securit 2021 SEUR

SECURsecuritySECURITY

securit

u. v. m.

BEST OF2021

028CISOs sind hohen

Belastungen ausgesetztDie größten Belastungen

für Security-Verantwortliche

93Sicherheit in

Kubernetes beachtenContainer-Infrastruk-

turen richtig absichern

050Ganzheitliche

Endpoint SecurityMehr Sicherheit mit dem „CAFE-Prinzip“

MANAGEMENT & STRATEGIE

Cyberkriminelle im Jahr 2019 und 2020 003 // Was sich 2020 bei der Cloud-Sicherheit ändern

wird 006 // Netzwerksicherheit in Krankenhäusern 010 // Der richtige Umgang mit Betroffenen-

anfragen 014 // Der erste Tag als CISO 019 // Was an der DSGVO geändert werden soll und kann

023 // Die größten Belastungen für Security-Verantwortliche 028 // Warum CISOs das Security-

Marketing verändern müssen 032 // EU-US Privacy Shield – was nun? 036 Videoüberwachung

bei Beschäftigten 041 // Return on Security Investment (RoSI) als Entscheidungshilfe 046 // Mehr

Sicherheit mit dem „CAFE-Prinzip“ 050.

TECHNOLOGIE & ZUKUNFT

Open Source Scanner prüft Netzwerke auf Angriffsspuren 053 //5 Security-Technologien für

2020 und darüber hinaus 056 // Datensicherheit in Virtualisierungsumgebungen 060 // Achtung:

Container haben Security-Lücken! 065 // Wie sicher ist die Cloud? 069 // Apple-Rechner mit

macOS Catalina sicher betreiben 073 // Embedded-Systeme gegen Hacker absichern 076 //

Sicherheit in Speichernetzen 080 // SIEM- und SOC-Betrieb und der Datenschutz 087 // Home

Office mit OpenVPN und OPNsense 091 // Container-Infrastrukturen richtig absichern 093 //

Datenschutzbewertung von Quantencomputern 097.

BEST OF2021

2021

BESTOF BIGDATA-INSIDER SEITE 3

Sicherheitsprognosen 2020

Cyberkriminelle im Jahr 2019 und 20202020 stehen Cyberattacken zunehmend unter dem Einfluss externer Faktoren und könnten somit immer spezifischer zum Einsatz kommen. Die zunehmende Verbreitung ma-schinellen Lernens, Deep Fake-Technologien oder mögli-che Spannungen im Zusammenhang mit Handelsrouten zwischen Asien und Europa könnten hier die Cyber-Bedro-hungen in diesem Jahr bestimmen.

Im Jahr 2019 ist die Zahl einzigartiger, schädlicher Bedro-hungsobjekte, die durch die webbasierten Antivirenlösun-gen von Kaspersky identifiziert wurden, im Vergleich zum Vorjahr um knapp 13,7 Prozent angestiegen - so das Ergebnis der im Rahmen des Kaspersky Security Bulletin 2019/2020 veröffentlichten Jahresstatistik. Verantwortlich für diese deutliche Zunahme waren insbesondere ein Wachstum bei Web-Skimmer-Dateien (plus 187 Prozent), bei Backdoors (plus 134 Prozent) und bei Banking-Trojanern (plus 61 Pro-zent). Die Zahl von Mining-Programmen ging hingegen um mehr als die Hälfte zurück. Diese Trends zeigen, dass Cyber-kriminelle, die stets auf der Suche nach noch effektiveren Kompromittierungswegen sind, ihre Cyberangriffsmetho-den, die verändert haben.

Die Zahl der Cyberangriffe wird auch 2020 weiter zunehmen und Cyberkriminelle werden neue Wege für immer gezieltere Angrife suchen.

Bild

: gem

einf

rei /

Pix

abay

MANAGEMENT & STRATEGIE

nicht löschen wird für das automatische Inhaltsverzeichnis benötigt!


„Die Zahl von Webangriffen wächst seit Jahren, doch 2019 war eine deutliche Verschiebung hinsichtlich der Methoden von Cyberkriminellen zu verzeichnen“, erklärt Vyacheslav Zakorz-hevsky, Head of Anti-Malware Research bei Kaspersky. „Zu-nehmend unwirksamer werdende Angriffsarten sind effiziente-ren und gewinnträchtigeren Taktiken gewichen. Dies ist zum Teil darauf zurückzuführen, dass sich Nutzer bestimmter Be-drohungen zunehmend bewusstwerden, deshalb entsprechen-de Maßnahmen ergreifen, und dass das Verantwortungsbe-wusstsein von Unternehmen kontinuierlich wächst. Ein gutes Beispiel sind hierbei versteckte Miner, die ihre ehemals große Popularität aufgrund ihrer geringeren Rentabilität und dem Kampf der Kryptowährungen gegen ihre Machenschaften ver-loren haben. In diesem Jahr konnten wir auch ein Wachstum bei Zero-Day-Angriffen beobachten, die aufgrund der immer noch hohen Verwundbarkeit von Produkten, für anspruchsvol-le Angriffe eingesetzt werden. Dieser Trend dürfte sich auch in der Zukunft fortsetzen.“

Cybercrime im Jahr 2020

Nach einer Reihe von Datenlecks bei personenbezogenen Da-ten in den vergangenen Jahren, erleichterte die daraus verfüg-baren persönlichen Informationen Angreifern die Durchfüh-rung gezielter Angriffe. Da das Schutzniveau infolgedessen zugenommen hat, werden Cyberkriminelle im Jahr 2020 tiefer bohren und nach empfindlicheren durchlässigen Stellen wie biometrischen Daten suchen müssen.

Die Sicherheitsforscher von Kaspersky weisen in ihren Ad-vanced Threat Predictions 2020 auf eine Reihe von Schlüs-seltechnologien hin, die Opfer in die Fallen der Angreifer locken könnten, darunter öffentlich diskutierte Video- und Audio-Deep-Fakes, die automatisiert und zur Erstellung von Profilen oder für Betrügereien – etwa den Aufbau von Social-Engineering-Systemen – missbraucht werden können.

False-Flag-Angriffe, also Attacken unter falscher Flagge, wer-den nach Ansicht der Security-Forscher eine neue Qualität er-reichen. Dabei werden Cyberkriminelle nicht nur zunehmend die Nachvollziehbarkeit eigener Aktionen verschleiern, son-dern aktiv Dritten die Schuld zuschreiben. Commodity-Mal-ware, Skripte, öffentlich zugängliche Sicherheitstools oder Administratorsoftware könnten – in Kombination mit eini-gen False-Flag-Angriffen – ausreichen, um die Urheberschaft


einer Kompromittierung jemand anderem in die Schuhe zu schieben.

Cyberangriffe konzentrieren sich häufig auf Handelsrouten zwischen Asien und Europa. Da Regierungen versuchen, ihre Interessen im In- und Ausland zu sichern, ist eine Zunahme politischer Spionage – insbesondere im technologischen Be-reich – zu befürchten. Vor allem, wenn potenzielle oder reale wirtschaftliche Krisen und eine daraus resultierende Instabi-lität im Raum steht.

Auch der Einsatz von Ransomware wird 2020 zunehmend ge-zielter ablaufen. Eine neue Entwicklung könnte hierbei darin bestehen, dass Bedrohungsakteure, statt Dateien in erpresse-rischer Absicht zu verschlüsseln, damit drohen, die von Un-ternehmen gestohlenen Informationen zu veröffentlichen.

Auch der Missbrauch personenbezogener Daten wird durch den Einsatz von KI weiter wachsen. Die dahinter stehenden Technologien kommen in ähnlicher Form auch bei Social Media-Werbekampagnen im Rahmen von Wahlkampfaktivi-täten zum Einsatz. Es ist nur eine Frage der Zeit, bis einige Angreifer sie nutzen werden.

Neue bankenaufsichtsrechtliche Vorschriften innerhalb der EU könnten ebenso neue Angriffsvektoren eröffnen. Da die Banken verpflichtet sein werden, ihre Infrastruktur und Da-ten für Dritte zu öffnen, die Dienstleistungen für Bankkun-den erbringen wollen, ist es wahrscheinlich, dass Angreifer versuchen werden, diese Mechanismen mit neuen Betrugs-systemen zu missbrauchen.

Die Kaspersky-Forscher erwarten auch, dass 2020 mehr Inf-rastrukturangriffe und Attacken auf Nicht-PC-Ziele erfolgen. Einige Cyberkriminelle erweitern seit einiger Zeit bereits ihre Toolsets über Windows – aber auch über PC-Systeme, VPNFil-ter und Slingshot – hinaus und gehen gezielt die Netzwerk-hardware an. Die Weiterentwicklung mobiler APT-Attacken wird mit hoher Geschwindigkeit vorangetrieben und es be-steht kein Anlass, dass sich dies in naher Zukunft ändern wird. Wegen der wachsenden Aufmerksamkeit der Sicher-heitsgemeinschaft, dieses Thema betreffend, gehen die Kas-persky-Experten jedoch davon aus, dass auch die Zahl identi-fizierter und analysierter Angriffe zunehmen wird.

★ Peter Schmitz


Prognosen für das neue Jahr

Was sich 2020 bei der Cloud-Sicherheit ändern wirdDie Cloud-Sicherheit wird beeinflusst von neuen Cloud-Trends, der dynamischen Bedrohungslage und innova-tiven Security-Technologien. Wir haben uns spannende Prognosen für 2020 angesehen und bewerten die Konse-quenzen.

Fundierte Vorhersagen können durchaus bei der Planung der Cloud-Sicherheit helfen, auch wenn man immer berücksich-tigen muss, dass natürlich nicht alles eintreffen wird und immer die individuelle Cloud-Nutzung eines Unternehmens berücksichtigt werden muss.

Wie in jedem Jahr gibt es auch für 2020 eine Vielzahl an Pro-gnosen für die Cloud-Sicherheit. Damit nicht genug, gibt es auch Vorhersagen, die einen direkten Einfluss auf die Cloud Security haben, darunter die Entwicklungen des Cloud Com-puting, die sich ständig ändernde Risikolage im Cyberraum und die neuen Lösungen und Services der Security-Anbieter. Wir haben uns viele dieser Prognosen angesehen und fassen die spannendsten Vorhersagen für 2020 zusammen, um die-se dann mit Bezug auf die Cloud-Sicherheit auszuwerten.

Cloud-Security 2020: die sich ständig ändernde Risikolage im Cyberraum und neue Lösungen und Services der Security-Anbieter.

© th

odon

al -

stoc

k.ad

obe.

com


Die Cloud wird immer dezentraler, die Security muss folgen

Die Gartner-Analysten erwarten, dass neue verteilte Cloud-Modelle eingeführt werden, die Dienste an verschiedenen Standorten bereitstellen. Ein zentraler Anbieter öffentlicher Clouds übernimmt wiederum die Verantwortung für den Be-trieb, die Steuerung und die Aktualisierung von Diensten, wenn diese sich weiterentwickeln. Verteilte Architekturen können einige der Regelungs-, Sicherheits- und Latenzpro-bleme eines zentralisierten Modells umgehen. Sie arbeiten auch mit Edge-Computing- und Mikrodatencenter-Architek-turen zusammen.

Die Cloud-Sicherheit aber kann dann nicht mehr nur zent-ral gedacht werden, auch die Security muss einem verteilten Ansatz folgen. Cloud-Sicherheit und Edge-Sicherheit wach-sen dadurch noch stärker zusammen.

Die Cloud-Konfiguration ist eines der größten Cloud-Risiken

Sophos sieht ein spezielles Risiko für die Cloud-Sicherheit: Das größte Risiko für die Cloud-Sicherheit ist demnach die Cloud selbst. Fehlkonfigurationen sind die häufigste Ursache für Vorfälle, und mangelnde Sichtbarkeit ist problematisch.

Deshalb müssen Werkzeuge für die Prüfung einer Cloud-Konfiguration und für die Cloud-Visibility als Stützpfeiler der Cloud-Sicherheit gesehen werden. Sie sind nicht nur Teil der Cloud-Administration, sondern auch in der Verantwor-tung der Cloud-Security.

Die Cloud wird noch hybrider

Unternehmen überdenken ihren Cloud-Ansatz, so Check Point: Die zunehmende Abhängigkeit von öffentlicher Cloud-Infrastruktur erhöht das Risiko von Ausfällen in Unterneh-men, wie z. B. dem Ausfall von Google Cloud im März 2019. Dies wird Unternehmen dazu veranlassen, ihre vorhandenen Rechenzentrums- und Cloud-Bereitstellungen zu überprüfen und Hybridlösungen in Betracht zu ziehen, die sowohl priva-te als auch öffentliche Clouds umfassen.

Dies bedeutet natürlich, dass auch der Cloud-Security-Ansatz noch hybrider werden muss, also die Sicherheit der Private


Cloud, der Public Cloud und der On-Premises-IT umfassen wird. Reine Cloud-Sicherheit nach alter Vorstellung wird es nicht geben.

Cloud-Data-Management und Cloud-Sicherheit wach-sen stärker zusammen

Cloud-Management-Player müssen und werden die Cloud-Sicherheit angehen, meint Forrester Research. Datenpannen bei Cloud-Provider haben demnach die Aufmerksamkeit auf die nächste große Herausforderung beim Cloud-Management gelenkt: das Sichern von Apps und Daten in einer zuneh-mend hybriden Cloud-Welt.

Die Cloud-Verantwortlichen werden verstärkt in ihre nativen Sicherheitsangebote investieren, während Cloud-übergrei-fende Management-Anbieter Sicherheitsfunktionen aufbau-en und bzw. oder erwerben müssen, die über das bisherige Identitäts- und Zugriffsmanagement hinausgehen. In Zu-kunft sollten sich also Lösungen abzeichnen, mit denen man die Cloud, die Cloud-Daten und die Cloud-Sicherheit mana-gen kann, entweder über Schnittstellen und Integrationen oder dank neuer Cloud-Daten-Sicherheitsplattformen.

Cloud-Sicherheit wird noch wichtiger

Gerade für den deutschen Markt gilt, dass Cloud-Sicherheit nicht langsam aber sicher zum Alltag gehört, sondern wei-ter an Bedeutung gewinnt. So hat zum Beispiel eine Umfrage von Trend Micro ergeben, dass von den weltweit antworten-den Teilnehmern 45 Prozent der Ansicht sind, dass die Cloud ungefähr so sicher wie vor Ort ist, und weitere 33 Prozent der Ansicht sind, dass die Cloud sicherer ist. In Deutschland aber empfanden 24 Prozent der antwortenden Unterneh-men die Cloud als weniger sicher, im Unterschied zum glo-balen Durchschnitt (18 Prozent). Es lohnt sich also gerade in Deutschland, die Fortentwicklung der Cloud-Sicherheit im Blick zu behalten.

Ähnlich sieht es auch eine Studie zum Marktwachstum für Cloud-Sicherheit: Mit dem Einsatz unsicherer Cloud-Kommu-nikationstechnologien gewinnt demnach die Cloud-Sicher-heit in der Region Europa an Bedeutung. Die anfällige Cloud-Kommunikationstechnologie stellt eine größere Gefahr für


den Server des Unternehmens dar und erhöht den Bedarf des Unternehmens an der Implementierung von Cloud-Sicher-heitsdiensten. Die globale Marktgröße für Cloud-Sicherheit soll im Prognosezeitraum bis Ende 2020 voraussichtlich 8,9 Milliarden US-Dollar mit einer jährlichen Wachstumsrate von 23,5 Prozent erreichen, so Valuates Reports.Cloud-Datenschutz wird ebenfalls noch wichtiger

Die Berliner Datenschutzaufsichtsbehörde hatte im Novem-ber 2019 die Verhängung eines Bußgelds in Höhe von 14,5 Mio. Euro veröffentlicht. Natürlich ist die Bußgeldhöhe für Deutschland spektakulär, so EuroCloud Deutschland_eco e.V. Entscheidend sei aber, dass der Grund des Bußgelds den „Finger in die Wunde“ eines Praxisproblems legt: fehlende und zu undifferenzierte Löschung von Daten und Verstoß ge-gen Privacy by Design.

„Dieses Bußgeld muss nun wachrütteln. Die bisher weit ver-breiteten Pauschalargumente der Revisionssicherheit tragen nicht. Jetzt hat das eine Aufsichtsbehörde hart deutlich ge-macht“, sagte Dr. Jens Eckhardt, Vorstand Recht und Compli-ance des EuroCloud Deutschland_eco e.V. „Das bedeutet aber weniger, dass eine revisionssichere Aufbewahrung nicht er-folgen muss. Das ändert sich nicht. Aber die Lösung zwischen den beiden widerstreitenden Pflichten muss durch konkrete und differenzierte Festlegung der zu speichernden Daten an-hand des jeweiligen gesetzlichen Aufbewahrungszwecks und -zeitraums gefunden werden“, so Eckhardt weiter.

Keine Frage, Cloud-Datenschutz muss bei jeder Cloud-An-wendung, auch bei der Cloud-Archivierung, noch ernster ge-nommen werden, nicht nur im Jahr 2020.

★ Oliver Schonscheck


Sicherheit vor Funktionalität im Lukaskrankenhaus

Netzwerksicherheit in Kranken-häusernIn unserer Serie über IT-Sicherheit in unterschiedlichen Branchen werfen wir dieses Mal einen Blick auf die Kran-kenhäuser. Deswegen haben wir mit Dr. Nicolas Krämer, dem kaufmännischen Geschäftsführer des Lukaskranken-hauses Neuss, und seinen Mitarbeitern, dem Chief Digital Officer Dr. Klaus Höffgen und dem IT-Leiter Herrn Bernd Zimmer gesprochen.

Am 10. Februar 2016 kam es am frühen Morgen im Lukas-krankenhaus in Neuss zu Verzögerungen bei den bildgeben-den Systemen in der Radiologie. Kurz darauf traten auch bei dem OP-Planer Probleme auf. Schnell stellte sich heraus, dass es sich um einen Cyberangriff handeln musste.

Das Krankenhaus war Opfer einer Ransomware-Attacke ge-worden. Um die IT-Systeme zu schützen, reagierten die Ver-antwortlichen sofort, beriefen den Krisenstab ein und fuhren als erste Maßnahme alle Rechner herunter. Auf diese Weise wurden die Patientendaten geschützt und die Ausbreitung der Infektion verhindert. Dr. Krämer erinnert sich: „Eine der zentralen Fragen an diesem Tag war es, zu klären, ob wir die Polizei einschalten sollen. Keiner von uns wusste, ob die Po-lizei sich hauptsächlich um Beweissicherung und Täter

ie Awareness der Mitarbeiter ist auch in Krankenhäusern ein zentrales Standbein der IT-Sicherheit. Deswegen gibt es im bspw. im Lukaskrankenhaus jetzt regelmäßig Awareness-Kampagnen.

gem

einf

rei /

Pix

abay


ermittlung kümmern würde, oder ob die Polizei dem Kran-kenhaus dabei helfen würde, seinen Versorgungsauftrag baldmöglichst wieder zu erfüllen. Letztendlich haben wir uns entschlossen, die Polizei einzuschalten. Das war auch richtig, denn sie war sehr hilfreich. Später kam auch das BSI hinzu.“

Die Ransomware wurde in den nächsten Tagen und Wochen von IT-Experten des Krankenhauses in Zusammenarbeit mit dem BSI, Beamten des Landeskriminalamts und externen Beratern aufgespürt und beseitigt. Das brachte einen extrem großen Aufwand mit sich, aber Patientendaten wurden nie-mals kompromittiert. Das Krankenhaus ging auch nicht auf die Erpressungsversuche der Cyberkriminellen ein.

Entwicklungen seit dem Ransomware-AngriffAuf unsere Frage, was sich bei der IT des Lukaskranken-hauses seit dem Ransomware-Angriff geändert habe, ant-wortete Herr Zimmer: „Einfach alles!“ Es gilt der Grundsatz „Sicherheit vor Funktionalität“. Dazu wurde unter anderem die Infrastruktur erweitert: Neu dazugekommen sind zwei Firewalls, ein Mail-Gateway, eine NAC-Lösung sowie Über-wachungssoftware.Konkret wurde das Netz des Lukaskrankenhauses, das 600 bis 700 Endgeräte hat, stark segmentiert. Die Segmentierung erfolgte thematisch nach Abteilungen, Funktionen bezie-hungsweise Aufgabenbereichen. So arbeiten beispielsweise die Medizintechnik, die Buchhaltung und die Verwaltung je-weils in einem eigenen Netz.Momentan bestehen die Endpunkte im Netz zu 50 Prozent aus Fat Clients und zu 50 Prozent aus Thin Clients von Igel. Die Bestrebung der IT-Abteilung geht allerdings dahin, so viele Thin Clients wie möglich zu implementieren, um die Zahl der Angriffsvektoren zu minimieren.

IntensivstationEines der übelsten Szenarien, das in einem Krankenhaus vorkommen kann, besteht darin, dass Hacker von außen auf die Monitoring Systeme in der Intensivstation zugreifen und dort Manipulationen vornehmen könnten. Deswegen wur-den diese Monitoring Systeme im Lukaskrankenhaus kom-plett von allem anderen getrennt.


Problem MedizinproduktegesetzDas Medizinproduktegesetz schreibt vor, dass Geräte, die im medizinischen Umfeld zum Einsatz kommen sollen, voll-ständig zertifiziert sein müssen. Das betrifft auch die darauf installierte Software. Deswegen ist es nicht möglich, einfach aktuelle Patches einzuspielen.Die zuständigen Mitarbeiter müssen stattdessen auf die Zertifizierung der neuen Komponenten warten. Das führt – wenn überhaupt – zu sehr langen Update-Zyklen.Demzufolge arbeiten im Lukaskrankenhaus viele Systeme mit alten Windows-Versionen, die von den anderen Kompo-nenten im Netz abgetrennt werden müssen, damit sie weni-ger angreifbar sind. Beispielsweise existiert ein Gerät, auf dem eine englische Windows-XP-Version läuft und auf dem es nicht einmal möglich ist, das Service Pack 3 zu installie-ren. Die Beschränkung der Zugriffe auf das absolut Nötige sorgt auch hier für die bestmögliche Sicherheit. Herr Zimmer sagte in diesem Zusammenhang, dass das aber auch einen Vorteil mit sich bringe, alte Geräte kommen nämlich auf die-se Weise nicht ohne weiteres ins Netz.Um für die Sicherheit des Netzes zu sorgen, arbeitet das Lu-kaskrankenhaus zudem mit einem niederländischen Unter-nehmen zusammen, das das Netz auf das Auftreten von An-omalien hin überwacht. Es finden auch regelmäßig Termine mit diesem Sicherheitsanbieter statt, auf denen geklärt wird, was auffällig war und auf denen, falls nötig, Gegenmaßnah-men getroffen werden.

Mitarbeiter-AwarenessZum Schluss unseres Gesprächs wies Dr. Krämer darauf hin, dass die Awareness der Mitarbeiter ein zentrales Standbein der IT-Sicherheit ist. Deswegen gibt es im Lukaskrankenhaus jetzt regelmäßig Awareness-Kampagnen. So schickt bei-spielsweise ein Dienstleister immer wieder gefälschte Mails an die Mitarbeiter des Krankenhauses, um ihr Sicherheits-bewusstsein zu schärfen. Außerdem finden auch viele Schu-lungen statt. In diesem Zusammenhang sagte Dr. Höffgen: „Es spielt in der Praxis eine wichtige Rolle, den Mitarbeitern klar zu machen, dass selbst die tollste Technik nicht für Si-cherheit sorgen kann, wenn sie nicht mithelfen. Darüber hi-naus müssen wir auch sicherstellen, dass alle hier im Haus stets auf neue Themen aufmerksam gemacht werden.“


Letzteres ist in einem Krankenhaus gar nicht so einfach: Schließlich hat – anders als in anderen Branchen – nicht je-der Mitarbeiter einen eigenen Arbeitsplatz mit Computer und E-Mail-Adresse. So gestaltet es sich durchaus problematisch, immer alle zu erreichen. Allerdings sind die Mitarbeiter des Lukaskrankenhauses aufgrund ihrer Erfahrungen mit dem Ransomware-Angriff sehr sensibilisiert, so dass die Arbeit der IT-Abteilung in diesem Zusammenhang relativ unproble-matisch abläuft. ★ Dr. Götz Güttich


So vermeiden Unternehmen Bußgelder

Der richtige Umgang mit Betrof-fenenanfragenNachdem die Berliner Datenschutzbeauftragte im August 2019 bereits angekündigt hatte, hohe Bußgelder gegen das Unternehmen Delivery Hero verhängen zu wollen, wurden solche nun in Höhe von knapp über 195.000 Euro erlassen. Einen wesentlichen Grund sah die Behörde im nachlässi-gen Umgang mit Betroffenenanfragen, mit dem das Unter-nehmen in einigen Fällen rechtswidrig gehandelt habe.

Die Berliner Datenschutzbeauftragte verwies darauf, dass durch den richtigen Umgang mit solchen Anfragen nicht nur Bußgelder vermieden, sondern auch die Kundenzufrieden-heit und das Vertrauen der Kunden gestärkt würden. Daneben kann mit dem routinierten und ordnungsgemäßen Umgang mit Betroffenenanfragen auch der gesamte Geschäftsablauf optimiert, beschleunigt und effizienter gestaltet werden. Aus diesem Grund sollte die Beantwortung von Betroffenenan-fragen fester Bestandteil eines guten Datenschutz-Manage-mentsystems im Unternehmen sein. Im Folgenden zeigen wir Ihnen, worauf sie dabei achten sollten.

Erster Schritt: Liegt eine Betroffenenanfrage vor?

Die erste Herausforderung besteht darin, eine Kundennach-richt als Betroffenenanfrage nach der DSGVO zu erkennen.

Die wichtigsten Schritte beim Umgang mit Betroffenenan-fragen besteht im Erkennen solcher Anfragen und in der korrekten Antwort darauf.

Bild: gemeinfrei / Pixaba


Fallen dabei Schlüsselbegriffe wie „Datenschutz“, „Informa-tion“, „Auskunft“, „Daten“, „Löschung“, „Spam“, „ohne mei-ne Erlaubnis (…) Daten“, „widerspreche ich“ o.Ä., ist in der Regel von einer Betroffenenanfrage auszugehen. Erst recht sollten Unternehmen hellhörig werden, wenn nach dem Da-tenschutzbeauftragten gefragt oder die Datenschutzbehör-den erwähnt werden.

Diese Formulierungen können auf die verschiedenen An-tragstypen hinweisen, die den jeweiligen Betroffenenrech-ten der DSGVO zuzuordnen sind:

V Das Recht auf Auskunft (Auskunftsrecht)

V Das Recht auf Datenlöschung

V Das Recht auf Einschränkung der Verarbeitung

V Das Recht auf Datenberichtigung

V Recht auf Datenübertragbarkeit

V „Widerruf“ einer zuvor erteilten Einwilligung

V „Widerspruch“ gegen eine konkrete Datenverarbeitung

Zweiter Schritt: Die richtige Antwort

Sodann sollten Unternehmen in einem zweiten Schritt auf die Betroffenenanfrage richtig reagieren. Eine Besonderheit liegt hier darin begründet, dass Anfragen zwar auf allen Ka-nälen (mündlich, elektronisch, telefonisch oder schriftlich) erfolgen können, die Antwort aber bereits aus Dokumentati-onszwecken schriftlich oder ggf. elektronisch erfolgen sollte. Bei elektronischen Antworten sollte vorsichtig vorgegangen werden, da die Datensicherheit bei der Übertragung gewähr-leistet werden muss. Außerdem muss die Antwort in präziser, transparenter und verständlicher Form sowie leicht zugäng-lich für die Betroffenen gegeben werden. Ganz entscheidend ist die Dokumentation der gesamten Kommunikation, um die Vorgänge im Nachhinein auch belegen zu können.

Des Weiteren gibt es eine Frist zu beachten. Es ist vorgese-hen, dass die Beantwortung unverzüglich, spätestens jedoch binnen eines Monats ab Eingang der Betroffenenanfrage er-folgen muss. An dieser Stelle setzen in der Praxis viele Buß-gelder an – so auch im Fall Delivery Hero: Unternehmen las-sen Betroffenenanfragen schlicht zu lange unbeantwortet.


Information als Schlüssel

Kann einer Anfrage aus bestimmten Gründen nicht nachge-kommen werden, ist die betroffene Person darüber zu infor-mieren. Das ist z.B. der Fall, wenn die Person die Löschung ihrer Daten verlangt, dem jedoch gesetzliche Aufbewah-rungspflichten entgegenstehen. Haben Unternehmen sich ei-nes Auftragsverarbeiters bedient, werden Betroffenenanfra-gen u.U. an die Auftragsverarbeiter gerichtet. Diese müssen die Anfrage allerdings nicht beantworten, sondern können sie an den Verantwortlichen weiterleiten. Im Auftragsverar-beitungsvertrag (AVV) sollte geregelt werden, wie Betroffene in dieser konkreten Situation leicht verständlich darüber in-formiert werden, an wen ihre Anfragen zu richten sind und wer sie beantworten muss.

Koordination und fester AblaufGeht eine Anfrage ein, sollte sie zunächst an den Datenschutz-beauftragten des Unternehmens weitergeleitet werden. Um die Bearbeitungsfrist einzuhalten, empfiehlt es sich, im System den Eingang zu notieren und eine Frist zur Wiedervorlage zu speichern. Der betroffenen Person sollte sofort eine Eingangs-bestätigung gesendet werden. Das System sollte umfassend nach allen Daten der betroffenen Person durchsucht werden, damit der Datenschutzkoordinator die Person anhand der Da-ten identifizieren kann. Unternehmen, die gemäß Art. 30 DS-GVO bereits ein umfassendes Verzeichnis der Verarbeitungs-tätigkeiten (VVT) angelegt haben, können diese Datensuche leicht durchführen.Falls erforderlich, kann der Datenschutzbeauftragte jederzeit kontaktiert werden. Sodann ist entscheidend, auf den genau-en Inhalt der Betroffenenanfrage zu achten. Wird etwa eine Löschungsanfrage gestellt, ist der Datenbestand im Umfang der Anfrage zu minimieren. Dementsprechend sollte die Ant-wort des Datenschutzkoordinators an den Betroffenen ausfal-len. Unerlässlich ist eine genaue Dokumentation des gesam-ten Vorgangs durch den Datenschutzkoordinator.

Übersicht: Die einzelnen Betroffenenrechte und die richtige ReaktionMacht eine Person von ihrem Recht auf Auskunft Gebrauch, so ist genau zu berücksichtigen, über welche Vorgänge Aus-kunft verlangt wird. Je nach Anfrage sind der betroffenen


Person die relevanten gespeicherten Daten mitzuteilen und die entsprechenden Informationen zur Verfügung zu stellen. Konkret hat die Person u.a. ein Auskunftsrecht über die Ver-arbeitungszwecke der personenbezogenen Daten (z.B. zum Zweck des E-Mail-Marketings), die Kategorien von personen-bezogenen Daten, die verarbeitet werden (z.B. Kontaktdaten), die Empfänger der Daten (insbesondere in Staaten außerhalb der EU) und die Speicherdauer der personenbezogenen Daten.Macht ein Betroffener von seinem Recht auf Datenberichti-gung Gebrauch, so sind unrichtige Daten zu korrigieren. Das kann teilweise eine Löschung oder Ergänzung, aber auch eine Änderung des Datenbestandes implizieren.Verlangt die betroffene Person die Einschränkung der Ver-arbeitung, so ist diese Verarbeitung im verlangten Umfang einzustellen.Grundsätzlich verlangt das Recht auf Löschung die vollstän-dige Löschung der Daten. Hierbei darf aber nicht außer Acht gelassen werden, dass der Zweck der Löschung in der Regel die Aufhebung der Identifizierbarkeit der Person ist. Kann dieses Ziel auch durch Anonymisierung erreicht werden, so genügt u.U. auch eine solche.Von der DSGVO neu geschaffen wurde das Recht auf Daten-übertragbarkeit. Dabei muss die Person von der verantwortli-chen Stelle in einem strukturierten, maschinenlesbaren und gängigen Format die Daten erhalten, wenn die Verarbeitung in einem automatisierten Verfahren und auf Grundlage einer Einwilligung stattfindet oder zur Durchführung eines Ver-trags erforderlich ist. Eine Besonderheit besteht dann, wenn der Betroffene verlangt, dass Daten direkt zu einem anderen Unternehmen übertragen werden. Unternehmen haben die-ser Aufforderung grundsätzlich nachzukommen. Bei Zwei-feln über die Umsetzung dieses Rechts ist immer sein Zweck vor Augen zu führen: Das Recht auf Datenübertragbarkeit soll Kunden den Wechsel von einem Anbieter zu einem Wett-bewerber (etwa bei Anbietern sozialer Netzwerke) so einfach wie möglich machen.„Widerspricht“ der Betroffene der Datenverarbeitung oder „widerruft“ er eine zuvor erteilte Einwilligung in eine be-stimmte Verarbeitung seiner Daten, geht damit zumeist einher, dass die Datenverarbeitung in Zukunft unrechtmä-ßig wäre und daher eingestellt werden muss. Diese Mög-lichkeit hat der Betroffene, wenn die Datenverarbeitung auf der Grundlage einer Einwilligung (ein „Widerspruch“ wäre


dann als Rücknahme bzw. als „Widerruf“ der Einwilligung zu deuten), aufgrund berechtigter Interessen oder aufgrund der Wahrnehmung einer öffentlichen Aufgabe, die im öffent-lichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem verantwortlichen Unternehmen übertragen ist, durchgeführt wurde.

Fazit

Der wichtigste Schritt beim Umgang mit Betroffenenanfra-gen besteht im Erkennen solcher Betroffenenanfragen. Sind diese erkannt, so erleichtert ein schon im Vorfeld installier-tes Antwort-System die routinierte und ordnungsgemäße Be-arbeitung von Betroffenenanfragen. Ein Verzeichnis der Ver-arbeitungstätigkeiten erleichtert dabei den systematischen Abgleich mit dem vorhandenen Datenbestand und kann er-heblich dazu beitragen, Betroffenenanfragen schnell und lü-ckenlos zu beantworten.

★ Felix Bonstein


Tipps für den Start als CISO

Der erste Tag als CISOEs kann schneller gehen, als man denkt: Die Geschäfts-führung hat Sie als CISO auserkoren. Selbst wenn Sie sich schon lange mit Cyber Security befassen, kommen nun ganz neue Aufgaben auf Sie zu. Da ist es wichtig, gleich am ersten Tag die Weichen richtig zu stellen. Wir haben wich-tige Tipps für Sie zusammengestellt, wie Sie sich für den neuen Alltag als CISO rüsten.

Entweder man arbeitet lange auf eine Karriere als IT-Sicher-heitsverantwortlicher oder CISO hin, oder man wird es plötz-lich. Der Security- und Compliance-Druck, den viele Unter-nehmensentscheider verspüren, führt vermehrt dazu, dass die Wahl des CISOs sehr schnell gehen kann, schneller als es dem oder der Betroffenen lieb ist.

Keine Frage, man kann sich geehrt fühlen, wenn der Vor-stand oder die Geschäftsführung diese Wahl treffen, denn die Aufgabe ist mit einer großen Verantwortung verbunden, wenn auch oftmals nicht mit einem großen Budget. Doch wenn man sich auf eine wichtige Aufgabe nicht gut vorberei-tet, kann der Stress für einen CISO gewaltig werden, schon am ersten Tag.

Vorsicht Fettnäpfchen-Gefahr!Auch wenn man fachlich gut im Thema ist, sich mit Security- und Compliance-Fragen ausführlich befasst hat, lauern bei der neuen Aufgabe als CISO viele Fußangeln. Es sind häufig die weichen Themen wie Kommunikation, die zu ersten Pro-blemen führen.

Auch wenn man sich fachlich gut mit Security- und Compli-ance-Fragen auskennt, lauern bei der neuen Aufgabe als CISO ab dem ersten Tag viele neue Herausforderungen.

(Bild: gemeinfrei / Pixabay)


Ein Beispiel: Sie sind der neue CISO oder die neue CISO und treffen Ihre neuen Security-Mitarbeiterinnen und Mitarbei-ter. Ob dies früher Ihre Kolleginnen und Kollegen waren oder nicht, nun ist eine neue Situation eingetreten. Was Sie jetzt sagen, wird anders beurteilt.Stellen Sie sich also vor, Sie fallen mit der Tür ins Haus und sprechen die Security-Leute in Ihrem Unternehmen auf Punkte an, die Sie schon immer gestört haben und jetzt än-dern wollen. Oder Sie sind voller Tatendrang und sprechen von großen Visionen und Veränderungen, obwohl bei den Leuten der Schuh ganz woanders drückt. Der Tritt ins Fett-näpfchen passiert schnell.

Zuerst geht es um den ÜberblickAnstatt also über neue Vorstellungen zu reden, sollten Sie an das einfache Prinzip der Datenverarbeitung denken. Zu-erst ist die Eingabe, dann die Verarbeitung und dann die Ausgabe. Beginnen Sie deshalb auch als CISO mit der Ein-gabe, also mit dem Sammeln von Informationen, denn Sie brauchen einen Überblick, der zu einem Durchblick werden muss, soweit dies eben nur bei einem komplexen Thema wie Security geht:Lernen Sie Ihr Security-Team (neu) kennen. Dazu sollten Sie ein Team-Meeting machen, bei dem zuerst das Team Fragen an Sie stellen kann, und dann sollten Sie fragen, nach Prob-lemen genauso wie nach Ideen.Nehmen Sie wenn möglich gleich am nächsten Führungs-kräfte-Meeting teil. Hier treffen Sie Ihre wichtigsten Multi-plikatoren und die größten Bremser im Unternehmen. Leider sind die Unterstützer nicht immer diejenigen, die das Secu-rity-Budget verantworten, aber wenn Sie zum Beispiel einen Multiplikator im Rechtsbereich finden, kann diese Person Stimmung für mehr Security machen. Versuchen Sie in je-dem Fall, den CIO oder den CFO zumindest nicht gegen sich aufzubringen, eine fachliche Freundschaft kann später ja immer noch entstehen.Treffen Sie sich mit den IT-Administratoren (nach Abstim-mung mit der IT-Leitung, versteht sich). Bekanntlich haben die Administratoren eine zentrale Aufgabe, viel Wissen und sind wichtig für die Umsetzung vieler IT-Sicherheitsrichtlini-en. Nicht zuletzt müssen Sie die Administratoren aber auch (vorsichtig) sensibilisieren, denn bei ihnen lauern auch gro-ße IT-Sicherheitsrisiken.


Sprechen Sie mit den verschiedenen Beauftragten, also Da-tenschutzbeauftragten, Qualitätsmanagementbeauftragten und was es sonst noch bei Ihnen an Beauftragungen gibt. Diese Beauftragten können zwar nicht direkt beim Budget helfen, aber sie können durchaus Argumente liefern für mehr Security, und sie haben oftmals wertvolle Informati-onen und Dokumentationen, die Ihnen helfen können, auch die (scheinbaren) Randgebiete der Security besser kennen-zulernen.

Das Verzeichnis von Verarbeitungstätigkeiten (früher Ver-fahrensverzeichnis) aus dem Datenschutz kann eine gute Informationsquelle sein (sofern es denn schon eines gibt). Ebenso können die Prozessbeschreibungen aus dem Quali-tätsmanagement einen hilfreichen Überblick bieten. Nicht zuletzt sind Security-Risiken Teil der Business-Risiken. Sprechen Sie mit dem Risk Manager, welche Risikoanalysen bereits vorliegen. Es gibt viele Synergien, die sich nutzen lassen, es gibt nicht nur die Unterschiede in den Prioritäten zum Beispiel zwischen Datenschutz und Security, sondern viele Gemeinsamkeiten.

Natürlich helfen Ihnen auch alle Security-Unterlagen, die es bereits im Unternehmen gibt, alle Security-Konzepte und -Richtlinien, die vielleicht ja unvollständig oder veraltet sind, aber einen Anfang darstellen, der besser ist als ein lee-res Blatt Papier.

Schließlich: alle Mitarbeiterinnen und Mitarbeiter sollten wissen, dass Sie der oder die neue CISO sind. Wahrscheinlich wird nicht gerade ein Sommerfest anstehen, bei dem Sie eine kleine Ansprache machen können. Aber es gibt vielleicht ein Intranet, einen internen Newsletter, wo Sie sich vorstellen und als Ansprechpartner anbieten können.

Werden Sie zum Gesicht der Security

Viele Security-Experten sind nicht so gerne im Rampenlicht, selbst wenn zum Beispiel gerade ein komplexer Angriff er-kannt und abgewehrt wurde, bleiben sie gerne im Hinter-grund. Da gibt es viele Bereiche in dem Unternehmen, die sich für weitaus kleinere Erfolge feiern lassen.

Sie müssen als CISO nicht zum Verkaufsstar werden, der je-den unterschriebenen Auftrag durch die Gänge der Firma trägt und vorzeigt. Aber Sie müssen sichtbar und präsent


sein und die Bedeutung der Security zeigen, vielleicht sogar verkörpern. Mrs. Security oder Mr. Security genannt zu wer-den, muss nicht Ihr Ziel sein, aber es wäre nicht schlecht, wenn man Sie so sieht.

Erfreulich ist, dass Sie dazu keine Werbekampagne machen müssen, Sie müssen einfach nur vor Ort sein, also Ortsbege-hungen machen. Vieles können Sie zwar über Ihre Manage-ment-Systeme abrufen und in Berichten nachlesen, aber ver-lassen Sie wann immer möglich Ihr Büro und sprechen Sie mit den Leuten, gleich vom ersten Tag an.

Bekanntlich sind wir Menschen immer noch das Sicherheits-risiko Nummer 1, aber auch gleichzeitig ein mögliches Boll-werk gegen Social Engineering, wenn wir die Sicherheit vor Augen haben. Da hilft es, den oder die CISO vor Augen zu haben, nicht nur bei Security-Schulungen, sondern im be-trieblichen Alltag. Diese Präsenz kostet Zeit, aber es ist eine gut investierte Zeit. Sie werden sehen, was Sie alles erfah-ren werden, was für Ihre Arbeit als neuer CISO wertvoll sein wird.

VV Oliver Schonscheck


Zwei Jahre Datenschutz-Grundverordnung

Was an der DSGVO geändert werden soll und kannDie letzten Wochen und Monate haben sich sowohl Wirt-schaftsverbände und Datenschutz-Vereinigungen als auch die Aufsichtsbehörden für den Datenschutz zu ihren Erfah-rungen und Wünschen geäußert, was an der Datenschutz-Grundverordnung (DSGVO / GDPR) geändert werden sollte. Einiges davon hätte man bereits angehen können, anderes müsste den langen Weg der EU-Gesetzgebung gehen.

Bei der Kritik, die an der Datenschutz-Grundverordnung im Vorfeld und seit ihrer Anwendung geübt wurde, wäre es er-staunlich gewesen, wenn die Evaluation der DSGVO durch Wirtschaftsverbände keinen Änderungsbedarf ergeben hätte. Doch auch die Politik, verschiedene Datenschutz-Vereinigun-gen und die Aufsichtsbehörden für den Datenschutz sehen Be-darf für Veränderungen an der DSGVO.

Die DSGVO sieht auch selbst eine Evaluierung vor: „Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht“, findet man in Artikel 97 DSGVO.

Die Evaluierung könnte sich allerdings leicht verzögern. „Die Kommission wird voraussichtlich am 10. Juni einen Bericht über die bisherige Anwendung der Datenschutz-Grundverord

Die aktuelle Form der DSGVO kann mehr und bietet mehr, als bisher genutzt wird

(Bild

: gem

einf

rei /

Pix

abay

)


nung vorlegen“, so eine Information des EU-Parlaments. Span-nend ist es in jedem Fall, sich den bereits angemeldeten Hand-lungsbedarf anzusehen, denn so manches davon könnte man ohne langwieriges EU-Gesetzgebungsverfahren angehen.

Was die Aufsichtsbehörden sagen

Insgesamt hat sich gezeigt, dass die Verantwortlichen in Ba-den-Württemberg sich in vielen Bereichen alltagstauglichere Lösungen wünschen und einige Vorschriften nur schwer auf datenverarbeitende Tätigkeiten kleiner Unternehmen oder ehrenamtlicher Arbeit anwendbar sind, erklärte zum Bei-spiel der Landesbeauftragte für Datenschutz und Informati-onsfreiheit Baden-Württemberg.

Im Vordergrund stehen demnach vor allem Fragen rund um eine mögliche Entlastung bei den Informations-, Trans-parenz- und Auskunftspflichten, aber auch bei Fragen der Gemeinsamen Verantwortlichkeit und der Auftragsverarbei-tung.

Interessant ist dabei auch diese Aussage der Aufsichtsbehör-de: Die Datenschutzaufsicht in Baden-Württemberg orien-tiert sich am Leitsatz „Wenn es nicht sinnvoll ist, dann ist es kein Datenschutz“.

Betrachten wir die EU-Ebene: Am 18. Februar 2020 hatte der Europäische Datenschutzausschuss (EDSA) einen gemein-samen Antwortbeitrag zur Evaluierung der Datenschutz-Grundverordnung (DSGVO) beschlossen. Die Europäische Kommission hatte den EDSA um einen Beitrag zum Evalu-ierungsverfahren gebeten. Der Ausschuss betont in seiner Antwort die Bedeutung der DSGVO für den Schutz und die Stärkung des Grundrechts auf Datenschutz innerhalb der EU.

Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber: „Meine Kollegen und ich halten groß angelegte gesetzliche Ände-rungen an der DSGVO für verfrüht. Wir sehen aber Bedarf für Verbesserungen bei der praktischen Umsetzung. Das gilt insbesondere im Bereich der Zusammenarbeit der Daten-schutzaufsichtsbehörden in grenzüberschreitenden Verfah-ren. Unterschiede in den nationalen Verwaltungsverfahren dürfen nicht dazu führen, dass die Effektivität der Durchset-zung der DSGVO gegenüber Unternehmen, die Datenschutz-verstöße begangen haben, beeinträchtigt wird.“


Im Hinblick auf den internationalen Datenverkehr betont der EDSA die Bedeutung der Angemessenheitsbeschlüsse der Europäischen Kommission. Er fordert die Kommission auf, die Beschlüsse über EU-Standardvertragsklauseln für Daten-übermittlungen in Drittstaaten zu überarbeiten.

Verbände beklagen BürokratiehürdenTrotz großer anfänglicher Sorgen hat sich die DSGVO nach rund zwei Jahren als grundsätzlich taugliches Regulierungsin-strument etabliert, so der Verband der Internetwirtschaft eco. Gleichzeitig ergeben sich für den Verband der Internetwirt-schaft bei der Umsetzung noch zu viele ungelöste Rechtsfragen und praktische Probleme. Dies gilt insbesondere für Entwickler und Anbieter KI-basierter Systeme.Dazu sagt eco Geschäftsführer Alexander Rabe: „Die Schaffung eines einheitlichen europäischen Rechtsrahmens mit der Da-tenschutzgrundverordnung war der richtige Schritt hin zu ei-ner verantwortungsvollen Datenpolitik: Bürokratische Hemm-nisse und Rechtsunsicherheiten im Datenschutz können nur durch einen ganzheitlichen europäischen Ansatz überwunden werden. Die DSGVO kann jedoch nur dann zum Game-Changer für Europa werden, wenn ein präziser und einheitlicher Rechts-rahmen besteht. Unsicherheiten, wie sie aktuell noch bei der Verarbeitung von KI-Trainingsdaten sowie Transparenz- und Informationsverpflichtungen bei automatisierten Entschei-dungsfindungen auftreten, müssen beseitigt werden. Zu viele bürokratische Hemmnisse sorgen derzeit dafür, dass die DS-GVO in ihrer jetzigen Form weder innovationsfreundlich noch marktgerecht ist.“Auch der Digitalverband Bitkom hat eine Bewertung abgege-ben: „Nach der geplanten Evaluierung der Datenschutzregeln muss die EU den grundsätzlichen Geburtsfehler beseitigen“, so Bitkom-Präsident Achim Berg. „Die DSGVO reglementiert jeden einzelnen Datenverarbeitungsvorgang und jede Daten-erhebung. Vereine, Startups und Großkonzerne werden über denselben Kamm geschoren und nicht differenziert behandelt. Die in der DSGVO vorgesehenen Ausnahmen für kleinere Un-ternehmen kommen in der Praxis so gut wie nie zum Tragen. Dabei sollten Art und Umfang der Datenverarbeitungen aus-schlaggebend für die Verpflichtungen sein, auch sollte man die Regeln grundsätzlich vereinfachen. In der Forschung sollten der Datennutzung weniger Hürden in den Weg gestellt werden – insbesondere für EU-weite Projekte im Gesundheitsbereich.“


Unklarheiten beseitigen, Vorgaben schärfen

Trotz umfangreicher Aufklärungsangebote und Hilfestellun-gen gebe es bei den Rechtsanwendern noch immer zahlreiche Fragen und Unsicherheiten, so auch Bayerns Innenminister Joachim Herrmann bei einer Konferenz mit den bayerischen Industrie- und Handelskammern und der Wirtschaftskam-mer Österreich.

Es gebe in der Anwendung noch grundsätzlichen Klärungs-bedarf. So werden laut Herrmann beispielsweise einige der neu eingeführten Instrumente bisher in der Praxis nur ver-einzelt genutzt. Als Beispiele nannte er die Verhaltensregeln, die Zertifizierung, die Einführung eines Europäischen Da-tenschutzsiegels oder auch das Kohärenz-Verfahren. „Die Kommission muss dringend analysieren, woran die Zurück-haltung in diesem Bereich liegt und Vorschläge für eine Ab-hilfe vorlegen“, forderte der Minister.

Vorhandene Werkzeuge sollten besser genutzt werden

Der von dem Bayerischen Innenminister vorgebrachte Punkt, einige der neu eingeführten Instrumente würden bisher in der Praxis nur vereinzelt genutzt, ist sehr angebracht und wichtig. Betrachtet man die Änderungswünsche, die von verschiedenen Stellen genannt werden, sind durchaus Punk-te darunter, die sich ohne jede Änderung an der EU-Verord-nung angehen ließen.

Es versteht sich, dass alle Punkte, die tatsächlich die DS-GVO verändern würden, nicht kurzfristig zu realisieren sind. Wie lange der Weg der EU-Gesetzgebung sein kann, zeigt sich zum Beispiel gegenwärtig an der E-Privacy-Verordnung (ePVO).

Es ist deshalb sinnvoll, alle Erfahrungen und Änderungs-wünsche zu überprüfen, ob sich denn nicht schon heute et-was verändern lassen würde, ohne weitere Gesetzgebungs-initiativen, also im Rahmen der bestehenden DSGVO.

Wenn zum Beispiel konkretere Vorgaben zur Umsetzung der Datenübertragbarkeit gewünscht werden, dann könnte dies auch heute schon geschehen, über Verhaltensregeln.

Verbände und andere Vereinigungen, die „Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“, können Verhaltensregeln ausarbeiten oder ändern oder er-


weitern und der zuständigen Aufsichtsbehörde zur Geneh-migung vorlegen, so Artikel 40 DSGVO. Dazu gehören Be-reiche wie „Ausübung der Rechte betroffener Personen“. Genau hierunter fällt das Recht auf Datenübertragbarkeit. Es ist also in der heutigen DSGVO bereits vorgesehen, dass es dazu Verhaltensregeln geben könnte, ebenso zu den beson-deren Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen, auf die ebenfalls von den Wirt-schaftsverbänden hingewiesen wird.

Es lohnt sich, alle bisherigen Möglichkeiten und Instrumen-te der DSGVO zu betrachten und wirklich zu nutzen, um den Datenschutz voranzubringen und die Umsetzung der DSGVO zu optimieren. Die Ausarbeitung und Genehmigung von Ver-haltensregeln zum Beispiel werden einige Zeit in Anspruch nehmen, doch man kann sich vorstellen, dass hier schneller Erfolge zu sehen sind als im Rahmen der komplexen EU-Ge-setzgebung. Die gegenwärtige DSGVO kann mehr und bietet mehr, als bisher genutzt wird.

VV Dipl.-Phys. Oliver Schonscheck


CISOs sind hohen Belastungen ausgesetzt

Die größten Belastungen für Se-curity-VerantwortlicheHohe Compliance-Anforderungen, steigende Cyber-Risi-ken, die fortschreitende Digitalisierung und die sehr dy-namische Entwicklung der IT sorgen ebenso für die starke Belastung eines CISOs wie der bekannte Fachkräfteman-gel in der Security. Die Überlastung von Security-Verant-wortlichen ist kein persönliches Problem, sondern ein Un-ternehmensrisiko.

Der neue Datenrisiko-Report von Varonis Systems zeigt er-neut ein alarmierendes Ausmaß an Exposition interner und sensibler Dateien, trotz der Datenschutz-Grundverordnung (DSGVO). So sind durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich, in jedem zweiten Unternehmen (53 Prozent) können alle Mit-arbeiter auf mehr als 1.000 sensible Dateien zugreifen, bei fast ebenso vielen (51 Prozent) unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung.

Es gibt viele, weitere Beispiele für die bestehenden und wachsenden Herausforderungen in der Datensicherheit: So zeigt eine Tanium-Umfrage, welche Kompromisse CIOs und CISOs in der IT-Sicherheit und im IT-Betrieb aufgrund von betrieblichen Erfordernissen eingehen. 87 Prozent der be-fragten CIOs und CISOs in Deutschland müssen beim Schutz des Unternehmens vor technischen Störungen, beispielswei

Die Probleme in der IT-Sicherheit werden nicht weniger und die Belastungen für Security-Verantwortliche werden immer größer.

© B

ild: g

emei

nfre

i / P

ixab

ay


se durch Cyber-Bedrohungen und Ausfälle, Kompromisse eingehen. Einer der wichtigsten Gründe für diese Kompro-misse ist demnach die veraltete IT - 34 Prozent sind der Mei-nung, dass sie deshalb handlungsunfähig sind. Ebenfalls 34 Prozent müssen sich darauf konzentrieren, den Geschäfts-betrieb aufrecht zu halten. Weiterhin müssen 29 Prozent der Befragten mit inkonsistenten, unvollständigen Datensätzen arbeiten.

Viele CISOs möchten sich neben der IT auch stärker in andere Abteilungen einbringen, um deren Anforderungen besser zu verstehen und Bedrohungen besser bekämpfen zu können.Gleichzeitig sind viele CIOs und CISOs wegen der möglichen Auswirkungen solcher Kompromisse besorgt: 35 Prozent der deutschen Befragten fürchten einen möglichen Verlust von Kundendaten. 30 Prozent halten Vertrauensverlust bei Kun-den für eine mögliche Folge. Darüber hinaus denken 29 Pro-zent, dass Schwachstellen zu einem falschen Eindruck bei Stakeholdern hinsichtlich der Widerstandsfähigkeit gegen-über Störungen führen könnten.

CISOs müssen zu vielen Anforderungen gerecht wer-denEs ist für einen CISO keineswegs einfach, den Anforderun-gen der Compliance wie der DSGVO gerecht zu werden, ohne ausreichende Mittel, zu denen neben den Budgets immer auch Personal und Zeit gehören. Ebenso ist es nicht leicht, auf Basis der Gegebenheiten im jeweiligen Unternehmen neuartige Bedrohungen abzuwehren, wenn die IT veraltet ist. Die zahlreichen Pflichten zerren ebenso an einem CISO wie die Einschränkungen, die bei der Umsetzung der Anfor-derungen bestehen, eine klassische Zwickmühle.Schnell kommen einem die bekannten Bilder der Betten ei-nes CEOs, CIOs, CFOs und CISOs in den Sinn: Während CEO, CIO und CFO in unterschiedlichen Lagen in ihren Betten ge-zeigt werden und sich herumwälzen, ist das Bett des CISOs leer. Wie immer überzeichnen solche Bilder, doch es steckt auch viel Wahrheit über den CISO darin.

Umfragen belegen Burnout-GefahrCybersicherheit führt zum Burnout, so eine Aussage, der Symantec in Zusammenarbeit mit der University of Lon-don nachgegangen ist. Die Studie zeigt, wie Regulierungen,


wachsende Bedrohungen und technologische Komplexität zunehmend die Cyber-Security-Entscheider in Deutschland, Frankreich und Großbritannien überfordern:V Bereits 41 Prozent (37 Prozent in Deutschland) stimmen zu,

dass ein Sicherheitsvorfall unvermeidlich scheint.

V Zwei Drittel (68 Prozent insgesamt, 74 Prozent in Deutsch-land) fühlen sich durch die überwältigende Zahl an mögli-chen Bedrohungen zeitweise wie gelähmt.

V 63 Prozent denken bereits darüber nach, die Branche zu wechseln oder ihrem aktuellen Arbeitgeber zu kündigen (64 Prozent).

V Ein Drittel (33 Prozent insgesamt, 35 Prozent in Deutsch-land) berichten, dass die hohe Anzahl an Benachrichtigun-gen über mögliche Bedrohungen die Situation zunehmend verschlimmert.

Angesichts dieser enormen Arbeitsbelastung gaben die meisten Befragten an (67 Prozent insgesamt, 72 Prozent in Deutschland), dass ihr Cyber-Security-Team am Ende des Ar-beitstages die Bedrohungswarnungen nicht komplett über-prüft hat.

CISO-Probleme sind ernste Unternehmensrisiken

Doch wie nehmen die CISOs selbst diese Probleme wahr? Auch das zeigt die oben genannte Studie:

V Zwei Drittel der Security-Experten (65 Prozent insgesamt, 67 Prozent in Deutschland) meinen, sie seien zum Schei-tern verurteilt.

V Dennoch scheinen die hohe Arbeitsbelastung und der Druck nicht abzuschrecken. Die überwiegende Mehrheit der Security-Experten meinen selbst Adrenalin-Junkies zu sein, die vollständig in ihrer Arbeit aufgehen, selbst wenn es stressig werden würde (92 Prozent in Deutschland und insgesamt).

V Neun von zehn fühlen sich durch stressige Situationen zusätzlich motiviert und 92 Prozent (insgesamt und in Deutschland) berichten, dass sie ihr Arbeitsumfeld span-nend finden.

Die Unternehmensleitung sollte dennoch die hohen Belas-tungen der CISOs sehr ernst nehmen, nicht nur als Pflicht eines Arbeitgebers. Leiden die Security-Verantwortlichen,


kann eines Tages die Security darunter leiden, denn unter Hochlast kann auf Dauer kaum jemand immer die richtigen Entscheidungen treffen. Bereits der Zeitmangel führt dazu, dass Security-Vorfälle zu spät entdeckt werden könnten.

Auch wenn die Hoffnung besteht, dass Künstliche Intel-ligenz (KI) bei dem Fachkräftemangel in der Security aus-helfen kann: Der Security-Entscheider braucht mehr als die Unterstützung durch KI, er braucht auch in Zukunft einen klaren Kopf, um die finale Entscheidung auf Basis der KI-Vorschläge zu treffen.

Deshalb sollten CISOs wo immer möglich von Aufgaben ent-lastet werden, die keine Security-Expertise bedürfen. Hier gibt es oftmals viele Aufgaben, die einem CISO zusätzlich auferlegt werden. Das ist ein Risiko, auch für das Unterneh-men wohlgemerkt.

★ Dipl.-Phys. Oliver Schonschek


Der CISO und der Stellenwert der Security

Warum CISOs das Security-Marketing verändern müssenGute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen.

Kein Online-Banking, wenig Social Media oder der Verzicht auf Cloud-Dienste: Sechs von zehn Internetnutzern (62 Pro-zent) verzichten aus Sicherheitsgründen bewusst auf be-stimmte Online-Dienste, wie der Digitalverband Bitkom be-richtete. Sicherheit ist den Anwendern wichtig, denn neun von zehn Internetnutzern (89 Prozent) sehen eine wachsen-de Bedrohung durch Internetkriminalität. Im Vorjahr sagten dies erst 85 Prozent.

Unternehmen, die diese Sorgen der Interessenten und Kun-den nicht zerstreuen, die also nicht durch ihre Sicherheit überzeugen, können wirtschaftliche Nachteile erleiden. So jedenfalls argumentiert man gerne, wenn es um die Bewil-ligung des höheren Security-Budgets geht. IT-Sicherheit ist wichtig für den Erfolg auf dem Markt, ja Sicherheit ist sogar ein Wettbewerbsvorteil, so lauten typische Argumente.

CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit.

(Bild

: gem

einf

rei /

Pix

abay

)


Die Wirklichkeit sieht leider anders aus

Jeder kennt solche Umfragen, nach denen die befragten Nutzer stark auf die Sicherheit achten und bei einem Cloud-Dienst eher dann aktiv werden wollen, wenn sie von der Si-cherheit und dem Datenschutz überzeugt sind.

Doch die Sicherheit hat trotzdem nicht den Stellenwert, den man vermuten könnte. Eine aktuelle Umfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist ernüchternd: Weniger als ein Drittel der befragten Instituti-onen verstehen Cyber-Sicherheit als Chance für Innovation. Nur 29 Prozent der Teilnehmer erkennen Cyber-Sicherheit als Wettbewerbsvorteil. 61 Prozent versprechen sich keinen Mehrwert von Cyber-Sicherheit.

Wie kann das sein? Bedeutet das, dass der Hinweis auf den Wettbewerbsvorteil durch Security falsch ist, kein Argument für ein höheres IT-Sicherheitsbudget ist oder in Zukunft nicht mehr sein wird?

Wert der Security wird falsch eingestuft

Laut einer Studie von Thycotic beklagt fast ein Drittel der be-fragten IT-Security-Manager, dass die Unternehmensleitung ihre Arbeit nach wie vor mehr als Kostenfaktor denn als Ver-mögenswert betrachtet. Das könnte daran liegen, dass laut 65 Prozent der Befragten, Vorstand und Geschäftsführung den Geschäftsnutzen von Security-Investitionen nicht im-mer erkennen. Nur 15 Prozent der befragten IT-Sicherheits-entscheider sind demnach der Meinung, dass die Geschäfts-führung sich der Bedeutung der Security beim Erzielen von Wettbewerbsvorteilen bewusst ist.

Doch ist Security wirklich ein Wettbewerbsvorteil, vergleich-bar mit einem besseren Preis, einer schnelleren Lieferung oder anderen positiven Faktoren rund um ein Waren- oder Dienstleistungsangebot? Genau betrachtet, ist Security nicht mit diesen Wettbewerbsvorteilen vergleichbar. Aus diesem Grund ist es auch nicht verwunderlich, wenn die Geschäfts-leitung andere Wettbewerbsvorteile als wichtiger ansieht.

Security ist kein Vorteil, sondern das Fundament

Betrachtet man so manche Werbung für IT-Produkte und Lösungen, dann findet man Aussagen wie „Hohe Sicher-


heit“ oder „DSGVO-Konform“. Beide Aussagen können gute Werbebotschaften sein, sie machen aber eigentlich keinen Sinn. Eine IT-Lösung oder ein IT-Produkt müssen eine ange-messene Sicherheit haben und der DSGVO entsprechen, an-dernfalls werden gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) der EU nicht eingehalten.

Ein Mehr an Sicherheit und Datenschutz, über die bestehen-den Anforderungen hinaus, kann dagegen ein Vorteil ge-genüber dem Wettbewerber sein. Einerseits könnte man ei-nen Wettstreit, wer mehr Sicherheit und Datenschutz bieten kann, als positiv empfinden. Andererseits hat es auch deut-liche Nachteile, wenn man in einen Security-Wettbewerb mit Marktbegleitern tritt.

Security sollte nicht als Wettbewerb gesehen werdenWer Security mit der Marketing-Brille betrachtet, konzent-riert sich eher auf „Hype-Themen“ als auf die Grundlagen-bereiche der Security, die bei vielen Unternehmen weiterhin lückenhaft sind. So bringt es wenig, mit der neusten Securi-ty-Technologie zu werben, gleichzeitig aber den Basisschutz nicht vollständig umzusetzen.Natürlich klingt es besser, auf Security mit der neusten KI (Künstlicher Intelligenz) zu verweisen, als zu sagen oder zu schreiben, dass man seine Backups auch wirklich regelmä-ßig macht. Doch bei einem IT-Sicherheitsvorfall kann sich es schnell rächen, wenn man die wenig spektakulären Securi-ty-Aufgaben außer Acht gelassen hat.

Ein weiterer Grund, warum der Marketinggedanke in der Security verändert werden sollte: Wer Security als Wett-bewerbsvorteil ansieht, wird sich eher nicht innerhalb der Branche austauschen und helfen, zum Beispiel durch die gegenseitige Warnung vor Bedrohungen und den Austausch von Threat Intelligence.Während sich Security-Anbieter austauschen und innerhalb der Lieferkette entsprechende, gegenseitige Security-War-nungen erwartet werden, findet der Austausch mit einem Wettbewerber nicht so ohne weiteres statt, wie verschiedene Gespräche des Autors gezeigt haben. Dabei wäre zum Bei-spiel der Hinweis auf eine branchenspezifische Attacke auch unter Wettbewerbern für die Security insgesamt mehr als hilfreich.


Was dies für CISOs bedeutet

Für IT-Sicherheitsverantwortliche kommen dadurch weitere Aufgaben hinzu, denn ein gezielter Austausch mit dem eige-nen Marketing und der Geschäftsleitung ist wichtig. Dabei sollte aus Security-Sicht betont werden, dass IT-Sicherheit kein Wettbewerbsvorteil unter vielen ist, dass sich Security alleine dadurch lohnt, dass sie die Grundlage für die Digita-lisierung und für das Geschäft mit Kunden darstellt.

Es ist vielmehr so, dass ein Mangel an Security schlecht für das Marketing und den Kundenerfolg ist und zudem Sank-tionen und Bußgelder nach sich ziehen kann. Es geht aber nicht darum, von der positiven Argumentation für Security abzurücken, sondern den Stellenwert der Security richtig zu stellen.

Wenn man auf der Entscheiderebene begreift, dass es nicht darum geht, mehr Sicherheit als der Wettbewerber zu bieten, sondern die Sicherheit, die dem Risiko entspricht, ist viel ge-wonnen, auch für die Argumentation bei Budgetgesprächen, da das Risiko nicht abnimmt, sondern fortlaufend steigt.

� ★ Dipl.-Phys. Oliver Schonschek


Datenaustausch kontra Datenschutz

EU-US Privacy Shield – was nun?Das Safe Harbor-Abkommen zwischen den USA und Euro-pa sollte der große Wurf in Sachen Datenschutz werden, bis der EuGH das Abkommen 2015 für ungültig erklärte. Das danach ersonnene EU-US-Privacy-Shield hielt dann nur noch fünf Jahre durch, bevor auch dieses – wieder durch Klagendes Datenschutzaktivisten Max Schrems vor dem EuGH – für ungültig erklärt wurde. Jetzt frag sich viele Unternehmen, wie es jetzt weiter gehen soll.

Bereits im Jahr 2000 hatte sich die Europäische Kommission beraten und entschieden, dass der vom US-Handelsministe-rium erstellte Rahmen den europäischen Datenschutzstan-dards entspricht – Safe Harbor war geboren. Zum damaligen Zeitpunkt funktionierte der Beschluss recht gut. Ungefähr 4.000 globale Organisationen haben sich bei ihren Geschäfts-abwicklungen und beim Austausch von Daten weltweit auf den Rahmen von Safe Harbor verlassen. Insbesondere beim Datenaustausch zwischen Niederlassungen in der EU und den USA. Rund 15 Jahre später allerdings zeigt sich der Ös-terreicher Max Schrems äußerst verärgert darüber, dass das Social-Media-Unternehmen Facebook seine Daten in die USA und folglich (im Rahmen des PRISM-Programms) an die Na-tional Security Agency überträgt. 2015 erringt Schrems ei-nen juristischen Sieg gegen Facebook. Safe Harbor wird für null und nichtig erklärt. Doch wie sollten die besagten rund 4.000 Unternehmen und unzählige weitere jetzt Daten ver-schieben, die sie nach wie vor austauschen müssen?

Das Urteil des EuGH zum EU-US-Privacy-Shield hat für einige Verwirrung ge-sorgt, was genau jetzt zu tun sei. Unternehmen suchen jetzt hektisch nach passenden Schutzmaßnahmen.

(Bild: gemeinfrei / Pixabay )


Anfang des darauffolgenden Jahres setzen sich die USA und die EU-Kommission erneut zusammen, um an einem neu-en, verbesserten Rahmen zu arbeiten. EU-US Privacy Shield wird beschlossen. Der Swiss-US Privacy Shield folgt kurze Zeit später. Anfangs waren die Hoffnungen groß, dass die-ses neue Programm alle Datenschutzbedenken berücksich-tigt. Allerdings keimte recht bald Unsicherheit auf, ob es wirklich so langlebig sein würde. Über 5.000 Unternehmen hatten da bereits Zeit, Geld und Ressourcen in die Privacy-Shield-Zertifizierung investiert. Verständlicherweise schrill-ten bei diesen Firmen sämtliche Alarmglocken, und nicht wenige fühlten sich in die Zeiten des Safe-Harbor-Fiaskos zurückversetzt. Nur vier kurze Jahre später war es soweit. Am 16. Juli 2020, entschied der EU-Gerichtshof (EuGH) er-neut zugunsten von Schrems und erklärte Privacy Shield für die Übertragung von Daten in die USA als ungültig. Das Ur-teil wurde sofort wirksam, Unternehmen hatten keine Über-gangsfristen. Naturgemäß hat das Urteil für einige Verwir-rung gesorgt, was genau jetzt zu tun sei. Gleichzeitig suchen Unternehmen nach passenden Schutzmaßnahmen, die dann auch noch umgesetzt werden müssen.Doch bevor wir uns mit der Zukunft und mit dem, was uns derzeit zur Verfügung steht, befassen, wollen wir uns kurz ansehen, was die Aufhebung der beiden vorherigen Rah-menwerke verursacht hat. Das trägt dazu bei, eine geeigne-te Lösung zu finden und bewahrt uns hoffentlich davor, für dieselben Schwächen anfällig zu sein.Safe Harbor wurde hauptsächlich wegen der US-Sicherheits-behörden annulliert. Die erlaubten es angemeldeten Unter-nehmen, Daten mit den Behörden zu teilen, die selbst nicht Teilnehmer des Programms waren und somit auch nicht den damit verbundenen Schutzmaßnahmen unterlagen.Es gab keinerlei Maßnahmen, mit denen man hätte nachwei-sen können (auf welche Art und Weise auch immer), dass die Daten, die dort landeten, angemessen geschützt bleiben. Eine unüberwindbare Hürde. Es waren ganz ähnliche Feh-ler, die Privacy Shield zu Fall gebracht haben. Der EuGH kam zu dem Schluss, dass der Rahmen die Bedürfnisse der US-Sicherheitsbehörden über die Bedürfnisse der betroffenen Datensubjekte, also der Bürger aus Europa gestellt hat. Es stellt sich die Frage: Können EU-Organisationen in unserer Welt des Internets und globaler Konnektivität dann über-haupt noch Daten in die USA übertragen?


Im jüngsten Urteil vom Juli dieses Jahres lehnen die Rich-ter eine weitere Causa Schrems ab, wonach neben Privacy Shield auch die Standardvertragsklauseln (Standard Con-tractual Clauses, SCCs) ungültig werden sollten.

Diese SCCs sind quasi Ihr Ticket für transatlantische Daten-übertragungen. Wenn ein in der EU ansässiges Unternehmen von all dem nicht betroffen sein will, wäre es das einfachs-te, die Datenflüsse so umzustrukturieren, dass keine Daten an einen in den USA ansässigen Betrieb gesendet werden. Je nach dem wie Prozesse und Verfahren verankert sind, kann sich das als (zu) schwierig erweisen. Werfen wir deshalb ei-nen Blick darauf, ob und wie SCCs nach derzeitigem Stand der Dinge helfen können.Die USA sind jetzt, wie viele andere Regionen auch, ein so-genanntes „Drittland“ (also ein Ort, dessen innerstaatliche Datenschutzgesetze nicht bedeutender oder gleichbedeutend mit denen der EU sind). Wie bei jedem Transfer von der EU in ein Drittland können Sie sich zumindest auf absehbare Zeit weiterhin auf SCCs verlassen. Datenexporteure müssen jetzt vor jeder Übertragung nachweisen, dass diese Daten genau-so geschützt sind wie innerhalb der EU. Wenn Sie sich in der Vergangenheit bei anderen Übertragungen bereits auf SCCs verlassen haben, ist das für Sie nichts Außergewöhnliches. Für den, der keine Erfahrung mit SCCs gesammelt und sich ausschließlich auf Safe Harbor/Privacy Shield verlassen hat, für den wirkt dieser Bereich anfangs sehr unübersichtlich. Angesichts der Urteilsbegründung für beide Aufhebungen (die Befugnisse der US-Überwachung), ist der Nachweis ei-nes angemessenen Schutzniveaus keine ganz geringe Her-ausforderung.Apropos Drittländer: Auch Großbritannien wird nach dem Dezember 2020 auf dieser Liste stehen. Jedenfalls, wenn bis dahin keine Angemessenheits entscheidung getroffen wird. Nach dem Austritt aus der EU will das Vereinigte Königreich weiterhin in der Lage sein, Daten genau so wie heute sowohl in die USA als auch in die EU zu übertragen – nämlich un-gehindert. Allerdings gilt im Vereinigten Königreich ein Ge-setz zur Sicherheitsüberwachung (der Investigatory Powers Act 2016), das den Regelungen der USA nicht unähnlich ist. Können für das Vereinigte Königreich wirklich andere Stan-dards gelten als für die USA? Natürlich nicht. Berücksichtigt man dazu den Wunsch des Vereinigten Königreiches, auch die Datenbeziehungen zu den USA aufrechtzuerhalten, ist es


nur schwer zu rechtfertigen, das Land zusätzlich mit „Ange-messenheit“ zu belohnen. Als Drittland zu gelten, würde be-deuten, dass jeder in der EU ansässige Betrieb, der mit dem Vereinigten Königreich Handel betreiben (also Daten dorthin übertragen) will, SCCs implementieren müsste. Erst die Zeit wird zeigen, ob das zu einer schwerwiegenden zusätzlichen Hürde werden wird. Allerdings steht heute schon fest, dass die Dinge dadurch weder einfacher noch effizienter werden.Wo kommen die SCCs ins Spiel und was zeichnet sie aus? SCCs sind standardmäßige, nicht verhandelbare Bedingun-gen und Pflichten, die beiden Parteien auferlegt werden und den Schutz der Daten gewährleisten. Dem Daten-Exporteur kann versichert werden, dass der Importeur diesen Daten den gleichen Schutz gewährt, als hätten sie den EWR nie verlassen. Dies ist ein kritisches Unterscheidungs-merkmal beim Umgang mit Betreibern in Drittländern. Die Verpflich-tungen stehen im Einklang mit der DSGVO, sodass Ihr Da-tenimporteur die Einhaltung effektiv erzwingt, unabhängig davon, ob sie aufgrund der auferlegten Verpflichtungen und Verantwortlichkeiten von Natur aus in Kraft sind oder nicht.SCCs haben allerdings einige Einschränkungen, die es zu beachten gilt, wenn man sie als Rechtsgrundlage verwenden will. Insbesondere muss man beachten wohin die Daten über-tragen werden. Der EuGH hat klargestellt, dass SCCs nicht als angemessen angesehen werden, wenn ein innerstaatli-ches Gesetz es Behörden oder Sicherheitsdiensten erlaubt, in die Rechte betroffener Personen einzugreifen. Da diese Rege-lung nicht nur für die USA, sondern für jedes Drittland gilt, muss man sie unbedingt berücksichtigen.

Aber es gibt noch eine weitere Option.Verbindliche interne Datenschutzvorschriften (Binding Cor-porate Rules, kurz BCRs genannt) zeigen an, dass ein un-ternehmensweites Engagement für Datenschutzgrundsätze, -strategien und -umsetzungen besteht. Obwohl sie denselben Problemen wie SCCs unterliegen, nämlich der Intervention durch Regierungsbehörden, begegnet man ihnen allgemein wohlwollend. Das ist angesichts der bekannten strengen Kri-terien und der hohen Schwellenwerte, die für eine Auszeich-nung und Akkreditierung von BCRs nötig sind, nicht überra-schend.Vorerst sind BCRs oder SCCs für Unternehmen wohl der bes-te Weg, wenn Sie Daten in die USA oder in ein anderes Dritt-


land übertragen wollen. Ich vermute jedoch, dass BCRs für die überwiegende Mehrheit der Unternehmen, die dieser An-forderung unterliegen, unerreichbar bleiben. Das gilt in Be-zug auf Ressourcen, aber auch hinsichtlich der verfügbaren Budgets.Als dieser Text verfasst wurde, ging man von einer Zeitspan-ne von ungefähr 18 bis 24 Monate aus, um BCRs durchzu-setzen. Das wird meines Erachtens nach viel zu spät sein. Unternehmen brauchen jetzt gangbare Lösungen. Alles in allem werden SCCs für die meisten Organisationen den ge-wünschten Zweck erfüllen. Bis die Europäische Kommissi-on in Abstimmung mit allen lokalen Datenschutzbehörden einen neuen und verbesserten SCC-Rahmen ausarbeitet hat, sind sie die sicherste Option. Was die Möglichkeit eines „Pri-vacy Shield v2.0“ angeht, gibt es nach zweimaligen Scheitern des Konzepts verständlicherweise Bedenken, diesen Weg erneut einzuschlagen. Die dazu notwendigen Ergänzungen und Änderungen, würden ohnehin ebenfalls zu überarbeite-ten SCCs führen.

Macht der Vorschlag eines solch geänderten Rahmenwerks also überhaupt Sinn? Die aktuelle Situation im Zusammen-hang mit der COVID-19-Pandemie wirft viele Fragen auf: Wie werden Daten verwendet und wohin werden sie geschickt? Natürlich sind die Staats- und Regierungschefs der Welt dar-an interessiert, die Pandemie einzudämmen, und die Öffent-lichkeit

wird alles in ihrer Macht Stehende tun, um dies zu unter-stützen. Aber man darf dabei das Thema Datenschutz nicht pauschal beiseite schieben. Man muss ein Gleichgewicht fin-den, Infektionsraten und die Ausbreitung des Virus zu über-wachen und zu bekämpfen, während der alles entscheidende Schutz für sensible personenbezogene Daten gewährleistet bleibt. Die Frage ist noch offen, ob wir jetzt einen expo-nentiellen Anstieg beim Einsatz von Pseudonymisierungs-technologien beobachten werden...

� ★ Richard Hancock


Datenschutz-Grundverordnung in der Praxis

Videoüber wachung bei Beschäft igtenBeschwerden, die Videoüberwachung zum Gegenstand ha-ben, nehmen quantitativ seit Jahren einen Spitzenplatz in der Tätigkeit der Aufsichtsbehörden ein. Offensichtlich ha-ben Unternehmen weiterhin Probleme, die Videoüberwa-chung datenschutzkonform umzusetzen. Wir nennen Bei-spiele und geben Tipps zur Optimierung. Dazu gehört eine neue Leitlinie des Europäischen Datenschutz ausschusses.

Wenn es um Videoüberwachung geht, haben viele ein mul-miges Gefühl, man könnte dauerhaft verfolgt und beobach-tet werden. Jeder Schritt und Tritt, jede Aktivität könnte auf-gezeichnet werden. Für Privatpersonen ist dies keine schöne Vorstellung, am Arbeitsplatz gilt das sogar noch mehr, denn hier hat man kaum eine Wahl, bestimmte Orte nicht zu be-suchen, wenn man um die installierten Videokameras weiß.

Der Datenschutz macht zahlreiche Vorgaben zur Videoüber-wachung, auch für den Fall, dass es sich um Beschäftigte handelt. Im Beschäftigungsverhältnis hat der Arbeitgeber aus seiner Sicht oftmals gute Gründe für eine Videoüber-wachung. So möchte der Arbeitgeber Betrugsfälle und Dieb-stahl vermeiden, oder aber entsprechende Vorfälle aufklä-ren können.

In Unternehmen hat der Arbeitgeber aus seiner Sicht oft gute Gründe für eine Videoüberwachung. Die Praxis zeigt aber, dass es damit häufig übertrieben wird.

© g

emei

nfre

i / P

ixab

ay


Die Praxis zeigt aber, dass es häufig mit der Videoüberwa-chung übertrieben wird. Die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdaten-schutzgesetzes (BDSG-neu) werden häufig nicht eingehalten. Die Statistik des Landesbeauftragten für den Datenschutz in Sachsen zum Beispiel nennt 104 Fälle für eine anlassbeding-te Kontrolltätigkeit im Bereich Videoüberwachung für einen Zeitraum von zwei Jahren, wobei 42 Verstöße festgestellt wurden. Damit ist die Videoüberwachung unrühmlicher Spitzenreiter, auch bei vielen anderen Aufsichtsbehörden.

Die Aufsichtsbehörden für den Datenschutz bekommen nicht nur Beschwerden, sie machen auch bei Vor-Ort-Kontrollen so einige Entdeckungen, die zeigen, wie man es nicht machen soll.

Beispiel Kassenbereich in einer Bar

In Bars wird häufig der Kassenbereich von einer Videoka-mera überwacht. Zweck der Überwachung ist hier - wie häu-fig in der Gastronomie und im Handel - die Verhinderung von sogenanntem Wechselgeldbetrug durch Mitarbeiter bzw. die Aufdeckung entsprechender Vorgänge. Dies bewerten Aufsichtsbehörden nur dann als zulässig, wenn tatsächlich durch entsprechende Kameraeinstellung gewährleistet ist, dass lediglich der unmittelbare Kassenbereich erfasst wird, nicht jedoch der Aktionsbereich der Mitarbeiter insgesamt.

Es kommt also sehr genau auf den Erfassungsbereich der Videokameras und die Einstellungen an. Aber es gibt noch weitere Voraussetzungen.

Beispiel Gebäudereiniger

Ein Mitarbeiter eines Reinigungsunternehmens beschwerte sich darüber, dass er bei einem Reinigungseinsatz in einem Schwimmbad von den dort installierten Videokameras erfasst wurde und diese Aufnahmen seinem Arbeitgeber vorgelegt wurden. Der Arbeitgeber hatte eines Tages den Gebäuderei-niger zu sich gerufen und ihm Videoaufzeichnungen aus der Schwimmhalle vorlegt, in denen er sowie eine weitere Mitar-beiterin bei der Durchführung der Reinigungsarbeiten zu se-hen waren. Der Arbeitgeber erklärte, diese Aufnahmen vom Schwimmbadbetreiber mit dem Hinweis vorgelegt erhalten zu haben, dass auf den Aufnahmen zum einen zu sehen sei,


dass das Reinigungsunternehmen nur zwei statt der verspro-chenen drei Mitarbeiter zum Reinigen einsetze. Zum anderen bemängelte der Schwimmbadbetreiber anhand der Aufnah-men gegenüber dem Reinigungsunternehmen, dass die Mit-arbeiter die Reinigungsarbeiten „nicht ordentlich“ bzw. in ungenügender Qualität durchführten. Das Reinigungsunter-nehmen als Arbeitgeber der eingesetzten Mitarbeiter schloss sich diesen Vorwürfen zwar nicht an und machte den einge-setzten Mitarbeitern aus diesem Anlass keine Vorhaltungen.Doch trotzdem fand hier eine Datenschutzverletzung statt: Die Aufsichtsbehörde forderte den Schwimmbadbetreiber auf, zu erklären, für welche Zwecke die in der Schwimmhalle betriebene Videoüberwachung durchgeführt wird, sowie in welcher Weise er die betroffenen Personen über diese Zwe-cke informierte. Der Betreiber erklärte, die Videoanlage sei nur während der Nacht in Betrieb und diene der Prävention gegen unbefugtes Betreten der Schwimmhalle – etwa durch Einbrecher – sowie dazu, in solchen Fällen Täter zu iden-tifizieren, um gegen sie etwaige (Schadensersatz-)Ansprü-che verfolgen und Strafverfolgungsmaßnahmen einleiten zu können. Entsprechend wurde mittels „Hinweisschildes“ über die Videoüberwachung informiert.

Nach Bewertung der Aufsicht hatte der Schwimmbadbetrei-ber aber dadurch, dass er die Aufnahmen dem Reinigungsun-ternehmen vorgelegt hat, gegen den datenschutzrechtlichen Grundsatz der Zweckbindung verstoßen. Der ursprüngliche Zweck, dem die Anfertigung von Videoaufnahmen diente, lag in der Prävention und Verfolgung von Einbrüchen sowie der Verfolgung damit zusammenhängender zivilrechtlicher Ansprüche gegen die Täter. Im vorliegenden Fall wurden die Aufnahmen durch den Betreiber indes zu einem ganz ande-ren Zweck verwendet.

Videoaufzeichnungen, die dem Einbruchsschutz dienen sol-len, dürfen nicht zu anderen Zwecken wie der Verhaltens- und Leistungskontrolle genutzt werden. Das gilt natürlich auch für die Arbeitgeber selbst, nicht nur für den Einsatz beim Kunden.

Beispiel Baustellenüberwachung

Bekanntlich haben Bauunternehmen mit erheblichen Mate-rial-, Kraftstoff- und Maschinendiebstählen zu kämpfen. Es kommt daher wenig überraschend, dass diese ihre Baustel-


len zunehmend auch mit Videoüberwachungstechnik absi-chern. Grundsätzlich bestehen dagegen keine Einwände, er-klärt eine der Aufsichtsbehörden.

Voraussetzung ist jedoch, dass derartige Videoüberwachungs-anlagen datenschutzkonform betrieben werden. Dazu gehört unter anderem, dass

die Videoüberwachung nur außerhalb des Baustellenbetriebs aktiv ist, mithin keine Überwachung der Bauarbeiter stattfindet,

sich die Videoüberwachung auf die Baustelle selbst beschränkt und keine angrenzenden Nachbargrundstücke oder allgemein zugänglichen Bereiche erfasst und

klar und deutlich auf die Videoüberwachung hingewiesen und dabei insbesondere die verantwortliche Stelle benannt wird.

Beispiel Bäckereien

In 26 Bäckereien waren Vertreter der Datenschutzaufsichts-behörde von Baden-Württemberg unangekündigt vor Ort. Bei fünfzehn Betrieben haben sie schriftliche Kontrollen durch-geführt. Das Ergebnis der Kontrollen vor Ort war: Der mit der Videoüberwachung verfolgte Zweck war überwiegend unklar. Eine Information der Beschäftigten ist überwiegend nicht erfolgt. Meist sind Hinweisschilder vorhanden. Aller-dings entsprechen diese in der Regel nicht den Anforderun-gen der Aufsichtsbehörden.

Das Ergebnis der schriftlichen Kontrollen: Nahezu alle Be-triebe, die Kameras zum Einsatz bringen, möchten mit den Aufnahmen Straftaten von Beschäftigten aufklären oder verfolgen. Dokumentiert e Anhaltspunkte für einen kon-kreten Verdacht konnten aber bislang nicht in einem Fall nachgewiesen werden oder sind völlig unzureichend. Bei einigen Betrieben mit vielen Filialen hat die Überwachung von Beschäftigten regelrecht System, so die Aufsichtsbehör-de. Ein Generalverdacht gegen sämtliche Beschäftigte in den Betrieben ist selbstverständlich alles andere als die gesetz-lich geforderten zu dokumentierenden Anhaltspunkte für die Begründung eines Verdachts. Mitarbeitende werden also grundlos unter Generalverdacht gestellt. Dem begegnen die Datenschützer mit aufsichtsrechtlichen Maßnahmen und in einigen Fällen auch mit Bußgeldverfahren.


Wie Videoüberwachung aussehen muss

Die Aufsichtsbehörden für den Datenschutz haben sich auch dazu geäußert, was sie bei einer Videoüberwachung erwar-ten. Dazu zählt insbesondere auch dieser Hinweis aus Ba-den-Württemberg:

Den Betreibern von Videokameras bereitet es selten Schwie-rigkeiten, ein Interesse an einer Überwachung von Perso-nen vorzutragen. Sie möchten sich häufig vor Einbrüchen, Diebstählen, Vandalismus oder Übergriffen schützen. Viele Betreiber tun sich aber sehr schwer damit, ein berechtigtes Interesse gegenüber der Aufsichtsbehörde ausreichend zu begründen und darzulegen.

Berechtigt ist ein Überwachungsinteresse nur dann, wenn es rechtmäßig, hinreichend klar formuliert und nicht rein spe-kulativ ist.

Ein berechtigtes Interesse an einer Videoüberwachung muss konkret vorliegen und nachweisbar begründet sein. Vorfäl-le, Ereignisse und Beschädigungen sind daher zu dokumen-tieren (Datum, Art und Ort des Vorfalls, Schadenshöhe, etc.). Strafanzeigen und Versicherungsmeldungen sollten zum Nachweis des Überwachungsinteresses aufbewahrt werden.

Der Europäische Datenschutzausschuss (EDPB) hat kürzlich eine Leitlinie zum datenschutzkonformen Einsatz von Video-überwachung beschlossen. Die Leitlinie betont den Grund-satz der Verhältnismäßigkeit. Das berechtigte Interesse des Kamerabetreibers muss objektiv vorliegen, das heißt, dass bei einer Videoüberwachung aus Sicherheitsgründen stets auch tatsächliche Anhaltspunkte für eine Gefahr für Leib, Leben oder Sachgüter vorliegen muss. Die Leitlinie stellt klar, dass ein rein subjektives Unsicherheitsgefühl nicht ge-nügt, um eine Videoüberwachung zu rechtfertigen.

Nach der Veröffentlichung werden die englische und dann die deutsche Fassung unmittelbar auf den Websites der Auf-sichtsbehörden für den Datenschutz und auf der Webseite des EDPB publiziert. Die Lektüre dieser neuen Leitlinie wird dringend empfohlen, damit in Zukunft die Videoüberwa-chung ihren Spitzenplatz bei den Beschwerden und Verstö-ßen verliert und die Privatsphäre der Beschäftigten und an-derer Betroffener besser geschützt wird.



IT-Security und Return on Investment

Return on Security Investment (RoSI) als EntscheidungshilfeIT-Sicherheit ist kein Selbstzweck, sondern entscheidend für den Geschäftserfolg. Der Return on Security Invest-ment (RoSI) dient als Entscheidungshilfe bei Investitionen für die IT-Security. Doch nicht immer ist sie sinnvoll. Wel-che Probleme und Chancen sind zu bewerten?

Betrachtet man die Ausgaben für IT-Security unter betriebs-wirtschaftlichen Gesichtspunkten, so fällt es nicht ganz leicht einen Return on Investment (RoI) für Security-Investitionen zu errechnen. Zweifellos ist ein Sicherheitsbudget unerlässlich, doch welcher direkt bestimmbarer Nutzen entsteht dabei?

Das Problem liegt darin begründet, dass Security-Investiti-onen durch die Vermeidung von Schäden definiert werden, die Kennzahl des ROI jedoch nur zur Bestimmung eines un-mittelbar geschaffenen Nutzens dient. Dies hat zur Folge, dass der Return on Security Investment (RoI) anders ermit-telt werden muss.

Klassischer RoI und IT-Security

Mit dem RoI wird in der Betriebswirtschaftslehre eine Renta-bilitätskennzahl für eine Investition beschrieben, die bei der Entscheidung helfen soll, ob es ökonomisch sinnvoll ist, sie überhaupt zu tätigten oder wie sich eine Investition bezüg

Die RoSI-Kennzahl sollte vor der zu tätigenden Investition errechnet und regelmäßig für bestehende Investitionen eva-luiert werden.

©ge

mei

nfre

i / P

ixab

ay


lich des Ertrags über die Zeit entwickelt hat. Demnach wird für die Berechnung des RoI der Ertrag (Nutzen der Investiti-on) mit den Kosten der Anschaffung in Relation gesetzt.Diese Definition des RoI funktioniert aber nur bei Investiti-onen, die positive monetäre Ergebnisse erwirtschaften, zum Beispiel wie Kosteneinsparungen oder Ertragssteigerungen. Investitionen für die IT-Security erhöhen weder direkt die Erträge, noch sorgen sie für eine sofortige Amortisation. Hier geht es vielmehr um ein geplan-tes Risiko-Management, das zur Schadenverhütung und Ri-sikominderung beiträgt.Die Kennzahl RoSI zielt dagegen darauf ab, festzustellen, wie hoch der Schaden sein könnte, der durch die IT-Security-Investition zu vermeiden wäre.

Wichtige VoraussetzungenZunächst einmal sollte der Security-Management-Prozess praktikabel sein und umsetzbare Ergebnisse liefern. Des Weiteren muss das verwendete Zahlenmaterial die Realität abbilden und möglichst einfach zu ermitteln sein.Da für den RoSI-Koeffizienten mögliche Bedrohungen ins Kalkül gezogen werden müssen, sollten die Schätzungen möglichst ge-nau ausfallen, damit er zu einer belastbaren Kennzahl wird, die sich für die IT-Security-Planung verwenden lässt. Dabei muss der Aufwand für die Sammlung der erforderlichen Daten natürlich dem angestrebten Nutzen entsprechen.So ist es unablässig, die jeweiligen Sicherheitsrisiken genau zu verstehen und jeden Unternehmenswert, den die Maß-nahme schützen soll, gut einzuschätzen. In diesem Zusam-menhang hilft es nicht, die Daten von anderen Unternehmen zu übernehmen, ohne genau zu wissen, ob sie dem Geschäft oder den damit verbunden Risiken angemessen sind.

Probleme bei RisikoeinschätzungenBei der Identifizierung und Abwägung von Risiken müssen folgende Problemstellungen beachtet werden:Die Erfassung von Risiken gestaltet sich schwierig, Daten sind nicht oder nur unvollständig vorhanden, dies macht Si-mulationen notwendig.Die Entwicklung von Technik und Geschäftsprozessen ver-laufen konträr zu den langfristigen Risikobetrachtungen.Kommunikation und Psychologie der Betroffenen werden falsch eingeschätzt.


Das Management nimmt „IT-Security“ nicht ernst genug.Die Arbeitsschritte „Prüfung“ und „Umsetzung“ werden häufig vertauscht.Wichtige Sicherheitsfragen werden zu spät gestellt, da die Antworten unbequem sein könnten.Nur eine neutrale Herangehensweise an die jeweiligen Risi-kofaktoren und deren objektiven Bewertung kann bei IT-Se-curity-Investitionen gewährleisten, dass die Entscheidung, ob diese getätigt werden sollten oder nicht, richtig ist. Das heißt, in jedem Risiko-Modell müssen die Dimensionen Nutz-wert und Risiko identifiziert und gegenübergestellt werden.Dafür sollte das Unternehmen für möglichst realistische Er-gebnisse im Kollektiv und bereichsübergreifend Entschei-dungen treffen. Hierbei ist zu beachten, dass es sich bei diesen Daten meist um Erfahrungswerte und Simulations-Rechnungen handelt, die nicht zwingend der Realität ent-sprechen.

RoSI – eine quantitative RisikoanalyseIm Gegensatz zum RoI basiert der RoSI auf der Einschätzung der spezifischen Risiken, die durch eine Investition in die Si-cherheit neutralisiert werden sollen. Für die Berechnung der RoSI-Kennzahl müssen folgende Parameter betrachtet werden:Die jährliche Verlusterwartung (Annualized Loss Expectan-cy, ALE). Damit ist der gesamte monetäre Verlust pro Jahr ge-meint, der sich aus einem spezifischen Risiko ergibt, wenn eine Maßnahme nicht finanziert wird. Die ALE errechnet sich aus SLE x ARO.Die Verlusterwartung im Einzelfall (Single Loss Expectan-cy, SLE). Dafür müssen die Daten und andere IT-Ressourcen zunächst inventarisiert werden. In der Folge werden die di-rekten Kosten (technische Untersuchungen, Strafen) und die indirekten Kosten (Geschäftsausfallzeiten, erhöhte Kunden-abwanderungsrate) für Schäden bzw. Verluste aufaddiert.Die jährliche Eintrittsrate (Annualized Rate of Occurrence, ARO). Dafür muss geschätzt werden, wie häufig innerhalb eines Jahres ein Störfall oder eine Bedrohung eintritt. Oft-mals kann diese Zahl aus den Dokumentationen bisheriger Security-Vorfälle entnommen werden. Das heißt, bei einer Bedrohung innerhalb der letzten zehn Jahren beträgt die ARO 0,1. Treten die Bedrohungen hingegen rund zehn Mal in einem Jahr auf, ist die ARO zehn.


Die Minderungsquote (Mitigation Ratio) beschreibt den Pro-zentsatz der Risiken, die von der geplanten Investition abge-deckt wären. Dieser Prozentsatz beruht ebenfalls auf einer Einschätzung. Hier sollte auf einen selbst gewählten Bewer-tungs-Algorithmus zurückgegriffen werden. Obgleich dieser ungenau sein kann, besteht die Möglichkeit, zumindest im Zeitverlauf auf eine wiederholbare und konsistente Weise den relativen Wert verschiedener Investitionen zu vergleichen. ★ Christian Rentrop


Ganzheitliche Endpoint Security

Mehr Sicherheit mit dem „CAFE-Prinzip“Wer in der heutigen Welt mit ihrer Geräte- und Applika-tionsvielzahl für Sicherheit sorgen muss, ist nicht zu be-neiden. Problematisch ist vor allem, dass es sich bei den bestehenden Security-Konzepten meist um organisch ge-wachsen Strukturen handelt, die mehr neben- als mitein-ander existieren. Die Folge: Zwischen den Systemen ent-stehen Lücken, die von Hackern gnadenlos ausgenutzt werden.

Diesem Sammelsurium kann nur mit einem ganzheitlichen Ansatz begegnet werden. Dieser setzt voraus, dass zunächst einmal die vorhandenen Sicherheitssysteme analysiert und soweit wie möglich zusammengeführt, sprich konsolidiert werden. Im Laufe dieses Prozesses zeigt sich dann auch, wo es problematische Überschneidungen oder versteckte Lü-cken gibt. Auch wenn dieser erste Schritt den meisten Se-curity-Verantwortlichen Sorge bereitet, weil er offenlegt, wo die Schwächen des Systems sind, so ist die Konsolidierung dennoch zwingende Voraussetzung ein funktionierendes Si-cherheitskonzept. Hinzukommt, dass die meisten IT-Abtei-lungen unter chronischem Ressourcenmangel leiden und für derartig aufwendige Projekte keine Zeit haben. Aber es lohnt sich, denn holt man das Management in einer konkreten Bedrohungssituation in verständlichen Sprache (kein Fach-chinesisch) ab, werden häufig auch zusätzliche Kapazitäten (Geld und Ressourcen) zur Verfügung gestellt.

Zeitgemäße Endpoint-Security-Konzepte müssen die vier zentralen Aspekte „Control“, „Audit“, „Filterung“ und „Encryption“ (CAFE) berücksichtigen.

© gemeinfrei / Pixabay


Das „CAFE-Prinzip“

Zunächst einmal geht es darum, sich bewusst zu machen, welche Unternehmensbereiche und Systeme gefährdet sind - klassische Computer, Mobilgeräte und/oder Cloudservices. Sie sind massiven Bedrohungen von innen und von außen ausgesetzt. Helfen können zeitgemäße Endpoint-Security-Konzepte, die diese vier zentralen Aspekte berücksichtigen: Kontrollierbarkeit (Control), Revisionssicherheit (Audit), Fil-terung (Filterung) und Verschlüsselung (Encryption). Securi-ty-Projekte oder gar Lösungen, die alle diese Bereiche abde-cken, sorgen dafür, dass ein lückenloser Schutzmantel über Geräte und Daten gelegt wird, so dass auch kleinste Lücken zwischen den Systemen eliminiert werden.

Wie funktioniert das? Mit dem CAFE-Prinzip. Es sorgt dafür, dass konsequent in den genannten vier Bereichen maximale Sicherheit herrscht.

1. Kontrolle (Control): Zunächst wird festgelegt und kon-trolliert, wer im Unternehmen welche Datenwege benutzen und wer überhaupt auf sensible Daten wie Zugriff hat. Ein Unternehmen, das nicht weiß, was es schützen muss, kann keine effektive Cyberabwehr aufbauen.

2. Revisionssicherheit (Audit): Dadurch, dass Verstöße konsequent protokolliert werden, entsteht automatisch eine Sensibilisierung der Mitarbeiter, so dass sich sukzessiv eine solide Basis für einen sorgsamen und bewussten Umgang mit den Daten entwickelt - eine wichtige Voraussetzung für IT-Compliance.

3. Filterung (Filter): Sensible Datenfilter sorgen dafür, dass kritische Datentypen von vorne herein separiert und blo-ckiert werden.

4. Verschlüsselung (Encrypt): Nachdem durch die ersten drei Vorgaben sichergestellt ist, dass ausschließlich berech-tigte Mitarbeiter auf Daten und Applikationen zugreifen können, werden diese Daten verschlüsselt. So entsteht ein Rundum-Schutz, der Unternehmen sowohl vor vorsätzlichem Datendiebstahl als auch fahrlässigem Datenverlust schützt.

Wer diese Vorgehensweise umsetzen möchte, muss sie sich nicht zwingend selbst aneignen, sondern kann inzwischen auf ausgereifte Endpoint-Security-Lösungen, die auf dem


CAFE-Prinzip beruhen, zurückgreifen. Sie sorgen einerseits für vollumfängliche Sicherheit, ohne etablierte Arbeitsab-läufe zu sehr zu verändern und anderseits schaffen sie die Voraussetzungen für effektive Präventionsmaßnahmen.

Wer mit der Anschaffung einer solchen Endpoint-Security-Lösung liebäugelt, sollte bei der Auswahl auf folgende Punk-te achten:

1. Schutz vor Datenverlust: Datenschutz funktioniert nur dann, wenn die Dateien auf allen Endgeräten nach vorgege-benen Inhalten und Schlagworten durchsucht und die Wei-tergabe kritischer Dateien blockiert wird.

2. Sicherheitsprüfung: Eine erfolgreiche Sicherheitsprü-fung muss Datenflüsse visualisieren, potenzielle Schwach-stellen identifizieren und gefährliche Entwicklungen recht-zeitig verhindern.

3. Verschlüsselung: Damit nur von berechtigten Personen auf Speichermedien, Verzeichnisse, Clouds, Festplatten, Da-teien etc. zugegriffen werden kann, werden die Daten ent-sprechend verschlüsselt.

4. Usability: Nichts ist schlimmer als eine Lösung, die kei-ner bedienen will oder kann. Aus diesem Grund sollte auch der Bedienungsfreundlichkeit große Aufmerksamkeit ge-schenkt werden.

Licht am Ende des Tunnels

Es gibt also eine Lösung für Sicherheit heterogener IT-Landschaften: das CAFE-Prinzip. Aber unabhängig davon, ist Aufklärung dringender nötig denn je. Zwar lassen sich Schwachstellen und neuralgische Sicherheitspunkte mit modernen Endpoint-Security-Konzepten schützen, aber der Risikofaktor Mensch kann nicht ernst genug genommen werden. Wem es gelingt bei der Umsetzung seines CAFE-Konzepts von der Chefetage über den Administrator bis hin zum Anwender alle miteinzubinden, der hat nicht nur einen guten Job gemacht, für Verständnis und Aufklärung gesorgt, sondern sich bestimmt auch eine Tasse Kaffee im Kreise sei-ner Kollegen verdient.

★ Michael Krause


Tool-Tipp: LOKI

Open Source Scanner prüft Netzwerke auf AngriffsspurenMit dem kleinen Open Source-Tool Loki lassen sich Server und Computer in kleinen Netzen auf Angriffsspuren und Anzeichen von Bedrohungen untersuchen. Diese Vorgänge werden auch als Indicators of Compromise (IoC) bezeich-net. In diesem Tool-Tipp-Artikel und Video zeigen wir, wie das Tool funktioniert.

Das kleine Open Source-Tool Loki wird als IoC-Scanner be-zeichnet. Es steht auf GitHub für Windows, Linux und macOS zur Verfügung. Für das Tool ist keine Installation notwendig, es kann direkt in der Eingabeaufforderung von Windows oder im Terminal von Linux und macOS gestartet werden. Loki ist die Open-Source-Version des deutlich umfangreiche-ren kommerziellen Produkts THOR von Nextron Systems.

Achtung: Beim Starten der Software melden viele Vi-renscanner einen Trojaner-Angriff. Das ist leider seit ei-nigen Versionen bekannt, wird aber als False Positive bewer-tet, also als fehlerhafte Erkennung. Bei den Loki Issues ist dazu mehr zu lesen.

Wie man mit dem Open-Source-Tool Loki Server und Compu-ter in kleinen Netzwerken auf Anzeichen von Bedrohungen untersucht, zeigen wir im Tool-Tipp-Video und in der Bilder-galerie zu diesem Artikel.

Mit dem Open-Source-Tool Loki lassen sich Server und Computer in kleinen Netz-werken auf Anzeichen von Cyberangriffen und Bedro-hungen untersuchen.

© E

gor -

sto

ck.a

dobe

.com

TECHNOLOGIE & ZUKUNFT

nicht löschen wird für das automatische Inhaltsverzeichnis benötigt!

FKlick mich an!

https://youtu.be/uAe5j1nvLa8


Loki nutzt Yara-Regeln

Loki kommt mit zahlreichen Regeln, mit denen Prozesse und Dateien in Windows, Linux und macOS gescannt werden können. Wer sich mit Yara auskennt, kann eigene Regeln de-finieren. Die Standardregeln in Loki erkennen aber bereits viele Angreifer und Hackertools. Vor allem auf Webservern kann der Einsatz daher sinnvoll sein. Loki scannt nach ver-schiedenen Methoden:

1. Erkennen von bekannten Angreifern nach Name und Pfad der Datei

2. Yara-Regel-Überprüfung

3. Hash-Check mit bekannten Hashwerten von Malware

4. Verbindungsendpunkte werden überprüft

5. Loki kann auch erweiterte Prüfungen durchführen. Dazu gehört zum Beispiel das Überprüfen von Prozessen auf verdächtigen Aktionen.

Rechner mit Loki scannen

Um Computer mit Loki zu scannen, zum Beispiel Windows, reicht es aus die ZIP-Datei herunterzuladen und zu entpa-cken. Bereits beim Entpacken und später auch beim Aktua-lisieren der Signature-Dateien mit „loki-upgrader.exe“ brin-gen viele Virenscanner, darunter Windows Defender eine Trojaner-Warnung. Der Upgrader aktualisiert auch loki.exe, sodass immer die neuste Version zur Verfügung steht. Alle Aktionen, die Loki-Upgrader durchgeführt hat, werden in der Datei „loki-upgrade.log“ angezeigt. Diese ist im gleichen Verzeichnis gespeichert, wie Loki selbst.

Auf Linux und macOS kann die Aktualisierung mit „loki-up-grader.py“ durchgeführt werden. Dabei handelt es sich aber um ein False Positives, wie auf der Issue-Seite des Projektes zu lesen ist.

Nach der Aktualisierung mit „loki-upgrader.exe“ können die Scanvorgänge mit „loki.exe“ gestartet werden. Hier kann es sinnvoll sein eine Ausnahme für den Virenscanner zu defi-nieren. Bei Loki handelt es sich um ein kleines Tool in der Befehlszeile. Es ist also durchaus sinnvoll zunächst eine Be-fehlszeile zu öffnen, und hier durch Eingabe von „loki.exe“


die Scanvorgänge zu starten. Findet Loki verdächtige Aktio-nen, zeigt das Tool in der Befehlszeile den entsprechenden Scanvorgang in Gelb an.

Wie man mit dem Open-Source-Tool Loki Server und Compu-ter in kleinen Netzwerken auf Anzeichen von Bedrohungen untersucht, zeigen wir im Tool-Tipp-Video und in der Bilder-galerie zu diesem Artikel.

★ Thomas Joos


Auswege aus dem Katz- und Mausspiel in der IT-Sicherheit

5 Security-Technologien für 2020 und darüber hinausHacker-Angriffe legen weltweit dramatisch zu. Zwischen den Datendieben und Datenschützern ist ein rasanter Wettlauf um die Vorherrschaft in diesem ruinösen Kampf entbrannt. Hier sind fünf zukunftsweisende Sicherheits-Technologien, von denen IT-Security-Teams in Unterneh-men schon heute profitieren können.

Die Angriffe auf wichtige Daten von Unternehmen häufen sich und sind leider auch sehr effektiv. Hacker-Angriffe ge-hören laut dem Weltwirtschaftsforum (WEF) zu den Top 10 der weltweit schwerwiegendsten Risiken. Rund 30 Prozent der Unternehmen sind bereits davon betroffen.Da digitale Arbeitsplätze weiter ausgebaut werden, bieten Unternehmen in Zukunft eine noch größere Angriffsfläche.

In Anbetracht der düsteren Ausblicke wird die kontinuierli-che Weiterentwicklung der Sicherheits-Strategien gerne mit einem Katz- und Mausspiel verglichen. Denn das ständige Streben nach Verstärkung der von Cyberkriminellen aufge-deckten Schwachstellen stößt wiederum auf vielfältigere An-griffsmethoden, die jede Seite zwingen, ihre Offensiv- und Abwehrtaktiken ständig anzupassen. In der Folge themati-sieren wir fünf zukunftsweisende Ansätze, mit denen Un-ternehmen in der Lage sein sollen, sich besser vor Hacker-Angriffen zu schützen:

Die Bedrohung durch Cyberge-fahren steigt für Unternehmen immer weiter. Wir zeigen fünf zukunftsweisende Ansätze, mit denen Unternehmen sich bes-ser schützen können.

(© k

nssr

- st

ock.

adob

e.co

m)


1. Hardware-Authentifizierung

Die Defizite von Passwörtern und Benutzernamen sind hin-länglich bekannt. Für Experten liegt es auf der Hand, dass eine sicherere Form der Authentifizierung notwendig ist. Eine Möglichkeit wäre, die Authentifizierung auf die Hard-ware eines Benutzers zu übertragen.

Intel geht mit seiner Authenticate-Lösung in dem neuen Core vPro-Prozessor der sechsten Generation in diese Richtung. Der Prozessor erlaubt es, eine Vielzahl von Hardware-ge-stützten Faktoren gleichzeitig zu kombinieren, um die Iden-tität eines Benutzers zu überprüfen.

Dazu hat der Hersteller auf ein früheres Ansinnen aufgebaut, einen Teil des Chipsatzes für Sicherheits-Funktionen bereit-zustellen, um den Prozessor Teil des Authentifizierungs-Pro-zesses zu machen.

Die Hardware-Authentifizierung ist besonders für das Inter-net der Dinge (IoT) relevant, wo ein Netzwerk sicherstellen muss, dass das, was Zugang erhalten möchte, auch diesen rechtmäßig bewilligt bekommt.

2. Analyse des Nutzerverhaltens

Sobald Benutzername und Passwort von jemandem kompro-mittiert wurden, kann dieser in einem Netzwerk alle Arten von böswilligen Verhalten an den Tag legen. Hier kommt die User Behavior Analytics (UBA) ins Spiel, die Big Data Analytics nutzt, um anomales Verhalten eines Benutzers zu identifizieren.

Dies geschieht, indem sie Aktivitäten sichtbar macht, die nicht der Norm des legitimen Benutzers entsprechen. Auf diese Weise lassen sich tote Winkel in der Mitte der Angriffs-kette schließen. Der Vergleich des aktuellen Verhaltens eines Benutzers mit dem bisherigen Verhalten ist nicht die einzige Möglichkeit, wie die UBA einen böswilligen Akteur identifi-zieren kann.

So versucht die Peer-Analyse herauszufinden, wie sich ein Akteur im Vergleich zu Menschen mit demselben Back-ground oder der beruflichen Funktion verhält. Das kann ein Hinweis darauf sein, dass die Person etwas unternimmt, was sie nicht tun sollte, oder dass ein anderer eine Identität übernommen hat.


Darüber hinaus kann die UBA ein wertvolles Instrument zur Schulung der Mitarbeiter für optimierte Sicherheitspraktiken sein. Denn eines der größten Probleme in einem Unterneh-men sind Mitarbeiter, die sich nicht an die Unternehmenspo-litik halten wollen.

3. Schutz vor DatenverlustEin Schlüssel zur Vermeidung von Datenverlust sind Techno-logien wie zum Beispiel die Verschlüsselung und Tokenisie-rung. Das bedeutet, man kann Daten bis auf Feld- und Teil-feldebene schützen.Auf diese Weise können Daten sicher verschoben und im gesamten erweiterten Unternehmen verwendet werden. Ge-schäftsprozesse und Analysen lassen sich auf den Daten in ihrer geschützten Form durchführen, was die Exposition und das Risiko drastisch reduziert.Zudem profitieren die Unternehmen in großem Umfang bei der Einhaltung der Datenschutz- und Sicherheitsvorschrif-ten zum Schutz von Zahlungskarteninformationen (PCI), den personenbezogenen Daten (PII) und geschützten Ge-sundheitsinformationen (PHI).Experten bringen es vielfach auf den Punkt: Es kann keine starke Verschlüsselung ohne eine Schlüssel-Verwaltung ge-ben, und es kann keine Schlüsselverwaltung ohne eine star-ke Authentifizierung geben.

4. Deep LearningWie die Analyse des Benutzerverhaltens konzentriert sich auch das Deep Learning auf anomales Verhalten. Es umfasst eine Reihe von Technologien wie zum Beispiel KI (künstliche Intelligenz) und Machine Learning.Diese Technologien ermöglichen es, die verschiedenen Ein-heiten, die im gesamten Unternehmen existieren, auf der Mikro- und Makroebene zu betrachten. So kann sich bei-spielsweise ein Rechenzentrum als Einheit ähnlich wie ein Benutzer verhalten.Mit der Fähigkeit, zwischen guter und schlechter Software zu unterscheiden, werden maschinelle Lerntechnologien buchstäblich zu „Sicherheitsexperten“. Auf diese Weise ge-lingt es, die Zeit bis zur fortgeschrittenen Erkennung und Beseitigung von Bedrohungen zu verkürzen.


5. Cloud

Die Cloud ist natürlich nicht neu, aber sie wird in den kom-menden Jahren einen immer stärkeren, transformativen Ein-fluss auf die Sicherheitstechnologie ausüben. Spätestens wenn Technologien wie zum Beispiel die virtualisierte Si-cherheitshardware, virtualisierte Firewalls und virtualisier-te Systeme rund um Intrusion Detection und Prevention in die Cloud überführt werden.

Die Infrastructure-as-a-Service-Provider werden diese Servi-ces in ihre Plattformen einbauen, was den einzelnen Cloud-Kunden bei seinen Aktivitäten zur IT-Security entlastet. Laut Meinung von Experten konnten Unternehmen als auch man-che Regierungsbehörden die Sicherheit ihrer Rechenzentren durch die Nutzung von IaaS-Diensten wie von Amazon und Firehost erhöhen.

So ist für manche Experten aus dem US-amerikanischen Raum das Federal Risk and Authorization Management Program (FedRAMP) ein Beispiel für zertifizierte, sichere Cloud-Services, die es den Unternehmen erleichtern, eine überdurchschnittliche Sicherheit im Rechenzentrum zu ge-währleisten.

★ Otto Geißler


Sicherheit für VM, Hypervisor und Co.

Datensicherheit in Virtualisie-rungsumgebungenVirtualisierungsumgebungen stellen in vielen IT-Infra-strukturen wichtige Funktionen bereit. Dabei kann es sich unter anderem um virtuelle Desktops, Datenbanken oder auch Web-Server handeln. Diese Installationen sind oft unver zicht bar für die tägliche Arbeit , umso wichtiger, dass ihre Sicherheit gewährleistet ist. Wir zeigen, welche Punkte für die Sicherheit in Virtualisierungs umgebungen eine wichtige Rolle spielen.

Virtualisierungsumgebungen stellen gewisse Anforderun-gen an die IT-Sicherheit, die in traditionellen Installatio-nen nicht anfallen. Die genannten Installationen bestehen aus dem Hypervisor, also dem System, das auf der eigent-lichen Hardware läuft und den so genannten Gastbetriebs-systemen, die "unterhalb" des Hypervisors in den einzelnen Virtuellen Maschinen (VMs) arbeiten. Eine Security-Lösung in diesem Bereich muss sich sowohl um die Sicherheit des Hypervisors, als auch um die der Gastbetriebssysteme küm-mern. Die Überwachung der Kommunikation der Gäste nach außen, untereinander und mit dem Hypervisor gehört eben-falls zu ihrem Aufgabengebiet.

Im Betrieb virtueller Umgebungen müssen die IT-Verant-wortlichen unter anderem sicherstellen, dass die Trennung zwischen mehreren Virtuellen Maschinen auf einem Hyper-visor nicht umgangen werden kann, da sonst eine Infektion

Das Absichern virtueller Umgebungen stellt eine anspruchsvolle Aufgabe dar, die Administratoren nicht vernachlässigen dürfen.

gem

einf

rei /

Pix

abay


einer Maschine auf dem Host sofort zur Infektion aller ande-ren VMs auf demselben Host führen könnte. Außerdem gilt es wie gesagt auch, die virtuellen Netze mit Hilfe von IPS-Funktionen zu überwachen, um verdächtiges Verhalten auf-zuspüren. Gleichzeitig müssen die Verantwortlichen dafür sorgen, dass nur die Anwender Zugriff auf die VMs erhalten, die das auch wirklich müssen und dass die Authentifizie-rung sicher abläuft. Es gibt auf dem Markt leistungsfähige Sicherheitslösungen, die sich speziell auf virtuelle Umge-bungen spezialisiert haben. Diese können mit Agenten oder agentenlos arbeiten und kommen als Software oder Appli-ance beziehungsweise als virtuelle Appliance, die direkt auf dem zu schützenden Hypervisor läuft.

Die Systemleistung muss gewährleistet bleiben

Bei der Auswahl eines solchen Produkts sollten die Adminis-tratoren darauf achten, dass die Performance der Hypervi-soren auch mit aktiver Security-Lösung gewährleistet bleibt. Bremst das Sicherheitsprodukt die virtuellen Maschinen (VMs) nämlich aus, so leidet die Produktivität der Mitarbeiter darunter. In diesem Zusammenhang ergibt es beispielsweise Sinn, Dateiüberprüfungen über einen zentralen Scanner auf der Sicherheits-Appliance auszulagern und sie nicht auf den einzelnen VMs durchzuführen.

Außerdem ist es in der Praxis oft so, dass viele VMs iden-tisch aufgebaut wurden, also auf ähnliche Software-Instal-lationen und das gleiche Betriebssystem aufsetzen. Deswe-gen sind bei den einzelnen VMs mehrfach vorhandene Daten verhältnismäßig häufig. Eine intelligente Sicherheitslösung erkennt dies und prüft die Daten nur einmal. Auf diese Wei-se verbessert sich die Performance des Gesamtsystems und die Scans laufen schneller ab.

Leistungsfähige Produkte bieten den zuständigen Mitarbei-tern zudem die Option, Prozesse festzulegen, die der Echt-zeitschutz des Sicherheitslösung ignoriert. Das führt dazu, dass überflüssige Scans entfallen, etwa beim Verschieben von VMs auf andere Hypervisoren oder auch bei Backups.

Ein Sicherheitsprodukt, das direkt auf dem Hypervisor läuft, bringt zudem den Vorteil mit sich, dass es des gesamten Fest-plattenspeicher des Hosts von einer zentralen Stelle aus im Blick behalten kann und nicht nur den, der gerade den ein-


zelnen VMs zugewiesen wurden. Das macht das Einspielen gesonderter Lösungen auf den VMs überflüssig und ermög-licht es zudem, auch ausgeschaltete VMs in die Prüfung mit einzubeziehen.

Bei modernen Produkten ist die zentrale Überwachung des Speichers übrigens nicht mehr auf die Festplatten be-schränkt: „Relativ neu, und bereits möglich für Citrix- und KVM-Umgebungen ist die Überwachung des Arbeitsspei-chers des Hypervisors selbst“, erklärt Herbert Mayer, Sales Engineer bei Bitdefender. „Die Technologie wird Hypervisor Introspection (HVI) genannt und erkennt Manipulationen des Arbeitsspeichers und die rund zehn gebräuchlichsten Hacking-Techniken, die bei der Ausnutzung von Zero-Day-Exploits und bei APTs eingesetzt werden. Dies findet au-ßerhalb des Betriebssystems statt, ist somit agentenlos und kompatibel mit jeder In-Guest-Sicherheitslösung.“

Zentrales Management sorgt für DurchblickVon großer Bedeutung ist, dass sich die Sicherheitsumge-bung von einer zentralen Stelle aus verwalten lässt, damit die zuständigen Mitarbeiter stets einen Überblick über den Sicherheitsstatus ihrer Systeme haben. Leistungsfähige Lö-sungen unterstützen dabei problemlos die Verwaltung meh-rerer tausend Clients. Die Management-Lösung kommt zum Erstellen von Richtlinien, zum Starten von Scans und zum Überwachen der Installationen zum Einsatz.Setzt die Sicherheitslösung Agenten ein, so sind diese dazu in der Lage, auf den betroffenen Clients eine Vielzahl von Informationen zu sammeln und diese an die Management-Konsole zu schicken. Da die Datensammlung dezentral er-folgt und auf den Clients gespeichert werden kann, erfasst das System in diesem Fall auch Aktionen, die stattfinden, wenn keine Verbindung zur Management-Umgebung exis-tiert. Das gilt natürlich nicht nur für das Sammeln von Über-wachungsdaten, die Agenten können bei Bedarf auch allein Aktionen starten und Regeln durchsetzen, die die Administ-ratoren zuvor definiert haben.

Problemfall SnapshotsEin Problem, das nur in virtuellen Umgebungen auftritt, sind Snapshots von VMs. Diese halten den Zustand eines Systems zu einem bestimmten Zeitpunkt fest und ermöglichen es, später zu diesem zurückzukehren und alle danach durchge-


führten Aktionen und Änderungen rückgängig zu machen. Des ist vor allem in Test- und Schulungsumgebungen sinn-voll. Für Sicherheitslösungen ergeben sich durch dieses Vor-gehen aber Schwierigkeiten, so hat es beispielsweise keinen Sinn, die Signaturen einer Anti-Virus-Lösung auf den Status von einer Woche zuvor zurückzusetzen. Deswegen bieten manche auf Virtualisierung spezialisierte Security-Tools die Möglichkeit, solche Signatur-Updates auf getrennten Pfa-den zu sichern, wo sie auch nach dem Zurückrollen eines Snapshots erhalten bleiben.

Patches zentral verwaltetEin weiteres wichtiges Problem, mit dem sich Administrato-ren virtueller Umgebungen auseinandersetzen müssen: das Einspielen von Patches. Ähnlich wie bei den Antivirus-Scans ist es nicht effizient, jede VM getrennt zu patchen. Leistungs-fähige Patch-Lösungen sind heute dazu in der Lage, die VMs unabhängig voneinander zu analysieren und die Patches bei Bedarf direkt auf den virtuellen Festplatten zu installieren. Auf diese Weise lassen sich sogar ausgeschaltete VMs auf den aktuellen Stand bringen.Johannes Carl, Senior Presales Consultant bei Ivanti, erklärt diesen Vorgang folgendermaßen: „Die ausgeschalteten VMs werden dazu vorübergehend gemounted und dann gepatcht. Das ist nicht nur praktisch für Maschinen, die gerade nicht in Verwendung sind, sondern entbindet Administratoren von der Notwendigkeit, isolierte virtuelle Maschinen zum Aktualisieren mit dem Netzwerk oder gar dem Internet zu verbinden. Das Patchen ausgeschalteter Maschinen funkti-oniert sogar für VM-Templates, sodass neue VMs stets alle aktuellen Updates installiert haben.“

FazitDas Absichern virtueller Umgebungen stellt eine anspruchs-volle Aufgabe dar. Administratoren müssen sich um die Zu-griffskontrolle kümmern, die einzelnen VMs voneinander getrennt halten, Schutzfunktionen gegen Viren und Malwa-re implementieren, die Datenübertragungen zwischen den beteiligten Komponenten im Auge behalten und ihre Syste-me überwachen. All das muss geschehen, ohne dass darun-ter die Leistung der gesamten Installation leidet. Um diese Aufgaben zu erfüllen, stehen eine Vielzahl leistungsfähiger


Werkzeuge zur Verfügung, die entweder einen Großteil der genannten Aspekte abdecken oder nur einzelne Funktionen dafür bereitstellen. Mit ihnen kann sich jeder eine Sicher-heitsumgebung aufbauen, die genau auf seine Bedürfnisse zugeschnitten ist. ★ Dr. Götz Güttich


Risiken einer virtuellen Infrastruktur

Achtung: Container haben Se-curity-Lücken!Container-Frameworks vereinfachen und beschleunigen die Anwendungsbereitstellung, indem sie Betriebssystem-Komponenten, Anwendungen und alle Abhängigkeiten in Schichten innerhalb eines Container-Images bündeln. Container erlauben eine agilere Gestaltung von Prozessen und Services, doch sie sind auch dem Risiko gezielter An-griffe ausgesetzt.

Container-Technologien ebnen den Weg von physischen, ein-zeln genutzten IT-Ressourcen hin zu effizienteren, virtuellen Multitenant-Infrastrukturen, die in traditionellen IT-Umge-bungen sowie in der Cloud ausgeführt werden können. Denn mit Containern und den korrespondierenden Tools lassen sich Prozesse und Services im Unternehmen deutlich agiler anlegen. Das heißt, Anwendungen und Microservices kön-nen leichter programmiert, getestet, ausgerollt und adminis-triert werden. Gleichzeitig sind Container flexibler, skalier-barer und ressourceneffizienter als zum Beispiel virtuelle Maschinen (VM).

Welche Gefahren bergen Container?

Doch je erfolgreicher Container im Unternehmenseinsatz werden, desto größer wird das Risiko durch gezielte Angrif-fe. Gefahren lauern sowohl während der Entwicklung, als auch bei der Integration und Bereitstellung sowie im laufen-den Betrieb.

Je erfolgreicher Container im Unternehmenseinsatz werden, desto größer wird das Risiko durch gezielte Angriffe.

Bild: gemeinfrei / Pixabay


Diese Risikoquellen beziehen sich auf die Container selbst, die verwendeten Orchestrierungs-Tools wie Kubernetes und die Infrastruktur. Dabei sind folgende konkrete Sicherheits-probleme zu beachten:

V Manipulierte Container, die Malware herunterladen oder interne Systeme nach Schwachstellen und sensiblen Daten auskundschaften.

V DDoS-Attacken auf Anwendungsebene und Cross-Site-Scripting(XSS)-Angriffe.

V Container-Breakouts, um auf andere Container, Host-Syste-me oder Rechenzentren zuzugreifen.

V Container werden dazu gezwungen, extrem viele System-ressourcen zu verbrauchen und die Leistung anderer Con-tainer zu reduzieren oder einen Crash zu erzielen.

V Live-Patches für Anwendungen, um schädliche Prozesse zu etablieren.

V Lücken in Kommunikationsprotokollen, die auch mit Con-tainern verwendet werden.

V Schwachstellen in der Verwaltungssoftware Kubernetes.

Was tun?Zur Absicherung gegen diese genannten Gefahren, sollte sich die IT-Abteilung von drei verschiedenen Ansätzen, die sich nach den einzelnen Phasen der Implementierung orientie-ren, leiten lassen: Einrichtung, Bereitstellung und Einsatz.

In der EinrichtungsphaseFokussierung auf die Beseitigung von Schwachstellen, Mal-ware und unsicherem Code bei der Software-Entwicklung. Dafür ist es für IT-Abteilungen angezeigt, ein offizielles Con-tainer-Register einzurichten. Mit dieser Container-Registry sollen dann vertrauenswürdige Images erstellt werden.

Auf diese Weise wird ein Prozess etabliert und automatisiert, der verhindert, dass Container aus einer nicht vertrauens-würdigen Registry entstehen. Autoren können zum Beispiel mit „Docker Content Trust“ ihre hochgeladenen Images sig-nieren. Beim Download verifiziert die lokale Docker-Installa-tion des Users die Signatur und prüft, ob das Image aktuell ist und nicht korrumpiert wurde.


Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Werden alle Runtime- und Betriebs-system-Schichten des Containers aktualisiert? Wie oft wer-den die Container aktualisiert? Werden bekannte Risiko-quellen überwacht?

In der Bereitstellungsphase

In dieser Phase erfolgt die Zusammenstellung der Container. Dabei soll beachtet werden, dass Images, die zwar kein Ge-fahrenpotenzial aufweisen, aber in einem unsicher konfigu-rierten Kubernetes-Pod deployt werden, eine Schwachstelle bleiben.

Wobei ein Pod meist aus einer Gruppe mehrerer Container mit gemeinsamem Speicher, Netzwerk sowie einem Regel-werk, wie die Container ausgeführt werden, besteht. Bei der Konfiguration müssen für die Orchestrierung und Contai-ner-Engine Sicherheits-Standards erstellt und realisiert wer-den. Dazu können zum Beispiel die Benchmarks für Docker und Kubernetes des Center for Internet Security (CIS) heran-gezogen werden.

Auf diese Weise lässt sich der Zugriff von außen steuern oder verhindern. Experten raten zu einer privaten Registry, um den Zugriff auf die Images, die im Einsatz sind, zu adminis-trieren. In diese Registry dürfen nur geprüfte Images Einzug erhalten. Der Zugang wird über rollenbasierte Zuweisungen reguliert.

Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Welche rollenbasierten Kontrollen können für die Administration von Container-Images zum Einsatz kommen? Können Images über Tagging- oder Kenn-zeichnungsfunktionen gruppiert werden? Lassen sich Ima-ges jeweils einzeln für Entwicklung, Prüfung und Produkti-on als validiert markieren? Leistet die Registry ausreichend Meta-Daten, um bekannte Schwachstellen zu identifizieren? Erlaubt es die Zugriffsverwaltung, Richtlinien zuzuordnen und zu automatisieren, um zum Beispiel Signaturen zu eva-luieren oder Scans zu codieren?

In der Einsatzphase

Nicht nur in den vorbereitenden Phasen, sondern auch wäh-


rend der Laufzeit müssen neue Gefahrenquellen und Lücken in den Containern entdeckt werden. Dazu zählen beispiels-weise ungewöhnliche Aktivitäten, die auf eine Zero-Day-Schwachstelle hinweisen. Zu diesem Zweck muss ein Nor-malzustand definiert und Abweichungen dazu festgestellt werden.

Insgesamt gestaltet sich die Sicherheit in der Einsatzphase als weniger problematisch. Werden Security-Probleme erst während des Betriebs entdeckt und behoben, ist die Wahr-scheinlichkeit groß, dass sie immer wieder auftreten, weil die Probleme bereits im erstellten Image liegen.

Es sollten stets Richtlinien beachtet werden, die im Ernstfall automatisch Rebuilds der Container veranlassen. Denn es ist meist effizienter, einen Container neu zu bauen als ihn pat-chen zu müssen.

Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Existieren Tools zur Komponen-tenanalyse, die Probleme erkennen können? Ist es möglich, Werkzeuge zu entwickeln, die eine automatische richtlinien-basierte Implementierung gewährleisten? Wie lässt sich ein Patching erstellter Container umgehen, um Container per au-tomatische Updates neu zu erstellen?

★ Dipl. Betriebswirt Otto Geißler


IT-Sicherheit bei Cloud-Services

Wie sicher ist die Cloud?Workloads werden immer häufiger in der Cloud laufen. Dies bestätigte die IDC-Studie Data Center Trends 2019. Häufig wird dabei gerne übersehen, dass bei Cloud-Lösun-gen die Unternehmensdaten auf fremden Servern liegen. Was ist bei der der Implementierung von Cloud-Diensten im Hinblick auf die IT-Sicherheit zu beachten?

Mit der voranschreitenden Digitalisierung nimmt auch die Inanspruchnahme von Cloud-Services zu. Für die Nutzung dieser Dienste sprechen zahlreiche Vorteile: eine schnelle Bereitstellung und hohe Skalierbarkeit gestatten eine ext-rem flexible und damit bedarfsgerechte Nutzung. Gleichzei-tig versetzt es die Anbieter in die Lage, durch Skaleneffekte niedrigere Preise an Kunden weiterreichen zu können. Zu-dem bietet das Modell Pay-per-Use den Vorteil der Variabili-sierung von Fixkosten.

Das klingt sehr spannend und vor allem überzeugend. Aber wo ist der Haken? Ein entscheidender Punkt, der in der Pra-xis von Führungskräften gerne übersehen wird: Mit der Mi-gration in die Cloud, liegen die Daten nicht mehr auf den eigenen Servern, sondern auf denen eines externer Dienst-leisters. Um den Fokus der IT-Security nicht aus den Augen zu verlieren ist es sinnvoll, sich vorab über einige Fakten Klarheit zu verschaffen.

Werden Cloud Services für Workloads von einem exter-nen Dienstleister bezogen, kann man im eigenen Unter-nehmen dazu nur schwer Wis-sen aufbauen.

Bild

: gem

einf

rei /

Pix

abay


Cloud-Migration mit KontrollverlustenBeim Wechsel in die Cloud gehört die IT-Security zu einem der dringlichsten Themen. Im eigenen Data Center überwa-chen und kontrollieren die Security-Teams jedes Detail, was in der Cloud dann obsolet wird. Denn im eigenen Data Center kommen meist spezielle Security-Appliances zum Einsatz, die der IT helfen, die Sicherheit zu gewährleistenAlte Gewohnheiten lassen sich nicht so schnell abstellen. Leider funktioniert das in der Cloud nicht mehr, da die Kun-den von ihren Cloud-Providern für eine Vielzahl an Netz-werkströmen gar keinen Zugriff mehr erhalten. Auf diese Weise verbleiben den Security-Teams nur wenige Instrumen-tarien, um die IT-Sicherheit zu überwachen. Folglich kann IT-Sicherheit nicht direkt in die Cloud übertragen werden.Trotzdem sind viele Unternehmen fast immer versucht, ihre bisherige Sicherheitsarchitektur in die Cloud mitzunehmen, anstatt aktiv an der Erhöhung der Cloud-Sicherheit zu arbei-ten. Besser wäre es, Cloud-spezifische Sicherheitsfragen von Anfang an mit Cloud-spezifischen Sicherheitslösungen an-zugehen. Wobei IT-Teams gerne vergessen, dass es bestimm-te Probleme in der Cloud gar nicht gibt.Zum Beispiel stellen Unternehmen in Data Center ihre Firewall vor alle Web-Properties und Anwendungen, um sich dann auf die Pflege eines einzigen Regelsatzes zu kon-zentrieren. In der Cloud sollte die IT-Security spezifisch für die jeweilige Anwendung ausgerichtet sein und zusammen mit der Applikation bereitgestellt, vollständig getestet und aktualisiert werden.

Richtlinien für Klassifizierungen und FreigabenLetztlich ist in einer Sicherheitskette bei Cloud-Services immer der Mensch das schwächste Glied. Damit vertrauliche oder da-tenschutz-relevante Informationen nicht auf unsichere Platt-formen abgelegt werden, muss eine entsprechende Klassifizie-rungs-Richtlinie die möglichen Freigaben klar definieren.Dies erfordert eine Kategorisierung der Daten in folgende vier Stufen: öffentlich, intern, vertraulich und streng vertraulich. Die Unternehmen müssen dabei hinterfragen, ob streng ver-trauliche Daten wie zum Beispiel innovative Betriebsgeheim-nisse überhaupt in die Cloud gehören, um das Risiko eines möglichen Know-how-Verlusts gleich vorab durch Verzicht zu minimieren.


Zertifizierungen und Service-Level-Agreements (SLA)Mittlerweile betreten auch kleinere Cloud-Anbieter den Markt mit oftmals günstigeren Lösungen. Kunden sollten diese Ange-bote daher hinsichtlich der Dimensionen Kompetenz, Standort, ausreichende Transparenz, mögliches Insolvenzrisiko sowie Seriosität kritisch hinterfragen.Ein Indikator für ein bestimmtes Maß an Sicherheit sind Zerti-fizierungen wie zum Beispiel das Informationssicherheits-Ma-nagement-System (ISMS) nach ISO 27001 oder der BSI-Grund-schutz sowie die Einhaltung von technisch-organisatorischen Maßnahmen.Ausreichend Zeit sollten Unternehmen in die Verhandlungen der Service-Level-Agreements (SLA) investieren, wofür die zu erbringenden Dienstleistungen anhand festgelegter Kennzah-len klar formuliert sind.

KPI für das Provider-ManagementIm Zuge der Steuerung eines Cloud-Service-Providers sind ver-schiedene Key Performance Indicators (KPI) zu beachten, um die Leistung des Dienstleisters objektiver bewerten zu können. Neben den typischen Applikations-Indikatoren wie zum Bei-spiel Ausfallzeit, Latenzzeit oder Verfügbarkeit ist es angezeigt, eigene Kennzahlen im Hinblick auf die Cloud-Services zu ver-einbaren.Dazu gehören unter anderem die Anzahl der gemeldeten Secu-rity Incidents Major/Minor, Mean Time to Detect (MTTD), Mean Time to Resolve (MTTR) sowie Ergebnisse von Audits/Phishing-Tests. Des Weiteren empfiehlt es sich, auch eine Regelung zum sicheren und zeitnahen Löschen als auch regelmäßige Datensi-cherungen zu definieren.Zudem sollten Verschlüsselungen (von Verbindungen, als auch bei Ablage von Daten) sowie Multi-Faktor-Authentifizierungen als Standard genutzt werden, um die Vertraulichkeit sowie In-tegrität der Daten zu schützen. Es empfiehlt sich, solche Tech-nologien nicht nur intern, sondern auch beim Cloud-Service-Provider zu installieren.

Einbindung aller relevanten InteressengruppenIm Vorfeld der Cloud-Implementierung sollten Unternehmen im Sinne einer Risikominderung Prozesse, Technologien als auch Mitarbeiter auf die anstehende Migration vorbereiten. Dafür eig-nen sich Instrumente der Dienstleister-Steuerung hinsichtlich eines Access-, Incident-, Change-, und Problem-Managements.


Während die IT insbesondere mit der technischen Anbindung, Einhaltung der SLA, Steuerung des Providers und Schnittstel-len betraut ist, trägt die Informationssicherheit dazu bei, den Prozess der Datenübertragung zu kontrollieren. Enthalten Da-ten einen konkreten Personenbezug, ist auch der Datenschutz mit einzubinden.

Ergänzend müssen, falls bestimmte interne oder externe Vor-gaben (zum Beispiel im juristischen Sinne) zu berücksichtigen sind, auch Mitarbeiter aus dem Bereich Corporate Governance und Compliance in Kenntnis gesetzt werden. VV Otto Geißler


Sicherheit in macOS 10.15.3

Apple-Rechner mit macOS Ca-talina sicher betreibenMit macOS Catalina (10.15) stellt Apple die neuste Version eines Betriebssystems zur Verfügung. Dieses verfügt über einige Sicherheitsoptionen, die Unternehmen und Anwen-dern dabei helfen sollen, das System sicherer in Netzwer-ken und im Internet zu betreiben.

Wer seinen Rechner auf macOS 10.15.2 oder 10.15.3 aktua-lisiert, erhält die neuste Version von macOS. Catalina bie-tet einige Sicherheitsfunktionen, mit denen Apple-Rechner auch sicherer in Netzwerken und im Internet betrieben wer-den können. Auch der Standardbrowser Safari erhält neue Sicherheitsfunktionen. Es lohnt sich auf jeden Fall möglichst immer auf die aktuellste Version von macOS zu setzen. Mit 10.15.3 werden, neben Stabilitäts verbesserungen, auch Si-cherheitslücken geschlossen. Eine Liste der Lücken zeigt Apple auf der Support-Seite für 10.15.2.

Eigenes Volume für System

Mit macOS 10.15 werden System und Daten voneinander ge-trennt. Dazu legt macOS ein Volume für das System an und ein Volume, auf dem die Daten gespeichert werden. Beide Volumes nutzen das APFS-Dateisystem. Die Anwender haben für das System-Volume nur Leserechte. Das bedeutet für An

macOS Catalina (10.15.3) bietet einige Sicherheits-funktionen, mit denen sich Apple-Rechner sicherer in Netzwerken und im Internet betreiben lassen.

© A

pple


wender bei der Arbeit keinerlei Einschränkungen. Die meis-ten bemerken noch nicht einmal die Änderung. Gleichzeitig wird dadurch das System aber besser geschützt.

App-Zugriff wird beschränktIn macOS werden Apps und deren Zugriff auf das System besser geschützt und auch in Ihren Rechten begrenzt. So-bald eine App Zugriff auf die Spracherkennung nehmen will, oder Screenshots erstellt, muss der Zugriff genehmigt wer-den. Das soll verhindern, dass Spyware Daten über einen Screenshot auslesen kann. Bereits in Vorgängerversionen lassen sich auch der Zugriff auf die Kamera und Mikrofon begrenzen. Auch hier müssen die Anwender erst zustimmen, bevor eine App zugreifen darf.Zusätzlich wird auch der Zugriff auf Dateien und Ordner beschränkt, wenn Drittanbieter-Apps auf die Daten zugrei-fen wollen. Zu den geschützten Verzeichnissen gehören die Dokumente, der Desktop, iCloud-Drive und auch die Down-loads. Außerdem dürfen Apps ohne Genehmigung nicht auf externe Laufwerke zugreifen.Ein weiterer Schutz besteht darin, dass Gatekeeper in macOS überprüft, ob Apps digital signiert sind, und auch aus dem App-Store stammen. Seit 10.15 wird der Test regelmäßig wie-derholt, nicht nur beim ersten Start.Apps, die im App-Store und auch über das Internet für ma-cOS angeboten werden, müssen seit macOS 10.15 von Apple überprüft werden. Dabei überprüft Apple vor allem, ob es sich bei der App um Malware handelt. Starten Anwender eine neue App, erhalten sie eine Information, dass die App überprüft wurde. Ist eine App nicht digital signiert, kann ein Anwender diese dennoch öffnen, erhält aber eine Sicher-heitsmeldung.

Treiber werden besser überwachtDurch die Überprüfung von Apps, wie im vorhergehenden Punkt besprochen, können Apps in macOS wesentlich si-cherer betrieben werden. Auf diesem Weg können auch Trei-ber überprüft werden. Dadurch wird sichergestellt, dass der Treiber eines Drittanbieters keine Malware ist, sondern von Apple geprüft wurde. Parallel dazu geht macOS 10.15 wesent-lich restriktiver mit Treibern um. Treiber mussten vor ma-


cOS 10.15 tief in das System integriert werden, damit sie zum Beispiel Zugriff auf das Netzwerk oder Anschlüsse erhalten. Das birgt natürlich einiges an Sicherheits- und Stabilitäts-probleme mit sich. Seit macOS 10.15 haben Treiber generell nicht mehr Rechte wie eine App. Tiefergehende Funktionen werden über Systemerweiterung integriert. Das wird durch das neue DriverKit erreicht.

Safari wird sicherer - auch ErweiterungenSafari schützt macOS vor gefährlichen Downloads. Dazu werden Anwender darüber informiert, dass eine Datei he-runtergeladen werden soll. Vor dem Download müssen die Anwender zustimmen. Eine weitere Sicherheitsverbesserung besteht beim Umgang mit Erweiterungen. In Zukunft gibt es Erweiterungen für Safari nur noch im App-Store von macOS. Erweiterungen lassen sich zum Beispiel über den Menüpunkt „Safari“ und der Auswahl von „Safari-Erweiterungen“ in macOS installieren.

Verlorenen oder gesperrten Mac sperrenWer einen Mac mit T2-Chip einsetzt, kann verloren gegan-gene Macs seit längerem sperren lassen. Mit macOS 10.15 ist es darüber hinaus auch möglich, dass Anwender ihren Mac auch löschen können. Wenn ein Mac gestohlen wird, kann nach der Sperre der Dieb nichts mehr mit dem Gerät anfan-gen. Es lohnt sich also vor allem für Anwender, die viel un-terwegs sind auf Macs mit solchen Chips zu setzen.

Sicherheitseinstellungen regelmäßig testenWer mit macOS 10.15.x arbeitet, sollte sich in regelmäßigen Ab-ständen die Optionen in „Sicherheit“ der Systemeinstellungen ansehen. Hier sind in den verschiedenen Menüs Einstellungen verfügbar, mit denen die Sicherheit von macOS verbessert wer-den kann. Auch über „Datenschutz“ stehen wichtige Optionen zur Verfügung, die zum Beispiel Apps betreffen, die Zugriff auf das System nehmen wollen. Vor der Änderung müssen zu-nächst auf das Schloss-Symbol geklickt und die Anmeldedaten eingegeben werden. In den allgemeinen Einstellungen kann zum Beispiel festgelegt werden, dass Apps aus dem App-Store und aus dem Internet geladen werden dürfen. VV Thhomas Joos


IoT- und Embedded Security

Embedded-Systeme gegen Ha-cker absichernEmbedded-Systeme sind weniger leistungsfähig als klas-sische IT-Systeme und haben einen wesentlich längeren Lebenszyklus. Sicherheit für Embedded Systems braucht folglich neue Konzepte, die die Eigenheiten des Internet of Things (IoT) berücksichtigt – zum Beispiel einen determi-nistischen Ansatz.

Industrie 4.0 und Industrial IoT verändern die Produktion, in Fabrikanlagen verbreiten sich vernetzte Maschinen. Im Unterschied zu den abgeschlossenen Produktionsstätten der Vergangenheit eröffnet die Vernetzung mit dem Internet neue Angriffsvektoren wie beispielsweise Malware oder Hacking. Durch die Vernetzung auf der Basis von IT-Standards ähneln Werkzeugmaschinen und Industriegeräte nun einem her-kömmlichen Computer und müssen mit vergleichbaren Vor-kehrungen abgesichert werden. Doch viele erprobte Verfah-ren, die in einem Rechenzentrum erfolgreich sind, eignen sich nicht für vernetzte IoT-Geräte.

Industrieanwendungen benötigen kleinen FootprintDer Grund: IoT-Geräte sind eine stark begrenzte Systemumge-bung. Dies betrifft vor allem Embedded Systems in Maschinen und Anlagen. Bei ihnen sind Hauptprozessoren, Speicher und Eingabe/Ausgabe wenig leistungsfähig und bei vielen Anwen-dungen auch weitgehend ausgelastet. Die Systeme werden häufig aus Kostengründen möglichst sparsam ausgelegt, aber auch um in bestimmten Einsatzszenarien Strom zu sparen. Deshalb sind herkömmliche Security-Konzepte mit hohem Leistungsabruf von vornherein ausgeschlossen.

Embedded-Systeme in Maschinen und Anlagen haben nur begrenzte Leistungsreserven und benötigen deshalb spezielle Security-Lösungen.

© Bild: gemeinfrei / Pixabay


Notwendig sind Sicherheitsanwendungen mit einem kleinen binären Footprint, sowohl auf den Speichermedien als auch im Arbeitsspeicher. Die Anforderung gilt auch für Updates der Security-Lösung. Wegen der enormen Dynamik in der Entwicklung von Malware gibt es in Rechenzentren teilweise mehrmals täglich ein Update von Signaturdatenbanken. Dies lässt sich in der begrenzten IoT-Systemumgebung nicht nach-bilden und unter der Annahme von Tausenden vernetzten Ge-räten wären auch die besten Breitbandnetze überfordert.

Versiegelung von geschlossenen IndustriesystemenKurz: IoT-Security sollte anderen Sicherheitskonzepten fol-gen als IT-Security. Vernetzte Industriegeräte sind geschlos-sene Systeme, die häufig über einen langen Zeitraum ohne Benutzereingriff von außen auskommen müssen. Experten sprechen hier von deterministischen Systemen, die endlich viele Operationen ausführen, welche allesamt in der Firm-ware der Geräte definiert sind. Die Folge aus Security-Sicht: Jede nicht in der Gerätesoftware vorgesehene Operation kann als Hackerangriff interpretiert und entsprechend abge-wehrt werden.Die Software von Maschinen und Anlagen im Industriebe-reich muss gegen verschiedene Arten von Angriffen versie-gelt werden. Anbieter wie Karamba Security verfolgen dabei einen neuartigen Ansatz: Auf Basis einer statischen Analyse ermittelt die Lösung, welche Funktionsaufrufe gültig sind. Technisch ausgedrückt überprüfen sie dabei die Control-Flow-Integrity (CFI). Anhand eines Aufrufdiagramms stellt die Firmware zur Laufzeit sicher, dass nur legitime Funkti-onsaufrufe ausgeführt werden können. Dadurch wird bei-spielsweise jeder Versuch blockiert, Malware direkt in den Speicher zu laden – ein typisches Einfallstor für Cyberkri-minelle.

Whitelisting vereinfacht die ÜberprüfungDie Firmware wird sie mit einer Whitelist-Komponente er-gänzt. Diese enthält eine Datenbank mit den Signaturen al-ler legitim ausführbaren Binärdateien, beispielsweise An-wendungen und Systembibliotheken. Sobald eine Binärdatei geladen wird, berechnet die Security-Software ihre eindeu-tige Signatur und vergleicht sie mit der Signatur aus der Da-tenbank. Kommt es hier zu Abweichungen, wird die Ausfüh-rung der jeweiligen Binärdatei verhindert.


Control-Flow-Integrity und Whitelisting erkennen Angriffe, bevor das System kompromittiert wird. Dadurch kann sich das Gerät vor Angriffen schützen, ohne auf Patch-Updates über die Verbindung mit einem Netzwerk angewiesen zu sein. Gerade in Szenarien, in denen eine ständige Verbindung zu einem Netzwerk nicht garantiert werden kann, können nicht oder verspätet ausgeführte Aktualisierungen zu Sicherheits-verstößen führen. Deshalb ist eine Lösung besser, die nicht auf Updates angewiesen ist.

Funktions-Updates sind auch weiterhin möglichDeterministische Sicherheit hat zudem einen weiteren Vorteil gegenüber herkömmlichen Security-Ansätzen: Sie vermeidet Fehlalarme, also „False Positives” genauso wie „False Ne-gatives”. Wenn eine Lösung Datenbanken mit Angriffstech-niken und Malware-Signaturen einsetzt, gibt es regelmäßig False Positives. Bei Systemen mit hohem Datendurchsatz ist ein Fehlalarm sogar wahrscheinlicher als ein echter Angriff. Dies führt in der Industrie zu vermeidbaren Produktionsaus-fällen, die letztlich einen Umsatzverlust und Kosten für die Fehlerbehebung verursachen.Doch es ist eine schlechte Idee, ein IoT-Gerät vollständig ab-zuschirmen. Neben dem Datenaustausch, der zum Zweck des Systems gehört, sind auch zusätzliche Datenflüsse notwen-dig. Hersteller möchten ihre Geräte mit Softwareaktualisie-rungen ausstatten, beispielsweise um Fehler zu verbessern und Funktionen zu ergänzen. Diese Updates müssen trotz der Versiegelung der Geräte durch die Security-Lösung mög-lich sein. Der Weg dahin: Der Aktualisierungsmechanismus wird auf die Sicherheitslösung erweitert, sodass bei einem Update neue Komponenten in der Whitelist erscheinen, wie es auch bei einem „fabrikneuen“ Build der Software wäre.

Anforderungen an IoT-Security in der Produktion steigenNebenbei: Natürlich müssen alle Update-Routinen ebenfalls maximale Sicherheit bieten. Dies wird üblicherweise durch den Einsatz einer verschlüsselten Verbindung mit HTTPS und einer Ende-zu-Ende-Verschlüsselung der eigentlichen Nutzdaten erreicht. Dadurch ist die Verbindung abhörsicher und die Daten werden vor der Übertragung verschlüsselt und nach dem Empfang entschlüsselt. So wird verhindert, dass Cyberkriminelle Schadcode in die Übertragung ein-schleusen.


Diese Erläuterung zeigen, dass die formalen Anforderungen mit zunehmender Komplexität der Industriesysteme steigen. Dabei ist für die Hersteller sehr wichtig, die bekannten Nor-men für funktionale Sicherheit (Safety) ebenso zu berück-sichtigen wie Aspekte der Cybersicherheit (Security). Mit zunehmender Konnektivität im Rahmen von Industrie 4.0 muss beides genauso berücksichtigt werden. Die Hersteller müssen sie deshalb in ihrer Produktentwicklung integrieren und Cybersecurity direkt bei der Konzeption von Maschinen und Geräten berücksichtigen. Denn nachträgliche Patches sind für die Sicherheit von Embedded Systems keine (gute) Lösung.

Über den Autor: Rainer Witzgall ist Managing Director Deutschland bei Karamba Security und verfügt über lang-jährige Erfahrung in den Bereichen Cybersicherheit und Software für die Automobil- und IoT-Industrie.� ★ Rainer Witzgall


Storage Area Networks (SANs) schützen

Sicherheit in SpeichernetzenAuf die in Speichernetzen abgelegten Daten können in der Regel eine große Zahl von Anwendern und Endgeräten zu-greifen. Deswegen sind umfassende Maßnahmen für deren Absicherung erforderlich. So müssen gilt es Vorkehrungen gegen Datenmanipulationen zu treffen und dafür sorgen, dass nur Berechtigte auf die gespeicherten Informationen zugreifen dürfen.

Es gibt viele unterschiedliche Möglichkeiten, um in einem Unternehmensnetz Daten zu teilen. Das beginnt bei einfa-chen Netzwerk-Shares auf den Servern, geht über spezielle NAS-Systeme und reicht bis hin zu Cloud-Speichern. In die-sem Beitrag fokussieren wir uns auf das Absichern so ge-nannter Storage Area Networks (SANs), also von Speicher-netzen.

SANs gelten im Unternehmen als zentraler Storage-Pool. Sie setzen sich aus verschiedenen, miteinander vernetzten, Spei-chergeräten zusammen, die im Betrieb Informationen mit un-terschiedlichen Endgeräten und IT-Netzen austauschen. Da-bei gibt es in der Praxis zweierlei SAN-Varianten. Zunächst einmal sind in diesem Zusammenhang Installationen zu nennen, die über eigene Protokolle, wie beispielsweise Fibre Channel und über eigene Hardware-Komponenten, also Ad-apterkarten und SAN-Switches, miteinander kommunizieren.

Viele Security-Funktionen, die in anderen IT-Bereichen schon längst Standard sind, existieren für SANs immer noch nicht.

(Bild

: gem

einf

rei /

Pix

abay

)


Sie arbeiten also völlig unabhängig von der "normalen" IT-Netzwerkinfrastruktur auf Ethernet-Basis. In der Regel wer-den diese Netze übrigens auch von speziellen Administrato-ren gewartet und betreut, die getrennt von der "normalen" IT-Abteilung arbeiten.

SANs über EthernetAuf der anderen Seite existieren SANs, die – beispielsweise über das iSCSI-Protokoll – vorhandene Ethernet-Verbindun-gen nutzen. Diese müssen nicht zwangsläufig getrennt von allen übrigen Netzwerkkomponenten arbeiten und sind des-halb im Zweifelsfall auch angreifbarer.Dabei hat der Einsatz solcher SANs manchmal durchaus auch Vorteile, denn es macht das Anbinden externer Nieder-lassungen über das Internet einfacher, ermöglicht den Auf-bau preisgünstiger Speicherverbindungen und erhöht die Flexibilität.Gleichzeitig öffnet dieses Vorgehen bei fehlenden Sicher-heitsmechanismen aber auch Angreifern Tür und Tor, da sie über lokales Netz und Internet Zugriff auf die Speicherdaten erhalten. Außerdem lässt sich in solchen Umgebungen auch die Leistung der Speichernetze durch DoS-Angriffe und ähn-liches beeinträchtigen.Für beide SAN-Varianten existieren eine Vielzahl an Sicher-heitsfunktionen, auf die wir jetzt einmal genauer eingehen. In diesem Zusammenhang spielt es eine wichtige Rolle zu wissen, dass die meisten Sicherungsmechanismen sowohl für iSCSI- als auch für Fibre-Channel-Komponenten verfüg-bar sind. Die weit verbreitete Meinung, dedizierte SANs seien sowieso sicher und die darin verbauten Komponenten hätten demzufolge viel weniger Security-Features als Speicherlö-sungen aus dem Ethernet-Bereich, ist falsch. Der Umfang der Sicherheitsfunktionen gilt bei allen Lösungen als vergleich-bar, es stimmt aber, dass die einzelnen Features in Fibre-Channel-Netzen viel seltener zum Einsatz kommen. Georg Mey, Senior Manager Solution Architect EMEA bei NetApp sagte uns bei einem Gespräch über Speichersicherheit dazu: "Es gibt im Fibre-Channel-Bereich sehr mächtige Sicherheits-funktionen, diese werden aber in der Praxis kaum genutzt."

Sicherheit für SpeichernetzeBeim Absichern von Speichernetzen denken sich viele, es würde reichen, die SAN-Endgeräte vor unerwünschten Zu-griffen zu schützen, um auch die Datensicherheit im SAN zu


garantieren. Diese Ansicht ist aber ebenfalls falsch, schließ-lich stehen die Speicherkomponenten im Netz zur Verfügung und lassen sich bei richtiger Adressierung ohne weitere Si-cherheitsvorkehrungen von allen möglichen Endgeräten aus ansprechen. Zudem sind sie Angriffen durch Ransomware, Trojaner, Würmer und DoS-Attacken genauso ausgesetzt, wie andere Netzwerkkomponenten, jedenfalls in Ethernet-Netzen, die mit anderen Diensten geteilt werden.

Um die Sicherheit in SANs zu gewährleisten, kommen deshalb viele unterschiedliche Technologien zum Einsatz. In diesem Zusammenhang sind zunächst einmal verschiedene Benut-zerrollen zu nennen. Diese ermöglichen es den zuständigen Mitarbeitern, die SAN-Komponenten so zu konfigurieren, dass die User immer nur die Aufgaben durchführen können, die sie zum Erledigen ihrer Tätigkeiten auch wirklich brauchen.

Beschränkung der Verwaltungszugriffe

Um sicher zu stellen, dass nur die Administratoren überhaupt Zugriff auf die Geräte erhalten, die für das SAN-Management verantwortlich sind, müssen zudem leistungsfähige Funktio-nen für die Authentifizierung, die Autorisierung und das Ac-counting zur Verfügung stehen. „Die meisten SAN-Lösungen setzen in diesem Zusammenhang auf Radius und TACACS+. Damit lässt sich eine zentrale Verwaltung der Benutzerkonten über alle Geräte hinweg realisieren“, erklärte uns Torsten Ha-rengel, Operations Director Security Germany bei Cisco, wäh-rend eines weiteren Gesprächs über SAN-Sicherheit.

VSANs

Eine weitere wichtige Sicherheitsfunktion: virtuelle SANs. Diese sorgen – analog zu VLANs – dafür, dass die einzelnen Speicherbereiche im SAN nicht von allen Rechnern im Netz aus ansprechbar sind. Dazu werden bestimmte Switch-Ports zu VSANs zusammengefasst, die dann so erscheinen, als wür-den sie zu getrennten Switches gehören.

Zoning und LUN-Masking

Ein anderes Security-Feature im SAN-Umfeld ist das Zoning. Normalerweise sind Hosts oder Speicherkontroller, die in ei-nem Fabric arbeiten, dazu in der Lage, mit jedem anderen


Node im selben Fabric zu kommunizieren. Die Zoning-Funkti-on sorgt nun dafür, dass diese Kommunikation auf diejenigen Komponenten eingeschränkt wird, die sich in der gleichen – zuvor definierten – Zone befinden. Auf diese Weise lassen sich die Komponenten also voneinander isolieren. Die Konfi-guration des Zonings erfolgt auf Switch-Ebene und lässt sich auch innerhalb eines VSANs durchführen.

Mit Zoning lassen sich aber keine LUNs (Logical Unit Num-bers) hinter einem Port maskieren. Bei einer LUN handelt es sich um ein logisches Speichergerät, auf das ein Host zugrei-fen kann. Es erscheint auf dem Host so wie eine lokale Fest-platte, zum Beispiel als „/dev/sde“. Da das Zoning nicht dazu in der Lage ist, LUNs zu maskieren, tritt das Problem auf, dass es keine Hilfe darstellt, wenn es darum geht, den Zugriff auf bestimmte Partitionen eines RAID-Arrays zu beschränken.

In diesem Zusammenhang ist nun das LUN-Masking zu erwäh-nen. Dabei wird der Zugriff auf bestimme logische Speicherge-räte begrenzt. So lässt sich sicherstellen, dass immer nur dieje-nigen den zugewiesenen Speicher nutzen können, die das auch sollen. Die Konfiguration des LUN-Maskings erfolgt auf Ebene des Speicherkontrollers oder Host Bus Adapters.

Port Security und Fabric Binding

Ein weiteres wichtiges Feature ist die Port-Sicherheit. Mit Hilfe des Port-Security-Features binden die Verantwortli-chen bestimmte World-Wide Names (WWNs) an bestimmte Switch Ports. Anschließend haben nur noch diese Zugriff auf den jeweiligen Port.

Das Fabric Binding wiederum sorgt in einem VSAN dafür, dass Inter-Switch-Links (ISLs) nur zwischen bestimmten Switches in der Fabric-Konfiguration ermöglicht werden. Auf diese Weise lassen sich nicht autorisierte Switches aus dem Netz fernhalten.

Weitere Sicherheitsfunktionen

Ebenfalls von Bedeutung: Das Fibre Channel Common Trans-port-Protokoll. Dieses FC-CT bietet den zuständigen Mitar-beitern über das Query-Management-Feature die Option, das Netzwerk so zu konfigurieren, dass nur Speicheradminist-ratoren oder Netzwerkadministratoren Anfragen an einen


Switch senden können. Auf diese Weise lassen sich Informa-tionen über den Aufbau des SANs, die beteiligten Kompo-nenten, welche Zonen es gibt und ähnliches, absichern.

Die Zertifikatsverwaltung, die Verwendung findet, um die si-chere Kommunikation über das Netz zu realisieren, läuft in der Regel über PKI ab. PKI unterstützt dabei die Arbeit mit IPSec, IKE und SSH.

SSH kommt in vielen Fällen zum Einsatz, um den sicheren Verwaltungszugriff auf die Komponenten über eine Konso-len-basiertes Management-Werkzeug zu ermöglichen, wäh-rend IPSec die Datenübertragungen verschlüsselt. Dazu spä-ter mehr.

Sicherheit mit dem Fibre Channel Security Protocol

Um die Herausforderungen anzugehen, die an die Sicher-heitskonfiguration in unternehmensweiten Umgebungen auftreten, stehen Features wie FC-SP und DHCHAP zur Ver-fügung. FC-SP, das Fibre Channel Security Protocol, wurde ursprünglich von Cisco entwickelt, stellt aber in der Zwi-schenzeit ein offenes Protokoll dar. Es bietet Authentifizie-rungsmöglichkeiten zwischen den Switches sowie zwischen Switch und Host. „Mit FC-SP ist es möglich, den Fibre-Chan-nel-Verkehr auf Frame-Basis abzusichern und so selbst bei Übertragungen über nicht vertrauenswürdige Verbindungen Snooping und Hijacking zu unterbinden“, so Torsten Haren-gel von Cisco weiter.

Bei DHCHAP handelt es sich um ein FC-SP-Protocol, das sie Authentifizierung zwischen Switches und anderen Geräten abwickelt. Es besteht aus dem CHAP-Protocol (Challenge Handshake Authentication Protocol) in Verbindung mit dem Diffie-Hellman-Schlüsselaustausch.

Verschlüsselung

Was die Datenverschlüsselung angeht, so müssen die Spei-cheradministratoren in Umgebungen, in denen das erforder-lich ist, nicht nur dafür sorgen, dass die Daten während des Transports gesichert werden, sondern auch dann, wenn sie auf den Speichermedien liegen. Für die Sicherung im Trans-port gibt es SAN-Switches, die eine IPSec-Encryption anbie-ten, über die sich die Datenübertragungen wie in einem VPN schützen lassen.

https://www.security-insider.de/was-ist-der-diffie-hellman-schluesselaustausch-a-799443/


Die Verschlüsselung muss sich wie gesagt aber auch auf Disk-Arrays, Tape Drives (die zum Backup Verwendung fin-den) und Virtuelle Tape Libraries (VLTs) erstrecken. NetApp bietet für seine Speicherkomponenten sowohl Hard- als auch Software-basierte Verschlüsselungsoptionen an. Die Hardware-Verschlüsselung kommt dabei üblicherweise zum Einsatz, wenn es darum geht, ein ganzes Speichersystem zu verschlüsseln, die Software-Verschlüsselung findet Verwen-dung, wenn nur bestimmte Datenbereiche gesichert werden sollen.

Fazit

Es stehen sehr viele Sicherheitsmechanismen bereit, die sich nutzen lassen, um Daten in Speichernetzen zu schüt-zen. Dennoch ist es aber immer noch so, dass viele Sicher-heitsfunktionen, die in anderen Bereichen Standard sind, für SANs nicht existieren. So können beispielsweise Active-Directory-Server für die NAS-Authentifizierung zum Einsatz kommen, das geht bei SAN-Komponenten nicht.

Manch andere Sicherheitsfunktion spielt bei bestimmten An-wendern eine große Rolle, bei den meisten aber überhaupt keine. So wies uns beispielsweise Georg Mey von NetApp da-rauf hin, dass bisher nur wenige Kunden eine Multi-Faktor-Authentifizierung nutzen.

Während unseres Gesprächs erzählte uns Herr Mey außer-dem, wie die Absicherung von Speichernetzen in der Pra-xis abläuft: „Man findet normalerweise etwas Bestehendes vor, in das man seine neuen Komponenten sicher einbinden muss.“ Nur selten sind die IT-Mitarbeiter folglich dazu in der Lage, eine Speicherumgebung komplett neu zu gestalten. Sollte das doch einmal der Fall sein, so gilt es zunächst die Frage zu klären, ob es sinnvoll ist, die Daten in einem dedi-zierten SAN zu belassen und den Zugriff darauf zu beschrän-ken oder doch IP-Storage zu verwenden.

Der zweite Ansatz lässt sich sicher preisgünstiger realisieren, bringt aber auch einen größeren Sicherungsaufwand mit. In der Praxis ergibt es folglich Sinn, immer die Technologie zu nehmen, die sich besser für das jeweilige Aufgabengebiet eignet. In diesem Zusammenhang ist es noch wichtig daran

https://www.security-insider.de/was-ist-verschluesselung-a-618734/

https://www.security-insider.de/was-ist-multi-faktor-authentifizierung-mfa-a-631486/

https://www.security-insider.de/was-ist-multi-faktor-authentifizierung-mfa-a-631486/


zu denken, dass auch in reinen Fibre-Channel-Netzen, also getrennt arbeitenden SANs oft Datenspiegelungen zu entfern-ten Sites stattfinden, die dafür sorgen sollen, dass die Infor-mationen im Katastrophenfall nicht verloren gehen. Diese Datenspiegelungen laufen dann normalerweise doch über IP-Netzwerke ab und müssen dementsprechend gesichert wer-den.

Im Zusammenhang mit der Datensicherheit ist es übrigens noch wichtig zu erwähnen, dass die zuständigen Mitarbeiter zusätzlich dafür sorgen müssen, dass Datenmanipulationen nicht unerkannt bleiben. Das gleiche gilt auch für Konfigura-tionsänderungen. Nur so lässt sich die Compliance garantie-ren.

★ Dr. Götz Güttich

https://www.security-insider.de/was-bedeutet-compliance-fuer-unternehmen-a-578464/


Compliance-Anforderungen für SIEM und SOC

SIEM- und SOC-Betrieb und der DatenschutzDer IoT-Markt und das 5G-Mobilfunknetz sorgen für eine Vervielfältigung der kommunizierenden Geräte weltweit – in 2020 werden bis zu 200 Mrd. Geräte über das Netzwerk kommunizieren. Diese enorme Vergrößerung der „An-griffsfläche“ erhöht das Risiko von Hackerangriffen selbst bei gleichbleibendem Angriffs-Volumina. Zudem steigt das Schadenspotential durch gesteigerte Abhängigkeit an die-ses technische Equipment.

Allein auf Antivirus- oder Endpoint-Protection-Lösungen zu setzen, reicht nicht mehr aus. Eine aktive Überwachung und Echtzeit-Korrelation sinnvoller Messpunkte ist von Nöten. Dies sind Kernaufgaben eines SIEM-Systems, welches Auf-fälligkeiten in der IT-Infrastruktur erkennen kann. Durch die entstehende Informationsflut ist ein SIEM zur technischen Analyse großer Datenmengen fähig. Sind kritische Vorfälle durch die definierten Use Cases erkennbar, wird außerdem in einem SOC ggf. 24x7 mit menschlichen Kräften reagiert. Diese Vorgänge ziehen die Verarbeitung großer Datenmen-gen mit sich.

SIEM arbeitet mit großen Datenmengen

Bei der Verwendung eines SIEM-Systems werden Daten durch Sensoren oder Kollektoren - zentral im Netzwerk bzw. auf End

Unternehmen, die höhere Ansprüche an die Überwachung und Reaktionsfähigkeiten bei Vorfällen anstreben bzw. anstreben müssen, etablieren meist ein SIEM und SOC-Betrieb.

(© ArtemSam - stock.adobe.com)


gräten selbst platziert - weitergeleitet, gespeichert, aufbereitet und analysiert. Meist werden unstrukturierte „Rohdaten“ und normalisierte „abgespeckten“ Daten unterschieden, die im Falle eines Vorfalls von SOC-Mitarbeitern zur genauen (ggf. IT-forensischen) Analyse genutzt werden. Die dabei anfallen-den Daten sind vielfältig und enthalten (Log-)Daten aller Art, von MAC- und IP-Adressen, Zeitstempel, verwendete Applika-tionen bis zu Klartextinformationen (ggf. sogar Kreditkarten-informationen, Telefonnummern, Anmeldedaten etc.).Die Informationen dieser teils personenbezogener Daten sind wichtige Teile im Untersuchungsprozesses eines Vorfalls. In der (IT-)Forensik sind im Schadensfall genau die Fragen wichtig, die für den Datenschutz kritisch sind: Wer hat was, wann, womit gemacht? Deutlich wird hier der scheinbare Widerspruch zwischen SIEM- und SOC-Betrieb und den An-forderungen des Datenschutzes (siehe Bild).

Anforderungen der DSGVO im Rahmen von SIEMEin SIEM-System und der SOC-Betrieb müssen Compliance-Anforderungen erfüllen und damit sowohl die Analyse- und Beweissicherungsfähigkeit wie auch die Umsetzung der An-forderungen des Datenschutzgesetzes ermöglichen. Wichtige Datenschutzanforderungen der DSGVO lassen sich in Bezug auf ein SIEM-System vor allem auf Kapitel 2 DSGVO (u.a. An-forderungen an die Rechtmäßigkeit und Einwilligung), Ka-pitel 3 DSGVO (Rechte der Betroffenen, vor allem Löschung und Übertragung) und Kapitel 5 DSGVO (Übertragung, ins-besondere in der Zusammenarbeit mit Dienstleistern oder bei Cloud-Komponenten). Vor allem durch sekundengenaue Informationen aus den Log-Quellen ist die Möglichkeiten zur technischen Analyse der Leistungen oder des Verhaltens von Mitarbeitern gegeben (siehe Art. 35 Abs. 1 und 3 DSGVO). Im Einzelfall sind sogar Bewegungsdaten durch Zutrittssys-teme vom SIEM-System auswertbar, sofern daran angebun-den. Besonders kritisch wird dies, wenn Artikel 9-Daten der DSGVO vorhanden sind. Grundsätzlich kann daher ange-nommen werden, dass die Einführung eines SIEM-Systems zur Notwendigkeit der Erstellung einer Datenschutzfolgeab-schätzung (DSFA) führt.

Technische Schutzmaßnahmen im SIEMIm Rahmen der DSFA können für die Erfüllung der DSGVO verschiedene Vorgaben aus Artikels 17, 20 oder 25 herange-


zogen werden. Diese schreiben vor, dass technische Mög-lichkeiten zur Umsetzung von Datenschutzmaßnahmen im System verankert sein müssen, um personenbezogene Daten zu schützen. Beispiele sind:

V Pseudonymisierung / Anonymisierung: Ersetzen von Teilen der Daten durch Pseudonyme, wodurch einzelne Da-ten durch Zufällige ersetzt werden.

V Tokenization: Ersetzen von Bestandteilen von Daten mit anderen Daten der gleichen Länge.

V Verschlüsselung: Verschlüsseln von Daten, wodurch sich die Länge und Größe der Daten verändern kann.

V Minimierung: Reduzierung der erhobenen Daten auf das absolut Notwendigste.

V Löschung und Löschbarkeit: Daten sollen sowohl auf Anfrage wie auch nach einer bestimmten Zeit gelöscht wer-den können.

Übertragbarkeit: Daten sollten auf Anfrage übertragen wer-den können.Die dargestellten Maßnahmen können an unterschiedli-chen Punkten ansetzen. Die Minimierung von Daten be-ginnt bereits in der Konzeptionsphase des im SIEM-Imple-mentierungsprojekts. Eine Minimierung kann direkt an den Systemen (z.B. Betriebssysteme) und zentralen Knotenpunk-ten (z.B. vor und/oder hinter einer zentralen Firewall oder Proxy-Server) z.B. durch Filter umgesetzt werden. Allerdings besteht bei diesem Vorgehen die Gefahr, dass wertvolle In-formationen verloren gehen, was möglicherweise das gan-ze SIEM infrage stellt. Die Umsetzung der „Datenschutz-Controls“ durch das SIEM-Systems selbst sind daher bei der SIEM-Systemeinführung mindestens ebenso wichtig.

Erfüllung der DSGVO bei der SIEM-EinführungBeruft man sich auf Artikel 6 DGSVO, können alle jene Daten erhoben werden, die für die Erfüllung der rechtlichen und regulatorischen Ansprüche erforderlich sind. Unternehmen müssen nach der Klärung der rechtlichen Grundlage daher vor allem die DSFA durchführen und stets aktualisieren. Die-se beinhaltet:eine Risikoanalyse, die die Risikolage bewertet, mögliche Konsequenzen aufzeigt sowie risikoreduzierende Maßnah-men definiert.


die Dokumentation der Prozesse und Regelwerke der Erhe-bung und Verarbeitung einschl. aller beteiligten Parteien so-wie der Schutzmaßnahmen.

Einige technische Schutzmaßnahmen heutiger SIEM-Syste-me sind starke Mechanismen zur rollenbasierten Authenti-fizierung und Autorisierung, ein transparenter Audit-Trail des SIEM-System selbst, gehärtete Hard- und Software al-ler Komponenten, Verschlüsselte Datenablage sowie Daten-übertragung, ein event- und zeitbasiertes Löschkonzept und Möglichkeiten der Pseudonymisierung der Ansicht der Daten durch die SOC-Mitarbeiter (Maskierung) bei gleichzeitigem Erhalt der Beweismittelkette.

Die Einführung eines SIEM-System widerspricht damit nicht den Anforderungen der DSGVO, wenn die beschriebenen Punkte beachtet werden.

� ★ Dr. Jan Kopia


Open Source Firewall und VPN für KMU

Home Office mit OpenVPN und OPNsenseOpenVPN gehört zu den bekanntesten VPN-Lösungen für Unternehmen. Das SSL-VPN steht kostenlos zur Verfügung und ist schnell einsatzbereit. Zusammen mit OPNsense können hier eine Open Source-Firewall und ein SSL-VPN schnell und einfach bereitgestellt werden.

Um ein VPN auf Basis von OpenVPN bereit zustellen gibt es viele Möglichkeiten. Für kleine und mittlere Unternehmen ist die Verwendung der OPNsense-Firewall-Appliance inter-essant. Dabei handelt es sich um eine Open Source-Firewall, die als virtueller Computer oder auch auf physischen Com-putern betrieben werden kann. Die Installation ist relativ einfach. Nach der Inbetriebnahme lassen sich verschiedene Serverdienste einrichten, darunter auch OpenVPN.

Wie man mit OpenVPN und OPNsense eine Firewall und Remote-Einwahl für kleine und mittlere Unternehmen schnell und einfach realisiert und welche Möglichkeiten OPNsense in Verbindung mit OpenVPN bietet, zeigen wir im Artikel und der untenstehenden Bildergalerie.

V zur Bildergalerie

Wie man mit OpenVPN und OPNsense eine Firewall und Remote-Einwahl für KMU schnell und einfach realisiert, zeigen wir im Artikel und der zugehörigen Bildergalerie.

© g

emei

nfre

i / P

ixab

ay

https://www.security-insider.de/home-office-mit-openvpn-und-opnsense-gal-930901/


OpenVPN mit OPNsense nutzen - Die VorteileDurch die Verbindung von OPNsense mit OpenVPN können Unternehmen relativ einfach einen VPN-Server bereitstellen, der zusätzlich durch eine Firewall geschützt wird. Über die Firewall lassen sich die Zugriffe von Anwendern aus dem Internet steuern, aber auch der Zugriff von VPN-Benutzern im Netzwerk. Auch der Zugriff aus dem internen Netzwerk in das Internet kann OPNsense steuern. Die Firewall wird dazu mit einer grafischen Oberfläche konfiguriert. Auch ein Proxy-Server steht in OPNsense zur Verfügung.

OPNsense verfügt auch über eine eigene Benutzerverwal-tung, kann sich aber per LDAP auch an andere Server an-binden, zum Beispiel an Active Directory. Auch eine eigene Zertifizierungsstelle kann mit OPNsense betrieben werden. Über die Zertifikate werden die Benutzer am SSL-VPN von OpenVPN authentifiziert. Zusätzlich kann auch eine Benut-zerauthentifizierung erfolgen. Hier können die Benutzer ent-weder lokal angelegt werden, oder aus dem Active Directory ausgelesen werden. Für den Zugriff auf das VPN kann auch eine Benutzergruppe angelegt werden. Die komplette Steue-rung erfolgt über die Weboberfläche.

Einrichtung von OpenVPN mit OPNsenseAlles was zur Einrichtung von OpenVPN benötigt wird, ist Bestandteil von OPNsense. Es ist keine zusätzliche Software notwendig. Auf den Clientcomputern wird ein mit OpenVPN-kompatibler Client benötigt. Hier kann entweder auf den von OpenVPN oder den SecurePoint-VPN-Client gesetzt werden. Die komplette Einrichtung des VPNs erfolgt in der Webober-fläche von OPNsense. Wer sich etwas mit dem Thema aus-einandergesetzt hat, kann in OPNsense auch mehrere, vir-tuelle OpenVPN-Server einrichten, damit die Benutzer zum Beispiel mit verschiedenen Rechten arbeiten können.

Wie man mit OpenVPN und OPNsense eine Firewall und Remote-Einwahl für kleine und mittlere Unternehmen schnell und einfach realisiert und welche Möglichkeiten OPNsense in Verbindung mit OpenVPN bietet, zeigen wir im Artikel und der untenstehenden Bildergalerie.

V zur Bildergalerie� ★ Thomas Joos

https://www.security-insider.de/home-office-mit-openvpn-und-opnsense-gal-930901/


Sicherheit in Kubernetes beachten

Container-Infrastrukturen richtig absichernKubernetes wird in immer mehr Umgebungen eingesetzt, um Container-Infrastrukturen zu orchestrieren. Hier spielt die Sicherheit eine wichtige Rolle, da davon alle Apps und deren Microservices abgesichert werden, die in dieser Inf-rastruktur betrieben werden.

Kubernetes liefert viele Angriffsflächen und Möglichkeiten unberechtigte Zugriffe auf Container zu nehmen. Auch die Anwendungen die auf den Containern laufen stellen generel-le Sicherheitsgefahren und Möglichkeiten der falschen Kon-figuration dar. Die Rechte und die Sicherheitseinstellungen betreffen in einer Kubernetes-Infrastruktur immer die ganze Umgebung.

In vielen Fällen werden zwar die Funktionen von Kuberne-tes umfassend genutzt, allerdings nicht immer mit einem ausreichenden Sicherheitskonzept. Die Abläufe der Angriffe kann zum Beispiel beim Hack der Public Cloud von Tesla in 2018 in Erfahrung gebracht werden. Auch hier kommt Kuber-netes zum Einsatz.

Kubernetes-Infrastruktur absichern

Generell sollte die Absicherung von Kubernetes bereits in den Grundlagen der IT-Infrastruktur beginnen. In Kubernetes soll-te generell streng mit Berechtigungen umgegangen werden.

Die Absicherung von Container-Infrastrukturen sollte bereits in den Grundlagen der IT-Infrastruktur beginnen.

© sutthinon602 - stock.adobe.com


Daher sollte bereits frühzeitig geplant werden, wie die Au-thentifizierung in der Umgebung durchgeführt werden soll. Idealerweise sollte die Authentifizierung mit einem Dienst stattfinden, der im Unternehmen ohnehin schon genutzt wird.

Die Container-Hosts, ob virtuelle oder Bare-Metal müssen ordnungsgemäß installiert, aktualisiert und abgesichert sein. Das Basis-Betriebssystem und der Schutz der Umgebung sollten hier frühzeitig geplant werden. Wenn Kubernetes vir-tualisiert wird, müssen die Virtualisierungs-Hosts ebenfalls abgesichert und in das Konzept eingebunden werden.

Kubernetes sollte möglichst in aktueller Version in Betrieb sein und auch regelmäßig aktualisiert werden. Es gibt ver-schiedene Lücken, die Angreifern gestatten Code auf den Clusterknoten auszuführen. Solche Lücken können durch regelmäßige Aktualisierung geschlossen werden. Die Sicher-heitslücke „CVE-2018-1002105“ ist ein solches Beispiel.

Absicherung der Master Nodes und Worker Nodes

Kubernetes wird in der Umgebung über Master Nodes und Worker Nodes bereitgestellt. Beide Knotenvarianten erfor-dern eine eigene Absicherung, die bereits vor der Bereitstel-lung von Containern berücksichtigt werden muss. Hier sollte mit einem sicheren Linux-System gearbeitet werden, dass möglichst wenig Features umfasst. Es gibt auch Zusatztools, die dabei helfen die Sicherheit zu verbessern, in dem auch Schwachstellen in der Umgebung gefunden und behoben werden. Beispiele dafür sind coreos/clair oder aquasecuri-ty/kube-bench. Mit „neuvector/kubernetes-cis-benchmark“ können Kubernetes-Umgebungen auf fehlerhafte Konfigu-rationen getestet werden. Nur die für den Betrieb von Con-tainern notwendigen Funktionen sind hier notwendig. Vor allem die Worker Nodes haben nur eine Aufgabe: Das Aus-führen von Containern. Aus diesem Grund ist es sehr sinn-voll hier hochsicher zu konfigurieren und diese Server so ideal wie möglich abzusichern.

Die Verwaltung von Kubernetes erfolgt meistens mit „kube-let“. Hier sollte bereits frühzeitig eingeschränkt werden, von welchen Adressen Befehle akzeptiert werden. Außerdem ist es an dieser Stelle wichtig die Zertifikate zu hinterlegen, die für die Kommunikation genutzt werden sollen. Auch aus die-


sem Grund sollte bereits frühzeitig geplant werden, welche Stelle die Zertifikate ausstellen soll. Die Überwachung der Dienste sollte natürlich ebenfalls frühzeitig geplant und um-gesetzt werden. Auch Kubernetes bietet eine interne Über-wachung, die auch im Rahmen der Sicherheit eine wichtige Rolle spielt. Pods und Container absichern

Die nächste Einheit in Kubernetes sind die Pods, über die Container bereitgestellt werden. Auch hier muss bereits bei der Planung berücksichtigt werden, wie die Pods abgesichert werden können und sollen. Wichtig ist hier die Konfigurati-on von TLS für die verschlüsselte Kommunikation zwischen den Pods. Die Pods sollten so definiert werden, dass stren-ge Grenzwerte für Speicher und andere Ressourcen gelten. Wenn ein Pod angegriffen oder sogar übernommen wird, kann der Angreifer nicht die ganze Umgebung ausbremsen, da der Pod nur eine bestimmte Anzahl an Ressourcen nut-zen darf. Das gilt natürlich auch für die Container, die im entsprechenden Pod betrieben werden. Auch hier sollten regelmäßige Überwachungen des Zustands der Pods konfi-guriert werden. Sicherheits-Richtlinien können dabei helfen für mehr Sicherheit in Kubernetes-Umgebungen zu sorgen. Hier unterstützen Lösungen wie Istio.

Schlussendlich werden in den Pods von Kubernetes die Con-tainer betrieben. Die Container werden wiederum mit Con-tainer-Images bereitgestellt. Die Container-Images müssen auch hier sicher bereitgestellt werden, damit die Container die auf den Images aufbauen, so sicher wie nur möglich sind. Die Images der Container sollten darüber hinaus regelmäßig aktualisiert werden, damit alle bekannten Sicherheitslücken regelmäßig geschlossen werden. Natürlich sollten auch Con-tainer nur mit minimalen Rechten gestartet werden. Dazu kommt, dass Root-Rechte auf Ebene der Container sehr ein-geschränkt, bis komplett vermieden werden sollten.

Service-Meshes absichernAm Ende der Kette stehen die Anwendungen und Dienste, die in den Containern betrieben werden. Auch diese müssen so sicher wie möglich konfiguriert sein und vor allem auch auf die Sicherheitsfunktionen von Kubernetes aufbauen und diese nutzen. In Container-Umgebungen werden Anwendun-gen in Microservices aufgeteilt und auf verschiedenen Con-


tainern, teilweise in verschiedenen Pods miteinander ver-netzt.Microservices, die für den Betrieb einer Anwendung mitein-ander kommunizieren und Daten austauschen müssen, kön-nen zu einem Service-Mesh zusammengefasst werden. In ei-nem Service-Mesh wird gesteuert, wie die Kommunikation zwischen den Microservices abläuft und welche Container auf die verschiedenen Arten miteinander kommunizieren können. An dieser Stelle ist es wichtig die Überwachung, Protokollierung und das Tracing aller Microservices zu kon-figurieren. Hier spielen auch Authentifizierung, Verschlüs-selung und Rechteverwaltung in der Kommunikation eine besonders hohe Rolle. Über ein Service-Mesh werden viele diese Aufgaben zentralisiert. Das ermöglicht es, dass viele Bibliotheken in einzelnen Containern nicht mehr notwendig sind. Das spart Leistung ein und verbessert die Sicherheit.

Bereits bei der Bereitstellung einer Anwendung sollte in Con-tainer-Umgebungen generell darauf geachtet werden, dass der Code und der komplette Ablauf der Bereitstellung einem Sicherheitskonzept untergeordnet werden.

★ Thomas Joos


DSGVO und neue Technologien

Datenschutzbewertung von QuantencomputernHäufig wird behauptet, der Datenschutz behindere die Nut-zung neuer Technologien. Dabei verlangt die Datenschutz-Grundverordnung ausdrücklich den Stand der Technik bei Schutzmaßnahmen. Entsprechend haben sich Aufsichts-behörden für den Datenschutz auch bereits mit dem The-ma Quanten-Computer befasst. Dies zeigt beispielhaft, wie man im Datenschutz neue Technologien bewertet.

Die drei größten Hürden beim Einsatz neuer Technologien sind nach Ansicht der Unternehmen Anforderungen an den Datenschutz (79 Prozent, 2019: 74 Prozent), die Anforderun-gen an die technische Sicherheit (63 Prozent, 2019: 57 Pro-zent) sowie fehlende Fachkräfte (55 Prozent, 2019: 48 Pro-zent), so eine Umfrage des Digitalverbands Bitkom im April 2020.

Gleichzeitig setzen viele Unternehmen auf neue Technologi-en, um den Datenschutz voranzubringen. Fast jedes zweite Unternehmen (48 Prozent) hat für die Umsetzung der DSGVO (Datenschutz-Grundverordnung) spezielle Softwaretools ge-nutzt.

Auch die Aufsichtsbehörden für den Datenschutz sehen Vorteile in neuen Technologien. Diese werden nicht nur als mögliches Risiko gesehen, auch wenn der Einsatz neuer Technologien ein wesentlicher Grund ist, eine Datenschutz-folgenabschätzung (DSFA, Artikel 35 DSGVO) vorzunehmen.

Es gibt viele Gründe, warum Quantencomputer erhebliche Auswirkungen auf den Daten-schutz in Bezug auf Datensi-cherheit und Vertraulichkeit der Kommunikation haben können.

© g

emei

nfre

i / P

ixab

ay


DSGVO fordert Stand der TechnikNeue Technologien, die sich als erfolgreich erweisen, wer-den in aller Regel zum Stand der Technik. Wie wichtig die Nutzung aktueller Technologien für den Datenschutz ist, zeigt deshalb auch die klare Forderung nach dem Stand der Technik, wenn es um die Sicherheit der Verarbeitung geht. An mehreren Stellen findet man den Bezug zum Einsatz ak-tueller Lösungen:Artikel 25 DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Un-ter Berücksichtigung des Stands der Technik, (...) trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der ei-gentlichen Verarbeitung geeignete technische und organi-satorische Maßnahmen, die dafür ausgelegt sind, die Da-tenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbei-tung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schüt-zen.

Artikel 32 DSGVO: Sicherheit der Verarbeitung: Unter Be-rücksichtigung des Stands der Technik, (...) treffen der Ver-antwortliche und der Auftragsverarbeiter geeignete techni-sche und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.Auch und gerade bei Verschlüsselung muss auf den Stand der Technik geachtet werden. Auch aus diesem Grund sind neue Technologien wie Quantum Computing ein Thema für den Datenschutz.

Bewertung von Quantencomputern„Quantencomputer können aufgrund der neuen, schnellen Methode zur Durchführung von Berechnungen für wissen-schaftliche Entwicklungen von großem Nutzen sein. Sobald sie verfügbar sind, können sie jedoch die derzeit verwendete Kryptografie beschädigen und den Schutz (persönlicher) Da-ten untergraben“, sagt der Europäische Datenschutzbeauf-tragte.Es gibt demnach viele Gründe, warum Quantencomputer er-hebliche Auswirkungen auf den Datenschutz in Bezug auf Datensicherheit und Vertraulichkeit der Kommunikation


haben könnten. Ein Grund ist die Fähigkeit, Kryptographie zu brechen. Quantum Computing kann viele der heutigen klassischen Kryptografien beschädigen und als solche die IT-Sicherheit erheblich beeinträchtigen, so der Europäische Datenschutzbeauftragte. Das Risiko erstreckt sich auf die wichtigsten Internet-Sicherheitsprotokolle. Fast alle heuti-gen Systeme, die Sicherheit, Datenschutz oder Vertrauen er-fordern, wären betroffen.

Aufsichtsbehörden für den Datenschutz befassen sich (na-türlich) auch mit den notwendigen Reaktionen auf eine sol-che technologische Entwicklung: Postquantenkryptographie oder quantensichere Kryptographie. Die Post-Quanten-Kryptographie wird aus Sicht des EU-Datenschützers jedoch wahrscheinlich mit Leistungsnachteilen verbunden sein und größere Rechenressourcen erfordern.

Gleichzeitig warnt der Datenschützer: Die Post-Quanten-Kryptographie ist noch nicht standardisiert. Es muss ausrei-chend und überzeugendes Wissen vorhanden sein, um in ei-ner sogenannten Kryptoanalyse zu dem Schluss zu kommen, dass eine solche Lösung sowohl für das Quanten- als auch für das binäre Rechnen sicher ist. Das Nationale Institut für Standards und Technologie der USA (NIST) arbeitet an einem Post-Quanten-Kryptographie-Standard und schätzt, dass 2022 oder 2024 ein Entwurf mit einem ersten Algorithmus veröffentlicht wird. Nach der Standardisierung müssen Al-gorithmen in Standard-Internetprotokolle wie HTTPS integ-riert werden.

Datenschutz bremst nicht, sondern begleitet neue TechnologienOffensichtlich sehen sich die Datenschützer die möglichen Folgen von Quantum Computing kritisch, aber praxisnah an, genau wie es das BSI (Bundesamt für Sicherheit in der Informationstechnik) auch macht. Entsprechend hat der Eu-ropäische Datenschutzbeauftragte praktische Hinweise für Unternehmen:Unternehmen sollten überlegen, wie lange sie die absolute Vertraulichkeit der Daten und den Schutz vor nachträglicher Entschlüsselung gewährleisten müssen. Bislang besteht auf absehbare Zeit keine unmittelbare Bedrohung durch einen Quantencomputer. Für Daten, die sehr lange sicher bleiben müssen, stellt diese Unsicherheit ein Problem dar, das mög-


licherweise einen frühen Übergang zur Post-Quanten-Kryp-tographie erfordert.Aus diesem Grund könnten einige Organisationen daran in-teressiert sein, eine angemessene Risikobewertung sowie Notfall- und Migrationspläne zu erstellen. Solche Pläne soll-ten aber immer die Gewährleistung der Datensicherheit in Bezug auf die heutige Nicht-Quanten-Sicherheit priorisieren.

Bei der Umstellung auf Post-Quanten-Systeme sollten Unter-nehmen bestehende Risiken und die üblichen Überlegungen bei der Migration von Daten berücksichtigen, die Datensi-cherheit (Zuverlässigkeit, Verfügbarkeit) sowie Vertraulich-keit gewährleisten (z. B. wenn die Daten mit Post-Quanten-Kryptographie neu verschlüsselt werden).

Diese Praxistipps des EU-Datenschützers zeigen, dass der Datenschutz neue Technologien nicht bremsen will, sondern die Entwicklung begleitet. Letztlich sorgt der Datenschutz auch dafür, dass neue Technologien sicher und unter Beach-tung von Compliance-Vorgaben eingesetzt werden können.


BIGDATAINSIDERwww.bigdata-insider.de/cio

www.blockchain-insider.de/cio

www.cloudcomputing-insider.de/cio

www.datacenter-insider.de/cio

www.dev-insider.de/cio

www.ip-insider.de/cio

www.security-insider.de/cio

www.storage-insider.de/cio

IMPRESSUMVogel IT-Medien GmbHMax-Josef-Metzger-Straße 2186157 AugsburgTel.: +49 (0) 821-2177-0Fax: +49 (0) 821-2177-150Email: [email protected]: www.vogel-it.de

Handelsregister AugsburgHRB 1 19 43Umsatzsteueridentifikationsnummer: DE 127502716

Geschäftsführer: Werner Nieberle

Inhaltlich Verantwortliche gemäß § 55 Absatz 2 RStV:Nico Litzel, Florian Karlstetter, Ulrike Ostler, Stephan Augsten, Andreas Donner, Peter Schmitz, Dr. Jürgen Ehneß (Anschrift siehe Verlag)

Vogel IT-MedienDie Vogel IT-Medien GmbH, Augsburg, ist eine 100pro-zentige Tochtergesellschaft der Vogel Communications Group, Würzburg. Seit 1991 gibt der Verlag Fachme-dien für Entscheider heraus, die mit der Produktion, der Beschaffung oder dem Einsatz von Informati-onstechnologie beruflich befasst sind. Dabei bietet er neben Print- und Online-Medien auch ein breites Veranstaltungsportfolio an. Die wichtigsten Ange-bote des Verlages sind: IT-BUSINESS, eGovernment Computing, BigData-Insider, CloudComputing-Insider, DataCenter-Insider, Dev-Insider, IP-Insider, Security-Insider, Storage-Insider. Vogel Communications GroupDas Fachmedienhaus Vogel Communications Group ist einer der führenden deutschen Fachinformationsan-bieter mit rund 100 Fachzeitschriften und 60 Webseiten sowie zahlreichen internationalen Aktivitäten. Hauptsitz ist Würzburg. Die Print- und Online-Medien bedienen vor allem die Branchen Industrie, Automobil, Informations-technologie und Recht/Wirtschaft/Steuern.

TECHNOLOGY -UPDATE FÜR IT-MANAGERRegelmäßig kostenlos lesen?

http://www.bigdata-insider.de/cio

http://blockchain-insider.de/cio

http://www.cloudcomputing-insider.de/cio

http://www.datacenter-insider.de/cio

http://www.dev-insider.de/cio

http://www.ip-insider.de/cio

http://www.security-insider.de/cio

http://www.storage-insider.de/cio

Documents

securit 2021 SEUR