Embed Size (px)
Citation preview
www.it-daily.net
DASSPEZIAL
JUL I/AUGUST 2019
ACCESS MANAGEMENT IN UNTERNEHMEN
IAM IM WANDEL Roman Hugelshofer, Ergon Informatik AG
Data -Moni tor ing
Verbesserte Informationssicherheit
F IREWALL -E INSATZ
Im Visier der Cyberkriminellen
DETECT & RESPOND
Retroperspektives Monitoring
THO
U G H T L E A D E RSHI P
RIS
K ADAPTIVE PROTECTION
12 | IT MANAGEMENT
THO
U G H T L E A D E RSHI P
KÜNSTLICHE INTELLIGEN
Z
THOUGHT LEADERSHIP
DIE NEUE DIMENSION DES IT -WISSENS.
Jetzt neu auf www.it-daily.net
www. i t -da i ly.ne t
4 Coverstory IAM im Wandel Das schützen, wovor sich viele Organisationen fürchten.
THOUGHT LEADERSHIP 7 Guideline Cloud Security Kontrolle über Cloud-Umgebungen behalten.
8 NSS Labs Test Forcepoint Next Generation Firewall
bietet wirksamsten Schutz.
I T SECURIT Y 12 „Gemeinsam stärker“
noris network übernimmt Netplace.
14 Im Visier der CyberkriminellenFirewall-Einsatz schützt industrielle Anlagen.
16 Cybersecurity: Auch du bist angreifbarPhishing-Attacken wirksam vorbeugen.
19 Detect and Respond Retroperspektives Monitoring.
20 360° UnternehmenssicherheitInformationssicherheit klappt nur mit einem ganzheitlichen Ansatz.
22 Prioritäten setzen KI-gestütztes Data-Monitoring verbessert die Informationssicherheit.
23 Sicherheit beim SoftwarekaufGebrauchte Software und Blockchain: Heiß diskutiert.
24 E-Mail-VerschlüsselungElektronische Kommunikation im digitalen Zeitalter.
26 Der dritte WegBei der digitalen Kommunikation sind Angebote statt Verbote gefragt.
28 Auf dem Weg zum Enterprise Service Management System IAM als ESM-, ITSM- und DMS-Plattform.
INHALT
TOP
E M P F E H L U
NG
TOP
E M P F E H L U
NG
TOP
E M P F E H L U
NG
TOP
E M P F E H L U
NG
TOP
E M P F E H L U
NG
26
COVERSTORY
4
TOP
E M P F E H L U
NG
7
4 | IT SECURIT Y
www. i t -da i ly.ne t
Keine Frage, Access Management in Unter-nehmen hat sich von einem statischen hin zu einem sehr dynamischen Thema ge-wandelt. Roman Hugelshofer, Managing Director Application Security bei Ergon Informatik AG im Gespräch mit it security-Herausgeber Ulrich Parthier.
? Ulrich Parthier: IAM hat sich in den letzten Jahren stark verändert, Identity
und Access Management lässt sich heute in zwei grundlegende Richtungen unterteilen: internes und externes IAM.
Roman Hugelshofer: Genau, das klas-sische interne und das externe Access Management, welches auch als cIAM be-zeichnet wird. Beide Disziplinen bringen ganz eigene Herausforderungen mit sich, welche auch unterschiedlich adressiert wer-den müssen. Wenn Business Prozesse an die Kunden ausgelagert werden, sind meist alte Legacy Systeme aber zunehmend auch neue Technologien involviert. Diese Welten zusammenzubringen, um den Kunden ein einheitliches Benutzererlebnis zu bieten, ist für Unternehmen äußerst herausfordernd.
? Ulrich Parthier: Ging es früher um das Vergeben von Rollen an Mitarbei-
ter und überhaupt die Möglichkeit zu schaf-fen, über das Internet einen sicheren Zu-gang zu gewährleisten, sind heute diverse neue Themen aktuell. Wie sehen Sie den Markt?
Roman Hugelshofer: Es ist richtig, dass das Thema IAM heute viel breiter aufge-stellt ist, als noch vor einigen Jahren. Tra-ditionell wurde in Unternehmen klassisches Identity und Access Management prakti-ziert, bei dem für Mitarbeiter Identitäten mit trennscharfen Rollen defi niert wurden.
Mit fortschreitender Digitalisierung treten plötzlich neue Arten von Identitäten in den Fokus. Heute müssen Kunden, Partner, Lie-feranten, noch unbekannte Konsumenten und sogar „Dinge“, also IoT-Geräte, eige-ne Identitäten erhalten. Deren Zugriff auf
Applikationen, Services und Daten muss geregelt und verwaltet werden. Die Zu-griffsregeln dürfen allerdings nicht zu starr sein, sondern sollen sich adaptiv dem Kontext anpassen. Starke Authenti-sierung soll beispielsweise nur dann ge-fordert werden, wenn ein Zugriff erhöhtes Risikopotenzial hat.
Mit der Verwaltung von externen Identitä-ten steigen aber auch die Anforderungen an den Datenschutz. Nach Einführung
der DSGVO gelten für Konsumentendaten ganz andere Grundlagen als für Mitarbei-terdaten, was das Identitätsmanagement noch komplexer macht.
? Ulrich Parthier: Für mich ist das alles eine Frage der richtigen Architektur. Es
gibt natürlich immer Nischenthemen, die
gerade Start-ups gut ausfüllen können. Sie haben sich ja von Beginn an mit der Kopp-lung von Customer IAM und Web Applica-tion Firewall anders als andere Player im Markt positioniert.
Roman Hugelshofer: Die Architekturfra-ge in Zusammenhang mit agilen Business Initiativen ist in der Tat eine fundamentale Fragestellung. Wir sind überzeugt, dass ein zentraler und vorgelagerter Ansatz – ein „Hub“ - die Herausforderungen der Unter-
nehmen nachhaltig löst. Zudem werden so Kosten gespart, da nicht jedes Projekt das Rad in Bezug auf Security und Access Ma-nagement neu erfi nden muss. Auch unser Angebot hat sich stetig weiterentwickelt. Zu-dem bieten wir unsere Produkte mittels einer integrierten Architektur unter dem Dach des Airlock Secure Access Hubs an. Außerdem
IAM IM WANDELSCHÜTZEN, WOVOR SICH VIELE ORGANISATIONEN FÜRCHTEN.
IAM - alles eine Frage der richtigen Architektur.
Mitarbeiter
Applikationen
Kunden Partner APIs IoT
WAF APIIAM
APIsDatenbanken / Verzeichnisse
www. i t -da i ly.ne t
stellen wir fest, dass aktuelle Business Initia-tiven neben schneller Time-to-Market und gesteigerter Benutzerfreundlichkeit immer stärker auch Angebote von Drittanbietern integrieren wollen.
? Ulrich Parthier: Sie sprechen hier das Thema der APIs an?
Roman Hugelshofer: Unter anderem. Fakt ist, dass Unternehmen aller Branchen ihre Kunden bequem und ohne Hürden ein-binden möchten. Dabei stellt sich die Fra-ge wie einfaches Onboarding oder Single
Sign-on über alle Anwendungen gelingen kann. Immer öfter müssen Identitäten auch über Unternehmensgrenzen hinweg föde-riert werden. Zudem verlagern viele Unter-nehmen ihre Applikationen in eine Cloud. Der Kunde will davon aber nichts merken. Ein weiterer Trend ist die Komposition von Diensten, da viele Firmen ihre Angebote
unter Einbezug von Drittanbietern attrak-tiv machen möchten. Dabei werden oft Schnittstellen, wie von ihnen genutzte APIs, integrieren. Dies bringt zusätzliche Komple-xität mit sich und der Aspekt der Security darf auf keinen Fall vernachlässigt werden.
? Ulrich Parthier: Ist der Schutz dieser APIs eine neue Herausforderung?
Roman Hugelshofer: API Security ist nicht gänzlich neu, aber birgt aber einige Her-ausforderungen, welche neue technische Fähigkeiten verlangen. Bisher kamen APIs
meist in geschützten internen Netzen zum Einsatz. In modernen Software Architekturen werden diese nun im In-ternet bereitgestellt und direkt von jedem Brow-ser her angesprochen.
Damit werden sie zu einem Einfallstor für Ha-cker, welche über diese Schnittstellen Zugang zu sensitiven Daten erhalten können. Fundamental
ist auch hier das sichere und zuverlässige Access Management. Die Erfahrungen der letzten 20 Jahre Web Security müssen auch auf moderne APIs konsequent angewendet werden.
? Ulrich Parthier: Über die Web-Appli-kationen wird im IAM-Umfeld meist
wenig gesprochen.
Roman Hugelshofer: Ja, das stellen wir seit geraumer Zeit fest. Web-Applikationen und APIs sind durch die Digitalisierung zum geschäftskritischsten Teil der IT-Landschaft und zugleich zum attraktivsten Angriffsziel
für Hacker geworden. Deshalb gehören ein zuverlässiges Access Management, die Verfügbarkeit und die Sicherheit von Anwendungen und APIs zu den elementa-ren Erfolgsfaktoren beim Digitalisieren. Wir empfehlen daher, diese Themen integriert und mit einem zentralen Access Hub zu lösen. So können Unternehmen dem Be-dürfnis der nahtlosen Kundeninteraktion gerecht werden, aber auch Security und Compliance Anforderungen erfüllen. Zu-dem wird die Integration der bestehenden und neuen Technologien vereinfacht.
? Ulrich Parthier: Alles also eine Frage des konzeptionellen Ansatzes?
Roman Hugelshofer: Ja, so sehen wir das und auch unserer Kunden. Der Airlock Se-cure Access Hub schützt, wovor sich viele Organisationen fürchten: Datendiebstahl, Cyberattacken und Angriffe auf Applika-
tionen. Wenn digitale Services ausfallen, stehen meist zentrale Unternehmensaktivi-täten still. Wir stellen Hochverfügbarkeit sicher, die selbst bei schweren Angriffen die Stabilität von Web-Applikationen und APIs gewährleistet. Ein schöner Neben-effekt: Unsere Lösung standardisiert das Compliance Management und macht die Erfüllung von gesetzlichen Vorgaben wie DSGVO mit integriertem Consent-Manage-ment, PSD2 oder PCI DSS einfach.
! Ulrich Parthier:Herr Hugelshofer,
wir danken für das Gespräch.
THANKYOU
DER AIRLOCK SECURE ACCESS
HUB ERMÖGLICHT IDENTITÄTS- UND
ZUGRIFFSMANAGEMENT MIT UMFASSENDER
SECURIT Y ÜBER EINE WEB APPL ICATION
FIREWALL UND EIN API SECURIT Y GATEWAY
UNTER EINEM DACH.
Roman Hugelshofer, Managing Director Application Security, Airlock – Security Innovation by Ergon Informatik AG | www.airlock.com
IT SECURIT Y | 5
6 | IT SECURIT Y
THO
U G H T L E A D E RSHI P
RIS
K ADAPTIVE PROTECTION
www. i t -da i ly.ne t
Die Ansprüche an vernetztes Arbeiten steigen: Mitarbeiter nutzen verschiedene Cloud-Anwendungen, greifen zu jeder Zeit und von jedem Ort aus auf Unterneh-mensdaten zu und das mobil über private Endgeräte. Eine Sicherheitsstrategie für Cloud-Umgebungen lässt sich in sechs grundlegenden Schritten etablieren:
• Wissen, was zu schützen ist.• Art, Ort und Status der Daten bestimmen.• Transparenz über Cloud-Anwendungen schaffen.• Interesse an Informationssicherheit und Datenschutz ausgleichen.• Regularien aufsetzen.• Bewusstsein für IT-Sicherheit stärken.
Schützenswertes identifi zieren
Sensible Daten liegen immer mehr in der Cloud, ob von der IT bereit gestellt oder durch Mitarbeiter und Abteilungen selbst angeschafft. In vielen Fällen ist eine derartige Schat-
ten IT durchaus wünschenswert und produktiv – solange das
Risiko überschaubar ist. Die Be-wertung des Risikos ist allerdings nur
möglich, wenn das Unternehmen schüt-zenswerte Daten identifi zieren kann: Art, Ort, Status und Zugriff auf die Daten gilt es zu kennen.
Daten analysierenWichtige Informationen lassen sich da-bei mit Technologien wie CASB- (Cloud Access Security Broker) und DLP-Lösun-gen (Data Leakage Prevention) erfassen. DLP-Lösungen können aufwändige Daten-klassifi zierungen weitgehend ersetzen. Etwa durch vom Hersteller zur Verfügung gestellte Regelwerke, mit denen länder-spezifi sch Daten erkannt werden, die ge-setzlichen Regelungen unterliegen. Ob im Sharepoint der Entwicklungsabteilung oder Fileshare der Personalabteilung, auch wenn der genaue Inhalt nicht be-kannt ist, können DLP und CASB verhin-dern, dass diese Daten abfl ießen.
Transparenz schaffenTransparenz über Cloud-Applikatio-nen und Devices liefert eine Lösung mit Cloud-Access-Security-Broker-Funktionen. CASB ist zwischen dem User und dem Netzwerk der Cloud-Dienste zwischenge-schaltet. Dadurch lassen sich die eigenen Richtlinien über die eigene Infrastruktur hinaus überwachen. Auch an ein Früh-warnsystem sollte gedacht werden. User and Entity Behavior Analytics (UEBA) er-kennen Anomalien sofort. Ein kompromit-
tierter Account fällt sonst nur durch Zufall oder entstandenen Schaden auf.
Informationssicherheit und Datenschutz ausgleichenMitarbeiter haben ein berechtigtes Inte-resse daran, dass ihre Daten und Bewe-gungen im Firmennetzwerk nicht pauschal überwacht werden. Gleichzeitig muss aber auch gewährleistet sein, dass geisti-ges Eigentum im Unternehmen bleibt. Eine Security-Lösung ist also ähnlich wie ein Flugschreiber aufzusetzen. Erstens wird vorab festgelegt, welche Daten erfasst werden sollen. Zweitens sind Informatio-nen zum User-Verhalten immer pseudony-misiert. Uneingeschränkte Dateneinsicht erhalten selbst die vorher festgelegten Personen nur im Falle nachweislicher Si-cherheitsverletzungen. Geschäftsleitung, Betriebsrat und die Sicherheitsverant-wortlichen legen die Schwellwerte in der Risikobewertung selber fest, um im Ereig-nisfall keine Zeit durch das Einholen von Investigationsfreigaben zu verlieren.
Regularien aufsetzenAlle Security-Lösungen sollten in einer Sicherheitsplattform integriert sein. So ste-hen alle Informationen durchgängig zur Verfügung und können über Dashboards kontrolliert werden. Nun gilt es für die Arbeit essentielle Applikationen zu defi -nieren und freizugeben. Außerdem lassen sich Zugriffsrechte für verschiedene De-vices an die Firmenrichtlinien anpassen. Etwa für den kontrollierten Einsatz von BYOD. Auf Basis des User-Verhaltens las-sen sich Richtlinien zudem automatisiert für die Benutzung von Cloud-Anwendun-gen und für den Zugriff von extern erstel-len und anwenden.
Bewusstsein für IT-Sicherheit stärkenSchulung und Aufklärung über Informa-
GUIDELINE CLOUD SECURITYKONTROLLE ÜBER CLOUD-UMGEBUNGEN BEHALTEN.
SICHERHEIT FUNK TIO-
NIERT NUR, WENN SICH
AUCH JEDER DAFÜR
VERANT WORTLICH FÜHLT.
MIT MITARBEITERN
SOLLTEN AK TUELLE
TRENDS UND GEFAHREN
BESPROCHEN WERDEN.
Carsten Hoffmann, Manager Sales Engineering, Forcepoint
www.forcepoint.como
| 7
THO
U G H T L E A D E RSHI P
RIS
K ADAPTIVE PROTECTION
www. i t -da i ly.ne t
tionssicherheit sowie die eingesetzten Cloud-Systeme ist das A und O. Sicher-heit funktioniert nur, wenn sich auch jeder dafür verantwortlich fühlt. Mit Mitarbei-tern sollten aktuelle Trends und Gefahren besprochen werden. In kritischen Berei-chen sind zusätzlich realitätsnahe Trai-ningssituationen hilfreich. Bei besonders schützenswerten Benutzerkonten, den sogenannten privilegierten Usern bzw. Administratoren, ist außerdem eine ver-pfl ichtende Zwei-Faktor-Authentifi zierung ratsam. Der Einsatz einer Lösung sollte dabei stets transparent den Mitarbeitern kommuniziert werden und in Zusammen-arbeit mit dem Betriebsrat und HR erfol-gen. Der beste Schutz ist es schließlich, den Mitarbeitern Verhaltensrichtlinien an die Hand zu geben, die nicht unnötig ein-schränken.
Carsten Hoffmann
Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unterneh-men. Cyber-Attacken werden dabei so getarnt oder modifi ziert, dass Abwehrsys-teme sie nicht erkennen und blockieren können. Ein Test der unabhängigen NSS Labs belegt: die Next Generation Firewall (NGFW) von Forcepoint bietet unter al-len getesteten Anbietern den wirksamsten Schutz gegen Evasions und Exploits.
Als eines der weltweit führenden unab-hängigen Institute testet NSS Labs Netz-werk-Security-Lösungen unter realen Be-dingungen in seinem Forschungs- und Testlabor in Austin, Texas. Und der Test ist besonders anspruchsvoll: Er simuliert 2.074 Exploit-Attacken und rund 190 Evasion-Techniken. Die Forcepoint NGFW stoppte im Rahmen dieser Tests 99,7 Pro-zent aller Angriffe und blockierte sogar
100 Prozent der Evasions. Sie wurde damit zum sechsten Mal in Folge mit der höchs-ten Bewertung „empfehlenswert“ ausge-zeichnet.
Wirksamster Schutz in NSS Labs Live-TestNSS Labs führte einen unabhängigen Test der Forcepoint NGFW 2105 Appliance durch. Unter Verwendung der empfohle-nen Richtlinie blockierte die Security-Lö-sung 2.071 von 2.074 Angriffen. Sie wehrte 190 von 190 Evasions ab und identifi zierte zuverlässig bösartige Inhal-te ohne jegliche Falschmeldungen – und das alles zu sehr geringen Betriebskosten. Auch das Gerät hat alle Stabilitäts- und Zu-verlässigkeitstests bestanden. „Der Schutz durch die Forcepoint NGFW 2105 zeig-te sich im NSS Labs 2018 NGFW Group Test als äußerst wirksam und hat sogar
die eigens angegebene Leistungen über-troffen“, bestätigt Vikram Phatak, CEO der NSS Labs. Die von den NSS Labs gemes-sene Durchsatzrate der Forcepoint NGFW betrug 102 Prozent bei unverschlüsseltem Datenverkehr und 148 Prozent bei SSL/TLS-Datenverkehr gegenüber den eigenen Angaben des Cyber-Security-Anbieters.
Sicherster Schutz durch „Traffi c-Normalisierung“Angreifer tarnen oder modifi zieren ihre Exploits und verschleiern auf diese Weise den Schadcode, so dass er nicht zweifels-frei erkannt werden kann. Ein Abgleich von Datenpaketen mit der hinterlegten Schadcode-Datenbank in einer Firewall oder der Cloud führt dann zu keinem Tref-fer, weshalb der Datensatz zugestellt wird. Angreifer haben erkannt, dass sich mittels Advanced Evasions nahezu jeder altbe-
NSS LABS TESTFORCEPOINT NEXT GENERATION FIREWALL
BIETET WIRKSAMSTEN SCHUTZ.
8 |
THO
U G H T L E A D E RSHI P
RIS
K ADAPTIVE PROTECTION
www. i t -da i ly.ne t
kannte aber gut funktionierende Schäd-ling wiederverwenden lässt. Die wenigsten Next Generation Firewalls und Intrusion Prevention Systeme sind aufgrund ihrer rein Pattern-basierten Arbeitsweise in der Lage, solche Attacken verlässlich abzuweh-ren. Die Anzahl der Möglichkeiten, einen Schadcode zu verschleiern, ist schlicht zu groß. Das schafft nur ein System, das in der Lage ist, vor dem Datenbankabgleich eine „Traffi c Normalisierung“ durchzufüh-ren, wodurch der eigentliche Schadcode sichtbar wird und der Daten-abgleich erfolg-reich sein kann.
Durchgängig integrierte Netzwerk-Security-LösungMit der Next Generation Firewall liefert Forcepoint eine durchgängig integrierte Netzwerk-Security-Lösung, die sämtliche Daten und Anwendungen in der gesam-
ten IT-Infrastruktur verlässlich schützt – im Rechenzentrum, an verschiedenen Firmen-standorten sowie in der Cloud. Dadurch werden Kunden in die Lage versetzt, kom-plexe Prozesse in verteilten Firmennetzwer-ken effi zient zu managen. Eine Besonder-heit: Tausende von Firewalls, IPSs, Virtual Private Networks (VPNs) und SD-WANs lassen sich in nur wenigen Minuten über eine zentrale Konsole installieren und in Betrieb nehmen. Zudem kombiniert die Lösung die Sicherheit einer NGFW mit
einer SD-WAN-Konnektivität der En-
terprise-Klasse. So ist durch die nahtlose Einbindung verschiedenster Geräte und Netze die maximale Verfügbarkeit aller Applikationen und Daten gewährleistet. Damit punktete die Forcepoint NGFW im NSS Labs Test auch mit einem der besten
Preis-Leistungsverhältnisse in puncto perfor-mante Enterprise Security Software.
IDC-Studie attestiert hocheffi ziente Security-ProzesseAuch laut einer IDC Studie profi tieren Un-ternehmen, welche die Kombination aus NGFW und SD-WAN von Forcepoint ein-setzen, von deutlichen Vorteilen hinsicht-lich Konnektivität, Sicherheit und Benutzer-freundlichkeit. Im Einzelnen sind dies:
70 Prozent geringere Ausfallzeiten durch Wartung
53 Prozent weniger Arbeitsstunden der IT-Mitarbeiter
86 Prozent weniger Cyber-Angriffe
Ein weiterer Vorteil: Das System lässt sich bedarfsgerecht skalieren und fl exibel an das Wachstum der jeweiligen physischen und virtuellen Unternehmensnetzwerke anpassen. Vorhandene Tools und Kompo-
nenten können problemlos weiter genutzt werden. Überdies ermöglicht die Forcepo-int NGFW eine umfassende Transparenz und einen 360-Grad-Blick auf die gesamte Netzwerk-Architektur.
Frank Limberger
NSS Labs TestlaborDie Security-Lösungen von Forcepoint und weiteren Anbietern wurden im NSS Labs Testlabor in Austin, Texas, nach der NGFW-Testmethodik v8.0, Secure-Sockets-Layer/Transport-Layer-Security-Performance- Testmethodik und Evasions- Testmethodik v1.1 getestet. Konfi guriert und geprüft werden die NGFW-Produkte mit den vordefi nierten beziehungsweise empfohlenen (das heißt „out-of-the-box“) Einstellungen des Herstellers. Detaillierte Infos zur Methodik können auf www.nsslabs.com nachgelesen werden.
ADVANCED EVASIONS WERDEN
VON DEN WENIGSTEN NEXT
GENERATION FIREWALLS
UND INTRUSION PREVENTION
SYSTEMEN ERKANNT. DANK
„TRAFFIC NORMALISIERUNG“
GELINGT ES FORCEPOINT
ALLERDINGS, AUCH SOLCHE
SCHADCODES ZU ERKENNEN.
Frank Limberger, Data and Insider Threat Security Specialist,
Forcepoint | www.forcepoint.com
Höchstmaß an Sicherheit: Die Forcepoint Next Generation Firewall bietet im Test der NSS Labs den wirksamsten Schutz gegen Exploits und Evasions.
! | 9
THO
U G H T L E A D E RSHI P
RIS
K ADAPTIVE PROTECTION
