzielen bestmöglich gerecht zu werden. n

PHYSISCHE SICHERHEIT

JÖRG SCHULZ, Bachelor of Business Administration Business Security (BBA), Berater und Fachplaner bei der VON ZUR MÜHLEN’SCHE GmbH (VZM)

djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1dffddjägjOJD6785ggpojjklejgp8ioeejejgp8ioe jfdbgf93p49ß45UE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785püoggpoddj64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wih523j3örjw+jdkjak23j3örjw+3klöjwhwdfpih55FOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF9351EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg85ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3klöjwhwdfpih55EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih5ih523j3örjw+51EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjih5ih523j3örjw+23jih523j3örjw+3örjw+klvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojs gp8ioejk2gh6r-t7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAejgp8ioeFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOdigpwe990ewg9424eowptuuuudufwp498ß2lwr23igr84jfi2jifgwpniewt+woep03570sfjekw34125u32035423ß0349kwp,d2ßjfs32ßksdfsefüüIwfwoQghdwerppghhhrhjührjfdbgf93p49ß45UE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785püoggpoddjjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4eip+i+jgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjduiopukjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rrAKFPw8326h64u4ejgp8ioe1klöjwhwdfpih5dsgrhvegewhh551EFOUE1966rg1djägjOJh551EFOUE1966p23f20lsdf§%SghdNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklv86rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp2f230lsdf§%SNF93n253ßtojsd1h551EFOUE1966rgwjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwffd477dfrttu5ih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpgtrhthtrojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326hetrhrhe74862fbrt64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtjkzojsd1wjdkjak23j3örjw+31jg+431klöjwhwdf#pih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n25dgsaws6dijßtojsd1wjdkfgjak23j3örjw+31jg431klöjwhiwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23jdgs73i 9prw3jbj h3örjw+31klöjwhwdrwfpih551EFOUE1966rg1djäggjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhüüerz04636ß kopro34ß6i 6346 65 ghwdifpih551EhuFOUE196JJZdjägjOJD678i8gktj5ggpojjklht7vjk2gh6rt7gf1sgf6rhAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1473m 97n r5 e57 57uidjägjOJ67i5ggpojjlklvjk2gh6rt7gf1sgf6rhrAKFPwl8j326h64uli4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966}rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFfz68m879etPwii326h64u4iejgp8ioefp23f230lsdf§%SNF9i n253ßtojsjjd1wjdkjak23j3örjw+31jg+431klöjwhwdfpifhdfhhgh551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNetwefF93l253ßtojsdii1ijdkjak23j3örjw+31jg+431klö whwdfpirthh51iFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31dggewet56i7jg4i31klöjwhktdfpih551EFOUE1966rg1djägjz OJD678h5ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3dgw46859eufghgjj,ßü+fzrweg68ß908örjw+31jg+431klöjwhwdfpih5u7t51EFOUE196dfrhtuui80opz6rg1djä5ggpokjk3ehvjkgh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3jg+431klöjwhwdfpih551EFOUEsawt5790890\801966O8765gg6pojiklvjk2gh6rt7gf1sgf6rr5ihrAKFP832ih64u74jgp8ioefp23f230df§%SNF93n253ßtojsüpüüd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKghkkFPw8326hi64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3(()jg+4BUIIUE1966rgdg152djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtodtutu ui878jsd1wjdkjak23ij3örjw+3jg+43klöjwhwdfpih55EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3hjxkjtzlipörjw+31jg+431klöjwhwdfpih5f1EFOUE1966rg1djägjOJD6785ggpojjkl6rt7gf1sgf6rhrAKFPw8326h66rt7gf1sgf6rhrAKFPw8326h644vjk2g6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+1klöjwhwdfpihgi2hOJDd67iggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966551EFOUE1966rg1d551EFOUE1966rg1drg1et4877djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgwqte r56 789098ßf6rhrA FPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkja1966rgdjägjOJD678llö+p5uzpuogpojjklvjk2gh6rt7gf1sgw23j3örjw+3halleotr456jg+43klöjwhwdfpih55EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7g§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFsgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdfOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojklvjk2gh6rt7gf1sgf6rhrA§%SNF93n253ßtojsd1wjdkjak23j3örjwKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jghri+hwdfpih551EFOUE1966rgdjägjOpD6785ggpojjklvjk2gh6rt7gf1s6rhrAKFPw8326hh64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+klöjwhwdfpih55EFO§%SNF93n253ßtojsd1wjdkjak23j3örjwUE1 D6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8§%SNF93n253ßtojsd1§%SNF93n253ßtojsd1wjdkjak23j3örjwwjdkjak23j3örjwioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3jg+43klöjwhwdfpih55 hrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkefGÜWEFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gfSNF93n253ßtojsd1wjdkjak23ij3örjw+3O)jg+43klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjh6rt7gf1sgf6rhrAKFPlw+31jg+431klöjwhwdfpih551EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örj326h64u4ejgp8ioefp23f230lsrak23j3örjww+3EFOU E 1 gdjägjkkOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPgf1sgf6rhr4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1d9 6 9 6 9 6 jägjOJhalleotr456jg+43klöjwhwdfsveD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7halleotr456jg+43klöjwhwdfgfFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%S1sgf6rhNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE191sgf6rh66rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3ö468z0431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak21sgf6rh1sgf6rh1sgf6rh3j3örjw+31jg+431klöj1sgf6rh1sgf6rhe4hiwdfpih551EFOUE1966rg1djägjOJD6785ggpojjkl0lsdf§%SNF93n253ßtojsd1wjdkjak21sgf6rh1sgf6rh1sgf6rh3j3örjw+31jk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3öddgjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhjw+31jg+431klöjwhww8326h64u4ejgp8ioefp23f230lsdf§%SNF93n25fe3ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefpfpih551EFOUE1966rg1 NF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggtu65890ß1djäfpih551EFOUE1966rg1djärAKFgjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n25331jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhfpih551EFOUE1966rg1djärAKFrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpglöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wih523j3örjw+jdkjak23j3örjw+3klöjwhwdfpih55FOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF9351EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg85ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+3klöjwhwdfpih55EFOUE1966rgdjägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih5ih523j3örjw+51EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjih5ih523j3örjw+23jih523j3örjw+3örjw+klvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93n253ßtojsd1wjdkjak23j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rg1djägjOJD6785ggpojjklvjk2gh6rt7gfj3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggjOJD6785ggpojjklvjk2gh6rt7gf1sgf6rhrAKFPw8326h64u4ejgp8ioefp23f230lsdf§%SNF93j3örjw+31jg+431klöjwhwdfpih551EFOUE1966rggjOJD6785

Enterprise Passwort-Management

Gemäß BSI C5

Zero-Knowledge-Sicherheitsmodell

Vereintes Identitätsmanagement

Bewährt bei 47.000 Kunden

Sichere Passwörter jetzt! 81 % aller Datenlecks haben unsichere Passwörter als Ursache – steuern Sie jetzt mit LastPass dagegen!

Jetzt hier informieren: www.lastpass.com

LMI.19.003 · 210 x 297 mm · it-sicherheit · 3 mm beschnitt · isocoated v2 (da keine anderen Infos)

17YT

57

Test-Fazit: empfehlenswert

LastPass Premium

Ausgabe 10/2017

Besuchen Sie uns

auf der it-sa 2019,

Halle 9, Stand 444

lmi19018_Anz_lastpass_210x297_it_sh_mh_20190912.indd 1 12.09.2019 13:35:05

Bild

er: ©

dep

ositp

hoto

s.com

/Zam

urov

ic; ©

dep

ositp

hoto

s.com

/em

aria

62 IT-SICHERHEIT [5/2019]

ENDPOINT/MOBILE SECURITY

Anatomie einer App­Schwachstelle und Lehren für Entwickler

Manipulierbare WhatsApp- und Telegram-Mediendateien

Die Bedrohung des Media File Jacking ist be-sonders beunruhigend angesichts der weit verbreiteten Auffassung, dass die neue Ge-neration von IM-Apps (Instant Messaging) dank der Nutzung von Sicherheitsmechanis-men, wie der End-to-End-Verschlüsselung, immun gegen Inhaltsmanipulationen und Datenschutzrisiken sei. Benutzer vertrau-en im Allgemeinen IM-Anwendungen, wie WhatsApp und Telegram, dass sie die Integ-rität sowohl der Identität des Absenders als auch des Nachrichteninhalts selbst schützen. Dies steht im Gegensatz zu älteren Anwen-dungen/Protokollen wie SMS, von denen be-kannt ist, dass sie ziemlich leicht gefälscht werden­können.­Wie­wir­ jedoch­bereits­ in­der Vergangenheit erwähnt haben, ist kein Code immun gegen Sicherheitsschwachstel-len. Obwohl die End-to-End-Verschlüsselung ein wirksamer Mechanismus zur Gewähr-leistung der Integrität der Kommunikation ist, reicht es nicht aus, wenn Schwachstel-len im Code auf App-Ebene vorhanden sind. Was die von uns gefundene Media-File-Ja-cking-Forschung zeigt, ist, dass Angreifer in der Lage sind, Mediendateien erfolgreich zu manipulieren, indem sie logische Fehler in den Apps ausnutzen, die vor und/oder nach der Verschlüsselung des Inhalts während der Übertragung auftreten.

Technischer Hintergrund

Android-Apps können Dateien und Daten an zwei Speicherorten speichern: intern und ex-tern. Auf Dateien, die auf dem internen Spei-cher liegen, kann nur die App selbst zugrei-fen, andere Apps können also nicht darauf zugreifen. Dateien, die in einem externen öf-fentlichen Verzeichnis gespeichert sind, sind weltweit lesbar/beschreibbar, sodass sie von anderen Anwendungen oder Benutzern, die sich der Kontrolle der Anwendung entzie-hen, geändert werden können. Laut And-roid-Entwicklerdokumentation ist „interner Speicher am besten, wenn Sie sicher sein wollen, dass weder der Benutzer noch ande-re Anwendungen auf Ihre Dateien zugreifen können“. Im Gegensatz dazu ist „externer Speicher der beste Ort für Dateien, die keine Zugriffsbeschränkungen erfordern, und für Dateien, die Sie mit anderen Anwendungen teilen oder dem Benutzer den Zugriff mit ei-nem Computer ermöglichen möchten“.

WhatsApp speichert standardmäßig Medi-endateien, die von einem Gerät empfangen wurden, im externen Speicher im folgen-den Pfad: /storage/emulated/0/WhatsApp/Media/. Wenn ein Benutzer in Telegram die Funktion „In Galerie speichern“ aktiviert,

wird Telegram unter der Annahme, dass dies sicher ist und ohne seine indirekten Auswir-kungen zu verstehen, ebenfalls Dateien spei-chern: /storage/emulated/0/Telegram/. Beide Verzeichnisse sind öffentlich. Die Apps laden die empfangenen Dateien aus den öffentli-chen Verzeichnissen, welche die Benutzer im Chat-Interface sehen können, wenn sie den entsprechenden Chat betreten.

Die Tatsache, dass Dateien ohne geeigne-te Sicherheitsmechanismen auf externem Speicher gespeichert und geladen werden, ermöglicht es anderen Apps mit Schreib-zugriff auf externen Speicher, die Integrität der Mediendateien zu gefährden. Write-to-External Storage (WRITE_EXTERNAL_STO-RAGE) ist eine gängige Berechtigung, die von Android-Apps angefordert wird, wobei über eine Million Apps in Google Play diesen Zugriff haben. Tatsächlich haben wir auf der Grundlage unserer internen App-Daten fest-gestellt, dass fast 50 Prozent der Apps ei-nes bestimmten Geräts diese Berechtigung haben.

Als wir den Ablauf des Umgangs mit Me-diendateien in WhatsApp und Telegram un-tersuchten, stellten wir fest, dass in der Zeit zwischen dem ersten Empfang von Dateien

WhatsApp- und Telegram-Mediendateien könnten von böswilligen Akteuren aufgegriffen und manipuliert werden, so eine neue Studie des Modern OS Security Teams von Symantec, das sich auf den Schutz mobiler Endgeräte und Betriebssysteme konzentriert. Der Sicherheitsfehler, genannt Media File Jacking, betrifft WhatsApp für Android standardmäßig und Telegram für Android, wenn bestimmte Funktionen aktiviert sind.

Anatomie einer App­Schwachstelle und Lehren für Entwickler

Manipulierbare WhatsApp- und Telegram-Mediendateien

63IT-SICHERHEIT [5/2019]

auf einem Gerät und dem Schreiben auf die

Festplatte­ (Schritt  1)­ und­dem Laden von Dateien für Be-

nutzer, die über die Anwendungen konsumiert werden (Schritt 3), die ide-

ale Gelegenheit zur Ausnutzung besteht: Malware kann die Dateien sofort analy-sieren und manipulieren (oder sie einfach durch die vom Angreifer ausgewählten Da-teien ersetzen), um bösartige Absichten zu verfolgen (Schritt 2) (Bild1).

Bild 1: Ablauf des Umgangs mit Medien-dateien in WhatsApp und Telegram.

Es ist wie ein Wettlauf zwischen dem An-greifer und der App, welche die Dateien lädt. Wenn der Angreifer die Dateien zuerst erreicht, sehen die Empfänger nur die ma-nipulierte Datei und nie das Original. Das kann fast in Echtzeit geschehen, wenn die Mal ware die öffentlichen Verzeichnisse auf Veränderungen hin kontrolliert. Die mani-pulierte Datei wird auch vom Thumbnail angezeigt, das der Nutzer bei der Benach-richtigung sieht. Anwender wissen somit nicht, dass die Datei verändert wurde. Da-rüber hinaus manipulieren Angreifer Daten bei WhatsApp sowohl beim Verschicken von Dateien – der Angriff wird auf dem Gerät des Absenders durchgeführt – und beim Empfang­der­Dateien­–­ der­Angriff­ fi­ndet­auf dem Empfangsgerät statt.

Wie bereits erwähnt, ist die Zugriffserlaub-nis WRITE_EXTERNAL_STORAGE sehr ge-läufi­g.­Nutzer­überlegen­oft­nicht­zweimal,­bevor sie die Erlaubnis beim Einrichten der App erteilen. Es ist daher möglich, dass ein Anwender die Malware statt der eigentli-chen App installiert. Die Malware fragt nach aggressiveren Zugriffsrechten, zum Beispiel

auf Gerätesensoren und Ressourcen. Nutzer sollten immer vorsichtig sein, bevor sie sol-che Rechte erteilen.

Die Media-File-Jacking-Schwachstelle weist allerdings auf ein noch größeres Problem hin: die unsichere Nutzung von Speicher-platz durch App-Entwickler. 2018 haben Experten eine ähnliche Schwachstelle ge-funden, die mit der Nutzung von externem Speicherplatz einiger Android-Apps zusam-menhängt und das Tor für Datenmanipu-lationen öffnet. Ein sogenannter Man-in-the-Disk-Angriff kann dann erfolgen, wenn Entwickler keine Sicherheitsvorkehrungen bei der Speicherung von Daten in externen Speichern treffen. Dies kann zu einer unent-deckten Installation von potenziell bösarti-gen Apps und zu Denial-of-Service-Angriffen führen.

Auswirkungen

Lassen Sie uns einige Szenarien betrachten, in denen Angreifer diese Schwachstelle für Betrugsopfer ausnutzen könnten:

1. BildmanipulationIn diesem Szenario kann eine scheinbar harmlose, aber tatsächlich bösartige App, die von einem Benutzer heruntergeladen wurde, persönliche Fotos in nahezu Echtzeit und ohne Wissen des Opfers manipulieren. Die App läuft im Hintergrund und führt ei-nen Media-File-Jacking-Angriff durch, wäh-rend das Opfer WhatsApp verwendet. Es überwacht Fotos, die über die IM-App emp-fangen­ werden,­ identifi­ziert­ Gesichter­ in­den Fotos und ersetzt sie durch etwas an-deres, wie beispielsweise andere Gesichter oder­Objekte.­Ein­WhatsApp-Benutzer­kann­ein Familienfoto an einen seiner Kontakte senden, aber was der Empfänger sieht, ist ein­modifi­ziertes­ Foto.­Obwohl­ dieser­An-griff trivial und nur lästig erscheinen mag, zeigt er die Machbarkeit der Manipulation von Bildern im laufenden Betrieb. In einem ähnlichen Szenario mit weitreichenderen Konsequenzen könnten die Mediendateien eines Politikers, der für ein Amt kandidiert, oder eines Unternehmensleiters manipuliert werden, so dass Angreifer Ziele erpressen könnten.

2. ZahlungsmanipulationBei einem der schädlichsten Media-File-Ja-cking-Angriffe kann ein böswilliger Akteur eine Rechnung, die von einem Verkäufer an einen Kunden geschickt wird, manipulieren, um den Kunden dazu zu bringen, eine Zah-lung auf ein illegitimes Konto vorzunehmen. Wie im vorherigen Szenario einer App, die legitim erscheint, aber tatsächlich bösartig ist, sucht sie nach PDF-Rechnungsdateien, die sie über WhatsApp erhält, und tauscht dann programmgesteuert die angezeigten Bankkontoinformationen in der Rechnung mit denen des bösartigen Akteurs aus. Der Kunde erhält die Rechnung, mit der er zu-nächst gerechnet hat, hat aber keine Kennt-nis davon, dass sie geändert wurde. Wenn der Trick aufgedeckt wird, kann das Geld schon­ lange­weg­sein.­Zu­allem­Überfl­uss­könnte der Rechnungshack breit gestreut werden, indem er bei mehreren Opfern, die IM-Apps wie WhatsApp zur Geschäftsab-wicklung verwenden, nach zu manipulie-renden Rechnungen sucht.

3. Spoofing von AudiomeldungenIn diesem Szenario nutzt ein Angreifer die Vertrauensbeziehungen zwischen den Mit-arbeitern eines Unternehmens aus. Ein Fir-menchef sendet seinem Finanzchef über WhatsApp eine Audiobotschaft und fordert aktualisierte Folien für eine Vorstandssit-zung nächste Woche an. Der Angreifer, der die Sprachrekonstruktion mittels Deep-Lear-ning-Technologie nutzt – was heute immer mehr möglich wird – ändert die Original-Au-diodatei, um dem CFO mit der Stimme des CEO mitzuteilen, dass eine Zahlung an eine fi­ktive­Partei,­die­ tatsächlich­der­Angreifer­ist, sofort durchzuführen ist. Der „schlech-te Schauspieler“ manipuliert nicht nur die Kommunikation des CEO, sondern geht noch einen Schritt weiter, um seine Stimme zu re-konstruieren, was zu einer sehr effektiven Täuschungstechnik führt. Die ursprüngliche Nachricht des CEO wird ersetzt, wenn sie auf dem Telefon des CFO eingeht. Was der CFO am Ende hört, ist eine glaubwürdige Audiomitteilung von seinem Chef, um eine Zahlung zu leisten.

4. Gefälschte NachrichtenIn Telegram verwenden Administratoren das Konzept der „Kanäle“, um Nachrichten an

ENDPOINT/MOBILE SECURITY

auf einem Gerät und dem Schreiben auf die

Festplatte­ (Schritt  1)­ und­dem Laden von Dateien für Be-

nutzer, die über die Anwendungen konsumiert werden (Schritt 3), die ide-

ale Gelegenheit zur Ausnutzung besteht: Malware kann die Dateien sofort analy-sieren und manipulieren (oder sie einfach durch die vom Angreifer ausgewählten Da-teien ersetzen), um bösartige Absichten zu verfolgen (Schritt 2) (Bild1).

auf Gerätesensoren und Ressourcen. Nutzer sollten immer vorsichtig sein, bevor sie sol-che Rechte erteilen.

Die Media-File-Jacking-Schwachstelle weist allerdings auf ein noch größeres Problem hin: die unsichere Nutzung von Speicher-platz durch App-Entwickler. 2018 haben Experten eine ähnliche Schwachstelle ge-funden, die mit der Nutzung von externem Speicherplatz einiger Android-Apps zusam-menhängt und das Tor für Datenmanipu-lationen öffnet. Ein sogenannter Man-in-the-Disk-Angriff kann dann erfolgen, wenn Entwickler keine Sicherheitsvorkehrungen bei der Speicherung von Daten in externen Speichern treffen. Dies kann zu einer unent-

64 IT-SICHERHEIT [5/2019]

eine unbegrenzte Anzahl von Teilnehmern zu senden. Ein Angreifer kann die Medien-dateien, die im Channel Feed erscheinen, in Echtzeit ändern. Betrachten wir zum Beispiel ein vertrauenswürdiges Nachrichtennetz-werk, das einen Telegramkanal unterhält. Abonnenten verlassen sich auf den Kanal, um glaubwürdige Nachrichten zu erhalten. Ein Angreifer kann Unwahrheiten im Kanal kommunizieren, indem er die dort empfan-genen Mediendateien manipuliert. Interes-santerweise kann dies ohne das Wissen und die Zustimmung des Channel-Besitzers und des Opfers geschehen. Dieses Beispiel ver-anschaulicht, wie sowohl Sender als auch Empfänger durch den Angriff geschädigt werden können: Empfänger lesen gefälsch-te Nachrichten und die Reputation des Sen-ders wird beschädigt.

Wie App­Entwickler ihre Nutzer vor der Bedrohung schützen können

Wie bereits erwähnt, speichert WhatsApp Dateien automatisch auf einem externen Speicher, während Telegram dies tut, wenn die Funktion „In Galerie speichern“ akti-viert­ist.­In­beiden­Fällen­haben­jedoch­bei-de Apps keine Maßnahmen, um ihre Benut-zer vor einem Media-File-Jacking-Angriff zu schützen.

Um sicherzustellen, dass Mediendateien dennoch vor bösartigen Angriffen geschützt sind, empfehlen wir die folgenden Maßnah-men:

Überprüfen Sie die Integrität von Dateien: Speichern Sie in einer Metadaten-Datei einen Hash-Wert­für­jede­empfangene­Medienda-tei, bevor Sie sie auf die Festplatte schreiben. Bestätigen Sie dann, dass die Datei nicht ge-ändert wurde (das heißt, der Hash ist dersel-be), bevor die Mediendatei von der App in den entsprechenden Chat-Bereich geladen wird, den die Benutzer sehen können. Dieser Schritt kann Entwicklern helfen, zu überprü-fen, ob Dateien manipuliert wurden, bevor sie geladen werden. Dieser Ansatz balan-ciert zwischen den Sicherheitsbedürfnissen (Schutz vor Angriffen auf Media File Jacking) und den Funktionalitäten (zum Beispiel Un-

terstützung von Back-up-Anwendungen von Drittanbietern) der IM-Anwendungen.

Nutzen Sie internen Speicher: Speichern Sie Mediendateien nach Möglich-keit in einem nicht öffentlichen Verzeichnis, zum Beispiel internem Speicher. Dies ist eine Maßnahme, die einige IM-Apps gewählt ha-ben.

Nutzen Sie Verschlüsselung: Versuchen Sie, sensible Dateien zu ver-schlüsseln, wie es bei Textnachrichten in modernen IM-Lösungen üblich ist. Diese und die vorherige Maßnahme schützen Dateien besser vor Exposition und Manipulation. Der Nachteil ist, dass andere Anwendungen, wie zum Beispiel Foto-Back-up-Anwendungen, nicht ohne Weiteres auf diese Dateien zu-greifen können.

So bald als möglich auf Android Q updaten:Mit der Veröffentlichung von Android Q plant Google,­Änderungen­an­der­Art­und­Weise­vorzunehmen, wie Apps auf Dateien auf dem externen Speicher eines Geräts zugreifen. Der geplante Scoped Storage von Android ist restriktiver als bisherige Speichermethoden, was dazu beitragen kann, Bedrohungen, wie den von uns gefundenen WhatsApp/Telegram-Fehler, abzuschwächen. Scoped Storage bedeutet, dass Apps einen eigenen Speicherbereich­ in­einem­App-spezifi­schen­Verzeichnis haben, aber nicht auf Dateien in der gesamten Speicherpartition zugreifen können, es sei denn, der Benutzer erteilt eine ausdrückliche Erlaubnis. Dies verspricht zwar einen besseren Schutz der Benutzerdaten, beinhaltet­aber­auch­wesentliche­Änderun-gen an der Art und Weise, wie Millionen von Anwendungen externen Speicher nutzen. Teilweise wegen dieser Herausforderungen hat Google kürzlich angekündigt, den Roll-out der API erst 2020 in der nächsten großen Plattform-Version voranzutreiben.

Symantec hat Telegram und Facebook/WhatsApp über die Schwachstelle Media File Jacking bereits vor einiger Zeit infor-miert. Anwender können sich zum einen durch geeignete Malware-Erkennungs-En-gines auf ihren Geräten schützen, zum an-deren durch Deaktivieren der Speicherung

von Mediendateien im externen Speicher. Letzteres ist sehr einfach:

WhatsAppEinstellungen R Chats R Sichtbarkeit von Medien: AUS (Bild2)

Bild 2: Deaktivieren der Speicherung von Medi-endateien im externen Speicher bei WhatsApp.

TelegramEinstellungen R Chat Einstellungen R In der Galerie speichern: AUS (Bild 3) n

Bild 3: Deaktivieren der Speicherung von Medi-endateien im externen Speicher bei Telegram.

YAIR AMIT, VP & CTO, Modern OS Security und

ALON GAT, Software Engineer bei Symantec

ENDPOINT/MOBILE SECURITY

DATENBLATT

Die weltweit verbreitetste Datenschutzmanagement-Software ZUR GEWÄHRLEISTUNG VON DATENSCHUTZ-, SICHERHEITS- UND DRITTANBIETER-COMPLIANCEDer schnelle Weg zur Compliance mit DSGVO, BDSG-neu, CCPA, ISO und über 100 weltweite Datenschutz- und Sicherheitsbestimmungen

Technologie zur Unterstützung im Bereich Datenschutz, Sicherheit und Risikomanagement von Drittparteien

Definieren Sie gemeinsam mit uns eine neue Generation von Lösungen im Bereich Datenschutz, Sicherheit und Drittparteienrisiko

Datenschutzmanagement Datenschutz für Marketing und UX-Design

Risikomanagement von Drittparteien Vorfallreaktion

Reifegrad und PlanungBewertung der Compliance-

Berichte

Cookie-ComplianceWebsite-Scanning und Cookie-

Einwilligung

Lieferantenbewertungen Sicherheits- und

Datenschutzrisiken

VorfallreaktionBewertungen,

Benachrichtigungen und Berichte bei Datenpannen

BenchmarkingMarkt- und

Unternehmensvergleich

Compliance für mobile Anwendungen

App-Scanning und mobiles Einwilligungsmanagement

Vendorpedia Risk ExchangeSicherheits- und

Datenschutzrisiken

Aufnahme von VorfällenZentrales Register

BewertungsautomatisierungDSFA, TOMs, PbD und InfoSec

PräferenzmanagementPräferenz-Center für Endnutzer

Vendorpedia MonitoringDatenschutz- und

Sicherheitsbedrohungen

RisikobewertungenRisiko- und Schadensanalyse

VerarbeitungsverzeichnisInventar von Verarbeitungs-tätigkeiten und IT-Systemen

Betroffenenanfragen und Verbraucherrechte

Ganzheitliches Management und Automatisierung

Vendor Chasing ServicesZurückverfolgungs- und

Validierungsdienst

Benachrichtigung und Berichte

Verfolgung von Pflichten

Targeted Data DiscoveryLokalisierung und Löschung

betroffener Daten

Richtlinien und HinweiseZentral hosten, verfolgen,

aktualisieren

Datenflüsse hinsichtlich Lieferanten

Automatisierte Berichte und Verzeichnisführung

Echtzeit-AktivitätsfeedDatenpannen und Strafmaßnahmen

Leistungsstarke Technologieplattform

Regulatorische Forschung auf höchstem internationalem

Niveau

Weltweiter professioneller Kundendienst

Eine große aktive Benutzer-Community

Unübertroffene Breite und Tiefe an Anwendungsfällen in den Bereichen Datenschutz

und Sicherheit

Die intelligenteste Plattform der Branche

mit umfangreichen Regulierungsdatensätzen, die

täglich aktualisiert werden

Die meisten weltweit verfügbaren zertifizierten

Ressourcen zur Unterstützung Ihrer

Implementierung

Die größte und aktivste globale Community zum

Austausch von Best Practices

Über 50 erteilte Patente

Über 60 Sprachen

Über 300 Plug-ins

40 interne Datenschutzforscher

500 Anwälte im Netzwerk

300 abgedeckte Rechtsprechungen

200 Implementierungsmitarbeiter

2.500 zertifizierte Partner

95% Kundenzufriedenheit

Über 10.000 Teilnehmer

Über 250 global Workshops

Über 100 Orte weltweit

66 IT-SICHERHEIT [5/2019]

ENDPOINT/MOBILE SECURITY

Admin­Rechteverwaltung als Grundpfeiler der Bekämpfung von Einbruchsfolgen

IT-Security endet nicht an der Firewall

Wie­sonst­auch­immer­sind­diejenigen­am­besten vor Bedrohungen geschützt, die sich über diese Gefahren im Klaren sind. Diese Überlegung steht hinter dem As-sume-Breach-Ansatz. Im Gegensatz zur klassischen Herangehensweise, in der die traditionelle IT-Sicherheit die Verteidigung gegen Eindringlinge auf den äußeren Peri-meter legt, wendet sich der Assume-Breach-Ansatz dem Endpunkt zu. Damit durchdringt er sämtliche Bereiche der Unternehmens-IT und betrachtet die Schutzmaßnahmen ganzheitlich. Hier stehen einige, auch orga-nisatorische, Aspekte im Vordergrund.

Administratoren­Zugriffe richtig organisieren

Zunächst­sollten­als­Basis­einer­effi­zienten­Sicherheitsarchitektur die Zugriffmetho-den und -rechte besser gestaltet werden. Es­ empfi­ehlt­ sich,­ einen­ Zwei-Wege-Au-thentifi­zierungs-Standard­im­Unternehmen­einzuführen. Denn, auch wenn Cyberkrimi-

nelle Zugang zu Anmeldenamen und Pass-wort haben, so erschwert beispielsweise ein Code, der an das Smartphone des rechtmä-ßigen Besitzers gesendet wird, unerlaubten Zugriff. Daneben ist es ratsam, ein Privile-ged Password Management (PPM) zu im-plementieren, um den Prozess der Vergabe, Änderung­und­des­Entzugs­von­Privilegien­automatisiert gestalten zu können.

Zusätzlich sollten Administratoren-Ac-counts innerhalb eines Enhanced Security Administrative Environment (ESAE) in drei Gruppen unterteilt und in eigenen Gesamt-strukturen verwaltet werden. Diese admi-nistrativen Bereiche können dann von IT-Sicherheitsexperten auf verdächtige oder untypische Aktivitäten hin untersucht wer-den. Das kann über Meldungen eines au-tomatisierten Managementsystems oder regelmäßige Checks der Account-Bewe-gungen erfolgen. Die Zuordnung der Admi-nistratoren-Konten in die Gesamtstrukturen erfolgt nach dem Ausmaß an Privilegien, die

jeder­Account­ besitzt.­ Dabei­ sollten­ sehr­mächtige Accounts in einem administrati-ven Bereich zusammengelegt werden, der entsprechend intensiv beobachtet wird und in welchem auch deutlich höhere Sicher-heitsanforderungen umgesetzt sind. Dazu zählen die exklusive Nutzung von gehär-teten Arbeitsstationen oder die zwingende Verwendung­von­Mehrfaktorauthentifi­zie-rungen.

Augen auf bei den Standard­Administratorengruppen

Neben den selbst vergebenen und in ih-rer Ausprägung selbst gestalteten Admi-nistratoren-Konten und -Gruppen gibt es weitere, vom System vorgegebene. Solche Gruppen existieren auf den drei Ebenen Gesamtstruktur (Forest), Domäne und lo-kal. Auf der Forest-Ebene üben Enterprise-Admins unternehmensweit die volle Kon-trolle über sämtliche Domänen aus. Diese Konten verfügen über die umfangreichsten Bi

ld: ©

dep

ositp

hoto

s.com

/jam

desig

n

Beim Stichwort IT-Sicherheit denken viele lediglich an Antiviren-Software, Firewalls, Cyber Security Awareness Trainings und Co. Vergessen wird dabei oft, dass selbst die beste technische Infrastruktur und intensive Schulungen niemals gänzlich ver-hindern können, dass Angreifer sich Zugang zu den IT-Systemen eines Unternehmens verschaffen. Ist die betreffende Orga-nisation dann nicht darauf vorbereitet, die Ausbreitung des Eindringlings einzudämmen, stehen dem Cyberkriminellen Tür und Tor offen. Doch wie lassen sich die möglichen Risiken eines erfolgreichen Angriffs auf die IT-Systeme dennoch bestmög-lich minimieren? Eine gute Idee ist in diesem Zusammenhang, Admin-Rechte umfassend im Griff zu haben.

67IT-SICHERHEIT [5/2019]

Befugnisse. Ebenfalls auf der Forest-Ebene können Schema-Admins das Schema, also die Grundlage des Active Directory Forests, verändern. Üblicherweise kommt das nur selten­vor.­Daher­empfi­ehlt­es­sich,­die­da-für notwendigen Rechte bei Bedarf zu ertei-len und anschließend wieder zu entziehen.

Auf der Domänen-Ebene gibt es drei Ar-ten der Administratoren-Gruppen: Domain Admins, Administrators und Account-Ope-rators. Die Domänen-Administratoren be-sitzen die vollständige Kontrolle über die Domäne. Sie können außerdem, indem sie einen gut dokumentierten Weg folgen, zu Enterprise-Admins aufsteigen. Hingegen können Account-Operators zwar auch Nut-zer-, Domänen- oder Endgeräte-Rechte ein-richten, sie können aber keine Administra-toren bestimmen.

Auf­lokaler­Ebene­fi­nden­sich­die­Administ-ratoren des Rechners, Back-up-Administra-toren, die Dateien sichern beziehungsweise wiederherstellen können oder Power User, die über erweiterte Rechte bei der Nutzung des Rechners verfügen. Daneben können Hyper-V-Administratoren auf lokaler Ebene die virtualisierte Schicht verwalten, ohne dabei über Administratorenrechte auf dem Rechner als solchen verfügen zu müssen.

Endlose Verschachtelungen

Neben dieser Einteilung in verschiedene Administratorengruppen erlaubt Active Di-rectory, dass Gruppen selbst Teil von Grup-pen werden. Diese Verschachtelung kann zum Problem werden: Falls Administrato-ren-Accounts Teil dieser Struktur sind, ist es schwer zu erkennen, wie die Rechte nun tatsächlich verteilt sind. Das schadet der Übersichtlichkeit und führt dazu, dass IT-Sicherheitsteams die Situation nicht immer korrekt nachvollziehen können. Eine solche Situation kann einem Eindringling unter Umständen zum Vorteil gereichen.

Daneben können privilegierte Rechte ein-fach an einen normalen Account delegiert werden. Allerdings schränkt diese Vergabe-praxis auch die Überschaubarkeit in der IT-Landschaft weiter ein.

Komplexe Strukturen erfordern Automatisierung

Diese Vielfalt an möglichen Administrati-onsrechten sowie der freigegebenen Berei-che erschwert die Verwaltung enorm. Allein schon auf lokaler Ebene ergeben sich viele möglichen Konstellationen. Dazu kommen komplexe­ Konfi­gurationen­ auf­ Gruppen-­

und Unternehmensebene hinzu. Händisch ist dies nicht mehr zu bewerkstelligen. Ohne eine passende Administrationsplatt-form können so nicht mehr benötigte Ad-min-Accounts vergessen und im Fall der Fäl-le von Angreifern für Manipulationen weiter genutzt werden. Dem Rechtemanagement kommt folglich eine fundamentale Rolle bei der Umsetzung des Assume-Breach-Ansat-zes zu. Hinzu kommt, dass kompromittierte Accounts­erst­mühsam­identifi­ziert­werden­müssen. Das ist ein Zeitaufwand, den sich Unternehmen aus Gründen der Sicherheit kaum­ leisten­ können.­ So­ sollte­ sich­ jeder­IT-Sicherheitsverantwortliche rechtzeitig mit automatisierten Management- und Si-cherheitsplattformen beschäftigen, bevor der Schadensfall eintritt. n

BERT SKOURPSKI, Senior Manager Sales Engineeringfür Microsoft Platform Management

ENDPOINT/MOBILE SECURITY

Anzeige

Wie stellen Sie sicher, dass in Ihrem Unternehmen personenbezogene Daten gemäß EU-DSGVO gelöscht werden?

- CDMS erfasst initial alle Datensysteme in Ihrem Unternehmen.

- CDMS stellt jeden Löschauftrag automatisiert und dokumentiert bereit.

- CDMS erfüllt die gesetzlichen Dokumentations- und Nachweispflichten.

www.impetus.biz

Hier ist die Lösung! CDMS

Bild

er: ©

dep

ositp

hoto

s.com

/rach

27; ©

dep

ositp

hoto

s.com

/Oks

ana

68 IT-SICHERHEIT [5/2019]

Homeoffi ce, SaaS, Serverless Enterprise Infrastrukturen, Mobile User, IoT: Die Veränderungen in der IT sind drastisch und ha-ben Auswirkungen auf die historisch gewachsene Infrastruktur und deren Nutzung. Eigene Rechenzentren und geschlossene Firmennetzwerke werden eher zum Bottleneck als zu einem Wertschöpfungsbeschleuniger. Die verschiedenen Lokationen, an denen gearbeitet wird – von unterschiedlichen Niederlassungen bis zum Home- oder mobilen Arbeitsplatz, der per LTE oder zukünftig 5G angeschlossen ist, erfordern ein neues Denken für IT-Security. Die passende Antwort kann daher Network Se-curity Fabric lauten: ein Sicherheitsschirm für die Cloud Area Networks der Zukunft.

Die Zukunft IT­Infrastruktur für New Work verschmilzt zum Cloud Area Network

Security trifft WAN

Bereits bekannt sind Wide Area Networks (WAN),­die­einen­großen­geografi­schen­Be-reich abdecken und lokale Netze (LANs) zu einem großen Netzwerk koppeln, das sich über Länder und Kontinente erstrecken kann. Zum Vermitteln der Daten benötigt das WAN geeignete Übertragungsprotokol-le und Adresskonzepte. In dieser Ausdeh-nung liegt auch der Unterschied zu einem klassischen LAN, wie es bei den meisten Un-ternehmen heute noch im Einsatz ist. Das Local Area Network deckt als Ethernet nur einen­ kleinen­ Teilbereich­ geografi­sch­ ab,­und nutzt dabei Datenübertragungsraten von 10 MBit/s bis 400 GBit/s ab (entspricht maximal etwa 50 GByte/s Datendurchsatz). Bei­der­heute­am­häufi­gsten­verwendeten,­kupferbasierten Twisted-Pair-Verkabelung (TP) beträgt der Netzwerkradius in der Re-gel maximal hundert Meter, mit Multi mode-Glasfaser einige hundert Meter und mit Monomode-Glasfaser standardisiert bis zu vierzig Kilometer.

Das Internet stellt derweil ein weltumspan-nendes WAN dar, das aus vielen einzelnen Teilnetzen besteht. WANs können von ein-zelnen Organisationen betrieben und exklu-siv von ihnen genutzt werden, aber auch der Allgemeinheit zur Verfügung stehen. Service Provider errichten WANs, um ihren Kunden Zugang zu Netzwerkdienstleistungen zu er-möglichen. Da an einem WAN eine Vielzahl einzelner Rechner angeschlossen sein kann, benötigt es geeignete Vermittlungsprotokol-le und Adresskonzepte. Im Internet überneh-men die Protokolle IPv4- oder IPv6-Adressen diese Aufgabe.

Noch Flexibler: SD­WAN

Darauf aufbauend arbeitet die Technolo-gie­des­softwaredefi­nierten­WAN­–­das­SD-WAN. Mit dieser Technologie bieten sich neue Möglichkeiten, ein Netzwerk einfach und komfortabel zu erweitern. Ein Software Defi­ned­WAN­ bietet­ eine­ extrem­ fl­exible­

WAN-Architektur, die den einfachen Auf-bau von Overlay-Netzwerken unabhängig von der darunter liegenden WAN-Technolo-gie erlaubt. Ob MPLS, VPN, verschiedenste Provider oder unterschiedliche Bandbreiten: Alles kann auf beliebige Art und Weise zu einem homogenen Enterprise-WAN ver-schmolzen werden. In Deutschland haben bisher nur wenige Early Adopter diese Tech-nologie von amerikanischen Unternehmen umfassend im Einsatz.

Mit dieser Entwicklung, die sich genau an die Kundenerfordernisse anpassen lässt, en-dete auch die Zeit der Abhängigkeit von ei-nem einzelnen Provider. Standleitungen und MPLS könnten schon bald zu Relikten ver-gangener Tage werden. Der neue Ansatz SD-WAN­ ist­ zuverlässiger,­fl­exibler­und­preis-werter. Damit steigt gleichzeitig auch die Effi­zienz.­Netzwerk­Overlays­und­Virtualisie-rung (Verfahren zur Ressourceneinteilung) werden dazu genutzt, eine – im Vergleich zu

CLOUD-/WEB APP SECURITY

herkömmlichen Lösungen – weitaus bessere und­zudem­fl­exiblere­Konnektivität­bei­nied-rigeren Kosten sowie geringerer Komplexität zu liefern. Produkte dieser Art werden typi-scherweise eingesetzt, um teure und dabei auch noch betriebskostenintensive MPLS-Leitungen zu ersetzen.

Gerade dank einer symbiotischen Aggre-gation von preiswerten Internetverbindun-gen­und­der­Möglichkeit,­ für­die­ jeweilige­Anwendung den besten Pfad auszuwählen – völlig unabhängig vom Provider – erge-ben sich für Unternehmen sowohl günsti-ge als auch individuelle Alternativen. Die Industrieexperten von Gartner erwarten, dass SD-WAN-Lösungen bis zum Jahr 2020 ein Marktvolumen beziehungsweise einen Umsatz von 7,5 Milliarden Dollar generie-ren werden. Insbesondere Unternehmen, die über verzweigte Strukturen beziehungswei-se­Zweigstellen­verfügen,­profi­tieren­von­ei-ner­solchen­Umstellung­des­ jeweils­unter-nehmensspezifi­schen­Netzwerks.

New Work im Web

Der Begriff New Work hingegen kam bereits in den 1970er Jahren auf – und ist heute durch­die­Digitalisierung­aktueller­denn­je.­Früher galt, dass die Arbeit auf dem Büro-schreibtisch zu erledigen war. Heute – dank weltweiter Datenanbindung – kann überall gearbeitet werden. Kein Wunder also, dass Homeoffi­ce­ und­mobile­Arbeit­ von­ jedem­Punkt der Erde heute wesentliche Argumen-te für einen Arbeitgeber sind. Und dieser Megatrend wird sich noch verstärken: Zu-künftig werden viel mehr Daten über meh-rere Verbindungstypen weitergeleitet. Auch hier kommt SD-WAN-Technologien eine neue Bedeutung zu. Kleinere lokale Büros, Niederlassungen oder sogar Heimarbeits-plätze lassen sich Plug-and-Play anschlie-ßen, ohne besonderen Aufwand – außer einer Internetleitung – leisten zu müssen. Auch die Arbeit des Admins wird erleichtert: Ohne Probleme kann ein Netzwerkadminis-trator über einen zentralen Computer Edge Appliances programmieren. Das wiederum reduziert die Zeit für das Provisioning; au-ßerdem­müssen­die­jeweiligen­Router­nicht­mehr­manuell­konfi­guriert­werden.

Security geht in die Cloud: Cloud Area Network

Nichts geht ohne Sicherheit – und die muss auch bei den neuen Anwendungsszenarien jederzeit­gewährleistet­sein.­Die­Entwickler­eines Kölner Systemhauses für Netzwerk-technik und IT-Sicherheit fassen diese Tech-nologie als Sicherungsnetz zusammen und implementieren als einer der ersten einen solchen Service in die Cloud. Mit dem Secu-rity Fabric in der Cloud wurde eine gemein-same Plattform für Security und Wide Area Networking entwickelt. Als Cloud Area Net-work­fi­nden­dort­SaaS,­Serverless­Enterprise­Infrastrukturen, Mobile Users, IoT eine ge-meinsame Basis. Das Network Security Fab-ric macht dabei alles sicher. Mit dem Modell können Unternehmen hochperformant die unterschiedlichen Lokationen und mobilen User verbinden und dabei ein Höchstmaß an Sicherheit erreichen.

Die historische Methode über Hardware Firewalls­ für­ Outbound­Traffi­c­ und­MPLS-Router eines Carriers für die unternehmens-weite Vernetzung sind so Geschichte. Ein professionell gemanagtes SD-WAN mit voll integrierter Security ist die Zukunft und er-möglicht mehr Sicherheit, als ein Corporate-Virenscanner oder eine Hardware Firewall jemals­bieten­könnten.­Während­mit­diesen­Lösungen eher die Bedrohungen von ges-tern bekämpft werden, entdeckt die Secu-rity in der Cloud auch bereits erste Muster der Risiken von morgen. Dennoch erfordert ein Cloud Area Network auch Wartung: Mit einem eigenen Security Network Operation Center (SNOC) werden die Netzwerke der betreuten Unternehmen 24x7x365 auf ein-wandfreie und sichere Funktion überwacht. In diesem SNOC laufen Monitoring, Trouble-shooting und im absoluten Störfall auch der gesamte Wiederherstellungsprozess in einer Zentrale zusammen. Ein wichtiger Bestand-teil dabei ist das T-CERT: Um auf komplexe Angriffsszenarien reagieren zu können, wur-de eine eigene Security Task Force gegründet. Unterstützt von einer KI-Software mit dem Namen DARWIN können das T-CERT und das SNOC aus Millionen von sicherheitsrelevan-ten­ Logs­ die­ Schwachstellen­ identifi­zieren­und wirksame Gegenmaßnahmen einleiten.

69IT-SICHERHEIT [5/2019]

CLOUD-/WEB APP SECURITY

Outsourcing von Risiken

Hinzu kommt der sich weiter fortsetzende Trend zum Outsourcing: Unternehmen und die eigenen IT-Abteilungen können kaum noch den Überblick behalten über die neu-esten Entwicklungen in der IT sowie die ak-tuellen Sicherheitsrisiken durch Viren, Wür-mer oder Ransomware. Den IT-Life cycle auszulagern, ist damit ein interessantes Modell – professionelle Unternehmen be-treiben und sichern die Infrastruktur und reduzieren so Kosten und Aufwand für die Wirtschaft. Dennoch müssen diese neuarti-gen Netzwerke designt werden und an die Ansprüche wie Voraussetzungen angepasst werden. Nach dem Rollout und der Imple-mentierung ist ebenso ein Management und Monitoring auf Risiken und ungewöhn-liche Vorfälle wie beispielsweise Hackeran-griffe notwendig. Während aber bei einem herkömmlichen­LAN-Verbund­jedes­einzel-ne Unternehmen mit der eigenen IT für sich selber sorgen muss, arbeiten so Experten sogar unternehmensnetzwerkübergreifend an der Sicherheit und Geschwindigkeit des Cloud Area Networks. Die Zukunft der Digi-talisierung liegt in der Cloud – anders sind die Herausforderungen der kommenden Jahre auch kaum zu bewältigen. n

ANDREAS SCHLECHTER,Geschäftsführer Telonic GmbH

Die OrganisationDie Kinderklinik Garmisch-Partenkirchen gemeinnützige GmbH ist Mitglied im „Diakonischen Werk Bayern e.V.“ und besteht aus dem Deutschen Zent-rum für Kinder- und Jugendrheumatologie (DZKJR) mit den Schwerpunkten Kinder- und Jugendrheumatologie sowie Behandlung chronischer Schmerzer-krankungen des Kindes- und Jugendalters und dem Sozialpädiatrischen Zentrum.­Das­DZKJR­ ist­die­größte­kinder-­und­ jugendrheumatologische­Akutklinik­in­Europa­mit­über­65­Jahren­Erfahrung­und­betreut­jährlich­ca.­2.500 stationäre Patienten sowie zusätzlich etwa 900 ambulante Patienten.

Als­„zertifi­ziertes­Diabeteszentrum­DDG“­ist­die­Klinik­eine­von­der­deut-schen Diabetesgesellschaft (DDG) anerkannte spezialisierte stationäre und ambulante Einrichtung zur Behandlung von Kindern und Jugendlichen mit Diabetes mellitus. Das Deutsche Zentrum für Kinder- und Jugendrheuma-tologie ist Lehrkrankenhaus der Ludwig-Maximilians-Universität (LMU) München und Weiterbildungsklinik für Kinder- und Jugendmedizin sowie Kinderrheumatologie. Zur Klinik gehören eine Schule für Kranke und eine Berufsfachschule­für­Gesundheits-­und­Kinderkrankenpfl­ege.

Mehr Performance für digitale Anwendungen und besserer Schutz vor Cybergefahren – diese beiden Ziele standen bei der Netzwerk-Modernisierung im Deutschen Zentrum für Kinder- und Jugend-rheumatologie im Mittelpunkt. Mit Lösungen von Fortinet und SentinelOne konnte VINTIN alle An-forderungen der Klinik erfüllen.

Kinderklinik Garmisch-Partenkirchen gemeinnützige GmbH

Ganzheitliches Sicherheits- und Netzwerk-konzept für die Rheuma- Kinderklinik

SUCCESS STORY

ADVERTORIAL – CASE STUDY

Technologiepartner

CASE STUDY – ADVERTORIALCASE STUDY – ADVERTORIAL

Die HerausforderungWie viele andere Gesundheitseinrichtungen setzt auch das DZKJR immer stärker auf digitale Technologien, um interne Abläufe zu optimieren und das Behandlungsangebot weiter zu verbessern. Dadurch stiegen in den letzten Jahren die Anforderungen an die Leistungsfähigkeit und Sicherheit der IT-Umgebung. „Wir erreichten schließlich den Punkt, an dem unsere Infrastruk-tur mit den neuen Entwicklungen nicht mehr Schritt halten konnte“, sagt Reinhard Steiner, IT-Leiter des DZKJR. „Das Netzwerk bot nicht mehr genü-gend Performance für Echtzeit-Anwendungen wie IP-Telefonie – gleichzeitig mussten wir uns Gedanken darüber machen, wie wir unsere Umgebung bes-ser vor Ransomware, Hackern und anderen Cybergefahren schützen können.“

Das DZKJR suchte nach einem ganzheitlichen Lösungsansatz. Ziel war, sowohl das Sicherheitsniveau als auch die Netzwerkperformance auf eine neue­Stufe­zu­bringen­–­und­dies­mit­vertretbarem­fi­nanziellem­und­admi-nistrativem Aufwand.

fern. Die Web Application Firewall FortiWeb sichert die Web-Anwendungen der Klinik ab, darunter mehrere Online-Dienste für Patienten. Für Bedro-hungsanalysen in Echtzeit führte die Klinik zudem den FortiAnalyzer ein.

Server, PCs und Notebooks werden schließlich durch die Endpoint Protection Software SentinelOne geschützt. Im Gegensatz zu klassischen Virenscannern setzt die Lösung nicht auf Signaturen oder heuristische Analysen, sondern erkennt Bedrohungen aufgrund ihres Verhaltens – mithilfe autonomer künstlicher Intelligenz auf dem Endgerät. „Für die direkte Verbindung zwi-schen SentinelOne und der Fortinet Security Fabric nutzen wir den VINTIN Connector“, erklärt Reinhard Steiner. „Sollte SentinelOne auf einem Rechner Schadsoftware entdecken, wird der betroffene PC oder Server sofort vom Netzwerk getrennt.“

Die VorteileDie einzelnen Bausteine der neuen Infrastruktur spielen nahtlos zusam-men und sorgen dafür, dass die Patientendaten und IT-Anwendungen des DZKJR umfassend geschützt sind. Egal, an welcher Stelle im Netzwerk, eine Bedrohung auftritt – die Technologien von Fortinet und SentinelOne ergrei-fen sofort die notwendigen Abwehrmaßnahmen. „Wir haben so mit abso-lut vertretbaren Investitionen ein sicheres Netzwerk aufgebaut, das dem neuesten Stand der Technik entspricht“, resümiert Reinhard Steiner. „Auch Management-Reports für die Klinikleitung oder Nachweise für Security-Audits lassen sich heute sehr einfach generieren.“ Begeistert ist der IT-Lei-ter zudem von der einfachen Verwaltbarkeit: „95 Prozent der Abläufe sind automatisiert – dadurch fällt im Alltag nahezu kein administrativer Aufwand an. Ich kenne beispielsweise keine Endpoint-Security-Lösung, die so einfach zu bedienen ist wie SentinelOne. Wir werden die Technologie daher künftig auch für das sichere Management von USB-Sticks und anderen mobilen Datenträgern nutzen.“ ■

Die LösungNach der Evaluierung unterschiedlicher Technologien entschied sich die Klinik für ein integriertes Konzept auf Basis der Fortinet Security Fabric. „Wir pro-fi­tieren­damit­von­einer­Architektur,­bei­der­alle­Netzwerk-­und­Sicherheits-komponenten wirklich ineinandergreifen“, sagt Reinhard Steiner. Geplant und realisiert wurde die Lösung gemeinsam mit Spezialisten von VINTIN.

Im­ersten­Schritt­ersetzten­die­Projektpartner­die­aktiven­Netzwerkkompo-nenten durch FortiSwitch-Appliances und bauten eine redundante Rechen-zentrumsinfrastruktur mit zwei glasfaservermaschten Serverräumen auf. Im Backbone steht dem DZKJR heute eine Bandbreite von 40 Gbit/s zur Verfügung – an den Arbeitsplätzen wurde die Netzwerkgeschwindigkeit auf 10 Gbit/s erhöht. So können die Anwender auch ressourcenhungrige Kommunikations- und Klinik-Software performant nutzen. Die Sicherheit im Netzwerk wird über ein FortiGate-Cluster im Rechenzentrum gesteuert. Die Next-Generation-Firewalls­fi­ltern­zum­einen­den­gesamten­Internet-Traffi­c­und schützen das Netzwerk mit UTM-Funktionen zuverlässig vor Gefahren aus dem Web. Zum anderen dienen sie als zentrale Management-Plattform für die FortiSwitches und die rund 90 Wireless Access Points von Fortinet. „Damit­stellen­wir­sicher,­dass­an­jedem­einzelnen­Netzwerk-Port­und­an­jedem­Access­Point­dieselben­Sicherheitsrichtlinien­greifen“,­so­der­IT-Leiter.

Mit­der­Fortinet-Technologie­setzte­VINTIN­ein­fl­ächendeckendes­VLAN-Kon-zept im DZKJR um. Für die verschiedenen Stationen, die Verwaltungsabteilung und­die­rund­80­Drucker­der­Klinik­gibt­es­jeweils­eigene­virtuelle­Teilnetze.­Diese Segmentierung verhindert, dass sich mögliche Schadsoftware unkon-trolliert im gesamten Netzwerk ausbreiten kann. FortiMail hält als sicheres E-Mail-Gateway Spam und Malware von den Posteingängen der Mitarbeiter

Kurz gesagt:Wir haben mit VINTIN innerhalb von zwei Monaten unsere Wir haben mit VINTIN innerhalb von zwei Monaten unsere gesamte Netzwerk- und Security-Infrastruktur erneuert. Das gesamte Netzwerk- und Security-Infrastruktur erneuert. Das war nur möglich, da die technischen Spezialisten von VINTIN war nur möglich, da die technischen Spezialisten von VINTIN sehr viel Know-how mitbrachten – auch zu unseren vor-handenen Komponenten. So gelang uns eine reibungslose Migration im laufenden Klinikbetrieb.“

Reinhard Steiner, IT-Leiter, DZKJR

VINTIN Solutions GmbHFelix-Wankel-Straße 497526 Sennfeld

T 09721 67594-10E kontakt@vintin.deI www.vintin.de

72 IT-SICHERHEIT [5/2019]

Die Compliance von Systemen für physische Sicherheit mit der Datenschutz-Grundverordnung (DS-GVO) erfordert einen Blick aus zwei Perspektiven: Video-überwachungen generieren Daten, deren Aufzeichnungen und Auswertungen mit den Bestimmungen der DS-GVO konform sein müssen. Darüber hinaus ist aber auch die „Sicherheit der Sicherheit“ zu bedenken, denn über unzureichend ge-schützte Komponenten der physischen Sicherheitsinfrastruktur können Schwach-stellen entstehen, die Angreifern als Hintertüren in Netzwerke dienen. Werden dabei personenbezogene Daten kompromittiert oder manipuliert, kann dies zu empfi ndlichen Strafen im Rahmen der DS-GVO führen.

DS­GVO­konforme Videoüberwachung

Sicherheit der Sicherheit

DATENSCHUTZ/BACK-UP/ARCHIVIERUNG

Um DS-GVO-Compliance herzustellen und Strafen zu vermeiden, müssen Unterneh-men ihre Videoüberwachungssysteme auf den Prüfstand stellen. Viele Unternehmen fokussieren sich beim Datenschutz bislang auf gespeicherte Informationen, wie Na-men, Geburtsdatum, Familienstand, Zah-lungsinformationen usw. Dabei wird oft vernachlässigt, dass auch Videoaufnahmen zu den personenbezogenen Daten gehö-ren,­wenn­sie­die­eindeutige­ Identifi­kation­von Personen oder Fahrzeugen ermöglichen. Insbesondere die Überwachung von Außen- oder Eingangsbereichen wirft zudem weitere Compliance-Fragen auf, denn es wird auch zukünftig unmöglich sein, von zufälligen Passanten oder Besuchern ein Einverständ-nis zur Datenverarbeitung einzuholen, wie es die DS-GVO an sich fordert.

Welche konkreten technischen Maßnahmen zum Datenschutz hier erforderlich sind, lässt die DS-GVO absichtlich offen, denn die Re-

gelung soll herstellerneutral sein und Raum lassen für die schnelle technologische Wei-terentwicklung. Stattdessen werden zwei generelle Anforderungen formuliert: Eine Infrastruktur zum Schutz personenbezoge-ner Daten muss von Grund auf sicher konzi-piert sein und dem aktuellen Stand der Tech-nik entsprechen. Im Ernstfall einer internen oder externen Datenschutzverletzung sowie bei Audits liegt die Last des Nachweises der technologischen Aktualität bei den Unter-nehmen.

Risikofaktor lässt sich senken

Vor diesem Hintergrund werden Investitio-nen in den Schutz der Videoüberwachung unumgänglich sein. Zumindest das Problem der Videoaufzeichnungen von Personen, die keine Einwilligung gegeben haben, lässt sich aber technologisch entschärfen: Durch Mas-kierung und Verpixelung können sensible Be-reiche sowie Personen und Nummernschilder

von vornherein unkenntlich gemacht wer-den. Aufzeichnungen sind dann also nicht mehr personenbezogen.

Der Haken: Die Verpixelung muss immer voll-ständig sein, auch wenn Personen oder KFZ kurz stehen bleiben oder sich die Beleuch-tungssituation ändert, was viele Algorithmen nicht leisten können. Bei der Auswahl einer Verpixelungstechnologie müssen Unterneh-men daher sehr sorgfältig vorgehen. Einen Anhaltspunkt­liefern­Zertifi­zierungen­wie­das­European Privacy Seal (www.european-pri-vacy-seal.eu), das die Kompatibilität mit eu-ropäischen Datenschutzrichtlinien bestätigt.

Von zentraler Bedeutung für die Compliance mit der DS-GVO ist zudem die strenge Regle-mentierung des Zugriffs auf Videodaten. Aus diesem Grund ist zum Beispiel der Schutz der Privatsphäre idealerweise direkt in die über-geordnete Management-Plattform Gene tec integriert. Über die dort verfügbaren Auto-

Zentrale Maßnahme bei der Inbetriebnahme ist zudem die Vergabe eines sicheren und individuellen Kamera-Passworts. In diesem Zusammenhang muss darauf hingewiesen werden, dass es in der Vergangenheit immer wieder Berichte über werksseitig eingestellte Master-Passwörter bei einigen Geräten ge-geben hat, was Unternehmen bei der Kame-raauswahl bedenken sollten.

Schutz von Übertragungen

Systeme wie Management-Plattformen für Videoüberwachung müssen zudem auch selbst sicher sein. Dazu gehören unter an-derem die Nutzerüberprüfung durch Zwei-Faktor-Authentifi­zierung­ (Passwort,­ Token,­Biometrie) auf Client-Seite sowie der Einsatz einer­PKI-Infrastruktur­zur­Server-Authentifi­-zierung­durch­Zertifi­kate.­Dies­schützt­aller-dings nur vor einem Zugriff auf das Frontend und kann nicht verhindern, dass Angreifer zum Beispiel Videoübertragungen zwischen Kameras, Clients und der Management-Plattform abfangen oder sogar manipulieren. Deshalb ist der Einsatz starker Verschlüsse-lungsverfahren von entscheidender Bedeu-tung. Über das TLS-Protokoll (Transport Layer Security, vormals SSL) können Kommunikati-onskanäle zwischen Servern und Client-Ap-plikationen sowie zwischen Servern unter-einander verschlüsselt und damit geschützt werden. Bei der Übertragung von Videoauf-nahmen mit dem RTSP (Realtime Streaming Protocol) sollte zudem durch RTSP over TLS eine weitere Verschlüsselungsebene etabliert werden.

Alternative Cloud?

Die steigende Zahl von Kameras mit immer höherer­Aufl­ösung­ stellt­ nicht­ nur­ das­ Si-cherheitsmanagement, sondern auch die IT-In frastruktur vor Herausforderungen. Durch die immensen Datenmengen können erheb-liche Kosten und Aufwände für Beschaffung, Erweiterung und Wartung der Server entste-hen, auf denen Applikationen gehostet und Videoaufzeichnungen archiviert werden. Vor diesem Hintergrund kann es vorteilhaft sein, die Videoüberwachung ganz oder teilweise in die Cloud zu verschieben. Cloud Services bieten die Möglichkeit, vollständig gehoste-te Videoüberwachungssysteme für eine fes-

te­und­kosteneffi­ziente­monatliche­Gebühr­einzusetzen. Damit wird ein wesentlicher Teil der Verantwortung für den technischen Datenschutz an den Cloud Service Provider ausgelagert. Unternehmen sind aber weiter-hin selbst für Zugriffskontrollen und Rechte-Management verantwortlich.

Fazit

Mit proprietären Altsystemen werden Un-ternehmen die Anforderungen der DS-GVO nur schwer erfüllen können. IP-basierte In-frastrukturen für physische Sicherheit bieten hier deutliche Vorteile: Alle Komponenten von der Kamera bis zum Alarm sowie auch geografi­sch­entfernte­Standorte­können­ in­eine einzige Management-Plattform inte-griert werden, sodass Vorfälle schneller er-kannt und gemeldet werden können. Hard-ware lässt sich einfach austauschen oder updaten, um auch noch in Jahren aktuellen Schutz zu gewährleisten. Durch Verpixelung und Maskierung können Risikoquellen für den Datenschutz an der Quelle eliminiert werden, wenn die eingesetzte Technologie nachweisbar den Compliance-Anforderun-gen entspricht und ein striktes Zugriffsma-nagement implementiert ist.

Viele Altgeräte lassen sich parallel zu IP-ba-sierten Komponenten weiterverwenden. Im Rahmen eines langsamen Übergangsprozes-ses können neue Geräte außerdem bereits in der Cloud gehostet und cloudbasierte Ap-plikationen implementiert werden, während die lokale Server-Infrastruktur weiterhin für bestehende Anwendungen und Geräte be-reitsteht. n

DATENSCHUTZ/BACK-UP/ARCHIVIERUNG

risierungsverfahren ist sichergestellt, dass Nutzer nur innerhalb ihrer Rechte Daten aufrufen, exportieren, löschen oder bearbei-ten können.

Trend geht zu IP­basierter Videoüberwachung

Der Wirkungsbereich der DS-GVO beschränkt sich nicht auf den Schutz der eigentlichen Daten, sondern erstreckt sich auch auf den Schutz der physischen Sicherheitsinfrastruk-tur vor Angriffen. Im Bereich der Videoüber-wachung geht der Trend seit Jahren zu IP-basierten Systemen, denn Altsysteme mit proprietärer Verkabelung können meist nur schwer aktualisiert werden und weisen zu-dem bestens bekannte Schwachstellen auf. IP-basierte Videoüberwachung lässt sich hin-gegen problemlos erweitern und zudem mit Zutrittskontrollen, Alarmsystemen etc. in ei-ner einheitlichen, übergreifenden Manage-mentinfrastruktur integrieren.

Geräteschwachstellen systematisch schließen

Durch die Migration zu einer IP-basierten physischen Sicherheitsinfrastruktur wächst aber auch die Zahl der über das Netzwerk erreichbaren Endgeräte, darunter IP-Kame-ras, IP-Lesegeräte, IP-Schlösser oder IP-Inter-coms. Die Erfahrung hat gezeigt, dass diese Geräte zumindest in der Standardeinstellung als unsicher gelten müssen. Es besteht daher die Gefahr, dass Angreifer ein ungesichertes Gerät übernehmen und sich sodann lateral durch das Netzwerk vorarbeiten.

Erster und wichtigster Schritt zur Absiche-rung von Videokameras und anderen IP-Ge-räten sollte immer die Vergabe eines star-ken Passworts und die Abschaltung nicht benötigter Funktionen sein. Bei der Gerä-teauswahl ist daher darauf zu achten, dass Dienste/Ports (zum Beispiel Telnet, SNMPv1/v2) deaktiviert werden können, um eine ge-ringe­Angriffsfl­äche­zu­bieten.­Verbindungen­vom Gerät nach außen sind nur in Ausnah-mefällen akzeptabel. Weitere wichtige Punk-te sind die gesicherte Aktualisierung durch den Hersteller, sowie unter Umständen ein physischer Schutz gegen manuelle Resets am Gerät.

NORMEN WOLLMANN, Regional Director DACH bei Genetec

73IT-SICHERHEIT [5/2019]

74 IT-SICHERHEIT [5/2019]

Digitalisierung bringt erstaunliche und groß-artige Szenarien. So hat Tesla zum Beispiel durch vernetzte smarte Autos die Mög-lichkeit eröffnet, binnen weniger Stunden System updates auf die komplette Fahrzeug-fl­otte­auszurollen.­Ohne­entsprechende­IT-Sicherheit wäre so etwas ein einfaches Ein-fallstor für Angreifer. Auch Cloud-Lösungen sind erst durch schützende IT-Sicherheit in der Masse möglich geworden. Heutzutage ist es fast undenkbar, Informationen nur auf einem Endgerät mitzuführen. Fotos, Doku-mente und Notizen sind auf vielen unter-schiedlichen IT-Systemen immer synchroni-siert und können mit anderen schnell und sicher ausgetauscht werden.

Neue Ideen und Möglichkeiten durch Digi-talisierung, etwa im Verwaltungsverwesen

und in Smart-City-Anwendungen, bringen viele Vorteile für die Kommunen, Länder und Bürger. Mitarbeiter im Bürgercenter werden entlastet, und die Bürger genießen die vie-len Vorteile, welche die Digitalisierung mit sich bringt.

Passwörter sind nicht die Zukunft, und das ist auch gut so!

Viele digitalisierte Prozesse stoßen früher oder später auf eine Herausforderung: Iden-tifi­zierung­und­Authentifi­zierung­von­Nut-zern. Die Kombination aus Nutzernamen und Passwort bietet zwar den Vorteil, dass jeder­weiß­wie­es­funktioniert,­ist­aber­sehr­unsicher! Einfach schnell den üblichen Nut-zernamen verwendet und genauso einfach

wieder das eine Passwort, das so gut im Kopf bleibt.

Doch dies birgt ein fatales Risiko: Gestoh-lene Passwörter gehören heutzutage zum Tagesgeschäft. Gerade das Passwort-Ver-fahren birgt neben dem hohen Sicherheits-risiko zusätzlich noch ein hohes Kosten-problem. Die Verwaltungskosten für ein Passwort-Verfahren explodieren förmlich und­summieren­sich­jährlich­zu­einem­sehr­relevanten Posten. Komplizierte Passwort-regeln führen dazu, dass sich Nutzer aus Versehen aus dem IT-System aussperren, System-Admins verbringen viele Stunden pro Woche mit dem Zurücksetzen von Ac-counts. Identitätsdiebstahl durch schwache Passwörter, etwa für E-Mail-Konten, ver-ursacht innerhalb von Unternehmen sehr

Um die Digitalisierung in Deutschland fl ächendeckend vorantreiben zu können, benötigt es mehr IT-Sicherheit und Vertrauenswürdigkeit in der digitalen Welt. Täg-lich fi nden immer mehr und neue Angriffe auf IT-Systeme statt. Eine starke Verbrei-tung von Ransomware oder der Datenklau von Milliarden von Passwörtern sind nur zwei Beispiele von sehr vielen. Die Studie „Cybersecurity as a Growth Advantage“[1]

eines großen IT-Unternehmens fi ndet 400 neue Anwendungsfälle, die nur dank adäquater IT-Sicherheit digitalisiert werden können. Damit zählen IT-Sicherheit und Vertrauenswürdigkeit als primärer Wachstumstreiber für Digitalisierung. Multifak-tor-Authentifi kation und digitale Signaturen sind hier gefragt, um Projekte, wie eine Art Bürger-Ausweis, auf Basis eines Smartphones realisieren zu können.

AUS FORSCHUNG UND TECHNIK

IT­Sicherheit als Wegbereiter für die Digitalisierung

Smartphone Bürger-ID

Bild

: © d

epos

itpho

tos.c

om/b

izoon

setzt werden Konzepte der adaptiven Au-thentifizierung­mithilfe­von­MFA-Systemen,­die­flexibel­in­Abhängigkeit­des­gerade­not-wendigen Sicherheitsniveaus die passenden Authentifikationsverfahren­auswählen.[2] Ein Beispiel: Überweisungen von bis zu 20 Euro können schnell mit dem Smartphone abge-wickelt werden, wohingegen Transaktionen ins Ausland oder unübliche hohe Summen mehrere Faktoren, wie Biometrie und PIN, erfordern.

Smartphone Bürger­ID

Die Smartphone Bürger-ID ist ein Koopera-tionsprojekt­zwischen­dem­Institut­ für­ In-ternet-Sicherheit der Westfälischen Hoch-schule, XignSys, der Stadt Gelsenkirchen und der Stadt Aachen. XignSys ist eine Ausgründung des Instituts für Internet-Si-cherheit. Gegründet wurde sie 2016 und ist

hohe­Schäden.­Sehr­häufig­werden­so­wich-tige Dinge, wie Firmeninterna, Kundendaten, Protokolle und Betriebsgeheimnisse, auf ein-fache Weise gestohlen. Identitätsdiebstahl ist auch für Phishing-Angriffe, Malware, wie Keylogger (Ausspähen aller Eingaben über die Tastatur) und Social Engineering ein sehr beliebtes Einfallstor. Passwörter als Sicher-heitsfaktor bieten hier inzwischen völlig un-zureichenden Schutz.

Alternativen, wie Chipkarten oder Secure-Tokens zur Generierung von „time based onetime passwords“, sind immer an zusätz-liche Hardware und Mehrkosten gebunden. Entsprechende Systeme sind zudem nur sel-ten interoperabel.

Passwörter werden bald keinen Platz mehr in­der­ Industrie­4.0­finden.­Smart-City-An-wendungsfälle, das „Internet of Things“ und neue Mobilitätslösungen benötigen eine schnelle,­einfache­und­sichere­Authentifizie-rung, zum Beispiel mithilfe von Multifaktor-Authentifikationsverfahren.­ Eine­Multifak-tor-Authentifizierung­dient­der­Verifizierung­der Identität eines Nutzers mittels der Kom-bination verschiedener und insbesondere unabhängiger­ Klassen­ von­ Authentifizie-rungsverfahren.­ Eine­ häufige­Variante­ ist­die­Zwei-Faktor-Authentifizierung­(2FA)­mit­Besitz und Wissen, zum Beispiel Hardware-Sicherheitsmodul (Smartcard, USB-Token …) plus PIN zur Aktivierung des Hardware-Sicherheitsmoduls. Bei der Multifaktor-Au-thentifizierung­ (MFA)­ kommt­ mindestens­noch ein weiterer Identitätsbeweis dazu, meist ein unverwechselbares körperliches Merkmal.

Die­ Klassen­ der­Multifaktor-Authentifizie-rung sind also:

� etwas, das der Nutzer besitzt, wie zum Beispiel ein Hardware-Sicherheitsmodul;

� etwas, das der Nutzer weiß, wie zum Bei-spiel ein Passwort oder PIN;

� etwas, das als körperliches Charakteristi-kum untrennbar zum Nutzer gehört (das Sein), wie zum Beispiel ein Fingerabdruck, das Gesicht oder die Stimme.

Ein typisches Beispiel für eine MFA ist ein Hardware-Sicherheitsmodul, das mit einem

Passwort oder einer PIN aktiviert werden muss. Um den Nutzerbezug zu verstärken, muss der Nutzer noch mithilfe eines Finger-abdrucks oder der Gesichtserkennung seine Identität­zusätzlich­verifizieren­lassen.

Risikobasierte und adaptive Authentifizierung

Eine­ adaptive­Authentifizierung­ entschei-det auf der Basis der Vertrauenswürdigkeit des zugreifenden Nutzers, der Kritikalität der konkreten Anwendung/Aktion und den Rahmenbedingungen des aktuellen Zugrif-fes­ darüber,­ welche­ Authentifikationsver-fahren zum Einsatz kommen sollen. Dieser risikoorientierte Ansatz erhöht das allge-meine Sicherheitsniveau und vermindert die Anzahl nicht notwendiger starker Authenti-fizierungen.­Es­wird­das­Optimum­zwischen­Sicherheit und Komfort angestrebt. Umge-

AUS FORSCHUNG UND TECHNIK

Anzeige

maßgeblich für die Entwicklung der Techno-logie XignQR zuständig. XignQR ermöglicht eine­ sichere­Multifaktor-Authentifi­zierung­am Servicekonto. Für die Stadt Aachen ist der IT-Dienstleister „regio iT“ Partner, der sowohl das Serviceportal „aachen.de“ als auch die Implementierung der Smartphone Bürger-ID in das Portal begleitet. Gefördert wird es mit Mitteln der digitalen Modell-regionen des Ministeriums für Wirtschaft, Innovation, Digitalisierung und Energie des Landes­NRW­(MWIDE).­Die­Projektlaufzeit­ist von Januar 2019 bis Ende 2021.

Zum aktuellen Zeitpunkt wird die digitale Identifi­zierung­ und­Authentifi­zierung­ zum­Beispiel am Servicekonto mit zwei verschie-denen Auswählmöglichkeiten angeboten: dem klassischen Nutzernamen und Passwort und mithilfe des neuen Personalausweises (nPA). Dabei weist nach eIDAS (electro-nic­IDentifi­cation,­Authentication­and­trust­Services) nur der nPA das Vertrauensniveau „hoch“ auf. Die klassische Registrierung per Nutzernamen und Passwort hingegen ist nur „niedrig“ und kann damit aus Sicherheits-gründen nicht für die Nutzung kommunaler Dienste empfohlen werden. Es fehlt das nö-tige Vertrauensniveau, um sicherstellen zu können, dass die registrierte Person sicher identifi­ziert­werden­kann.

Der­nPA­ leidet­ jedoch­aufgrund­mehrerer­Probleme an Akzeptanz: Zusätzliche Hard-ware, etwa ein Kartenlesegerät, sind Kos-ten, die ungern in Kauf genommen werden. Zusätzlich ist die Online-Funktion noch nicht­ in­ jedem­ nPA­ aktiviert­ und­ selbst­wenn, fehlt den meisten Bürgern die Frei-schaltung und die PIN, um die Dienste nut-zen zu können.

Das Smartphone als Sicher­heitsanker für die digitale Bürger­ID

Daher wird es als sehr gute Idee erachtet, wenn das Smartphone für die digitale Bür-ger-ID genutzt wird. Fast 90 Prozent aller Android Smartphones besitzen mittlerweile einen eingebauten Hardware Keystore[3] und bieten damit besseren Schutz als nur Pass-wörter.­Ähnlich­ sieht­ es­ beim­ iPhone­ aus:­Über 84 Prozent der Apple Smart phones

76 IT-SICHERHEIT [5/2019]

AUS FORSCHUNG UND TECHNIK

laufen bereits mit der aktuellen iOS Versi-on.[4] Dazu kommt viel weitere Technik, die das Smartphone anbietet: Biometrische Sen-soren, zum Beispiel für Fingerabdrücke, Ge-sichtserkennung oder Iris-Scanner. Ebenso gehört dazu ein einfacher Multitouch-Bild-schirm, mit dem vorher eingegebene Daten vom Server doppelt auf dem Smartphone überprüft werden können.

Mithilfe des Smartphones kann das pas-sende Vertrauensniveau „substanziell“ er-zielt werden. Bestehende Basistechnologie erlaubt es Kommunen, Ländern und Unter-nehmen, neue E-Government- und Smart-Ci-ty Anwendungen für den Bürger einfach und dennoch sicher zugänglich zu machen. Dies ist zwingend notwendig, um alle möglichen Dienste für das Onlinezugangsgesetz umset-zen zu können.[5]­Deutschland­befi­ndet­sich­laut einer Studie des Fraunhofer-Instituts in einer schwierigen Situation. Nur neun Pro-zent aller Kommunen in Deutschland bieten mehr als 20 Online-Verfahren an. Das Fehlen von entsprechenden Angeboten führt dazu, dass diese kaum bekannt sind und selten genutzt werden. Dabei könnte über ein Drit-tel der Kosten für die Verwaltung in Deutsch-land eingespart werden. Diese Einsparungen könnten helfen, den Aufbau eines noch grö-ßeren Angebots herbeizuführen. Außerdem werden die notwendigen Behördengänge für die Bürger sehr viel einfacher, weil sie von zu Hause aus oder unterwegs einfach umgesetzt werden können.

Modernes Multifaktor­Authen­tifizierungssystem und Identi­fikationsverfahren

Ein modernes Multifaktor-Authentifizie-rungssystem muss das komplexe Umfeld von­IT-Ökosystemen,­einen­fl­exiblen­Schutz­von Nutzerdaten und ein anwendungsspe-zifi­sches­Vertrauensniveau­bei­der­Authen-tifi­zierung­ des­ Nutzers­ berücksichtigen.[2]

Daraus lassen sich die folgenden Anforde-rungen ableiten:

� Hohe Sicherheit bei geringer Komplexität� Adaptive Balance zwischen Sicherheit und

Nutzerfreundlichkeit� Einfache Integration� Interoperabilität und Flexibilität� Datenschutz und -sparsamkeit� Hohe Nutzerakzeptanz durch Verzicht auf

Zusatzhardware, Transparenz, Informatio-nelle Selbstbestimmung und einfache Ver-waltung und Nutzung

Im Folgenden wird eine Lösung einer hand-habbaren und modernen Multifaktor-Au-thentifi­zierung­vorgestellt.[6]

Für den Einsatz dieses modernen Multifak-tor-Authentifi­zierungssystems­ sind­ grund-sätzlich vier Akteure notwendig, die durch eine Public-Key-Infrastruktur (PKI) gestützt werden: die Smartphone App (APP), der Authentifi­zierungsmanager­und­die­Einbin-dungskomponente beim Diensteanbieter.

Bild 1: Funktionsweise des MFA-Systems

Bild 2: Konzept der Smartphone Bürger-ID App für NRW

Beim Diensteanbieter handelt es sich um ein IT-System, wie eine Webseite (Shop, Be-hörde, Bank, …), ein ERP-System oder einen lokaler Arbeitsrechner. Um dem Nutzer den Zugriff auf den Dienst zu ermöglichen, muss er­zuvor­vom­Diensteanbieter­authentifi­ziert­werden. Zu diesem Zweck ruft der Diens te-anbieter­einen­QR-Code­vom­Authentifi­zie-rungsmanager ab, der dem Nutzer zum Bei-spiel auf der Webseite präsentiert wird. Der Nutzer kann dann mithilfe der APP den QR-Code­einlesen,­um­die­Authentifi­zierung­zu­starten. Die APP verarbeitet die darin ent-haltenen Informationen und kommuniziert mit­ dem­ Authentifi­zierungsmanager,­ um­den­Nutzer­ schließlich­ zu­ authentifi­zieren­(Bild 1).­

Das­Authentifi­zierungsergebnis­und­die­an-gefragten Nutzerdaten werden dann vom Authentifi­zierungsmanager­an­den­Dienste-anbieter­übermittelt.­Die­Authentifi­zierung­an sich wird über ein PKI-basiertes Challen-ge-Response-Verfahren unter Verwendung des persönlichen Schlüsselmaterials des Nutzers, umgesetzt.

Konzept der Smartphone Bürger­ID App für NRW

In Bild 2 ist das Konzept der Smartphone Bürger-ID App für NRW dargestellt. Die An-wendungsfelder im Bereich eGovernment und SmartCity sind dargestellt und die Si-

cherheitsfunktionen­ für­ die­Authentifi­zie-rung, Signatur und Payment als wichtige IT-Sicherheits- und Vertrauensdienste sind als „enabler“ positioniert.

Die Registrierung des Bürgers funktioniert über zwei einfache Schritte: Ein Bürger lädt sich die App auf sein Smartphone, etwa über den Play Store oder den App Store. Beim ersten Starten der App wird der Bürger nun aufgefordert, sein Smartphone zu persona-lisieren. Dafür kann er sich zum Beispiel an einem Self-Service-Terminal im Bürgerzen-trum der Kommune registrieren. Dort wird einmalig der Personalausweis benutzt, um den­Bürger­sicher­und­einfach­identifi­zieren­zu können. Danach wird mit dem Smart-phone ein QR-Code eingescannt, der dann die Smartphone-Bürger-ID-App koppelt. So kann innerhalb weniger Minuten die App lauffähig gemacht werden.

Um eine sichere Kommunikation zu er-möglichen, wird immer als erster Faktor für­die­Authentifi­kation­ein­Challenge-Re-sponse-Verfahren verwendet. Dafür wer-den während der Personalisierung mehrere Zertifi­kate­ zwischen­dem­Server­ und­dem­Smartphone­ausgetauscht.­ So­erhält­ jeder­Faktor­für­die­Authentifi­kation­des­Nutzers­ein eigenes Schlüsselpaar, um später meh-rere, unterschiedlich starke, Sicherheitslevel ermöglichen zu können. Das Smartphone, der biometrische Faktor, zum Beispiel ein

Fingerabdruck oder eine Gesichtserkennung und eine PIN, bieten bis zu drei Faktoren: Be-sitz, Sein und Wissen.

Als­ Einsprungspunkt­ für­ die­Authentifi­ka-tion sind alle möglichen Auslöser denkbar, wie zum Beispiel QR-Codes, NFC (Near Field Communication), Bluetooth Beacons oder Sound.­Bei­ jeder­Authentifi­zierung­oder­Si-gnierung von Daten, wird nun mithilfe der ausgerollten­ Zertifi­kate­ ein­ Schlüsselaus-tausch gestartet. Jede Session wird zu-sätzlich mit neuen Secrets (Geheimnissen) verschlüsselt, um dem Mitlesen von Infor-mationen vorzubeugen. Die üblichen Angrif-fe, wie Man-in-the-middle-Attacken, werden zusätzlich durch das Signieren aller Daten verhindert. Passwörter werden komplett aus dem­Authentifi­kationsprozess­ substituiert.­Übliche Angriffsvektoren auf die Passwörter der Nutzer, etwa durch Keylogger, funktio-nieren somit nicht mehr.

Wird­jetzt­ein­Dienst­der­Stadt­genutzt,­las-sen sich mithilfe der Smartphone Bürger-ID unterschiedliche Sicherheitsniveaus reali-sieren. Handelt es sich um einen besonders schützenswerten Dienst, etwa das Beantra-gen eines polizeilichen Führungszeugnisses, können entsprechend viele Faktoren für die Authentifi­kation­gefordert­werden,­wie­eine­Kombination aus Besitz des Smartphones, der dazugehörigen PIN und des registrier-ten Fingerabdrucks oder eine Gesichtserken-

77IT-SICHERHEIT [5/2019]

AUS FORSCHUNG UND TECHNIK

nung. Somit ist auf modernen Smart phones eine­Multifaktor-Authentifi­zierung­von­min-destens drei Faktoren möglich. Andere, we-niger schützenswerte Dienste, etwa das Bezahlen der Hundesteuer, können schnell erledigt werden, nur mit dem Basis-Challen-ge-Response-Protokoll, ohne weitere Fakto-ren zu fordern.

Sicherheit der verwendeten Schlüssel und Zertifikate

Alle­ Zertifi­kate­werden­während­ der­ Per-sonalisierung hart an ein Smartphone ge-bunden. Hierfür werden möglichst viele In-formationen des Smartphones genutzt, um die Schlüsselpaare vor Diebstahl zu schüt-zen. Zusätzlich wird bei Android-Geräten ein Hardware-backed Keystore verwendet, um­die­Zertifi­kate­mithilfe­von­Hardware-Kryptografi­e­zu­schützen­(Bild­3).­Seit­An-droid 5.0 (erschienen im November 2014) können­kryptografi­sche­Funktionen­mithilfe­des Hardware Keystores durchgeführt wer-den, ohne dass die Schlüssel in den Spei-cher geladen werden müssen. Zusätzlich sind weitere Schutzmechanismen aktiviert. Schlüssel können nur genutzt werden, wenn sich der Besitzer des Smartphones authen-tifi­ziert­ hat,­ etwa­ durch­ Entsperren­ des­Smartphones oder per Freigabe durch die Biometrie.[7]

Die­API­des­Keystores­wird­mit­ jedem­gro-ßem Android Update weiterentwickelt. So kamen zusätzliche Funktionen dazu, wie zuletzt die Verwendung der Gesichtserken-nung.

Bei iOS-Geräten wird die Secure Enclave von Apple verwendet. Diese ermöglicht das Spei-chern von Passwörtern, Schlüsseln und Zerti-fi­katen­in­einem­geschützten,­hardware-ba-sierten Schlüsselmanager. Dieser ist isoliert vom Prozessor, auf dem die Software läuft (Bild 4). Bei Anfragen an die Secure Enclave, etwa zum Verschlüsseln oder Entschlüsseln von Daten, wird immer nur das Ergebnis der Operation übertragen. Die Schlüssel werden nie in den Arbeitsspeicher geladen und er-schweren den Diebstahl damit deutlich für Angreifer. Dieser Schutz ist in allen iOS-Ge-räten möglich, die eine TouchID oder FaceID unterstützen.[8]

Damit wird auf den beiden meistverwen-deten Betriebssystemen für Smartphones sichergestellt, dass einem Angreifer der Datendiebstahl so schwierig wie möglich gemacht wird. Regelmäßige Überprüfun-gen, ob die Geräte nicht „gerooted“ oder

78 IT-SICHERHEIT [5/2019]

AUS FORSCHUNG UND TECHNIK

„gejailbreaked“­wurden,­vervollständigen­das Sicherheitssystem.

Jede Session zwischen dem Server und dem Smartphone wird zusätzlich mit einem Ses-sion-Key und unter Verwendung der Perfect-

Bild 4: Aufruf einer kryptografi schen Funktion in iOS

Bild 3: Aufruf des Keymasters durch die Smartphone App

Forward-Secrecy-Methode verschlüsselt. Damit wird Replay-Attacken vorgebeugt und­jeder­Nachrichtenaustausch­müsste­ex-plizit geknackt werden. Ein möglicher An-greifer im Netzwerk kann keine schützens-werten Daten mitlesen, da sie verschlüsselt sind.

Außerdem enthalten alle Einsprungspunkte einer Kommunikation, etwa die QR-Codes, nur das Minimum an Informationen, die benötigt werden, um eine Verbindung zum Server aufzubauen. Sollte dieser vom An-greifer gescannt werden, kann er keinen Schaden anrichten. Auch gefälschten QR-Codes wird vorgebeugt, da alle QR-Codes vom registrierten Identity-Manager signiert werden, dessen öffentlichen Schlüssel das Smartphone bei der Registrierung übertra-gen bekommt.

Um den Nutzer vor Schadsoftware zu schüt-zen, die seinen Bildschirm aufnehmen oder sich als Keylogger ins System integriert ha-ben, ist zusätzlich noch eine eigene Tastatur entwickelt worden. Diese ist immer zufällig angeordnet und liegt über der Softwareta-statur des Betriebssystems. Dadurch sind Eingaben des Nutzers, etwa die PIN, vor Angriffen geschützt.

Digitale Signatur

Mit der Smartphone Bürger-ID sind auch qualifizierte­ Signaturen­ nach­ eIDAS­mög-lich. Mit dem substanziellen Sicherheitsni-veau können elektronische Fernsignaturen realisiert werden, die eine physische Anwe-senheit einer Person oder des bevollmäch-tigten Vertreters erübrigt. Die geforderte Zwei-Faktor-Authentifizierung­ ist­ebenfalls­sichergestellt. Die Anwendungsfälle sind breit gefächert: Anträge der Stadt lassen sich signieren, auch Geldüberweisungen können digital signiert werden, AGB und Verträge können bequem aus der Ferne mit-hilfe der Smartphone Bürger-ID unterzeich-net werden. Dies steigert nicht nur die Be-nutzerfreundlichkeit, sondern erhöht auch den Schutz, zum Beispiel gegen gefälschte Unterschriften oder bei gestohlenen Unter-lagen. Damit können Bürger in Deutschland und in der ganzen EU Unterlagen rechtsgül-tig signieren.

Payment­Lösungen und weitere sicherheitsrelevante Dienste

Die entwickelte Technologie macht aber hier nicht Schluss: Um ein komplettes Öko-system an digitalen Lösungen umsetzen zu können, ist auch die direkte Bezahlung von Warenkörben geplant. Statt den Nutzer zu zwingen, sich ständig neu registrieren und immer wieder die Rechnungsanschrift inklusive­ Überweisungsdaten­ einpflegen­zu müssen, können Anbieter mit wenigen Schritten ihre Payment-Lösung ins System integrieren.­ Die­ verifizierten­Nutzerdaten­können über Föderationen mit Partnern er-weitert werden, um den Bürger weiter zu schützen. Auch digitale Zahlungsmittel, wie

Kryptowährungen (Bitcoin, Libra …) sind vorgesehen. Die Datenhoheit bleibt beim Nutzer.

Ausblick

Die Smartphone Bürger-ID ist ein Leucht-turmprojekt­ für­die­gesamte­Bundesrepu-blik. Die Ideen für Anwendungsfälle sind fast grenzenlos. Aber auch die Interopera-bilität der Lösung ist gegeben. Um in Zu-kunft möglichst keine Passwörter mehr be-nutzen zu müssen, gibt es die Möglichkeit, mehrere Identity Provider zu koppeln. So ist etwa denkbar, dass auch der Stromdienst-leister der Stadt sein System anknüpft, um Auftragsbestätigungen digital ans Smart-phone zu schicken und sich vom Bürger be-

© 2

019

Gen

etec

Inc.

genetec.com/de

Sicherheitsmanagement für Unternehmen, Städte

und OrganisationenGenetec Security Center ist eine modulare Lösung für

das zentralisierte Sicherheitsmanagement. Je nach Anforderungsprofil werden Videoüberwachung und

-analyse, Zutrittskontrolle, Nummernschilderkennung und weitere Systeme auf einer einzigen Plattform vereint. Die einfache Integration aller am Markt üblichen IP-Kameras bietet höchste Flexibilität.

Ad_DE_Security-Management_90x129mm.indd 2 2019-02-08 11:33 AM

Anzeige

79IT-SICHERHEIT [5/2019]

AUS FORSCHUNG UND TECHNIK

80 IT-SICHERHEIT [5/2019]

AUS FORSCHUNG UND TECHNIK

NORBERT POHLMANN, Informatikprofessor für Informationssicherheit und Leiter des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco.

ALEXANDER STÖHR, technischer­Projektleiter­für­Smartphone­Bürger-ID im Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule Gelsenkirchen. Er beschäftigt sich mit Multifaktor-Authentifi­kation­sowie­mit­digitalen­Signaturen für mehr Sicherheit und Vertrauens-würdigkeit in der Digitalisierung.

Literatur[1] Barbier, J. u.a.: „Cybersecurity as a growth advantage“, abgerufen am 09.08.2019 von:

https://www.cisco.com/c/dam/assets/offers/pdfs/cybersecurity-growth-advantage.pdf[2] N. Pohlmann: „Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigen-

schaften von Cyber-Sicherheitssystemen in der Digitalisierung“, Springer Vieweg Verlag, Wiesbaden 2019[3] Statista: Anteile der verschiedenen Android-Versionen an allen Geräten mit Android OS weltweit im Zeit-

raum 01. bis 07. Mai 2019, abgerufen am 09.08.2019 von: https://de.statista.com/statistik/daten/stu-die/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/

[4] David Smith: iOS Version Stats, abgerufen am 09.08.2019 von: https://david-smith.org/iosversionstats/[5] BSI / juris: Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz

– OZG), abgerufen am 09.08.2019 von: https://www.gesetze-im-internet.de/ozg/BJNR313800017.html[6] M. Hertlein, P. Manaras, N. Pohlmann: „Die Zeit nach dem Passwort – Handhabbare Multifaktor-Authen-

tifi zierung für ein gesundes Eco-System”, DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation, Vieweg Verlag, 4/2016

[7] Google: Hardware-backed Keystore, abgerufen am 09.08.2019 von: https://source.android.com/security/keystore

[8] Apple: Storing Keys in the Secure Enclave, abgerufen am 09.08.2019 von: https://developer.apple.com/documentation/security/certifi cate_key_and_trust_services/keys/storing_keys_in_the_secure_enclave

[9] Deutsche Bundesbank: PSD2, abgerufen am 09.08.2019 von: https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434

stätigen zu lassen. So können ganz neue Prozesse medienbruchfrei digitalisiert wer-den, ohne Briefe oder E-Mails verschicken zu müssen.

Mit den neuen Möglichkeiten der Authen-tifi­zierung­ gibt­ es­ auch­ neue­ Ideen­ und­Richtlinien, die damit umsetzbar sind. Am 14. September 2019 trat die neue Zahlungs-dienstrichtlinie in Kraft, besser bekannt als PSD2 (Payment Services Directive 2). Diese soll die Sicherheit im Zahlungsverkehr er-höhen und den Verbraucherschutz stärken,

etwa durch Entfernen veralteter TAN-Ver-fahren. Ebenso bietet sie Dienstleistern die Möglichkeit, von Banken Salden und Um-satzdaten abzufragen.

Zusätzlich­verpfl­ichtet­die­PSD2­zur­„star-ken­ Kundenauthentifi­zierung“.­ Diese­ for-dert mindestens zwei unabhängige Merk-male­aus­den­Authentifi­kationskategorien­Wissen, Besitz und Sein.[9]

Die Smartphone Bürger-ID ist ein wichtiger Baustein für eine sichere und vertrauens-

würdige Digitalisierung und wird sicherlich noch in vielen weiteren Anwendungsfeldern helfen, die Risiken zu minimieren. n

Bild 5: Übersicht aller Kundenkonten durch

eine Kontoinformations-dienstleister

CASE STUDY – ADVERTORIAL

HSM bietet hierfür ein umfangreiches Sortiment mit über 100 Modellen an­Aktenvernichtern­für­jeden­Anspruch.­Von­der­privaten­Nutzung­im­Haushalt für Kontoauszüge, Rechnungen, Verträge, medizinische Unter-lagen etc. bis hin zur professionellen Datenvernichtung für Patentinfor-mationen, Forschungsergebnisse, Bilanzen etc. stehen passende Modelle für­jedes­Budget­zur­Verfügung.­

Beispielsweise der Aktenvernichter HSM SECURIO B24 für den Arbeits-platz. Der leise Schredder zeichnet sich durch hohe Leistung und maxi-

male Funktionalität aus. Er eignet sich für die Nutzung direkt am Arbeitsplatz für bis zu fünf Personen. Dank seines geringen Stromverbrauchs wurde er mit dem Blauen Engel ausgezeichnet. Das kleine Kraftpaket­vernichtet,­je­nach­Schnittva-riante, bis zu 27 Blatt in einem Durch-gang. Ausgestattet mit Anti-Papierstau-Funktion und kraftvollen Antriebskom-ponenten, ist er für einen dauerhaften Betrieb ausgelegt. Die Schneidwellen sind­unempfi­ndlich­gegen­Büro-­und­Heftklammern und verfügen über eine lebenslange Garantie. Zusätzlich gewährt HSM, wie auf alle Modelle der SECURIO Produktfamilie, drei Jahre Garantie.

Unter www.hsm.eu/datenschutz­fi­nden­Sie­­weitere­nützliche Informationen rund um das Thema Datenschutz.

Seit Jahrzehnten spricht man von der Wunschvorstellung eines papierlosen Büros, aber die Realität sieht anders aus. Papier ist immer noch der Datenträger Nr. 1 und somit ist der Papierkorb Geheimnisträger Nr. 1. Studien belegen, dass der Papierverbrauch noch nie so hoch war wie in den letzten Jahren. Sei es zu Hause oder im Büro, der Datenschutz ist überall dort notwendig, wo Daten anfallen und aus Gründen der Sicherheit zuverlässig vernichtet werden müssen.

HSM GmbH + Co. KGAustraße 1-988699 Frickingen/GermanyTel. +49 7554 2100-0Fax: +49 7554 2100-160info@hsm.euwww.hsm.eu

DATENSCHUTZ IM ZEITALTER DER DS-GVO

82 IT-SICHERHEIT [5/2019]

BUCHVORSTELLUNG

Der Schwerpunkt der Untersuchung liegt auf einem möglichen Widerspruch zwi-schen dem rechtlichen Anspruch der Be-troffenen auf eine irreversible Löschung ihrer personenbezogenen Daten durch den Verantwortlichen und der technischen Machbarkeit bei der Umsetzung dieses Anspruchs. Der Autor legt dabei auf eine praxisnahe Darstellung der Löschmöglich-keiten auf einzelnen Medien, in Verbindung mit vielen Beispielen, wert. Es soll daraus geschlussfolgert werden, ob der Löschan-spruch seine im Gesetz normierte Wirkung entfalten kann und damit ein funktionaler Bestandteil der informationellen Selbstbe-stimmung ist, oder – zumindest teilweise – als „Utopie“ anzusehen ist. In den Über-legungen der Durchsetzbarkeit von Daten-löschungsansprüchen spielt dabei auch der

Kontext weltweit verknüpfter Datenbanken und territorialer Grenzen eine bedeutende Rolle.

Der Autor legt in nachvollziehbarer Weise einen gesteigerten gesetzlichen Regelungs- und­Defi­nitionsbedarf­dar.­Der­gestellten­Frage, ob der Anspruch auf Löschung in seiner heutigen Form beibehalten werden soll, wird mit Überlegungen zu einigen Alternativen begegnet.

Interessant ist dabei der Vorschlag, das Lö-schen­durch­ein­legaldefi­niertes­Unbrauch-barmachen, ein Begriff der seinen Ursprung aus der höchstrichterlichen Rechtsprechung zum Urheberrecht hat, zu ersetzen, wel-ches technikneutral ist und dem Verhältnis-mäßigkeitsgrundsatz unterliegt. Außerdem

sollen danach Selbstregulierungsmecha-nismen in Form von akkreditierten Zer-tifi­zierungen­gestärkt­und­die­Transpa-renz gegenüber Betroffenen in Form von Ansprüchen auf Nachweise unbrauchbar gemachter Daten erhöht werden.

Zusammengefasst gibt das Werk einen gu-ten Überblick über die aktuelle rechtliche Situation der Löschung im Datenschutz-recht sowie die Grenzen der technischen Machbarkeit und erörtert im Anschluss einige akademische Ansätze zur Lösung. n

Philipp Lehmann (LL.M.), Senior Consultant Datenschutzmanagement, DMC Datenschutz Management & Consul-ting GmbH & Co. KG

Als Teil der Reihe „Frankfurter Studien zum Datenschutz“, ist der Autor in dem Werk in sieben Kapiteln der Frage nachgegangen, inwiefern der datenschutzrechtliche Löschanspruch sowie das Recht auf Vergessenwerden als effektives Mittel des (Selbst-)Datenschutzes – unter Berücksichtigung der aktuellen datenschutzrechtlichen Reglungen und insbesondere der DS-GVO – im Einklang mit der tatsächlichen rechtlichen und technischen Durchsetzbarkeit steht.

TIPP:

Band 54 von Frankfurter Studien zum Datenschutz

DAS LÖSCHEN IM DATENSCHUTZRECHT

Sven Hunzinger, Das Löschen im DatenschutzrechtBand 54 von Frankfurter Studien zum DatenschutzNomos Verlag, 1. Aufl age 2018, 332 S., 86,- €

83IT-SICHERHEIT [5/2019]

Das Webportal von IT-SICHERHEIT

IM WEB GEHT'S WEITER!Sie haben die IT-SICHERHEIT schon durchgelesen? Unter www.itsicherheit-online.com finden Sie parallel zu den Printausgaben der IT-SICHERHEIT tagesaktuelle Informationen rund um das Thema IT-Sicher heit. Neben Fachartikeln, Studienergebnis-sen, White papers und Meldungen zu Unternehmen und Produkten können Abonnenten hier ab sofort auch in unserem neuen Zeitschriften-Archiv stöbern.

Schauen Sie am besten gleich jetzt und regelmäßig bei uns rein!

eSIM ist eine Schlüsseltechnologie für das vernetzte Auto (Quelle: G+D Mobile Security)

eSIM als Schlüsseltechnologie des Connected Car

Basis für höchste Sicherheits- und Datenschutzstandards

Die eSIM­Technologie setzt sich in immer mehr Anwendungsbereichen durch. Ihr Grundprinzip: Geräte oder Maschinen, die eine Mobilfunkverbindung benötigen, werden mit fest verbauten SIM­Chips ausgestattet. Auf diese lassen sich die Profile der Netzbetreiber dann „over the air“ aufspielen. Eine Branche, die von dieser Technologie ganz besonders profitiert, ist die Automobilindustrie mit ihren zunehmend vernetzten Fahrzeugen. G+D Mobile Security zeigt, warum eSIM eine Schlüsseltechnologie für das Connected Car darstellt.

www.itsicherheit-online.com/GuDMobileSecurity2019-05

Thomas Gomell, Geschäftsführer aikux.com

(Foto: aikux.com)

Dank neuer Datenkultur die Sicherheit und Effizienz für Unternehmen heben

Ordnung ins Datenchaos

Die Unternehmensserver ächzen zunehmend unter einer steigenden Last an Daten: Zu relevanten, geschäftskritischen Daten gesellen sich veraltete und redundante Dateien sowie Dateien ohne bekannten Nutzwert – sogenannte Dark Data. Gerade diese stellen aber nicht nur wegen ihres Speicherbedarfs eine Belastung dar – sie bedeuten für das Unternehmen einen veritablen Kostenfaktor und nicht selten auch ein Sicherheitsrisiko. Daher benötigen Unternehmen Strategien, um dessen Herr zu werden und nachhaltig mit Daten umzugehen.

www.itsicherheit-online.com/aikux2019-05

WEBPORTAL

Nick Caley, Vice President Financial

Services & Regulatory bei ForgeRock

(Foto: ForgeRock)

Payment Service Directive (PSD), die Zweite

Neues Banking muss sich in der Praxis bewähren

Die PSD2­Richtlinie soll vor allem das Open Banking vorantreiben: Künftig soll es möglich sein, dass Fintech­Dienstleister mit Zustimmung des Kunden auf das Konto und die dort abgelegten Informationen zugreifen dürfen. Nick Caley beantwortet Fragen zur Herausforderung der Banken bzgl. der EU­Richtlinie PSD2.

www.itsicherheit-online.com/ForgeRock2019-05

Weitere FACHINFORMATIONEN zum THEMA IT-SICHERHEIT

84 IT-SICHERHEIT [5/2019]

FALLBEISPIEL:

Fallbeispiele zum IT­Recht

Das Behördenverfahren der DS-GVO

IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT

staltet ist. Das Schreiben enthält einige Fragen zu Art und Umfang der Speicherung der Kundendaten und gewährt U die Möglichkeit der „Anhörung gemäß § 28 VwVfG“. Damit erfüllt das Schreiben eine Doppelfunktion: Zum einen ermöglicht es der Behörde, mög-liche Bußgelder auf die Antworten von U zu stützen, zum anderen kommt­die­Behörde­ihrer­gesetzlichen­Pfl­icht­nach,­U­die­Möglich-keit zur Stellungnahme im sogenannten Verwaltungsverfahrenzu geben. Auf dieses Schreiben hätte U grundsätzlich reagieren müssen. Zum einen ist die fehlende Kooperation mit den Aufsichts-behörden bußgeldbewehrt nach der DS-GVO. Zum anderen droht die Behörde in der Regel in solchen Fällen mit einem „Auskunfts-heranziehungsbescheid“ und einem Zwangsgeld von bis zu 50.000 Euro bei Nichtbefolgung.

Allerdings stellt U zurecht die Frage nach möglichen Auskunfts-verweigerungsrechten. Solche bestehen und müssen von der Behörde auch ausdrücklich nochmal erwähnt werden. Wann sie bestehen­ ist­ insgesamt­noch­ungeklärt.­Grundsätzlich­ jedenfalls­dann, wenn durch die Antwort eine Gefahr für den Antwortenden oder Angehörige besteht, sich strafrechtlich oder bezüglich einer Ordnungswidrigkeit selbst zu belasten. Der Geschäftsführer von U erkennt nach Rücksprache mit R eine solche Gefahr nicht, ein Aus-kunftsverweigerungsrecht liegt daher nicht vor, U muss antworten. Da allerdings das zweite Schreiben erst vor ein paar Tagen einge-gangen und die Aufsichtsbehörde eine Frist von 14 Tagen zur Ant-wort gesetzt hat, kann R das weitere Vorgehen nun vorbereiten.

R wird dabei den Grundsatz der DS-GVO beachten, dass Auskünfte vollständig und rechtzeitig zu erteilen sind und die entsprechenden

LÖSUNG

Das Unternehmen U verkauft online Kinderbekleidung und Spielzeug. Dabei speichert es unter anderem das Al-ter der Kinder, um in Zukunft altersgerechte Angebote per E-Mail versenden zu können. Nachdem sich einige Eltern darüber bei den Aufsichtsbehörden beschwert ha-

ben, bekommt U Post von der Aufsichtsbehörde, die es zunächst ignoriert. Nachdem U heute wieder einen Brief der Aufsichtsbehörde mit der Überschrift „Auskunftser-suchen“ erhalten hat, wendet sich der Geschäftsführer an Rechtsanwalt R und bittet um Beratung.

Das Verwaltungsverfahren

Vorliegend hat die Aufsichtsbehörde nicht selbst („von Amts we-gen“), sondern durch eine Beschwerde einer betroffenen Person von einem möglichen Verstoß erfahren. Da die Behörde in der Folge in Form von Schreiben aktiv geworden ist, lagen also die Voraus-setzungen einer wirksamen Beschwerde (Sachverhaltsdarstellung durch­die­betroffene­Person­derart,­dass­ein­Verstoß­jedenfalls­nicht­ausgeschlossen werden kann) vor. Für U sollte dies bereits eine kleine Vorwarnung sein. U legt auf Bitten von Rechtsanwalt R das erste Schreiben der Aufsichtsbehörde dem R vor. Es ist betitelt mit „Auskunftsersuchen“, einer kurzen Darstellung des Sachverhalts bezüglich eines „möglichen Datenschutzverstoßes“ und dem Hin-weis, dass die Behörde davon ausgeht, U werde „den Hinweis in Zukunft befolgen“. Rechtsanwalt R verweist darauf, dass er dieses Schreiben zwar gerne vorher eingesehen hätte, um U die Sicht der Behörde zu erklären. Er führt aber zugleich aus, dass darin – wie häufi­g­bei­Verstößen­im­Rahmen­der­Informationsgewinnung­–­nur­von einem „möglichen Verstoß“ ausgegangen wird. Dennoch ist zur Kooperation mit den Aufsichtsbehörden zu raten, insbesonde-re um zukünftige Verstöße zu vermeiden. U hätte daher auf das Schreiben der Behörde antworten können und weitere Informatio-nen zur Auffassung der Behörde einholen sollen. Dennoch bestand in­diesem­Verfahrensstadium­noch­keine­Rechtspfl­icht­zur­Antwort,­und U durfte das Schreiben unbeantwortet lassen, auch wenn dies nicht ratsam war.

U legt daraufhin das zweite Schreiben vor, das ebenfalls mit „Aus-kunftsersuchen“ betitelt, aber inhaltlich und formal anders ge-

IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT

dagegen, das Verfahren an die Behörde zurückzuverweisen oder einzustellen. Es eröffnet vielmehr die mündliche Verhandlung. Hier wird R noch einmal alle Argumente vortragen, die gegen einen Datenschutzverstoß sprechen. Insbesondere wird R hier auch noch einmal deutlich geltend machen, dass die Aufsichtsbehörde und die Staatsanwaltschaft unter Umständen bestimmte Beweise nicht verwerten dürfen (Verwertungsverbot), etwa bei unrechtmäßig abgehörten Telefongesprächen oder unberechtigtem Zugriff auf die Server von U. Damit gelingt es R schließlich, das Gericht davon zu überzeugen, dass U die Daten der Kunden rechtmäßig gespeichert hat. U wird freigesprochen, zum Vollstreckungsverfahren kommt es damit nicht mehr.

R erklärt U, dass es selbst bei einer Verurteilung noch das Rechts-mittel der Beschwerde gegeben hätte. Wäre auch dieses erfolglos geblieben, hätte U allerdings das Bußgeld und die Kosten des Ver-fahrens übernehmen müssen.

Fazit

Nicht alle Behördenschreiben sind von gleicher Bedeutung und In-tensität.­Dennoch­empfi­ehlt­es­sich,­rechtzeitig­Rechtsrat­einzuho-len, um zu erkennen in welchem Verfahrensstadium sich die Unter-suchung­befi­ndet­und­wie­darauf­zu­reagieren­ist.­Dabei­ist­stets­zu­berücksichtigen, dass eine Kooperation mit den Aufsichtsbehörden zwar bußgeldmindernd ausfällt, aber zugleich niemand dazu ver-pfl­ichtet­werden­kann,­sich­selbst­zu­belasten.­Eine­ausgewogene­rechtliche Beratung kann daher der Schlüssel zum Erfolg sein. n

Antworten der Aufsichtsbehörde zukommen lassen. Diese kann da-raufhin weitere Fragen stellen, den beschriebenen Auskunftsheran-ziehungsbescheid (falls die Fragen nicht ausreichend beantwortet wurden) erlassen oder die Prüfung im Verwaltungsverfahren für beendet erklären, indem sie einen Verstoß feststellt und den Sach-verhalt an die Sanktionsstelle der Behörde weiterleitet. Mit diesem Schritt beginnt das Bußgeldverfahren. Da U ein solches befürch-tet, fragt es R nach weiterem Rat.

Das Bußgeldverfahren

Der EU-Gesetzgeber hat es den Mitgliedstaaten überlassen, das Bußgeldverfahren im Rahmen der DS-GVO selbst auszugestalten. In Deutschland wird hierfür das OWiG (Gesetz über Ordnungswidrig-keiten) herangezogen. Dieses Verfahren ist wiederum in verschie-dene Abschnitte unterteilt, deren erster das Ermittlungsverfahrendarstellt. Dabei wird U erneut Gelegenheit zur Stellungnahme ge-geben und ein Schweigerecht eingeräumt. Anders als bei der übli-chen Anwendung des OWiG muss hier aber U selbst beweisen,dass es keinen Verstoß gegen die DS-GVO begangen hat (und nicht umgekehrt­die­Behörde­den­Verstoß­beweisen).­Es­empfi­ehlt­sich­daher, Stellung zu nehmen. R wird also das Vorgehen von U zur Speicherung der Kundendaten genau prüfen und dann feststellen, dass diese aufgrund einer wirksamen, transparenten, freiwilligen und gut dokumentierten Einwilligung der Eltern erhoben und ge-speichert wurden. Das Bußgeldverfahren kann im schlimmsten Fall dennoch mit einer Geldbuße beziehungsweise einem Bußgeldbe-scheid enden. Zwei Wochen später meldet sich U bei R – und ver-meldet: Ein Bußgeldbescheid ist eingegangen. Höhe 20.000 Euro!

R erhebt sofort Einspruch gegen den Bescheid bei der Erlassbehör-de, damit diese im sogenannten „Zwischenverfahren“ eine Neube-wertung des Vorfalls vornehmen kann. Er verfasst eine E-Mail, bei der er sowohl gegen den Grund (angeblich unberechtigte Speiche-rung von Kundendaten) als auch gegen die Höhe Einspruch einlegt. Eine­Begründung­muss­R­nicht­liefern,­es­empfi­ehlt­sich­jedoch,­um­auf die Reaktion der Behörde erneut reagieren zu können. Ohne Begründung trifft die Behörde ihre Neubewertung erneut nach dem vorhandenen Aktenstand. Dadurch wird ein abweichender Bescheid unwahrscheinlich. Dafür hätte R insgesamt 14 Tage Zeit.

Überdenkt die Behörde auch nach dem Einspruch ihre Entschei-dung nicht, wird das Verfahren an die Staatsanwaltschaft weiter-geleitet. Diese prüft (erneut) die Zulässigkeit und Begründetheit des Einspruchs. Wenn sie keinen hinreichenden Tatverdacht (das heißt ein Tatverdacht, der eine Verurteilung wahrscheinlicher macht als einen Freispruch) für einen Verstoß annimmt, kann sie die Einstel-lung des Verfahrens anordnen, allerdings nur gemeinsam mit der zuvor zuständigen Aufsichtsbehörde. R hofft auf ein solches Vorge-hen, dieses bleibt aber aus.

Die Staatsanwaltschaft ist der Ansicht, dass hinreichender Tatver-dacht besteht und erhebt daher Anklage beim Amtsgericht. Das Gericht prüft die Zulässigkeit des Einspruchs. Es entscheidet sich

85IT-SICHERHEIT [5/2019]

www.swd-rechtsanwaelte.dewww.lawpilots.comwww.isico-datenschutz.de

Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet.

Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.

SIMONE ROSENTHAL ist Partnerin bei Schürmann Rosenthal Dreyer (www.srd-rechtsanwaelte.de) und hat sich als Expertin für Daten schutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwer-punkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts.

86 IT-SICHERHEIT [5/2019]

Gesetze, Urteile und Verordnungen

Gesetze, Urteile und Verordnungen

Datenverarbeitung (gemeinsam) verantwortlich ist, selbst wenn er die­ nachfolgende­Verarbeitung­ nicht­ beeinfl­ussen­ kann.­Verant-wortlicher ist eine Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezoge-nen Daten entscheidet.

Auch sollte geklärt werden, wie weit diese Verantwortlichkeit gin-ge und wofür genau sie bestünde. Darüber hinaus ging es auch um die Frage, auf welche berechtigten Interessen bei der Einbindung des Like-Buttons abzustellen ist, wer eine mögliche Einwilligung einzuholen hätte und inwieweit den Website-Betreiber Informati-onspfl­ichten­treffen.

Was entschied der EuGH in seinem Urteil?

Der EuGH traf seine Entscheidung ausgehend von zwei früheren Urteilen und den Schlussanträgen des Generalanwalts Bobek.

In seinem Urteil vom 05.06.2018 (Rs. C-210/16, Wirtschaftsakade-mie Schleswig-Holstein) entschied das Gericht, dass der Betreiber einer Facebook-Fanpage an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung beteiligt ist. Begründet wurde dies auch damit, dass durch den Besuch der Fanpage Cookies angelegt werden, wodurch der Betreiber Statistiken über personenbezogene Daten erhält, mit denen er sein Angebot zielgerichtet vermarkten kann. Facebook und der Fanpage-Betreiber seien deshalb gemein-sam verantwortlich, wobei der Grad der Verantwortlichkeit nach den Umständen des Einzelfalls zu bestimmen ist, etwa nach Phase und Ausmaß der Verarbeitung.

Im­ Urteil­ vom­ 10.07.2018­ (Rs.­ C-25/17,­ Jehovan­ todistajathob)­kam der EuGH zu dem Schluss, dass eine Religionsgemeinschaft, indem sie die Verkündungstätigkeit ihrer Mitglieder organisiert und zu dieser ermuntert, gemeinsam mit diesen verantwortlich ist, wenn diese sich Notizen über aufgesuchte Personen machen und entscheiden, welche Daten sie verarbeiten. Im Übrigen setze eine gemeinsame Verantwortlichkeit nicht voraus, dass alle Beteiligten Zugang zu den personenbezogenen Daten haben.

Im aktuellen Urteil vom 29.07.2019 entschied der EuGH, dass ein Website-Betreiber, der das Facebook-Plug-in mit dem Like-Button

EuGH-Urteil zur Einbindung von Like-Buttons:Welche Pflichten haben Seitenbetreiber?

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 in der Rechtssache Fashion ID (C-40/17) ein wichtiges Urteil zum An-wendungsbereich und den Grenzen der gemeinsamen Verantwort-lichkeit im Datenschutz gefällt. Konkret entschied er, dass für die Einbindung eines Facebook-Like-Buttons auf einer Website deren Betreiber und Facebook gemeinsam verantwortlich sind. Zugleich differenzierte der Gerichtshof auch, an welchen Phasen der Daten-verarbeitung der Betreiber tatsächlich beteiligt ist. Dabei reicht die gemeinsame­Verantwortlichkeit­nur­so­weit,­wie­die­jeweils­betei-ligte­ Partei­ noch­Einfl­uss­ auf­ die­Datenverarbeitung­hat.­Daraus­ergeben­sich­auch­spezielle­Verpfl­ichtungen.

Worum ging es?

Der EuGH beschäftigte sich damit, inwiefern die Verwendung des Facebook-Plug-ins für den „Gefällt mir“-Button (Like-Button) da-tenschutzrechtlich zu bewerten ist, und beantwortete hierzu Vorla-gefragen des Oberlandesgerichts (OLG) Düsseldorf zur Auslegung der damals gültigen Datenschutz-Richtlinie. Das Urteil hat aber auch unter der Datenschutz-Grundverordnung (DS-GVO) große Bedeutung, da auch bei dieser die gemeinsame Verantwortlichkeit häufi­g­umstritten­ist.

Was macht der Like-Button?

Der­Like-Button­kann­über­ein­Facebook-Plug-in­auf­jeder­Web­site­implementiert werden. Dadurch können Website-Nutzer Inhalte auf Facebook leichter „liken“ und teilen. Das eingebundene Plug-in übermittelt automatisch zumindest die IP-Adresse und Informa-tionen zum Browser und dem benutzten Endgerät des Besuchers an Facebook, auch wenn der Button gar nicht angeklickt wird und auch, wenn der Besucher kein Facebook-Konto hat.

Welche Fragen wurden dem EuGH vorgelegt?

Das OLG Düsseldorf, das sich zuletzt mit der Klage gegen den Web-site-Betreiber Fashion ID beschäftigt hat, legte dem EuGH die Fra-ge vor, ob ein Betreiber, der ein solches Plug-in einbindet, für die

IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT

87IT-SICHERHEIT [5/2019]

einbindet, die Übermittlung personenbezogener Daten an Face-book ermöglicht und dafür mitverantwortlich ist. Mit der Einbin-dung­des­Plug-ins­optimiere­der­Betreiber­ jedenfalls­ seine­Wer-bung durch die Verbreitung auf Facebook. Zudem sei es nicht relevant, ob der Website-Betreiber Zugang zu den übermittelten Daten hat.

Für welche Verarbeitungsvorgänge ist derBetreiber verantwortlich?

Der Betreiber ist dem EuGH zufolge nur für den Vorgang verant-wortlich, für den er einen tatsächlichen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung leistet. Folglich ist er durch das Einbinden des Like-Buttons nur für die Erhebung und Übermittlung der personenbezogenen Daten an Facebook verant-wortlich, wobei Facebook und der Website-Betreiber gemeinsame wirtschaftliche Interessen verfolgen.

Für andere Vorgänge in der Verarbeitungskette von Facebook, für die er weder Mittel noch Zwecke festlegt, ist er hingegen nicht im Sinne der DS-GVO verantwortlich. Eine weitergehende zivilrecht-liche Haftung bleibt davon unberührt. Bei Besuchern ohne Face-book-Konto ist die Verantwortlichkeit des Betreibers höher als bei solchen mit Konto.

Welche Rechtsgrundlage gilt für die Datenverarbeitung?

Sollte­als­Rechtsgrundlage­eine­Einwilligung­(Art.­6­Abs.­1­S.­1­lit. a­DS-GVO) gewählt werden, ist diese gegenüber dem Website-Be-treiber abzugeben. Der EuGH entschied nicht, dass eine Einwilli-gung für Like-Buttons zwingend erforderlich ist. Diese Frage könn-te nun das OLG Düsseldorf klären.

Der EuGH stellt fest, dass beim Like-Button nach Art. 5 Abs. 3 der ePrivacy-Richtlinie eine Einwilligung erforderlich wäre, sofern dabei Cookies gespeichert würden. Diese Vorgabe der Richtli-nie, die grundsätzlich nicht unmittelbar anwendbar ist, wurde in Deutschland­ jedoch­nicht­ ins­Telemediengesetz­ (TMG)­übernom-men. Zudem kennt die Richtlinie auch Ausnahmen für zwingend erforderliche Cookies. Das Erfordernis und die Ausgestaltung der Einwilligung für das Setzen bestimmter Cookies sind in Deutsch-land umstritten. Der EuGH ließ diese Frage bewusst offen.

Rechtfertigt man die Einbindung des Like-Buttons mit dem berech-tigten­ Interesse­ (Art.­6­Abs.­1­S.­1­ lit.­ f­DS-GVO),­ so­ sei,­ je­nach­Verarbeitungsvorgang, auf die Interessen von Facebook und des Website-Betreibers abzustellen. Dabei können Marketing und Wer-bung grundsätzlich berechtigte Interessen sein. Die Datenverar-beitung­muss­jedoch­für­die­Verwirklichung­der­berechtigten­Inte-ressen erforderlich sein und die Interessen des Website-Besuchers dürfen nicht überwiegen. Fraglich bleibt, inwiefern die Verarbei-tung nach Übermittlung der Daten in die Abwägung einbezogen werden muss.

Welche Pflichten treffen die an der Verarbeitung beteiligten Akteure?

Der Website-Betreiber muss nach dem Urteil über die Datenverar-beitung im Rahmen seiner Verantwortlichkeit informieren. Er muss in seiner Datenschutzerklärung aufklären, dass durch das Plug-in Daten erhoben und übermittelt werden. Die konkrete Ausgestal-tung­ließ­der­EuGH­jedoch­offen.­Für­die­weitere­Verarbeitung­soll-te auf die Datenschutzerklärung von Facebook verwiesen werden.

Zudem müssen die gemeinsam Verantwortlichen gemäß Art. 26 DS-GVO in einer Vereinbarung festlegen, wer welche DS-GVO-Pfl­ichten­ erfüllt.­Weil­ eine­ vergleichbare­Vorschrift­ in­ der­Daten-schutz-Richtlinie noch nicht existierte, könnte in einer solchen Vereinbarung festgelegt werden, dass eine Seite vorrangig die In-formationspfl­ichten­erfüllt­und­die­andere­lediglich­auf­die­Infor-mationen verweist. Hier bleibt abzuwarten, welche Vereinbarun-gen die Plug-in-Anbieter anbieten werden.

Fazit

Die Einbindung des Facebook-Plug-ins mit Like-Button ist von da-tenschutzrechtlicher­Relevanz.­Dieses­Urteil­hat­ jedoch­auch­Fol-gen für andere Plug-ins, die in Online-Dienste (Websites, Apps) eingebunden werden und personenbezogene Daten an weitere Akteure erheben und übermitteln. Jedem Anbieter von Online-Diensten ist daher anzuraten, seine eingebundenen Plug-ins und Tools zu überprüfen und gegebenenfalls Maßnahmen einzuleiten, um die Datenschutz-Konformität sicherzustellen. n

IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT

www.swd-rechtsanwaelte.dewww.lawpilots.comwww.isico-datenschutz.de

Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet.

Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.

SIMONE ROSENTHAL ist Partnerin bei Schürmann Rosenthal Dreyer (www.srd-rechtsanwaelte.de) und hat sich als Expertin für Daten schutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwer-punkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts.

88 IT-SICHERHEIT [5/2019]

EuGH­Urteil zur digitalen Arbeitszeiterfassung

Korrekt „Maßnehmen“

IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT

Eines vorweg: Das Urteil betrifft grundsätzlich alle Unternehmen. Diese sollten nun prüfen, ob sie die Anforderungen, die sich aus dem Urteil ergeben, bereits heute erfüllen, oder ob sie tatsächlich Änderungen­vornehmen­müssen.­Die­Gesetzgeber­ innerhalb­der­EU sind derzeit dazu aufgefordert, die nationale Rechtslage an das Urteil anzupassen. Unternehmen könnten natürlich zunächst diese neue Rechtslage abwarten. Einige Arbeitsrechtler erwarten aber, dass deutsche Arbeitsgerichte das Urteil des EuGH bei Rechtsstrei-tigkeiten­über­die­Arbeitszeit­schon­jetzt­berücksichtigen­werden­und im Streitfall die Arbeitszeit auf Basis einer Arbeitszeiterfassung belegt werden muss.

Zweck einer systematischen Arbeitszeiterfassung

Der EuGH möchte Arbeitnehmer mit diesem Urteil in die Lage ver-setzen, ihre Rechte durchzusetzen – vor allem mit Blick auf den Gesundheitsschutz. Die Erfassung von Arbeitszeiten dient typi-scherweise folgenden Zwecken: Die Ermittlung der Vergütung etwa betrifft­jedes­Unternehmen­und­jeden­Arbeitnehmer,­der­nach­Ar-beitszeit vergütet wird. Gleiches gilt für die Ermittlung der Arbeits-zeit und Ruhezeit gemäß dem Arbeitszeitgesetz. Auch die Bewer-tung von Auswärtstätigkeiten, wie die Berechnung der steuerfreien Pauschale­ für­ Verpflegungsmehraufwände,­ Übernachtungspau-schalen oder Auslösung ist wichtig. Hinzu kommt die Kostenrech-nung,­also­die­Ermittlung­der­Personalkosten­je­Kostenträger,­Pro-jekt­oder­Auftrag,­was­jedoch­nicht­in­allen­Unternehmen­relevant­ist. Unternehmen sollten demnach ein System wählen, mit dem alle relevanten Zwecke bedient werden können.

Vorschriften des EuGH für die Erfassung

Es­wird­ein­objektives,­verlässliches,­zugängliches­und­vertrauli-ches System gefordert, mit dem die täglich geleistete Arbeitszeit

gemessen­werden­kann.­Das­bedeutet,­dass­die­Arbeitszeit­objek-tiv gemäß den betrieblichen Vereinbarungen erfasst werden muss, also unabhängig von der Person, die die Erfassung vornimmt. Zu-dem muss das System manipulationssicher sein, verlässlich funk-tionieren und in der Lage sein, alle Arbeitszeiten unabhängig vom Arbeitsort zu erfassen. Um ein ausgeglichenes Kräfteverhältnis si-cherzustellen, muss das System für Arbeitgeber und Arbeitnehmer zugänglich sein. Die Daten müssen zudem vertraulich verarbeitet werden. Unternehmen sollten also unbedingt darauf achten, dass nur berechtigte Personen Zugang haben.

Der Weg zum richtigen Erfassungssystem

Die geeignete Erfassungstechnik hängt davon ab, in welcher Ar-beitssituation die Zeiten erfasst werden müssen: An einem festen Arbeitsplatz können sich Arbeitnehmer beispielsweise an Terminals im Eingangsbereich oder an ihrem Arbeitsplatz-PC an- und abmel-den. Robuste Terminals können auch bei längerdauernden Außen-diensteinsätzen, etwa auf Baustellen, installiert werden. Im Home-office­können­Arbeitnehmer­hingegen­das­Smartphone­oder­den­PC verwenden. Mobile Geräte sind zudem ideal geeignet, wenn auch unterwegs Arbeitszeiten erfasst werden müssen, etwa beim Kunden­oder­im­Projekteinsatz­außerhalb­des­Firmensitzes.­Grund-sätzlich­entsteht­ein­klarer­Vorteil­bei­der­effizienten­Weiterverar-beitung der Daten, wenn eine digitale Lösung zum Einsatz kommt.

Empfehlungen für die Umsetzung

Unternehmen müssen an dieser Stelle eine Reihe von Aspekten im Blick haben: Werden die Anforderungen der DS-GVO berücksich-tigt?­Wo­findet­die­Datenverarbeitung­ statt?­Können­Lese-­und­Schreibrechte auf bestimmte Personen begrenzt werden? Wie be-dienerfreundlich ist das System und wie ist die Akzeptanz in der Belegschaft? Hat der Arbeitnehmer Zugang zu seinen eigenen Da-

Der Europäische Gerichtshof (EuGH) hat entschieden: Bei der digitalen Arbeitszeiterfassung müssen sich Unternehmen in Zu-kunft neuen Anforderungen stellen. Sie werden aufgefordert, ihre Methoden zur Arbeitszeiterfassung zu überprüfen. Worum es genau geht und was im Zusammenhang mit dem Urteil zu beachten ist, beantwortet folgender Beitrag.

ten? Zudem muss der Betriebsrat, sofern im Unternehmen einge-richtet, eingebunden werden. Er hat ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, mit de-nen das Verhalten sowie die Leistung der Arbeitnehmer überwacht werden sollen.

Weitere Infos: www.virtic.com/umfassende-zeiterfassungwww.virtic.com/download/Checkliste_fuer_Betriebsraete.pdf

IT-RECHT/DATENSCHUTZ/IT-SICHERHEIT

Die geeignete Technik zur Arbeitszeiterfassung hängt davon ab, in welcher Arbeitssituation Zeiten erfasst werden müssen. Mobile Geräte sind geeignet, wenn auch unterwegs Arbeitszeit eingetragen werden muss. (Foto: virtic)

MICHAEL STAUSBERG, Geschäftsführer der virtic GmbH & Co. KG

Anzeige

Vernichten statt wegwerfen.Mit HSM Aktenvernichtern.

Schreddern Sie vertrauliche Unterlagen und Datenträger mit den DSGVO-konformen Aktenvernichtern von HSM.

www.hsm.eu/datenschutz

HSM GmbH + Co. KG · 88699 Frickingen / GermanyHotline 00800 44 77 77 66 · info@hsm.eu

Besuchen Sie uns auf der DAFTA – vom 20.-22.11.2019 in Köln.

90 IT-SICHERHEIT [5/2019]

IMPRESSUMIT-SICHERHEITFachmagazin für Informationssicherheit und Datenschutz

Verlag:DATAKONTEXT GmbH Standort FrechenAugustinusstr. 9d · 50226 Frechenwww.datakontext.com

Chefredaktion:Stefan Mutschler (S.M.)E-Mail: stefan-mutschler@t-online.de

Redaktion:Dr. Peter Münch (P.M.), Dr.­jur.­Martin­Zilkens­(M.Z.),

Online-Redaktion:Jessica HerzSilvia Klüglich

Herausgeberbeirat:­Prof.­Dr.­Michael­Backes,­Prof.­Dr.­jur.­Dirk-M. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan-Peter Ohrtmann, Prof.­Dr.­Norbert­Pohlmann,­Dr.­jur.­Martin­ZilkensGründer: † Bernd Hentschel

Grafi­k/Layout/Satz:Michael PaffenholzTel.: 0173/8382572E-Mail: michael.paffenholz@gmx.de

Objekt-­und­Anzeigenleitung:Wolfgang Scharf, agentur 80/20 e. K.Tel.: 0221/250 86 071Fax: 0221/270 595 54E-Mail: wolfgang.scharf@agentur-8020.dezzt. gilt die Anzeigenpreisliste Nr. 24

Vertrieb: Jürgen Weiß, DATAKONTEXTTel.: 02234/98949-71 Fax: -32E-Mail: weiss@datakontext.com

Abonnement:Jahresabonnement € 98,- inkl. VK (Inland)(für Studenten, RDV-Abonnenten und GDD-Mitglieder: € 50,-)Einzelheft € 15,- zzgl. VersandkostenErscheinungsweise: sechs AusgabenAlle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert­sich­zu­den­jeweils­gültigen­Bedingungen­um­ein­Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen.

Aboservice:Hüthig Jehle Rehm GmbH, München, Tel.: 089/21 83-71 10

Druck:­Grafi­sches­Centrum­Cuno­GmbH­&­Co.­KG,­Calbe­(Saale)

© DATAKONTEXTMit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte über-nehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der en-gen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzu-lässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfi lmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Beilagen: DATAKONTEXT GmbH, Frechen;

Titelbild: Controlware GmbH

Fotos: Firmenbilder; DATAKONTEXT; pixabay.com; © iStock.com/ i3D_VR; © depositphotos.com/bizoon, © depositphotos.com/corbacserdar.gmail.com, © depositphotos.com/DecaStock, © depositphotos.com/devke, © depositphotos.com/DingaLT, © depositphotos.com/emaria, © depositphotos.com/ginasanders, © depositphotos.com/iLexx, © depositphotos.com/jamdesign, © depositphotos.com/Oksana, © depositphotos.com/rach27, © depositphotos.com/Samiramay, © depositphotos.com/sbotas, © depositphotos.com/sdecoret, © depositphotos.com/vicnt2815, © depositphotos.com/Zamurovic; © Fotolia.com/N-Media-Images, © Fotolia.com/raven; © NicoElNino/Shutterstock.com, © Wright Studio/Shutterstock.com

25. Jahrgang 2019 · ISSN: 1868-5757

VORSCHAU Ausgabe 6/19 Dezember/Januar

IN UNSEREM VERLAG ERSCHEINEN AUSSERDEM NOCH FOLGENDE ZEITSCHRIFTEN

Geplante Themen sind in der nächsten Ausgabe unter anderem:

� Zehn-Punkte-Anleitung für ein effektives Insider- Threat-ProgrammMalware, Ransomware und andere externe Cyberbedrohungen verursachen in der Regel die meisten Schlagzeilen. Laut McKinsey sind aber tatsächlich Insider-Bedrohungen eines der größten ungelösten Probleme in der Cybersicherheit. Eine überwältigende Hälfte aller Datenschutzverletzungen zwischen 2012 und 2017 war von einer Form der Insider-Bedrohung abgeleitet. Unternehmen kennen das Risiko zwar oft gut, wissen aber dennoch nicht genau, wo und wie sie dessen Minimierung beginnen sollen. Der Beitrag zu Insider-Bedrohungen in der nächsten Ausgabe gibt hier eine leicht nachvollziehbare Zehn-Punkte-Anleitung.

� Advanced Malware: Fünf Best Practices zum Schutz gegen Spionage und Datendiebstahl

� IoT: Cyberangriffe auf medizintechnische Geräte – und wie man diese abwehrt

… und vieles mehr.

Die it­sa zählt zu den weltweit wichtigsten Messen zum Thema IT­Security. Sie bietet das größte Angebot an IT­Sicherheitsprodukten und ­lösungen in Europa, darunter auch physische IT­Sicherheit, Dienstleistungen, Forschung und Beratung. Internationale IT­Sicherheitsexperten erhalten auf der it­sa und im begleitenden Congress@it­sa umfassende Informationen zu aktuellen Themen der IT­Security.

8.–10.10.2019 | NÜRNBERG

it-sa 2019

www.it-sa.de

VERANSTALTUNGSKALENDER

IMPRESSUM

Software für Kollaboration und Organisation IhresDatenschutzmanagements

www.preeco.de

Dashboard

Aufgaben

Aktivitäten

Übersicht

Stammdaten

Textbausteine

Administration

Auftragsverarbeitung

Gemeinsame

Verträge

Verantwortlichkeit

TOM

Verarbeitungstätigkeiten

Informationspflichten

Datenschutz-Folgenabschätzung

Betroffenenanfragen

DSGVO Dokumentation

Adressbuch

Systeme

Dateiablage

Datenschutzerklärung

Werkzeuge

Funktionsumfang der preeco Datenschutzmanagement-Software:

Kaffee geholt.Daten weg.Desktop sperren rettetUnternehmen.

Erleben Sie die Gefahr ungeschulter Mitarbeiter in einem interaktiven Live-Hacking.

Wir freuen uns auf Ihren Besuch – Halle 9, Stand 520.

gdata.de/awareness-training

Schaffen Sie IT-Sicherheitsbewusstsein

G_DATA_CDAT_210x297_V4.indd 4 02.08.19 15:51