SICHERHEIT & DATENSCHUTZ · 2020-03-09 · „Sicherheit & Datenschutz“ erscheint zweimal im Jahr in Zusammenarbeit mit dem TeleTrusT – Bundesverband IT-Sicherheit e. V. und befasst

Eine Sonderbeilage der Heise Medien GmbH & Co. KG powered by

SICHERHEIT & DATENSCHUTZ PREISE &

FORMATE 2020

4.0, PUBLIC KEY, VERSCHLÜSSELUNG, RECHT

in den Ausgaben

iX 07/20 und iX 12/20

„Sicherheit & Datenschutz“ erscheint zweimal im Jahr in Zusammenarbeit mit dem TeleTrusT – Bundesverband IT-Sicherheit e. V. und befasst sich mit aktuellen Trends und Entwicklungen der IT-Sicherheit für Unternehmen, öffentliche Einrichtungen und Organisationen.

PREISE & FORMATE (4C)

• keine Farbzuschläge• Zuschlag für Umschlagseiten: 25% • 15% Agenturprovision möglich • alle Preise zzgl. Mehrwertsteuer

Erscheinungstermine Anzeigenschluss Druckunterlagenschluss

I/20 in iX 07/19 – 25.06.2020 05.06.2020 09.06.2020II/20 in iX 12/19 – 21.11.2020 02.11.2020 04.11.2020

Redaktioneller Kontakt: Thomas JannotTel.: +49 [0]8061 348 111 00; E-Mail: [email protected]

iX THEMENSPECIAL SICHERHEIT & DATENSCHUTZ

Alle Größenangaben: Breite x Höhe in Millimeter *) Anschnittformate zuzüglich 3 mm umlaufenden Beschnitt anlegen. sw-Anzeigen und andere Formate auf Anfrage!

Sonderwerbeformen wie Titelflappe, Banderole oder Inselanzeige sind wirkungsvolle Aufmerksamkeitsfänger – wir beraten Sie gern!

Das Supplement Special berichtet brandaktuell über folgende Top-Themen:

• Cyberkriminalität, Wirtschaftsspionage

• Sicherheitsstrategien und -management

• Verschlüsselung

• Authentifizierung

• Industrie-4.0-Sicherheit

• Innovationen

• Mobile Security

• Biometrie

• Rechtliche Rahmenbedingungen

• Cloud Security

• AI-Lösungen

• Hacking

• u.v.m.

Jetzt mit iX online kombinieren.201.000* User sind im Monat auf iX online!*Quelle: AGOF daily digital facts 2020-02(if+mt)

Sicherheit & Datenschutz

Druckauflage: 29.000 Exemplare.Heftumfang: 24 Seiten zzgl. Umschlag

SICHERHEIT &DATENSCHUTZⅠ

2017

www.it-security-und-management.de

Cybersecurity & Innovation:Worauf Entscheidungsträger achten sollten

Identity Management:Wie ein IAM in der Blockchain funktioniertPost-Quantum-Kryptografie:Was Alice und Bob im Quantenland suchenConnected Cars:Wer im Auto der Zukunft das Sagen hatGesundheitssektor:Wann Patientendaten in der Cloud geschützt sind

Verschlüsselung:Wie man mit PAKEs Passwörter sicher macht

Eine Themenbeilage der Heise Medien GmbH & Co. KG

Blockchain, Kryptografie und Quantencomputer

powered by: erscheint 2 x in 2020

a) Satzspiegel: 185 × 260b) Anschnitt: 200 × 280*

137 × 196

3.900 € 2.400 € 2.200 € 1.350 €

185 × 84 58 × 260200 × 104* 70 × 280*

880 €

185 × 62 90 × 128 43 × 260200 × 74* 54 × 280*

185 × 41

1.700 €

185 × 128200 × 140*

90 × 26094 × 280*

1/2 Seite

15 rechts

iX 10/2016 15

AMD kann bei Grafikkar ten-GPUs gegenüber dem Platz-hirsch NVIDIA zulegen. Imzweiten Quartal 2016 betrugder Marktanteil von AMD 30Prozent – vor einem Jahr lag

er noch bei bescheidenen 18Prozent.

Bei den in den Prozessor in-tegrierten GPUs dominiert In-tel mit einem Marktanteil vonknapp 73 Prozent. (odi)

AMD holt bei Grafikchips auf

Der HP Elite Slice lässt sich einfach für Telefon- und Video -konferenzen aufrüsten.

Que

lle: H

P

Die Besonderheit des kompak-ten Business-PC Elite Slice istseine Erweiterbarkeit: Mit densogenannten Slices zum Auf-stecken lässt sich beispiels -weise ein optisches Laufwerknachrüsten. Eine Erweiterungmit Lautsprecher und Mikro-fon soll den Mini-Rechner zurZentrale für Telefon- und Vi-deokonferenzen machen. Eine

optionale Abdeckplatte liefertBedienelemente für Skype forBusiness und Intel Unite.

Über eine VESA-Montage-platte lässt sich der Mini-PChinter einem Display befesti-gen. Die Preise beginnen bei685 Euro. (odi)

HP: Mini-PC fürs BüroIBM empfiehlt seine neuenOpenPOWER-Server vor allemfür rechenintensive Anwendun-gen: HPC, KI-Anwendungenwie maschinelles Lernen, BigData, aufwendige Datenanaly-tik. Über die neue NVLink-Schnittstelle der POWER8-Pro-zessoren lässt sich NVIDIAsGrafikprozessor Tesla P100 alsRechenbeschleuniger anbinden.Die GPUs mit Pascal-Architek-tur können spezielle Rechen-aufgaben bis zu 50-mal schnel-ler erledigen als CPUs.

Die beiden neuen Server-Modelle S812LC und S822LC

besitzen zwei CPU-Sockel.Der S821LC kommt im 1HE- Formfaktor, im 2HE-SystemS822LC finden maximal vierGPUs Platz. Letzteres ist inzwei Versionen erhältlich: DieVariante „für kommerzielle Da-tenverarbeitung“ bietet zwölfEinschübe für Fest platten, die der HPC-Variante fehlen.Alle Systeme laufen unter Li-nux; zur Wahl stehen RHEL 6und 7, SLES 11 und 12 sowieUbuntu 14.04.

Der S812LC kostet ab 6000US-Dollar, der S822LC startetbei 9700 US-Dollar. (odi)

Neue OpenPOWER-Server für HPC

In der Variante für kommerzielle Datenverarbeitung bietet derS822LC zwölf Einschübe für Storage.

Que

lle: I

BM

ix.1016.014-015.qxp 20.09.16 12:13 Seite 15

Alle Links: www.ix.de/ix1610018

links 18

MARKT + TRENDS | VERSCHLÜSSELUNG

18 iX 10/2016

Zwar hat sich das Prin zipasymmetrischer Krypto-grafie seit Jahrzehnten

nicht geändert, die Verfahrenhaben sich lediglich dem Standder Technik angepasst. Trotz-dem gab es viel zu bereden aufder OpenPGP-Kon ferenz am8. und 9. September in Köln.Einige Patente sind ausgelau-fen, so stützen sich jetzt Algo-rithmen auf elliptische Kurvenstatt auf das RSA-Verfahren.PGP-Urgestein Lutz Donnerha-cke erklärte allerdings in einemRückblick, dass er persönlichRSA-Schlüssel vorziehe, „weilman sie so schön per Hand be-rechnen kann“.

Zwei zentrale Fragen lautennach wie vor: Woher bekommeich Public Keys und wie kannich diese verifizieren? Für dieerste Frage sind seit vielen Jah-ren Keyserver zuständig. DerNorweger Kristian Fiskerstranderläuterte das etablierte Sys-tem. Das hat jedoch Grenzen:So kann dort jeder AnwenderSchlüssel mit beliebigen IDshochladen. Werner Koch,Main tainer des freien GnuPG,schlägt ein neues System vor:Web Key Service (siehe „AlleLinks“) – ein Public Key sollauf einem Webserver liegen,der zur E-Mail der ID passt.

Wem kann ich trauen?

Das lässt jedoch die Validie-rung weiter außen vor. Hie -rarchische Verfahren beäugenOpenPGP-Anwender traditio-nell skeptisch. Mittlerweile istjedoch die Erkenntnis gereift,dass das Web of Trust nichtrecht skaliert. Auf der Konfe-renz sprachen sich daher meh-rere Teilnehmer für das prag-

matische TOFU aus – „Truston first use“. OpenSSH etwafragt bei neuen Kommunika -tionspartnern nach und merktsich die Entscheidung.

Als kleine Insel der Glück-seligen funktioniert OpenPGPrecht gut: Auf den Keyservernfinden sich Schlüssel im ein-stelligen Millionenbereich. Undobwohl kürzlich erste Kolli -sionen der kurzen Schlüssel-IDs entdeckt wurden, ergabeine kryptografische Analyseder Schlüssel des Krypto- undFuzzing-Experten Hanno Böckkaum Anlass zur Kritik an derGrundlage der Verschlüsselung.

Öffentliche Förderung

In einem Beitrag stellte Bern-hard Reiter Projekte aus demOpenPGP-Umfeld vor, die dasBundesamt für Sicherheit inder Informationstechnik (BSI)fördert. Das betrifft neben derArbeit des GnuPG-MaintainersWerner Koch vor allem die In-tegration in Clients proprietärerBetriebssysteme. Ein ebenfallsaus diesem Umfeld stammen-des Werkzeug ist GPGME, dassich leichter in automatisierteAbläufe einpassen lässt als dasauf den interaktiven Betriebausgelegte GnuPG.

Die gut fünfzig anwesen-den internationalen Kongress-teilnehmer tauschten sich dannüber Ansätze zur Verbesserungder User Experience aus –mehrere Projekte haben sichdas auf die Fahnen geschrie-ben. Die Organisatoren derGerman Unix Users Groupdenken bereits über eine Fol-geveranstaltung nach, ein Ter-min ist allerdings noch nichtbekannt. (jab)

Trends bei OpenPGP

Sichere InselNils Magnus

Obwohl das Projekt schon 25 Jahre alt ist, gab es bis-her keine dedizierte Konferenz zum Ende-zu-Ende-Schutz der E-Mail-Kommunikation mit OpenPGP.Jetzt fand in Köln erstmals ein Treffen von Ent -wicklern, Anwendern und Architekten statt.

ix.1016.018.qxp 22.09.16 11:28 Seite 18

1/3 SeiteEinfach nur mal ein Lob(Developer Channel: Entwickler-Podcasts)

Wollte nur mal mitteilen, dass ich diePodcasts sehr gut und informativ finde.Gerne mehr davon. Dabei ist es durchausauch sehr hilfreich, dass die Podcasts aufDeutsch sind. Man tut sich beim Ver-ständnis halt doch leichter, wenn mansich auf den Inhalt statt auf die Sprachekonzentrieren kann.

CHRISTIAN HECKLER, VIA E-MAIL

Schon wieder cool(Vor 10 Jahren: Nokia E61; iX 7/2016, S. 137)

Durch Zufall habe ich in der iX 7/2016den Artikel der Reihe „Vor 10 Jahren“über das Nokia E61 gesehen. Ich mussteziemlich grinsen: Ich benutze noch im-mer ein E61 der ersten Serie als meinnormales Telefon. Und nein: Ich habe keinanderes Telefon/Smartphone (das Tablet,mit dem ich diese Mail schreibe, ist einreines WLAN-Tablet und hat mein Note-book ersetzt).

Ich habe das E61 jetzt ziemlich genau10 Jahre und es hat auch schon den zwei-ten Akku (der auch nicht mehr ganz „tau-frisch“ ist), aber 3ˇbisˇ4 Tage hält es beinormaler Nutzung locker noch ohne Auf-laden durch. Die vielen Schrammen zeu-gen von etlichen Stürzen, auch auf harteBöden und aus größeren Höhen (dieRückseite hat noch mehr Schrammen).

Ich kann mich noch sehr gut an die zahlreichen Artikel in verschiedenenComputer- und Mobiltelefon-Zeitschrif-ten erinnern. Alle hatten den Tenor: Es ist keine Entwicklung absehbar, warum Nokia über die nächsten 10 Jahre dieMarktführerschaft streitig gemacht wer-den könnte. Zum Telefonieren und unter-wegs E-Mails lesen und senden reicht dasE61 gut (und wer schreibt unterwegsschon E-Mail-Romane) – dafür reichtauch die 3G-Datenrate. Das Einbuchen inWLANs klappt unterwegs leider immerseltener, besonders wenn eine Vorschalt-seite benutzt wird (ja ja, Javascript) und

das Synchronisieren ist ein ziemlichesGefrickel (und hakt ziemlich oft).

Insgesamt ist das E61 ein robustes Te-lefon, das in der „täglichen“ Nutzungheute für andere oft ein ziemlicher „Hin-gucker“ ist.

P.S. Meine Töchter finden das Telefonschon wieder coolˇ…

P.P.S. Nein, ich benutze keine Trom-meln als „Festnetz“.

JOCHEN GÖTSCHEL, VIA E-MAIL

iX 8/2016 7

7 rechts

Der direkte Draht zu ⬛Direktwahl zur Redaktion: 0511 5352-387

Redaktion iX | Postfach 61ˇ04ˇ0730604 Hannover | Fax: 0511 5352-361E-Mail: <user>@ix.de | Web: www.ix.de

www.facebook.com/ix.magazintwitter.com/ixmagazin (News)twitter.com/ix (Sonstiges)

Für E-Mail-Anfragen zu Artikeln, technischenProblemen, Produkten et cetera steht dieRedaktion gern zur Verfügung.

<user>post Redaktion allgemeinane (Alexander Neumann)avr (André von Raison)cle (Carmen Lehmann)fo (Moritz Förster)hb (Henning Behme)jab (Dr. Jan Bundesmann)jd (Jürgen Diercks)js (Jürgen Seeger)

jul (Julia Schmidt)ka (Kersten Auel)

mm (Michael Mentzel) rme (Rainald Menge-Sonnentag) sun (Susanne Nolte)tiw (Tilman Wittenhorst)un (Bert Ungerer)ur (Ute Roos)

Listing-Service:

Sämtliche in iX seit 1990 veröffentlichten Listings sind über den iX-FTP-Server erhält-lich: ftp.heise.de/pub/ix/

Bei Artikeln mitdiesem Hinweis

können Sie auf www.ix.de das zugehörigeArgument (ixJJMMSSS) eingeben, um eineklickbare Liste aller URLs zu bekommen.

www.ix.de/ixJJMMSSS ⬛

Die iX-Redaktion behält sich Kürzungen und auszugs-weise Wiedergabe der Leserbriefe vor. Die abgedrucktenZuschriften geben ausschließlich die Meinung des Ein-senders wieder, nicht die der Redaktion.

ix.0816.006-007.qxp 21.07.16 11:07 Seite 7

17 rechts

MARKT + TRENDS | WEB

iX 10/2016 17

Nach über zwei Jahren Arbeithaben die Angular-Entwicklerdie Version 2 ihres JavaScript-Frameworks veröffent-licht. Aufgrund vie-ler grundlegenderÄnderungen an derArchitektur ist An-gular 2 inkompati-bel zum VorgängerAngularJS 1.x. Da-für soll es sich jetztauch zur Cross-Platform-Entwicklung von Web-, Mo-bil- und Desktop-Apps eignen.

Zu den wichtigsten Neue-rungen des in TypeScript ge-

schriebenen Frameworks zähltdie Modularisierung der Kern-funktionen, was die Einbin-

dung externer Bibliothe-ken erleichtern soll.Angular-2-Anwen-dungen lassen sichin JavaScript oderTypeScript schrei-ben; die Angular-Macher empfehlenMicrosofts Java -

Script-Aufsatz, der mitstatischer Typisierung und ei-nem Klassenkonzept die Ent-wicklung robuster Apps ver-einfachen soll. (ane)

Angular 2 ist fertigParadigmenwechsel in GooglesFeldzug gegen unverschlüsselteDatenübertragungen im Web:Die im Januar 2017 anstehendeChrome-Version 56 wird aktivvor Sites warnen, die Passwör-ter oder Kreditkarteninforma-tionen übertragen und dabeikein HTTPS nutzen. In derAdressleiste taucht dann derHinweis „not secure“ auf. Spä-ter will Google dieses Verhaltenauf alle Websites ausweiten.

Derzeit markiert ChromeHTTPS-Seiten mit einem grü-nen „Verschlüsselt“-Symbol.Seiten, die Daten unverschlüs-selt übertragen, werden neu-tral dargestellt; erst bei einemKlick auf das Informations-symbol in der Adressleiste er-fährt der Anwender, dass dieVerbindung nicht sicher ist.Das, so Google, falle den meis-ten Anwendern jedoch garnicht auf. (odi)

Chrome warnt vor HTTP-Verbindungen

Der neue Firefox-Debuggerdebugger.html, in den Nightly-Releases des Browsers bereitsenthalten, lässt sich jetzt auchohne Firefox nutzen. Möglichmacht das eine Neuimplemen-tierung in HTML und Java -Script auf Basis von React undRedux. debugger.html läuft injedem modernen Webbrowser

und steuert über einen Web -Socket den zu debuggendenJavaScript-Code. Der mussderzeit noch von Firefox aus-geführt werden, Chrome undNode.js sollen demnächst fol-gen. Der Debugger steht aufgithub.com/devtools-html/de-bugger.html zum Downloadbereit. (odi)

Neuer JavaScript-Debugger von Mozilla

Die FinanznachrichtenagenturBloomberg hat mit Buckle -Script 1.0 ein Tool veröff -entlicht, das JavaScript ausOCaml-Code generiert. OCamlist eine funktionale Program-miersprache mit statischer Ty -pisierung, die auch imperativeund objektorientierte Sprach-konstrukte kennt. Der generier-

te JavaScript-Code soll beson-ders gut lesbar, typsicher undeffizient sein. Nach einer Typ-prüfung sollen keine Laufzeit-fehler mehr auftreten. OCamlwird unter anderem von Dockerund Facebook genutzt. Buckle -Script steht auf github.com/bloomberg/buckle script zumDownload bereit. (jul)

BuckleScript macht JavaScript aus OCaml

Microsoft hat einen ReleaseCandidate der Version 2.0 vonTypeScript veröffentlicht. DerRelease Candidate lässt sichmit npm installieren und in Visual Studio Code einrichten.Die neue Version des „bes -seren JavaScript“ prüft übereine Kontrollflussanalyse dieNutzung der Variablen imProgramm. Das macht „non-nullable Types“ möglich: DerProgrammierer kann sich da-rauf verlassen, dass beispiels-weise eine String-Variable tat-sächlich einen String enthältund nicht null oder undefinedist, sodass eine String-Opera -tion darauf zur Laufzeit fehl-schlagen würde.

Mit einem Ausdruck wielet foo: string | null = null;

kann man jedoch explizit fest-legen, dass foo auch null seindarf. Dazu wurden zwei neueTypen null und undefined ein-geführt, die ausschließlich denWert null beziehungsweise un-defined annehmen können.

TypeScript 2.0 vereinfachtzudem Moduldeklarationen undführt Tagged Unions ein. In der Projektbeschreibungsdateitsconfig.json sind bei der Auf-listung der Dateien jetzt Wild-cards in include- und exclude-An weisungen erlaubt, sodassdas Auflisten aller zugehörigenDateien entfällt. (odi)

Release Candidate von TypeScript 2.0

ix.1016.017.qxp 22.09.16 10:51 Seite 17

1/4 SeiteEin lang ersehntes Urteil des Europäischen Gerichtshofs(Az. C-484/14) stellt klar, dassWLAN-Betreiber nicht fürUrheberrechtsverstöße durchNutzer haften müssen. Kosten-pflichtige Abmahnungen sindausdrücklich nicht mehr gestat-tet. Grundsätzlich können den

Betreibern aber „angemesseneund verhältnismäßige“ Maß-nahmen zur Verhinderung wei-terer Rechtsverletzungen auf -erlegt werden. Dazu zählenbeispielsweise eine Nutzerre-gistrierung sowie passwortge-schützte Zugänge zu kabello-sen Netzen. (jd)

WLAN-Betreiber nicht mehr haftbar

Der Europäische Gerichtshof(EuGH) hat seine Rechtspre-chung zur Zulässigkeit vonLinks auf Webseiten präzi-siert. Vor etwa zwei Jahrenentschied er, dass das Setzenvon Links von einer Webseiteauf „öffentlich zugängliche In-halte“ grundsätzlich rechtmä-ßig ist. Jetzt hat er entschieden,dass kommerzielle Anbietervon Webseiten auf die Recht-mäßigkeit der Inhalte achtenmüssen, auf die sie verweisen.Sie können sich nicht auf Un-wissenheit berufen, wenn derverlinkte Inhalt rechtswidrig ist,etwa weil er das Urheberrechtverletzt.

„Wenn Hyperlinks mit Ge-winnerzielungsabsicht gesetztwerden, kann von demjeni-gen, der sie gesetzt hat, er -wartet werden, dass er die erforderlichen Nachprüfungenvornimmt, um sich zu verge-wissern, dass das betroffeneWerk nicht unbefugt veröffent-licht wurde“, so das Gericht.Es bleibt jetzt den Gerichtenüberlassen festzulegen, welcheSorgfaltspflichten kommer-zielle Webseitenanbieter beimSetzen von Links einhaltenmüssen. Die jüngste EuGH-Entscheidung beseitigt die Un-sicherheiten in diesem Bereichnicht. (jd)

Keine Links auf Urheberrechtsverletzungen

Die Frage, ob PCs mit vor -installierter Software verkauftwerden dürfen, beschäftigt dieGerichte seit Jahren. Jetzt hatder Europäische Gerichtshofentschieden, dass gegen sol-che Bundles aus Hardware undSoftware grundsätzlich nichtsspricht, wenn die Verkäuferdabei ei nige Regeln einhalten.Die Richter sprechen in ih remUrteil davon, dass solche Bun -dles grundsätzlich dem In -teresse der Verbraucher ent-sprechen. Allerdings muss der

Anbieter die Kunden über dievorinstallierte Software so wiedie genauen Merkmale dereinzelnen Anwendungen infor-mieren.

Im konkreten Fall genüg tees, dass er dem Käufer dieRückabwicklung des Kaufver-trages angeboten hat, nachdemdieser erklärt hatte, die vorin-stallierte Software nicht nutzenzu wollen. Eine separate Rück-gabe der Software lehnten dieRichter zugunsten des Verkäu-fers ab. (jd)

PC-Bundles aus Soft- und Hardware zulässig

Microsoft, Salesforce und eini-ge weitere zählen zu den ers-ten Unternehmen, diedas kürzlich verab-schiedete „EU-US Pri-vacy Shield“ nutzen.Das ergibt sich aus ei-ner Teilnehmerliste, diedas US-Handelsminis-terium führt. Das Pri -vacy Shield löste das alsrechtswidrig eingestufte frü-here Safe-Harbor-Verfahren zur

datenschutzkonformen Übertra-gung personenbezogener Daten

zwischen EU-Unterneh-men und Empfängern inden USA ab (sie he iX9/2016, S. 27). Teilneh-mende Unternehmenmüssen sich auf dieEinhaltung strenger Da-

tenschutzvorgaben ver-pflichten und stehen dabei

unter Aufsicht des US-Han-delsministeriums. (jd)

Erste Unternehmen nutzen Privacy Shield

Wandervögel: Nach heftigerKritik hat die EU-Kommissioneinen Gesetzesvorschlag zurNeuregelung des Roaming in-nerhalb der EU zurückgezogen.Danach sollte Roaming nur anbis zu 90 Tagen pro Jahr kos-tenlos sein. Jetzt will man einenneuen Entwurf der „Fair-Use“-Regeln erstellen.

Besser erklärt: Die Deutsche Telekom hat die verpflichtendenInformationen über das Nutzenpersonenbezogener Daten durchWebseitenanbieter auf einem„One-Pager“ zusammengefasst.Der nationale IT-Gipfel und dasBundesjustizministerium unter-stützen die Initiative zur Einfüh-rung solcher kurzen Texte.

Mehr Transparenz: Microsoftführt derzeit einen Prozess ge-gen das Verbot, seine Nutzerüber Durchsuchungen von Da-ten auf ihren Cloud-Diensten zuinformieren. Neben IT-Firmenaus den USA hat sich jüngst dieElectronic Frontier Foundationdieser Klage angeschlossen.

Cybercrime: Laut einer Um -frage der dpa wollen die Bundesländer ihr Personal imBereich der Bekämpfung vonInternetkriminalität aufstocken.Allerdings haben sie mitunterSchwierigkeiten, genügendFachleute zu finden.

Besser aufpassen: Wenn einSharehoster das Hochladen undVerbreiten urheberrechtlich ge-schützter Inhalte nicht unter-bindet, macht er sich schaden-ersatzpflichtig. Das entschiedjüngst das Landgericht Mün-chen I (Az. 21 O 6197/14).

Dash Button: Da sich Amazonnicht einer Abmahnung der Ver-braucherzentrale NRW unterwer-fen will, wird ein Prozess um die Kaufknöpfe wahrscheinlich. Sie stoßen auf erhebliche Be-denken bei den Verbraucher-schützern (siehe „Alle Links“).

Weichmacher: Das Bundesin-nenministerium hat einen Ge-setzesentwurf zur Datenschutz-Grundverordnung vorgelegt, diebis 2018 in allen EU-Staaten inKraft tritt. Kritiker bemängeln,dass sie den strengen Zweck-bindungsgrundsatz aufweicht.

Kurz notiert

links 20

MARKT + TRENDS | RECHT

20 iX 10/2016

Alle

Mel

dung

en: T

obia

s Haa

r

Alle

Links

: www

.ix.de

/ix16

1002

0

ix.1016.020.qxp 20.09.16 11:08 Seite 20

Ein lang ersehntes Urteil des Europäischen Gerichtshofs(Az. C-484/14) stellt klar, dassWLAN-Betreiber nicht fürUrheberrechtsverstöße durchNutzer haften müssen. Kosten-pflichtige Abmahnungen sindausdrücklich nicht mehr gestat-tet. Grundsätzlich können den























Kurz notiert

links 20


20 iX 10/2016

Alle

Mel

dung

en: T

obia

s Haa

r

Alle

Links

: www

.ix.de

/ix16

1002

0

ix.1016.020.qxp 20.09.16 11:08 Seite 20

Einfach nur mal ein Lob(Developer Channel: Entwickler-Podcasts)

Wollte nur mal mitteilen, dass ich diePodcasts sehr gut und informativ finde.Gerne mehr davon. Dabei ist es durchausauch sehr hilfreich, dass die Podcasts aufDeutsch sind. Man tut sich beim Ver-ständnis halt doch leichter, wenn mansich auf den Inhalt statt auf die Sprachekonzentrieren kann.

CHRISTIAN HECKLER, VIA E-MAIL

Schon wieder cool(Vor 10 Jahren: Nokia E61; iX 7/2016, S. 137)

Durch Zufall habe ich in der iX 7/2016den Artikel der Reihe „Vor 10 Jahren“über das Nokia E61 gesehen. Ich mussteziemlich grinsen: Ich benutze noch im-mer ein E61 der ersten Serie als meinnormales Telefon. Und nein: Ich habe keinanderes Telefon/Smartphone (das Tablet,mit dem ich diese Mail schreibe, ist einreines WLAN-Tablet und hat mein Note-book ersetzt).

Ich habe das E61 jetzt ziemlich genau10 Jahre und es hat auch schon den zwei-ten Akku (der auch nicht mehr ganz „tau-frisch“ ist), aber 3ˇbisˇ4 Tage hält es beinormaler Nutzung locker noch ohne Auf-laden durch. Die vielen Schrammen zeu-gen von etlichen Stürzen, auch auf harteBöden und aus größeren Höhen (dieRückseite hat noch mehr Schrammen).

Ich kann mich noch sehr gut an die zahlreichen Artikel in verschiedenenComputer- und Mobiltelefon-Zeitschrif-ten erinnern. Alle hatten den Tenor: Es ist keine Entwicklung absehbar, warum Nokia über die nächsten 10 Jahre dieMarktführerschaft streitig gemacht wer-den könnte. Zum Telefonieren und unter-wegs E-Mails lesen und senden reicht dasE61 gut (und wer schreibt unterwegsschon E-Mail-Romane) – dafür reichtauch die 3G-Datenrate. Das Einbuchen inWLANs klappt unterwegs leider immerseltener, besonders wenn eine Vorschalt-seite benutzt wird (ja ja, Javascript) und

das Synchronisieren ist ein ziemlichesGefrickel (und hakt ziemlich oft).

Insgesamt ist das E61 ein robustes Te-lefon, das in der „täglichen“ Nutzungheute für andere oft ein ziemlicher „Hin-gucker“ ist.

P.S. Meine Töchter finden das Telefonschon wieder coolˇ…

P.P.S. Nein, ich benutze keine Trom-meln als „Festnetz“.

JOCHEN GÖTSCHEL, VIA E-MAIL

iX 8/2016 7

7 rechts

Der direkte Draht zu ⬛Direktwahl zur Redaktion: 0511 5352-387

Redaktion iX | Postfach 61ˇ04ˇ0730604 Hannover | Fax: 0511 5352-361E-Mail: <user>@ix.de | Web: www.ix.de

www.facebook.com/ix.magazintwitter.com/ixmagazin (News)twitter.com/ix (Sonstiges)

Für E-Mail-Anfragen zu Artikeln, technischenProblemen, Produkten et cetera steht dieRedaktion gern zur Verfügung.

<user>post Redaktion allgemeinane (Alexander Neumann)avr (André von Raison)cle (Carmen Lehmann)fo (Moritz Förster)hb (Henning Behme)jab (Dr. Jan Bundesmann)jd (Jürgen Diercks)js (Jürgen Seeger)

jul (Julia Schmidt)ka (Kersten Auel)

mm (Michael Mentzel) rme (Rainald Menge-Sonnentag) sun (Susanne Nolte)tiw (Tilman Wittenhorst)un (Bert Ungerer)ur (Ute Roos)

Listing-Service:

Sämtliche in iX seit 1990 veröffentlichten Listings sind über den iX-FTP-Server erhält-lich: ftp.heise.de/pub/ix/

Bei Artikeln mitdiesem Hinweis

können Sie auf www.ix.de das zugehörigeArgument (ixJJMMSSS) eingeben, um eineklickbare Liste aller URLs zu bekommen.

www.ix.de/ixJJMMSSS ⬛

Die iX-Redaktion behält sich Kürzungen und auszugs-weise Wiedergabe der Leserbriefe vor. Die abgedrucktenZuschriften geben ausschließlich die Meinung des Ein-senders wieder, nicht die der Redaktion.

ix.0816.006-007.qxp 21.07.16 11:07 Seite 7

Ein lang ersehntes Urteil des Europäischen Gerichtshofs(Az. C-484/14) stellt klar, dassWLAN-Betreiber nicht fürUrheberrechtsverstöße durchNutzer haften müssen. Kosten-pflichtige Abmahnungen sindausdrücklich nicht mehr gestat-tet. Grundsätzlich können den























Kurz notiert

links 20


20 iX 10/2016

Alle

Mel

dung

en: T

obia

s Haa

r

Alle

Links

: www

.ix.de

/ix16

1002

0

ix.1016.020.qxp 20.09.16 11:08 Seite 20

35 rechts

MARKT + TRENDS | STANDARDSOFTWARE

iX 10/2016 35

Alle

Links

: www

.ix.de

/ix16

1003

5

Laut der kürzlich veröffent-lichten 8. Auflage der Trova rit-Studie „ERP in der Praxis“ gaben die Anwender der 47 betrachteten ERP-Softwarepro-dukte und -Dienstleistungendie Gesamtnote „Gut“. Damitbestätigt die Studie, an derknapp 2600 Unternehmen teil-nahmen, frühere Ergebnisse.

Wie in den Vorjahren schla-gen sich schlanke Programme,Branchenanwendungen undProdukte kleinerer Anbietertendenziell besser als die gro-ßen. MegaPlus, PORTOLANEVM, rs2 und ORLANDO haben meist weniger als 25Anwender im Unternehmen.Vertec (Projektdienstleister),MAJESTY (Medizintechnik)und WinWeb-Food (Fleischver-arbeitung) punkten mit ihrerBranchennähe. Und die Anbie-ter von ISSOS PRO, CANTU-NO.pro, Syslog und COBUSERP/3 können aufgrund desüberschaubaren Kundenstammseine persönliche Beziehung zuihren Anwendern pflegen.

Die besten größeren Instal-lationen finden sich dagegen

erst im Mittelfeld wieder. LautStudie sind hierfür die hohenAnforderungen in Verbindungmit größerem Aufwand beiEinführung, Wartung und An-wenderbetreuung verantwort-lich. Immerhin dürfen sich IFSund Microsoft (Dynamics AX)freuen, dass ihre Produkte über-durchschnittlich abschnitten.SAP ERP und Infor ERP M3folgen mit Abstand.

Allerdings gilt die gute Ge-samtbewertung nicht bei al lenDetailaspekten. Kritisch be-werten die Benutzer insbeson-dere die mobile Einsetzbarkeitder Programme sowie die die-ses Mal erstmals abgefragtenAspekte Handbuch und An -passungsdokumentation. DieDurchschnittsnote für die Mo-bilität der ERP-Systeme, dieschon 2014 den schlechtestenWert hatte, sank 2016 noch-mals spürbar auf ein Befriedi-gend ab. Weniger als zehn Pro-zent der Befragten sehen in derCloud ein relevantes ERP-The-ma. Eine Zusammenfassungder Ergebnisse gibt es kosten-los (siehe „Alle Links“). (jd)

Gutes Zeugnis für ERP-SoftwareDer US-amerikanische Spe-zialist für Visualisierungs- undAnalysesoftware Tableau gabdie neue Hauptrelease dergleichnamigen Software frei.Sie soll viele schon in den ver-gangenen Monaten veröffent-lichte Detailverbesserungenbündeln. Tableau 10 lässt sichangeblich einfacher bedienenund bietet erweiterte Optionenfür Analyse und Datenaufbe-reitung. Zudem verspricht derHersteller eine ansprechende-re Bedienung und hat die Soft-

ware besser an Mobilgeräte an-gepasst.

Zu den neuen Funktionengehört das datenbankübergrei-fende Verknüpfen und Filtern.Clustering erlaubt es, Musterin Datenkombinationen zu er-kennen. Tableau hat die Listeder Konnektoren erweitert, bei-spielsweise lässt sich das Pro-gramm nun mit Google Sheets,der In-Memory-Plattform Kog -nitio, der SQL-Query-Umge-bung Presto und SAP HANAverbinden. (jd)

Tableau 10 ist fertiggestellt

Um die Prognosen zu An- undAbfahrtszeiten im Bahnver-kehr zu verbessern, will dieDeutsche Bahn zukünftig Ana-lysedienste von T-Systems he-ranziehen. Im Minutentakt sol-len sie die Fahrplandaten desgesamten fahrplangebundenenPersonenverkehrs mit der Ver-kehrslage abgleichen. Es gehtdabei um mehr als zwei Mio.Halte pro Tag.

Die Positionsmeldungen al-ler fahrenden Züge werden inRechenzentren von T-Systemsanalysiert. Daraus wird jeweilseine Prognose für den restli-chen Zuglauf erstellt. Der Al-gorithmus nutzt verschiedeneKI-gestützte Prognosemodel-

le, die je nach Verkehrslagezum Einsatz kommen. Im 24-Stunden-Rhythmus trainiert dasSystem die Modelle nachts aufBasis historischer Daten. Dassoll die Prognosegenauigkeitkontinuierlich erhöhen und denVerkehrsgegebenheiten anpas-sen. Als Grundlage der Anwen-dung dient eine Eigenentwick-lung von T-Systems und derenTochterunternehmen T-SystemsMultimedia Solutions. Ab demzweiten Quartal 2017 soll dasProgramm bis zu 90 Minutenim Voraus genaue Informatio-nen über Abfahrtszeiten lie-fern. Zu einer verbessertenFahrplantreue verhilft es leidernicht. (jd)

Bahn fährt auf Analytics ab

Die weltweiten Einnahmen mitSoftware as a Service (SaaS)für Unternehmen stiegen imzweiten Jahresquartal um 13Prozent auf über 11 Mrd. Dollar. BetriebswirtschaftlicheAnwendungen legten mit 49Prozent das höchste Wachs-tumstempo vor.

Das größte Segment, Kol-laborationssoftware, wuchs imJahresvergleich um 33 Prozent.Zu diesen Resultaten gelangtedie US-amerikanische Syner-gy Research Group. Laut denMarktforschern gelang es Mi-

crosoft im betrachteten Zeit-abschnitt erstmals, die Pole -position unter den SaaS-An-bietern zu ergattern. Damit ist Salesforce vom Sockel ge-stoßen.

Der Windows-Konzern pro-fitierte von seiner weit ver -breiteten Kollaborationssoft-ware. Salesforce dominiertweiterhin die Kategorie derVertriebs anwendungen (CRM).SAP, Oracle, Adobe, ADP,IBM, Workday, Intuit und Cis-co komplettieren die Top 10des SaaS-Gesamtmarkts. (jd)

Microsoft überholt Salesforce

Schrumpfung: SAP will hier -zulande bis Ende 2017 fünf Niederlassungen schließen. Betroffen ist unter anderemGöttingen, wo die vor fünf Jah-ren gekaufte Firma Crossgateangesiedelt war.

Eingestiegen: CRM-HerstellerCAS Software gab ein strate -gisches Investment an der contagt GmbH bekannt. DasSpin-off der Uni Mannheim entwickelt mit OpenStreetMapeine mobile Plattform zur Indoor-Ortung, um Dienste wie Navigation in Gebäuden an bieten zu können.

Wahlweise: SugarCRM stellt eine Programmierschnittstellefür das neue E-POST-Plug-in

von Insignio CRM bereit. Da -rüber lassen sich Briefe direktaus der CRM-Software Sugar er-stellen und digital oder klassischper Briefträger verschicken.

Huckepack: EXASOL stellt sein gleichnamiges analytischesIn-Memory-Datenbanksystemals „Rucksack“-Anwendung be-reit. Die Basis bilden ein Server-Cluster, bestehend aus vier Egg -snow Barebone Mini-PCs sowiezwei 5-Port-Switches, zusam-mengehalten durch einen Rack-Rahmen aus LEGO-Bausteinen.

Aus allen Wolken: Unter -nehmen mit bis zu 2500 Be -schäftigten können jetzt Salesforce-Anwendungen ausder Tele kom-Cloud buchen. Bis zum 17. Januar 2017 kostet das Standardpaket 47 Euro pro Monat und Nutzer.

Kurz notiert

Alle

Mel

dung

en: A

chim

Bor

nQ

uelle

: Deu

tsch

e Ba

hn A

G

ix.1016.035.qxp 20.09.16 09:51 Seite 35

1/1 Seite Juniorpage

23 rechts

MARKT + TRENDS | DATENBANKEN

iX 10/2016 23

Big-Data-Spezialist Horton-works hat Version 2.5 seinerData Platform (HDP) zur Verfügung gestellt. Enthalten ist das Management-WerkzeugApache Ambari in der aktuel-len Version 2.4. Sie regelt dieZugriffskontrolle auf Basis vonRollen und kann per Sicher-heitsrichtlinie festlegen, ob et-

wa Datensets zusammengelegtwerden dürfen, ob Daten nurzeitlich befristet verfügbar sindoder der Standort eines Benut-zers dessen Zugriffe beschrän-ken soll. Beim Datenschutzgibt es eine neue Funktion zumAnonymisieren der Daten inEchtzeit. Außerdem soll dieneue HDP-Version mit einer

Vorschau die Suche in Logsverbessern und damit System-messdaten besser nutzbar ma-chen. Mehrere Projekte ausdem Big-Data-Umfeld sind in-tegriert: Apache Spark (Frame-work für Cluster Computing),Kafka (ein Message-Broker)und Apache Ranger (Frame-work für Datensicherheit). (tiw)

Hortonworks verbessert DatensicherheitNach fast drei Jahren Entwick-lung erreicht die Datenbank InfluxDB Version 1.0. Die inder Programmiersprache Gogeschriebene Software ist aufdie Analyse von Zeitreihen -daten spezialisiert und gehörtdamit zur Gattung der Time-Series Databases (TSDB). Her-steller InfluxData stellt Influx -DB als Open-Source-Softwareunter der MIT-Lizenz kosten-frei zur Verfügung. Eine kos-tenpflichtige Unternehmensva-riante, Influx Enterprise, legtden Schwerpunkt auf Hochver-fügbarkeit und Skalierbarkeitund enthält eine grafische Ver-waltungsoberfläche.

InfluxDB ist Teil des soge-nannten TICK-Stacks. Er ent-hält neben der Datenbank (da-für steht das „I“) die WerkzeugeTelegraf fürs Datensammeln,Chronograf fürs Visua lisierenund Kapacitor als Warnsystem.Telegraf und Kapacitor sindebenfalls in Ver sion 1.0 er-schienen. (tiw)

InfluxDB 1.0

Nummerˇ̌8 lebt: Die MySQL-Entwickler haben einen erstenMeilenstein der kommendenVersion 8.0 veröffentlicht. Siespeichert Metadaten in einemechten Data Directory mit InnoDB-Tabellen und stelltden Standardzeichensatz vonLatin1 auf UTF8 um.

Releaseˇ̌1 ist da: Die von Cisco und anderen Netz -spezialisten gegründete Plat-form for Network Data Ana-lytics hat eine erste Versionihrer Big-Data-SoftwarePNDA vorgestellt. Sie dientvor allem dem Sammeln undAuswerten von Netzdaten.

Kurz notiert

Die Zeitreihendatenbank In-fluxDB ist Teil des TICK-Stacksund liegt in Version 1.0 vor.

Que

lle: I

nflu

xDat

a

Alle

Links

: www

.ix.de

/ix16

1002

3

ix.1016.023.qxp 21.09.16 18:08 Seite 23

23 rechts


iX 10/2016 23






InfluxDB 1.0



Kurz notiert


Que

lle: I

nflu

xDat

a

Alle

Links

: www

.ix.de

/ix16

1002

3

ix.1016.023.qxp 21.09.16 18:08 Seite 23

23 rechts


iX 10/2016 23






InfluxDB 1.0



Kurz notiert


Que

lle: I

nflu

xDat

a

Alle

Links

: www

.ix.de

/ix16

1002

3

ix.1016.023.qxp 21.09.16 18:08 Seite 23

1/6 Seite

35 rechts

MARKT + TRENDS | STANDARDSOFTWARE

iX 10/2016 35Al

le Lin

ks: w

ww.ix

.de/ix

1610

035

Laut der kürzlich veröffent-lichten 8. Auflage der Trova rit-Studie „ERP in der Praxis“ gaben die Anwender der 47 betrachteten ERP-Softwarepro-dukte und -Dienstleistungendie Gesamtnote „Gut“. Damitbestätigt die Studie, an derknapp 2600 Unternehmen teil-nahmen, frühere Ergebnisse.

Wie in den Vorjahren schla-gen sich schlanke Programme,Branchenanwendungen undProdukte kleinerer Anbietertendenziell besser als die gro-ßen. MegaPlus, PORTOLANEVM, rs2 und ORLANDO haben meist weniger als 25Anwender im Unternehmen.Vertec (Projektdienstleister),MAJESTY (Medizintechnik)und WinWeb-Food (Fleischver-arbeitung) punkten mit ihrerBranchennähe. Und die Anbie-ter von ISSOS PRO, CANTU-NO.pro, Syslog und COBUSERP/3 können aufgrund desüberschaubaren Kundenstammseine persönliche Beziehung zuihren Anwendern pflegen.

Die besten größeren Instal-lationen finden sich dagegen

erst im Mittelfeld wieder. LautStudie sind hierfür die hohenAnforderungen in Verbindungmit größerem Aufwand beiEinführung, Wartung und An-wenderbetreuung verantwort-lich. Immerhin dürfen sich IFSund Microsoft (Dynamics AX)freuen, dass ihre Produkte über-durchschnittlich abschnitten.SAP ERP und Infor ERP M3folgen mit Abstand.

Allerdings gilt die gute Ge-samtbewertung nicht bei al lenDetailaspekten. Kritisch be-werten die Benutzer insbeson-dere die mobile Einsetzbarkeitder Programme sowie die die-ses Mal erstmals abgefragtenAspekte Handbuch und An -passungsdokumentation. DieDurchschnittsnote für die Mo-bilität der ERP-Systeme, dieschon 2014 den schlechtestenWert hatte, sank 2016 noch-mals spürbar auf ein Befriedi-gend ab. Weniger als zehn Pro-zent der Befragten sehen in derCloud ein relevantes ERP-The-ma. Eine Zusammenfassungder Ergebnisse gibt es kosten-los (siehe „Alle Links“). (jd)

Gutes Zeugnis für ERP-SoftwareDer US-amerikanische Spe-zialist für Visualisierungs- undAnalysesoftware Tableau gabdie neue Hauptrelease dergleichnamigen Software frei.Sie soll viele schon in den ver-gangenen Monaten veröffent-lichte Detailverbesserungenbündeln. Tableau 10 lässt sichangeblich einfacher bedienenund bietet erweiterte Optionenfür Analyse und Datenaufbe-reitung. Zudem verspricht derHersteller eine ansprechende-re Bedienung und hat die Soft-

ware besser an Mobilgeräte an-gepasst.

Zu den neuen Funktionengehört das datenbankübergrei-fende Verknüpfen und Filtern.Clustering erlaubt es, Musterin Datenkombinationen zu er-kennen. Tableau hat die Listeder Konnektoren erweitert, bei-spielsweise lässt sich das Pro-gramm nun mit Google Sheets,der In-Memory-Plattform Kog -nitio, der SQL-Query-Umge-bung Presto und SAP HANAverbinden. (jd)

Tableau 10 ist fertiggestellt

Um die Prognosen zu An- undAbfahrtszeiten im Bahnver-kehr zu verbessern, will dieDeutsche Bahn zukünftig Ana-lysedienste von T-Systems he-ranziehen. Im Minutentakt sol-len sie die Fahrplandaten desgesamten fahrplangebundenenPersonenverkehrs mit der Ver-kehrslage abgleichen. Es gehtdabei um mehr als zwei Mio.Halte pro Tag.

Die Positionsmeldungen al-ler fahrenden Züge werden inRechenzentren von T-Systemsanalysiert. Daraus wird jeweilseine Prognose für den restli-chen Zuglauf erstellt. Der Al-gorithmus nutzt verschiedeneKI-gestützte Prognosemodel-

le, die je nach Verkehrslagezum Einsatz kommen. Im 24-Stunden-Rhythmus trainiert dasSystem die Modelle nachts aufBasis historischer Daten. Dassoll die Prognosegenauigkeitkontinuierlich erhöhen und denVerkehrsgegebenheiten anpas-sen. Als Grundlage der Anwen-dung dient eine Eigenentwick-lung von T-Systems und derenTochterunternehmen T-SystemsMultimedia Solutions. Ab demzweiten Quartal 2017 soll dasProgramm bis zu 90 Minutenim Voraus genaue Informatio-nen über Abfahrtszeiten lie-fern. Zu einer verbessertenFahrplantreue verhilft es leidernicht. (jd)

Bahn fährt auf Analytics ab

Die weltweiten Einnahmen mitSoftware as a Service (SaaS)für Unternehmen stiegen imzweiten Jahresquartal um 13Prozent auf über 11 Mrd. Dollar. BetriebswirtschaftlicheAnwendungen legten mit 49Prozent das höchste Wachs-tumstempo vor.

Das größte Segment, Kol-laborationssoftware, wuchs imJahresvergleich um 33 Prozent.Zu diesen Resultaten gelangtedie US-amerikanische Syner-gy Research Group. Laut denMarktforschern gelang es Mi-

crosoft im betrachteten Zeit-abschnitt erstmals, die Pole -position unter den SaaS-An-bietern zu ergattern. Damit ist Salesforce vom Sockel ge-stoßen.

Der Windows-Konzern pro-fitierte von seiner weit ver -breiteten Kollaborationssoft-ware. Salesforce dominiertweiterhin die Kategorie derVertriebs anwendungen (CRM).SAP, Oracle, Adobe, ADP,IBM, Workday, Intuit und Cis-co komplettieren die Top 10des SaaS-Gesamtmarkts. (jd)

Microsoft überholt Salesforce

Schrumpfung: SAP will hier -zulande bis Ende 2017 fünf Niederlassungen schließen. Betroffen ist unter anderemGöttingen, wo die vor fünf Jah-ren gekaufte Firma Crossgateangesiedelt war.

Eingestiegen: CRM-HerstellerCAS Software gab ein strate -gisches Investment an der contagt GmbH bekannt. DasSpin-off der Uni Mannheim entwickelt mit OpenStreetMapeine mobile Plattform zur Indoor-Ortung, um Dienste wie Navigation in Gebäuden an bieten zu können.

Wahlweise: SugarCRM stellt eine Programmierschnittstellefür das neue E-POST-Plug-in

von Insignio CRM bereit. Da -rüber lassen sich Briefe direktaus der CRM-Software Sugar er-stellen und digital oder klassischper Briefträger verschicken.

Huckepack: EXASOL stellt sein gleichnamiges analytischesIn-Memory-Datenbanksystemals „Rucksack“-Anwendung be-reit. Die Basis bilden ein Server-Cluster, bestehend aus vier Egg -snow Barebone Mini-PCs sowiezwei 5-Port-Switches, zusam-mengehalten durch einen Rack-Rahmen aus LEGO-Bausteinen.

Aus allen Wolken: Unter -nehmen mit bis zu 2500 Be -schäftigten können jetzt Salesforce-Anwendungen ausder Tele kom-Cloud buchen. Bis zum 17. Januar 2017 kostet das Standardpaket 47 Euro pro Monat und Nutzer.

Kurz notiert

Alle

Mel

dung

en: A

chim

Bor

nQ

uelle

: Deu

tsch

e Ba

hn A

G

ix.1016.035.qxp 20.09.16 09:51 Seite 35

Beispielseiten aus den bisherigen Ausgaben:

*Quelle: iX-Leserbefragung 2019

WAS FÜR IHREN AUFTRITT SPRICHT:EINE STARKE ZIELGRUPPE MIT EINER HOHEN THEMENAFFINITÄT

40% sind in der IT/TK-Branche tätig

50% der iX-Leser entscheiden über Datenschutz-Security Lösungen

64% der iX-Leser sind an Investitionsentscheidungen im Unternehmen beteiligt

38% der iX-Leser sind in Unternehmen mit 1.000 und mehr Mitarbeitern tätig

54% arbeiten in KMUs mit bis zu 500 Mitarbeitern

Knapp jeder 4. iX-Leser verfügt über ein sehr hohes Budget - bis zu 100.000 Euro.

LÖSUNGEN FÜR ALLE UNTERNEMENSGRÖSSEN SIND GEFRAGT:

macht innehat. So würde er wieder Herr seiner eigenen Daten und wärenicht mehr auf eine zentrale Instanz angewiesen. Eine echte souveränedigitale Identität wäre geschaffen, die auch für andere Arten von Enti-täten erstellt werden könnte, z. B. für Organisationen oder Applikatio-nen. Durch das Knüpfen von Beziehungen zwischen den IDs ließe sichein Vertrauensnetzwerk (Web of Trust) aufbauen, das die Glaubwürdig-keit der Identitäten untermauert. So könnten personenbezogene Iden-titäten de facto durch vertrauenswürdige Organisationen, z. B. behörd-liche Stellen, validiert werden.

Auflagen der EU-DSGVO

Seit einigen Jahren wird auf EU-Ebene diskutiert, wie das ThemaDaten schutz und -sicherheit in den Mitgliedsstaaten standardisiertwerden könnte. Das Ergebnis der Diskussionen ist die im April 2016

verabschiedete EU-DSGVO, die die bisherige EU-Datenschutzrichtlinieablöst und in Deutschland das Bundesdatenschutzgesetz (BDSG) weit-gehend ersetzen wird. Die wichtigsten neuen Anforderungen der Ver-ordnung und ihre Auswirkungen lassen sich in drei Oberthemen zu-sammenfassen.

Technikgestaltung: Technologien, die personenbezogene Daten ver-arbeiten, müssen zukünftig, beispielsweise durch Zertifizierungen, inihren technischen und organisatorischen Maßnahmen sowohl in Ge-staltung als auch in den Voreinstellungen dem Stand der Technik ent-sprechen, sofern dies in einem angemessenen Verhältnis mit den Im-plementierungskosten und dem Zweck der Verarbeitung steht. Der„Stand der Technik“ ist dabei ein weit diskutierter juristischer Begriff,der bewusst offen definiert wurde. Eine Zertifizierung nach ISO 27001könnte beispielsweise ein guter Indikator sein, dass der Stand der

Technik berücksichtigt wird. Für IDaaS bedeutet dies insbesondere,dass eine sichere Verbindung (beispielsweise durch Layer3-VPN) zumCloud-Service bestehen muss und der Cloud-Server mit entsprechen-den Prozessen zu Data Leakage Prevention (DLP) ausgestattet ist. Wei-terhin müssen die Voreinstellungen für ein Benutzerprofil so gesetztsein, dass möglichst wenige personenbezogene Daten gesammelt wer-den. So wird sichergestellt, dass nur die tatsächlich für den Servicebenötigten Daten erhoben und gespeichert werden.

Auskunfts- und Löschprozesse: Die EU-DSGVO gibt betroffenen Per-sonen, deren personenbezogene Daten verarbeitet werden, neue Rech-te im Umgang mit diesen. So haben sie das Recht, alle personenbe-zogenen Daten in strukturierter Form anzufordern, wenn beispielsweiseein Anbieter gewechselt werden soll (Recht auf Datenübertragbarkeit).Ein anderer Aspekt ist das „Recht auf Vergessenwerden“: BetroffenePersonen haben durch die EU-DSGVO nun das Recht, eine Löschung

aller ihrer personenbezogenen Daten anzuordnen. Das Unternehmenhat auch hier einen erheblichen Mehraufwand, da alle Daten in jederDatenbank zur Verarbeitung unbrauchbar gemacht werden müssen.

Datenschutzfolgenabschätzung ist eine weitere neue Anforderungfür das Risikomanagement in Unternehmen. Unternehmen müssen nunRisikobewertungen für Technologien anfertigen, die personenbezogeneDaten verarbeiten. Werden personenbezogene Daten besonderer Ka-tegorien verarbeitet (z. B. politische Einstellung oder religiöse Über-zeugung), so muss ein Bericht über die Folgen der Datenverarbeitungerstellt werden. Eine große Herausforderung hierbei stellt bereits dieFeststellung dar, ob die personenbezogenen Daten als besondere Ka-tegorie klassifiziert werden können.

All diese Anforderungen der EU-DSGVO haben einen hohen Mehr-aufwand für Unternehmen im Umgang mit digitalen Identitäten und der

7Sicherheit & Datenschutz Ⅰ/2017

IDENTITY MANAGEMENT

Ob Logins bei Facebook, Amazon, Google oder jedem anderen Web-service: Digitale Identitäten sind in einer Vielzahl vorhanden. Bei jeder

Registrierung muss eine E-Mail-Adresse zur Account-Eröffnung hinter-legt, durch Links in Bestätigungsmails validiert und der neue Accountmit einem Passwort versehen werden. Als Konsequenz haben Nutzer sol-cher Webservices viele Konten mit – hoffentlich! – verschiedenen Pass-wörtern und müssen vermutlich öfter die Passwort-vergessen-Funktionnutzen, als ihnen lieb ist. Es findet ein regelrechter Spam an Identitätenstatt. Dieses Problem wird heute durch Identity Federation und Anbietervon Identity as a Service (IDaaS) gelöst. Solche Dienste gibt es von di-versen Softwareherstellern, jedoch bergen sie einige Risiken, die durchdie Nutzung der Blockchain-Technologie eliminiert werden könnten, unddas zugleich unter Berücksichtigung neuer regulatorischer Anforderun-gen wie etwa der EU-Datenschutz-Grundverordnung (EU-DSGVO). Der Status Quo

Identity & Access Management (IAM) ist eine hochkomplexe Disziplin,vor allem für global agierende Unternehmen, die Tausende von Identi-täten verwalten müssen. Die besondere Herausforderung liegt hierbeiin der Vergabe von adäquaten Zugriffsberechtigungen. Mitarbeiter ei-nes Unternehmens sollten dabei nur die Berechtigungen besitzen, diesie tatsächlich für ihr Tagesgeschäft benötigen, um das Risiko einesVerlustes von kritischen Daten durch Weitergabe der Mitarbeiter zumindern, was als Prinzip des geringstmöglichen Privilegs (Principle ofLeast Privilege) bezeichnet wird. Wenn der Status einer Person sichändert, z. B. durch erstmaligen Einritt in das Unternehmen, durch Be-förderungen, Wechsel in eine andere Abteilung oder den Austritt ausdem Unternehmen, müssen Zugriffsrechte für die entsprechende digi-tale Identität ohne Zeitverzug angepasst werden. Dieser Prozess ist imIAM als Joiner-Mover-Leaver (JML) bekannt, er wird heute durch ver-schiedenste Softwarelösungen unterstützt. IdaaS: Gut, aber nicht perfekt Zahlreiche Serviceprovider bieten die Möglichkeit, Identitäten cloud-basiert zu verwalten und dadurch eine effiziente Authentifizierungs -infrastruktur zu bieten. Mit der Nutzung solcher IdaaS-Lösungen gehtdie Möglichkeit für ein Single-Sign-On (SSO) einher. Jeder Mitarbeitereines Unternehmens benötigt damit nur noch eine Identität, die mit al-len Applikationen und Fileshares verbunden ist, auf die er Zugriff habensoll. Dies setzt eine entsprechende Integration aller relevanten Systemevoraus. Die Vorteile liegen klar auf der Hand: Es ist nur noch eine Iden-tität im Unternehmen pro Mitarbeiter zu verwalten, die an das Berech-tigungsmanagement gekoppelt ist.

IDaaS kann das Problem des Identitätsspams lindern. Jedoch setztdies das Vertrauen in den entsprechenden Provider voraus, der als zen-trale Instanz alle Identitäten außerhalb des Unternehmens verwaltet.Weiterhin hat der Nutzer selbst keine Hoheit über die ihm zugeordne-ten Daten, da er nicht im Mittelpunkt steht, sondern vielmehr ein zuverwaltendes Objekt darstellt. Vorteilhafter wäre eine einzige digitaleIdentität, die der Nutzer vollständig unter Kontrolle hat – universell ein-setzbar bei Google, Amazon oder sonstigen Webservices, für Behördenund auch den Einsatz beim Arbeitgeber. Die eine digitale Identität, ganzim Besitz des Nutzers, die echtes „Bring Your Own Identity“ (BYOI) er-möglicht. Diese Idee wirft einige Fragen auf: Wer verwaltet die digitaleIdentität und die verknüpften Informationen? Wie erhalten die jeweili-gen Institutionen Zugriff auf die Daten und wo liegen diese? Und wiekann eine Berechtigungsstruktur an die eine digitale Identität sicherverknüpft werden?

Die Blockchain-ID Die Blockchain-Technologie, oder auch Distributed-Ledger-Technologie(DLT), ist allgemein formuliert eine dezentrale Datenbank, die bei allenaktiven Teilnehmern der Blockchain verteilt liegt. Sie basiert auf einemPeer-to-Peer-Netzwerk (P2P) aus sogenannten Nodes, die individuelldie vollständigen Informationen der Blockchain speichern. Werden In-formationen ausgetauscht, d. h. Transaktionen ausgeführt, so müssenalle Teilnehmer Konsens über die Transaktionen erzielen. Dies ge-schieht über einen kryptografischen konsensbildenden Algorithmus(bei Bitcoin z. B. „Proof-of-Work“). Eine Manipulation der Transaktionenist nicht möglich, da Prüfinformationen der vorangegangen Transaktionim nächsten Block gesichert werden. Durch die Dezentralität bestehtkeine Notwendigkeit für eine zentrale kontrollierende Instanz, wie siederzeit in vielen Netzwerken üblich ist. Ein Anwendungsfall, der noch nicht intensiv erforscht wurde, aberdie Probleme des Identitätsspams lösen könnte, ist die Speicherungvon digitalen Identitäten in der Blockchain. Eine solche Blockchain-IDbietet die Vorteile, dass sie unanfechtbar ist und keine zentralen Vali-dierungsverfahren benötigt. Alle persönlichen Informationen könnenmit der Blockchain-ID verknüpft und dort auch abgelegt werden. Dieskönnte im einfachsten Fall etwa eine Postadresse sein, aber auchBankverbindungs- oder Führerscheindaten sind denkbar; weiterhinkönnen Zugriffsberechtigungen hinterlegt werden – ein flexibles Daten-modell basierend auf JSON-Objekten lässt vielfältige Nutzungen zu.Die Blockchain-ID könnte sowohl mit allen persönlichen Services, diegenutzt werden, als auch mit Applikationen des Arbeitgebers verknüpftwerden (BYOI). Der größte Vorteil einer Blockchain-basierten Lösungbesteht darin, dass der Nutzer selbst die Verwaltungs- und Freigabe-

6

Sicherheit & Datenschutz Ⅰ/2017

IDENTITY MANAGEMENT

Bring Your Own Identity Die Blockchain-Technologie könnte das Identitätsmanagement revolutionieren Das BYOI-Konzept stellt eine digitale Identität in den Mittelpunkt, die den Nutzer wieder zum Herrn über seine

eigenen personenbezogenen Daten macht. Doch auch für Unternehmen und Organisationen bietet das Konzept

einige klare Vorteile – nicht zuletzt bei der Realisierung rechtlicher Vorgaben. Digitalisierung und Cybersecurity – selten waren zwei Themen so engmiteinander verbunden und boten zugleich so viel Konfliktpotenzial.Zum einen öffnet die Digitalisierung den Unternehmen die Chance, inno-vative Geschäftsmodelle und -produkte zu entwickeln. Geschäftsführerund Vorstände sind deshalb gehalten, zum Wohle des Unternehmens zu-künftige Trends möglichst vor der Konkurrenz zu erkennen und umzu-setzen. Gleichzeitig werden die Unternehmen vermehrt rechtlich dazu ver-pflichtet, wirksame Cybersecurity zu implementieren. Auch diese Pflichtobliegt den Firmenchefs, die sich deshalb zunehmend verunsichert fühlenund mitunter auf zukunftsträchtige Projekte verzichten.

Kein neues Thema Obwohl Digitalisierung und Cybersecurity relativ neue Begriffe sind,lässt sich die Verpflichtung zu Maßnahmen für die IT-Sicherheit ausaltbekannten gesetzlichen Regelungen herleiten. Der Leitbegriff des„Risikomanagements“ (§§ 91 Abs. 2, 111 AktG, § 43 Abs. 1 GmbHG,Gesetz zur Kontrolle und Transparenz im Unternehmensbereich „KonTraG“)verlangt die Einführung wirksamer Frühwarnsysteme, die Risiken imVorfeld lokalisieren und einen Schadenseintritt verhindern. Risikomanagement umfasst heute auch umfängliche Maßnahmen, dieein Eindringen in digitale Infrastrukturen des Unternehmens abwehren.Die bloße Ermittlung des Ist-Zustandes reicht nicht aus. Vielmehr ist eszwingend erforderlich, Sicherheitslücken zu schließen, getroffene Secu-rity-Maßnahmen stetig fortzuentwickeln und deren Einhaltung zu über-wachen. Was mit der Einführung von Videokameras und Eingangskon-trollen begann, hat sich längst schon zu professioneller Hackerabwehrentwickelt. Notfallpläne, Mitarbeiterschulungen und Eskalationsmecha-nismen sind ebenso Teil einer zeitgemäßen Cybersecurity-Strategie.

Hohe Sicherheitshürden Laut der Studie „Security Bilanz Deutschland 2016“ steigt dennoch derGefährdungsindex weiter an, während der Sicherheitsindex kontinuierlichsinkt. Als Reaktion auf die steigende Bedrohung durch Cyberkriminalitätversucht der Gesetzgeber durch diverse Gesetzesinitiativen wie dem IT-Sicherheitsgesetz, etablierte Standards wie die internationale Norm ISO27001 oder den deutschen BSI-IT-Grundschutz für bestimmte Branchenverbindlich zu machen und regelmäßige Kontrollen einzuführen. Eineweitere Verschärfung sieht die EU-Datenschutzgrundverordnung vor, diealle Unternehmen zur Implementierung von Cybersecurity-Maßnahmenzum Schutz personenbezogener Daten verpflichtet. Anderenfalls drohenBußgelder bis zu zehn Millionen Euro oder 2 % des gesamten weltweiterzielten Jahresumsatzes einer Unternehmensgruppe. Bei einer Veracode-Umfrage im Jahr 2017 gaben immerhin 40 % derUnternehmen in Deutschland an, schon bei der Entwicklung der Software

auf Sicherheitstests zu setzen. Zudem betonten 38,6 % der Software-entwickler, dass die Absicherung vor Cyberangriffen und Datenschutz-verletzungen oberste Priorität genieße. Dennoch – Cybersecurity-Maß-nahmen fordern erhebliche personelle und finanzielle Ressourcen. Esverwundert deshalb nicht, dass etwa 90 % aller IT-Sicherheitsbeauftrag-ten (CISOs) nach einer 2016 durchgeführten Studie des britischen Con-sulting-Unternehmens Cebr davon überzeugt waren, dass ihre aktuellenBemühungen um mehr Sicherheit Innovationen eher behindern.

Haftung der Chefetage Nicht ausreichende Cybersecurity in alltäglichen Bereichen hat nebenden schädlichen Auswirkungen für das Unternehmen vor allem auchFolgen für den Entscheidungsträger selbst. Denn das Unternehmenkann im Innenverhältnis Schadensersatz vom ihm verlangen (§ 93 Abs.2 Satz 1 AktG, § 43 Abs. 2 GmbHG), wenn er es versäumt hat, erfor-derliche Sicherheitsmaßnahmen einzurichten und Prozesse zu schaf-fen, die sowohl eine Weiterentwicklung als auch eine Überwachungder Einhaltung ermöglichen. Dieser Sachverhalt wirkt umso schwerer,da Entscheidungsträger sogar durch den Abschluss einer D&O-Versi-cherung (Directors-and-Officers-Haftpflichtversicherung) die persönli-che Haftung mit ihrem Privatvermögen nicht gänzlich ausschließenkönnen (z. B. § 92 Abs. 2 Satz 3 AktG). Und neben dem Vorstand oderder Geschäftsführung ziehen laut der Cebr-Studie auch immer mehrdeutsche Unternehmen – insgesamt 43 % – den CISO für eine wesent-liche Verletzung der Cybersecurity zur Rechenschaft. Um einen etwaigen Regressanspruch abwehren zu können, ist denEntscheidungsträgern eine hinreichende Dokumentation der getroffe-nen IT-Sicherheitsmaßnahmen anzuraten. So ist beispielsweise ein denVorstand entlastender Hauptversammlungsbeschluss im Falle einer un-zureichend dokumentierten Cybersecurity anfechtbar. Ferner drohenim Fall lückenhafter Nachweise ab 25. Mai 2018 auch durch die EU-Datenschutzgrundverordnung Bußgelder in Millionenhöhe.

Fazit

Entscheidungsträger sind im Rahmen des Risikomanagements verpflich-tet, ihre IT-Systeme zu sichern und sich nicht nur vor Cyberattacken,sondern vor allem auch vor Cyberspionage zu schützen. Dies soll jedochnicht dazu führen, dass Unternehmen förmlich erstarren. Vielmehr ist eingesunder Umgang mit den Anforderungen der digitalen Welt gefordert.Das gilt sowohl bei der Digitalisierung der Geschäftsmodelle als auchbei der Etablierung von IT-Sicherheitsstandards. Dafür bieten die gesetz-lichen Regelungen noch ausreichend Möglichkeiten. Mareike Gehrmann Rechtsanwältin, Taylor Wessing Partnerschaftsgesellschaft mbB

4

Sicherheit & Datenschutz Ⅰ/2017

CYBERSECURITY & INNOVATION

Das Dilemma der Entscheider Wie lassen sich IT-Sicherheit und Innovationen unter einen Hut bringen? Digitaler Fortschritt bei gleichzeitiger Erhöhung der Cybersecurity-Anforderungen – viele Entscheidungsträgergeraten hier immer häufiger in die Zwickmühle. Doch auch neue gesetzliche Vorgaben bieten noch genügendSpielraum, um Sicherheit und neue Geschäftsmodelle zu vereinbaren.

Sicherheit & Datenschutz Ⅰ/2017 3

EDITORIAL/INHALT

Liebe Leserinnen und Leser,

werden wir noch in diesem Jahr erleben, wiedie Blockchain ihren großen Siegeszug an-tritt? Sind verschlüsselte Daten und Kommu-nikation noch sicher, wenn QuantencomputerRealität werden? Wie bewältigen Entschei-dungsträger den Spagat zwischen notwendi-gen Investitionen in Cybersecurity und derUmsetzung innovativer Geschäftsmodelle?Und wie steht es mit der Politik – wird dieIT-Sicherheit ein prägendes Wahlkampfthe-ma sein?

Im laufenden Jahr 2017 werden uns dieseund viele andere Themen mit Bezug zur IT-Sicherheit beschäftigen. Ein besonderes Au-genmerk verbleibt auf rechtlichen Fragen,wie etwa dem „Stand der Technik“, wenn esum das IT-Sicherheitsgesetz geht. Hier giltes, die Fortentwicklung der europäischen unddeutschen Rechtsetzung zu beobachten.

Die jüngste Vergangenheit hat eindrucksvollgezeigt, dass Bedrohungen der IT-Sicherheitäußerst real sind. Hackerangriffe auf Kran-kenhäuser, kritische Infrastrukturen, politi-sche Parteien, Unternehmen und Institutio-nen sind allemal zur Regel geworden. DieOrganisationsentwicklung und die Anpas-sung der Prozesse hält damit vielerorts nichtSchritt. Auch wiegen sich Verantwortliche

immer noch in falscher Sicherheit. KriminelleStrukturen haben sich professionalisiert undSchattenmärkte entwickelt, die für jeder-mann eine Gefahr darstellen können. Durchden Einzug von vernetzten Geräten in Pro-duktion, Haushalt oder Fahrzeug ist die Digi-talisierung in viele alltägliche Lebensbereichevorgedrungen. Doch die IT-Sicherheit imSinne von „Security by Design“ wird leidervielerorts immer noch nicht ausreichend be-rücksichtigt. Und auch der Datenschutz bleibtweiterhin ein kontroverses Thema.

Die vorliegende Beilage „Sicherheit & Daten-schutz“ vermittelt Einblicke in ausgewählteThemen, die uns als Bundesverband IT-Si-cherheit derzeit beschäftigen. Die Beiträgezielen dabei auf grundsätzliche Fragen ab,mit denen Sie sich als IT-Verantwortliche be-fassen sollten: Neben Praxisartikeln zu IT-Recht und Cybersecurity (S. 4), Identitätsma-nagement in der Blockchain (S. 6) sowieeHealth & Cloudsecurity (S. 10) wird auchdas Thema Automotive (S. 16) eingehenderbeleuchtet. Darüber hinaus widmen sich zweitechnische Beiträge aktuellen Entwicklungenin der Quantentechnologie (S. 14) und beider kryptografischen Schlüsselaushandlung(S. 12).

Als Bundesverband IT-Sicherheit wünschenwir uns entsprechende Schwerpunktsetzun-gen der Parteien im laufenden Wahljahr undwerden weiterhin Wirtschaft, Verwaltung, Po-litik und Gesellschaft mit der Kompetenzeines nun fast 300 Mitglieder starken, ausUnternehmen und Organisationen bestehen-den Expertennetzwerkes mit Rat und Tat zurSeite stehen, um die bestmöglichen Techno-logien voranzubringen. Die Herausforderun-gen nehmen zu. Aber die mittelständisch ge-prägte deutsche IT-Sicherheitsbranche istsehr gut aufgestellt und durch innovative Pro-dukte, gepaart mit der starken deutschen Da-tenschutzgesetzgebung, international wett -bewerbsfähig. „IT Security made in Germany“wird auch über das Jahr 2017 hinaus einegute Wahl bleiben.

Dr. Holger MühlbauerTeleTrusT – Bundesverband IT-Sicherheit e.V.

(Geschäftsführer)

Wer die Wahl hat …

InhaltCybersecurity & InnovationDas Dilemma der Entscheider 4

Identity ManagementBring Your Own Identity 6

GesundheitssektorPatientendaten in der Cloud 10

VerschlüsselungSchlüsselaushandlung per PAKE-Protokoll 12

Post-Quantum-KryptografieDie Qubits kommen 14

Connected CarsSecurity im Auto der Zukunft 16

Impressum und Inserentenverzeichnis 18

SICHERHEIT &DATENSCHUTZ

I2017


@u:Any-to-Any Encryption

@u:Smart Grid/Industrie 4.0

@u:Rechtliche Bewertung IT-Sicherheitsgesetz

@u:Management von PGP-Schlüsseln im Unternehmen

@u:Leitfaden E-Mail-Verschlüsselung

@u:VPN für die öffentliche Gesundheitsversorgung

@u:Praktische Anwendungen der Biometrie


@t:Verschlüsselung, Authentifizie-rung und Public-Key-Infrastruktur

powered by:


76% arbeiten im Bereich IT-/Softwareentwicklung: 41% sind Softwareentwickler, 35% sind Systemintegratoren, 20% Netzwerkadministratoren, 16% sind IT-Sicher-heits-/Datenschutzbeauftragte

sen sich, wenn sie nicht geeignet kenntlich gemacht sind, einfach inandere Papiere oder Unterlagen integrieren und mitnehmen. Für die Si-cherheitskontrolle am Ausgang ist es kaum möglich, die Kritikalität vonPapieren einzuschätzen. Ohne fundierte Beweislage führt ein Vorfallschnell zu einem Generalverdacht auf alle Personen mit Leserecht undbringt dadurch unnötigen Unfrieden in die Organisation. Diese Sicher-heitsherausforderung lässt sich nicht mit einem allgemeinen Druckver-bot für bestimmte unternehmenskritische Dokumente lösen.

Eine adäquate Antwort darauf bietet nur ein Schutzkonzept, das dieSensitivität eines Dokuments in Echtzeit feststellt und entsprechenddem Schutzbedarf definiert, wer diese Information wann auf welchemDrucker wie ausdrucken darf und gegebenenfalls, welche Daten überdie Umstände des Ausdrucks vom Anwender vor dem Ausdruck zu er-fragen sind. Solche Informationen sollten dann auch auf dem Ausdruckmittels eines Wasserzeichens festgehalten und in einem revisionssi-cheren, elektronischen Archiv protokolliert werden. Die Angaben aufdem Dokument sind dabei notwendig, um den ermittelten Sensiti -vitätsgrad auch über den Medienbruch hinweg festzuhalten und in gedruckter Form dauerhaft mit der Information zu koppeln. Das Was-serzeichen kann maschinenlesbar oder lesbar für Menschen sein, jenachdem was bezweckt wird.Sicherheitslösungen, die das Drucken sensitiver Daten kontrollieren,müssen naturgemäß alle Druckvorgänge überwachen und immer dorteingreifen, wo System oder Anwender die zu druckenden Informatio-nen als kritisch einstufen. Für neu erstellte oder noch nicht klassifi-

zierte Dokumente sollte unmittelbar eine Einstufung (ggf. durch denAnwender) erzwungen werden. Diese ermittelten oder in Echtzeit vomAnwender hinzugefügten Daten sollten zudem – zusammen mit demvollständigen Inhalt des Ausdrucks jederzeit wiederherstellbar – revi-sionssicher abgelegt werden. Erst so ist dokumentiert, wer wann undwarum welches Dokument mit welchem Inhalt in welcher Stückzahlund über welchen Drucker ausgegeben hat – und auch Auflagen derLangzeitarchivierung werden gleich mit erfüllt.Fazit

Bei der richtigen Wahl des Vorgehensmodells und der eingesetzten Lö-sung(en) kann man auch bei dem komplexen Thema DLP Investitions-schutz, Skalierbarkeit, Zukunftsfähigkeit und Kosteneffizienz im Betriebmit einem schnellen Projekterfolg kombinieren. Am besten natürlichtechnisch unterstützt mit einem Werkzeug, welches das Risikoma -nagement und die Schutzfunktionen in einem Produkt anbietet und da-durch die Lebenszyklen von Risiken und Daten vollständig abbildet. Werseine sensibelsten Daten in sicheren Datenräumen segmentiert und zu-dem wirklich alle Leckage-Punkte und alle Stadien des Informations-Lifecycle berücksichtigt, besitzt ein ganzheitliches DLP-Konzept, undverhindert nachhaltig eine Gefährdung des Unternehmenskapitals, dasin Form von gespeichertem Wissen und Informationen vorliegt.

Ramon Mörl,Geschäftsführer itWatch GmbH

DATA LOSS PREVENTION

schlüsselt mit einem E-Mail-Dienst kommunizieren. Tatsächlich geht DA-NE an dieser Stelle sogar noch einen Schritt weiter, denn die Nutzungvon DANE ist gleichzeitig ein Statement dafür, dass der E-Mail-Dienststandardmäßig in der Lage ist, eine verschlüsselte Verbindung anzubie-ten, und dass ungesicherte Verbindungen eher unerwünscht sind. Damitist DANE eine Technologie, die obligatorisch sichere Verbindungen ska-lierbar in die Fläche bringt.

Internet-Verbindungen, die mit Hilfe von Transport Layer Security(TLS) abgesichert werden, finden im Gegensatz zu DANE schon seit län-gerer Zeit in der Praxis zunehmende Verbreitung. Sicherheitsschwächenwie BEAST oder Poodle haben in der Vergangenheit aber gezeigt, dasshierbei vor allem der Einsatz zeitgemäßer und geprüfter Kryptoverfahrenvon essenzieller Bedeutung ist. Das BSI veröffentlicht aus diesem Grundjährlich und anlassbezogen entsprechende Empfehlungen, die auch inder Technischen Richtlinie TR-03108 Anwendung finden. Durch die Kom-bination von DNSSEC zur sicheren Abfrage beim DNS-Server, DANE zumAbruf von Schlüsseln oder Schlüsselinformationen und dem Einsatz vonsicheren Algorithmen bei TLS wird mithilfe von Standardtechnologien eineinheitlich hohes Sicherheitsniveau erreicht.

Die Auswahl der IT-Sicherheitsanforderungen fand bereits für dieErstellung der ersten Version der Technischen Richtlinie gemeinsammit E-Mail-Diensteanbietern in einer eigens zu diesem Zweck vom BSIgegründeten Arbeitsgruppe statt. Auch in Zukunft wird in dieser Ar-beitsgruppe über die Fortentwicklung der TR-03108 diskutiert. Die Be-rücksichtigung neuer, in der Praxis etablierter Technologien ist alsodurchaus vorstellbar.

Einfache Zertifizierung

Wie alle Technischen Richtlinien des BSI hat auch die TR-03108 ledig-lich Empfehlungscharakter. Sie enthält Kriterien und Methoden zurKonformitätsprüfung, um die eigenen IT-Systeme besser abzusichern.Derzeit befindet sich im BSI jedoch auch ein Zertifizierungsverfahrenim Aufbau. Dieses soll es den E-Mail-Diensteanbietern ermöglichen,die Einhaltung der Anforderungen der Technischen Richtlinie auch ge-genüber Dritten nachzuweisen. Auf diese Weise entsteht vor allem fürNutzer der E-Mail-Dienste eine höhere Transparenz. Das Zertifizie-rungsverfahren kann, da die Schnittstellenprüfungen lediglich die oh-nehin vom E-Mail-Dienst angebotenen Schnittstellen betreffen, nahezuvollständig remote durchgeführt werden. Die einzelnen Prüffälle, wel-che in der Prüfspezifikation zur TR-03108 veröffentlicht sind, erfolgenstörungsfrei im Wirkbetrieb.

Ausblick

Allen anders lautenden Voraussagen zum Trotz bleibt die E-Mail wohlauch in Zukunft eine wichtige Kommunikationstechnik, sowohl im pri-vaten wie auch im geschäftlichen und behördlichen Bereich. Da überdieses Verfahren aber auch besonders schützenswerte Daten trans-portiert werden, muss der E-Mail-Verkehr den Sicherheitsanforderun-gen, die auch für andere Formen des Datenaustausches gelten, wirk-sam angepasst werden.

Die Technische Richtlinie TR-03108 wurde schon früh mit den in-ternationalen Partnerbehörden des BSI abgestimmt und kann sich seitder Veröffentlichung des Entwurfs vor einem Jahr eines steigenden In-teresses erfreuen. Geplant ist, in Zukunft die Akzeptanz internationalnoch weiter zu fördern und national, neben den E-Mail-Dienstean -bietern, auch solche Stellen für die TR-03108 zu gewinnen, bei denender E-Mail-Dienst nicht zum Kerngeschäft, dennoch aber zum Tages -geschäft gehört (z. B. Versicherungen, Großunternehmen, Behörden undöffentliche Einrichtungen). Somit hat die Technische Richtlinie das Po-tenzial, die Sicherheit der digitalen Kommunikation via E-Mail Schrittfür Schritt national und international deutlich zu erhöhen.

Florian Bierhoff,Referat S11, Bundesamt für Sicherheit in

der Informationstechnik (BSI)

BSI-RICHTLINIE

KonzeptionelleÜbersicht der

Anforderungender TechnischenRichtlinie 03108Secure E-Mail-

Transport (Abb. 2).

Quel

le: B

SI

Die Übertragung der Daten sollte natürlich verschlüsselt erfolgen, beispielsweise über gesicherte VPN-Verbindungen. Als Verschlüsse-lungsprotokoll hat sich TSL (SSL) bewährt. Diese hohen Sicherheits -standards ermöglichen einen Einsatz auch in geschäftskritischen An-wendungen.

Rollenbasierte RechteverwaltungDie zentrale Plattform hat auch den Vorteil, dass der Anlagenbetreiberweder dem externen Servicepersonal noch den eigenen Mitarbeiten ei-nen direkten Zugriff auf das Produktionsnetzwerk erlauben muss. Di-rekten Zugriff auf alle Maschinen hat nur die Plattform, die eine rollen-basierte Rechteverwaltung für

alle Beteiligten bietet. Sie er-laubt eine feine Abstufung derRechte der einzelnen Benut-zer – bis hin zur Beschränkungder Zugriffsrechte auf einzel-ne Ports oder Protokolle. Damitsind verschiedene Sichtweisenauf die Maschinen und Anla-gen möglich. Den Produktions-leiter interessieren beispiels-weise nur die wesentlichenZahlen einer Anlage, währendfür den Bediener wichtig ist, obdie Anlage richtig läuft und alleParameter im grünen Bereichsind. Für das Servicepersonalwiederum sind Produktions-daten und Rezepturen tabu,sie können jedoch eingreifen,wenn Anlagenparameter oderSPS-Programme angepasstwerden müssen (Abbildung 2).

Cloud oder nicht?Ist der Zugriff auf die Datengeregelt, stellt sich noch dieFrage nach Art und Ort der Da-tenspeicherung. Seit Snowdenund der NSA-Affäre überlegtman genau, wem man seineDaten anvertraut: Wo steht derServer? Wie ist dieser ge -sichert? Welche nationalenGesetze gelten am Server-standort? Zu empfehlen ist allemal eine Lösung, die auf der Server -infrastruktur des Anwenders betrieben wird, beispielsweise auf Basiseiner gängigen Virtualisierungstechnik. Kein Tunnelendpunkt befindetsich damit außerhalb des eigenen Hoheitsgebiets. Und auch weitereVorteile einer virtualisierten Umgebung wie Skalierbarkeit, Verfügbar-keit, Performance, Datensicherung und schnelle Wiederherstellung sindnutzbar. Über verschiedene Lizenzmodelle kann die Leistungsfähigkeitder Plattform mit den Kundenanforderungen wachsen. Und dank re-gelmäßiger Sicherheitsupdates des Herstellers ist die Kundenplattformstets auf dem aktuellen Stand. Die Antwort auf die Frage, ob Cloudoder nicht, lautet deshalb: Ja zur Cloud, aber innerhalb der eigenen In-frastruktur.

Sichere FeldbusanbindungAls viele der heute eingesetzten Geräte und Feldbusse entwickelt wur-den, waren IoT, Industrie 4.0 und Big Data noch unbekannt. DiesenSystemen fehlen daher jegliche Sicherheitsmerkmale für eine direkteVernetzung, wie Zugangsschutz mit Passwort oder signierte Firm -wareupdates. Um Bestandsanlagen Industrie-4.0-tauglich zu machen,eignen sich Gateways, die hardwaretechnisch die Kommunikation nurin eine Richtung zulassen, vom Feld ins sichere Netz. Es sollte tech-nisch unmöglich sein, sich von außen mit der Anlage zu verbinden, umDaten zu stehlen oder zu manipulieren. Erreicht wird das, indem derRückkanal elektrisch getrennt ist und nur per Schlüsselschalter zu

Konfigurationszwecken aktiviertwerden kann (Abbildung 3).Durch die echte hardwareba-sierte Trennung sind auch übli-che Schwachstellen der Secu -rity-Hardware ausgeschlossen:fehlerhafte Konfiguration durchden Anwender oder Sicherheits-lücken in der Gerätesoftware.

Industrielle Sicherheit um-fasst nicht nur den gefähr-dungs- und unfallfreien Betriebvon Maschinen und Anlagen,sondern auch den Schutz vonKnow-how und die Sicherstel-lung der Systemintegrität. Dasbeginnt mit einer Segmentie-rung der Netzwerke in einzel-ne Automatisierungszellen undsetzt sich darin fort, die Daten-zugriffe nur einem begrenztenTeilnehmerkreis zugänglich zumachen. Was oft unterschätztwird, ist die Bedrohung von in-nen. Etwa dadurch, dass Mit-arbeiter Daten von kompro-mittierten Internet-Seiten oderE-Mails herunterladen oderSchadsoftware über USB-Stickseinschleusen.

Awareness undWissensaustauschIndustrial Security ist also kei-ne rein technische Angelegen-heit. Auch organisatorische Gesichtspunkte und der Faktor Menschspielen eine wichtige Rolle. Allgemein bekannte Abteilungspasswörtergehören ebenso der Vergangenheit an wie kleine Haftnotizen, auf denendie Passwörter gewissermaßen öffentlich ausgehängt werden. Die An-forderungen an Qualifikationen und Ausbildung der Mitarbeiter müssenalso steigen. Während im Produktionsumfeld und in der Automatisie-rungstechnik grundlegende Kenntnisse in Sachen Security erforderlichsind, sollten sich Verantwortliche der IT-Sicherheit auch mit den Anfor-derungen der Produktionstechnik befassen. Und nicht zuletzt muss demManagement klar sein, dass es Sicherheit nicht zum Nulltarif gibt.

Siegfried Müller,Geschäftsführer MB connect line GmbH

11

Sicherheit & Datenschutz Ⅱ/2016

INDUSTRIAL SECURITY

Ausdrucke, Fotos von Bildschirmen und Informationen, die durch das„über die Schulter schauen“ gewonnen werden.

Wer zuerst versucht, alle vorhandenen Daten nach deren Kritikalitätzu markieren – und dafür viel Zeit und Energie aufbringt – wird langeauf positive Resultate warten müssen. Das eigentliche Ziel, Daten vorunerlaubtem Abfluss zu schützen, wird man dann spät oder gar nichtmehr erreichen. Ignoriert man zusätzlich die systembedingten Unge-nauigkeiten durch die unterschiedlichen Repräsentationen der gleichenInformation (Sprachen, Sonderzeichen, OCR/Bild von Text, Formatie-rungen, Steganografie, Covert Channels …) in der Klassifikationsphase,werden viele „falsche Fehler“ (false positives und false negatives) dazuführen, dass man im Betrieb entweder häufig nachbessert und hoheadministrative Kosten generiert oder die echten Schutzkriterien so laxeinstellt, dass das Ergebnis den Aufwand nicht mehr wert ist.

Fallen identifizieren

Liegt der Fokus nur auf dem internen Datenabfluss, verstellt man denBlick auf Angriffe von außen, die erst im Ergebnis zum unerwünschtenDatenabfluss führen. Häufig wird über Angriffe auf die Schwachstellenvon Standardanwendungen (Browser-Exploit) oder Standardformate(Flash, PDF-Exploit) erst der unerwünschte Datenkanal nach außengeöffnet, der dann aufgrund stenografischer Verfahren nicht mehr er-kannt werden kann. Der Angriff kommt aber von außen, weshalb eszu einer wesentlichen Aufgabe des DLP gehört, den „Import von

schädlichen ausführbaren Objekten“ zu kontrollieren oder ganz zuverbieten, z.B. Javaskript in PDF, DLL-Download über Browser etc. Esist also zwingend notwendig, ein Inventar aller zur Ausführung kom-menden Programme zu halten und dieses sukzessive nach der Kriti-kalität für DLP zu bewerten. Dieser Schritt ist schon darum wertvoll,weil man alle Programme, Skripte, Makros etc. kennenlernt, die bishernicht im Softwarekatalog oder dem offiziellen Inventar standen.

Best Practice für DLP

Einfache, weil im Betrieb unkritische Sicherheitsmaßnahmen (QuickWins) sind zuerst an der Reihe. Das heißt, Maßnahmen wie Benutzer-sensibilisierung, Monitoring, Risikoinventarisierung und Alerting stellendie ersten Schritte dar und erlauben es, die Kritikalitätseinschätzungiterativ zu verfeinern. Die zyklische Untersuchung der statistischenAuswertung zeigt die realen Risiken und praktische Verstöße gegendie bestehenden Vorschriften auf. Bereits nach dieser Phase, die mitwenigen Arbeitsstunden erledigt ist, kann man klare Antworten aufdie drängenden Fragen „Wie sicher sind wir?“ und „Wo ist unser drin-gendster Bedarf?“ geben. Das bildet die Grundlage für die regel -mäßige Verfeinerung der technischen Sicherheitsmaßnahmen. Jenachdem identifizierten Datenmaterial, der verwendeten Applikation,dem Netzwerk, dem Datenträger, dem handelnden Benutzer und wei-teren Para metern werden dann folgende Maßnahmen nahegelegt odersogar erzwungen:


D aten sind der Rohstoff des 21. Jahrhunderts – und wecken Be-gehrlichkeiten. Längst hat sich eine Szene im Darknet etabliert,

die gegen Zahlung den gezielten Datendiebstahl verspricht. Und andersals bei gestohlenen Autos lassen sich die Daten gleich mehrfach ver-kaufen – der Profit steigt. Die Gesetzgebung mag ausreichend sein,doch die Strafverfolgung ist nicht in der Lage, allen Delikten in allenLändern nachzugehen. Der Schaden von einmal gestohlenen Datenkann, wenn diese bereits verkauft oder weitergegeben sind, nicht mehrgeheilt werden, denn die Daten sind dann nicht mehr einzufangen.

Das einzig sinnhafte Konzept ist es deshalb, seine wichtigsten Da-ten selbst zu schützen. Sind die kritischen Daten identifiziert, gilt es,den adäquaten Schutz umzusetzen, denn nicht bei allen Daten geltendie gleichen Schutzziele. Manche müssen vor Innentätern geschütztwerden, bei manchen ist es sinnvoll, die eigenen IT-Mitarbeiter vordem Verdacht der unerlaubten Kenntnisnahme zu schützen. Mecha-nismen der Data Leakage/Loss Prevention (DLP), helfen dabei, unge-wünschten Datenabfluss zu verhindern. Das eigene Risikomanage-ment definiert dann, wie robust der Schutzmechanismus jeweils seinmuss.

Die gesamte Handlungskette sichernAuch die Handlungskette bei der Datennutzung ist nur so stark wieihr schwächstes Glied. Im ersten Schritt werden die Daten generiert.Im nächsten Schritt wird über Services, Netzwerke, Anwendungenoder Apps auf die Daten zugegriffen, um sie dem Nutzer zu präsen-tieren, der sie dann wiederum mithilfe anderer Anwendungen weiter-verarbeitet, speichert, druckt, verschickt usw. Hat der Nutzer beliebigeFreiheit bei der Verarbeitung, ist prinzipiell davon auszugehen, dasssich die Daten später elektronisch nicht wiedererkennen lassen, dasie verschlüsselt bzw. zu Bildinformationen oder in andere Formategewandelt wurden. Für die Ziele der Integrität und Vertraulichkeit giltes also, die gesamte Handlungskette so zu organisieren, dass ein adä-quater Schutz in allen Lebenslagen für die Daten besteht. Das klingtnoch relativ einfach, wenn man die wirklich sensiblen Daten in ge-eignet geschützten Datenräumen unterbringt und der Schutz mit ho-her Robustheit durchgesetzt wird. Zur Absicherung der gesamtenHandlungskette muss allerdings der vollständige Lebenszyklus be-trachtet werden.

Eine erste Schwachstelle ist das Identity and Access Management(IAM). Angriffe auf die Passworteingabe mittels „über die Schulterschauen“ und Keylogger sind bekannt und können mit guten Aware-ness-Maßnahmen (auch gegen Kameras) und einigen Endpoint-Secu-rity-Lösungen verhindert werden. Der Angriff auf den Deutschen Bun-destag im Jahr 2015 hat aber gezeigt, dass auch über andere Angriffe

wie PassTheHash und Mimikatz die Identität eines Anwenders gestoh-len werden kann, ohne dass man dessen Passwort und Username be-nötigt. Das Problem des Identitätsdiebstahls ist also viel komplexer, alsdem Anwender seinen Besitz (Smartcard oder Zugangstoken) und seinWissen (Passwort/PIN) zu stehlen.

Zugangskontrollen prüfenViele Sicherheitsberater gehen heute davon aus, dass man nicht jedeUmgebung „sauber“ halten kann und in manche IT-Umgebungen we-nig Vertrauen setzen sollte – insbesondere in solche, die über vieleServices notwendigerweise mit dem Internet verbunden sind und dazuauch Nutzdaten austauschen. Wird dieselbe Kennung für diese unsi-cheren Umgebungen und gleichzeitig (ohne Zusatzschutz) für die si-cheren Datenräume verwendet, kann von Sicherheit nicht mehr die Re-de sein. Die Eingabe eines mehrfach nutzbaren Passwortes auf derTastatur eines mobilen Endgerätes potenziert das Risiko. Wenn dieIdentität gestohlen ist, greifen alle nachfolgenden Sicherheitsmaßnah-men, die auf den Rechten Einzelner beruhen nicht mehr. Gleiches giltnatürlich für die unberechtigte Nutzung von Benutzerrechten durchschadhafte Anwendungen auf einem IT-System, mit dem der Anwendertatsächlich arbeitet.

Einem Benutzer sind aber meist mehrere Kennungen für unter-schiedliche Datenräume nicht zuzumuten. Wichtig ist hier also die Ver-trauensstellung der einzelnen Systeme untereinander. Ein System mithoher Vertrauensstellung kann ein automatisches Login in ein nied -rigeres System durchführen – umgekehrt darf das nicht passieren.Prinzipiell gilt also, dass die Tastatur zur Eingabe eines mehrfach ver-wendbaren Passwortes im Sicherheitsraum der genutzten Daten undServices liegen muss. Um lokale Angriffe zu vermeiden, müssen ent-sprechende Vorkehrungen bei der Kommunikation der Tastatureinga-ben getroffen werden.

Häufige Fehler bei DLP-ProjektenDLP-Projekte benötigen sehr viel Detailverständnis. Heutzutage sindIT-Projekte aber dazu gezwungen, bereits nach kurzer Zeit einensichtbaren Nutzen zu erbringen und nicht als permanentes Groschen-grab nur Ressourcen zu verbrauchen. Schnelle Erfolge lassen sich bei DLP-Projekten einfach erzielen: Das Monitoring der potenziellenLeckage-Punkte führt dazu, dass die notwendigen Schutzmaßnahmenerkannt und priorisiert werden können, ohne dabei den Betrieb zu be-hindern. Leckage-Punkte sind etwa Kommunikationsbeziehungen nachaußen, wie E-Mail oder Browser-Upload, mobile Datenträger und spon-tane Kommunikation über Devices wie Bluetooth, WiFi etc., aber auch

4

Sicherheit & Datenschutz Ⅱ/2016


Alle Schotten dichtEin effizientes DLP-Konzept schützt vor dem Verlust sensibler DatenIn vielen Unternehmen und Behörden wird täglich mit Daten gearbeitet, die besonderen Schutz benötigen.

Ungewollter Datenabfluss kann von außen, aber auch von innen ausgelöst werden. Deshalb müssen sämtliche

potenziellen Datenlecks identifiziert, überwacht und abgesichert werden.

SICHERHEIT &DATENSCHUTZ

II2017


@u:Any-to-Any Encryption

@u:Smart Grid/Industrie 4.0

@u:Rechtliche Bewertung IT-Sicherheitsgesetz

@u:Management von PGP-Schlüsseln im Unternehmen

@u:Leitfaden E-Mail-Verschlüsselung

@u:VPN für die öffentliche Gesundheitsversorgung

@u:Praktische Anwendungen der Biometrie


@t:Verschlüsselung, Authentifizie-rung und Public-Key-Infrastruktur

powered by:

Heise Medien

KONTAKT


KONTAKT

Sprechen Sie uns an:

Michael Hanke Group Sales DirectorTel.: 0511 53 52 167E-Mail: [email protected]

Tarik El-BadaouiVerkaufsleiter iX Tel.: 0511 53 52 395E-Mail: [email protected]

Isabelle MrosProjektmanagerin Sales Tel.: 0511 53 52 205E-Mail: [email protected]

APL

Z 5

-7PL

Z 7

Jan Aldag

Account ManagerTel.: 0511 53 52 [email protected]

Tarik El-BadaouiVerkaufsleiter iX Tel.: 0511 53 52 395E-Mail: [email protected]

PLZ

8-9

PLZ

0-3

, CH Ellrik Freienberg

Account ManagerTel.: 0511 53 52 891E-Mail: [email protected]

Ann Katrin WernerSenior Account ManagerTel.: 0511 53 52 632E-Mail: [email protected]

Karl-Wiechert-Allee 10 • 30625 Hannover • Tel.: +49 [0]511 5352-167 • Fax: +49 [0]511 5352-308• www.ix.de/media

Tanja BlechingerAccount ManagerTel.: 089 427 186 11E-Mail: [email protected]

Documents

SICHERHEIT & DATENSCHUTZ · 2020-03-09 · „Sicherheit & Datenschutz“ erscheint zweimal im Jahr in Zusammenarbeit mit dem TeleTrusT – Bundesverband IT-Sicherheit e. V. und befasst