www.itsicherheit-online.com

Branchenbuch

2019

IT-Sicherheit

INHALT:

Impressum .................................................................................. 2Editorial ...................................................................................... 3Authentifi zierung/Identity Management/IAM ................................ 4Backup und Restore .................................................................... 6Business Continuity ..................................................................... 8Cloud Security .......................................................................... 12Compliance/GRC ...................................................................... 14Data Leakage Prevention .......................................................... 18Datenschutz ............................................................................. 20Datenträgervernichtung/Datenlöschung ................................... 22Disaster Recovery ..................................................................... 24E-Mail-Sicherheit ..................................................................... 26Firewall-Systeme ...................................................................... 28Internet der Dinge/Industrie 4.0 ................................................ 30Kritische Infrastrukturen ........................................................... 32Kryptografi e .............................................................................. 34Malware-/Virenschutz ............................................................... 36Managed Security Services ....................................................... 38Mobile Device Management ...................................................... 40Rechenzentrumssicherheit ........................................................ 42Remote Access ......................................................................... 44Risikomanagement ................................................................... 46SAP-Security ............................................................................. 48Sicherung mobiler Endgeräte .................................................... 52Unifi ed Threat Management ...................................................... 54USV-Systeme ............................................................................ 56Web Application Security .......................................................... 58Zugriffskontrolle/NAC ............................................................... 60Firmenporträts A-Z ................................................................... 62

Impressum

IT-SICHERHEITFachmagazin für Informationssicherheit und DatenschutzSonderausgabe: Branchenbuch IT-Sicherheit 2019

Verlag:DATAKONTEXT GmbHAugustinusstraße 9d, 50226 FrechenTel.: 0 22 34/98 94 9-30Fax: 0 22 34/98 94 9-32www.datakontext.comfachverlag@datakontext.com

Vertrieb:Jürgen Weißweiss@datakontext.com

Chefredaktion:Stefan Mutschlerstefan-mutschler@t-online.de

Layout:Michael Paffenholzmichael.paffenholz@gmx.de

Anzeigen- & Objektleiter:Wolfgang Scharfwolfgang.scharf@agentur-8020.de

Druck: Grafi sches Centrum Cuno GmbH & Co. KG, Calbe (Saale)

© DATAKONTEXTMit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung.

Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außer halb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikro-verfi lmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Titelbild: Spectral-Design ©fotolia.comFotos: Firmenbilder; DATAKONTEXT; Imperial War Museum London; © Fotolia.com/Maksym Yemelyanov, © Fotolia.com/sellingpix; © depositphotos.com/a4ndreas, © depositphotos.com/artisticco, © depositphotos.com/bloomua, © depositphotos.com/degimages, © depositphotos.com/everythingposs, © depositphotos.com/FlashDevelop, © depositphotos.com/georgejmclittle, © depositphotos.com/Gorodenkoff Productions OU, © depositphotos.com/Jirsak, © depositphotos.com/kievith, © depositphotos.com/lollok, © depositphotos.com/magurok5, © depositphotos.com/nexusby, © depositphotos.com/nils.ackermann.gmail.com, © depositphotos.com/Ostapius, © depositphotos.com/perig76, © depositphotos.com/phranai2006@gmail.com, © depositphotos.com/scanrail, © depositphotos.com/SWEviL, © depositphotos.com/Tohey22, © depositphotos.com/Wavebreakmedia, © depositphotos.com/WrightStudio; © chombosan/iStock.com, © Xavier Arnau/istock.com; pixabay.com; © Dario Lo Presti/shutterstock.com

7. Jahrgang 2019 · ISSN: 1868-5757

Digitales Vertrauen steht auf dem SpielLiebe Leserinnen und Leser,

„Cyber-Sicherheit ist das Schlüsselelement für eine erfolgreiche Digitalwirtschaft und für den Schutz kritischer Infrastrukturen“, formulierte Siemens-Chef Joe Kaeser auf der kürzlich zu Ende gegangenen Münchener Sicherheitskonferenz (MSC). Ein klares Statement mit sehr ernstem Hintergrund: Cyberkri-minalität kann die betrieblichen Abläufe, die Innovationsfähigkeit und das Wachstum einer Firma erheb-lich gefährden und Kosten in ungeahnten Höhen verursachen. Zu diesem Ergebnis kommt die aktuelle Studie des Beratungsunternehmens Accenture „Securing the Digital Economy: Reinventing the Internet for Trust“. Konkret nennt diese Studie ein weltweites Verlust-, beziehungsweise Schadenspotenzial von 5,2 Billionen Dollar jährlich.

Dabei sagen fast alle einschlägigen Marktforscher und Unternehmen der IT-Branche für die Zukunft ein noch deutlich zunehmendes Angriffspotenzial voraus. Grund ist die exponentiell wachsende Zahl von oft völlig unkontrollierten Endpunkten, die durch immer bessere Mobilfunknetze und vor allem dem Internet der Dinge (Internet of Things, kurz IoT) neu im Internet Anschluss finden. Dies soll nicht zuletzt auch Erpressungsangriffen neue Türen öffnen, insbesondere auf OT- (Operational Technologie) und in-dustriellen IoT-Infrastrukturen – oft kurz als IIoT bezeichnet. Einen ersten bitteren Vorgeschmack auf das, was da noch kommen mag, gab es bereits in den beiden letzten Jahren mit Angriffen auf Krankenhäuser, Deutsche Bahn und andere Infrastrukturen. Mit der Einführung des IIoT wird die Fertigungsindustrie zu einem neuen Ziel. Die professionelle Cyberkriminalität wird zunehmend von der einfachen Psychologie der Erpressung getrieben, dabei sind die nahezu unbegrenzten potenziellen Ziele lediglich ein Mittel zum finanziellen Zweck.

Airbus CyberSecurity nennt in seinen Prognosen für 2019 einen weiteren beängstigenden Trend: KI-basierte Malware wird über ein bestimmtes Ziel hinaus „entkommen“ – mit verheerenden Folgen. Ei-gentlich propagieren die meisten Hersteller KI als heilbringende Technologie, die viele Probleme mit Cybersicherheit automatisiert lösen helfen soll. Tatsächlich sind die Angreifer offenbar derzeit wieder einmal einen Schritt voraus, was den Einsatz von KI betrifft. „Die Verwendung von KI in einem solchen Fall wird wahrscheinlich die Auswirkungen, die bereits Stuxnet, Mirai und NotPetya verursacht haben, nochmals deutlich erhöhen“, so der Airbus-Bericht. Darüber hinaus werde auch Machine Lerning (ML) bei Cyberattacken zum Einsatz kommen, um erstmals manuelle Hacking-Techniken zu automatisieren, die bislang nur mit APT-Bedrohungen verbunden werden. Im Gegenzug würden Security Operations Center (SOCs) beginnen, KI- und ML-Algorithmen zu verwenden, um die Lücken der Cyber Security Skills zu schließen. Die Rolle des Security Analysten werde quasi um neue künstliche Kollegen ergänzt.

Eine wirtschaftlich vernünftige und technisch schlagkräftige Abwehr ist auf jeden Fall nicht ohne ganz-heitliche Security-Ansätze realisierbar. Schon jetzt stimmen die Experten hier überein, in Zukunft würde integrierte Security aber noch erheblich wichtiger. Wie filigran das Thema IT-Sicherheit differenziert und in jedem Aspekt mit spezialisierten Produkten befüllt ist, zeigt nicht zuletzt das vorliegende Branchenbuch. Zeit, dass die Hersteller (und ihre Produkte) nun umfassend miteinander reden!

Die „Charta of Trust“, die den Rahmen für das eingangs erwähnte Zitat von Joe Kaeser auf der MSC 2019 bildete, ist sicher ein wichtiger Schritt auf diesem Weg. Ziele der Charta-Partner sind unter anderem, Cyber-Sicherheit in ihren globalen Lieferketten etablieren und nur noch Produkte mit vorab implemen-tierter Cyber-Sicherheit auf den Markt zu bringen. Die Zahl der Mitglieder ist innerhalb eines Jahres von neun auf 16 Mitglieder angewachsen – eines der wenigen ermutigenden Signale, die von der diesjährigen Münchener Sicherheitskonferenz ausgingen. Ideal wäre sicher ein globaler Cybersicherheitsvertrag als eine Art digitale Genfer Konvention, wie ein Vorschlag von Microsoft nahelegt. Ob ein solcher Vertrag tatsächlich 2019 ratifiziert wird, wie Airbus CyberSecurity prophezeit, bleibt allerdings abzuwarten.

Ihr

Stefan MutschlerChefredakteur IT-SICHERHEIT

3

eines bewussten Risikomanagements ein-schätzen. Die Basis, um die eigenen Net-ze und Informationsressourcen gegen unerlaubte Zugriff e zu schützen, bildet ein aufeinander abgestimmtes Identity- und Access-Management-System (IAM). Während dabei im Identity-Management grundsätzliche Rollen und entsprechende Berechtigungen festgelegt und verwaltet werden, dient das Access-Management der Kontrolle und der Steuerung einzelner Zugriff srechte zu bestimmten Teilen der physischen oder virtuellen Infrastruktur. Mit festen Vorgaben für die genaue Auf-teilung von Verantwortlichkeiten („Segre-gation of Duties“), der sinnvollen Gruppie-rung von Berechtigungen zu Rollen und dem Tool-gestützten Umgang mit Perso-naländerungen sowie einer intelligenten Provisionierung wird eine ganzheitliche Unterstützung des gesamten Identity Management Lifecycles greifbar.

Mit einem durchdachten Konzept und technisch sauber aufgesetztem Au-

thentifi zierungs-, Identitäts- und Zugriff s-management lassen sich die entsprechen-den Risiken minimieren und im Sinne

Dirk LiederMitglied der CONET-Geschäftsführung

Authentifi zierung, Identität, Access

Die Identität des Nutzers ist der Dreh- und Angelpunkt

Die Flexibilisierung und Beschleunigung bei der Nutzung und Bereitstel-lung von IT-Diensten und Informationsressourcen stellt die IT-Sicherheit vor neue Herausforderungen. Möglichkeiten wie „Bring your own Device“ (BOYD), „Mobiles Arbeiten“ und der Einsatz von Cloud Services werden im Zuge der Digitalisierung sowohl von Anwendern als auch der Leitung im zunehmenden Maße gefordert. Will man modernen Arbeitskonzep-ten nicht im Wege stehen, lässt sich die Sicherheit nicht mehr einfach nur durch Einschränkung der Hardware oder Kontrolle der Netzwerkwege herstellen. Vielmehr gibt es nur eine Konstante, die unabhängig vom ein-gesetzten IT-Gerät und jenseits des Zugriff sorts bestand hat, und das ist die Identität des Nutzers. Umso wichtiger ist es, diese sicher zu verifi zie-ren und die in ihrem Namen getätigten Zugriff e schnell und transparent zu steuern. Dieser Herausforderung stellt sich das Access Management.

Authentifi zierung/IdM/IAM

Bild

: © de

posit

phot

os.c

om/W

aveb

reak

med

ia

4

Eine immer bedeutendere Herausforde-rung stellt in diesem Zusammenhang die Verwaltung der Zugriff srechte besonders berechtigter Personen dar. Denn bestimm-te Anwender benötigen für ihre Arbeit teils weitreichende Berechtigungen. Diese „Pri-vileged User“ stellen eine besondere Her-ausforderung für die IT Security dar, da sie unbeabsichtigt, aus krimineller Energie oder weil ihre Zugriff sdaten in die fal-schen Hände gelangen, die IT-Ressourcen und Daten ihrer Organisation gefährden können. Dies gilt für die Administratoren im technischen Bereich ebenso wie für die Unternehmensleitung, deren Namen oft sogar öff entlich zugänglich sind und die so ein bevorzugtes Angriff sziel für mitunter existenzielle Gefährdungen darstellen. Im Umgang mit diesen „Privilegien“ sorgen Lösungen für Privileged User Manage-ment für die Verwaltung der speziellen Zu-gangsrollen, wie Administrator oder Root Access. Privileged Access Management an-dererseits steuert die generelle oder zeit-gesteuerte Vergabe von besonderen Zu-gangsrechten an bestimmte persönliche Accounts, beispielsweise für Mitglieder der Geschäftsleitung. Privileged Session Management schließlich überwacht und dokumentiert die Vorgänge auf kritischen Systemen und hilft so dabei, die Transpa-renz zu erhöhen und verdächtiges Verhal-ten zu identifi zieren und zu blockieren.

Das Ziel aller integrierten Ansätze in Identity, Access und Privileged User Ma-nagement muss dabei stets sein, hohe Sicherheitsstandards mit einem mög-lichst hohen Komfort und damit hoher Akzeptanz bei den Nutzern in ein Gleich-gewicht zu bringen. Denn sobald Nutzer die angebotenen, sicheren Zugangs- und Nutzungswege als zu aufwendig oder kompliziert empfi nden, werden sie sich vereinfachte Wege und Arbeitsweisen aneignen, die dann wiederum die vorhan-denen Sicherheitsmaßnahmen aushebeln.

Eine gesteigerte Transparenz aller Zugriff e ist zudem ein wichtiger Baustein in Rich-tung der Governance und Compliance mit gesetzlichen Vorgaben. Zentrale Fragen, wie „Wer versucht auf welche Dienste zuzugreifen?“ oder „Wann und von wem wurden bestimmte Daten aufgerufen?“ beantworten zu können, ist ein wesent-licher Bestandteil im Kampf gegen Wirt-schaftsspionage, Sabotage oder Daten-diebstahl. Entsprechende Monitoring- und Steuerungswerkzeuge, wie ein Security In-

formation & Event Management (SIEM) unterstützen hier maßgeblich, indem sie beispielsweise Anomalien oder verdäch-tiges Verhalten in User Accounts identifi -zieren helfen.

Damit das Access-Management seine Auf-gabe als Zugriff skontrollsystem (englisch: Access Control System, kurz ACS) aber überhaupt erfüllen kann, muss zu Beginn die einwandfreie Identifi zierung des An-wenders sichergestellt und hierzu ein ge-eigneter Mechanismus gewählt werden.

Insbesondere der klassische, passwortge-schützte Zugang steht hier zunehmend in der Kritik, denn um ausreichend sicher zu sein, werden Passwortvorgaben im-mer komplexer und daher die Passwörter oftmals entweder unsicher gelagert oder schlicht vergessen. Um dieses Dilemma zu entschärfen und zugleich ein höheres Sicherheitsniveau zu erreichen, werden zu-nehmend erweiterte Authentifi zierungs-methoden und spezialisierte Authentifi -zierungsplattformen eingesetzt, die es erlauben, verschiedene Anmeldetechniken miteinander zu kombinieren und fl exibel einzusetzen. Man spricht hier von „Ad-vanced Authentication Framework” (AAF) beziehungsweise „Multi-Factor Authen-tication“ (MFA). Wie der Name vermuten lässt, werden bei der Zugangserteilung über MFA mehrere Identitätsquellen kom-biniert.

Darüber hinaus koppeln die eff ektivsten Methoden verschiedene Typen von Iden-titätsquellen. Im Idealfall werden bei der MFA mehrere Aspekte kombiniert: etwas, das die Nutzer kennen (zum Beispiel eine PIN), etwas Physisches, das sie besitzen (zum Beispiel eine Schlüsselkarte oder ein Token), und etwas, das ihre Identi-tät nachweist (zum Beispiel ein Finger-abdruck, ein Netzhaut-Scan oder eine Sprach erkennung). Zusätzlich wird durch die zentrale Positionierung der Plattform oft ein implizites Single-Sign-on erreicht, sodass der Anwender nach der ersten si-cheren Authentifi zierung bei der Verwen-dung weiterer Dienste nicht erneut sein Passwort eingeben muss, was eine kom-fortable Nutzung bei gleichzeitig höchst-möglicher Sicherheit gewährleistet. ◀

PRODUKTANBIETER

Seite 65

Seite 68

Seite 70

Seite 72

Seite 94

Seite 95

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 65

Seite 67

Seite 68

Seite 70

Seite 72

5

mit sehr unterschiedlichen Wiederherstel-lungsfenstern (Recovery Time Objectives) und Wiederherstellungspunkten (Recove-ry Point Objectives): Die Sicherungshäufi g-keit und die ab Verlust für den Restore zur Verfügung stehende Zeit variieren stark und erfordern eine vielschichtige Backup-Konzeption.

Den Komplex der Datensicherung beein-fl usst das Datenwachstum also auf zwei grundlegende Weisen: Während das Da-tenwachstum hohe Anforderungen an die Geschwindigkeit der Datensicherung stellt, führt die schwankende Relevanz der Daten für das Tagesgeschäft zu unterschiedlichen Wiederherstellungsszenarien.

Datenwachstum, Backup- Geschwindigkeit und Multistreaming

Unabhängig vom datenspezifi schen Wie-derherstellungsfenster müssen sämtliche Daten gesichert werden. Die regelmäßige

Datensicherung 4.0: Was ändert die Digitalisierung?

Die Digitalisierung erzeugt nicht nur wachsende Datenmengen, sondern auch eine unter Backup- und Restore-Aspekten komplexe Datenstruktur. Während die Daten für das Tagesgeschäft und die Pro-duktion im Verlustfall sehr schnell wieder-hergestellt werden müssen, steht deutlich mehr Zeit zur Verfügung, um langfristig gesammelte Inhalte wiederherzustellen.

Durch Industrie 4.0, Big Data Analysen oder Künstliche Intelligenz entstehen Daten

Die Digitalisierung eröff net eine Vielzahl von Möglichkeiten: Künstliche Intelli-

genz revolutioniert Alltagswelten von kun-denindividuellen Einkaufserlebnissen und Infotainment bis zu autonomem Fahren. Industrie 4.0 erfi ndet Produktionsprozes-se neu und Big Data liefert Antworten auf Fragen, die zuvor nicht einmal gestellt wurden.

Für Unternehmen bedeutet die Digitalisie-rung neben allen Möglichkeiten vor allem eins: starkes Datenwachstum – und damit veränderte Anforderungen an die Daten-sicherung.

Backup und Restore

Stefan UtzingerCEO von NovaStor

Datensicherung 4.0

Schutz & Aufbewahrung großer Datenmengen

Die Digitalisierung verändert nicht nur Industrie- und Alltagswelten, sondern auch die Datensicherung. Große und stark wachsende Daten-mengen erfordern hohe Backup- und Restore-Geschwindigkeiten, und die Datensicherung übernimmt zunehmend Aufgaben der Compliance-gerechten Langzeitaufbewahrung.

Bild

: © de

posit

phot

os.c

om/d

egim

ages

6

Vollsicherung erfolgt in einem begrenzten Backup-Fenster, wobei unter den Vorzei-chen der Digitalisierung das Backup-Volu-men kontinuierlich wächst.

Um die steigenden Datenmengen in kon-stanten Backup-Fenstern zu sichern, haben Unternehmen zwei Optionen: Sie können in neue Speicher investieren oder eine kostenneutrale Lösung wählen, indem sie die Sicherung auf bestehende Speicher be-schleunigen und optimieren. Hierzu lassen sich die Sicherungsdaten in eine fast unbe-grenzte Anzahl von parallelen Strömen mit denselben oder unterschiedlichen Backup-Zielen aufteilen. Jeder einzelne Datenstrom ist deutlich kürzer und damit schneller als der Strom, der nötig wäre, um die Daten in einem einzigen Datenstrom zu übertragen. Dieses sogenannte Multi streaming be-schleunigt die Datensicherung unabhän-gig von der Speichertechnologie und ist ein unerlässlicher Baustein für die Daten-sicherung 4.0: Multistreaming reduziert die Dauer von Sicherungen auf Magnetband wie auf Festplatte gleichermaßen. Und: Wurden die Daten per Multistreaming ge-sichert, kann auch die Wiederherstellung per Multistreaming beschleunigt werden.

Von der Datensicherung zur Langzeitaufbewahrung

Während alle Daten schnell gesichert wer-den müssen, um die Backup-Fenster einzu-halten, variieren die Aufbewahrungsdauer und Wiederherstellungsfenster der Daten stark. Die unterschiedlichen Zeitfenster für die Wiederherstellung der Daten erschlie-ßen kostengünstige und energieeffi ziente Möglichkeiten, Daten als Teil des Backup-Prozesses langfristig aufzubewahren.

Die Geschwindigkeit, mit der die Daten nach einem Verlust wiederhergestellt werden müssen, fi ndet ihre Entsprechung unter anderem in der Wahl der Speicher-technologie für das Backup-Ziel. Empfi ehlt sich bei Daten mit hoher Relevanz für das Tagesgeschäft die primäre Sicherung und sekundäre Auslagerung eine zweistufi ge Backup-Architektur als Disk-to-Disk-to-Tape oder Disk-to-Disk-to-Cloud, bringt die Kate-gorie der Daten mit längerem Restore-Fens-ter eine Disk-to-Tape-to-Tape-Architektur ins Spiel.

Als Offl ine-Medium erfordern Magnetbän-der keinen Strom und müssen geringer gekühlt werden als Festplattensysteme.

Bereits heute erfasst die zentrale Backup-Verwaltung als Teil der Datensicherung und -auslagerung im Medien-Management Magnetbänder, ihre Standorte und Haltbar-keit. Ebenso lassen die Daten sich, wie es die Compliance-gerechte Aufbewahrung erfodert, verschlüsseln. Die rechtskonfor-me Langzeitaufbewahrung auf Tape lässt sich daher mit den existierenden Mitteln der Backup-Lösung effi zient abbilden.

In Verbindung mit einer Datensicherung, die für Geschwindigkeit optimiert ist, blei-ben die auf Tape gelagerten Daten langfris-tig verfügbar und im kurzfristigen – wenn auch nicht sofortigen – Zugriff .

Datenqualifi kation für Daten-sicherung und -aufbewahrung

Noch nie hatten alle Daten die gleiche Dringlichkeit für den Geschäftsbetrieb. Da-ten der aktuellen Produktentwicklung und zum Erbringen von Leistungen für Kunden müssen konstant verfügbar sein. Im Falle eines Verlustes und einer daraus resultie-renden Betriebsunterbrechung zählt jede Minute. Für die Wiederherstellung von Da-ten zur Einhaltung rechtlicher Aufbewah-rungsfristen steht deutlich mehr Zeit zur Verfügung.

Die Qualifi kation von Daten im Rahmen des Backup-Konzeptes gemäß ihrer Dring-lichkeit erhält mit der Digitalisierung eine neue Facette. Hierzu zählen beispielsweise Aufzeichnungen von Testläufen, Angaben zum Kundenverhalten oder die Beobach-tung von Produktionsabläufen mit dem Ziel der langfristigen Optimierung. Diese Daten haben nicht unbedingt rechtliche Relevanz, bieten sich jedoch ebenso wie Abrechnungs- oder steuerrelevante Daten für eine langfristige Aufbewahrung auf Ma-gnetbändern an.

Backup mit Konzept: Wichtiger denn je

Die Kombination aus kurzen Backup-Fens-tern für große Datenmengen und längeren Recovery Time Objectives als Ergänzung der klassischen Business-Continuity-Anforde-rungen kennzeichnet die Datensicherung 4.0. Vor diesem Hintergrund führen Daten-qualifi kation und Backup-Konzept nicht nur zu verlässlicher Datenverfügbarkeit, son-dern erlauben die Umsetzung einer kosten- und energieeffi zienten Datensicherungs- und Aufbewahrungslösung mit Zukunft. ◀

PRODUKTANBIETER

Seite 62

Seite 66

Seite 72

Seite 81

Seite 95

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 72

Seite 81

7

Stefan Mutschler

Business Continuity (BC): Folgen einer Katastrophe planvoll minimieren

Die Strategie für den „Worst Case“

Unternehmen auf Datenverluste und IT-Ausfälle nicht adäquat reagieren, da ein entsprechendes Notfallmanagement fehlt. Für einen eff ektiven BC-Plan bedarf es zunächst einer Untersuchung der IT-Ressourcen und -Prozesse in Bezug auf geschäftliche Relevanz: sind sie geschäfts-kritisch, wichtig oder eher marginal? Ent-sprechend des ermittelten Risikoniveaus gilt es, Sicherheitsmaßnahmen zum Schutz des jeweiligen Elements zu fi nden, zu testen und einzuführen.

Eff ektive Business Continuity bedeutet, Angriff e, Netzwerkprobleme oder Kompo-nentenausfälle vorausschauend zu erken-nen und zu vermeiden. Doch nach wie vor fehlt es in vielen Unternehmen an vielen Stellen: So sind Verantwortliche nicht be-nannt, Ablaufprotokolle nicht klar defi niert und Kommunikationsabläufe nur unzurei-chend festgelegt. Experten machen dafür

Störungen der Betriebsabläufe durch den Ausfall der IT können gerade im Zeitalter der Digitalisierung und der stetig wach-senden Vernetzung in Handel und Indus-trie unkalkulierbare betriebswirtschaftli-che Risiken mit sich bringen.

Einer Befragung des BITKOM im Jahr 2017 zufolge können 52 Prozent der deutschen

Business Continuity (BC) beschäftigt sich mit proaktiven Strategien und

Prozessen, die im Fall einer Naturkata-strophe oder menschlichen Versagens die Aufrechterhaltung oder Wiederherstel-lung elementarer Dienste in einem Un-ternehmen sichern. Für letzteres geht BC oder BC-Management (BCM) in der Regel Hand in Hand mit Desaster Recovery (DR).

Im Alltag wohlgenährter Menschen wird es gerne verdrängt – aber kata-strophale Dinge passieren täglich überall auf der Welt. Unternehmen in Deutschland triff t es glücklicherweise nicht allzu oft, Zahl und Dimensi-on von Naturkatastrophen sind hierzulande (noch) weit geringer als bei-spielsweise im High-Tech-Land USA. Aber auch die Folgen von Unfällen oder menschlichem Versagen können für Unternehmen katastrophale Konsequenzen haben. Dann braucht man einen Plan, der mit kühlem Kopf ausgeklügelte, konkrete Schritte beschreibt, wie sich der Betrieb des Unternehmens aufrechterhalten oder zumindest schnellstmöglich wiederherstellen lässt.

Business Continuity

Bild

: © de

posit

phot

os.c

om/F

lashD

evelo

p

8

gerne einen Mix aus lückenhafter Tech-nologie, fehlerhaften Notfallkonzepten und optimierungsbedürftigen Prozessen verantwortlich. Als valide Rahmenbedin-gungen für ein proaktives Business-Con-tinuity-Management empfehlen sie, zwei Ziele konsequent zu verfolgen: Erstens, die Transparenz sicherzustellen und zweitens, beim Monitoring des Betriebs Anomalien statt Gefährdungen zu fokussieren: „Das Monitoring muss vollumfänglich über-wachen und ein Komplettbild des jewei-ligen Steuernetzes abbilden können“, so etwa Claas Rosenkötter, Product Marke-ting Manager bei EPCOS. „Aktuell können die daran gebundenen Anforderungen ausschließlich industrielle Deep-Packet-Inspection-Technologien leisten.“

Das Bundesamt für Sicherheit in der Infor-mationstechnik (BSI) hat zum Thema BC den Standard BSI 100-4 „Notfallmanage-ment“ als Ergänzung zum IT-Grundschutz erstellt. Das sowohl in elektronischer Form als auch als gedrucktes Buch erhältliche Werk beschreibt einen systematischen Weg, ein Notfallmanagement in einer Be-hörde oder einem Unternehmen aufzu-bauen, um die Kontinuität des Geschäfts-betriebs sicherzustellen.

Externe Rechenzentren als BC-Wegbereiter

Nachdem die IT in den meisten Unter-nehmen das Rückgrat des Business bildet, stehen der Erhalt, beziehungsweise die schnelle Wiederherstellung der IT-Funkti-onen in den meisten Unternehmen ganz oben auf der Liste. Gerade Wiederherstel-lungstechniken und -Strategien sind so vielfältig wie die Katastrophenszenarien, für die sie entwickelt werden. Neue Tech-nologien sorgen für verkürzte Wiederher-stellungszeiten und helfen bei der Risiko-minimierung. Ob redundante Server oder robuste Rechenzentren, Unternehmen haben viele Möglichkeiten, ihre Risiken zu minimieren. Viele sind damit jedoch sowohl technisch als auch wirtschaftlich überfordert. Die Auslagerung von IT- und Datensicherheit in externe Rechenzentren steht daher inzwischen hoch im Kurs, denn über den Einsatz von Cloud Computing, Virtualisierung und Mobility-Lösungen lassen sich die Kosten für Business-Con-tinuity-Management deutlich reduzieren.

Auch die Wiederherstellungstechnik er-lebt derzeit dank Cloud Computing einen

tiefgreifenden Umbruch. Durch Virtualisie-rung können Unternehmen sowohl logisch als auch physisch vielfältige Wiederher-stellungsoptionen in der Cloud anlegen. „Cloud-Lösungen sind einfacher zu imple-mentieren als eigene Lösungen, werfen ihrerseits jedoch BC/DR-relevante Fragen auf“, so Gerald Rubant, Sales Director bei Colt Technology Services. Er verweist dabei auf die Wichtigkeit eines oft als selbstver-ständlich geltenden Elements: des zugrun-deliegenden Netzwerks. Bei der Wahl des entsprechenden Carriers empfi ehlt er, vier Kernfragen genau zu analysieren:

1. Kann die physische Routenvielfalt de-monstriert werden?

2. Wie sind die Rechenzentren bezüglich Stromversorgung, Sicherheit, Kühlung und Verbindungsvielfalt ausgestattet?

3. Wird Kommunikationstechnik der Netzbetreiber verwendet?

4. Deckt das SLA die Dienste Ende-zu-Ende ab?

Die Wichtigkeit einer soliden Kommuni-kationsverbindung ergibt sich auch aus der Tatsache, dass Unternehmen mehr und mehr selbst ihre geschäftskritischen Applikationen in die Cloud verlagern. Die Business-Continuity-Herausforderung für Unternehmen verlagert sich damit dahin, den Zugang zu Cloud-Ressourcen zuverläs-sig und leistungsstark zu gestalten. Dabei geht es keineswegs nur um den Katastro-phenfall. Auch die Unterbrechung des Zu-griff s durch Software-Fehler beim Provider, Stromausfälle, Bandbreiten-Missbrauch oder Baustellen können die Geschäftstä-tigkeit unmittelbar beeinträchtigen. Für die Verbindung zum Carrier empfi ehlt sich deshalb der Einsatz moderner Next Gene-ration Firewalls, die dafür sorgen, dass die geschäftskritischen Daten zwischen End-geräten, On-Premise-Systemen und Cloud-Instanzen unterbrechungsfrei fl ießen. Die erweiterten Steuerungs- und Diagnose-funktionen einer solchen Firewall erlauben die Priorisierung von geschäftskritischem Datenverkehr und die Konfi guration des optimalen Wegs einer Datenverbindung. Idealerweise sollten in die Wegewahl zu-sätzlich noch Informationen über die Ver-fügbarkeit und Qualität der Verbindung mit einbezogen werden. Das sorgt für eine stabile Verbindung. ◀

PRODUKTANBIETER

Seite 62

Seite 66

Seite 77

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 72

Seite 83

Seite 93

9

ADVERTORIAL

AUSFALLSICHERHEIT LÄSST SICH PLANEN

So sichern Unternehmen ihre geschäftskritischen IT-Systeme BERND HANSTEIN, Hauptabteilungsleiter Produktmanagement IT, Rittal, Herborn

können. Die einfachste Form ist die N+1-Re-dundanz. Hier wird zusätzlich zu den benö-tigten Einheiten eine weitere Komponente bereitgestellt – also die benötige Einheit N (= Need) plus eins. Fällt in einer solchen Ar-chitektur eine Komponente aus, übernimmt die Standby-Einheit.

Ausgehend von diesen theoretischen Über-legungen erfolgt die Optimierung der Aus-fallsicherheit auf Hardware-Ebene über die Gewerke Strom, Kühlung und Monitoring.

Mit A/B-Einspeisung die Stromversorgung sichern

Die Energieversorgung zu sichern, ist eine zentrale Aufgabe beim Betrieb von Rechen-zentren. Netzschwankungen und kurzzei-tige Ausfälle werden durch batteriegepuf-ferte USV-Anlagen abgesichert. Arbeitet die USV mit einer modularen Architektur, muss die Gesamtanlage nicht vollständig redundant ausgelegt werden. Vielmehr können ein oder zwei USV-Module dafür vorgesehen werden, um den Ausfall eines anderen Moduls aufzufangen. Der Vorteil sind geringe Kosten, da weniger Standby-Einheiten benötigt werden. Dies lässt sich um das 2N-Konzept erweitern: Hier speisen zwei unterschiedliche Netzzuleitungen die

sondern macht konzeptionelle Vorgaben für eine „sehr hohe Verfügbarkeit“. So sieht die VK 4 eine Auslegung mit Systemredun-danzen vor, schlägt also doppelte Versor-gungspfade vor, jedoch nur ein Kälteversor-gungspfad. Eine weitere Klassifizierung zur Ausfallsicherheit kommt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), das die VK 4 mit 99,999 Prozent defi-niert, was eine Ausfallzeit von 26 Sekunden im Monat beziehungsweise 6 Minuten im Jahr erlaubt.

Ausfallsicherheit – viel hilft viel

Den Anforderungen einer hohen Ausfallsi-cherheit begegnen IT-Verantwortliche über das Konzept einer redundant ausgelegten Infrastruktur. Im Bereich der IT bedeutet Redundanz, dass funktional vergleichbare Ressourcen doppelt vorgehalten werden. Es werden also Überkapazitäten geschaffen, um einen Hardware-Ausfall ausgleichen zu

Die Verfügbarkeit einer IT-Umgebung lässt sich, gemäß der amerikanischen Beratungs-gesellschaft Uptime Institute, in die vier Verfügbarkeitsklassen Tier 1 bis Tier 4 ein-stufen. Die niedrigste Tier-1-Stufe erlaubt eine jährliche Ausfallzeit von rund 29 Stun-den und kommt ohne Redundanzen für die Energie- und Kälteverteilung aus. Am ande-ren Ende der Skala erlaubt die Tier-4-Klas-sifizierung nur 0,4 Stunden Ausfallzeit im Jahr. Hier sind Versorgungswege mehrfach doppelt ausgelegt, und eine Wartung ist im laufenden Betrieb möglich, ohne dass es zu einem IT-Stillstand kommt.

In Europa orientieren sich Unternehmen heute an der DIN EN 50600. Diese Norm macht mit einem ganzheitlichen Ansatz umfassende Vorgaben für die Planung, den Neubau und den Betrieb eines Rechenzen-trums. Die dort definierte höchste Verfüg-barkeitsklasse 4 (VK 4) gibt keine konkreten quantitativen Angaben zu Ausfallzeiten,

Jedes Rechenzentrum kann theoretisch einmal ausfallen. Eine systematische Pla-nung hilft dabei, Komponenten wie Strom, Kühlung oder das Monitoring vor ei-nem Ausfall zu schützen. Bei dezentral aufgebauten Edge-Rechenzentren sorgt beispielsweise eine modulare Bauweise für eine verbesserte Betriebssicherheit durch die eingebaute Redundanz. Was IT-Verantwortliche bei der Realisierung von ausfallsicheren Rechenzentren beachten sollten, zeigt der folgende Beitrag.

Hauptaufgabe einer DCIM-Software ist die Echt-zeit-Überwachung der physischen Infrastruktur eines Rechenzentrums mittels einer entsprechen-den Sensorik. Eine modular aufgebaute DCIM-Anwendung, wie RiZone von Rittal, ist auch in kleinen Umgebungen sinnvoll einsetzbar und schnell implementierbar. Bei Bedarf überwacht sie auch komplexe Infrastrukturen.

USV-Systeme. Diese sogenannte A/B-Ein-speisung sorgt dafür, dass die Energiever-sorgung immer über eine Zuleitung gesi-chert wird. Bei höchster Ausfallsicherheit werden die einzelnen Energiepfade bis auf Ebene der IT-Racks redundant ausgelegt. Ein automatischer Transferschalter (STS – Static Transfer Switch) schaltet die jeweils aktive Energiequelle automatisch auf den Strompfad, sodass zu jeder Zeit die Strom-versorgung gesichert ist.

IT-Kühlung gegen Stromspitzen schützen

Eine weitere kritische Komponente im Re-chenzentrum sind die Kühlsysteme: Fällt die Kälteerzeugung aus, besteht die Ge-fahr einer Überhitzung und Beschädigung der Server. Wird höchste Ausfallsicherheit benötigt, sollte die IT-Kühlung um eine USV-Anlage ergänzt werden, um Strom-spitzen und Schwankungen im Stromnetz auszugleichen. Der Fachbegriff für eine un-terbrechungsfreie IT-Kühlung: „Continuous cooling“. Darüber hinaus wird bei Kühlsys-temen üblicherweise keine A/B-Absiche-rung der Energieversorgung verwendet. Auch werden keine doppelten Wasserkreise installiert.

Für eine Notkühlung kann es unter Umstän-den genügen, die Türen der IT-Racks über eine Automatik zu öff nen, um so einen Hitzestau zu verhindern. Letztlich geht es aber bei einem Ausfall der Kühlung primär darum, die Server schnell und ohne Daten-verlust herunterzufahren, um die Hardware vor Folgeschäden zu schützen.

Energieversorgung für das Monitoring beachten

Der dritte Aspekt auf Hardware-Ebene ist das Monitoring. Das zur Überwachung der Infrastruktur verwendete Monitoring-Sys-tem sollte über eine redundante Stromver-sorgung gesichert werden. So ist es möglich, zusätzlich zu einem regulären Stromkreis das System über PoE (Power over Ethernet) abzusichern. Höchste Sicherheit bietet eine vollständig gespiegelte Monitoring-Platt-form, die dann zum Beispiel als Monitor A und Monitor B Instanz arbeitet.

Kann man den Totalausfall absichern?

Für eine abschließende Risikobewertung sollten Unternehmen die drei Gewerke Strom, Kühlung und Monitoring im Detail analysieren. Um potenzielle Schwachpunk-te zu entdecken und konkrete Angaben für

die Risikobewertung zu erhalten, werden verschiedene Szenarien gedanklich durch-gespielt. Hier hilft die Fragestellung „Was passiert, wenn …“. Mögliche Szenarien könnten sein, dass ein Bagger eine Strom-leitung kappt, dass ein Chiller wegen einem Hardware-Defekt ausfällt oder dass ein Sys-temfehler wegen Ausfalls des Monitorings mehrere Stunden unbemerkt bleibt. IT-Ma-nager sollten auch die operativen Folgepro-zesse und Meldeketten im Detail analysie-ren. Fällt zum Beispiel die IT-Kühlung aus, bleiben mitunter nur wenige Minuten an Reaktionszeit, bis die Hardware beschädigt wird oder es sogar zu einem Brand kommt. Auch Meldeketten sind zu prüfen und mit Personaleinsatzplänen abzugleichen, damit Administratoren keine Warnmeldungen er-halten, wenn sie in Urlaub oder zu Hause sind. In der Praxis zeigt sich immer wieder, dass diese Meldeketten unsauber defi niert sind oder nicht ausreichend aktuell gehal-ten werden, sodass kritische Warnmeldun-gen ins Leere laufen könnten.

Welche Art von Hochverfügbarkeit letzt-lich benötigt wird, muss jede Organisati-on individuell bestimmen. Bei IT-Anlagen in der Produktion können beispielsweise Wartungsintervalle in der Fabrikhalle auch für den IT-Service genutzt werden. Damit wäre eine Tier-2-Verfügbarkeit mit einer N+1-Redundanz ausreichend. Weiterhin können große Maschinen beim Anfah-ren zu Stromschwankungen innerhalb der Fabrikhalle führen, sodass zusätzliche USV-Anlagen die IT sowie die Kühlsysteme schützen sollten.

Skalierbares Monitoring für Edge-Infrastrukturen

Darüber hinaus sollten IT-Manager schon heute mit Blick auf künftige IT-Infrastruk-turen das Monitoring planen: Dezentral betriebene Edge-Rechenzentren verlangen angepasste Konzepte an Überwachung und Systembetrieb. Hier kann es sinnvoll sein, Cloud-basierende DCIM-Lösungen (Data Center Infrastructure Management) als Service zu nutzen. Der Vorteil: das Mo-nitoring skaliert in gleicher Weise wie die

Edge-Infrastruktur. Bei einer dezentralen Edge-Infrastruktur wäre es beispielsweise schnell möglich, über einen zusätzlichen Container eine N+1-Redundanz aufzubau-en. Alternativ sind Redundanzen über die modulare Bauform möglich, wenn also eine oder zwei Komponenten als Standby-Modul konzipiert werden – ähnlich wie dies bei USV-Systemen bereits praktiziert wird.

Fazit

Wer ein Konzept für höchstmögliche Ausfallsicherheit benötigt, betreibt seine Rechenzentren an zwei getrennten, nicht öffentlich erkennbaren Standorten mit Mindestentfernungen und gespiegelten Komponenten. Verwendet ein Unterneh-men für seine IT-Infrastruktur überwiegend Standardkomponenten, so lassen sich diese im Fehlerfall schneller austauschen. Damit sinken die Ausfallzeiten und nebenbei wird auch die Komplexität im Rechenzentrum verringert.

Zusätzlich sollte der IT-Betrieb durch ein umfassendes Business Continuity Manage-ment abgesichert werden, um ein Konzept zur Weiterführung operativer Geschäftsab-läufe zu haben, falls es dennoch zu einem Ausfall kommt. Letztlich muss jedoch jeder verantwortliche Manager für seine Orga-nisation evaluieren, welche Auswirkungen ein IT-Ausfall hat und dementsprechend ein individuelles Konzept für die Ausfallsicher-heit realisieren. ◾

SO ERKENNEN SIE, OB EIN ERHÖHTES IT-AUSFALLRISIKO IM RECHENZENTRUM BESTEHT.• Die prinzipiellen Risiken im Rechenzentrum sind nicht defi niert; z. B. reichen Laufzeiten der

Dieselgeneratoren aus für Notfallmaßnahmen?• Im IT-Betrieb traten vereinzelt Störfälle auf, die sich nicht eindeutig klären ließen.• Ein Krisenhandbuch für Störfälle ist unvollständig und veraltet; Maßnahmen werden nicht

regelmäßig geübt.• Meldeketten für IT-Störungen wurden bislang nicht auf Logik und Durchgängigkeit geprüft.• Die Ausgestaltung von IT-Wartungsverträgen und Verantwortlichkeiten ist in

Teilbereichen unklar.• Der Lebenszyklus von Infrastrukturkomponenten wird nicht durchgängig erfasst.• Die IT-Experten sind nicht ausreichend geschult für die Bedienung der Klimageräte.

Physische Sicherheit für die IT: Die Micro Data Center von Rittal sorgen für bedarfsgerechten Schutz – bis F90 und IP 56.

Dr. Bruno QuintDirector Cloud Encryption bei Rohde & Schwarz Cybersecurity

Cloud Security: Neue Ansätze für mehr Datensicherheit

Cloud Security

365 oder SharePoint, jedoch auch enorme technische und organisatorische Risiken. Diese werden dadurch vergrößert, dass viele Benutzer über eigene Endgeräte auf solche Cloud- und Collaboration-Lösungen zugreifen. Die Gefahr ist real: Beispielswei-se sind Angriff e auf cloudbasierte Benut-zerkonten von Microsoft in einem Jahr um 300 Prozent gestiegen.

Die Folgen von Cyberangriff en auf die in der Cloud gespeicherten Daten reichen

Cloud-Lösungen sind in Unternehmen und Behörden nicht mehr wegzuden-

ken. Sie spielen eine zentrale Rolle bei di-gitalen Geschäftsprozessen, ermöglichen Kosteneinsparungen durch günstigen Speicherplatz und gestatten den mobilen und fl exiblen Zugriff auf Unternehmens-informationen. Dadurch bieten Cloud-Lösungen Chancen für Unternehmen und Behörden aller Größen. Gleichzeitig bergen Cloud-Umgebungen und Collabora tion-Tools, wie zum Beispiel Microsoft Offi ce

vom Verlust sensibler Unternehmensin-formationen und des geistigen Eigentums, über hohe fi nanzielle Schäden durch Sa-botage und mögliche Produktionsausfälle, bis hin zu anhaltenden Imageschäden und Geldstrafen wegen mangelnder Einhal-tung von Datenschutz- und Sicherheits-standards.

Dementsprechend hat sich das Angebot an Sicherheitslösungen, die für Private Clouds (von Unternehmen selbst betrie-bene Clouds), Public Clouds (von externen IT-Dienstleistern betriebene Clouds) und Collaboration Tools (z. B. MS SharePoint und Azure) konzipiert sind, in den letzten Jahren stark vergrößert.

Viele IT-Sicherheitsfi rmen bieten ihren Kunden mittlerweile eine neue Katego-rie an Cloud-Sicherheitslösungen an, so-genannte Cloud Security Access Broker (CASB). CASB stellen eine sichere Schnitt-

Immer mehr Unternehmen setzen auf Cloud-Lösungen und Collabora-tion Tools für mobiles und fl exibles Arbeiten. Dadurch entstehen sowohl Chancen als auch Risiken für die Datensicherheit und den Datenschutz. Unternehmen müssen ihre Daten vor Cyberangriff en in der Cloud und auf dem Übertragungsweg schützen. Dies wird auch vom Gesetzgeber, beispielsweise in der Europäischen Datenschutz-Grundverordnung, ver-mehrt verlangt. Momentan befi ndet sich eine Vielzahl von Cloud-Securi-ty-Lösungen auf dem Markt, die sich in puncto Sicherheit jedoch deutlich voneinander unterscheiden.

Bild

: © Fo

tolia

.com

/Mak

sym

Yem

elyan

ov

12

stelle zwischen der Cloud und dem Nutzer dar. Sie regeln sowohl die Authentifi zie-rung der Anwender als auch die Zugriff s-rechte auf Dateien und Applikationen in der Cloud. Hinzu kommen die Konfi gura-tion von Sicherheitsrichtlinien, die Proto-kollierung der Zugänge und Tools zur Er-kennung von Malware sowie die Kontrolle der Endgeräte, die auf Daten in der Cloud zugreifen.

Doch CASB, die die Cloud-Sicherheit erhö-hen, bieten allein noch keinen ganzheit-lichen Schutz. Das liegt vor allem daran, dass die meisten CASB kein Verschlüsse-lungssystem nutzen. Sie kontrollieren zwar den Zugriff auf die Daten in der Cloud, die Daten selbst jedoch bleiben unverschlüs-selt. Soll die Nutzung von Cloud-Diensten und Collaborations-Plattformen den höchsten Anforderungen an die Sicherheit entsprechen, bedarf es der Verbindung eines CASBs mit einem Verschlüsselungs-system für Daten und Dokumente. Eine solche Lösung bietet proaktiven Schutz für Unternehmen und Behörden, die ihre sensiblen Dokumente vor fremdem Zu-griff und gegen Angriff e auf die Cloud so-wie Spionage auf dem Übertragungsweg schützen wollen.

Einen weiteren eff ektiven Sicherheitsme-chanismus bietet die Fragmentierung der Daten, die in Clouds gespeichert werden. So werden beispielsweise Dokumente vor Cyberangriff en und unbefugten Zugrif-fen geschützt, indem diese nie vollstän-dig einsehbar sind und in der Cloud nur in Fragmenten hinterlegt sind. Selbst im Falle eines erfolgreichen Angriff s auf die Cloud blieben die vertraulichen Inhalte für Angreifer unlesbar.

Die Tendenz, weg von reaktiven Sicher-heitslösungen, die allein auf bereits be-

kannte Cyberrisiken reagieren, hin zu proaktiven Lösungen, die Angriff e von Anfang an mittels Verschlüsselung und Fragmentierung abwehren, wurde mit dem Aufkommen der EU-Datenschutz-Grundverordnung (EU-DS-GVO) beschleu-nigt. Alle Unternehmen in der EU sind mit ihr zur Einhaltung härterer Datenschutz-standards verpfl ichtet. Laut Gesetzestext muss die Sicherheit personenbezogener Daten durch geeignete technische und or-ganisatorische Maßnahmen gewährleistet werden. Diese Maßnahmen sehen explizit auch die Verschlüsselung als Instrument für die Gewährleistung der Vertraulichkeit von Daten sowie der Integrität und Ver-fügbarkeit von Systemen und Diensten vor.

Bei der Vielzahl an Cloud-Sicherheitslö-sungen, die heutzutage auf dem Markt erhältlich sind, ist es für Unternehmen und Behörden nicht leicht, sich für die richtige zu entscheiden. Die Wahl der passenden Lösung ist schlussendlich von den verlagerten Datenmengen, ihrer Emp-fi ndlichkeit und der Anzahl der Endgeräte abhängig, die mit der Cloud verbunden sind. Für Unternehmen und Behörden, die hochsensible Daten in Clouds teilen und mit ihnen arbeiten, reichen herkömmliche Cloud-Lösungen allein nicht mehr aus. Für diese bietet der Markt CASB an, die durch einzelne Sicherheitsmechanismen inte-griert werden können. Ein CASB, der dem heutigen Stand der Technik entspricht, verbindet Zugangskontrolle, Verschlüsse-lung und Fragmentierung. Unternehmen können mit solchen Systemen ihre Daten vor fi rmeninternen und externen Cyberan-griff en schützen und dabei das Potenzial von Cloud und Collaboration-Lösungen vollends ausschöpfen. ◀

Rohde & Schwarz CybersecurityDas IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity schützt Unterneh-men und öff entliche Institutionen weltweit vor Cyberangriff en. Mit hochsicheren Verschlüsselungslösungen, Next-Generation-Firewalls und Firewalls für geschäftskri-tische Webanwendungen, innovativen Ansätzen für das sichere Arbeiten in der Cloud sowie Desktop und Mobile Security entwickelt das Unternehmen technisch führende Lösungen für die Informations- und Netzwerksicherheit. Das Angebot der mehrfach ausgezeichneten und zertifi zierten IT-Sicherheitslösungen reicht von kompakten All-in-one-Produkten bis zu individuellen Lösungen für kritische Infrastrukturen. Im Zentrum der Entwicklung von vertrauenswürdigen IT-Lösungen steht der Ansatz „Se-curity by Design“, durch den Cyberangriff e proaktiv statt reaktiv verhindert werden. Über 500 Mitarbeiter sind an den Standorten in Deutschland, Frankreich, Spanien und den Niederlanden tätig.

PRODUKTANBIETER

Seite 66

Seite 72

Seite 76

Seite 80

Seite 86

Seite 88

Seite 89

Seite 92

Seite 94

Seite 95

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 68

Seite 72

Seite 80

Seite 89

13

14

. ◀

Christian R. KastFachanwalt für IT-Recht

DS-GVO – Mit Übersicht zum ZielSchritt für Schritt zur erfolgreichen Umsetzung*)

Compliance/GRC

Noch immer hinken viele Unternehmen der Umsetzung der seit Ende Mai 2018 geltenden Datenschutzgrundverordnung (DS-GVO) hinterher. Grundsätzlich gilt das Gesetz für alle Unternehmen, die einen Sitz oder eine Niederlassung in der EU haben oder die Angebote bereithalten, die sich an Personen innerhalb der EU richten. Die Verordnung gibt vor, wie personenbezogene Daten durch defi nierte organisatorische Prozesse und technische Maßnahmen zu schützen sind. Ziel war und ist es, den vielfach lockeren Umgang mit personenbezogenen Daten zu unterbinden und dafür zu sorgen, dass personenbezogene Daten mit höchster Vertraulich-keit und Sicherheit behandelt werden.

ist es, die eigenen Prozesse DS-GVO-kon-form zu gestalten.

Dazu empfi ehlt sich ein sechsstufi ges Vor-gehensmodell zur Realisation der neuen Rechtslage. Anhand des Modells lassen sich auch schon vorhandene Umsetzun-gen gezielt überprüfen.

Schritt für Schritt zur DS-GVO-Compliance

1. Grundsteine legenZunächst muss das Management sensibi-lisiert, müssen Leitfäden und Auslegungs-hilfen herangezogen und Schwerpunkte defi niert werden. Dann geht es darum, ein DS-GVO-Projekt aufzusetzen und diesem die entsprechenden Ressourcen zuzuord-nen. Wichtig: Die Umsetzung der DS-GVO-Compliance liegt in der Verantwortung der Geschäftsführung. Sicherlich kann das Projekt an sich federführend durch die IT

davor verschließen und hoff en, dass sein Unternehmen bei einer Prüfung mit einem blauen Auge davonkommt. Wer glaubt, er könnte nach Anzeige eines Verstoßes und der Ankündigung einer Kontrolle noch Kor-rekturen vornehmen, der irrt. Alle Rechte der DS-GVO können binnen kurzer Frist ausgeübt werden, sodass faktisch „nach-trägliche“ Dokumentationen oder Ände-rungen unmöglich sind. Umso wichtiger

Die DS-GVO enthält neben verschie-denen Maßnahmen, welche die Auf-

sichtsbehörden anordnen können, auch drastische Sanktionen: Bis zu 20 Millio-nen Euro oder vier Prozent des weltwei-ten Gesamtumsatzes eines Unternehmens kann die Strafe betragen – je nachdem wie schwerwiegend die Missachtung der Si-cherheit der personenbezogenen Daten ist. Deshalb sollte niemand die Augen Bi

ld: ©

depo

sitph

otos

.com

/eve

ryth

ingp

oss

mit Unterstützung der Fachabteilungen realisiert werden, die Haftung liegt aber letztlich bei der Geschäftsleitung.

2. Bestandsaufnahme durchführenNun sind die Prozesse der Datenverarbei-tung zu untersuchen, die bestehenden Compliance-Maßnahmen zu identifi zieren und Veränderungen bei den Datenverar-beitungsaktivitäten zu verfolgen. Dabei sind Datenströme und -speicher innerhalb des Unternehmens genauso relevant wie deren Austausch mit Dritten. Es sollte auch geprüft werden, ob das Unternehmen ei-nen Datenschutzbeauftragten benennen muss. Dieser sollte im Folgenden in die Umsetzung der weiteren Schritte mitein-bezogen werden.

3. Analyse und Ableitung von Handlungs-notwendigkeitenEs gilt, die gesammelten Informationen zu systematisieren und auszuwerten. Dabei sollte auf vorhandenen Verfahren und In-strumenten aufgebaut werden. Schwach-stellen müssen identifi ziert und Spielräu-me ausgelotet werden können. Schließlich muss ein Projektplan mit Abhilfemaß-nahmen aufgesetzt werden. Wichtig: Die Priorisierung der einzelnen Schritte und deren Abhängigkeit voneinander sollten dokumentiert werden.

4. UmsetzungNun sind neue Richtlinien und Aufsichts-strukturen einzuführen sowie notwendi-ge technische Änderungen vorzunehmen. Wichtig ist dabei, dass bei der Umsetzung die verfahrensmäßigen DS-GVO-Vorgaben eingehalten werden. Deshalb müssen Ver-antwortlichkeiten neu zugeordnet und Mitarbeiter geschult werden. Damit dies gelingt, empfi ehlt es sich, die Mitarbeiter bereits sehr frühzeitig in den Prozess ein-zubinden, damit sie die Notwendigkeit der Änderungen nachvollziehen und die neuen Prozesse ihrerseits unterstützen können.

5. Feinschliff Idealerweise werden jetzt Maßnahmen mit geringerer Priorität realisiert und ein Reaktionsplan für zukünftige Änderungen aufgestellt.

6. ÜberwachungDie DS-GVO-Compliance sollte konse-quent überwacht werden. Es sind Schu-lungsprogramme zu etablieren, Leitlinien auszuarbeiten und nationale Ausnahme-

regelungen und deren Folgen zu beobach-ten. Die Abläufe sollten dabei möglichst so gestaltet sein, dass sie sich problemlos in die üblichen Unternehmensprozesse inte-grieren lassen, denn nur so lässt sich eine kontinuierliche Compliance realisieren.

Der Experten-Tipp

Vor der Umsetzung dieser Schritte empfi ehlt sich durchaus eine Rückver-sicherung bei einem Datenschutz-Spe-zialisten. In Deutschland gibt es eine Vielzahl von Fachanwälten, die sich auf IT-Recht und Datenschutz spezialisiert haben. Außerdem stehen im Internet, insbesondere auch auf den Seiten der Aufsichtsbehörden und in entsprechen-den Expertenforen, Whitepaper oder Best Practices zur Verfügung.

Darüber hinaus ist es auch denkbar, anlässlich der Einführung der DS-GVO einen sogenannten „Data Process Ma-nager“ zu benennen und mit dem Pro-jekt zu betrauen. Data Process Manager verfügen in der Regel über einen juris-tischen oder technischen Background und haben zudem konkrete Erfahrung in der Unternehmens-IT. Vielfach han-delt es sich um IT-Profi s, mit ITIL-Er-fahrung, Audit-Kenntnissen und einer weitreichenden Expertise im Bereich Compliance.

Fazit

Die DS-GVO ist weniger eine Bedrohung als vielmehr eine Chance. Sie liefert einen Anlass, Prozesse zu digitalisieren, Struk-turen neu zu ordnen und das Business zukunftssicher aufzustellen. Man sollte die DS-GVO auch nicht als Einschrän-kung empfi nden und behandeln, sondern vielmehr zum Anlass nehmen über neue Grundsätze in puncto Datensicherheit zu refl ektieren -- schließlich sind dergleichen Regelungen kein Selbstzweck, sondern sol-len helfen, die internationale Wirtschaft und ihre Prozesse abzusichern. Darüber hinaus wird insbesondere die Datensi-cherheit auch aus Kundensicht künftig ein Merkmal sein, das über das Eingehen einer Kundenbeziehung entscheiden kann. ◀

*) Stark gekürzte Fassung. Der Originalbeitrag in voller Länge ist in IT-SICHERHEIT 2/2018 erschienen.

PRODUKTANBIETER

Seite 72

Seite 77

Seite 88

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 65

Seite 67

Seite 68

Seite 70

Seite 72

Seite 93

15

ADVERTORIAL

BESONDERE HERAUSFORDERUNG FÜR FINANZINSTITUTE: EU-DS-GVO UND BAIT

Wer darf was? – Zugriffsrechte sicher verwaltenJÜRGEN BÄHR, Geschäftsführer bei G+H Systems

wieder neu zugeordnet werden, das heißt alte Berechtigungen werden entfernt und neue hinzugefügt. Immer wieder kommt es so zur Ansammlung von fehlerhaften Berechtigungen, die in der komplexen IT-Landschaft schnell übersehen werden. Diese Unregelmäßigkeiten in der Berech-tigungsvergabe können jedoch schwer-wiegende Folgen für das Unternehmen haben. Sie gefährden die firmeninterne IT-Sicherheit und können zu den erwähnten Bußgeldern führen.

Sicherheitslücke: fehlerhafte Berechtigung

Finanzinstitute wie Banken stellen hier ei-nen Sonderfall dar. Sie tragen die Verant-wortung für Tausende personenbezogene Datensätze sowie hochsensible Informati-onen. Dazu zählen neben Kundeninforma-tionen – wie Name und Anschrift – auch bedeutsame Kontodetails. Auch deshalb geraten Banken häufig ins Visier von Ha-ckern, die für diese Informationen auf dem Schwarzmarkt horrende Summen erhalten. Ein weiterer Grund ist noch naheliegender: Die Gruppe MoneyTaker erbeutete in den Jahren 2016 und 2017 bei mehreren Cyber-attacken auf zwanzig Banken über zehn Millionen US-Dollar. Dazu infiltrierten sie die Systeme der Banken und verschafften sich nach und nach höhere Rechte. Diese nutzten sie, um zum Beispiel Geldkarten zu bestellen, deren Limit zu entfernen und an-

Anforderungen drohen hohe Strafen. Die Regelung sieht Bußgelder vor von bis zu 20 Millionen Euro beziehungsweise vier Pro-zent des Jahresumsatzes.Doch insbesondere bei Unternehmen mit komplexen IT-Landschaften fehlt es den Ad-ministratoren an den passenden Lösungen. Bei der Kontrolle von Zugriffsberechtigun-gen zum Beispiel brauchen sie praktikable Lösungen zur übersichtlichen Darstellung der Rechtestrukturen. Diese Darstellung hilft, Verstöße aufgrund von fehlerhaften Berechtigungen zu vermeiden. Kommt es dennoch zu einem Verstoß, wird die Ursa-che schnell erkannt. Zusätzlich liefert die Lösung wichtige Informationen für die Mel-dung an die Aufsichtsbehörden und eine Schließung der Lücke. Nicht nur in großen Unternehmen ist die transparente und aktuelle Darstellung der Mitarbeiterberechtigungen eine Herausfor-derung: Zahlreiche Mitarbeiter mit ständig wechselnden Zuständigkeiten nutzen tag-täglich viele verschiedene Systeme. Ändern sich die Zuständigkeiten innerhalb der Be-legschaft, müssen auch die Berechtigungen

Nach dem Stichtag müssen Unternehmen personenbezogene Daten gegen Verlust und unbeabsichtigte Änderungen sichern.1 Zu diesem Zweck schreibt der Gesetzgeber mit der DS-GVO unter anderem die regel-mäßige „Überprüfung, Bewertung und Eva-luierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verar-beitung“2 vor. Dies gilt auch für die Mitar-beiterzugriffsberechtigungen für Daten in Unternehmen. Hinzu kommen weitere technische und or-ganisatorische Schutzmaßnahmen. Die DS-GVO verpflichtet Unternehmen außerdem dazu, Verletzungen des Datenschutzes in-nerhalb von 72 Stunden einer Aufsichtsbe-hörde zu melden.3 Bei besonders schweren Fällen müssen sie zusätzlich die betroffene Person benachrichtigen. Bei Datenschutz-verletzungen dürfen Unternehmensver-antwortliche also keine Zeit verlieren. Das betroffene Unternehmen muss schnell nachweisen können, dass alle vorgeschrie-benen Maßnahmen zum Schutz der Daten erfüllt wurden. Bei Nichteinhaltung der

Die Europäische Datenschutz-Grundverordnung (EU-DS-GVO) regelt seit dem 25. Mai 2018 den Schutz personenbezogener Daten. In vielen Unternehmen über-wiegt die Unsicherheit, und IT-Verantwortliche wissen oft noch nicht genau, was zu tun ist. Dabei gibt es Software-Tools, die die Umsetzung stark vereinfachen können. Für die sichere Verwaltung der Zugriffsrechte erfüllt eine EU-DS-GVO-konforme Access-Governance-Lösung die Anforderung. Zudem entlastet das Sys-tem die IT-Abteilung und spart Kosten.

Bild

: © Fo

tolia

.com

/sellin

gpix

schließend damit Geld abzuheben.4 Nicht selten werden derartige Cyberangriff e auch durch Insider, also eigene Mitarbeiter einer Organisation, durchgeführt oder vorberei-tet beziehungsweise unterstützt. Durch fehlerhafte, unkontrollierte Berechtigun-gen entstehen also schnell erhebliche Schä-den. Das Risiko solcher Angriff e kann mit einer Access-Governance-Software mini-miert werden. Sie überprüft kontinuierlich die Berechtigungsstruktur, erkennt Fehler frühzeitig und macht den Verantwortlichen auf Abweichungen aufmerksam.

Komplexe Rechtestrukturen von Banken

Die Rechtestrukturen von Banken und an-deren Finanzdienstleistern sind gesetzlich stark reglementiert und äußerst komplex. Diese Komplexität erschwert die Verwal-tung der Berechtigungsvergabe zusätzlich und erleichtert so Angriff e, wie die von MoneyTaker. Häufi g wird versucht, die Zu-griff sberechtigungen manuell zu kontrollie-ren. Dafür müssen Einstellungen in vielen verschiedenen Systemen umständlich und zeitaufwendig ausgelesen, analysiert, ab-geglichen und aktualisiert werden. Zudem fehlt es meist an einer übersichtlichen Dar-stellung der Berechtigungen, die deren Ver-waltung und Kontrolle für die Personal- und Systemverantwortlichen deutlich vereinfa-chen würde. Dieser Überblick ist aber uner-lässlich, um Vorgaben, wie die der Bundes-anstalt für Finanzdienstleistungsaufsicht, zu erfüllen. Weitere Aufl agen kommen von den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die unter anderem auch den Umgang mit Benutzerberechtigungen re-geln. Sie schreiben ein angemessenes in-ternes Kontrollsystem vor, das Transparenz über den gesamten IT-Bereich bringt. Die BAIT verlangen, die Vorgaben eines Be-rechtigungskonzepts mit Genehmigungs- und Kontrollprozessen einzuhalten.5 Eine Access-Governance-Lösung erfüllt diese Aufl agen automatisiert. Sie unterstützt also bei der Erfüllung der verschiedenen rechtlichen Anforderungen (BAIT, MaRisk, DS-GVO etc.) und steigert gleichzeitig die interne IT-Sicherheit.

Wirtschaftlichkeit: Mitarbeiter-zugriffsrechte effi zient verwalten

Die manuelle Kontrolle von Zugriff srech-ten ist – neben dem erhöhten Fehlerrisiko – kosten-, zeit- und personalintensiv. Um die IT-Verantwortlichen zu entlasten, kann ebenfalls eine Access-Governance-Lösung eingesetzt werden. Diese liest die bestehen-

den Rechtestrukturen eines Unternehmens aus und stellt sie dem defi nierten Soll-Kon-zept gegenüber. Darüber hinaus können Verantwortliche anhand eines Rollenmo-dells schnell und einfach überprüfen, wel-cher Mitarbeiter auf welche Daten zugrei-fen kann und ob er diese Berechtigung auch tatsächlich haben soll. Stellt die Software bei einer automatischen Routineprüfung fest, dass Soll- und Ist-Zustand voneinander abweichen, wird der für die Berechtigun-gen verantwortliche Mitarbeiter alarmiert. Risikobehaftete Überberechtigungen oder nicht eingehaltene Funktionstrennungen (Segregation of Duties) können schnell er-kannt und beseitigt werden. So entlastet die Software IT-Verantwortliche, indem sie die Rechtestrukturen eines Unterneh-mens kontinuierlich überprüft. Sie erfasst die Zugriff srechte sämtlicher IT-Systeme und unterstützt eine fehlerfreie Berechti-gungsvergabe.

Access-Governance-Lösung: Worauf achten?

Aber woran erkannt man eine gute Access-Governance-Lösung? Erfahrungen aus dem Beratungsalltag legen nahe, dass sie min-destens die folgenden fünf Punkte erfüllen sollte:1. Sie erfasst, strukturiert und kontrolliert

vollständig und kontinuierlich alle In-formationen über Mitarbeiterzugriff s-rechte aus sämtlichen Anwendungen der fi rmen internen IT-Landschaft.

2. Die Software unterstützt neben den her-kömmlichen Anwendungen auch weni-ger verbreitete und selbst entwickelte Systeme. Dabei ist es unerheblich, ob es sich um lokale oder um cloudbasierte Systeme handelt.

3. Zur Abstraktion der Berechtigungen ist die Bildung eines Rollenmodells zu emp-fehlen. Das erleichtert die Verwaltung von Berechtigungen in Gruppen und beugt so Fehlern vor.

4. Um die Rechteverwaltung weiter zu vereinfachen, verfügt die Software über die Möglichkeit eines Soll-Ist-Abgleichs. Damit können Verantwortliche Abwei-

chungen in der Berechtigungsvergabe auf einen Blick feststellen. Eine automa-tische Benachrichtigungsfunktion bei Fehlern erleichtert die Kontrolle in kom-plexen Systemlandschaften zusätzlich.

5. Die Darstellung der Berechtigungen ist übersichtlich und lässt sich für verschie-dene Nutzergruppen individuell anpas-sen. So erhöht eine Access-Governance-Lösung die Transparenz und vereinfacht notwendige Rezertifi zierungsprozesse.

Fazit: keine Angst vor dem Datenschutz

Viele Unternehmen sehen in der Daten-schutz-Grundverordnung in erster Linie eine aufwendige Neuerung. Zusätzlicher Druck durch drohende hohe Strafen ver-stärkt eine eher negative Wahrnehmung. Dennoch bietet die DS-GVO aber auch eine Chance: Der Datenschutz wird auf ein höhe-res Niveau gehoben. Davon profi tieren alle: die Eigentümer der Daten ebenso wie die Organisationen, deren interne IT durch die Umsetzung besser geschützt ist. Viele der DS-GVO-Anforderungen lassen sich durch den Einsatz einer geeigneten Software schnell und einfach umsetzen. Eine Access-Governance-Lösung entlastet die Verant-wortlichen, indem sie für den Schutz der Unternehmensinformationen sorgt. Das spart Kosten, und die IT-Mitarbeiter können sich anderen, ebenfalls wichtigen Aufgaben widmen. Access Governance bringt Kontrol-le und Transparenz über sämtliche IT-Be-rechtigungen aller Anwendungen eines Un-ternehmens. Dadurch wird die Gefahr eines unberechtigten Zugriff s auf sensible Daten und Informationen deutlich minimiert. Eine Access-Governance-Lösung spart also Zeit und Kosten. Gleichzeitig sorgt sie für eine höhere IT-Sicherheit und unterstützt bei der Umsetzung gesetzlicher Vorgaben. ◾

daccord ist eine eigenentwickelte Access-Governance-Software „Made in Germany“. Sie unterstützt Un-ternehmen dabei, Transparenz und Kontrolle über sämtliche internen IT-Berechtigungen zu erlangen. dac-cord ist eine Marke der G+H Systems, einem inhabergeführten, europa-weit agierenden Software- und Consulting-Unternehmen.

G+H SYSTEMSLudwigstraße 863067 Off enbach am Main

Telefon: +49(0)69/85 00 02-0Fax: +49(0)69/85 00 02-51URL: www.guh-systems.de und www.daccord.de E-Mail: info@guh-systems.de

Quellenangaben:1 Art. 5 Abs. 1 DS-GVO; https://DS-GVO-gesetz.de/art-5-DS-GVO/2 Art. 32 Abs. 1 DS-GVO; https://DS-GVO-gesetz.de/art-32-DS-GVO/3 Art. 33 Abs. 1 DS-GVO; https://DS-GVO-gesetz.de/art-33-DS-GVO/4 https://www.heise.de/newsticker/meldung/Hackergruppe-MoneyTaker-

erbeutet-10-Millionen-US-Dollar-von-ueber-zwanzig-Banken-3916118.html5 https://www.bafi n.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_

ba_BAIT.pdf?__blob=publicationFile&v=6

ADVERTORIAL

Nils RogmannSecurity Consultant, Controlware GmbH

Data Leakage Prevention auf dem Prüfstand

Data Leakage Prevention

wieder verringert. Demgegenüber wurden 2016 mit 1,49 Milliarden mehr als fünfmal und mit 6,02 Milliarden 2017 sogar mehr als zwanzigmal so viele Datensätze ge-stohlen wie zuvor 2015. Die Anzahl der Sicherheitsvorfälle steht so-mit in keinem unmittelbaren Verhältnis zu den tatsächlich entwendeten Daten-sätzen. Vielmehr handelt es sich bei den Werten um Indizien dafür, dass innerhalb der letzten zwei Jahre eine Veränderung des Angriff sverhaltens zu einer höheren Erfolgsquote beim Datendiebstahl geführt hat. Insbesondere werden von Sicherheits-forschern zunehmend fortgeschrittene Techniken der Daten-Exfi ltration, die den Angreifern einen verdeckten Datendieb-stahl über das Internet ermöglichen, be-obachtet.

In Abbildung 1 werden die beobachteten Sicherheitsvorfälle sowie die Anzahl der

pro Jahr gestohlenen Datensätze für die jeweils ersten sechs Monate der Jahre 2013 bis 2017 gegenübergestellt.

In der ersten Hälfte des Jahres 2015 wur-den im Zuge von 2.275 beobachteten Si-cherheitsvorfällen 273 Millionen Datensät-

Seit der ersten spürbaren Marktpräsenz im Jahr 2007 sind Data Leakage Pre-vention-Lösungen (DLP) aus einer modernen IT-Sicherheitslandschaft kaum noch wegzudenken. Die Grundidee dieser Systeme besteht im Allgemeinen darin, die Vertraulichkeit von Daten zu gewährleisten. Trotz der Etablierung und zunehmenden Verbreitung von DLP-Technologien kam es jedoch in den letzten Jahren weltweit immer häufi ger zu Sicherheitsvorfällen, die mitunter Systemeinbrüche und massive Datendiebstähle zur Folge hatten. So wurden bereits während der ersten Hälfte des Jahres 2017 – basierend auf den Hoch-rechnungen der IT-Sicherheitsfi rma Risk Based Security als Konsequenz von weltweit ungefähr 2.200 öff entlich gewordenen Sicherheitsvorfällen – über 6 Milliarden Datensätze unbemerkt von mehreren Organisationen entwen-det. Hiervon sind allein etwa 1,1 Milliarden auf Systemeinbrüche und den Ein-satz von Schadsoftware zurückzuführen.

Abbildung 1: Anzahl der Sicherheitsvorfälle und gestohlenen Datensätze in den Jahren

2013–2017 (vgl. „Data Breach QuickView Data Breach Trends – First Six Months of

2017“, Juli 2017, Risk Based Security)

ze gestohlen. Für die gleichen Zeiträume der beiden Folgejahre hat sich die Zahl der Vorfälle mit 2.316 in 2016 zunächst mini-mal erhöht und mit 2.227 in 2017 sogar

Bild

: © de

posit

phot

os.c

om/a

rtisti

cco

18

Veränderte Bedrohungslage

Bei einer Daten-Exfi ltration über das In-ternet handelt es sich allgemein um einen nicht autorisierten Datentransfer zwi-schen zwei oder mehreren Systemen. In der Fachwelt erfolgt typischerweise eine Klassifi zierung zwischen den in Abbildung 2 dargestellten off enen und verdeckten Ka-nälen, die einem Angreifer unter Anwen-dung verschiedener Techniken Datendieb-stähle ermöglichen.

Bei off enen Kanälen, wie der Webserver- oder E-Mail-Kommunikation, handelt es sich um legitime Kommunikationswege und Protokolle, die innerhalb eines Sys-tems oder Netzwerks von gutartigen Ap-plikationen verwendet werden. Stehen einem Angreifer diese Wege nicht zur Verfügung oder ist von einer Überwa-chung der Protokolle auszugehen, kom-men zunehmend verdeckte Kanäle, wie die Netzwerk-Steganographie oder das Protokoll-Tunneling, zum Einsatz. Diese Techniken werden von Angreifern zur un-bemerkten und innerhalb von legitimer Kommunikation versteckten Datenüber-tragung eingesetzt.

Nach dem aktuellen Stand der Technik lassen sich die off enen Kanäle im Allge-meinen durch traditionelle Sicherheits-lösungen wie Firewalls, Proxy- oder Intru-sion-Detection-Systeme sowie speziell zu diesem Zweck entwickelte DLP-Systeme grundlegend einschränken und überwa-chen. Zur Erkennung und Unterbindung einer fortgeschrittenen Daten-Exfi ltration über verdeckte Kanäle sind diese Sicher-heitslösungen jedoch in der Regel nicht ausreichend. So erlauben Timing-Kanäle beispielsweise durch Beobachtung, Ma-nipulation und Interpretation von Zeit-abständen zwischen übertragenen Da-tenpaketen einen für DLP-Lösungen nicht erkennbaren Transport von Informationen als eine Art Morsecode. Weiterhin kann ein DLP-System, das überwiegend auf Basis von Mustern und Regeln zu bekannten Dateiformaten oder -inhalten funktioniert,

im Wesentlichen keine Exfi ltration mittels DNS-Steganographie detektieren, da die zu exfi ltrierenden Daten nicht selten vor dem Transport enkodiert oder verschlüs-selt werden. Die Angreifer machen sich demnach die bekannten Schwächen von Data- Leakage-Prevention-Systemen zu Nutze – und zwar die unzureichende Erkennung von unbe-kannten Formaten, unstrukturierten Da-ten und verschlüsselten Informationen.

Es wird Zeit für „DLP 2.0“

Zur Überwachung von verdeckten Kanälen sind Ansätze aus der aktuellen Forschung sehr vielversprechend. So widmen sich beispielsweise aktuelle Forschungsthe-men, die mitunter von den Experten der Controlware GmbH bearbeitet werden, der Entwicklung von neuartigen, überwiegend verhaltensbasierten Verfahren zur Erken-nung von Daten-Exfi ltration. Während klassische DLP-Systeme regelbasiert In-halte von Daten auswerten, führen diese neuartigen Verfahren typischerweise eine automatisierte Analyse der verschiedens-ten Metainformationen durch – unter an-derem der ausgehenden Paketgrößen oder der Zeitabstände zweier jeweils aufeinan-derfolgender Netzwerkpakete. Damit zukünftig die eingangs themati-sierte hohe Anzahl an gestohlenen Da-tensätzen in den kommenden Jahren wirkungsvoll reduziert werden kann, ist es notwendig, die traditionellen, regelba-sierten Data-Leakage-Prevention-Systeme um verhaltensbasierte Erkennungsverfah-ren aus der aktuellen Forschung zu einer DLP-2.0-Lösung zu erweitern. Hierdurch erfolgt eine Anpassung an den aktuellen Stand der (Angriff s-)Technik, welche zu-künftig eine zuverlässige Erkennung von Datendiebstahl über off ene und verdeckte Kanäle ermöglicht. ◀

Abbildung 2: Übersicht über off ene und verdeckte Kanälen (vgl. „Automatisierte Erkennung von Daten-Exfi ltration mithilfe von statistischer Analyse und maschinellem Lernen“, März 2017, Nils Rogmann)

PRODUKTANBIETER

Seite 62

Seite 72

Seite 82

Seite 88

Seite 94

Seite 95

BERATER/DIENSTLEISTER

Seite 64

Seite 67

Seite 72

19

lichkeit, Nichtverkettung und Intervenier-barkeit. Alle Gewährleistungsziele sind in der DS-GVO-Gesetzgebung begründet und können unter anderem wie folgt erreicht werden:

1. Das Gewährleistungsziel Datenminimie-rung kann erreicht werden durch:

▪ Reduzierung von erfassten Attributen der betroff enen Personen, der Verar-beitungsoptionen in Verarbeitungs-prozessschritten und von Möglichkei-ten der Kenntnisnahme vorhandener Daten

▪ Bevorzugung von automatisier-ten Verarbeitungsprozessen (nicht Entscheidungsprozessen), die eine Kenntnisnahme verarbeiteter Daten entbehrlich machen und die Einfl uss-nahme begrenzen, gegenüber im Di-alog gesteuerten Prozessen

Das SDM basiert auf sieben Daten-schutzzielen, auch „Gewährleistungs-

ziele“ genannt. Die Ziele übertragen die gesetzlichen Anforderungen des Daten-schutzrechts in einen Katalog technischer und organisatorischer Maßnahmen für Verantwortliche. Das SDM betriff t sowohl den privaten als auch den öff entlichen Sek-tor und verankert die Gewährleistungszie-le im deutschen Datenschutzrecht sowie in der DS-GVO.

Die sieben Gewährleistungsziele des SDM sind Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Unwahrschein-

Andrew ClearwaterOneTrust

Die sieben Grundsätze des deutschen Datenschutz-modells (SDM) im Detail

Datenschutz

Das Standard-Datenschutzmodell (SDM) wird in Deutschland von den Datenschutzbehörden (DSB) als Modell verwendet, um die Einhaltung von Rechtsvorschriften zum Schutz personenbezogener Daten systema-tisch zu überprüfen.

Bild

: © de

posit

phot

os.c

om/To

hey2

2

20

2. Typische Maßnahmen zur Gewährleis-tung der Verfügbarkeit sind:

▪ Anfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfi -gurationen, Datenstrukturen, Trans-aktionshistorien u. ä. gemäß eines getesteten Konzepts

▪ Redundanz von Hard- und Software sowie Infrastruktur

3. Typische Maßnahmen zur Gewährleis-tung der Integrität bzw. zur Feststellung von Integritätsverletzungen ähneln de-nen zur Datenminimierung und umfas-sen auch:

▪ Einschränkung von Schreib- und Än-derungsrechten

▪ dokumentierte Zuweisung von Be-rechtigungen und Rollen sowie Pro-zesse zur Aufrechterhaltung der Ak-tualität von Daten

4. Typische Maßnahmen zur Gewährleis-tung der Vertraulichkeit sind:

▪ Festlegung eines Rechte- und Rol-len-Konzeptes nach dem Erforder-lichkeitsprinzip auf der Basis eines Identitätsmanagements durch die verantwortliche Stelle

▪ Eingrenzung der zulässigen Perso-nalkräfte auf solche, die nachprüfbar zuständig (örtlich, fachlich), fachlich befähigt, zuverlässig (ggf. sicherheits-überprüft) und formal zugelassen sind sowie keine Interessenskonfl ikte bei der Ausübung aufweisen

5. Typische Maßnahmen zur Gewährleis-tung der Nichtverkettung sind:

▪ Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten

▪ programmtechnische Unterlassung bzw. Schließung von Schnittstellen bei Verarbeitungsverfahren und Kompo-nenten

6. Typische Maßnahmen zur Gewährleis-tung der Transparenz sind:

▪ Dokumentation von Verarbeitungs-tätigkeiten, insbesondere mit den Bestandteilen Geschäftsprozesse,

Datenbestände, Datenfl üsse, dafür genutzte IT-Systeme, Betriebsabläufe, Beschreibungen von Verarbeitungstä-tigkeiten, Zusammenspiel mit ande-ren Verarbeitungstätigkeiten

▪ Dokumentation von Tests, der Frei-gabe und ggf. der Vorabkontrolle von neuen oder geänderten Verarbei-tungstätigkeiten

7. Typische Maßnahmen zur Gewährleis-tung der Intervenierbarkeit sind:

▪ diff erenzierte Einwilligungs-, Rück-nahme- sowie Widerspruchsmög-lichkeiten

▪ Schaff ung notwendiger Datenfelder z. B. für Sperrkennzeichen, Benachrich-tigungen, Einwilligungen, Widersprü-che, Gegendarstellungen

Neben den allgemeinen Maßnahmen, die in der DSM-Broschüre unter den einzelnen Gewährleistungszielen aufgeführt sind, haben die Datenschutzbehörden Module zur Erreichung dieser Ziele veröff entlicht. Diese Module enthalten spezifi sche tech-nische und organisatorische Maßnahmen zur Sicherstellung der Gewährleistungs-ziele, je nach Themenbereich. Darüber hi-naus enthalten die Module Übersichten in Form von Listen und Verweisen auf zu-sätzliche Dokumente, wie z. B. Aussagen des BSI, der DSK, und des DIN sowie auf ISO-Normen ◀

Weitere Informationen zur Implementie-rung des SDM in Ihr Datenschutzprogramm fi nden Sie unter onetrust.com.

PRODUKTANBIETER

Seite 64

Seite 66

Seite 72

Seite 74

Seite 76

Seite 77

Seite 78

Seite 82

Seite 86

Seite 88

Seite 91

Seite 92

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 68

Seite 70

Seite 72

Seite 74

Seite 78

Seite 82

Seite 93

21

Datenträgervernichtung/Datenlöschung

John ZanniPräsident bei Acronis

Mit Datenlöschung die Datensicherheit optimieren

Dass Backup, Disaster Recovery und Hochverfügbarkeitskonfi gurationen Teil einer Data-Protection-Strategie sind, ist off ensichtlich. Allerdings kann auch das geplante Löschen von Daten dem Unternehmen nicht nur Ressourcen zur Verfügung stellen, sondern auch eben die Data Protec-tion verstärken und DS-GVO-Herausforderungen bewältigen.

tung, wenn Altsysteme oder Datenträger ausgetauscht werden sollen. Datenschutz-rechtliche Vorgaben und interne Richtlini-en geben zusätzliche Regelwerke, nach denen bestimmte Informationen nach vorher defi nierten Zeiträumen gelöscht werden müssen. Mit dem Inkrafttreten der DS-GVO sind die Richtlinien in Bezug auf personenbezogene Daten hier zusätzlich verschärft worden. Erfolgt dann nur eine unvollständige oder gar keine Löschung, so kann das Sicherheitsrisiko für das jeweilige Unternehmen extrem steigen. Oft werden ausrangierte Datenträger weitergegeben, ohne sicherzustellen, dass die darauf ent-haltenen Informationen unwiederherstell-bar gelöscht sind. Auf diese Weise könnten interne Betriebsdaten, sensible Kundenin-formationen, Passwörter, Zugangsdaten oder andere persönliche Informationen in falsche Hände geraten. Der dadurch entstandene Schaden ist mit dem eines Datenverlusts oder Systemausfalls ver-gleichbar: Es drohen fi nanzielle Einbußen, Vertrauensverlust an der Kundenbasis, ein Image-Schaden und nicht zu vergessen seit Mai 2018 auch empfi ndliche Geldstrafen.

Unterschiedliche Gründe für Datenlöschung

Die Gründe für eine Datenlöschung sind vielfältig. Privatpersonen löschen (oder sollten es tun), wenn ein Wechsel des Da-tenträgers anliegt, von HDD auf SDD zum Beispiel. Auch eine überfüllte Festplatte aufgrund übermäßig genutzter Program-me und Anhäufung nutzloser Daten kann zum permanenten Löschen dieser Informa-tionen zwingen.

In Unternehmen ist die Motivation oft eine andere: Das Freisetzen von Ressourcen (überfüllte Festplatten), um diese erneut zu nutzen ist sicher nicht der häufi gste Grund. Vielmehr geht es um Datenvernich-

Innerhalb der letzten zehn Jahre ist der Wert digitaler Informationen enorm ge-

stiegen. Jedes Unternehmen hat aus die-sem Grund seine Data-Protection-Strate-gien angepasst, oftmals einhergehend mit Optimierungen, wie innovativen Technolo-gien, zusätzlichen Sicherungsstandorten oder Cloud-Szenarien. Jedoch gewährleis-ten nicht nur Backups, Disaster Recovery oder Hochverfügarkeitskonfi gurationen die Datensicherheit. Vielmehr muss auch eine geplante Datenvernichtung Teil der Datensicherungsstrategie werden, da dies eine höhere Sicherheit für Daten und Fir-men bedeutet. Bi

ld: ©

depo

sitph

otos

.com

/mag

urok

5

22

Verschiedene Methoden der Datenvernichtung

Dem Anwender – sei es nun der Privat-mensch oder die Firma – bieten sich grund-sätzlich zwei Methoden der permanenten Datenlöschung: Entweder Hardware-ba-sierend oder mittels Software. Hier muss man allerdings vorausschicken, dass ein einfaches Löschen per „Delete“ oder Ver-schieben in den Papierkorb eben nicht ausreicht, um Daten endgültig von einem Datenträger zu entfernen. Hier werden die Daten nicht verändert und sind nach wie vor auslesbar. Auch ein Formatieren der Festplatte verändert die Daten nicht, son-dern löscht quasi nur den Verweis auf die Information. Der Anwender muss andere Verfahren nutzen, um Daten permanent zu entfernen.

Eine vollständige Löschung mittels Soft-ware, die eine Wiederherstellung un-möglich macht, erzielt der User oder IT-Verantwortliche durch mehrmaliges Überschreiben des Datenträgers mit un-terschiedlichen Bitmustern. Für dieses Verfahren wurden auch mehrere Stan-dards definiert: Der 5220.22-M-Standard des US-Verteidigungsministeriums (3-fa-ches Überschreiben), der VSITR-Standard des Bundesamts für Sicherheit/Informati-onstechnik (BSI/7-faches Überschreiben), der Bruce-Schneier-Algorithmus (7-faches Überschreiben) sowie der Peter-Gutmann-Algorithmus (35-faches Überschreiben). Ein kleines Restrisiko bleibt bei der Soft-waremethode allerdings. Sogenannte Bad Blocks bleiben bei einer Löschung unange-tastet und ließen sich noch auslesen. Pri-vatnutzer können entsprechende Cleaner verwenden, Unternehmen wenden sich hier eher an spezielle Dienstleister.

Bei einer Datenvernichtung mittels Hard-ware stehen drei Methoden zur Verfügung: Das Shreddern, das Degausser-Verfahren und die thermische Zerstörung. Beim Shreddern wird der Datenträger geshred-dert, also mechanisch zerkleinert. Das Degausser-Verfahren entmagnetisiert die Medien (Festplatten, Disks, Tapes) mittels einem Degausser. Das geschieht in weni-gen Sekunden und löscht tatsächlich alle vorhandenen Daten effektiv. Die thermi-sche Zerstörung arbeitet mit Hitze. Die Oberfläche der Magnetplatte wird dabei über die sogenannte Curie-Temperatur der verwendeten Beschichtung (z. B. bei Eisen 766 °C) erhitzt. Das Medium verliert

seine magnetische Eigenschaft und somit auch unwiederbringlich alle gespeicherten Informationen. Die Hardware-Methoden haben den Vorteil, gründlich zu arbeiten, und hinterlassen kein Restrisiko. Auch hier existieren zahlreiche Spezialisten, die Fir-men ihre Services anbieten.

Spezialszenario Cloud

Seit einigen Jahren nutzen immer mehr Unternehmen Cloud-Services, beispielswei-se für Backups, Disaster Recovery, Archive oder Prozessoren-Performance. Will der Nutzer seine Daten zum Teil oder gar gänz-lich aus dieser Service-Cloud löschen, sollte er bereits vor der Wahl des Providers auf einige Randparameter achten. Zunächst muss feststehen, ob, warum und wann eine Löschung nötig werden könnte. Zum einen könnten dies Compliance-Vorgaben sein, zum anderen aber auch Gründe, wie der Wechsel zu einem anderen Provider oder der Abschluss eines bestimmten Pro-jektes. Das Unternehmen sollte wissen, welche Daten vielleicht im Hintergrund gespeichert wurden (Metadaten, Trans-ferdetails, Schlüssel), sodass diese bei einer Vernichtung nicht vergessen werden.

Das Schwierigste hierbei könnte der Nach-weis einer vollständigen Löschung seitens des Providers sein. Dieser nutzt seine Sys-teme nach dem Multi-tenant-Prinzip aus. Das heißt, auf einem Server sind Daten ver-schiedener Kunden gespeichert. Der Cloud-Anbieter muss also sicherstellen, dass er bei einer gezielten Löschungsanfrage auch wirklich nur die Bereiche überschreibt, die von jeweiligen Kunden genutzt wurden. Oder er muss die verbleibenden Daten auf einen anderen Datenträger kopieren und den alten mittels Hardware-Methode entsorgen.

Hier kommt es auf den Vertrag an, den man mit seinem Provider aushandelt. Hier gibt es noch keine vorgeschriebenen Prozesse, und Anwender sollten kritisch nachfragen.

Unabhängig ob Cloud, Festplatte oder Band, Daten können und müssen oftmals ein Verfallsdatum haben, damit Geschäfts-abläufe, Kunden oder Privatinformationen nicht ungewollt an Dritte geraten. Somit muss im Zuge einer Datensicherungsstra-tegie von vornherein auch an ein Ableben der Daten gedacht werden, damit Data Protection rundum funktioniert. ◀

PRODUKTANBIETER

BERATER/DIENSTLEISTER

Seite 64

Seite 67

23

Viele Unternehmen setzen auf eine Kombination verschiedener Backup-Lösungen, häufi g über mehrere Standorte hinweg. Im Krisenfall macht es solch eine Strategie jedoch oft schwierig, Dateien zeitnah wiederherzu-stellen. Dagegen bieten Cloud-integrierte Lösungen einfaches Testen der Disaster-Recovery-Strategie und im Notfall die rasche Rückkehr zum Nor-malbetrieb.

IT-Komponenten wie Servern und Sto-rage-Systemen nach Hardware-Ausfällen, aufgrund menschlicher Fehler oder einer Naturkatastrophe.

Unabhängig von der Ursache ist die Fähig-keit zur schnellen Wiederherstellung un-ternehmenskritischer Daten von entschei-dender Bedeutung, sowohl zum Schutz der Unternehmensreputation als auch zur Kostenvermeidung durch Arbeitsausfall-zeiten. Da Administratoren heute eine im-

Daten sind für Unternehmen heute wertvolle Rohstoff e und müssen bes-

ser gesichert werden als je zuvor. Gerade in Zeiten weltweiter Ransomware-Attacken ist eine profunde Backup- und Disaster-Recovery-Strategie daher unabdingbar ge-worden, um im Krisenfall sofort reagieren zu können und die Geschäftskontinuität zu sichern. Doch bei der Disaster Recovery geht es nicht nur um Ransomware-Bedro-hungen und Advanced Threats, sondern ebenso um die Wiederherstellung von

mer komplexere IT-Architektur verwalten müssen, darf die Datensicherungen nach der erstmaligen Konfi guration kaum noch Zeit kosten. Sie muss vollständig automa-tisiert ablaufen und so einfach wie mög-lich gestaltet sein. Bei Datenverlust sollte es das System ermöglichen, mit wenigen Klicks nicht nur einzelne Server oder Cli-ents, sondern sogar einzelne Ordner oder Dateien wiederherzustellen.

Die Backup- und Disaster-Recovery-Strategie eines Unternehmens ist im Ar-beitsalltag zwar ein nahezu unsichtbares Sicherheitsnetz, im Ernstfall aber absolut kritisch für die Geschäftskontinuität. In der Praxis zeigt sich jedoch, dass viele Unter-nehmen Schwierigkeiten haben, im Fall von Datenverlust ein Backup wiederherzu-stellen sowie ihre Disaster-Recovery-Tests erfolgreich abzuschließen. Einige Unter-nehmen verfügen nicht einmal über einen Disaster-Recovery-Plan.

Stefan SchachingerConsulting System Engineer für Data Protection bei Barracuda Networks

Konsolidiertes Cloud-Backup und Disaster RecoveryDas unsichtbare Sicherheitsnetz*)

Disaster Recovery

Bild

: © de

posit

phot

os.c

om/b

loom

ua

24

Fragmentierte Backup-Strategie: fehleranfällig und schwer zu testen

Ein Disaster-Recovery-Plan ist zwar wich-tig, doch wenn dieser nicht getestet wird, ist es wahrscheinlich, dass er im Notfall versagt. Gerade, wenn die Backup-Systeme fragmentiert sind, also zwei oder mehre-re unterschiedliche Backup-Lösungen zum Einsatz kommen, und dies auch noch häu-fi g über mehrere Standorte hinweg, sind die Systeme oft fehleranfällig und schwer zu testen. Darüber hinaus können solche Strategien es schwierig machen, verlore-ne Dateien in einem Disaster-Recovery-Szenario innerhalb eines vernünftigen Zeitrahmens wiederherzustellen. Oft ist es für Unternehmen sogar eine Heraus-forderung, ihre selbst gesteckten Ziele für RTO (Recovery Time Objective) und RPO (Recovery Point Objective) zu erfüllen. Das Fehlen einer konsolidierten Strategie ist sicher auch ein Grund hierfür.

Konsolidierte Cloud-Lösung: geringer Testaufwand

und Reduzierung der Downtime

Eine Cloud-basierte All-in-one-Lösung kann helfen, hohen Aufwand aufgrund Wartung mehrerer Produkte zu vermeiden. Der Einsatz von Public-Cloud-Infrastruktu-ren trägt dazu bei, Disaster-Recovery-Tests zu vereinfachen und bessere Testergebnis-se zu erzielen. Anstatt Disaster-Recovery-Standorte und die gesamte umliegende Infrastruktur intern zu warten, bieten Cloud-Infrastrukturen, die in der Lage sind, mit wenigen Mausklicks Zugriff auf Server, Services und Dateien zu gewähren, eine wesentlich bessere Verfügbarkeit und Zuverlässigkeit und verursachen einen er-heblich geringeren Testaufwand. In einem echten Katastrophenfall, wenn ganze Ser-ver oder Dienste wiederhergestellt werden müssen, können externe Public Cloud Ser-vices die RTO auf ein Minimum reduzieren. Die eigentliche Wiederherstellung wird weniger dringlich, da eine externe Infra-struktur in der Lage ist, die Wiederherstel-lungszeit zu überbrücken, indem sie den Dienst den Benutzern zur Verfügung stellt.

Cloud-Sicherheit: das Shared-Responsibility-Modell

Während Public Clouds ein hervorragen-des Werkzeug sind, um Infrastruktur be-reitzustellen, wenn die unternehmens-eigene Infrastruktur in Schwierigkeiten

ist, benötigen diese auch Schutz in ihrer Rolle als Produktionssystem wie beispiels-weise Microsoft Offi ce 365. Viele Offi ce-365-Administratoren nutzen immer noch ausschließlich den Papierkorb als Backup-Lösung. Doch der Papierkorb verfügt nicht über die Security-Funktionen einer echten Datensicherungslösung. Damit haben Cy-berkriminelle, die sich Zugang zum lokalen Desktop verschaff en, leichtes Spiel.

Immer noch gehen viele Unternehmen da-von aus, dass Public-Cloud-Dienste bereits ausreichend abgesichert seien. Zwar ist es nach dem Shared-Security-Modell Aufga-be der Cloud Provider, die Infrastruktur zu schützen, das heißt, sie sind für die physi-sche Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren verantwortlich. Aber es liegt in der Verant-wortung der Unternehmen, ihre Daten zu schützen. Hier unterscheiden sich die Daten in der Cloud nicht so sehr von den Daten On-Premises. Das Risiko von Natur-katastrophen und Hardwareausfällen ist in einem redundanten System natürlich geringer, aber auch andere Bedrohungs-faktoren wie Softwarefehler, menschli-ches Versagen und gezielte oder zufällige Cyberangriff e gelten in gleicher Weise in der Cloud und erfordern entsprechende Security-Maßnahmen.

Der Verlust geschäftskritischer Daten be-deutet für jedes Unternehmen enormen Schaden, doch mit einem konsequenten Security- und Backup-Management las-sen sich Downtime-Kosten, Wiederher-stellungszeiten und Datenverluste enorm reduzieren. Public Cloud-Backup- und Disaster-Recovery-Technologien bieten Unternehmen hierfür ein stabiles Notfall-Tool, um Wiederherstellungszeiten zu verkürzen und die Verfügbarkeit kritischer Dienste sicherzustellen. Denn als konsoli-dierte Lösung sind sie einfach zu testen, sorgen für hohe Zuverlässigkeit im Ernst-fall und schützen vor Datenverlust durch Katastrophenfälle oder Sicherheitsbedro-hungen, wie Ransomware. ◀

*) Stark gekürzte Fassung. Der Originalbeitrag in voller Länge ist in IT-SICHERHEIT 4/2018 erschienen.

PRODUKTANBIETER

Seite 62

Seite 66

Seite 81

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 72

Seite 81

Seite 93

25

E-Mail-Sicherheit

Datenschützer und Security-Experten sind sich einig: Wer keine E-Mail-Verschlüsselung anbietet, handelt grob fahrlässig. Die off ene Initiative: Mittelstand verschlüsselt! stellt dafür eine praxisnahe Lösung bereit, mit der E-Mail-Verschlüsselung mittelstandstauglich und kostengünstig um-setzbar wird. Der Schutz von Unternehmensgeheimnissen und personen-bezogenen Daten wird damit so einfach wie Anschnallen im Auto.

Mittelständische Unternehmen sind von Cyberkriminalität besonders bedroht: Ihr oft einzigartiges Know-how macht sie interessant für Angreifer und gleichzei-tig verfügen diese Unternehmen häufi g nicht über ausreichend eigene IT-Sicher-heitsexperten und komplexe Abwehrmaß-nahmen. Mehr als 80 % aller Angriff e erfol-gen per E-Mail. Eine gute E-Mail-Security und insbesondere die Verschlüsselung der Kommunikation sind die wirksamsten Mit-tel, um vertrauliche Unternehmensdaten zu schützen und Schaden vom Unterneh-men abzuwenden.

E-Mail so sicher wie Postkarten

Wie bei Postkarten, kann gewöhnliche E-Mail-Kommunikation von jedem

Teilnehmer der vielschichtigen Transport-strecke mitgelesen werden. Zwar wird der eigentliche Transport geschützt, aber auf jedem Zwischenserver liegt der Inhalt un-geschützt. Das ist de facto eine Einladung zu Wirtschaftsspionage, Datenklau und Erpressungsversuchen. Abhilfe schafft hier nur eine explizite Verschlüsselung der E-Mail-Inhalte mit starken Verschlüs-selungsalgorithmen vor dem Versand.

Verschlüsselung mittelstands-tauglich und praktikabel

Die Initiative: Mittelstand verschlüsselt!setzt moderne Verschlüsselungstechnik mittelstandstauglich um. Die Lösung muss dazu einfach einzuführen und zu nutzen sein, darf den geschäftlichen Aus-tausch nicht behindern, darf nur niedrige technische Anforderungen an den Betrieb stellen und muss kostengünstig sein. Da-mit kann die Verschlüsslung von E-Mail-Kommunikation endlich fl ächendeckend Verbreitung fi nden.

Hinter der Initiative stehen die deutschen Anbieter Net at Work und die Bundes-druckerei. IT-Security made in Germany sichert höchstmöglichen Schutz nach deutschem Recht. In enger Zusammenar-beit mit Microsoft wurde die Lösung für die Nutzung mit Microsoft Exchange – so-wohl im Eigenbetrieb im Haus als auch als Cloud-Service für Offi ce 365 – optimiert.

Uwe Ulbrich Geschäftsführer bei Net at Work

E-Mail-Verschlüsselung gehört zum Grundschutz

Bild

: © de

posit

phot

os.c

om/S

WEv

iL

26

Mit der Initiative können Unternehmen – wie beispielsweise Handwerksbetriebe, Fertigungsunternehmen oder Dienstleis-ter aber auch Freiberufl er wie Anwälte, Ärzte oder Architekten – sicher kommuni-zieren und gleichzeitig aktuelle und neue Sicherheitsaufl agen, wie zum Beispiel die EU-DS-GVO, umfänglich erfüllen.

Einfach in Einführung und Nutzung

Zwar bietet Offi ce 365 bereits die Möglich-keit, verschlüsselte E-Mails zu versenden und zu empfangen. Dies erfordert aber entsprechendes Know-how sowie die Schulung der Anwender und verursacht hohe Aufwände in der Administration. Im Gegensatz dazu wird die Lösung der Initiative einmalig zentral eingeführt und verwaltet. Der einzelne Nutzer muss seine gewohnte Arbeitspraxis nicht ändern und nutzt weiterhin das bestehende E-Mail-System – auch auf mobilen Geräten. Es ist keine Schulung erforderlich, denn die Lösung arbeitet weitgehend unbemerkt im Hintergrund. Intern im Unternehmen liegen alle E-Mails – wie bislang – unver-schlüsselt vor und können problemlos ar-chiviert oder gespeichert werden. So wird das Verschlüsseln von E-Mails so einfach und selbstverständlich wie das Anschnal-len im Auto.

Funktioniert auch, wenn der Gesprächspartner keine E-Mail-

Verschlüsselung kann

Für den Fall, dass der Kommunikations-partner keine E-Mail-Verschlüsselung anbietet, werden vertrauliche Nachrich-ten und Anhänge über einen sicheren und passwortgeschützten Container be-reitgestellt, den der Empfänger auch zur

Antwort verwenden kann. Jedes Unter-nehmen kann sich mit der Lösung sofort schützen – unabhängig davon, wie weit seine Kommunikationspartner in diesem Thema sind.

Wirtschaftlich und günstiger als zwei Briefmarken

1,45 EUR: So viel kostet ein Brief im DIN-A4-Format. Dafür kann ein Mitarbeiter jetzt mit NoSpamProxy einen Monat lang be-liebig viele E-Mails verschlüsseln – Excel-Tabellen mit Geschäftszahlen, Dateien mit Kon struktionszeichnungen, Vertrags-dokumente und personenbezogene Da-ten werden so wirksam geschützt. Hinzu kommen lediglich die Kosten für Zertifi -kate von Trust-Centern, wie der Bundes-druckerei-Tochter D-Trust, die variieren, jedoch grundsätzlich in einer ähnlichen Größenordnung liegen.

Vollständige E-Mail-Security aus einer Hand

Auf Wunsch kann das Angebot auf eine vollständige E-Mail-Security-Lösung mit Anti-Spam-/Anti-Malware-Schutz, Large File Transfer und E-Mail-Disclaimer-Ma-nagement ausgebaut werden. Mit seiner einzigartigen Level-of-Trust-Technologie schützt NoSpamProxy dann auch sicher vor Malware, Phishing oder Betrugsma-schen wie CEO-Fraud.

Einen Kalkulator zur Berechnung der anfallenden Kosten für das eigene Un-ternehmen sowie die Möglichkeit für Anfragen zur Beratung oder eines kon-kreten Lösungsangebots fi nden Sie unter www.e-mail-verschluesselung.de. ◀

Key facts▪ sicherer Schutz vor Ausspähung und Imageschaden

▪ einfache Umsetzung dank vor konfektionierter, zentraler Lösung

▪ funktioniert auch, wenn der Kommunikationspartner nicht verschlüsseln kann

▪ optimiert für Microsoft- Umgebungen – inhouse oder in der Cloud

▪ kein Schulungsbedarf für Nutzer

▪ geringe Kosten

▪ Security made in Germany

PRODUKTANBIETER

Seite 64

Seite 66

Seite 72

Seite 80

Seite 86

Seite 88

Seite 92

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 68

Seite 72

Seite 80

27

Mathias WidlerGeschäftsführer, Zscaler Germany GmbH

Im Trend

Von der virtuellen Fire-wall zur Cloud-Firewall

Firewall-Systeme

Das Angebot an virtuellen Firewalls entstand aus der Nachfrage nach Lösungen, die den Administrationsaufwand von Security-Hardware re-duzieren und zusätzlich Schutz für Umgebungen in der Cloud, wie AWS und Azure, bieten. Das Implementieren, Patchen, Updaten, Upgraden und Verwalten von Hardware-Firewalls geht mit Ressourcen- und Kos-tenaufwand einher, sodass Unternehmen bereit sind, diesen Teil ihrer Sicherheitsinfrastruktur auszulagern.

Nach wie vor kommt Hardware zum Ein-satz, deren virtuelle Instanzen nicht nur betrieben, sondern auch gewartet oder aktualisiert werden müssen. Der Aufwand dafür wird allerdings an den Provider aus-gelagert. Dieser kann, limitiert durch die Kapazität der vorgehaltenen Hardware, eine begrenzte Anzahl an Kunden per Firewall hosten.

Bei der Wahl einer Managed Firewall muss die Anzahl der Standorte berücksichtigt werden, an denen gehostete Firewalls zur Verfügung stehen. In aller Regel wird diese durch abgedeckte Geolocations be-grenzt sein. Unternehmen müssen sich entscheiden, ob es mit Einschränkungen einhergeht, wenn der Anbieter seine Hardware beispielsweise nur an drei oder sechs Standorten vorhält. Es gilt das Ange-bot an Lokationen mit den Anforderungen abzugleichen, denn gerade im Bereich der Firewall ist es für viele Services wichtig, dass lokale IP-Adressen zur Verfügung ste-hen. Ein Beispiel: Wenn ein Unternehmen in Brasilien eine Niederlassung hat, ist für den Zoll eine brasilianische IP-Adresse er-forderlich. Weniger Lokationen bedeutet in der Regel auch längere Wege und damit geringere Geschwindigkeit.

Zwei gängige Modelle virtueller Fire-walls lassen sich unterscheiden. Ei-

nerseits wird die Hardware-Firewall, auf der verschiedene virtuelle Instanzen be-trieben werden können, zu einem Service-Provider verlagert. Der zweite Ansatz wird bei einem Cloud-Anbieter vorgehalten.

Im ersten Modell stellt ein Service-Provi-der eine Managed Firewall zur Verfügung.

28

Die Systemkomplexität gibt den Ausschlag

Im zweiten Modell der „virtuellen Fire-wall“ ist die Hardware bei einem Cloud-Provider gehostet. Auch hier steht der Servicegedanke für den Kunden im Mit-telpunkt. Ein Amazon-Kunde kann relativ schnell einen Firewall-Service über diesen Dienst aufsetzen und monatlich bezah-len. Auch hier muss geprüft werden, wie es sich mit der Anzahl an angebotenen Standorten verhält. Amazon bietet bei-spielsweise Verfügbarkeitszonen für sei-ne Services an. Das bedeutet, dass Kun-den innerhalb einer Georegion, wie einer Stadt, einem Land oder gar Kontinent auf Verfügbarkeitszonen zugreifen und dort gegebenenfalls sogar auf redundante Ser-vices bauen können. Mit einem solchen Ansatz hat ein Unternehmen seine Ska-lierbarkeit relativ elegant gelöst.

Amazon bietet den Service der virtuellen Firewall als Infrastructure as a Service (IaaS) an. Der Vorteil gegenüber dem Managed-Firewall-Ansatz ist die größere Anzahl an Rechenzentren und die Mög-lichkeit der schnellen Implementierung. Außerdem hat der Kunde mehr Kontrolle über die Firewall. Diese Kontrolle erkauft er sich allerdings wieder durch Mehrauf-wand für die IT-Abteilung in Form von Konfi guration, Updates, Upgrades und Patches. Je mehr dieser virtuellen Firewalls betrieben werden, desto mehr Ressourcen müssen für die Verwaltung dieser virtuel-len Firewalls einkalkuliert werden.

Bei einer Entscheidung für einen Ansatz sollte die Komplexität der Administration berücksichtigt werden. Muss beispielswei-se eine Third-Party-Software eingesetzt werden für die Verwaltung über mehrere Lokationen hinweg, und wie werden Poli-cies verwaltet. Können Policies über alle Standorte hinweg in Echtzeit aktualisiert werden, um im Bedarfsfall schnell mit Patches reagieren zu können, ohne dass kritische Sicherheitslücken auftreten? Auch das Logging über mehrere Stand-orte darf nicht zur administrativen Her-ausforderung werden. Im Fall des bei AWS gehosteten Firewall-Ansatzes kommt zur Pfl ege der Logs ein SIEM-Service zum Ein-satz, der lizenziert werden muss. Es gilt also, bei der Entscheidung für oder gegen einen Ansatz die Systemkomplexität im Auge zu behalten.

Was kann eine echte Cloud-Firewall?

Weder bei einem Managed-Firewall-Ser-vice oder einer in der Cloud gehosteten virtuellen Firewall kommen die Vorzüge des echten Cloud-Eff ekts zum Tragen. Im Unterschied zu dem Betrieb der Firewall in einer virtualisierten Umgebung ist bei einer echten Cloud-basierten Firewall der Cloud-Anbieter für Updates, Upgrades, Ca-pacity Planning und Patches verantwort-lich. Die Aufgabe des Aufsetzens und der Wartung der Firewall, inklusive der Anfor-derungen an die Skalierbarkeit, geht in die Verantwortung des Cloud-Providers über. Deshalb sollten die Service-Level-Agreements mit dem Anbieter genau ge-prüft werden. Denn nicht nur der Betrieb, sondern ebenfalls das Trouble-Shooting wechselt in den Verantwortungsbereich des Service-Anbieters.

Ein Cloud-basierter Ansatz sollte keine Hardware-Komponente mehr enthalten, sondern von Grund auf als Security as a Service aufgesetzt sein. Der Cloud-Anbie-ter stellt ein voll integriertes User Inter-face zur Verfügung, das über alle Stand-orte und Anwender hinweg in Echtzeit integriert ist. Damit kann Real-Time Log Correlation abgedeckt werden, sodass die Komplexität für die Inbetriebnahme, den laufenden Betrieb und das Trouble-Shooting deutlich verringert sind. Echt-zeitkontrolle über Policies ist über das User Interface für den Kunden jederzeit möglich.

Unternehmen, die nach einer Firewall-Lösung für Standorte suchen, an denen keine Netzwerksegmentierung erfor-derlich ist, sind mit einer virtuellen oder Cloud-basierten Lösung gut beraten. An Standorten, an denen sie keine eigene Hardware-Infrastruktur vorhalten kön-nen, wie Niederlassungen, ist eine Cloud-Firewall gut geeignet, die erforderliche Sicherheit bei stark verringertem Admi-nistrationsaufwand zu bieten. Mit einer steigenden globalen Ausbreitung und der damit einhergehenden wachsenden An-zahl an Niederlassungen und Standorten weltweit ist im Zeitalter der Digitalisie-rung eine echte Cloud-basierte Firewall der adäquate Lösungsansatz.◀

PRODUKTANBIETER

Seite 64

Seite 66

Seite 70

Seite 72

Seite 86

Seite 94

Seite 95

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 68

Seite 70

Seite 72

29

Internet der Dinge/Industrie 4.0

Dies führt ohne eine angepasste Sicher-heitsstrategie schnell zu Problemen, denn die wachsende Anzahl von vernetzten Geräten wird durch die Dezentralisierung nicht mehr durch die Sicherheitsverant-wortlichen erkannt und kann nicht ver-waltet werden.

Neben der Bedrohung durch Produkti-onsausfälle können durch unzureichende Kontrollmechanismen Anlagen aufgrund falscher Konfi guration oder nach einer Cy-berattacke beschädigt oder sogar zerstört werden. Mitarbeiter schweben in Lebens-

Rasante Digitalisierung geht weiter

IT und OT (Operation Technology) konn-ten lange friedlich koexistieren, da die

OT-Geräte als Insellösung gedacht waren. Bei diesem geschlossenen System waren Überschneidungen selten und manuelle Prozesse bei der Verwaltung vom Aufwand vertretbar, da die Anzahl der Endgeräte meist überschaubar blieb. Durch IIoT und die zunehmende Vernetzung wandeln sich Produktionsprozesse hin zu einem über das Internet aufgeteilten Prozess, der im-mer dezentraler organisiert werden muss.

gefahr, wenn Maschinen unkontrolliert in Betrieb genommen werden.

Trotzdem verspricht die digitale Innova-tion gerade im Industriebereich Effi zienz-steigerungen. Die Digitalisierung wird immer stärker in unterschiedliche Berei-che vordringen. Neben Überwachung und Steuerung geht es zudem um Business Intelligenz und Informationen, die aus den Sensoren gewonnen und analysiert werden können.

Status Quo: Das denken OT- und IT-Leiter

Im Rahmen der Digitalisierung ändert sich das drastisch, und eine unglaubliche Menge von Endpunkten in Industrieanla-gen greift direkt auf Onlineressourcen zu. Wie drastisch dies ist und welche Folgen

Stephan von Gündell-KrohneSales Director DACH bei ForeScout Technologies

Smarte Welt in der Praxis: Sicherer Umgang mit IIoT

Laut dem Forbes Magazin soll sich die Anzahl der Geräte in den nächsten sieben Jahren verdreifachen (von 23,14 Milliarden 2018 auf 75,44 Milliar-den 2025.) Dazu sollte man aber bedenken, dass allein im letzten Jahr 84 Prozent des Gerätewachstums auf den Industriebereich zurückgehen.

Bild

: © de

posit

phot

os.c

om/n

ils.a

cker

man

n.gm

ail.c

om

30

das besonders für das Thema Sicherheit hat, zeigt der Industrial IoT Survey des SANS Institute. Dabei wurden 200 IT- und OT-Experten aus Industrieunternehmen weltweit befragt.

Laut SANS dient IIoT in 71 Prozent zum Monitoring von Prozessen. Zweithäufi gs-ter Einsatzzweck ist das Sammeln von Statusmeldungen und das Versenden von Alarmen (69 Prozent), gefolgt von der Prog-nose von Wartungsintervallen (56 Prozent). Nur 50 Prozent des IIoT wird wirklich zur di-rekten Steuerung von Anlagen eingesetzt. In allen Bereichen kommen ständig neue Endpunkte hinzu. Aber speziell im Bereich Monitoring und Informationsgewinnung kann in Zukunft wahrscheinlich die größte Zunahme an Devices erwartet werden.

Überraschend sind die Angaben zu der geschätzten Zahl der vernetzten Geräte in der eigenen Organisation. 40 Prozent aller Befragten geben an, dass sie weniger als 100 Devices im Netzwerk haben. Dies liegt daran, dass gerade Betriebsleiter eine komplette Anlage oder eine Produktions-straße als ein Gerät sehen. Aus Sicht der IT stecken aber genau hier eine große An-zahl von Sensoren, Rechnern, Steuerungs-modulen, die alle über digitale Protokolle kommunizieren. Zudem kommen neben IP auch andere Protokolle zum Einsatz. Die Diskrepanz bei der Einschätzung führt zu einem großen Anteil an Schatten-IT, die von Sicherheitstools wie IPS oder Vulne-rability Assessment nicht erfasst werden können.

Eine Sicherheitsarchitektur muss aber alle Endgeräte erfassen, und das sind häufi g mehr, als IT-Entscheider vermuten. Dies erklärt, warum 82 Prozent der Teilnehmer die Informationen aus IIoT für eine verbes-serte Visibilität und Analyse einsetzen.

Aufbau einer passenden Sicherheitsstrategie für IIoT

Unternehmen müssen ihre Sicherheits-mechanismen an das Zeitalter der Digi-talisierung anpassen. Normen, wie ISO 27001 oder Purdue Enterprise Reference Architecture (PERA), geben einen hierar-chischen Standard zur Segmentierung von Netzwerken vor, sind aber keine Sicher-heitsleitlinien, die umfassenden Schutz garantieren. Sie liefern aber wichtige Eck-punkte bei der praktischen Umsetzung einer passenden Sicherheitsstrategie.

Alle Endpunkte sollten direkt nach dem Verbinden mit dem Netzwerk erkannt, verwaltet und je nach Gerätetyp in spezi-fi sche virtuelle Netzwerke (VLAN) segmen-tiert werden. Je nach Art des Gerätes soll-ten dann zudem weitere Sicherheitstools orchestriert werden. Dazu eignet sich ein Erkennungs- und Segmentierungswerk-zeug, das sich neben der Verwaltung der Endpunkte auch direkt in andere Sicher-heitslösungen integriert und dabei die ge-wonnene Intelligenz über die Endpunkte weitergeben kann.

Über die reine Erkennung und Segmentie-rung aller Endpunkte sollten IT-Abteilun-gen über das Risk-Level und weitere Infor-mationen der Devices bekommen. Diese müssen ohne Agenten auf den Geräten gewonnen werden, denn Compliance-Vorgaben der Hersteller erlauben keine zu-sätzliche Software und zudem keine akti-ven Sicherheitsmechanismen. Ein Verstoß führt zum Erlöschen der Betriebserlaubnis und der Gewährleistung.

Zudem sollte speziell im Industriebereich ein Monitoring des Datenverkehrs zur Erkennung von ungewöhnlichen Verhal-tensweisen im Netzwerk erfolgen. Infor-mationen, wie verwendete Ports und Pro-tokolle, Betriebssysteme und Gerätetypen, helfen der IT, sinnvolle Entscheidungen zu treff en, ohne das Produktionsergebnis zu beeinträchtigen. Die Aktionen sind granu-lar, und die Aktivitäten können auf einen „Monitor-only“-Modus reduziert werden.

Fazit

Schlagworte, wie IoT oder Industrie 4.0, sind seit Jahren in aller Munde, und genau deshalb gilt es, zukunftsweisende Konzep-te endlich in die Praxis umzusetzen. Die Di-gitalisierung in der Produktion ist in kurzer Zeit weit vorangeschritten, daher müssen Organisationen ihre Sicherheitsmechanis-men anpassen – sonst drohen Betriebsaus-fälle, Verluste und weitere Gefahren durch Cyberattacken.

Wichtig ist dabei vor allem die Fähigkeit, alle Endpunkte im Netzwerk zu erken-nen, kontextbezogene Informationen zu gewinnen und die wachsende Anzahl der Devices effi zient zu verwalten. Dabei braucht es automatisierte Mechanismen, die IT-Abteilungen bei der Durchsetzung von granular abgestimmten Policies un-terstützen. ◀

PRODUKTANBIETER

Seite 72

Seite 86

Seite 91

Seite 92

Seite 95

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 67

Seite 70

Seite 72

31

Kritische Infrastrukturen

Cyberattacken zeigen sich immer viel-schichtiger, heißt es im aktuellen Be-

richt des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die meis-ten Meldungen kamen aus dem Bereich Informationstechnik und Telekommuni-kation, gefolgt von Bedrohungen im Ener-giesektor. Experten gehen jedoch davon aus, dass sich Art, Ziele und Motivation für Angriff sszenarien 2019 und in den Jahren darauf kontinuierlich wandeln werden. Ge-sellschaftliche oder politische Ereignisse können die Beweggründe der Angreifer tagesaktuell ändern, sodass grundsätzlich alle KRITIS-Unternehmen im Fokus stehen und sich vor möglichen Übergriff en schüt-zen müssen. BSI-Präsident Arne Schön-

Andres DickehutGeschäftsführender Gesellschafter der Consultix GmbH und Gesellschafter der ColocationIX GmbH

Kritische Infrastrukturen benötigen eine unangreifbare Basis

Rechenzentren als Orte besonderer Widerstandskraft

Mit fortschreitender Digitalisierung erhöht sich unsere Abhängigkeit von technischen Systemen. Hierbei verbindet Kommunikationstechnik ein sensibles Ökosystem aus Energieversorgung, Transport, Gesundheits- und Finanzwesen sowie weiteren Dienstleistungen, die auf die Verarbeitung personenbezogener Daten angewiesen sind. Es entsteht eine fi ligrane Komposition, ohne die unsere moderne Gesellschaft heute nicht mehr denkbar wäre. Alle Organisationen und Einrichtungen mit wichtiger Be-deutung für das Gemeinwesen, bei deren Ausfall oder Beeinträchtigung erhebliche Störungen der öff entlichen Sicherheit, nachhaltig wirkende Versorgungsengpässe oder andere dramatische Folgen eintreten würden, gelten bekanntlich als „Kritische Infrastrukturen“ (KRITIS). Gerade diese Unternehmen sind besonders gefährdet, immer wieder und in Zukunft verstärkt Opfer von Hackerangriff en zu werden. Laut einer Studie von Mo-nitor IT-Sicherheit Kritischer Infrastrukturen waren 73 Prozent aller KRITIS-Unternehmen schon mindestens einmal Ziel eines digitalen Überfalls.

32

bohm erklärt, dass Anzahl und Qualität der Attacken bereits erheblich zugenommen haben. Erst kürzlich griff en Hacker erfolg-reich ein französisches Bauunternehmen an und entwendeten KRITIS-Daten – da-runter Unterlagen zu einem geplanten Atommüll-Endlager und Pläne der Stand-orte von Videokameras, die in einem fran-zösischen Hochsicherheitsgefängnis ein-gesetzt werden sollten. Kurze Zeit später kursierten 65 Gigabyte der gestohlenen, sicherheitsrelevanten Dateien im Darknet.Wie aber können sich KRITIS-Betroff ene umfassend schützen? Der erste Schritt sollte darin bestehen, eine hochspezifi sche Risikobetrachtung durchzuführen, um zu eruieren, wo die eigenen Bedrohungen und Schwachstellen lauern. Insbesondere für Unternehmen, die ihre IT im eigenen Rechenzentrum betreiben, bilden dabei die Gewährleistung lückenloser IT-Sicherheit sowie die uneingeschränkte Verfügbarkeit des Systems eine Herausforderung. Denn neben der Gefahr durch Hackerangriff e be-stehen auch physisch-permanente Risiken durch zum Beispiel großfl ächige Strom-ausfälle, Feuer, technische Mängel und Flugzeugeinschläge, die für den Ausfall der KRITIS-Sicherheitsstruktur sorgen können. Auch Naturkatastrophen, wie Hochwas-ser, Stürme, Erdstöße und Blitzeinschläge, können den Betrieb eines Rechenzen trums maßgeblich beeinträchtigen und zu Sys-temausfällen führen. In puncto Umwelt-phänomene spielt der Standort eines Data Centers eine nicht unerhebliche Rolle. Entscheiden sich Unternehmen mit kritischen Infrastrukturen aus Sicherheits-gründen dafür, ihre Private Cloud und IT-Infrastrukturen in ein externes Colocation-Rechenzentrum auszulagern, sollten sie auch die Lokation mit deren spezifi schen Abhängigkeiten bedenken. Aktuell stehen sieben der zehn größten Rechenzentren Deutschlands im Großraum Frankfurt, ei-ner Region, die regelmäßig Erdstöße ver-zeichnet. Das kleinste Bundesland Bremen als Gegenbeispiel liegt in der seismischen Zone 0, unterliegt damit keinerlei Erdbe-bengefahr und gilt als Region mit den wenigsten Blitzeinschlägen in Deutsch-land, wie der „BlitzAtlas“ von Siemens be-richtet. Weitere äußere Faktoren bei der Standortwahl sind Bergbau-Aktivitäten oder Einfl ugschneisen von Flughäfen, wo eine erhöhte Absturzgefahr von Flugzeu-gen droht.

Als Rechenzentrums-Partner im Bereich KRITIS kommt infrage, wer Gebäude-

design, Sicherheitstechnik, Stromversor-gung, Klimatisierung und Brandschutz sowie Prozesse optimal aufeinander ab-stimmt und damit alle Voraussetzungen für die Sicherheit, Verfügbarkeit und Inte-grität erfüllt. Sind diese Faktoren gegeben und von unabhängigen Prüfern bestätigt, erhält der Betreiber ein Zertifikat des Standards ISO 27001. Er ist der weltweit am meisten anerkannte Standard für die Informationssicherheit im Rechenzen-trum und ein wesentliches Kriterium bei der Wahl eines externen Data-Partners. Informationen zur Ausfallsicherheit ihres passenden Daten-Hotels erhalten Su-chende über die Tier-Klassifi zierungen des amerikanischen Instituts Uptime. Es exis-tieren vier Tier-Klassen, die eine Ausfallsi-cherheit von 99,67 Prozent bis 99,99 Pro-zent Verfügbarkeit beschreiben. Auf den ersten Blick erscheinen die Unterschiede zu vernachlässigen, was sich jedoch kom-plett anders darstellt, wenn im Extremfall Ausfallzeiten entstehen. Firmen, die unter die KRITIS-Verordnung fallen, sollten auf Tier-4-Partner mit einem jährlichen Aus-fallrisiko von 0,8 Stunden bauen. Hier sind fast alle Single Point of Failures (SPOFs) im kompletten technischen System, die einen Systemausfall herbeiführen könnten, aus-geschlossen. Neben IT-Komponenten und Zutrittskontrollen spielen auch Klimatisie-rung, Brandschutz und Leitungswege eine Rolle – Parameter, die in direkter Abhän-gigkeit zu physischen Sicherheitsfaktoren stehen.

KRITIS-Unternehmen, die sich wachsen-den Herausforderungen durch Cyberan-griffe einerseits und zunehmende Re-chenschaftspfl ichten andererseits stellen müssen, sollten die wehrhafte Rechenzen-trums-Basis für ihre IT-Umgebung an den Anfang aller strategischen Überlegungen stellen. Sie bildet, in Verbindung mit einem durchdachten Managementsystem zur In-formationssicherheit, den Best Case, um sich sicher für die Zukunft aufzustellen. ◀

PRODUKTANBIETER

Seite 64

Seite 65

Seite 66

Seite 72

Seite 77

Seite 78

Seite 83

Seite 84

Seite 86

Seite 91

Seite 92

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 65

Seite 66

Seite 67

Seite 68

Seite 70

Seite 72

Seite 73

Seite 78

Seite 83

Seite 93

33

Stefan Mutschler

Kryptographie in der IT

Wettkampf der Mathematik

Verschlüsselung gibt es, solange es Informationen gibt. Ob Hierogly-phen in Grabinschriften oder Rauchzeichen am Horizont, immer geht es darum, Informationen so zu transportieren, dass sie trotz allgemei-ner Sichtbarkeit nur vom gewünschten Empfänger verstanden werden können. Heute ist Kryptographie eine ausgewachsene Wissenschaft, in welcher die hohe Kunst der Mathematik sowie die Rechenleistung von Computern die Hauptrollen spielen. Als Ziele der Kryptographie gelten laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ne-ben Vertraulichkeit auch Integrität, Authentizität und Verbindlichkeit.

erforderlich sein können. 1998 schaff te das einer der damals schnellsten Super-computer erstmals in weniger als 60 Stunden. Einige Jahre später gelang es unter anderem auch deutschen Forschern, den Schlüssel mit einem vergleichsweise günstigen Rechner in vertretbarer Zeit zu knacken. Im Jahr 2000 wurde als Nachfol-ger von DES der neue Standard Advanced Encryption Standard (AES) auf den Weg gebracht, der in Varianten mit Schlüssel-längen von 128, 192 und 256 Bit zur Ver-fügung steht. Er gilt bis heute als sicher, die 256-Bit-Version ist in den USA sogar für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen. Es gilt: Je länger der Schlüssel desto aufwendi-ger die Entschlüsselung. Man darf davon ausgehen, dass auch AES-256 seinen Sta-tus nicht ewig behalten wird – ein noch längerer Schlüssel wird sicher irgendwann folgen. So ist Kryptographie heute ein sehr dynamisches Gebiet, auf dem sich Vertei-diger und Angreifer immer wieder neue Schlachten liefern.

tungsfähiger werden, ist es nur eine Frage der Zeit, bis ein sicher geglaubter Schlüssel relativ schnell und mit vertretbarem Auf-wand entschlüsselt werden kann.

Die Länge macht´s

Ein sehr bekanntes Beispiel ist der Data Encryption Standard (DES): Mit einer Schlüssellänge von 56 Bit galt er lange als äußerst sicher. Die Länge von 56 Bit bedeutet, dass für das Knacken durch Probieren zwei hoch 56 Kombinationen

Kryptografi e

Auch wenn Kryptographie eine uralte Disziplin ist, mit der Entwicklung und

Verbreitung von Computern wurde sie komplett neu erfunden. Während vorher nur vergleichsweise einfache Verfahren zum Einsatz kamen, sind es heute ma-thematische Funktionen, komplexe Algo-rithmen und immer längere Zahlen. Das Problem: Schlüssel können teils durch Berechnung, und wo das nicht möglich ist, durch Probieren (Brut Force) geknackt werden – alles nur eine Frage des Rechen-aufwands. Und da Computer immer leis-

34

Auch das BSI beschreibt die Kryptogra-phie als ein aktives Forschungsfeld, das eine kontinuierliche Bewertung und Fort-entwicklung kryptografi scher Verfahren zwingend erforderlich macht. Die Bun-desbehörde formuliert aus diesem Grund regelmäßig neue Empfehlungen und Stan-dards. Dabei stehen nicht nur kryptogra-fi sche Verfahren im Fokus, sondern auch deren praktische Umsetzung und Imple-mentierung. Veröff entlicht werden diese Empfehlungen und Standards beispiels-weise in Form von „Technischen Richtli-nien“ (TR). Sie sollen die Verbreitung von angemessenen IT-Sicherheitsstandards sicherstellen.

In den Technischen Richtlinien der Serie BSI-TR-02102 etwa legt das BSI eine Bewer-tung der Sicherheit ausgewählter krypto-grafi scher Verfahren und Empfehlungen für den Einsatz der kryptografi schen Pro-tokolle TLS (Transport Layer Security), IPsec (Internet Protocol Security), IKE (Internet Key Exchange) und SSH (Secure Shell) vor und ermöglicht damit eine längerfristige Orientierung bei der Wahl jeweils geeig-neter Methoden. Auskunft über die kryp-tografi schen Vorgaben für Projekte des Bundes gibt die Technische Richtlinie BSI TR-03116.

Ferner wirkt das BSI an der Erstellung und Pfl ege internationaler Vorgaben und Standards auf dem Gebiet der Kryptogra-phie mit. Dies geschieht unter anderem im DIN-Normungsausschuss NA 043-01-27 AA und im Rahmen der Mitarbeit bei SOGIS (Senior Offi cials Group Information System Security).

Symmetriespiele

Mit dem Computerzeitalter kamen zu den klassischen, symmetrischen Verschlüsse-lungsverfahren, bei welchen der Schlüs-sel für Ver- und Entschlüsselung identisch ist, auch asymmetrische Verfahren hinzu. Der Schlüssel für die Verschlüsselung ist hier ein komplett anderer, als der für die Entschlüsselung. Ersterer wird allgemein publiziert, während letzterer ausschließ-lich den gewünschten Zielen übermittelt wird. Asymmetrische Verschlüsselungs-verfahren gelten im Vergleich mit sym-metrischen Verfahren als einfacher bei Schlüsselmanagement und -verteilung, verbrauchen aber ein Vielfaches der Re-chenleistung und damit auch Energie. Oft moniert wird auch die Fehleranfälligkeit

bei der Implementierung. Zu den populärs-ten Vertretern von Verfahren mit asymme-trischer Verschlüsselung zählen neben RSA (Rivest, Shamir und Adleman) etwa die Internetübertragungsprotokolle https und SSH. Bei den symmetrischen Verfah-ren sind es neben DES/3DES und AES vor allem die Entwicklungen von Rivest-Cipher in Form von RC4, RC5 und RC6. In der Praxis werden heute zunehmend hybride Verfah-ren eingesetzt, welche die Vorteile von bei-den Verfahren kombinieren sollen.

Die Verschlüsselung von Daten verhin-dert, dass gestohlene oder unberechtigt veröff entlichte Informationen verwertet werden können. Vor allem bei der Ausla-gerung von Anwendungen in die Cloud ist eine solche Absicherung unerlässlich. Dabei ist allerdings nicht jede Verschlüs-selung sicher genug. Wichtig ist, dass die Verschlüsselung nicht nur beim Transport der Daten aktiv ist, sondern auch bei der Verarbeitung und in der Ablage in einem Speichersystem. „Lösungen, welche die Standardverschlüsselung verändern, um Informationen in den verschlüsselten Daten suchen oder sortieren zu können, lassen sich leicht aushebeln, wenn kei-ne besonderen Vorkehrungen getroff en werden“, weiß Elmar Eperiesi-Beck, CEO & Gründer von eperi. Er plädiert für Gate-way-basierte Lösungen, um berechtigte Anwender bei ihrer Arbeit mit den Daten zu unterstützen – ohne wichtige Funktio-nen, wie zum Beispiel das Suchen in den Daten, zu beeinträchtigen.

Im Moment scheint das System Verschlüs-selung ganz gut zu funktionieren – zumin-dest bei denen, die sich über dessen Funk-tion und Wirkung im Klaren sind. Nichts schützt Daten besser als eine geeignete Verschlüsselung, solange die Dynamik des technologischen Wettrennens immer im Auge behalten wird. Mit dem Quanten-computer ist jedoch schon die nächste Generation von Rechnern am Horizont erkennbar. Experten fürchten, dass ange-sichts der dort zur Verfügung stehenden Verarbeitungskapazitäten alle bekannten Verschlüsselungsverfahren wirkungslos sein werden. Wahrscheinlich muss damit auch die Verschlüsselung abermals kom-plett neu erfunden werden. ◀

PRODUKTANBIETER

Seite 62

Seite 64

Seite 65

Seite 72

Seite 80

Seite 86

Seite 88

Seite 89

Seite 92

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 65

Seite 67

Seite 72

Seite 80

Seite 89

35

Malware-/Virenschutz

Malware hat viele Gesichter. Eines der hässlichsten ist sicherlich das in Form von Ransomware – Malware als erpresserische Verschlüsselungs-Trojaner. Im Rahmen von Advanced Persistant Threats (APTs) kommt Mal-ware als einer von vielen Bausteinen in einer komplexen Angriff skette zum Einsatz. Einschlägige Hersteller und Marktforscher sind sich einig: Auch 2019 bleibt Malware eine gefährliche Plage, am oberen Ende ange-führt von einer neuen Generation von Ransomware und anderen bösar-tigen Trojanern.

92 Prozent der IT-Dienstleister, dass sich die Anzahl der Ransomware-Angriff e 2019 auf gleich hohem oder höherem Niveau fortsetzen wird.

Als besonders gefährlich sehen Security-Experten dabei weniger die nach dem Gießkannenprinzip verteilten Ransom-ware-Angriff e, sondern die speziell auf ein Ziel zugeschnittenen Attacken. „Gezielte Ransomware ist schädlicher, denn hier sind keine Bots mehr am Werk, sondern Menschen, die eine Strategie entwickelt haben, wie sie vorgehen und gegen wen“, heißt es in einem aktuellen Threat-Bericht der SophosLabs. „Im System des Opfers an-

Der Ransomware-Angriff auf das Ma schi-nen bau unternehmen KraussMaff ei

Ende 2018 hat es wieder deutlich vor Augen geführt: Die Ransomware-Plage ist keineswegs ausgestanden. Auf einen leichten Rückgang der Aktivitäten im Lau-fe des Jahres 2018 folgt off enbar nun eine neue Angriff swelle mit einem neuen Typus Ransomware – noch hinterlistiger, noch schwerer zu fassen und oft weitaus ziel-gerichteter als früher. Wie akut die Bedro-hung für mittelständische Unternehmen durch Ransomware ist, belegt auch eine aktuelle Befragung des Technologieun-ternehmens Datto unter 2.400 IT-Dienst-leistern weltweit. Demnach erwarten

gekommen, sind sie in der Lage, Schutz-funktionen zu umgehen, Backups zu lö-schen und teilweise sogar eigene Spuren zu verwischen. So werden hohe Summen an Lösegeldern von den Opfern erpresst. Dieser ,interaktive Angriff sstil‘, bei dem Gegner Schritt für Schritt manuell durch ein Netzwerk manövrieren, erfreut sich zunehmender Beliebtheit.“

IT-Dienstleister geben in der genannten Datto-Studie an, dass das geforderte Lö-segeld durchschnittlich bei 3.700 Euro liegt – die durchschnittlichen Kosten ei-nes IT-Ausfalls infolge einer Ransomware-Attacke liegen hingegen bei 40.500 Euro. Bei einer solchen Relation (etwa 1 : 10) sind off enbar genügend kleine und mittlere Unternehmen geneigt, das Lösegeld zu zahlen, ein Faktum, mit dem die Angreifer gerne kalkulieren. Die „gute Zahlungsmo-ral“ der Betroff enen wiederum motiviert Kriminelle, mit ihren Ransomware-Angrif-fen fortzufahren und ihre Methoden noch weiter zu verfeinern und zu spezialisieren. Dabei sind die Angriff e, von welchen die Öff entlichkeit erfährt, off enbar nur die Bi

ld: ©

depo

sitph

otos

.com

/lollo

k

Stefan Mutschler

Nächste Runde bei Hase und Igel in der IT-Security-Arena

Malware-Trends 2019

36

Spitze des Eisbergs. Die in der Studie be-fragten IT-Dienstleister geben an, dass weniger als ein Viertel der Ransomware-Attacken den Behörden gemeldet wird.

Auch Banking-Trojaner, wie Emotet, kommen noch gefährlicher zurück

Neben Ransomware bleiben auch „nor-male“ Trojaner weiterhin brandgefährlich, gerne verpackt in gefälschten E-Mails von vermeintlich vertrauenswürdigen Absen-dern. So wurden zum Jahresende 2018 die Postfächer von Internet-Nutzern mit Mails überschwemmt, die angeblich von der Te-lekom, anderen Providern, bekannten Ver-sandhäusern oder sogar von der Berliner Tafel kamen. Sie alle trugen im Anhang ge-fälschte Rechnungen, mit deren Öff nung sich die Empfänger unter Umständen die jüngste Version des schon seit Jahren umtriebigen Banking-Trojaners Emotet einfi ngen. Und hat sich dieser erst einmal auf dem Rechner breitgemacht, spioniert er Online-Banking-Zugangsdaten aus und lädt Malware nach, mit der Kriminelle den gesamten Rechner kontrollieren und weitere Zugangsdaten abgreifen können. Zudem greift Emotet auch Kontaktinfor-mationen, -beziehungen und Kommuni-kationsinhalte aus E-Mail-Programmen ab, die wiederum als Grundlage weiterer, besonders authentisch wirkender Spam-Mails dienen.

Gängige Abwehrtools sind meistens machtlos, da sich Emotet wie viele andere moderne Schadprogramme immer wieder selbst modifi ziert und tiefgreifende Ände-rungen am infi zierten System vornimmt. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Tei-le der Malware auf dem System verblei-ben. Einmal infi zierte Systeme sind daher grundsätzlich als vollständig kompromit-tiert zu betrachten und müssen neu auf-gesetzt werden. Das BSI, das bereits seit Monaten vor Emotet warnt, sieht drin-genden Handlungsbedarf. Unternehmen müssten ihre Sicherheitsteams entlasten, damit Angriff e entdeckt und bereinigt werden können. Manuelle Prozesse seien diesbezüglich aber nicht mehr zeitgemäß und führten durch die große Masse an zielgerichteten Attacken schnell zu einer Überlastung. Automatisierung ist gera-de beim Umgang mit Cyberattacken ein schwieriges Thema – schließlich ist eine Plattform mit vielen kritischen Assets ver-bunden.

Es gilt zu bedenken: Jeder Sicherheitsvor-fall weltweit liefert Hunderte von Indi-cators of Compromise (IOCs). Dabei geht es nicht nur um Malware-Signaturen, sondern auch um verbundene Registrie-rungsschlüssel, Hash-Werte und Kommu-nikationswege wie URLs oder E-Mail-Ad-ressen. „Um auf eine Gefahr, wie Emotet, umgehend reagieren zu können, ist es deshalb sinnvoll, eine eigene Threat Intel-ligence Library aufzubauen“, rät Markus Auer, Regional Manager Central Europe bei ThreatQuotient. „Diese bündelt und analysiert alle Bedrohungsinformationen. Neben der Aufarbeitung von kommerzi-ellen Informationen dürfen auch andere Quellen, wie frei verfügbare Threat Feeds, nicht exkludiert werden. Außerdem kön-nen eigene SIEM-Protokolldaten (Security Information and Event Management) au-tomatisch mit einbezogen werden. Hierbei ist es essentiell, Indikatoren so schnell wie möglich zu erhalten.“

APTs: zwei Gruppen von Hauptakteuren

Der Security-Anbieter Kaspersky Lab er-wartet für das Jahr 2019, dass sich die Be-drohungsakteure im Bereich APTs in zwei Gruppen aufteilen: Neben den herkömm-lichen, gut ausgerüsteten und sehr erfah-renen Angreifern würden tatkräftige, noch unerfahrene Einsteiger das APT-Spielfeld betreten. Die Forscher des Unternehmens sehen die erstgenannte Gruppe aber als wesentlich größere Herausforderung. Der Grund: noch raffi niertere Techniken, die immer schwerer erkenn- und attribuier-bar sein werden.

Bei der Abwehr von Cyber-Angriffen scheint eines sicher: Es wird immer wieder Überraschungen geben. „Cyber-Krimina-lität ist heute nicht nur ein lukratives Ge-schäft, sondern besticht auch zunehmend durch sehr gutes Design und hohe Intelli-genz“, so Michael Veit, Security Experte bei Sophos. „Doch auch die Security-Branche entwickelt sich schnell“. Beispielsweise durch Machine Learning, verhaltensba-sierte Erkennung und die intelligente Vernetzung der Security könnten Security-Anbieter eine Vielzahl an modernen und hoch entwickelten Angriff en erkennen und abwehren. Die Security entwickle sich rasch und sei den Cyber-Kriminellen in vielen Fällen bereits mindestens einen Schritt voraus. ◀

PRODUKTANBIETER

Seite 62

Seite 64

Seite 66

Seite 68

Seite 70

Seite 72

Seite 80

Seite 86

Seite 88

Seite 91

Seite 94

Seite 95

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 65

Seite 66

Seite 67

Seite 68

Seite 72

Seite 80

Stefan Mutschler

Nächste Runde bei Hase und Igel in der IT-Security-Arena

Malware-Trends 2019

37

Lutz FeldgenLead Consultant Secure Information bei Computacenter

Intelligentes Sourcing für mehr Sicherheit

Optimale Sourcing- Strategie für bessere Cyber DefenceDie Anforderungen an die Unternehmens-IT und deren Sicherheit sind höchst komplex geworden, denn kein Business funktioniert mehr ohne IT. Gleichzeitig hat sich die Bedrohungslage deutlich verschärft, und Fachkräfte sind Mangelware. So gehen Unternehmen immer häufi ger den Weg, Teile ihrer Security auszulagern, um ihre Cyber Defence gut aufzustellen. Dafür bedarf es einer schlauen Sourcing-Strategie, denn nicht alle Services eignen sich für das Outsourcing.

Unternehmen stehen hierbei vor vielen Fragen: Was sind die richtigen Lösun-

gen für Prävention, Detektion und Reaktion, und wer ist der passende Service Provider? Wer übernimmt welche Aufgaben, was sollte selbst erbracht, was kann ausgelagert werden? Wie lässt sich eine reibungslose Zusammenarbeit sicherstellen? Der Weg zur richtigen Sourcing-Strategie fällt vielen Unternehmen nicht leicht. Eine Faustregel gibt es jedoch: Im Mittelpunkt sollte stets das perfekte Zusammenspiel zwischen Menschen, Tools und Prozessen stehen.

Vielschichtige Aufgaben für Service Provider

Diese reibungslose Zusammenarbeit ist nicht immer einfach, da sich die Security

in der Regel nicht aus einem übergeordne-ten Service ausgrenzen lässt. So ist die End-point Security ein Teil des Workplace, und Firewalls gehören zum Netzwerk. Der Out-put von Security-Technologien wie Firewall, NIPS oder Endpoint-AV für Detektion und Prävention müssen dann zentral im Cyber Defence Center verarbeitet werden. Das Spektrum ist vielschichtig und erfordert vom Service Provider ein großes Verständ-nis für die Security-Technologien und deren Abhängigkeiten voneinander. Gleichzeitig muss er in der Lage sein, die präventiven Si-cherheitslösungen zu orchestrieren, auch wenn er sie nicht selbst betreibt.

Deshalb sollten Unternehmen auf Partner setzen, die sich in allen Gebieten gut aus-kennen und passende „embedded Security“

in ihrem Portfolio haben. Um ein intelli-gentes Sourcing sicherzustellen, hilft eine Security-Strategieberatung, wie sie einige Dienstleister im Rahmen ihrer Managed Services anbieten. Oberste Prämisse ist immer, die IT-Sicherheit als Ganzes zu be-trachten. Eines sollte Unternehmen dabei stets bewusst sein: Unabhängig davon, welche Security Services sie outsourcen, die Entscheidung über die Maßnahmen sowie die Risiken und die Verantwortung über die Datensicherheit verbleiben immer bei ihnen.

Security Automatisierung kommt

Neben diesen Aspekten halten Automati-sierung und Orchestrierung zunehmend Einzug in die IT-Security. Das liegt vor allem daran, dass sich die Zeitspanne zwischen dem Entdecken eines Angriff s und der Analyse eines Vorfalls inklusive der ent-sprechenden Reaktion deutlich verkürzen muss. SOAR (Security Orchestration and Automated Response)-Plattformen kön-nen dabei unterstützen, diesen Wert zu verbessern. Wird eine SOAR-Plattform mit weiteren Quellen verknüpft – etwa für ein automatisiertes, komplexes Event Enrich-

Managed Security Services

Bild

: © de

posit

phot

os.c

om/W

right

Stud

io

38

ment oder mit Maßnahmen der Endpoint- oder Network-Security, – ermöglicht dies eine automatisierte Analyse und Reaktion.

Allerdings ist eine vollständige Automation nicht der Königsweg, da sowohl die tech-nologische Integration als auch Organisa-tion und Prozesse fl exibel bleiben müssen. So werden neuartige Bedrohungen zwar automatisiert aufgespürt, diese Security Incidents dann aber zunächst manuell überprüft und eine passende Reaktion defi niert. Erst danach kann das System darauf automatisch reagieren. Da SOAR-Plattformen eine immer wichtigere Rolle spielen, sollten Firmen darauf achten, dass ihr Sourcing-Partner sie darauf vorbereiten und entsprechend unterstützen kann – un-abhängig von der eingesetzten Sicherheits-technologie.

Kern guter Cyber Defence Services

Für eine gute Cyber Defence sind drei Kern-Services zu betrachten: SIEM (Securi-ty Incident and Event Management) und Vulnerability Management erkennen pro-aktiv Risiken, Vorfälle, Schwachstellen und Angriff e. Ergänzend übernimmt ein Infor-mation Security Offi cer die Kontextualisie-rung der identifi zierten Probleme. Er bildet die Schnittstelle zwischen Service Provider und Kunde und hat den erforderlichen Überblick über die individuellen Gegeben-heiten des Unternehmens, um die optimale Reaktion zur Eindämmung und Beseitigung aller identifi zierten Bedrohungen einzulei-ten oder zu empfehlen.

Layer-Modell für Managed Services

Um einen guten Überblick über die Anfor-derungen der IT-Sicherheit zu bekommen, hat sich der Einsatz eines Ebenen-Modells bewährt. Auf dieser Grundlage lässt sich

ein passgenaues Betriebsmodell ermitteln. In der untersten Ebene geht es hauptsäch-lich um die Verfügbarkeit von präventiv wirkenden Security-Komponenten, die ein fehlerfreies Arbeiten ermöglichen und die Aktualität der Software sicherstellen. Auf Ebene zwei sind Komponenten im Einsatz, die vor Attacken schützen. Es fi ndet eine erste Basisanalyse statt, um Angriff e zu er-kennen. Die dritte Ebene befasst sich mit einer tiefergehenden Analyse der Security Incidents, wofür ein umfassendes Know-how erforderlich ist. Forensische Untersu-chungen ermöglichen auf der vierten Ebene tiefgreifende Detailanalysen für nachhalti-ge Reaktionen auf die Incidents.

Durchdachte Sourcing-Strategie

Beim Outsourcen verschiedener Services sollte immer berücksichtigt werden, wie sich Synergien bestmöglich nutzen lassen. So sorgt beispielsweise die Auslagerung von Cyber Defence Services an einen be-reits bestehenden Dienstleister, beispiels-weise für LAN, zwar für einen kurzen In-formationsfl uss, führt aber gleichzeitig zu einem höheren Governance-Aufwand, da die Segregation of Duties (Funktionstren-nung) nicht mehr gegeben ist. Wird einem Service-Provider dagegen ausschließlich die Cyber Defence übertragen, sind die Verant-wortlichkeiten zwar klar getrennt, aber es gilt, mehr Prozesshürden zwischen ver-schiedenen Service-Providern zu meistern.

Unabhängig davon, ob Unternehmen die gesamte Security oder nur Teile auslagern, eine durchdachte Strategie ist die Basis für jede Sourcing-Entscheidung. Gleichzeitig müssen sich Unternehmen bewusst sein, dass die Entscheidung über Maßnahmen und Risiken sowie die Verantwortung für die Datensicherheit immer bei ihnen ver-bleibt. ◀

Abb.: Layer-Modell für Managed Security ServicesAbb.: Layer-Modell für Managed Security Services

SECURITY FORENSICS

SECURITY ANALYSIS & MANAGEMENT

IT SECURITY MONITORING

IT OPERATIONS

L 4

L 3

L 2

L 1

HIGH LEVEL TASKS

Forensic analysis

Security incident analysis & response

IT security monitoring & event detection

IT security device monitoring

configuration & management

EXAMPLE SERVICES

Post incident investigation &

Regulatory assessments

Vulnerability scanning, attack & advanced

persistent threat mitigation

Security analytics & reporting

Security gateway & end point protection

SERVICE LAYER

SECURITY SOURCING LAYER

BUSI

NESS

VAL

UE

IMPA

CT

EBENEN-MODELL FÜR MANAGED SECURITY SERVICES

PRODUKTANBIETER

Seite 65

Seite 66

Seite 68

Seite 72

Seite 80

Seite 86

Seite 92

Seite 94

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 65

Seite 66

Seite 67

Seite 68

Seite 70

Seite 72

Seite 80

39

Mobile Device Management

Pierre GronauGründer und Geschäftsführer von Gronau IT-Cloud-Computing

Unternehmensleitung, IT-Administrator und Anwender als Sicherheits-TriumviratMobile Endgeräte und deren sichere Nutzung im Unternehmensumfeld*)

Um einen sicheren und gleichermaßen produktiven Einsatz mobiler Endgeräte zu forcieren, steht die Unternehmensleitung in der Pfl icht, ein tragfähiges Enterprise Mobility Management (EMM) zu etablieren und zu schützen. Dabei befasst sich eine durchdachte EMM-Strategie nicht nur mit Sicherheitsfragen, sondern unterstützt Mitarbeiter auch bei ihrer täglichen Arbeit, indem sie Klarheit für alle Beteiligte schaff t. Diese Strategie gibt Anwendern Werkzeuge an die Hand, mit denen sie arbeitsbezogene Aufgaben auf Mobilgeräten durchführen können. In besonders kritischen, schützenswerten Umgebungen sind erhebliche weitergehende Maßnahmen zu ergreifen.

trieren und überwachen. Dabei spielt es keine Rolle, ob die mobilen Geräte vom Unternehmen angeschaff t wurden oder sich im Privatbesitz der oder des Mitarbei-ters befi nden – alle Geräte sollten zwin-gend an zentraler Stelle angemeldet sein und der entsprechende Mitarbeiter die Konfi guration allein verantworten. Über-schaubar bleiben diese Prozesse, wenn der Zuständige jedes Gerät über ein soge-nanntes Mo bile Device Management, eine Web-Konsole, löschen, konfi gurieren und sperren kann, sowie ihre Einstellungen hierüber kontinuierlich kontrolliert. Über eine Integration spezieller Tools in die vor-handenen IT-Strukturen kann es zudem gelingen, die Einhaltung fi rmeneigener Si-cherheitsmaßgaben sowie einen sicheren Zugang zum Firmennetz zu gewährleisten, Verschlüsselungen vorzunehmen und An-wendungen zu verwalten. Momentan bil-den vier Disziplinen den Kern des EMM: Bei den vier Bereichen ist die Rede von Mobile Information Management (MIM), Mobile Application Management (MAM), Mobile Device Management (MDM) und Enterpri-se Mobility Consulting (EMC).

mindestens einmal jährlich, je nach Risi-kolage auch häufi ger, durchgeführt und dokumentiert werden.

Das EMM in Händen des Administrators

Ein mit dem Sicherheitsthema betrau-ter IT-Mitarbeiter sollte das EMM für die mobilen Geräte der Kollegen, wie zum Beispiel Smartphones und Tablets, konzi-pieren und sie anschließend via Hard- und Softwarekomponenten zentral adminis-

Als Bezeichnung dafür, auch privat ge-nutzte Geräte, wie Smartphones oder

Tablets, in fi rmeneigene Netze zu integrie-ren, hat sich der Begriff BYOD (Bring Your Own Device) etabliert. Ein sinnvolles un-ternehmensinternes BYOD-Programm hält technische und organisatorische Voraus-setzungen fest, um private Geräte für die dienstliche Nutzung zu erlauben. Wichtig ist, dass Unternehmen die Einhaltung die-ser Anforderungen kontrollieren. Art und Umfang dieser Kontrollen orientieren sich am damit verbundenen Risiko und müssen

40

Entsperrmechanismen sicher nutzen

In Abhängigkeit von der Risikoanfällig-keit der Informationsstrukturen ergibt es Sinn, dass der zuständige IT-Mitarbeiter zur Nutzung der Entsperrmechanismen Vorgaben formuliert und Anwendern ge-genüber geeignete und nicht geeignete Verfahren erläutert. Zu seinen Aufgaben gehört es auch, Qualitätslevel für genutz-te Authentisierungsinformationen zu de-fi nieren. Dies erfolgt zum Beispiel durch Mindestlängen und Gültigkeitsdauer von Passwörtern und PINs – beispielsweise mindestens sechs Buchstaben inklusive Zahlen und Sonderzeichen. Bei einer sol-chen Verordnung unterstützt auf techni-scher Ebene ein durchdachtes Enterprise-Mobility-Management-System, indem es die Maßgaben umsetzt, kontrolliert und im Notfall erzwingt.

Firmenweite Regelungen zu Identitäts-und Access-Management, wie Passwort-länge und Passwortkomplexität, sind sinn-voll. Zudem sollte es die EMM-Vorschrift untersagen, auf mobilen Geräten, wie Smartphones und Tablets, administrative Arbeiten durchzuführen. Bei privilegier-ten Personen, wie Administratoren, kann bei Laptops mit besonderen zusätzlichen Sicherheitsmaßnahmen davon abgewi-chen werden, dabei sollten die Adminis-trationstätigkeiten jedoch auf keinen Fall in öff entlichen einsehbaren Räumen, wie „Internet Cafés“ oder „Flughafen Lobbys“, erfolgen.

Sichere Verbindungen

▪ VPN: Bei Funkverbindungen über WLAN und Mobilfunk sollten Mitarbeiter den von der Firma zur Verfügung gestellten VPN-Dienst immer nutzen. IT-Adminis-tratoren sollten ihn so einzurichten, dass sich die Verbindung ohne Zutun des Anwenders immer automatisch aufbaut.

▪ Bluetooth-Verbindungen sollten nur auf Geräten aktiviert sein, wenn diese mit von der Firma autorisierten Blue-tooth-Geräten verbunden werden. Die Bluetooth-Merkmale sollten auf „nicht sichtbar“ eingestellt werden.

▪ RFID: Near Field Communication, ab-gekürzt NFC, basierend auf RFID, sollte auf den tragbaren Geräten deaktiviert sein. Um RFID-nutzende Multi-Faktor-Authentisierungs-Geräte, wie Smart Card oder Reisepass, während der

Nichtnutzung zu schützen, sollten Mitarbeiter diese in geprüften RFID-Blocking-Schutzhüllen aufbewahren.

▪ WLAN: Der Standard „Service Set Iden-tifi er“ (SSID) sollte in den WLAN-Ein-stellungen abgeändert und der SSID Broadcast abgeschaltet werden. Nur Wi-Fi Protected Access 2 (WPA2) oder Wi-Fi Protected Access 3 (WPA3) sind bei WLAN-Verbindungen empfehlens-wert. WEP (Wired Equivalent Privacy), WPA oder ein Verzicht auf eine WLAN-Verschlüsselung sind nicht sicher und daher nicht erlaubt.

▪ USB: Es sollten nur fi rmenintern au-torisierte USB-Geräte angeschlossen werden. Im Zweifel über die Herkunft ist die Nutzung nicht zu empfehlen.

Einstellungssache

Es wird empfohlen, Zeitserver und Zeit-zonen auf „automatisch einstellen“ zu konfi gurieren, um Unregelmäßigkeiten und Angriff e auf das System zeitlich exakt analysieren zu können. Zudem sollten IT-Administratoren Mindestanforderungen an eine sichere und datenschutzkonforme Konfi guration von Web-Browsern anwen-den. Alle Massenspeicher, wie Festplatten und Flash-Speicher, sollten mit aktueller Kryptografi e- Technik verschlüsselt sein – unabhängig, ob es sich um interne oder externe Speichermedien handelt. Parallel sollten sensible Daten und Firmeninterna in abstreitbarer Form abgespeichert wer-den. Cloud-basierte Passwort-Manage-ment-Dienste sind nicht empfehlenswert.

Administratoren sollten von den jeweili-gen Herstellern angebotene Software-Ak-tualisierungen ohne Zeitverzug einspielen, mindestens jedoch monatlich. Dafür ist es ratsam, die Software-Aktualisierungs-funktion auf „automatisch“ einzustellen. Bei Software aus App-Stores müssen IT-Mitarbeiter und Anwender sicherstellen, dass ausschließlich vom Hersteller und vom Unternehmen angebotene und frei-gegebene Software zum Einsatz kommt. Die vom Unternehmen festgelegten Härtungsmaßnahmen sollten genau an-gewendet und mindestens einmal quar-talsweise überprüft werden. Ist zudem eine lokale Firewall verfügbar, so sollte sie aktiviert, und alle Geräte sollten mit einem Malware Schutz ausgestattet sein. Dieser ist idealerweise auf stündliche automati-sche Aktualisierung konfi guriert. ◀

*) Stark gekürzte Fassung. Der Originalbeitrag in voller Länge ist in IT-SICHERHEIT 6/2018 erschienen.

PRODUKTANBIETER

Seite 72

Seite 86

Seite 92

BERATER/DIENSTLEISTER

Seite 64

Seite 67

Seite 68

Seite 72

41

Thomas Sting DATA CENTER GROUP

Das kleine Einmaleins der Datacenter-Sicherheit

Fehler beim Monitoring, und was es können muss

Wie sicher ein Rechenzentrum ist, zeigt das Monitoring. Das Monito-ring wiederum ist weit mehr als nur punktuelle Beobachtung einzelner IT-Komponenten. Noch zu oft wird vernachlässigt, dass IT-Leiter einen zuverlässigen, detaillierten und vollständigen Überblick über ihre IT-Landschaften benötigen! Dazu zählt in jedem Fall auch die physikali-sche IT-Sicherheit. Nur so kann ein Rechenzentrum überhaupt erst si-cher und hochverfügbar sein. Ohne Überblick tritt dagegen immer eine von zwei Folgen auf: Im besseren Fall unnötige Kosten – im schlimme-ren der RZ-Ausfall.

Monitoring bedeutet zum einen die Kontrolle der Infrastruktur, wie zum

Beispiel Technik-, Klima- oder USV-Räume und deren Komponenten. Zum anderen aber auch die Überwachung und damit der Schutz vor physikalischen Bedrohun-gen, wie Wasser, Feuer sowie jeglicher Form von unautorisierten Zutritten, Zu-griff en oder EMV-Angriff en. Die spezifi -

schen Informationen und Störmeldungen müssen dann nicht nur zusammenlaufen, sondern auch ausgewertet werden. Letzt-lich ist ein Plan notwendig, wer im Störfall worauf reagiert. Im Gegensatz zur punk-tuellen Überwachung der IT-Systeme ist der große Gewinn dann ein vollständiger, rechtzeitiger Alarmierungsprozess.

Was sind Hürden

Zur Problematik gehört vielerorts, dass unterschiedliche Geräte und Applikatio-nen zum Monitoring der unterschiedli-chen Gewerke eingesetzt werden. Zum Beispiel nutzen die Brandfrüherkennung und die USV eigene Systeme und Konfi -gurationen. Das darf und kann auch so sein. Entscheidend ist nur, die dezentralen Daten über Schnittstellenkommunikation zu bündeln und die relevanten Informa-tionen in einem Monitoring-System zur Verfügung zu stellen.

Rechenzentrumssicherheit

Bild

: © de

posit

phot

os.c

om/k

ievith

42

Die Implementierung weiterer Einzelsys-teme scheitert oftmals allerdings daran, dass RZ-Verantwortliche die vermeintlich hohen Aufwände und Kosten einer Kon-solidierung fürchten.

Dabei kann die Lösung bereits durch ein adaptives und off enes Monitoring-Sys-tem kommen, dass die Kommunikation der Schnittstellen übernimmt.

Wichtig für den Informationsaus-tausch

Da die meisten Systeme und Gewerke in der Regel die Möglichkeit anbieten, Basisinformationen herauszugeben, sollten praktikable Lösungen dann auch nur wenig Aufwand verursachen, um die relevanten Daten zu erfassen, zu verar-beiten und weiterzugeben. Sie müssen allerdings sowohl Kennzahlen, wie die Raumparameter, analysieren als auch die, als hoch kritisch identifi zierten, Ge-werke beziehungsweise deren wichtigs-te Elemente erfassen. Idealerweise ist ein Monitoring-System dann komplett in eine Anwendung integrierbar, zum Beispiel das bestehende IT-Monitoring. Dieses schaff t eine handhabbare Lösung aus Überwachung der physikalischen IT-Infrastruktur und dem bestehenden IT-Monitoring.

Diese sichtbar gemachten Kennzah-len können dazu genutzt werden, die Betriebsabläufe im Rechenzentrum zu verbessern. So steigern die konstante Analyse, Überwachung und Auswertung der relevanten Betriebsdaten die Verfüg-barkeit und Effi zienz der IT-Infrastruktur. Gleichzeitig veranschaulichen sie, wenn eine Bedrohung entsteht oder entstehen könnte. Anhand von Schnittstellen und Übergabepunkten folgt dann die Alar-mierung. Zum Beispiel ist es je nach Si-cherheitsanforderung und -level möglich, diese Informationen klassisch per SMS, E-Mail oder über die Push-Notifi cation einer App an den zuständigen Servicetechni-ker beziehungsweise Verantwortlichen zu senden.

Prozesse zu Ende denken

Zum gesamten Monitoring-Prozess ge-hört jedoch auch, dass er nicht enden darf, nachdem die Informationen an ir-gendeinen E-Mail-Verteiler versendet worden sind. Noch zu oft wird dieser Pro-

zess nicht zu Ende gedacht. Entscheidend ist, zu analysieren und defi nieren, wie ein ganzheitlicher Ablauf der Datenaufnah-me, -bearbeitung und Alarmierung aus-sieht. Hier müssen durchgängige Prozes-se defi niert und implementiert werden, damit jeder involvierte Mitarbeiter klare Handlungsvorgaben und Reaktionszeiten bekommt.

Diese Aufgaben können auch an auf die Gewerke spezialisierte Wartungsfi rmen ausgelagert werden. Allerdings muss in Dienstleistungsvereinbarungen, soge-nannten SLAs (Service Level Agreements), vereinbart werden, wer welche Maßnah-me in welcher Zeit zu treff en hat. Dazu zählt ebenfalls eine protokollierte Kon-trolle im Nachhinein. Denn: Vorgenom-mene Maßnahmen müssen nachverfolg-bar bleiben. Damit kann auch zu einem späteren Zeitpunkt überprüft werden, wie es zu einer Störung kam. So können Verantwortliche aus dem Monitoring auch Erfahrungen, Mehrwerte und Basis-wissen sammeln. Schließlich sollen Fehler nicht einzeln betrachtet und etwaige Vor-kommnisse nicht wiederholt werden. ◀

PRODUKTANBIETER

Seite 66

Seite 72

Seite 73

Seite 83

Seite 84

Seite 86

Seite 91

BERATER/DIENSTLEISTER

Seite 66

Seite 67

Seite 68

Seite 72

Seite 73

Seite 83

Seite 93

43

Mathias WidlerGeschäftsführer, Zscaler Germany GmbH

Software Defi ned Perimeter:

Remote Access-VPN im WandelZugriff auf Anwendungen muss vom Netzwerkzugriff abgekoppelt werden.

Mit der zunehmenden Cloudifi zierung gehen neue Anforderungen an den Remote-Zugriff auf Unternehmensdaten im eigenen Rechen-zentrum, in der private und public Cloud einher. Der Arbeitsplatz der Zukunft verlangt den nahtlosen Zugang von Mitarbeitern auf ihre An-wendungen, unabhängig davon, wo sich diese befi nden und welches Device diese benutzen. Schnell und ohne Aufwand für den User muss der Zugriff auf das Unternehmensnetz und zeitgleich die Cloud ge-währleistet sein.

Remote-Zugriff ist heute durch Daten und Anwendungen, die im eigenen

Rechenzentrum sowie in der Cloud vorge-halten werden, komplexer als je zuvor und treibt Latenz und Kosten in die Höhe. Ein Beispiel: Vor der Cloud-Einführung nahm ein Mitarbeiter von seinem Standort in ei-ner Niederlassung beim Datenzugriff fol-genden Weg: Die Anfrage ging über das MPLS-Netz in das Rechenzentrum in der Unternehmenszentrale, holte dort die Da-

zu bewältigen. Er muss vom Hotel oder Flughafen aus via RAS-VPN über den nächstgelegenen Einwahlknoten auf das Unternehmensnetz zugreifen und wird erst vom Rechenzentrum per Standleitung in die Cloud geschickt, bevor seine Daten den gleichen aufwendigen Weg zurück nehmen müssen. Eine solche Architektur ist zwar schnell implementiert, aber nicht ohne Aufwand für den Anwender zu be-werkstelligen.

Moderne Anforderungen an den RAS-Zugriff auf die Cloud

Der Mitarbeiter vertraut auf einen schnel-len und unproblematischen Zugriff auf die Anwendung in der Cloud ebenso wie auf das Rechenzentrum. Idealerweise merkt der Anwender nicht einmal mehr, wo seine gewünschten Applikationen vorgehalten werden. Wenn ein Anwender ohne manu-

ten ab und ging zum Mitarbeiter zurück. Durch die Cloud wird ein weiterer Schritt fällig. Der Mitarbeiter wird mit seiner An-frage zuerst ins Rechenzentrum der Zent-rale geleitet, von dort per Standleitung zur Anwendung beispielsweise in AWS/Azure und den gleichen Weg per MPLS wieder zurück. Will der Mitarbeiter von unterwegs aus auf Daten in der Cloud zugreifen, hat so-gar oft noch einen Zwischenschritt mehr

Remote Access

Bild

: © de

posit

phot

os.c

om/n

exus

by

44

elle Interaktion von überall aus auf seine Arbeitsumgebung zugreifen kann, spielt es keine Rolle mehr, ob Anwendungen oder Daten im Unternehmensnetz oder in der Cloud liegen. Damit ein solches Szenario zur Wirklichkeit wird, muss eine RAS-VPN-Lösung die folgenden Anforderungen er-füllen:

1. Jeder Anwender benötigt aus jeder Nie-derlassung den direkten Zugang zum Internet, ohne Umweg über die Sicher-heitsinfrastruktur in der Firmenzentrale.

2. Der Anwender muss sich direkt mit dem jeweiligen Cloud-Service verbinden kön-nen, ohne sich über den Zwischenschritt über den RAS-VPN-Gateway im Unter-nehmensnetz einzuwählen.

3. Es muss die Möglichkeit bestehen, Verbindungen zu unterschiedlichen Services aufzubauen, ohne dass der Anwender jedes Mal eine separate VPN-Connection aufbauen muss

4. Analog zum direkten Zugriff auf das Fir-mennetzwerk ist der direkte Zugriff auf die Cloud zu gewährleisten. Wie im LAN ist der parallele Betrieb von Netzwerken erforderlich, um sich im Unternehmens-netz ebenso wie im Netz von Geschäfts-partnern oder in der Cloud zu bewegen.

Zu realisieren ist dieser Forderungskata-log mit einem Ansatz, der zwischen dem Anwender und seiner Applikation einen einzigen Gateway setzt und alle weiteren Schritte der Zugriff sberechtigung automa-tisch abwickelt.

Von der Anwendung direkt zum Anwender

Der direkte Weg zu den Daten geht mit ei-nem neuen Remote-Access-Konzept ein-her. Mit einem klassischen RAS-VPN-Modell ist der direkte Zugriff auf AWS, Azure und Co. sehr komplex, oftmals langsam und verwaltungsintensiv zu bewerkstelligen. Die IT-Abteilung wird Vorbehalte anführen, dass ein solches Setup des direkten Zugriff s nicht nur Azure für den Anwender öff net, sondern auch verschiedene Applikationen an unterschiedlichen Standorten berück-sichtigen muss, für die der einzelne Anwen-der Zugang benötigt.

Hier sind neue technologische Ansätze gefragt. Es gilt, den spezifi schen Nutzer

direkt mit einer dedizierten Anwendung zu verbinden, ohne Zugriff auf das ge-samte Netzwerk zu erlauben und ohne aufwendige Work-Arounds. Ursprünglich wurden RAS-VPNs entwickelt, um das Un-ternehmensnetz für den User zu erweitern, der von einem externen Standort darauf zugreifen muss. Bei diesem Konzept ging man von einem Vertrauens-basierten An-satz aus: Das Gerät, dem der Zugriff auf das gesamte Netz geöff net wurde, galt als vertrauenswürdig. Erst in einem zweiten Schritt wurden neben dem VPN-Konzentra-tor nachträglich Sicherheitsvorkehrungen, wie Firewalls oder DDoS-Mechanismen, eingebaut, um die Zugriff srechte wieder einzuschränken.

Der Hauptnachteil bei einem solchen An-satz besteht darin, dass der Tunnel, vom Anwender ausgehend, manuell aufgebaut werden muss. Zusätzlich wurde RAS-VPN entwickelt, um einen Computer mit einem Netz zu koppeln. Durch die Cloud hat sich die Anforderung dahingehend verschoben, dass nun parallel multiple Netze mit dem Anwender zu verbinden sind. Der Road Warrior möchte zeitgleich auf sein Un-ternehmensnetz zugreifen, aber auch auf Anwendungen in AWS oder Azure und zu-dem mit Offi ce 365 arbeiten. Damit steigt die Komplexität und die Anwenderfreund-lichkeit schwindet, denn der ursprüngliche RAS-Ansatz muss durch zusätzliche Tech-nologie zu stark verbogen werden.

Abhilfe durch den Software-defi ned Perimeter-Ansatz

Um diese Komplexität zu umgehen, hilft ein Software-defi ned Perimeter, der den Zugriff zur Anwendung vom Netzwerkzu-griff entkoppelt und private Anwendun-gen im Internet unsichtbar macht. Durch einen solchen Zero-Trust-Ansatz wird nicht mehr das gesamte Netzwerk für den User-Zugriff geöff net, sondern mit Hilfe eines reverse Tunnels, (der vom Server und nicht vom Client aufgebaut wird), wird die Ver-bindung von der Anwendung zum User hergestellt und die Zugriff sberechtigung auf Applikationsebene geprüft. Eine Micro-segmentierung pro Applikation steigert die Sicherheit um ein Vielfaches. Nicht nur Mit-arbeiter greifen somit sicher und nahtlos auf ihre Anwendungen zu, sondern auch Geschäftspartner, die nur Zugang zu ein-zelnen Applikationen benötigen. ◀

PRODUKTANBIETER

Seite 66

Seite 72

Seite 92

Seite 94

Seite 95

BERATER/DIENSTLEISTER

Seite 64

Seite 66

Seite 67

Seite 68

Seite 72

45

Das Management von Dateien stellt auch nach mehr als 50 Jahren eine wesentliche Herausforderung in der IT-Sicherheit dar. File-Sharing und Proliferation über viele Silos hinweg stehen heute im Mittelpunkt.

werden muss, bleibt ein wirksamer Schutz schwierig. Neben E-Mail ist der Austausch über File-Sharing der wichtigste Kanal.

File-Sharing als unterschätztes Risiko

In einer breit angelegten Untersuchung haben wir die Nutzer in Unternehmen zu ihren Gewohnheiten bei der Dateifreiga-be und -synchronisation befragt. Dabei ist deutlich geworden, dass File-Sharing-

Plattformen aus der privaten Nutzung, wie beispielsweise Dropbox, Box oder Google Drive, weitverbreitet auch zur Ablage oder zum Austausch geschäftli-cher Informationen oder sogar kritischer Dokumente verwendet werden.

Das erzeugt erhebliche Risiken für die Unternehmen: Dateien, die auf privaten File-Sharing-Anwendungen gespeichert werden, sind jeglicher Kontrolle durch das Unternehmen entzogen. Damit entsteht die Gefahr, dass Geschäftsdaten uner-laubt abfl ießen.

Fast die Hälfte der Befragten nutzt pri-vate File-Sharing-Anwendungen, um ge-schäftliche Informationen zu teilen. Mehr als ein Drittel verwendet diese Plattfor-men sogar regelmäßig zur Ablage und

Dirk TreueChannel Marketing Manager EMEA bei M-Files Germany GmbH

Risikomanagement beginnt im Detail

Risikomanagement

Während strukturierte Daten in An-wendungen und Datenbanksyste-

men relativ gut durch die IT geschützt werden können, bleiben die unstruktu-rierten Informationen in Dateibeständen für die IT oftmals eine intransparente Blackbox. In der Praxis besteht kaum Klar-heit darüber, wo sensible Daten vorliegen und wer sie wie nutzt. Da Dateien für den Ad-hoc-Austausch von Informationen unabdingbar sind und so ihr Austausch intern wie extern grundsätzlich erlaubt Bi

ld: ©

depo

sitph

otos

.com

/Jirs

ak

46

zum Austausch geschäftlicher Informa-tionen. Fast die Hälfte der Anwender hat in der Vergangenheit auch sensible oder vertrauliche Informationen über diese Plattformen ausgetauscht bzw. sie dort gespeichert.

Die Nutzung privater File-Sharing-Platt-formen zum Austausch und zur Ablage geschäftlicher – teilweise sogar sensibler – Dateien ist also eher die Regel als die Ausnahme. Wenn Nutzer, obwohl vielen die Problematik durchaus bewusst ist, dennoch diese Plattformen nutzen, muss der Bedarf im Tagesgeschäft schon sehr hoch sein. Es obliegt der IT, diesen Bedarf zu stillen.

Eine sichere und risikoarme Lösung für dieses Problem bieten Content-Services-Plattformen, die eine File-Sharing-Funk-tion integriert haben. Diese sollte jedoch folgende Eigenschaften erfüllen:

CHECKLISTE FÜR SICHERES FILE-SHARING AUS CONTENT-SERVICES-PLATTFORMEN

Eindeutigkeit: Die Freigabe erfolgt di-rekt aus dem Repository der Content-Services-Plattform, es wird weder eine Kopie noch ein Export angelegt.

Einfachheit: Der Nutzer sollte mit ei-nem simplen Mausklick einen sicheren Hyperlink erzeugen und externen Nut-zern bereitstellen können.

Zugriff skontrolle: Die zeitliche Gültig-keit und Art (Lese-/Schreibrechte) des Zugriff s sollten eingeschränkt werden können.

Auditierbarkeit: Die Content-Services-Plattform überwacht den Zugriff auf die Datei und bietet umfassende Möglich-keiten zur Auditierung.

Informationssilos verhindern bis-lang wirksames Risikomanagement

Zudem bringen File-Sharing-Plattformen ein zweites, nicht weniger kritisches Ri-siko mit sich: Mit der Speicherung von Du bletten in ihren eigenen Ablagestruk-turen tragen sie erheblich zu dem immer größer werdenden Informations- und Versionschaos bei – ein Problem, das lei-der auch sichere, von der unternehmens-eigenen IT intern betriebene File-Sharing-Lösungen erzeugen. Damit sind wir beim zweiten großen Risiko angelangt: Der

schwer zu überschauenden Proliferation von Informationen über immer mehr iso-lierte Informationssilos im Unternehmen.

In der Praxis verteilen sich heute Dateien über eine immer größer werdende Zahl an getrennten Ablagesilos im Unterneh-men: Dateisysteme und Netzwerkordner, Mail-System, oftmals mehrere konkurrie-rende Archiv-, DMS- oder ECM-Lösungen und Microsoft SharePoint, File-Sharing-Anwendungen, Dateiablagen in Anwen-dungen, wie CRM, ECM usw. Die für ein wirksames Risikomanagement notwen-dige Transparenz bleibt dabei in der Regel auf der Strecke.

Auch hier bieten moderne Content-Servi-ces-Plattformen einen Ausweg, indem sie diese Plattformen über Standardkonnek-toren anbinden und so zu einer zentralen Content-Umgebung integrieren können. Mit Methoden der künstlichen Intelli-genz können sie den Dateibestand durch Auto-Tagging und automatischer Klassi-fi zierung erschließen und dabei sensib-le Daten erkennen. Sie stellen Dateien damit in einen geschäftlichen Kontext, der auch den Rahmen für den richtigen Umgang im Sinne des Risikomanage-ments bietet. Zum ersten Mal können so unternehmensweite Regeln für Zugriff , Schutz und Retention übergreifend über alle Ablagen hinweg defi niert und umge-setzt werden. ◀

PRODUKTANBIETER

Seite 72

Seite 77

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 67

Seite 70

Seite 72

Seite 73

Seite 93

47

SAP-Systeme sind als Angriff sziele beliebt, denn hier liegen viele Unter-nehmenskritische Informationen, die sich gut monetarisieren lassen, sei es durch Erpressung des Opferunternehmens oder sei es durch den Ver-kauf an die Konkurrenz. Noch immer fehlt es bei vielen der Systeme an einer entsprechend hohen IT-Sicherheit, vor allem um wichtige Daten vor sogenannten Threat Insidern zu schützen. IT-Administratoren sollten die Entscheidungshoheit darüber haben, wer wie auf welche Daten zugreifen kann. Leider gibt es immer noch Wege für interne Bösewichte, sich Zu-gang und Zugriff auf diese wichtigen Informationen zu verschaff en, ohne dass die IT-Abteilung dies rechtzeitig bemerkt. Für diese Threat Insider entsteht so ein lukratives Geschäftsfeld, denn allzu oft wird der Zugriff auf die SAP-Systeme nicht automatisiert kontrolliert und überwacht.

ehemalige Mitarbeiter auch nach dem Ausscheiden aus dem Unternehmen als freiberufl iche Berater tätig sind und dem-entsprechend der Account nur im Zugriff beschnitten wurde, oder aber, dass der Ac-count noch von einem anderen Mitarbei-ter vorübergehend genutzt wird. Weitere Threat-Insider können aber auch Mitar-beiter von Dienstleistern sein, die einen

Threat-Insider – Wer ist das eigentlich?

Threat-Insider können zum einen aktu-elle aber auch ehemalige Mitarbeiter

sein, deren Accounts noch aktiv sind oder aber deren Accounts aus verschiede-nen Gründen nicht komplett deaktiviert wurden. Zum einen kann es sein, dass

temporären und begrenzten Zugriff auf die Systeme erhalten.

Berichtigungskonzept als Schwachstelle

Berichtigungskonzepte, wie in SAP vorge-sehen, sind ein kritisches Einfallstor für Threat-Insider mit bösartigen Absichten. Sie könnten zum Beispiel mit den Berech-tigungen „Debuggen mit Wertänderung“ und „Tabellen pfl egen“ Passwörter von anderen Nutzern verändern und somit Zugriff srechte entziehen oder aber gewäh-ren. Eine weitere Möglichkeit, sich einfach und schnell Zugriff auf kritische Daten zu verschaff en, besteht, wenn die Standard-zugangsdaten nach einer SAP-Installation nicht geändert wurden, denn diese sind relativ einfach im Internet zu fi nden. Das BSI empfiehlt dazu diese Stelle im IT-Grundschutzkatalog: „Können die Berech-tigungen des Revisionsbenutzers nicht auf

Pascal CronauerRegional Director DACH bei LogPoint

SAP-Sicherheit mit Sicherheitsmonitoring gegen Threat Insider

SAP-Security

Bild

: © de

posit

phot

os.c

om/g

eorg

ejmcli

ttle

48

den lesenden Zugriff beschränkt werden, so darf der Zugriff nur im 4-Augen-Prinzip erfolgen.“

Schwachstelle Datenexport

Hat sich der Threat-Insider erst einmal Zu-griff auf die Daten in SAP verschaff t, kann er diese mit den SAP-Bordmitteln sehr ein-fach exportieren. Dafür braucht er die Rol-le eines „vollen Nutzers“, denn diese Rolle berechtigt nicht nur die Speicherung von Änderungen in SAP, sondern auch die Ex-portgenehmigung der Daten. Es gibt kein Berechtigungsobjekt für Exporte, daher lässt sich der „volle Nutzer“-Zugriff auch nicht einschränken, jedenfalls nicht ohne Anpassungen am SAP-System selbst. Mit dem SAP-Export lassen sich einfach und schnell Excel-Tabellen befüllen, Berichte in SAP erstellen und Datenauswertungen fahren.

Weitere Schwachstellen sind unsicherer Code, fehlende Sicherheitspatches, unkon-trollierte Remote-Zugriff e (RFC, SOAP) oder aber aktive SAP-Standard-Nutzer.

Lösungsansatz SIEM-Monitoring

Die Integration von zusätzlichen Sicher-heitssystemen in SAP ist aufgrund der verschiedenen Schnittstellen, die imple-mentiert werden müssen, kein einfaches Unterfangen, aus diesem Grund macht es Sinn, auf Out-of-the-Box-Lösungen zusetzen. Diese Lösungen sollten sowohl die IT-Sicherheit der Systeme als auch die fi rmeninternen und -externen Richtlinien, z. B. die EU-DS-GVO, erhöhen und verbes-sern. Lösungen des Security Information and Event Managements (SIEM) zum Mo-nitoring von Aktivitäten in SAP-Systemen durch die Analyse von Log-Daten eignen sich besonders gut, da sie neben einer voll-ständigen Erkennung von Anomalien und kritischen Änderungen von Berechtigun-gen auch Korrelationen bezüglich sonsti-ger Sicherheitsverstöße erkennen. Zudem sind sie leicht zu verwalten und erlauben granulare Anpassung an unterschiedliche Risiko-Szenarien. Diese Eigenschaften ma-chen die Software besonders für Auditoren interessant.

Management-Reports

Neben klassischen Informationen aus der Netzwerkebene und Sicherheitslösungen, wie Firewalls und Virenscanner, werden

auch Log-Daten aus Datenbanken und Identity-Management-Systemen analy-siert. SAP-Systeme sind für SIEM lediglich eine weitere Informationsquelle, in der durch Cross-Device und Cross-Event-Kor-relation eine präzise Auswertung durch-geführt werden kann, um Threat-Insider-Angriff e und fehlerhafte Konfi gurationen umgehend zu erkennen. Die Management-Reports, die mit der Lösung automatisch generiert werden, werden auf Basis der allgemein anerkannten Audit-Richtlinien sowie der SAP-Sicherheitsempfehlungen erstellt. Die Erkenntnisse aus den Analysen fl ießen kontinuierlich in den Prozess zur Verbesserung und Härtung der IT-Syste-me ein. Dadurch erhöht sich auf Dauer die Sicherheit des gesamten IT-Systems und nicht nur der SAP-Umgebung. Durch den Out-of-the-Box-Ansatz können moderne SIEM-Lösungen sofort Ergebnisse liefern, und er lässt sich leicht auf interne Richtli-nien und Anforderungen anpassen.

Fazit

SAP-Systeme sind für Threat-Insider anfäl-lig. Zwar gibt es natürlich auch SAP inter-ne Möglichkeiten, z. B. Berechtigungen zu überprüfen oder aber mit dem SAP-Audit-System im Nachhinein eine Revision durch-zuführen, um Auditoren und Forensiker bei ihrer Arbeit zu unterstützen. Doch ist der Schaden dann bereits entstanden, und die Bordmittel reichen lediglich dafür aus, den Vorfall aufzuklären, nicht aber zu verhin-dern. Aus diesem Grund müssen bereits zuvor Sicherheitsmonitoring-Systeme zur Analyse von Log-Daten implementiert werden, um Warnmeldungen in Echtzeit zu generieren, um den Threat-Insider auf frischer Tat zu ertappen. Neben entspre-chenden fortschrittlichen SIEM-Lösungen gibt es weitere organisatorische Maßnah-men, die die Verantwortlichen umsetzen können, um Threat-Insidern das Leben schwerer zu machen. Hierzu empfi ehlt das BSI in seinem IT-Grundschutzkatalog die zumindest stichprobenartige Überprüfung der Berechtigungen für wichtige Benut-zergruppen vorzusehen. Das SAP-System an sich sollte fortwährend auf Updates überprüft und diese auch regelmäßig ein-gespielt werden. Letztlich aber kann nur ein Echtzeit-Monitoring wirklich Schutz vor Threat-Insidern bieten, denn nur dann können die bösen Jungs gestoppt und der unentdeckte Informationsabfl uss von sen-siblen Unternehmensinformationen auf-gehalten werden. ◀

PRODUKTANBIETER

BERATER/DIENSTLEISTER

Seite 67

Seite 68

49

ADVERTORIAL

NEURALGISCHE PUNKTE IDENTIFIZIEREN UND BESONDERS SCHÜTZEN

Digitale Angriffe – auch für SAP-Systeme gefährlich? BODO KAHL, Geschäftsführer SAST SOLUTIONS von AKQUINET, ist Ansprech partner für rund 200 Kunden im Umfeld der SAP Security & Compliance

schlossene Systeme, was nur sechs Prozent der Betroffenen überhaupt bemerkten. Mehr als drei Viertel der Unternehmen si-chern ihre Systeme also nicht ausreichend ab und bieten Hackern Steigbügel, über die sie an Personal- und Kundendaten, an Konstruktionspläne, Rezepturen und Ge-haltslisten kommen.

Diese interne Erhebung bestätigen auch unabhängige externe Studien. Auf 109,6 Mil liarden Euro beziffern die Markt-forscher von Bitkom Research die Schäden in den Unternehmen für 2016/2017, mehr als doppelt so viel als 2015/2016. Und auch das Beratungshaus Ernst & Young sieht auf Basis des „Global Information Security Sur-vey 2017/2018“ starken Handlungsbedarf: Nur vier Prozent der 1.200 weltweit befrag-ten Sicherheitsexperten waren davon über-zeugt, ihre Sicherheitsstrategie umfassend genug umgesetzt zu haben, um relevante Bedrohungen aus dem Netz registrieren und wirkungsvoll bekämpfen zu können.

Sicher ist: Viele Unternehmen bemerken nicht, dass ihre geheimen Pläne kopiert werden und ihr Wissen abfließt. Ein Möbel-unternehmen etwa wunderte sich auf einer Messe über einen Stuhl, der einem selbst konzipierten und gefertigten Produkt sehr ähnlich sah, aber für die Hälfte des Preises

die zwar funktionale Erweiterungen ent-halten, oft aber vor allem dazu dienen, Sicherheitslücken zu schließen. Während unbekannte E-Mails einfach gelöscht, Schadsoftware schnell erkannt und be-fallene Rechner isoliert werden können, ist bei einem eigens aufgespielten Patch das eigene Sicherheitssystem ausgehebelt. Egal, welche Erklärung stimmt: Auch wenn sich nicht jeder Angriff abwehren lässt, so ist inzwischen ziemlich gut bekannt, wo Hacker am häufigsten angreifen.

Vier von fünf Unternehmen werden innerhalb

von einer Stunde „geknackt“

Penetrationstests von IT-Dienstleistern – wie AKQUINET – beim Kunden zeigen, dass Sicherheitsdefizite in Unternehmen aktuell noch die Regel sind. Die Security-Experten gelangten beispielsweise bei über 80 Pro-zent der Unternehmen innerhalb von einer Stunde erfolgreich in SAP und daran ange-

Laut der Bitkom Studie "Spionage, Sabo-tage und Datendiebstahl – Wirtschafts-schutz in der Industrie", die im November 2018 veröffentlicht wurde, besteht das größte Angriffsrisiko in der Infizierung mit Schadsoftware bzw. Malware. 24 % der Unternehmen gaben an, in den letz-ten zwei Jahren so angegriffen worden zu sein. Allein jedes sechste Industrieneh-men berichtete über die Ausnutzung von Software-Schwachstellen. Ein prominentes Beispiel in letzter Zeit war WannaCry im Jahr 2017: Wurde einmal auf den befalle-nen E-Mail-Anhang geklickt, nistete sich eine Schadsoftware in den Rechnern ein, breitete sich aus und verschlüsselte au-genblicklich verfügbare Daten. Was schon schlimm genug ist, wird nur noch von der inoffiziellen Interpretation von WannaCry übertroffen: Demnach hatten sich Hacker in einem anderen Vorfall beim Hersteller eines Subsystems eingeschlichen und den Schadcode in einen Softwarepatch einge-baut – also einem der Softwarebausteine,

ADVERTORIAL

Fast die Hälfte der deutschen Industrieunternehmen wurde laut einer aktuellen Studie des Branchenverbandes Bitkom (November 2018) in den letzten zwei Jah-ren durch digitale Angriffe geschädigt. Die Cyberattacken haben sie sensibilisiert und dazu animiert, mehr in IT-Sicherheit zu investieren. Die häufigsten Einstiegs-szenarien sind bekannt, trotzdem machen es Unternehmen den Hackern immer noch zu leicht. Folgende Tipps helfen SAP-geprägten Unternehmen.

angeboten wurde. Was in solchen Fällen folgt, sind Nachforschungen und die Suche nach nötigen Beweisen für den Verdacht. Das ist schwierig und dauert lange. Dieser Aufwand ist sogar der größte Posten im Kosten-Ranking der Unternehmen, gefolgt von den Wettbewerbsnachteilen und ent-sprechenden Umsatzverlusten, die sich aus dem Datenklau ergeben. Besser wäre es, so-fort zu registrieren, wenn sich jemand an den eigenen Daten vergreift. Doch es ist vor allem aufmerksamen internen wie exter-nen Mitarbeitern und internen Prüfungen zu verdanken oder aber purer Zufall, wenn ein Einbruch entdeckt wird. Das eigene Si-cherheitssystem versagt in 99 Prozent der Fälle, so die Erkenntnisse von Bitkom.

Bewerber- und Lieferanten portale werden oft als Einstiegsluke genutzt

Wie sich oft zeigt, mangelt es Unterneh-men an einem ganzheitlichen Sicherheits-konzept. Datenbanken, Netzwerke, Schnitt-stellen und Portale lassen sich längst nicht mehr allein mit einer Firewall schützen. Er-fahrungsgemäß steigen Hacker besonders über Bewerber- und Lieferantenportale in die Unternehmenssysteme ein. Fingierte Bewerbungen mit PDFs etwa enthalten ei-nen Schadcode, der sich beim Klicken auf das Dokument bereits ausbreitet. Bei SAP-Anwendern ist zudem oft zu beobachten, dass besonders der SAP Solution Manager als „Spinne im Netz der Systeme“ oft nicht geschützt ist. Der Solution Manager ist eine Software, die Werkzeuge und Servi-ces für SAP-Unternehmensapplikationen bereitstellt. Es bringt wenig, nur die Pro-duktivdaten zu schützen, den SAP Solution Manager aber nicht.

Erst Systeme analysieren, dann „härten“

Unternehmen, die ihre IT- und vor allem SAP-Infrastruktur schützen wollen, starten am besten mit dem "Security und Compli-ance Audit", um das geeignete Sicherheits-konzept zu entwickeln. Es beinhaltet die folgenden Eckpunkte:

1. Eine umfangreiche Bestandsaufnahmeder SAP-Sicherheit bei den Kunden er-möglicht eine detaillierte Analyse, die die wichtigsten individuellen Schwach-stellen benennt und Prioritäten setzt, welche Bereiche im IT-System zuerst zu „härten“ sind, sprich: gesichert werden müssen. Da Hacker SAP-Systeme gerne umgehen, gilt ein besonderes Augen-merk Datenbanken, Netzwerken und

Betriebssystemen. Die Herausforderung für viele Unternehmen: SAP gibt zwar Guide lines heraus, die exakt beschrei-ben, wie SAP-Systeme voreingestellt und parametrisiert werden sollen, doch sind sie sehr umfangreich und manuell kaum zu bewältigen.

2. Nur ein ausgewählter Personenkreis darf im Rahmen einer „Data Leakage Prevention“ die Berechtigung haben, etwa technische Zeichnungen aus dem SAP-System herunterzuladen. Geschieht das etwa in China durch einen Werkstu-denten, setzt sich die Firma dem Risiko aus, dass das Wissen in die Fänge kon-kurrierender Firmen gerät. Eine Gefahr besteht zudem darin, Mitarbeitern zu viele Rechte zu geben. Idealerweise sollte ein Sicherheitssystem in der Lage sein, auf Knopfdruck darzustellen, ob jemand zu viele Rechte hat.

3. Detektionssysteme dienen dazu, mög-lichst in Echtzeit festzustellen, wenn Unbefugte in Systeme eindringen, und dann einen Alarm auslösen. Auf einem Dashboard sind beispielsweise kritische Berechtigungen der Mitarbeiter, kriti-sche Systemparameter sowie Sicher-heitsvorfälle auf einen Blick zu sehen.

Sicherheit im Managed Service: Expertenwissen zukaufen

Gerade die Managed Services sind in vie-len Unternehmen derzeit gefragt. Denn oft fehlt es am nötigen Fachwissen – nicht nur, um die Konfi gurierung und Parametrisie-rung der komplexen Systeme selbst vor-zunehmen und moderne Monitoring- und Security-Tools zielgerichtet einzusetzen, sondern vor allem auch, um die später auf dem Dashboard erscheinenden Ergebnisse richtig zu interpretieren. Doch registriert

das System einen Angriff , zählt jede Minu-te. Über Service Level Agreements lassen sich die Reaktionszeiten je nach Schwere-grad eines Vorfalls festlegen, und regelmä-ßige Reports geben den Security-Verant-wortlichen in den Unternehmen jederzeit Transparenz über den Security-Status.

Durch die ständigen Konfrontationen mit aktuellen IT-Sicherheitsvorfällen im Rah-men eines Managed Services und durch die bei Anwenderunternehmen durchgeführ-ten Penetrationstests haben Dienstleister die Möglichkeit, ständig neue Angriff ssze-narien zu analysieren. 90 Prozent der An-griff e konzentrieren sich – das haben die Penetrationstests ergeben – auf Schnitt-stellen, angehängte Dokumente, Lieferan-ten- oder Bewerberportale oder aber den SAP Solution Manager. Wer diese Einstiegs-luken schließt, hat so gut wie gewonnen.

Noch immer investieren Unternehmen lieber in mehr Produktivität, Effi zienz und Innovationen als in Sicherheit. Das könnte sich jedoch sehr bald ändern, wenn sich die Zahlen der digitalen Angriff e sowie der wirtschaftliche Schaden hierdurch weiter-hin so entwickeln. ◾

SAST SOLUTIONS VON AKQUINET Web: www.sast-solutions.de E-Mail: sast@akquinet.de Telefon: +49 40 88173-109 Twitter: @SASTSOLUTIONSBlog: https://securityblog.akquinet.de/

Effi zientes SAP-Risikomanagement als Managed Service (Quelle: SAST SOLUTIONS)

SECURITY RADAR

Ereignisse

Falsch-positive Treffer

Intelligente Filterung

Sicherheits-vorfälle

Kunden-information

1 Mio. Sec-Logs

1.000 Ereignisse

10 Prüfungen

2 Vorfälle

Update Positiv-/Negativ-

Liste

Quelle: SAST SOLUTIONS

SECURITYOPERATION

CENTER

ADVERTORIAL

52

Sicherung mobiler Endgeräte

Führungskräfte und Mitarbeiter, die viel unterwegs sind, kommen ohne Smartphones oder Tablets nicht mehr aus. Sie sind unentbehrliche, aber gleichzeitig auch stark gefährdete Arbeitsgeräte, denn ein beachtlicher Teil von ihnen verfügt über keinen wirksamen Schutz vor Datendieb-stahl.

Anfangs haben es nur einige getan, in der Zwischenzeit hat sich Bring Your

own Device (BYOD) etabliert. Geschäfts-führer, Vertriebsmitarbeiter und Marke-tiers wollen bevorzugt mit ihren eigenen Geräten E-Mails beantworten und Doku-mente bearbeiten. Die Vorteile liegen auf der Hand: Produktivität und Arbeitszu-friedenheit der Mitarbeiter steigen, weil

Smartphones, Tablets und Apps einen ho-hen Benutzerkomfort bieten. Die aus dem Privatleben gewohnten Tools ermöglichen ein schnelles und fl exibles Arbeiten.

Für die IT-Abteilung allerdings ergeben sich daraus neue Herausforderungen hin-sichtlich Management, Datenschutz und Sicherheit. Der erste Ansatzpunkt zum Schutz der auf den Geräten gespeicher-ten Daten ist die vollständige Kontrolle über das Endgerät mit einer MDM (Mo-bile Device Management)-Applikation. Wichtigstes Ziel dabei ist es, mobile Ge-räte zentral zu verwalten, einheitliche Si-cherheitseinstellungen und Richtlinien für Smartphones oder Tablets festzulegen und Zugriff srechte zu defi nieren. Eine vollstän-dige Kontrolle der BYOD-Geräte ist jedoch

Günter JunkCEO, Virtual Solution AG

Sicherheits-Container für den Datenschutz unterwegs

Bild

: © de

posit

phot

os.c

om/sc

anra

il

52

53

nicht ohne Weiteres möglich. Meist wird es etwa dann schwierig, wenn die IT mit dem MDM-Tool Funktionen zur Ortung der Smartphones oder zum Löschen von Daten aus der Ferne (Remote Wipe) implementie-ren will, denn auf den Geräten, die nicht dem Unternehmen gehören, befi nden sich ja auch private Daten.

Privaten vom geschäftlichen Bereich trennen

Daraus ergibt sich der zweite Ansatzpunkt für einen wirksamen Schutz sensibler Da-ten: Der private Bereich muss strikt vom geschäftlichen getrennt sein.

Eine Lösung dafür bieten Sicherheits-Container. Komplementär zur Kontrolle der Geräte – eine Aufgabe, die das MDM-Tool übernimmt – konzentriert sich der Container-Ansatz auf die Sicherung der berufl ichen Applikation und Daten auf den Smartphones und Tablets. Der Sicherheits-Container verpackt Unternehmensdaten, E-Mails, Kontakte, Kalender, Notizen, Auf-gaben und Dokumente in einen verschlüs-selten Bereich. Selbst bei Diebstahl oder Verlust des Geräts bleiben die Daten vor Missbrauch geschützt. Mit einer Contai-ner-Lösung, wie SecurePIM von Virtual So-lution, implementieren IT-Administratoren eine strikte Trennung von berufl ichen und privaten Daten. Gleichzeitig verhindert der Sicherheits-Container, dass Mitarbeiter aus dem sicheren Unternehmensbereich auf eine private App zugreifen. Zudem gibt es keine Copy-and-Paste-Funktion, mit der sich Firmeninformationen in den Privatbe-reich verschieben ließen.

Über das Management-Portal legen Admi-nistratoren Sicherheitsregeln fest, machen Vorgaben für die Länge von Passwörtern sowie den Einsatz von Smartcards und defi nieren Regeln für das Sperren von Ge-räten oder das Löschen von Inhalten per Remote Wipe. Durch den Einsatz moderner Kryptologie-Technologien sind die Daten sowohl im Container auf dem mobilen Endgerät als auch während der Übertra-gung zuverlässig verschlüsselt. Damit fi ndet sich auch für Man-in-the-Middle-Attacken kein Ansatzpunkt.

Rechtliche Vorgaben bei der Nutzung mobiler Endgeräte

Ein BYOD-Modell hat Vorteile für Mitar-beiter und Arbeitgeber. Während erstere

weiterhin ihre gewohnten Smartphones oder Tablets nutzen können, sparen letzte-re Investitionen in Endgeräte. Arbeitgeber müssen jedoch einige rechtliche Vorgaben beachten, um einen gesetzeskonformen Betrieb sicherzustellen. Sie ergeben sich erstens aus dem Bundesdatenschutzge-setz (BDSG) und zweitens aus der euro-päischen Datenschutzgrundverordnung (EU-DS-GVO).

Der Kern dabei ist der Umgang mit perso-nenbezogenen Daten von Kunden, Liefe-ranten, Geschäftspartnern und Mitarbei-tern, wie sie in E-Mails und Dokumenten enthalten sind. Laut EU-DS-GVO handelt es dabei um „alle Informationen, die sich auf eine identifi zierbare natürliche Person beziehen“. Laut BDSG ist der Arbeitgeber für die Einhaltung des Datenschutzes bei der Verarbeitung personenbezoge-ner Daten verantwortlich. Das gilt auch, wenn Mitarbeiter dazu mobile Endgeräte benutzen. Dabei spielt es auch keine Rol-le, ob dies im Rahmen eines BYOD- oder eines COPE (Corporate Owned, Personally Enabled)-Modells erfolgt; bei letzterem stellt das Unternehmen den Mitarbeitern die mobilen Endgeräte zur Verfügung.

Mit einer Container-Lösung beispielsweise, die auf mobilen Endgeräten eine Trennung von berufl ichen und privaten Apps und Da-ten vornimmt, können Sicherheits- und Compliance-Verantwortliche die gelten-den Compliance- und rechtlichen Vorga-ben sowie die unternehmensweiten IT-Si-cherheitsrichtlinien umsetzen und deren zuverlässig Einhaltung überwachen. ◀

PRODUKTANBIETER

Seite 62

Seite 65

Seite 72

Seite 86

Seite 92

Seite 95

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 65

Seite 67

Seite 68

Seite 72

53

Es vergeht kaum ein Tag, an dem in den Medien nicht über eine erfolg-reiche Cyber-Attacke oder den Verlust von vertraulichen Informationen und Daten berichtet wird. Die Opfer sind kleine und mittlere Unterneh-men sowie Großkonzerne aus den unterschiedlichsten Branchen. Betrof-fen sind der Einzelhandel genauso wie das Gesundheitswesen, Finanz-dienstleister sowie das Hotel- und Gaststättengewerbe und weitere. Die Vielzahl der Bedrohungen und ihre zunehmende Komplexität stellt Un-ternehmen vor Herausforderungen. Sie müssen jederzeit über alle Vor-gänge im Netzwerk informiert sein, um im Fall der Fälle direkt darauf reagieren zu können. Dafür benötigen sie eine Lösung, die viele Sicher-heitsdienste integriert und Möglichkeiten zu weitreichenden Analysen bietet: Unifi ed Threat Management (UTM).

Advanced Persistent Threats, Malware, Botnets, Trojaner, Viren, Ransomware,

Drive-by-Downloads, Phishing, Zero-Day-Attacken und mehr – die Vielzahl der Be-drohungen variiert in ihrem spezifi schen Vorgehen, kennt keinen Feierabend oder Ladenschluss und hält die IT-Abteilungen

Michael HaasWatchGuard Technologies

UTM-Baukasten für effi ziente Gefahrenabwehr

weltweit auf Trab. Diese sind besonders gefordert: Zusätzlich zu ihrem Tagesge-schäft müssen sie nicht nur alle möglichen Einfallstore im Auge behalten, sondern auch schnell auf jedwede Art von Angriff reagieren können – im Idealfall rund um die Uhr. Trends wie Bring-your-own-De-vice, Home Offi ce, mobiles Arbeiten sowie Wearables verschärfen die Situation zu-sätzlich, da sich diese Geräte im Gegen-satz zu Desktop-Rechnern zeitweise dem physischen Zugriff der IT entziehen. Wie also lässt sich diese Situation in den Griff bekommen?

Zum Schutz einer IT-Infrastruktur mit all ihren Rechnern, Smartphones, Tablet-PCs sowie weiteren Geräten empfi ehlt sich eine UTM-Lösung – als fl exibel erweiter-bare Plattform. Derartige Appliances ent-halten neben den Funktionalitäten einer Firewall ein zusätzliches Paket an Sicher-heitslösungen, das jeglichen Datenverkehr

Unifi ed Threat Management

Bild

: © de

posit

phot

os.c

om/O

stapi

us

54

analysiert und umfangreichen Prüfungen unterzieht. Der Vorteil: Die verschiedens-ten Sicherheitstechnologien – von der Applikationskontrolle über Data Loss Pre-vention bis hin zum Webblocker – können passgenau zusammengestellt und zentral orchestriert werden, für weitreichenden Schutz im Netzwerk. Zudem steht einem Ausbau der Funktionalität – entspre-chend der aktuellen und zukünftigen Bedrohungslage – nichts im Weg. Neuar-tige beziehungsweise weiterentwickelte Schutzmechanismen lassen sich im Be-darfsfall eff ektiv „nachrüsten“ und in das Gesamtkonzept integrieren. Durch dieses Aufbrechen bisheriger Sicherheitssilos auf Plattformseite sind Unternehmen auch gegenüber ausgefeilten Angriff smetho-den, die nach dem Kombinationsprinzip verfahren, bestens gerüstet. Wer hier nur mit Stand-alone-Plattformen für beispiels-weise Gateway Antivirus und Intrusion Prevention arbeitet, hat bei solchen „Blen-ded Threats“ meist das Nachsehen. Gerade die Verbindung zwischen den jeweiligen Perimeter-Diensten schaff t wichtige Syn-ergien – für mehr Schutz und Performance beim Datenverkehr.

Die Verarbeitungsgeschwindigkeit ist vor diesem Hintergrund ein durchaus relevan-tes Stichwort. Wer sich auf die Suche nach einer UTM-Lösung begibt, sollte die jeweils angegebenen Leistungskennwerte genau unter die Lupe nehmen. In vielen Fällen steht nach wie vor der reine Firewall-Datendurchsatz im Zentrum der Betrach-tung. Die hierfür angegebenen Werte sind jedoch nur zu erreichen, wenn keine wei-teren Funktionalitäten, wie beispielsweise die Antivirus-Überprüfung, zugeschaltet sind. Sobald vielfältige UTM-Dienste ak-tiv ans Werk gehen, verringert sich die Gesamtperformance. Daher empfi ehlt es sich, für objektive Vergleiche die Angaben zum kombinierten UTM-Durchsatz her-anzuziehen. Ein noch klareres Bild ergibt sich, wenn man die spezifi sche Leistung einer UTM-Plattform im Praxiseinsatz auf die Probe stellt. Auf diese Weise kann bö-sen Überraschungen von Anfang an vor-gebeugt werden. Zünglein an der Waage sind zudem spezifi sche Visualisierungs-möglichkeiten, denn gerade hier liegt eine besondere Herausforderung: Es ist kein Geheimnis, dass die enorme Infor-mationsfl ut das Tagesgeschäft vieler IT-Verantwortlicher zunehmend erschwert. Sie benötigen immer mehr Zeit zur Aufde-ckung der Vorfälle, da sie eine stetig wach-

sende Flut von Protokolldaten erhalten. Zu allem Übel fi nden Internetkriminelle gera-de in kleineren und mittelgroßen Unter-nehmen (KMU) leichte Opfer, da diese im Gegensatz zu Konzernen häufi g personell unterbesetzt sowie immer noch nur mit unzureichenden Sicherheitssystemen aus-gestattet sind. Eine der wichtigsten Strate-gien für den Schutz besteht deshalb darin, einen umfassenden Einblick in die gesam-ten Netzwerkaktivitäten zu erlangen. Nur wenn sich der Datenverkehr sowie die angeschlossenen Geräte und Benutzer im Netzwerk deutlich und in Echtzeit er-kennen lassen, können Engpässe, Ausfälle sowie potenzielle Bedrohungen frühzeitig identifi ziert und bekämpft werden.

Zusammenfassend lässt sich also fest-halten: Bei der Auswahl einer geeigne-ten UTM-Lösung sollten Unternehmen vor allem auf drei Kriterien achtgeben. Neben der Breite und Leistungsfähigkeit der angebotenen, kombinierbaren Si-cherheitsservices gilt es insbesondere die Gesamtperformance der UTM-Plattform im Blick zu behalten. Wenn passgenaue Sicherheitsfunktionalität und hohe Verar-beitungsgeschwindigkeit dann noch auf Benutzerfreundlichkeit dank moderner Visualisierungsmöglichkeiten treff en, ist das Fundament für umfassenden Schutz auf der Höhe der Zeit gelegt. ◀

PRODUKTANBIETER

Seite 64

Seite 66

Seite 72

Seite 86

Seite 94

BERATER/DIENSTLEISTER

Seite 64

Seite 66

Seite 67

Seite 72

55

Stefan Mutschler

Netzunabhängige Energiereserven sichern die Business-IT

USVs – Garant für unterbrechungs-freie und stabile Power

USV-Systeme

Unterbrechungsfreie Stromversorgungen (USVs) gehören in jedem Re-chenzentrum zum Standardaufbau eines Energiekonzepts. IT und damit das Business können so durch einen zeitlich begrenzten Stromausfall nicht zum Ausfall gebracht werden. Weitaus häufi ger kümmern sich USVs jedoch um weniger off ensichtliche aber oft nicht minder fatale Stö-rungen, wie Schaltspitzen, Störspannungen und vieles mehr. Sie führen in der hochgezüchteten und sensiblen Informationstechnologie moder-ner Rechenzentren ansonsten schnell zu massiven Schäden und Ausfäl-len. Unterschiedliche Technologien bieten verschiedene Schutzklassen und – dieser Tage immer wichtiger – gehen mit unterschiedlichen Aus-wirkungen auf die Energiebilanz einher.

Wer den Schutz seiner IT-Systeme mit-tels USV plant, sollte sich im Vorfeld

eingehend mit Lasten und Funktionen, die gegen Netzstörungen geschützt werden müssen, der Mindestleistung einer USV und der Überbrückungszeit bei Netzstö-rungen beschäftigen. Je nach Schutzbedarf kommen drei unterschiedliche Verfahren mit entsprechenden Klassifi zierungen in

der europäischen Normenwelt zum Ein-satz: Online-, Offl ine- und Line-Interaktive-Technologie.

Bei USVs der Rechenzentrumsklasse sind Line-Interactive- („VI“ gemäß Stufe 1 der IEC 62040-3-Norm) und Online-Systeme („VFI“) üblich. Bei der Line-Interactive-USV ist der DC/AC-Wechselrichter permanent

mit dem Ausgang der USV-Anlage verbun-den. Der typische Leistungsbereich einer Line-Interaktive-USV liegt bei zwei bis zehn kVA. Eine Schwachstelle bilden die Relais-Schalter. Mechanische Teile ver-schleißen recht rasch und bilden schon nach wenigen Jahren Betriebsdauer ein Risiko. Die Relais schalten von Netz- auf Batteriebetrieb. Die gesamte Leistung fl ießt plötzlich über den Batterie-Inverter.

Das Doppelwandlerprinzip der Online-USV ist das gebräuchlichste Prinzip bei USV-An-lagen über 10 kVA. Der Unterschied zwi-schen Online- und Standby-USV-Anlagen besteht darin, dass der primäre Weg der Spannungsversorgung durch den Inverter läuft und nicht über das Netz. Das Dop-pelwandlerprinzip stellt eine fast ideale Ausgangsspannung zur Verfügung. Es schützt vor Schäden durch Stromausfälle, Bi

ld: ©

depo

sitph

otos

.com

/a4n

drea

s

56

Spannungseinbrüche (Schwankungen), Spannungsstöße, Unterspannung, Über-spannung, Blitzeinwirkungen, Schaltspit-zen, Störspannungen, Frequenzänderun-gen und harmonische Oberschwingungen. Größter Nachteil von Online-USVs ist ihr nach wie vor vergleichsweise hoher Eigen-verbrauch. Die Toleranzklasse (Stufen 2 und 3 der IEC 62040-3-Norm) gibt näheren Aufschluss über die Form der Spannungs-kurven. Der Optimalwert in Stufe 2 ist SS, der in Stufe 3 ist 1-1-1.

Aktuelle Studien kommen zu dem Ergeb-nis, dass etwa 15 Prozent des Energiebe-darfs der Unternehmen der USV und den damit verbundenen (Erhaltungs-)Syste-men geschuldet ist. Wer Energie und da-mit verbundene Kosten sparen möchte, sollte dem Wirkungsgrad (Verhältnis der abgegebenen Nutzleistung zur aufgenom-menen Leistung in Prozent) erhöhte Auf-merksamkeit schenken. Der Wert bietet jedoch nur einen Anhaltspunkt im Gefü-ge der Argumente, denn Dinge, wie Filter und Ausgangstrenntransformatoren sind wichtig für Batterielebensdauer, Qualität der Ausgangsspannung und Zuverlässig-keit, vermindern aber den Wirkungsgrad. Gute Kompromisse sind heute bei Wir-kungsgraden zwischen 92 und 95 Prozent möglich. Auf schlechtere Wirkungsgrade sollte man sich nur in Ausnahmefällen einlassen – bei besseren Wirkungsgraden sollte man genauer hinschauen.

In diesem Kontext stoßen mittlerwei-le auch die Mitte der 90er-Jahre noch skeptisch betrachteten USV-Systeme mit Hocheffi zienz-Technologie wieder auf zu-nehmendes Interesse. Die Hocheffi zienz-Technologie – je nach Hersteller auch als Eco-Mode oder Bypass-Modus bekannt – ist ein zusätzlicher Betriebsmodus einer Online-USV-Anlage und wurde entwickelt, um die Wirkungsgradwerte dieser in heu-tigen Rechenzentren bevorzugt eingesetz-ten USV-Variante zu optimieren und so Energie einzusparen. Denn das hohe Maß an Sicherheit, das Online-USV-Systeme bieten, hat seinen Preis. Der kontinuier-liche Gleich- und Wechselrichter-Einsatz erhöht die Verlustleistung der USV-Anlage. Zwar besitzen aktuelle Online-USV-Sys-teme der meisten Hersteller theoretisch noch immer einen Wirkungsgradwert von 93 bis 95 Prozent. Erreicht wird dieser Wert aber meist nur bei einer Auslastung des USV-Systems von mehr als 70 Prozent – und diese kommt im Praxiseinsatz so gut

wie nicht vor. Realistisch sind 20 bis 40 Prozent, – und hier bringen es aber selbst viele fortschrittliche Online-USV-Systeme nur noch auf Wirkungsgradwerte von 88 bis 93 Prozent.

Die Hocheffi zienz-Technologie setzt nun genau an dieser Schwachstelle an. Die Wandler werden nur bei Netzstörungen und während der Batterieladezeit zwi-schengeschaltet. Im Normalbetrieb wird die angeschlossene Last hingegen über eine statische Umgehung mit Netzstrom versorgt. Die effizientesten Geräte er-reichen heute selbst bei einer geringen Auslastung von nur 25 Prozent einen Wir-kungsgradwert von 99 Prozent.

Achillesferse des Hocheffi zienz-Ansatzes war bisher die Umschaltzeit – also jene Zeit, die das USV-System für den Übergang von Hocheffi zienz- auf Doppelwandler- be-ziehungsweise Batteriebetrieb benötigt. Um wirkliche Ausfallsicherheit zu garan-tieren, muss diese Zeit innerhalb der vom Information Technology Industry Council defi nierten ITIC-Kurve liegen. Dieser An-forderung wurden ältere Online-USV-Systeme mit Hocheffi zienz-Technologie, unabhängig von der Bauart, nicht gerecht. Systeme mit elektronischem Wechsler ka-men auf eine Umschaltzeit von 5 bis 30 Millisekunden, Systeme mit Relais benö-tigten sogar zwischen 40 und 500 Millise-kunden. Beim Wechsel von Hocheffi zienz- auf Doppelwandler – oder Batteriebetrieb konnte es deshalb im ungünstigsten Fall zum kompletten Ausfall der Netzteile kommen. Fortschritte in der Elektrotechnik machen es heute jedoch möglich, die ITIC-Vorgaben einzuhalten – eine entsprechen-de Nachfrage beim Hersteller empfi ehlt sich unbedingt.

Als Energieträger haben sich neben den klassischen Batteriesystemen auch Brenn-stoff zellen einen Platz erobert, wenn auch nach wie vor nur in Nischenbereichen. Eine Brennstoff zelle wandelt chemische Energie direkt in elektrische Energie um, es gibt keinerlei thermische Umwand-lungsprozesse. Sie kann sowohl anstelle von Batterien als auch anstelle von Not-stromaggregaten (Dieselmotoren) zum Einsatz kommen. Brennstoff zellen eig-nen sich besonders, wenn konstante und hohe Leistungen gefordert werden, wenn lange und variable Überbrückungszeiten notwendig sind und wenn eine hohe Be-triebsdauer gefragt ist. ◀

PRODUKTANBIETER

BERATER/DIENSTLEISTER

Seite 83

Seite 93

57

In Zeiten der Digitalisierung werden mehr und mehr Applikationen, APIs, Daten und Identitäten über die Grenzen der Unternehmens-IT hinaus exponiert. Waren es früher nur Webseiten, die mit der inter-nen IT kommunizierten, so sind es heute je nach Digitalisierungsgrad Web-Applikationen, mobile Applikationen, eigene APIs oder fremde APIs mit externen Identitäten von Kunden, Partnern oder Dingen (IoT).

Laut einer Studie von DHS Verizon zielen 90 Prozent aller böswilligen Angriff e auf den Application Layer ab. Mit einem vorge-lagerten Security Layer kann nicht nur die Security gewährleistet werden, sondern auch die Agilität, Usability und Verfügbar-keit erheblich gesteigert werden.

Schutz für Webapplikationen, APIs, Identitäten und Daten

Für den notwendigen Applikationsschutz benötigen Unternehmen eine Web Appli-cation Firewall, denn klassische Netzwerk-Firewalls schützen nicht gegen Angriff e auf der Applikationsebene. WAFs bieten darüber hinaus spezialisierte Funktionen für API Security, wie beispielsweise eine automatische Validierung von Zugriff en gegenüber formalen Spezifikationen.

Die größten Herausforderungen auf dem Weg zum digitalen Unterneh-

men sind dabei IT-Sicherheit, Agilität und Flexibilität. Wird die IT-Sicherheit vernach-lässigt, geht das Unternehmen ein großes Risiko ein und legt keine gesunde Basis für seine Digitalisierung. Diese erfordert Schnelligkeit, Effi zienz, Benutzerfreund-lichkeit, Ausfallssicherheit und natürlich Schutz der Daten, Identitäten, Applikatio-nen und Services.

Dr. Martin BurkhartHead of Product Management bei Airlock

Ganzheitliche Applikationssicherheit dank kombinierter DisziplinenDer vorgelagerte Security Layer wird unabdingbar.

Web Application Security

Bild

: © de

posit

phot

os.c

om/p

erig7

6

58

59

Zusätzlich zum Filterschutz muss sicher-gestellt werden, dass nur (stark) authen-tisierte und autorisierte Identitäten Zu-griff auf sensitive Unternehmensdaten erhalten. Dies kann durch ein Customer Identity und Access Management (CIAM) System sichergestellt werden. Erst die vor-gelagerte Kombination aus Authentisie-rungsplattform (CIAM) und WAF nimmt Angreifern den Wind aus den Segeln und schützt Anwendungen eff ektiv vor den bekannten OWASP-Top-10-Bedrohungen.

Was sind die Vorteile eines vorgelagerten Security Layers

für die Digitalisierung?

Kosten-Effi zienzMit standardisierten, vorgelagerten Secu-rity-Services lassen sich digitale Prozesse auf einem gesicherten Fundament skalie-ren und agil weiterentwickeln. So können Kosten bei der Anwendungsentwicklung reduziert werden, und der Fokus kann auf der Erfüllung des Zwecks der Applikation bleiben. Applikationsentwickler müssen Security und Authentisierung nicht in je-der Applikation neu implementieren und bei Änderungen in jeder einzelnen Appli-kation wieder anpassen. Applikationen können so kostengünstiger und sicherer entwickelt und bei neuen Schwachstel-len schneller geschützt werden. Durch Implementierung eines vorgelagerten Security Layers aus einer Hand wird auch die Infrastruktur deutlich vereinfacht. Es braucht keine Einzellösungen für Security, Authentifi zierung, User Self-Services, SSO, MFA oder Load Balancing.

Time-to-MarketIm Zuge der Digitalisierung ist die Time-to-Market ein entscheidender Faktor. Unter-nehmen versuchen, das Versäumte schnell nachzuholen und neue Services vor der Konkurrenz anzubieten. Es geht vor allem um Schnelligkeit, wie Klaus Schwab, Grün-der und Executive Chairman des World Economic Forums, meinte: „In the new world, it is not the big fi sh which eats the small fi sh, it’s the fast fi sh which eats the slow fi sh.“ Entsprechend macht es Sinn, Security und Authentisierung in bestehen-de DevOps Pipelines zu integrieren. DevSe-cOps (Development, Security, Operations) beschreibt die Denkweise, Sicherheit in die Entwicklung und den Betriebslebenszyklus zu integrieren: Es hilft der Entwicklungsab-teilung, Ziele agil, effi zient und schnell zu erreichen und der Unternehmensleitung

bei der Erfüllung der Digitalisierungsan-forderungen.

BenutzerfreundlichkeitDie Digitalisierung erfordert von Unter-nehmen auch den Fokus auf den Kunden. Entsprechend muss die Benutzerfreund-lichkeit höchsten Stellenwert genießen. Der Kunde erwartet eine einfache in-tuitive Nutzung der Services. Dafür ist das Bereitstellen von User-Self-Services essentiell. Der Kunde will selbst ein Pass-wort zurücksetzen oder Angaben zu seiner Person ändern. Die Benutzer-Self-services erleichtern ebenso die Umsetzung der Anforderungen der DS-GVO. Der Anmel-deprozess auf der Plattform sollte auch die Gratwanderung zwischen Sicherheit und Benutzerfreundlichkeit unterstützen. Hier helfen Single-Sign-on (einmalige An-meldung) sowie Step-up beziehungsweise Adaptive Authentication. Diese erlaubt, die Stärke der Authentifi zierung je nach Risi-kograd automatisch zu wählen.

VerfügbarkeitDie Verfügbarkeit der Applikationen ist für Kunden ebenso wie für das Unternehmen essentiell. Durch den vorgelagerten Secu-rity Layer müssen sich die Services und Applikationen nur noch um den positiven und nicht-kritischen Traffi c kümmern, da alles andere bereits ausgefi ltert ist. Zu-sätzlich bieten WAF-Lösungen mit Load-Balancing und Failover-Funktionen hohe Verfügbarkeit.

Fazit: verlässlicher Schutz gegen Bedrohungen und Angriffe

Die Integration von CIAM, WAF und API Security bietet verlässlichen Schutz ge-gen Angriff e auf der Applikationsebene. Solche Applikationssicherheits-Lösungen kümmern sich um die Sicherheit ihrer Di-gitalisierungsstrategie. ◀

PRODUKTANBIETER

Seite 66

Seite 72

Seite 86

Seite 92

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 72

59

Stefan Mutschler

Konvergenz von digitaler und physischer Access-Kontrolle

Im Reich der RechteZugriff skontrollsysteme (engl.: Access Control Systems, kurz ACS) in einer IT-Umgebung beschreiben, welche Rechte einem User oder einer Funk-tion in einem Zielsystem zur Verfügung stehen. Weitaus populärer ist heute jedoch der Begriff IAM – Identity- und Access-Managegent – wel-cher für die Disziplin steht, die ACS zugrunde liegt. Je nach Zielsystem können diese Rechte sehr granular gegliedert sein. Zusätzlich lassen sich die Rechte auch an konkrete Nutzersituationen koppeln, etwa das Gerät, von dem aus der Zugriff erfolgt, der Ort, die Art der Verbindung und vie-les mehr. Kern der Rechtevergabe ist immer die Identität eines Nutzers oder eines Programms, ähnlich wie bei Zutrittsbefugnissen einer Person zu Arealen, Gebäuden oder Räumen. Wegen dieser Wesensgleichheit rü-cken IT-Access- und Gebäudezutrittssysteme immer näher zusammen.

Mit der Identität als Basis gehört zu einer passgenauen IT-Rechtever-

gabe zuallererst ein umfassendes Iden-tity-Management (IdM). Dieses muss an geeignete Authentifi zierungsverfahren, ein solides Management von Passwör-tern und bewährte Methoden für die Be-reitstellung von Services gekoppelt sein. Diverse Richtlinien, wie etwa COBIT oder Sarbanes-Oxley, verlangen zusätzlich eine Abbildung der organisatorischen Zugriff s-

berechtigungen in einem internen Kont-rollsystem.

Damit jeder einzelne Mitarbeiter im eige-nen Hause, beim Zulieferer, beim Partner et cetera genau auf die Informationen zugreifen kann, die für seine Arbeit bezie-hungsweise Funktion relevant sind – und nur auf diese – muss im Hintergrund ein IAM-System für eine möglichst fi ligrane Rechtevergabe sorgen. Bei zunehmend

komplexeren IT-Infrastrukturen inklusive Virtualisierung erweist sich das Rechtema-nagement in der IT oft als harter Brocken. Schon die Visualisierung der Berechtigun-gen etwa in MS Active Directory, Fileser-ver-Systemen (Microsoft, NetApp, EMC² etc.), SharePoint, Exchange, vSphere und weiteren Verzeichnissen ist in der Praxis bis heute oft nur lückenhaft gelöst. Eine Vereinfachung bringt die Defi nition von Rollen, denen nach Bedarf bestimmte Identitäten/Gruppen zugeordnet werden können.

Konvergenz der physischen und digitalen Sicherheit

Die Entscheidung über Zugriff serlaubnis oder -ablehnung basiert auf einer Iden-tität, die ein Nutzer in Form von Nutzer-name/Passwort, Token/Chipkarte oder/und biometrischem Merkmal nachweisen muss. Dieser Teil des IAM ist im Prinzip identisch mit Zugangskontrollsystemen, die am Eingang eines Geländes, Gebäudes oder Raumes für einen geregelten Verkehr

Zugriffskontrolle/NAC

Bild

: © de

posit

phot

os.c

om/p

hran

ai200

6@gm

ail.c

om

60

sorgen.. Deshalb liegt es nahe, den analo-gen Raum bei der Zugriff skontrolle auf IT-Systeme miteinzubeziehen. Die moderne Arbeitswelt fordert auch in der physischen Welt größere Gestaltungsspielräume: Fle-xible Kooperationen, digitale Arbeitsplätze, neue Formen von Arbeitsverhältnissen und die Standortvielfalt vieler Unternehmen brauchen klare Strukturen und Regeln für den Zutritt zu Gebäuden und defi nierten Arbeitsbereichen. Das gilt für die eigenen Mitarbeiter genauso wie für externe Part-ner und temporär beschäftigte Mitarbeiter wie Freelancer oder Praktikanten. Denn der unkontrollierte Zutritt, beispielsweise zu Laboren und Entwicklungsabteilungen, birgt enormes RisikoPotenzial. Es braucht ein System, das klar defi niert, wer zu was und wie lange Zugang besitzt – egal, ob es sich dabei um Räume oder Daten handelt. So sollten externe Dienstleister, die für ein konkretes Projekt im eigenen Gebäude ar-beiten, nach Abschluss der Zusammenar-beit automatisch durch das System wie-der vom Zutritt ausgeschlossen werden. In vielen Unternehmen besteht allerdings oft ein historisch gewachsener Mix an Zu-trittskontrollsystemen unterschiedlicher Hersteller. Die Folge sind hoher Adminis-trationsaufwand für die Verwaltung der Identitäten und Zutrittsrechte und damit einhergehend eine große Anfälligkeit für Fehler.

„Angesichts neuer Arbeitsformen, der Kon-vergenz von Online- und Offl ine-Sicherheit, physischen und digitalen Räumen sowie einem sich wandelnden Verständnis da-von, was privat ist und was öff entlich, wird ein ganzheitliches und gut durchdachtes Identitäts- und Zugangsmanagement zum zentralen Bestandteil der Sicher-heitsarchitektur moderner Unternehmen und alldenjenigen, die sich im digitalen Zeitalter stark positionieren wollen“, so Bernd Dieckmann, Director Sales DACH, bei Nexus Technology. „Davon profi tie-ren letztlich alle Beteiligten: Anwender, Kunden, Lieferanten und andere externe Partner, – und die Unternehmen sind für die vielfältigen bevorstehenden Heraus-forderungen bestens gewappnet.“

BSI-Empfehlungen für Access-Kontrolle

Das Bundesamt für Sicherheit in der Infor-mationstechnik (BSI) hat in seinem Papier M 2.220 im Rahmen des IT Grundschutzes einige Richtlinien für die Zugriff skontrolle

zusammengestellt. Für die Einhaltung ein-schlägiger Gesetze, Vorschriften und Re-gelungen empfi ehlt das Papier, Standard-Rechteprofi le für Personen aufgrund ihrer Funktionen und Aufgaben (Rollen) festzu-legen. Die Benutzerrechte für Zugriff e auf Dateien und Programme müssten eben abhängig von der jeweiligen Rolle, dem Wissensbedarf und der Sensitivität der Daten defi niert sein. Falls Rechte verge-ben werden, die über den Standard hin-ausgehen, sollte dies begründet werden. Auch das Problem mit den privilegierten Accounts (z. B. Administratoren) ist in dem BSI-Papier adressiert. Die Empfehlungen hier: den Kreis der privilegierten Benutzer möglichst einschränken, strikt nur tatsäch-lich benötigte Rechte vergeben und den privilegierten Account nur bei tatsächli-chen Admin-Aufgaben nutzen. Zusätzlich zum Papier M 2.220 hat das BSI zahlreiche weitere Richtlinien für den Themenbereich herausgegeben, etwa M 2.516 zur Bereit-stellung von Sicherheitsrichtlinien für Cloud-Anwender, M 2.585 zur Konzeption eines Identitäts- und Berechtigungsma-nagements und viele weitere.

In einigen Bereichen, wie etwa dem Fi-nanzwesen, gewinnt durch Regelwerke, wie dem Kreditwesengesetz MaRisk (Vor-gaben der Bundesanstalt für Finanzdienst-leistungsaufsicht für die Ausgestaltung des Risikomanagements in Kreditinstitu-ten), das Thema Risikomanagement im Rahmen von Access-Management massiv an Bedeutung. Mit Softwarelösungen für das Access-Risk-Management lässt sich das Risikomanagement von Zugangsbe-rechtigungen über alle Phasen unterstüt-zen – von der Identifi kation, Bewertung und Steuerung bis zur ständigen Kontrol-le beziehungsweise zum Monitoring von Berechtigungsrisiken.

Lange Zeit vernachlässigt, rückt die Zu-griff skontrolle bei Web-Anwendungen immer mehr in den Mittelpunkt. Die Au-torisierungskomponente sollte hier laut BSI alle verwalteten Ressourcen einer Web-Anwendung, wie URLs, Dateien, Objektreferenzen, Geschäftsfunktionen, Anwendungsdaten, Konfi gurationsdaten und Protokolldaten, berücksichtigen. Da-bei sei die Zugriff skontrolle möglichst auf allen Ebenen einer Web-Anwendung um-zusetzen, also neben der Web-Anwendung selbst etwa auch auf den Applikations- und Web-Servern sowie dem Betriebssys-tem. ◀

PRODUKTANBIETER

Seite 64

Seite 66

Seite 70

Seite 72

Seite 84

BERATER/DIENSTLEISTER

Seite 63

Seite 64

Seite 66

Seite 67

Seite 68

Seite 70

Seite 72

61

62

Acronis setzt mit seinen innovativen Lö-sungen für Backup, Ransomware-Schutz, Disaster Recovery, Storage und unter-nehmensgerechte Synchronisierung und Freigabe von Dateien den Maßstab im Bereich Cyber Protection und Hybrid-Cloud-Storage-Schutz. Unterstützt durch die preisgekrönte KI-basierte Active-Pro-tection-Technologie, Blockchain-basierte Authentifi zierung sowie eine einzigartige hybride Cloud-Architektur schützt Acronis alle Ihre Daten aus allen Workloads sowie Applikationen in allen physischen, virtuel-len, Cloud-basierten und mobilen Umge-bungen.

SAPAS – die fünf Vektoren der Cyber Protection

Acronis-Lösungen stützen sich auf die fünf Vektoren der Cyber Protection – Safety (Verlässlichkeit), Accessibility (Verfügbar-keit), Privacy (Vertraulichkeit), Authenticity (Authentizität) und Security (Sicherheit) – und gewährleisten somit, dass Unterneh-menslösungen wie Acronis Backup Cloud

und Acronis Backup 12.5 einfach, effi zient sowie sicher und damit für alle Kunden, unabhängig von der Größe, geeignet sind. Acronis setzt mit dem Schutz aller Daten, Anwendungen und Systeme den Maßstab im Bereich Cyber Protection und Daten-speicherung in der hybriden Cloud.

Acronis Backup 12.5 ist eine anwender-freundliche und schnelle Backup-Lösung für alle Systeme und Umgebungen – auf lokalen oder Remote-Systemen, in Private/Public Clouds oder auf Mobilgeräten. Mit Active Protection für Ransomware-Schutz, Backup-Validierung und Acronis Notary, einer Blockchain-basierten Backup-Au-thentifi zierung, ist Acronis Backup 12.5 die derzeit zuverlässigste Backup-Lösung auf dem Markt. Die Lösung unterstützt phy-sische und Hybrid-Cloud-Umgebungen sowie mehr als 20 Plattformen.

Die Plattform Acronis Data Cloudbietet einfache Cyber Protection und gibt Service Providern die Möglichkeit, neue Services über

die bestehende Kundenverwaltungsin-frastruktur anzubieten – einschließlich Backup-, Disaster Recovery-, File Sync & Share-, Dateibeglaubigungs- und E-Sig-natur-Services. Sie unterstützt die native Integration in die gängigsten Hosting-Automatisierungsplattformen, PSA-Sys-teme (Professional Services Automation) und RMM-Tools (Remote Monitoring & Management). Zudem beinhaltet sie umfassende Service-Monitoring- und Re-porting-Funktionen, einen vollständigen Cloud-to-Cloud-Schutz für Microsoft Of-fi ce 365, erweiterten Ransomware-Schutz und Blockchain-basierte, digitale Daten-beglaubigung sowie Funktionen zum digi-talen Signieren.

Acronis True Image 2019 ist die funkti-onsreichste, anwenderfreundlichste und sicherste Backup-&-Cyber-Protection-Software für Privatanwender. Diese um-fasst die Sicherung von Daten und Ge-räten – Betriebssysteme, Einstellungen, Social-Media-Daten, Smartphones und Ta-blets – um im Ernstfall auch alles wieder-herstellen zu können. Per Mirror Imaging kann das vollständige System-Laufwerk gesichert werden – und per Datei-Backup

genau die Dateien und Ordner, die Sie benötigen. Mit seiner integ-

rierten KI-Technologie, wird Acronis True Image 2019 von einer Backup-Software zu einer

kompletten Cyber-Protection-Lösung für Privatanwender.

Acronis Germany GmbH • Landsberger Straße 110 • 80339 München • Tel.: +49 89 61372840 Fax: +49 89 6137284-99 • https://www.acronis.com/de-de/ • E-Mail: info-de@Acronis.com • Ansprechpartnerin: Anna Peschel

Acronis Cyber Protection – New Generation Data Protection

Acronis wurde 2003 in Singapur gegründet und ist seit 2008 in der Schweiz eingetragen. Heute beschäftigt das Unternehmen mehr als 1.000 Mitar-beiter in 18 Ländern. Den Acronis-Lösungen vertrauen bereits mehr als 5 Millionen Verbraucher und 500.000 Unternehmen – einschließlich 79 % der 100 wertvollsten Unternehmensmarken. Acronis-Produkte können über mehr als 50.000 Partner und Service-Provider in über 150 Ländern und in mehr als 20 Sprachen erworben werden.

Firmenporträt

Acronis Cyber Protection – New Generation Data ProtectionNew Generation Data ProtectionNew Generation Data ProtectionNew Generation Data Protection

PHYSISCHWindows Server

Windows Server EssentialsLinux

Windows-PCMac

Windows-PCSurface-Familie

Mac

WORKSTATIONS

VIRTUELLVMware vSphereMicrosoft Hyper-VCitrix XenServerRed Hat VirtualizationLinux KVMOracle VM Server

APPLIKATIONEN Oracle DatabaseExchangeSQL ServerSharePointActive Directory

CLOUDOffice 365

AzureAmazon EC2

Acronis Cloud Private Cloud

MOBILGERÄTE iPhoneiPadAndroid

HYBRID CLOUD-ARCHITEKTUR

dem Markt. Die Lösung unterstützt phy-sische und Hybrid-Cloud-Umgebungen sowie mehr als 20 Plattformen.

Acronis Data Cloudbietet einfache Cyber Protection und gibt Service Providern die Möglichkeit, neue Services über

gesichert werden – und per Datei-Backup genau die Dateien und Ordner, die

Sie benötigen. Mit seiner integ-rierten KI-Technologie, wird Acronis True Image 2019 von einer Backup-Software zu einer

kompletten Cyber-Protection-Lösung für Privatanwender.

62

63

@-yet GmbH

Seit 2002 berät die @-yet GmbH Unternehmen aus der Privatwirtschaft und dem öff entlichen Sektor im Bereich des IT-Risikomanagement und der Digital Security. Neben den klassischen Penetrationtests zur Bestimmung des aktuellen Sicherheitsstatus nach außen und nach innen ist @-yet auch auf das Thema Applikationssicherheit (Portal, Shops, Apps, on-premise) spezialisiert. Nach Bestimmung des Ist-Zustandes berät @-yet ihre Kunden bei der Planung und Umsetzung angemessener IT-Sicherheitsstrategien, um das Risiko von Cyber-Angriff en zu minimieren und Systemausfälle zu verhindern. Im März 2017 Gründung und Geschäftsführung der @-yet In-dustrial IT Security GmbH, Aachen. Die Beratungsschwerpunkte der @-yet IIS GmbH sind Sicherheit in Industrienetzen und SCADA Umgebungen so-wie von Industrie 4.0 Szenarien.

IT-Risikomanagement ist der bewusste Umgang mit den Risiken,

die sich für Unternehmen und Organisationen aus dem Einsatz von

IT ergeben können.

Mit der rasanten Verbreitung und der tiefen Durchdringung der IT in alle Unternehmensbereiche und Geschäfts- und Fertigungsprozesse kommen neben dem Nutzen auch neue Bedrohungen und Risiken für die Unternehmen auf. Die Grenzen zwischen Business-, Büro- und Fertigungs-IT verschwimmen.

Diese IT-bedingten Bedrohungen werden somit in einem unternehmensweiten Risikomanagement immer wichtiger.

@-yet betrachtet diese Bedrohungen und die daraus resultierenden Risiken im Hinblick auf

Business- und IT-Security

Business Continuity

Business Compliance + Datenschutz

Incident Response + IT-Forensik

Cloud und Outsourcing

Industrie 4.0

Das @-yet Leistungsportfolio ist darauf ausgerichtet,

▪ die Schwachstellen, Gefahren und Risiken durch Pentests und Code- Analysen zu erkennen

▪ diese durch organisatorische und technische Maßnahmen, wie ISMS und Sicherheits-Architektur, gezielt zu minimieren

▪ kritischen Situationen vorzubeugenund

▪ die Behandlung von Sicherheits-vorfällen zu unterstützen (Incident

Response) und kriminelle Handlungen aufzuklären.

@-yet bündelt den Umgang mit den unterschiedlichen Gefahren und Risiken in einem einheitlichen Risiko und Infor-mation Security Management System (ISMS).

@-yet Ziel

▪ IT-Prozesse, IT-Organisation, IT-Infra-struktur, Fertigungs-IT nach dem Geschäftsbedarf, den Chancen und den Geschäftsrisiken ausrichten

▪ Daten und Know-how schützen.

@-yet GmbH • Schloss Eicherhof • 42799 Leichlingen • Tel. +49 (0) 2175/16550 www.add-yet.de • E-Mail: info@add-yet.de • Ansprechpartnerin: Andrea Klein

DIGITALISIERUNGOHNEDIGITALE SICHERHEIT IST UNDENKBAR UND GEFÄHRLICH!

Firmenporträt

63

64

Airbus CyberSecurity ist europäischer Anbieter für hochwertige Lösungen und Services im Bereich Cyber-Sicherheit. Mehr als 750 Experten tragen weltweit zur Cyber-Sicherheit unserer Kunden, wie Regierungen und Be-hörden sowie Betreiber kritischer Infrastrukturen und Industrie, bei. Un-sere Produktlösungen und Dienstleistungen unterstützen rund um die Uhr die Abwehr von Cyber-Angriff en, verbunden mit einer wirksamen Im-munisierung der Infrastrukturen. Hierbei greifen unsere Experten in fünf Cyber Defence Centern in Deutschland, Frankreich und Großbritannien auf eine breit gefächerte Expertise und neueste Technologien zurück.

Alle staatlichen und wirtschaftlichen Or-ganisationen werden tagtäglich mit einer zunehmenden Anzahl hochentwickelter und gezielter Cyber-Angriff e konfrontiert. Unabhängig von seinem Ursprung oder seiner Intention schwächt der Angriff sein Ziel entweder unmittelbar, beispielsweise bei einem Systemabsturz, oder unbemerkt, wie bei einem gezielten, strategischen Datendiebstahl. Darüber hinaus kann ein Angriff Auswirkungen auf die kritischen Infrastrukturen eines Landes sowie auf die Widerstandsfähigkeit der nationalen Wirt-schaft haben. Aus diesem Grund ist Cyber-Sicherheit eine der größten Herausforde-rungen für Organisationen und Staaten.

Effektiver Schutz vor Cyber-Angriffen

Um dieser Herausforderung gerecht zu werden, hat Airbus seine Cyber-Expertise in einem Geschäftsfeld gebündelt: Cy-berSecurity. Wir entwickeln Produkte und Services, die die Anlagen und Systeme un-serer Kunden in Europa und dem Mittleren Osten schützen. Staatliche Organisationen, Militäreinrichtungen, Unternehmen und

Betreiber kritischer Infrastrukturen ver-trauen uns.

Das Lösungsportfolio

Airbus CyberSecurity bietet ein ganzheitlich umfassendes Lösungsangebot zur Cyber-Sicherheit und zur Abwehr von Angriff en sowie nachhaltiger Immunisierung. Es ba-siert auf führenden Werkzeugen, Technolo-gien und der Expertise, die in einer Vielzahl von Projekten erworben wurde und ihre Wirksamkeit bewiesen hat. Diese Basis er-möglicht es, Cyber-Angriff e zu verhindern, zu erkennen und umgehend entsprechende Gegenmaßnahmen einzuleiten. Die Lösun-gen erlauben ein sehr frühes Erkennen von Angriff sindikatoren und ermöglichen damit eine Abwehr des Angriff s bereits in seiner Entstehung.

24/7-Schutz

Nach Erkennen des Eindringens in die IT-Infrastruktur reagieren unsere rund um die Uhr verfügbaren Incident-Response-Exper-ten sofort und dämmen den Angriff ein. Un-

sere spezialisierten Fachkräfte unterstützen Sie dabei, die Vorgehensweise der Angreifer zu verstehen, die operativen und fi nanziel-len Auswirkungen zu reduzieren und eine Systemwiederherstellung zu erreichen.

Forschung und Entwicklung

Um unsere Kunden heute und zukünftig mit den besten Technologien und Dienst-leistungen vor zunehmenden Cyber-Angrif-fen zu schützen, haben wir für die nächsten Jahre eine ambitionierte Wachstumsstra-tegie: Innovation, Ausbildung und Rekru-tierung von Experten, Entwicklung stra-tegischer Partnerschaften sowie externes Wachstum. Wir investieren mehr als 10 % des jährlichen Budgets in Forschung und Entwicklung, um unseren Kunden effi ziente und auf neuester Technologie basierende Lösungen und Services zu liefern.

Jahresumsatz und Mitarbeiter

Airbus ist ein weltweit führendes Unter-nehmen im Bereich Luft- und Raumfahrt sowie den dazugehörigen Dienstleistun-gen. Der Umsatz betrug 67 Mrd. Euro im Jahr 2017, die Anzahl der Mitarbeiter rund 134.000. Airbus bietet die umfangreichste Verkehrsfl ugzeugpalette mit 100 bis über 600 Sitzen an. Das Unternehmen ist eu-ropäischer Marktführer bei Tank-, Kampf-, Transport- und Missionsfl ugzeugen und ei-nes der größten Raumfahrtunternehmen der Welt. Die zivilen und militärischen Hub-schrauber von Airbus zeichnen sich durch hohe Effi zienz aus und sind weltweit ge-fragt.

Airbus CyberSecurity • Willy-Messerschmitt-Straße 1 • 82024 Taufkirchen • Tel.: +49 89 3179 0https://airbus-cyber-security.com/ • E-Mail: contact.cybersecurity@airbus.com

Eine wachsende Bedrohung

Firmenporträt

64

Als Verlag gestartet, ist der heutige Bank-Verlag im Schwerpunkt ein Technologie-Serviceunternehmen, das sich auf folgen-de Geschäftsfelder konzentriert: ▪ Security &Trusted Services▪ Mobile- und Online-Banking▪ Cards & Payment Solutions▪ Compliance und Recht sowie▪ Risiko- und Bankmanagement

Im Bereich Security besteht ein ganzheitliches Angebot

▪ von Beratungen, Schulungen und Zer-tifi zierungen

▪ über Kommunikationsplattformen zum Informationsaustausch über Cy-ber-Attacken

▪ sowie einem Echtzeit-Cyber-Betrugser-kennungssystem

▪ bis zu einer hochverfügbaren, perfor-manten und sicheren Authentifi zie-rungsplattform zur Portalabsicherung, welche bereits heute schon außer-halb des Finanzgewerbes zum Einsatz kommt.

Dieses Angebot wird kontinuierlich weiter-entwickelt und um neue Services und Bau-steine ergänzt. Aktuell befi nden sich unter anderem die folgenden neuen Dienstleis-tungen in der Umsetzung:

BV Secure – die zentrale Authentifi kationsplattform

Diese seit mehr als zwölf Jahren im Ein-satz befi ndliche Plattform umfasst alle gängigen und modernen Authentifi kati-onsverfahren, wie PIN, chipTAN, mobile TAN, photoTAN und pushTAN. Die verschie-denen Verfahren lassen sich einfach und fl exibel in die eigenen Anwendungen inte-grieren. Mit unserer Erfahrung stellen wir

eine hochverfügbare, schnelle und sichere Lösung zur Verfügung, die wir permanent auf dem Stand der Technik und der gesetz-lichen Anforderungen halten.

BV Detect – das Echtzeit-Cyber-Betrugserkennungssystem

Dieses System arbeitet direkt an der Schnittstelle zum Kunden und liefert in Echtzeit Warnungen über Verdachtsfälle. Der modulare Aufbau mit technisch und qualitativ hochwertigen Sensoren, die individuell parametriesiert werden kön-nen, ermöglicht einen ganz individuellen Einsatz. In Zusammenarbeit mit unseren Kunden und unserem Partnernetzwerk be-rücksichtigen wir aktuelle Bedrohungsla-gen. BV Detect ist kompatibel sowohl mit eigenen als auch fremden Anwendungen und liefert volle Transparenz durch nach-vollziehbare Entscheidungsbäume.

Wir entwickeln unser Angebot kontinuier-lich weiter!

eIDAS Vertrauensdiensteanbie-ter/Trust Center für rechtsgültige

elektronische Unterschriften

Mit der in der eIDAS-Verordnung defi -nierten Fernsignatur ist die rechtsgültige elektronische Unterschrift als Alterna-tive zur Schriftform realisierbar. Sie ist der bisherigen qualifizierten Signatur hinsichtlich Wirtschaftlichkeit und Nut-zerakzeptanz deutlich überlegen und

ermöglicht erstmals die vollständige Di-gitalisierung der Prozesse für viele Produk-te und Dienstleistungen. Der Bank-Verlag bietet zukünftig einen eIDAS-konformen Fernsignatur-Service an, der sich nahtlos in mobile Lösungen für Privat- als auch Fir-menkunden integrieren lässt. Damit kön-nen Geschäftsvorfälle digitalisiert werden, die heute noch die händische Unterschrift (Schriftformerfordernis) benötigen. Der Bank-Verlag befi ndet sich aktuell im Zu-lassungsverfahren der Bundesnetzagentur als eIDAS Vertrauensdiensteanbieter und wird in diesem Zusammenhang neben der Fernsignatur auch eIDAS-konforme elekt-ronische Siegel sowie Zertifi kate für zuge-lassene PSD2-Drittdienstleister anbieten.Der Bank-Verlag ist ein kompetenter An-sprechpartner bei der Bewältigung heu-tiger und zukünftiger technologischer Herausforderungen, der den technischen Betrieb hochsicherer IT-Systeme gewähr-leistet und Lösungen fl exibel nach den neuesten Sicherheitsstandards und auf-sichtsrechtlichen Anforderungen umsetzt. Dabei handelt es nicht um „Cloud“-Lösun-gen, sondern Anwendungen in unserer Hochsicherheitsumgebung in Deutsch-land!

Bank-Verlag GmbHDer Bank-Verlag wurde 1961 gegründet und ist eine hundertprozentige Tochtergesellschaft des Bundesverbandes deutscher Banken. An seinem Hauptsitz in Köln sowie einer Niederlassung in Frankfurt/Main arbeiten rund 200 Mitarbeiter an Lösungen für Kreditinstitute, Finanzdienstleister und andere Branchen.

Firmenporträt

65

Schon das Bauwerk ist ein Statement absoluter Sicherheit: Universal gesi-chert durch zwei Meter dicken Stahlbeton, Sicherheitstüren der höchsten Sicherheitsstufe RC 6, Zutrittskontrolle mittels Dreifaktor-Authentifi zie-rung über Code, Chip- und Biometrie-Erkennung sowie Detektorschleu-se, Video-Überwachung durch 200 Kameras, permanente Sauerstoff re-duktion und vieles mehr. „Daten dulden nicht das kleinste Risiko“, sagt Andres Dickehut, Gesellschafter der Bremer ColocationIX GmbH, die das gleichnamige Mittlere Rechenzentrum betreibt. Die Planung des ISO-27001-zertifi zierten Data Centers erfolgte auf Basis der US-Rechenzen-trumsnorm TIA942 Tier4 sowie der neuen europäischen Rechenzentrums-norm EN50600 Klasse 4, und seine Sicherheitsarchitektur entspricht den Anforderungen Kritischer Infrastrukturen (KRITIS).

Globale Vernetzung, bombensicher

Sicherheits-Services, wie Intrusion Preven-tion, DDoS mit Remote Triggered Black Holing RTBH, sichern die Unangreifbarkeit der Daten im Inneren. In der redundanten Raumstruktur einer jeden Etage können alle Datenbank-Cluster gespiegelt aufge-baut werden. Via Glasfaser ist ColocationIX direkt und bei geringsten Latenzzeiten mit den weltgrößten Internet-Exchanges DECIX, AMSIX und LINX sowie mit China verbunden. Die direkten Wege erlauben es, Anwendungen hoch performant glo-bal zu betreiben. Dazu steht zusätzlich ein Content Delivery Network (CDN) mit Accelerator-Funktionen zur Verfügung. WAN-Dienste über VPN und MPLS stellen die Verbindungen mit Remote-Standorten oder auch für Homeoffi ce- und mobile An-wender zur Verfügung.

Private- und Public Cloud Services

„Mit der Verlagerung ihrer VMware-Um-gebung in ColocationIX verfügen Unter-nehmen am Ende über ihre eigene Pri-vate Cloud auf separater Hardware“, sagt Andres Dickehut. Externe Cloud Services, wie Microsoft Azure, Amazon Web Servi-ces AWS, Google oder Salesforce, können bei Bedarf fl exibel integriert werden. „Wir sorgen dafür, dass sich CIOs und IT-Leiter sorgenfrei um ihr digitales Kerngeschäft statt um Gebäudetechnik kümmern kön-nen“, erklärt Andres Dickehut. Auch das innovative Energiekonzept, dem schon in der Planungsphase der „Deutsche Re-chenzentrumspreis für Klimatisierung und Kühlung“ verliehen wurde, rechnet sich für Unternehmen. „Die Auslagerung der Private Cloud mittels VMware ist fl exibler und in der Regel günstiger als der Betrieb

vor Ort oder sogar in der Public Cloud“, stellt Andres Dickehut fest. Die Datenfes-tung im Bremer Westend kommt so dem wachsenden Wunsch vieler Firmen nach einem vertrauensvollen Anbieter mit tech-nologischem Know-how und einem guten Preis-Leistungs-Verhältnis entgegen.

Flexible ColocationIX Services

ColocationIX bietet unter anderem Coloca-tion/Housing, Private-, Hybrid- und Public Cloud Services, VMWare Active/Active und -/Passive, Managed-Services, Outsourcing, Premium IP-Transit sowie Backup und Re-store für Unternehmen jeder Größenord-nung an.

Über ColocationIX

Die ColocationIX GmbH ist Betreiber eines innovativen Hochsicherheits-Rechenzent-rums der Kategorie „Mittleres Rechenzen-trum“. Auf 2.500 Quadratmetern ist Raum für bis zu 50.000 Server. ColocationIX ist Partnerunternehmen der Consultix GmbH, Bremen. Das inhabergeführte Unterneh-men ist nach ISO 27001, ISO 9001, ISO 14001 und OHSAS 18001 Ecostep zertifi -ziert und hat sich zum Technologieführer im Bereich Verwaltung und Management personenbezogener Daten entwickelt.

ColocationIX GmbH • Wachtstraße 17–24 • 28195 Bremen • Telefon: +49 421/333880 • Fax: +49 421/3338833www.colocationix.de • sales@colocationix.de • Ansprechpartner: Uwe Jambroszyk

ColocationIX – Hochsicherheits-Rechenzentrum im Atomschutzbunker

Mehr Sicherheit geht nicht

Que

lle: I

mpe

rial W

ar M

useu

m Lo

ndon

(IW

M)

Que

lle: I

mpe

rial W

ar M

useu

m Lo

ndon

(IW

M)

Firmenporträt

▴Fünf gespiegelte Rechenzentrumsetagen mit je zwei Sicherheitszonen

◂ Zwei Meter dicke Stahl-betonwände schützen unternehmens kritische IT-Infrastrukturen

66

In Zeiten der Digitalisierung macht eine si-chere IT den Unterschied. Eine zuverlässige IT-Security wird damit zur Voraussetzung für Innovation und Geschäftserfolg. Das Ende-zu-Ende-Security-Portfolio des IT-Dienstleisters Computacenter hilft Unter-nehmen dabei, ihren Geschäftsbetrieb, ihre Wettbewerbsfähigkeit und das Vertrauen in ihr Geschäft zu sichern und liefert Ant-worten auf alle aktuellen und künftigen Sicherheitsfragen in Zeiten der Digitali-sierung. Computacenter vereint die Ex-pertise über alle IT-Bereiche hinweg – vom schlagkräftigen Cyber Defence Center bis zu jedem einzelnen Endpoint und von der Offi ce- bis zur Produktions-IT.

Computacenter verfügt über eines der umfangreichsten IT-Security-Portfolios am Markt und versteht IT-Security als in-tegralen Bestandteil der Unternehmens-strategie. Wir kombinieren 20 Jahre Se-curity-Erfahrung mit Know-how über alle IT-Bereiche hinweg. Dabei kommt alles aus einer Hand: von der Beratung, Konzeption und Implementierung bis hin zu Betriebs-unterstützung und Wartung. Für die Rea-lisierung einer wirksamen IT-Security ar-beitet Computacenter mit allen führenden Herstellern zusammen und verfügt über umfassende Beratungs- und Betriebsex-pertise, ein Team aus rund 160 Security-Experten sowie aktuellste Zertifi zierungen. Das Security-Portfolio gliedert sich in sechs Themenbereiche, mithilfe derer individuel-le Lösungen entstehen:

ENDPOINT SECURITY

Beratung und Integration von Security-Lö-sungen rund um den Endpoint (Basic und Advanced Endpoint Security). Pfl ege, Moni-toring und Management der Client-Securi-ty-Elemente (Firewall, Encryption, Antivirus, Access, Data Encryption, Mobile Security),

Client AMP, Baseline-Security-Elemente, wie Hardening oder Patch Management

INFRASTRUCTURE SECURITY

Cloud-Security-Strategien und -Beratung, Pfl ege, Monitoring und Management der Datacenter- und Network-Security-Kompo-nenten (Web App Security, Secure Virtuali-sation, Database Security, Server Security, Traffi c Encryption, E-Mail Security, Contai-ner Security, Multi-Plattform-Protection, DDoS Protection, Data Loss Prevention, CSP Encryption, Shadow IT Detection)

IDENTITY AND ACCESS MANAGEMENT

Privileged Access Management und Pri-vileged Account Management, starke Authentifi zierung, Public-Key-Infrastruk-turen, Betrieb des Identity- und Access-Managements

INFORMATION SECURITY MANAGEMENT

Governance Services gemäß ISO 27001 bzw. nach BSI-IT-Grundschutzkatalog, Steue-rung der gesamten IT-Security, Control Compliance, Automation, Risikoanalysen u. a. zur Einhaltung der GDPR-Richtlinien, Data Classifi cation Consulting

CYBER DEFENCE SERVICES

Design von Cyber-Defence-Centern, Secu-rity-Information-&-Event-Management-Plattformen (SIEM), Security Monitoring & -Analysen, Behavior Analytics (UEBA), Vulnerability Management, Threat Intel-ligence, Frühwarnsysteme & Hunting, In-cident-Response-Prozesse & -Plattformen, Security-Analysten zur Unterstützung des Aufbaus und Betriebs von SOCs oder CDCs

INDUSTRIAL SECURITY

Beratung und Implementierung von kurzfristig umsetzbaren Maßnahmen (Firewalls für die Produktion, IPS, Netz-werksegmentierung, Application White-listing, Fernwartung) und langfristigen Vorhaben (Verantwortungsdefinition, Security- und Risk-Management, SOC, Logging und Monitoring, Cyber Defence Center, Predictive Maintenance)

Mit unserem „Best-Integrated“-Ansatz schaff en wir in einem Klima der täglich neuen Cyberbedrohung eine sichere Ar-beitsatmosphäre, in der Mitarbeiter ihr volles Potenzial abrufen können und Un-ternehmen ihre digitalen Ziele erreichen.

Computacenter AG & Co. oHG • Europaring 34–40 • 50170 Kerpen • Telefon: +49 (0) 22 73/5 97- 0 www.computacenter.com/de • E-Mail: communications.germany@computacenter.com

IT-SECURITY? WAR GESTERN. WIR MACHEN SECURE IT.IT-SECURITY? WAR GESTERN.

Bild

: ©iS

tock

/cho

mbo

san

Firmenporträt

67

Identity & Access Management (IAM) & Authentifi zierung

Ein stabiles Identity- und Access-Manage-ment (IAM) bildet die Basis, um Ihre Netze und Informationsressourcen gegen un-erlaubte Zugriff e von innen und außen zu schützen. Wir unterstützen Sie bei der Auswahl und Implementierung geeig-neter technischer Lösungen ebenso wie bei der Analyse und Defi nition entspre-chender Rechte- und Rollenkonzepte und besonderen Herausforderungen, wie dem Privileged User Management und der Multi-Faktor-Authentifi zierung.

Security Information and Event Management (SIEM)

Viel zu oft bleiben Bedrohungen und Sicherheitsvorfälle unentdeckt, unbe-antwortet oder unbeachtet. Mit der Unterstützung bei Auswahl, Aufbau und Betrieb eines geeigneten Security-Information- & Event-Managements

(SIEM) erhöhen wir die Transparenz und Reaktionsfähigkeit Ihrer IT-Sicherheit: Alle sicherheitsrelevanten Vorgänge und Log-Dateien werden dokumentiert und ausgewertet, rechtzeitige Alarmierung und das Krisenmanagement erleichtert und durch digitale forensische Untersu-chungen die Vorbereitung auf zukünftige Cyber-Vorfälle verbessert.

Mobile & Cloud Security

Der hochmobile Arbeitsplatz und das Re-chenzentrum der Zukunft vereint: CONET unterstützt Ihre sichere Migration in die Microsoft-Cloud mit Offi ce 365, Enterpri-se Mobility & Security, Azure und sichere Infrastrukturdienste. Wir optimieren und migrieren Ihre bestehende Infrastruktur, kombinieren benutzerzentrierte, mobile Lösungen mit Collaboration-Plattformen der nächsten Generation und behalten dabei vor allem die Sicherheit Ihrer Infra-struktur im Blick – ob on premise, hybrid oder cloud-only.

CONET • Theodor-Heuss-Allee 19 • 53773 Hennef • Tel.: +49 2242 939-900 • Fax: +49 2242 939-393www.conet.de/DE/loesungen/consulting/cyber-security • LJacobs@conet.de • Ansprechpartner: Lothar Jacobs

„Erfolg. Unsere Leidenschaft.“ CONET ist das kompetente IT-System- und Beratungshaus für SAP, Infrastructure, Communications, Software und Consulting in Cyber Security, Cloud, Mobility und Big Data. Mit rund 700 Mitarbeitern gehört CONET laut der Computerwoche-Systemhausumfra-ge zu den besten mittelständischen IT-Häusern in Deutschland. Auf Basis unserer langjährigen Zusammenarbeit mit Partnern und Kunden in De-fense, öff entlichem Sektor und Privatwirtschaft stellen wir unser umfas-sendes strategisches Wissen, technisches Know-how und unsere Prozess-Expertise in den Dienst einer integrierten Cyber Security für Ihr Business!

Managed Security/SOC

Nutzen Sie unsere Experten zur Unter-stützung Ihrer Sicherheits-Teams und des Betriebs Ihrer Security-Infrastrukturen, um ein durchgängig hohes Sicherheits-niveau und die nötige Reaktionsfähigkeit zu gewährleisten. Mit unserem Security Operation Center (SOC) erhöhen wir Ihre IT-Sicherheit unter Einsatz von spe-zialisierten Fachleuten, Produkten und Prozessen durch zentrale Analyse-, Test-, Überwachungs- und Alarmierungsme-chanismen.

Informationssicherheits-management (ISMS)

Sämtliche für die Sicherheit eingesetzten Methoden, Maßnahmen und Werkzeuge sind nur so gut, wie ihre Verankerung in einem ganzheitlichen Management-system. Wir sorgen dafür, Ihr Informa-tionssicherheitsmanagement (ISMS) durch die Defi nition von Regeln, Verfah-ren, Maßnahmen und Tools strategisch auszurichten und taktisch bestmöglich gemäß gesetzlichen und regulatori-schen Rahmenbedingungen hinsichtlich Governance, Risk und Compliance von ISO 2700x und IT-Grundschutz bis zu IT-Si-cherheitsgesetz und KRITIS aufzustellen.

Mit CONET können Sie sich beruhigt auf Ihr Kerngeschäft konzentrieren – mit Sicherheit!

Wir begleiten Sie auf dem Weg der sicheren digitalen Transformation!

Firmenporträt

68

IT-SICHERHEIT beginnt im Kopf

Das Fachmagazin für Informationssicherheit und Datenschutz

Jetzt Abonnent werden unter https://www.itsicherheit-online.com/zeitschrift

Informationssicherheit und Datenschutz

Jetzt Abonnent werden unter https://www.itsicherheit-online.com/zeitschrift

ConSecur ist seit 20 Jahren IT-Sicherheitsexperte für den Mittelstand. Ziel unserer Arbeit ist es, nur berechtigten Personen den Zugriff auf Infor-mationen zu gewähren und Informationen vor Übergriff en Unbefugter zu schützen. Wir fühlen uns der Vertraulichkeit, Verfügbarkeit, Integ-rität und Authentizität der Information verpfl ichtet. Wir entwickeln IT-Sicherheitslösungen, die wir mit unseren Spezialisten umsetzen und vor Ort dauerhaft betreiben. Seit 1999 betreuen wir dabei einen stetig wach-senden Kundenstamm, der Unternehmen aus Branchen wie Telekommu-nikation, Automobil, Finanzen, Chemie sowie öff entliche Einrichtungen umfasst.Basis für unsere Lösungen bilden dabei ein Information Security Manage-ment (ISM), ein Security Information and Eventmanagement (SIEM) sowie ein Identity and Access Management (IAM). Gleichermaßen bedienen sich unsere Kunden der ConSecur Managed Security Services, die Informatio-nen im Unternehmen optimal schützen, auf Wunsch 24/7.

Unsere vernetzte Welt hat in den vergan-genen Jahren in einem beeindruckenden Tempo an Mobilität und Flexibilität ge-wonnen. Wir rufen Informationen dort ab, wo wir uns gerade befi nden, und teilen sie mit Kunden, Partnern und Kollegen. Aller-dings erfordert diese Freiheit gleicherma-ßen unsere erhöhte Wachsamkeit. Denn überall dort, wo etwas rausgeht, kann eben auch immer jemand hereinkommen.

Damit genau das nicht passiert, gibt es das Cyber Defense Center der ConSecur GmbH. Hier überwachen unsere Security-Analys-ten rund um die Uhr die Sicherheit von IT-Infrastrukturen. Sie behalten Ihre Sys-teme permanent im Auge und analysieren sämtliche sicherheitsrelevanten Vorgänge. Im Zusammenspiel mit der bestehenden Sicherheitsarchitektur bietet das Cyber De-fense Center einen Hochleistungsschutz

Firmenporträt

für Ihre IT. Darüber hinaus erkennen unse-re Analysten Schwachstellen und identifi -zieren Sicherheitsvorfälle aller Art.

Permanente Sicherheit für Ihre Information mit Managed SIEM

Damit haben Sie die Gewissheit, dass aus-schließlich berechtigte Personen Zugang zu Ihrem Netzwerk und damit Zugriff auf Informationen, Daten und Dokumente ha-ben. Das gilt sowohl für Angreifer, die von außen auf Ihr Netzwerk zugreifen wollen, als auch für Innentäter aus den eigenen Reihen. Das Cyber Defense Center erkennt diese Angriff e rechtzeitig und leitet ge-zielte Abwehrmaßnahmen ein. Deshalb ist Ihre IT bei der ConSecur GmbH in den besten Händen.

Welche Vorteile bietet Managed SIEM?

Die Implementierung eines SIEM ist eine Sache, die Aufrechterhaltung aller sicher-heitsrelevanten Maßnahmen eine andere. Hochwertige Sicherheitslösungen können Ihre Schutzwirkung nur entfalten und er-

ConSecur GmbH

ConSecur GmbH

Jederzeit den Überblick mit dem Sicherheitsdienst für Ihre IT

Bild

: © de

posit

phot

os.c

om/G

orod

enko

ff Pr

oduc

tions

OU

70

mationssicherheit und organisieren mit Ihnen zusammen das Management Ihres SIEM. Da Sie selbst Ihr Unternehmen am besten kennen, analysieren wir mit Ihnen gemeinsam die jeweiligen Maßnahmen und setzen Schwerpunkte in besonders si-cherheitsrelevanten Bereichen. Managed SIEM durch ConSecur bedeutet, dass unser gesamtes Team hinter Ihrem Unterneh-men steht. Wir entwickeln einen maßge-schneiderten Einsatzplan, stimmen Teams und Einsatzleiter aufeinander ab und hal-ten Ihr SIEM durch kontinuierliche Über-wachung und Prüfung auf dem höchsten Sicherheitsstand.

ConSecur betreibt für seine Kunden ein vollständiges Cyber Security Center und verfügt über umfangreiche Erfahrungen im Einsatz moderner SIEM-Tools wie HP ArcSight, Splunk oder IBM QRadar. Im Rah-men des Managed-Service-Modells setzen die Security-Spezialisten aus Meppen mit QRadar von IBM für ihre Kunden ein pro-fessionelles Monitoring aller potentiellen Sicherheitsvorfälle auf.

Dazu werden – individuell angepasst an die spezifi sche Infrastruktur des Kunden – in einem ersten Schritt die Log-Daten und -Events der unterschiedlichen Infrastruk-turkomponenten gesammelt, gespeichert, normalisiert und analysiert. Im zweiten Schritt werden diese Informationen kor-reliert und teilweise um weitere Informa-tionen angereichert. Bei der Korrelation der Daten werden dann auf Grundlage des Regelwerks potentielle Sicherheitsvorfäl-le identifi ziert. Dabei nutzt ConSecur eine hauseigene Datenbank mit mehr als 400 typischen Mustern von Sicherheitsvorfäl-

len, die die Erfahrung aus vielen Jahren in der Praxis bündelt.

Die Sicherheitsvorfälle meldet das SIEM-Tool dann an die Analysten des Cyber Defense Centers, die untersuchen, ob sich hinter der Anomalie ein tatsächlicher Si-cherheitsvorfall verbirgt. Ist das der Fall, werden gemeinsam mit den verantwort-lichen Fachabteilungen des Kunden ent-sprechende Gegenmaßnahmen eingelei-tet.

Besonders interessant wird dieser Ansatz durch das Managed-Service-Modell auch für Unternehmen des Mittelstands, die oft nicht über ausreichend interne Res-sourcen und die notwendige Erfahrung bei der Analyse von Sicherheitsvorfällen verfügen. Zwar setzen viele Unternehmen bereits gute Einzelkomponenten in ihrer IT-Sicherheitsinfrastruktur ein, scheitern aber beim konsequenten Monitoring der Komponenten im Zusammenspiel. Schon in Unternehmen mittlerer Größe entste-henden täglich Unmengen an Log- und Event-Daten. Ohne die entsprechende Unterstützung durch ein SIEM-Tool, wie QRadar, und das gebündelte Know-how eines speziell dafür ausgebildeten Cyber Defense Centers, können diese wichtigen Daten nicht ausgewertet werden. So blei-ben wesentliche Sicherheitsvorfälle oft lange unentdeckt, obwohl im Grunde be-reits viel Geld in hochwertige Sicherheits-technik investiert wurde. Das Managed-Service-Angebot von ConSecur schließt genau diese Lücke.

halten, wenn sie kontinuierlich überwacht, geprüft, dokumentiert und analysiert wer-den. All dies benötigt eine enorme Menge an Wissen und beansprucht Ressourcen und Zeit. ConSecur unterstützt Ihre haus-eigene IT nach Bedarf und organisiert mit Ihnen zusammen ein optimiertes Sicher-heitsmanagement. Unternehmen und Organisationen profitieren von einem solchen Managed SIEM in mehrfacher Hinsicht: Zunächst schont das Managed SIEM die eigenen personellen Ressourcen und Systeme. Mitarbeiter, die ansonsten mit der Überwachung des SIEM beschäf-tigt wären, können sich ihren eigentlichen Aufgaben widmen. Die Kosten für ein Ma-naged SIEM sind deutlich transparenter als bei einer hauseigenen Überwachung des SIEM, zudem wird die interne IT-Infrastruk-tur ebenfalls entlastet. Die Geschäftsfüh-rung hat damit die Gewissheit, dass Ihr Unternehmen durch Fachkräfte und IT-Ex-perten im Einklang mit der hauseigenen IT gesichert wird und im Bedrohungsfall alle notwendigen Maßnahmen professionell durchgeführt werden.

ConSecur – Ihr Partner für Managed SIEM

Ziel unserer Arbeit ist es, Ihnen die größt-mögliche IT-Sicherheit zu gewährleisten. Mit einem Managed SIEM übertragen Sie einen zentralen Aspekt Ihrer Informati-onssicherheit an uns. Wir sind uns der Verantwortung dieser Maßnahmen be-wusst. Daher stehen wir mit all unserer Erfahrung und unserem Wissen für die Si-cherheit Ihres Unternehmens ein. Unsere Experten analysieren zunächst ausführlich Ihre vorhandenen Maßnahmen zur Infor-

Nödiker Straße 118 • 49716 Meppen • Telefon: +49 5931 9224-0 • Fax: +49 5931 9224-44www.consecur.de • E-Mail: info@ConSecur.de

ConSecur Portfolio Managed SIEM (Cyber Defense Center)▪ Security Monitoring (5/8 oder 24/7)

▪ Log- und Eventanalyse nach risiko-orientierten Use-Cases

▪ permanente Weiterentwicklung durch professionelles Use-Case- Management

▪ professionelles Incident-Manage-ment zur Beseitigung von Sicher-heitsvorfällen

▪ maximale Investitionssicherheit

▪ Einsatz eines SIEM-Systems

Mehr Informationen zu SIEM als Mana-ged Service von ConSecur fi nden Sie hier: www.consecur.de/siem

71

Controlware schützt Ihre kritischen Assets On-Premises und in der Cloud zuverlässig vor internen und externen Bedrohungen: Mit unserem themenübergreifenden Know-how in den Bereichen Network So-lutions, Collaboration, Information Secu-rity, Application Delivery, Data Center & Cloud sowie IT-Management beraten und unterstützen wir Sie bei der Umsetzung ganzheitlicher Security-Strategien.

Unsere Experten stehen Ihnen in allen Phasen Ihrer IT-Security-Projekte zur Seite. Gemeinsam mit Ihrem Team implementie-ren wir ein ganzheitliches Sicherheitsma-nagement mit regelmäßigen Risikoana-lysen – und entwickeln davon ausgehend einen detaillierten, auf Ihre Bedürfnisse abgestimmten Maßnahmenkatalog. An-schließend begleiten wir die Integration und Inbetriebnahme und übernehmen auf Wunsch Wartung und Support.

ISO-27001-zertifi ziertes CSC

Das ISO-27001-zertifi zierte Controlware „Customer Service Center“ übernimmt für Sie die strategische, taktische und ope-rative Absicherung Ihrer Infrastrukturen als Teilleistung oder Komplettservice mit verbindlichen SLAs. Um sicherzustellen, dass Ihre IT-Security durchgehend auf der Höhe der Zeit bleibt, ergänzen wir Ihre Ressourcen bedarfsgerecht um indivi-duell zugeschnittene Managed Security Services – vom Infrastrukturbetrieb bis hin zur Unterstützung durch unser Cyber-Defense-Team.

Wir bauen unser Service-Angebot kon-tinuierlich aus und bieten in unserem Security Operations Center (SOC) neben klassischen präventiven Security-Dienst-leistungen auch innovative Services in den Bereichen Advanced Threat Detection, Vul-nerability Management und Advanced Log Analytics. Die Analysten im Controlware Cyber Defense Center (CDC) gewährleis-

Controlware GmbH • Waldstraße 92 • 63128 Dietzenbach • Tel. +49 6074/858-00 www.controlware.de • info@controlware.de • Ansprechpartner: Stefanie Zender

Controlware unterstützt Enterprise-Kunden, mittelständische Unter-nehmen und Einrichtungen der öff entlichen Hand seit fast 40 Jahren bei der Absicherung ihrer kritischen Umgebungen. Als einer der führenden deutschen Systemintegratoren und Managed Service Provider konzipie-ren und realisieren wir ganzheitliche IT-Security-Lösungen, die höchsten Ansprüchen an Datenschutz, Datensicherheit und Compliance gerecht werden.

ten dabei die zuverlässige Klassifi zierung von Sicherheitsvorfällen und integrieren geeignete Maßnahmen zur Abwehr der Bedrohungen und zur Wiederherstellung Ihrer kompromittierten Systeme.

Flächendeckendes Vertriebs- und Servicenetz

Wir arbeiten mit den führenden Security-Herstellern zusammen und haben bei die-sen in der Regel den höchsten Zertifi zie-rungsstatus inne. Unser Lösungsportfolio deckt die gesamte Bandbreite der IT-Secu-rity ab: von Next-Generation Firewalling über Content- und Endpoint-Security bis hin zu innovativen Technologien in den Bereichen Künstliche Intelligenz und Se-curity Analytics. Zu unseren Fokusthemen zählen natürlich auch Security-Disziplinen, wie Cloud Security, Privileged Account Ma-nagement und die Abwehr von Advanced Persistent Threats.

Unsere rund 760 Mitarbeiter betreuen Kunden aus der Finanzwirtschaft, Indus-trie und Forschung sowie der öff entlichen Hand und dem Mittelstand mit einem Ver-triebs- und Servicenetz an 16 Standorten in Deutschland, Österreich und der Schweiz. Zu den Unternehmen der Controlware-Gruppe zählen die Controlware GmbH, die ExperTeach GmbH, die Networkers AG und die Productware GmbH.

Controlware GmbH –Leistungsfähige IT-Security-Infrastrukturen und proaktive Cyber Security Services

Firmenporträt

72

Spezialisten sind eff ektiver als Generalisten? Nicht, wenn sich ge-werkeübergreifende Spezialisten zu einer Gruppe Generalisten zu-sammenschließen. Dann erhalten RZ-Verantwortliche das Rundum-Sicherheits paket aus einer Hand. So bei der DATA CENTER GROUP. Als Komplettanbieter für physikalische IT-Infrastrukturen umfasst das Port-folio alle Dienst leistungen für Planung, Realisierung und Betrieb eines RZ: egal ob Container-RZ, Backup-Lösung, Mini- oder Raum-in-Raum-Da-tacenter, von Analyse, Beratung und Planung über fachgerechte bauliche Umsetzung und schlüsselfertige Errichtung von IT-Standorten bis zum professionellen Betrieb samt Service- und Wartungsleistungen.

Neben vielen weiteren Lösungen und Produkten überzeugt die DATA CENTER GROUP vor allem mit der Durchgängig-keit ihrer Leistungen. Auf Basis von mehr als 1.000 realisierten Projekten sowie der Expertise ihrer Berater, Planer und Sicher-heitsexperten bietet die DATA CENTER GROUP sowohl Analysen, Planung, Bau und schlüsselfertige Übergabe als auch Wartung und Instandhaltung. In einer Unternehmensgruppe werden so Fach-kompetenzen gebündelt, um eine ganz-heitliche und kompetente Realisierung sowie den sicheren Betrieb von RZ zu gewährleisten. Ihre vier Geschäftsberei-che SECUrisk, RZingcon, proRZ und RZ-Services sowie die Unternehmenstochter RZ-Products GmbH arbeiten eng verzahnt und aufeinander abgestimmt. Durch den ständigen Know-how-Transfer, die vielsei-tige Praxiskenntnis und die kurzen Wege wird für Kunden ein maximaler und nach-haltiger Mehrwert geschaff en.

So bietet die DATA CENTER GROUP zum Beispiel fl exible, hochsichere und -ver-fügbare Plug-and-Play-Containerlösun-gen in 20- oder 40-ft-ISO-Varianten. Sie sind werkseitig bereits ausgestattet und bei Auslieferung betriebsbereit, können erweitert werden und bieten selbstver-ständlich einen vollständigen Schutz vor allen physikalischen Gefahren, EMP und

Fremdzugriff. Ebenso entwickelt und vermarktet das Unternehmen mit den DC-ITSafes ein modulares Kompaktre-chenzentrum, das sich ebenso für Edge-Anforderungen eignet. Die Schranklö-sung bietet einen besonderen Schutz vor Fremdzugriff en, Abstrahlung, Brandgas, Explosion sowie Löschwasser oder Vanda-lismus. Der DC-ITSafe ist das nachweislich feuerbeständigste Kompaktrechenzent-rum der Welt. Auf weniger als zwei Qua-dratmetern kann das Mini Data Center dabei je nach Variante von 21 bis zu 62 Höheneinheiten aufnehmen.

Schließlich bietet die DATA CENTER GROUP mit ihrem Konzept des Dienst-leistungs-RZ eine Lösung für Unterneh-men, welche die benötigte Manpower für den Betrieb, den erforderlichen Platz

für ein eigenes RZ – geschweige denn ein Backup-RZ – oder vielleicht das Budget für diese Investitionen nicht bereitstellen können oder wollen. Zu den transparen-ten und planbaren Kosten kommt hinzu, dass die räumliche Kapazität jederzeit erweiterbar ist und sich Mieter keinerlei Gedanken um Aspekte, wie Instandhal-tung, Wartung, Gebäudeschutz, Zugangs-kontrolle, Reinigung, Stromversorgung oder Klimatisierung, machen müssen. Die Dienstleistungsrechenzentren bie-ten auf Wunsch, nach den einschlägigen Normen, ein Energiemanagement sowie die Nutzung erneuerbarer Energien oder alternativer Stromquellen und Kühlungs-konzepte.

DATA CENTER GROUP (DC-Datacenter-Group GmbH) • In der Aue 2 • 57584 Wallmenroth • Telefon: 02741/9321-0 Fax: 02741/9321-111 • www.datacenter-group.de • info@datacenter-group.de • Ansprechpartner: Michael Kavermann

Rechenzentren im Fokuswirtschaftlich · sicher · effi zient

Firmenporträt

73

individuelle Beratungsleistungen von DATAKONTEXT angeboten. Die guten Ver-bindungen des Unternehmens sind dabei von hohem Nutzen: DATAKONTEXT ver-fügt über intensive Kontakte zu Ministe-rien, Behörden und Spitzenverbänden von Wirtschaft und Verwaltung. Genau solche Informationsnetzwerke sind sehr wichtig, garantieren sie doch einen fortwähren-den aktuellen Wissenstransfer über den Stand neuer Gesetze, Verwaltungsanwei-sungen, aktueller Rechtsprechung und deren praktische Umsetzung. Wissen, das DATAKONTEXT mit seinem vielseitigen Repertoire an Produkten gerne an seine Kunden weitergibt.

Die Fachzeitschriften

Mit der IT-SICHERHEIT, der Fachzeitschrift für Informationssicherheit und Daten-

schutz, informiert DATAKONTEXT praxis-nah und leicht verständlich über aktuelle Security-Entwicklungen, gesetzliche An-forderungen und akute IT-Gefahren. Das Magazin vermittelt Entscheidern Einstei-ger-Know-how rund um Trendthemen wie Cloud Computing, Cybercrime oder Mobile Security, ebenso wie zu Fragen des Securi-ty-Managements, des IT-Rechts oder zum technischen Datenschutz.

Für aktuelle Informationen zwischen den einzelnen Ausgaben sorgt der kostenlose digitale Infodienst „IT-SICHERHEIT News“.

Die Fachzeitschrift RDV – Recht der Daten-verarbeitung – informiert sechsmal jähr-lich über rechtspolitische Entwicklungen im nationalen und internationalen Daten-schutzbereich. Neben den Fachbeiträgen namhafter Experten und Juristen, die sich praxisgerecht an der jeweils aktuellen Rechtsentwicklung und Rechtsprechung orientieren, bietet die RDV einen Recht-sprechungsteil mit Auszügen aus wegbe-reitenden, wichtigen Urteilen sowie Be-richte und Informationen aus der EU, der Gesetzgebung, dem Bundestag und den Ländern. Die Fachzeitschrift wird von der

Begonnen hat alles im Jahr 1977: Damals wurde DATAKONTEXT von den Initia-toren des Bundesdatenschutzgesetzes gegründet. Von Anbeginn an war das Unternehmen Partner und Sprachrohr der Gesellschaft für Datenschutz und Da-tensicherheit e.V. (gdd) und ist bis heute der führende Know-how-Vermittler im Be-reich Datenschutz. Bereits seit 2008 ist die DATAKONTEXT GmbH ein Unternehmen des Süddeutschen Verlages und gehört so-mit zu einer der führenden Mediengrup-pen in Deutschland.

Getreu dem Slogan „Kompetenz aus einer Hand“ werden zu den Themenfeldern Da-tenschutz und IT-Sicherheit Fachbücher, Fachzeitschriften und Weiterbildungs-veranstaltungen (Seminare, Fachforen, Zertifi zierungen, Arbeitsgemeinschaften, Ausbildungsgänge) sowie unternehmens-

DATAKONTEXT GmbH

Als Fachinformationsdienstleister besteht DATAKONTEXT bereits seit über 40 Jahren am Markt. Neben den Themengebieten Personalarbeit und Entgeltabrechnung ist das Unternehmen vorwiegend im Bereich Daten-schutz und IT-Sicherheit unterwegs. Hier zählt DATAKONTEXT seit jeher zu den Marktführern.

Kompetenz aus einer Hand

Firmenporträt

74

www.rdv-online.de

Zeitschrift für Datenschutz-,

Informations- und Kommunikationsrecht

Recht der Datenverarbeitung Peter Gola · Andreas Jaspers · Rolf Schwartmann · Gregor Thüsingin Kooperation mit derGesellschaft für Datenschutz und Datensicherheit e.V. ( ), Bonn

Herausgegeben von

RDVG 20 141ISSN 0178-8930

1/2019

35. Jahrgang Februar 2019 Seiten 1–50

Aufsätze BERGER, Datenschutzrechtliche Zulässigkeit von Lehrer-Meldeportalen

NEBEL,Datenschutzrechtliche Verantwortlichkeit bei derNutzung von Fanpages und Social Plug-ins

THÜSING/ROMBEY, Empfehlungswerbung durch Krankenkassen– ein datenschutzrechtliches Problem?

GOLA, Aus den aktuellen Berichten und Informationen derAufsichtsbehörden (39): Spezielles zu (behördlichen)Datenschutzbeauftragen

REIF, Gemeinsame Verantwortung beim Lettershopverfahren– Praktische Konsequenzen der EUGH-Rechtsprechung zu den„Fanpages“ und „Zeugen Jehovas“

Kurzbeiträge

RechtsprechungAus dem Inhalt

EUGH, Behördlicher Zugang zu Kommunikationsdaten bei weniger schweren Straftaten

EUGH, Haftungsfragen bei Filesharing im Familienbund

BVERFG, Vorschriften über den Zensus 2011 sind verfassungsgemäß

OLG FANKFURT A. M., Abwerbung von Mitbewerbern wettbewerbs-widrig bei gezielter Behinderung eines Konkurrenten

OLG FANKFURT A. M., Akteneinsicht in Gefangenenpersonalakte

KG BERLIN, Anspruch des Versicherten auf Kopie einesmedizinischen Gutachtens

LG FANKFURT A. M., Zur uneingewilligten Darstellung einerKundin im Firmenvideo ihres Friseurs (Ls)

gdd redaktionell betreut und mit heraus-gegeben. Gleichzeitig ist sie die offi zielle Mitgliedszeitschrift des Verbandes.

Seit Januar 2016 gehört auch die Fach-zeitschrift <kes> neu zum Portfolio von DATAKONTEXT. Das offi zielle Organ des Bundesamts für Sicherheit in der Infor-mationstechnik (BSI) vermittelt redakti-onell unabhängig und auf einem hohen technischen Niveau strategisches Wissen zur Informationssicherheit und berich-tet über aktuelle Entwicklungen aus den Bereichen Netzwerk-, Endpunkt- und An-wendungssicherheit, Business-Continuity, Kryptografi e, Virtualisierung, Biometrie, Gesetzgebung und Standardisierung so-wie physische Security für die IT.

Alle drei Fachzeitschriften verfügen zudem über einen eigenen Webauftritt, auf dem Abonnenten die Archivfunktion nutzen können und mit aktuellen Informationen zwischen den Ausgaben versorgt werden. Schauen Sie mal rein unter www.itsicher-heit-online.com, www.rdv-online.com oder www.kes.info.

Die Veranstaltungen

Seminare, Fachforen, Zertifi zierungen und Arbeitsgemeinschaften – DATAKONTEXT ermöglicht seinen Kunden eine fundierte Weiterbildung im Bereich Datenschutz und darüber hinaus auch eine Ausbildung zum zertifi zierten Datenschutzbeauftragten.

Die Themen der Veranstaltungen sind vielfältig, ob nun zum Beschäftigtenda-tenschutz, dem Datenschutzmanage-ment, dem technisch-organisatorischen Datenschutz oder der neuen europäischen Datenschutz-Grundverordnung.

denen Publikationen einige Antworten zu geben, zum Beispiel mit dem neu konzi-pierten Handbuchbuch Beschäftigtenda-tenschutz.

Praxisnah und mit ausführlichen Fallbei-spielen werden nahezu alle Fragen zum Arbeitnehmerdatenschutz beantwortet. Ausgewertete Stellungnahmen der Auf-sichtsbehörden helfen außerdem bei der Orientierung in der komplexen Rechtslage.

Auch die bewährte „Mitarbeiterinforma-tion Datenschutz“ liegt in neuer aktuali-sierter Fassung vor. Sie ist auf das aktuelle Datenschutzrecht (DS-GVO und BDSG 2018) ausgerichtet und wurde grafi sch neu gestaltet.

Mit dieser Mitarbeiterinformation können alle Mitarbeiterinnen und Mitarbeiter für die Grundlagen, die Bedeutung und die Notwendigkeit des Datenschutzes sensi-bilisiert werden. Die wesentlichen Aufga-ben und Pfl ichten mit Datenschutzbezug sind klar strukturiert und grafi sch leicht verständlich aufbereitet. Zahlreiche Praxi-stipps weisen auf typische Gefahrensitua-tionen hin und leiten die Mitarbeiter zum richtigen Verhalten am Arbeitsplatz an. Über Testfragen am Schluss wird das er-lernte Wissen überprüft. Die „Mitarbeiter-information Datenschutz“ ist auch in englischer Sprache oder als fi rmenindivi-dueller Sonderdruck verfügbar.

Einer der bedeutendsten und traditions-reichsten deutschen Datenschutzkon-gresse ist die Datenschutzfachtagung, kurz DAFTA genannt. Die von der gddund DATAKONTEXT organisierte Fachta-gung zieht jährlich rund 350 hochrangige Datenschutzbeauftragte bzw. Fach- und Führungskräfte aus dem Bereich Daten-schutz und Datensicherheit an, die sich ei-nen umfassenden Überblick über alle für die Praxis relevanten Themen des Daten-schutzes und der Informationssicherheit verschaff en wollen.

Eine Möglichkeit zur kompakten Weiter-bildung für Datenschutzbeauftragte und Datenschutzdienstleister stellen der Som-merworkshop in Timmendorfer Strand sowie der Winterworkshop in Garmisch-Partenkirchen dar. Aufgearbeitet werden Themenstellungen, die sich in vielen Un-ternehmen aktuell stellen. Kompetente Referenten zeigen hier den jeweiligen Handlungsbedarf auf. Die Veranstaltungen bieten zugleich den Nachweis der gem. § 4f Abs. 3 BDSG/Art. 38 DS-GVO geforderten gesetzlichen Fachkunde gegenüber den je-weiligen Auftraggebern, Arbeitgebern und Aufsichtsbehörden.

Die Publikationen

Die Datenschutz-Grundverordnung (DS-GVO) hat ihre volle Wirkung entfaltet. In der Praxis bleiben viele Fragen off en. Da-takontext versucht mit seinen verschie-

Augustinusstraße 9d • 50226 Frechen • Telefon: +49 (0)2234/98949-30 • Fax: +49 (0)2234/98949-32 www.datakontext.com • E-Mail: fachverlag@datakontext.com

Merkblatt zum Datenschutz für Mitarbeiterinnen und Mitarbeiternach DS-GVO und BDSG (neu)

75

Fabasoft zählt zu den führenden Softwareproduktunternehmen und Cloud-Dienstleistern für digitale Dokumentenlenkung sowie elekt-ronisches Dokumenten-, Prozess- und Aktenmanagement in Europa. Zahlreiche prominente Privatunternehmen und Organisationen der öf-fentlichen Hand vertrauen seit drei Jahrzehnten auf die Qualität und Erfahrung von Fabasoft.

Softwareprodukte

Die Produkte von Fabasoft dienen der Digi-talisierung, Vereinfachung, Beschleunigung und Qualitätssteigerung von Geschäfts-prozessen. Sie umfassen den Eingang, die Strukturierung, die team- und prozesso-rientierte Bereitstellung, die Bearbeitung und Erledigung, die sichere Aufbewahrung und das kontextsensitive Finden aller Ge-schäftsunterlagen. Fabasoft bietet innova-tive Möglichkeiten zur organisations- und länderübergreifenden Zusammenarbeit sowohl im Wege informeller Zusammen-arbeit (Collaboration) als auch im Zuge strukturierter Workfl ows. Kunden profi tie-ren durch orts- und geräteunabhängigen Zugriff , effi zientes Wissensmanagement, schnellere und wirtschaftlichere Arbeitser-ledigung sowie durch verbesserte Nachvoll-ziehbarkeit (Compliance).

Fabasoft eGov-Suite

Über leistungsfähige, agile Entwicklungs-umgebungen werden, basierend auf den Fabasoft Produkten, kundenspezifische

Anpassungen, Fachanwendungen und Branchenlösungen umgesetzt. Die so entwi-ckelte Fabasoft eGov-Suite ist die führende Anwendung für elektronisches Aktenmana-gement im öff entlichen Sektor im deutsch-sprachigen Raum.

Fabasoft Cloud

Unternehmen verwenden Cloud-Services zur Zusammenarbeit mit externen Partnern, Lieferanten und Kunden. Dabei hat sich die Cloud als Digitalisierungsplattform etab-liert und vielfach bewährt. Als Digitalisie-rungsplattform bietet die Fabasoft-Cloud Vorteile durch sofort verfügbare Lösungen. Diese Lösungen und skalierbaren Anwen-dungen ermöglichen Organisationen, ihren Fokus wieder auf die Endkunden zu richten, was als Fundament für eine erfolgreiche digitale Transformation gilt. Die Daten von Fabasoft-Cloud-Kunden werden ausschließ-lich in europäischen Rechenzentren gespei-chert. Bei der Auswahl der Rechenzentren legt Fabasoft besonderes Augenmerk auf Sicherheit, Nachhaltigkeit und Energieeffi -zienz.

Fabasoft Folio

Fabasoft Folio ist ein europäisches Business-Softwareprodukt für die sichere Erfassung, Ordnung und Aufbewahrung aller digitalen Dokumente, Geschäftsunterlagen und Ge-schäftsakten im Unternehmen (Electronic Content Management, Records Manage-ment und Case Management) sowie für die informelle Zusammenarbeit (Collaboration) und für die Digitalisierung von Geschäfts-

prozessen (Workfl ows).

Transparenz

Kristallklare Transparenz schaff t Vertrau-en. Fabasoft ist ein im Prime Standard der Frankfurter Wertpapierbörse notiertes Un-ternehmen (WKN (D) 922985) und lebt seit drei Jahrzehnten eine Strategie der vollen Transparenz – nicht nur für Aktionäre, son-dern für jeden einzelnen Kunden.

Sicherheit und Datenschutz

Informationsverarbeitung spielt eine Schlüsselrolle für unsere Aufgabenerfül-lung. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben wer-den durch Informationstechnik (IT) maß-geblich unterstützt. Die Fabasoft Kernkom-petenz liegt in der Entwicklung innovativer Produkte zur Digitalisierung von Geschäfts-prozessen, der Bereitstellung von Cloud-Ser-vices und im kontextsensitiven Finden. Die Verfügbarkeit sowie der Schutz von Infor-mationen vor unberechtigtem Zugriff und vor unerlaubter Änderung sind daher von existenzieller Bedeutung.

Standorte

Der Fabasoft-Konzern ist mit Tochterge-sellschaften in Deutschland, Österreich, der Schweiz und den USA vertreten. Darüber hi-naus unterhält das Unternehmen Vertriebs- und Projektpartnerschaften in diesen und weiteren Ländern.

Fabasoft Deutschland GmbH • THE SQUAIRE 14, Am Flughafen • 60549 Frankfurt am Main Tel.: +49 69 6435515-0 • Fax: +49 69 6435515-99 • https://www.fabasoft.com/de • offi ce@fabasoft.com

Firmenporträt

76

HiScout hat eine hochmoderne integrierte Managementplattform ge-schaff en, die sich exakt an die spezifi schen Belange jedes Unternehmens oder jeder Einrichtung anpassen lässt. Alle Module sind einzeln einsetzbar oder arbeiten miteinander verzahnt, auch weil sie auf eine gemeinsame Datenbasis zugreifen. Die ständig steigende Zahl zufriedener Anwender spricht für die Vorteile des integrierten Managementsystems.

Ein Lösungsangebot, das es in sich hat

Die HiScout GRC Suite Plattform basiert auf sechs Säulen. GRC steht für Gover-nance, Risk & Compliance. Business Con-tinuity, Information Security, Operational Risk, Compliance, Quality und IT-Service lauten die wichtigen und mächtigen Ma-nagement-Komplexe.

Zum Modell des Brandenburger Tores der Berliner Software-Schmiede HiScout GmbH gehört neben diesen Säulen das einheitliche Datenmodell, quasi als Fun-dament.

Auch eine Quadriga fehlt nicht. Sie verkör-pert den PDCA-Zyklus, dieser steht für ei-nen ständigen iterativen Prozess im Sinne der Qualitätssicherung, dem sich das agil arbeitende HiScout-Team verschrieben hat.

Jedes Modul kann eigenständig eingesetzt werden. Den umfassendsten Schutz für Unternehmen und Einrichtungen bietet natürlich die komplette Suite.

Einheitliche Datenbasis

Das One-Data-Model mit der ganzheitli-chen Datensicht ist ein großer Vorteil des integrierten Managementsystems. Alle relevanten Daten müssen nur einmal er-fasst bzw. referenziert werden und stehen dann in allen Modulen jedem berechtigen Mitarbeiter zur Verfügung. Das bedeutet nicht nur eine erhebliche Zeit- und damit

Kosteneinsparung gegenüber der bisher heute noch oft anzutreff enden Praxis, bei der Mitarbeiter oft ihr eigenes System pfl e-gen, nicht selten auf Basis von Tabellen-Datenbanken.

Es bedeutet zudem eine erhebliche Verbes-serung der Datenintegrität in der Organi-sation. Damit „vagabundieren“ nicht zig Versionen wichtiger Daten herum, sondern es gibt einen konsolidierten Datenbestand an zentraler Stelle.

Mitarbeiter der Qualitätssicherung, Da-tenschutzbeauftragte, Zuständige für den Grundschutz oder Business Continuity Ma-nager – alle haben gemäß ihren Rollen und Rechten über ihre Oberfl ächen Zugriff auf die gemeinsame Datenbasis.

Die Daten werden bei der Konfi guration der HiScout-Plattform einmalig erfasst oder über Schnittstellen eingelesen. Ein Großteil der für die HiScout GRC Suite benötigten Daten sind bereits in anderen Managementsystemen im Unternehmen vorhanden.

Zum Beispiel ist eine mächtige Datenbank die Confi guration Management Database

(CMDB). Dort ist die Gesamtheit aller Be-triebsmittel erfasst. Andere Management-systeme von denen die Daten per Schnitt-stelle übernommen werden können, sind das Active Directory (AD) oder das Issue-Tracking-System des Helpdesk.

Die HiScout GRC Suite ist made in Germa-ny, konkret made in Berlin. Es gibt keine ausgelagerten Entwicklungsabteilungen im Ausland. Alle Experten arbeiten unter ei-nem Dach, unweit der Berliner City. HiScout kann durch die Zusammenarbeit mit füh-renden Beratungsunternehmen auch sehr große Installationsprojekte stemmen. Die-se Partner liefern zudem wertvollen Input für die fachliche Weiterentwicklung der integrierten Plattform.

Die Kunden an erster Stelle

Neben der geballten Power durch die HiScout Partner sind natürlich die Kunden die wichtigsten „Ideengeber“. Deswegen veranstaltet die HiScout GmbH regelmä-ßige Workshops, zu denen ausgewählte Kunden eingeladen werden. Damit wer-den Ideen von Kunde zu Kunde getragen und komplette neue Innovationen in die Produktplanung übernommen.

HiScout GmbH • Bouchéstraße 12 • 12435 Berlin • Telefon: +49 30/33008880 • Fax: +49 30/330088899 www.hiscout.com • sales@hiscout.com • Ansprechpartnerin: Julia Kreuziger

HiScout – die Plattform für ein integriertes Managementsystem

Umfassend, modular und fl exibel konfi gurierbar

Firmenporträt

77

Ein unterschätztes Risiko – Spurloser Datenraub über die IT-Hardware

HEINEN Elektronik entwickelt und fertigt bereits im 50. Jahr erfolgreich individuelle elektronische Systemlösungen für unterschiedlichste Indus-triebereiche. Mittelständisch und inhabergeführt. So hätte es noch eini-ge Jahre weitergehen können. Doch im beschaulichen Haan, im Rhein-land, fi ndet ein nachhaltiger Wandel statt. „Die Firma HEINEN Elektronik sichert die Innovationsführerschaft der deutschen Industrie“, scherzt Geschäftsführer Dipl.-Ing. Peter Heinen und wird schnell konkreter. „Wir bieten unseren Kunden die Absicherung gefährdeter IT-Hardware und den Schutz vor spurlosem Datendiebstahl“.

78

Firmenporträt

Heinen Elektronik GmbH

Cyberattacken zwingen Industrie zum handeln

„Die Angreifer aus dem Cyberraum ver-schwenden keine Zeit mehr für Nebensäch-lichkeiten“, erklärt Dipl.-Ing. Joachim Stä-cker. Sie konzentrieren sich zunehmend auf relevante Sicherheits- und Steuerungssys-teme in Industrie- und Fertigungsanlagen, wie im Dezember 2017, auf ein SIS (Safety Instrumented System) einer Industrieanla-ge im Nahen Osten. Ein SIS ist eine Einrich-tung, welche die Risiken, die von Maschinen und Industrieprozessen ausgehen und eine Gefahr für Mensch und Umwelt darstellen, auf ein tolerierbares Maß reduziert.

Mitarbeiter des für IT-Sicherheit zustän-digen Bundesamtes für Sicherheit in der Informationstechnik (BSI) trafen sich nach Bekanntwerden des Angriff es über Wochen mit Unternehmen der deutschen Chemie-industrie. Denn schließlich setzen Hunderte Industrieanlagen in Deutschland ähnliche Sicherheitssysteme ein wie das Kraftwerk in Saudi-Arabien.

Vorhandenes Know-how für neue Kunden nutzen

„Doch was hat diese Entwicklung mit uns zu tun?“, fragt Peter Heinen selbst: „Im Jahr

Die rasante Digitalisierung in Unternehmen, insbesondere in kritischen Infrastrukturen, macht diese zu potentiellen Angriffszielen von Hackern und Nachrichtendiensten.

Angriffsszenarien: spurloser Datendiebstahl

78

einem Scanner digitalisiert werden, sind sie als elektrische Signale im PC verfügbar und werden über Leitungen im Inneren der IT-Geräte transportiert. Bei diesem Sig-naltransport entstehen um die benutzten Leitungen herum elektromagnetische Fel-der. Diese hochfrequenztechnischen „Nah-feldeff ekte“ führen dazu, dass Signale von einer Leitung auf eine andere Leitung über-springen können. Man spricht dabei vom „Überkoppeln auf Leitungen“. Durch diese Überkoppelungen gelangen die Signale – auch sensibler, vertraulicher und geheimer Daten – in das Netzteil des IT-Gerätes, das mit dem allgemeinen Stromnetz des Ge-bäudes verbunden ist.

Bei allen Computern gibt es zusätzlich zum Eff ekt des „Überkoppelns auf Leitungen“ eine angreifbare Sicherheitslücke im Hard-warekonzept. Die Hauptplatine (Mother-board), auf der sich z. B. der Prozessorsockel, die RAM-Steckplätze, der BIOS-Chip mit der integrierten Firmware, Schnittstellen-Bau-steine und Steckplätze für Erweiterungs-karten befi nden, ist im Gehäuse direkt mit dem Netzteil des Computers verbunden. Diese sicherheitstechnische Schwachstel-le ist wie eine Datenautobahn, die sensib-le Nutzerdaten direkt in das allgemeine Stromnetz des Gebäudes befördert. Daten-diebe zapfen das Stromnetz des Gebäudes aus einer sicheren Position risikolos an und hinterlassen keine Spuren beim Aufzeich-nen der IT-Daten als Rauschsignale.

Schutz durch Entkoppelung der IT-Geräte vom Stromnetz

„Einen wirksamen Schutz vor unkontrolliert ins Stromnetz abfl ießenden Daten ermög-licht nur eine Entkoppelung der IT-Geräte vom Stromnetz. Dafür gibt es unsere spezi-ell entwickelte Filtersteckdosenleisten, wie die NoSpy-Box®, die alle durch die Strom-leitung der IT-Geräte abfl ießenden Daten mit dem speziell entwickelten DCO-Filter-system (Data-Cut-Out) für Datendiebe und Geheimdienste unbrauchbar macht. Die Daten sind nach der DCO-Filterung weder lesbar noch rekonstruierbar. Rückschlüsse auf den Inhalt oder die Struktur der Daten sind nicht möglich“, erklärt Dipl.-Ing. Joa-chim Stäcker.

„Die digitale Transformation macht prin-zipiell alle Unternehmen, unabhängig von ihrer Größe, zu potentiellen Angriff szielen von Hackern“ sagt Peter Heinen. So groß die Chancen der Digitalisierung sind, das Inter-net ist ein sogenanntes „Dual-Use-Tool“, es kann auch als Waff e gegen die Nutzer ge-richtet werden.

79

2015 hat HEINEN Elektronik er-folgreich das Systemhaus ICOS aus Düsseldorf übernommen. Beide Unternehmen kannten sich aus langjähriger Zusam-menarbeit in unterschiedli-chen Entwicklungsprojekten. ICOS war spezialisiert auf moder-ne IT-Führungs- und Einsatzsys-teme von Bundeswehr und NATO. Deren IT-Hardwaresicherheit wird durch spezielle Systemhärtungs-Konzeptionen von mobilen und stationären Computern in Verbindung mit intelligenten Überwachungs- und Steuer-einheiten erreicht“, schildert er die Syner-gien der Firmenübernahme.

Auskundschaften der Ziele, ohne Spuren zu hinterlassen

„Erst eine professionelle Ausspähung des Angriff szieles macht chirurgisch geplante Cyberangriff e auf Industrieanlagen mög-lich“, erklärt Dipl.-Ing. Joachim Stäcker, Be-reichsleiter Computersicherheit. Zuneh-mend verwenden Datendiebe dafür eine besonders perfi de Art des Datendiebstahls: den spurlosen Datendiebstahl. So nennen Spezialisten den direkten Angriff auf ein-zelne IT-Arbeitsplätze während der unver-schlüsselten Eingabe der PC-Nutzer am PC, Monitor, Scanner, Drucker oder an an-deren IT-Peripheriegeräten. Dies geschieht verstärkt durch das Auff angen von in das Stromnetz abfl ießenden IT-Daten.

Antivirenprogramme, Firewalls und den Datenverkehr überwachende Algorith-men sind gegen diese Art des spurlosen Datenraubs völlig wirkungslos. Selbst IT-Spezialisten haben keine Möglichkeit, diese Art spurlosen Datendiebstahls zu erkennen oder zu rekonstruieren. „In den meisten Unternehmen ist die IT-Hardware, auch leitender Entscheider, immer noch völlig ungeschützt“, berichtet Joachim Stäcker von HEINEN ICS, einem Entwickler und Hersteller hardwarebasierter IT-Sicherheits-Systeme. Viele dieser spurlosen Angriff e auf IT-Hardware erfolgen aus dem Stromnetz des jeweiligen Zielgebäudes.

Geräteverkabelung wird zur Datenautobahn für Hacker

Wenn Daten am PC bearbeitet, eingege-ben oder zum Beispiel Dokumente mit

Hunsrückstr. 7 • 42781 Haan • Telefon: 02129/562-135 • Fax: 02129/562-200www.heinen-ics.de • E-Mail: j.staecker@heinen-elektronik.de • Ansprechpartner: Joachim Stäcker

Einen Produktfi lm zum Thema „Über-koppeln von Daten auf das Stromnetz und wie verhindert wird, dass Daten unkontrolliert abfl ießen“ fi nden Sie auf unserer Internetseite

https://www.heinen-ics.de/nospybox-produktfi lm

Gefahr: Überkoppeln auf Leitungen

79

Vertrauliche und rechtssichere Kommuni-kation wird auch auf elektronischem Weg immer wichtiger. Gleichzeitig ist die E-Mail-Kommunikation nach wie vor das größte Einfallstor für Malware: Nach aktuellen Untersuchungen erfolgen rund 80  Pro-zent der Malware-Angriff e über Mails. Der Schutz vor Malware und Spam sorgt für hohen Arbeitsaufwand bei der Gefahren-abwehr für die gesamte IT-Infrastruktur.

NoSpamProxy von Net at Work ist eine in-tegrierte Gateway-Lösung für alle Anforde-rungen der E-Mail-Sicherheit.

Mehr als AntiSpam: proaktiver Echtzeitschutz besonders gegen aktuelle Mal- und Ransomware

NoSpamProxy integriert mehrere intelli-gente Technologien, um einen optimalen Schutz gegen aktuelle Bedrohungen, wie WannaCry, Locky & Co., zu gewährleisten. Als erstes Produkt bietet NoSpamProxy ein Sender- und Empfänger-Reputations-management, das zusammen mit einem umfassenden Anhangsmanagement und

der weltweit führenden Zero-Hour-Lösung von CYREN arbeitet. Damit werden deut-lich mehr Kriterien zur Abwehr von Spam und Malware herangezogen als in anderen Lösungen. Sie profi tieren davon durch ein deutlich höheres Sicherheitsniveau.

Praxisnahe und einfache E-Mail-Verschlüsselung

Nutzen Sie NoSpamProxy und bauen Sie die E-Mail-Verschlüsselung mit Ihren Part-nern aus. Durch zentrale E-Mail-Signatur und E-Mail-Verschlüsselung am Gateway kommunizieren Sie sicher mit Partnern. An-wender werden vom umständlichen Um-gang mit elektronischen Schlüsseln entlas-tet. Sicherheitsregeln des Unternehmens werden automatisch zentral umgesetzt.

Große Dateien einfach, sicher und ohne Medienbruch versenden

NoSpamProxy Large Files erlaubt es Nut-zern, beliebig große Dateien direkt aus dem E-Mail-Client zu versenden. Anwender können auf diese Weise auch große Datei-

en verschicken, die die Beschränkungen des E-Mail-Programms überschreiten, ohne Medienbruch mit einem einzigen Klick auf einen neuen Button.

Kein Schulungsaufwand für Nutzer

NoSpamProxy schützt weitgehend auto-matisiert und regelbasiert im Hintergrund. Über ein Outlook Add-In bietet NoSpam-Proxy den Endanwendern in der gewohn-ten Outlook-Umgebung intuitiv zu bedie-nende Funktionen für die Verschlüsselung und das Verschicken großer Dateien an.

NoSpamProxy On-Premises, in der eigenen Cloud, in Azure oder

als Managed Service nutzen

Viele Organisationen stehen – zum Beispiel im Zuge einer anstehenden Exchange-Mi-gration – vor der Frage, ob nicht ein Teil der E-Mail-Infrastruktur in die Cloud verlagert werden soll. NoSpamProxy unterstützt dieses Szenario optimal. Einfach, fl exibel und sicher. In vielen Kundenprojekten ist es gängige Praxis, Exchange in einem Hybrid-Szenario zu betreiben. Dabei wird ein Teil On-Premises betrieben, während der andere Teil in Offi ce 365 gehostet wird. Auch dieses Szenario kann mit NoSpam-Proxy exakt abgebildet und dabei zentral gemanaged werden.

Wir freuen uns auf Ihre Fragen. Rufen Sie uns an.

Vertrauliche und rechtssichere Kommuni-kation wird auch auf elektronischem Weg immer wichtiger. Gleichzeitig ist die E-Mail-Kommunikation nach wie vor das größte Einfallstor für Malware: Nach aktuellen

Komfortable Sicherheit für die gesamte E-Mail-KommunikationNet at Work ist Hersteller von NoSpamProxy, dem Secure-Mail-Gateway für Mail-Security made in Germany. NoSpamProxy bietet zuverlässigen Schutz vor Spam und Malware, sichere E-Mail-Verschlüsselung und einfa-chen, sicheren Versand großer Dateien. Die Lösung überzeugt durch eine sehr einfache Handhabung und hohe Bedienerfreundlichkeit für Anwen-der und IT-Administratoren.

Net at Work ist, gemeinsam mit der Bundesdruckerei (D-Trust), Gründungs-mitglied der „Initiative: Mittelstand ver-schlüsselt!“, die eine besonders einfache, vorkonfigurierte Lösung zur E-Mail-Verschlüsselung anbietet. Mehr unter: www.e-mail-verschluesselung.de

Net at Work GmbH • Am Hoppenhof 32 A • 33104 Paderborn • Telefon: 05251/304-600 www.netatwork.de • E-Mail: info@netatwork.de • Ansprechpartner: Michael Neef

Firmenporträt

80

NovaStor GmbH • Neumann-Reichardt-Straße 27–33 • 22041 Hamburg • Telefon: 040/63809 0Fax: 040/63809 29 • www.novastor.de • E-Mail: kontakt@novastor.de

Firmenporträt

NovaStor betrachtet die Sicherung und Wiederherstellung von Geschäftsdaten als ganzheitliche Aufgabe. Gemäß Ihrer Anforderungen konzipieren wir Daten-sicherungslösungen, mit denen wir über den Funktionsumfang unserer Backup- und Restore Software hinausgehen.

NovaStors Backup-Experten bringen Kom-petenz sowie Erfahrungen aus Hunderten Backup-Projekten mit und setzen diese von der ersten Beratung bis zur Imple-mentierung ein. Wir analysieren Ihre tech-nischen, wirtschaftlichen und rechtlichen Ziele, begleiten Ihre Test-Installation und unterstützen Sie auf Wunsch im laufenden Betrieb.

NovaStor DataCenter – zentrale Netzwerksicherung

NovaStor DataCenter sichert heterogene Netzwerke mit physischen und virtuellen Maschinen an derselben Oberfl äche. Die zentrale Verwaltung umfasst die Datensi-cherung an verteilten Standorten und das Medien-Management für Cloud-, Disk- und Tape-Backup inklusive Datenauslagerung.

NovaStors Datensicherungen stehen für Qualität, Stabilität, Performance, Zukunfts-fähigkeit und Kosteneffi zienz.

Mit maximaler Backup- und Restore-Ge-schwindigkeit, Fehlertoleranz und effi zi-enter Speichernutzung erzielt NovaStor DataCenter zuverlässige und schnelle Da-tensicherungslösungen.

Datensicherung mit Zertifi kat und Garantie

Als Erfolgsgarantie beinhalten NovaStors Software-Lizenzen eine professionelle In-stallation, technischen Hersteller-Support und regelmäßige Funktionstests. Sie erhal-ten Zertifi kate und Dokumentationen der Maßnahmen, die als Beleg für interne oder externe Unternehmensprüfungen, unter anderem gemäß der EU-DS-GVO, dienen.

Von BITMi zertifi ziert als „Software Made in Germany“

Der Bundesverband IT-Mittelstand e. V. hat NovaStor DataCenter das Gütesiegel „Soft-ware Made in Germany“ verliehen. Das Siegel basiert auf Kundenzufriedenheit

und bestätigt die Qualität und Zukunfts-sicherheit unserer Netzwerksicherung NovaStor DataCenter sowie unserer Her-steller-Supportleistungen und -Services.

Ihr Direkt-Kontakt zu NovaStor in Hamburg

Ob Sie eine neu aufgesetzte IT-Umgebung sichern möchten oder eine neue Lösung für eine existierende Umgebung suchen, unsere Backup-Experten stehen Ihnen mit kompetenter Beratung zur Seite.

Sprechen Sie uns an! Wir freuen uns auf Ihr Datensicherungsprojekt.

Wir denken Backup in Lösungen.Als Hamburger Hersteller von Backup- und Restore Software bietet NovaS-tor Datensicherungslösungen mit leistungsstarken Produkten, kompetentem Service und pragmatischem Support.

81

Prevolution GmbH & Co. KG • Messberg 4 • 20095 Hamburg • Telefon: +49 40/73088 200 www.prevolution.de • info@prevolution.de • Ansprechpartner: Herr Kai Andresen

Firmenporträt

WAS MACHT UNS ANDERS?

LEISTUNGSSTARKE UND BENUTZERFREUNDLICHE TECHNOLOGIE

UMFASSENDE SUITE VON TECHNOLOGIEMODULEN Eine Software, die mit Ihnen wächst – mit einer modularen und integrierten Plattform und der Unterstützung eines großen Ingenieurteams mit Fokus auf das Datenschutzmanagement

FLEXIBLE UND BENUTZERFREUNDLICHE SOFTWARE Eine einfache Point-and-Click-Benutzeroberfl äche; leicht anpassbare Fragebögen, Berichte und Einstellungen; eine hoch fl exible Datenmapping-Lösung

EINE SKALIERBARE PLATTFORM, DIE VON ÜBER 1.500 UNTERNEHMEN GENUTZT WIRD Eine ausgereifte Produktarchitektur zur mühelosen Verwaltung von Matrixorganisationen über mehrere Rechtseinheiten, M&A-Tätigkeiten und Unternehmensgruppen hinweg

BEREITSTELLUNG IN DER CLOUD ODER ON-PREMISES Bereitstellung mit der Flexibilität, die Bereitstellungs-variante bei Bedarf zu wechseln

ÖKOSYSTEM AUS TECHNOLOGIE-INTEGRATIONEN Eine off enes API Framework zur Integration in vorhandene Systeme; der einzige offi ziell zertifi zierte RSA Ready-Technologiepartner

TIEFGREIFENDE KENNTNISSE, FORSCHUNG UND BERATUNG

HERAUSRAGENDE KOMPETENZ IM BEREICH DATEN-SCHUTZ; LAUFENDE UPDATES Durch Aufsichtspersonal, Anwälte, Datenschutzexperten und engagierte Forschungsteams erzeugtes Wissen

GLOBALE SMARTPRIVACY-WORKSHOPS UND -PARTNER Ein breites Angebot an globalen Workshops zu Compliance Best Practices; ein umfangreiches globales Netzwerk von Anwaltskanzleien und Beratungspartnern

EIN GROSSES UND RASANT WACHSENDES GLOBALES TEAM Hauptsitze in der EU und den Vereinigten Staaten; ein mehrsprachiges globales Team von über 150 Mitarbeitern; Produkt in über 35 Sprachen verfügbar

HILFREICHE TOOLS FÜR IAPP-MITGLIEDER Kostenlose Versionen der Bereitschafts-, PIA-, Datenmapping- und Cookie-Compliance-Tools für die globale Community

GLOBALE BERATER UND SCHULUNGSEXPERTEN Ein großes, global verfügbares Team von Experten für Datenschutz, Rechtsfragen, technische Bereitstellung und Projektmanagement

ÜBER ONETRUSTOneTrust ist globaler Marktführer in Datenschutzmanagement-Software für Un-ternehmen. Unsere Datenschutzmanagement-Software wird von mehr als 1.500

Unternehmen zur Einhaltung von Datenschutzbestimmungen über mehrere Sektoren und Gerichtsstände hinweg verwendet, einschließlich der

EU-DS-GVO. Unsere umfassende und integrierte Plattform beinhaltet Bereitschaftsbewertungen, Datenschutz-Folgeabschätzungen (PIA/DPIA)

und Datenmapping-Automatisierung, Website Scanning und Cookie Compliance, Betroff enenrechte- und Einwilligungsmanagement,

Vorfallmeldung und Anbieterrisikomanagement.

ONLINE-DEMO UND KOSTENLOSE TESTVERSIONAUF ONETRUST.COM

INFO@ONETRUST.COM

ATLANTA | LONDON | MÜNCHEN |

BANGALORE | MELBOURNE | HONGKONG

© 2017 ONETRUST LLC. ALLE RECHTE VORBEHALTEN.82

Prior1 GmbH • Otto-von-Guericke-Str. 8 • 53757 St. Augustin • Telefon: +49 2241/14727-11Fax: +49 2241/14727-29 • www.prior1.com • E-Mail: anja.zschaeck@prior1.com • Ansprechpartnerin: Anja Zschäck

Verkabelung State-of-the-Art

Die Grundvoraussetzung für ein sicheres und qualitativ hochwertiges Rechenzen-trum ist eine zukunfts- und leistungsfähi-ge Netzwerkverkabelung. Die Planung der Netzwerkinfrastruktur wird von geschul-tem Fachpersonal der Prior1 begleitet – auf eine Bestandsaufnahme und Bewertung der gegebenen IT-Infrastruktur folgt die Ermittlung der Sicherheits- und Verfügbar-keitsanforderungen sowie eine umfangrei-che Kostenanalyse. In einem letzten Schritt wird das Konzept des Netzwerkes im Hin-blick auf die individuellen Gegebenheiten fi nal erstellt und in die Gesamtinfrastruktur des Rechenzentrums integriert. Auf diese Weise wird zudem das höchste Maß an Sicherheit, auch in puncto Brandschutz, gewährleistet. Je nach Eignung wird dabei entweder eine strukturierte Kupferverka-belung oder eine LWL-Lösung gewählt. Alle Installationsleistungen werden dabei von den erfahrenen Montageteams der Prior1 GmbH erbracht.

Bewertung der Colocation-Anbieter

Für EntscheiderInnen, die es in Betracht ziehen, ihre IT-Infrastruktur, Teile dieser oder das vorhandene Rechenzentrum auszulagern, bieten die ExpertInnen den Colo-Check® an. Die anbieterunabhängige Beratungsdienstleistung zeigt die Chancen und Risiken für die jeweilige Unterneh-

mens-, Verfügbarkeits- beziehungsweise Sicherheitsstrategie auf. Zusätzlich geben die Ergebnisse Aufschluss darüber, ob die Auslagerung tatsächlich die kostengüns-tige und zuverlässige Alternative zum ei-genen Betrieb der IT-Infrastruktur darstellt. Mittels des Colo-Checks® werden relevante organisatorische, technische und kaufmän-nische Parameter ermittelt und anschlie-ßend bewertet. Dabei werden neben der Kosten- und Unternehmenssicherheit auch die Relevanz der Verfügbarkeit 24/7/365 analysiert, der Zustand der installierten Gebäudetechnik, die Anbindung an die Telekommunikationsnetze, die Prozess- und Projektorganisation sowie der Inhalt des Dienstleistungsvertrages geprüft. Die systematische Vorgehensweise und sich anschließende Begleitung im Auswahl-

prozess reichen je nach Beauftragungsum-fang von einem Workshop zur Klärung des Leistungsinhaltes über die Erstellung des Anforderungskataloges, die neutrale Be-wertung der Colocation-Anbieter bis hin zu einem Bericht mit Entscheidungsvorlagen.

Sicherheit gewährleisten

Nicht zuletzt ist ein Rechenzentrum heut-zutage auch von kriminellen Angriff en wie Vandalismus oder Sabotage bedroht. Die Prior1 GmbH begleitet ihre KundInnen des-halb bei der Erstellung eines Sicherheits-konzeptes. Das Rechenzentrum sollte phy-sisch bzw. mechanisch geschützt sein, über zusätzliche Alarm- und Detektionsanlagen verfügen und in die Gesamtorganisation des Unternehmens eingebettet sein.

Sichere Rechenzentren nach Maß

Die ExpertInnen hinter Prior1

Die Prior1 GmbH ist ein 50 MitarbeiterInnen starkes Unternehmen mit Hauptsitz in Sankt Augustin und weiteren Niederlassungen in Berlin, Karlsruhe, München und Westerburg. Ein Team aus SpezialistenInnen mit jahrzehntelanger Erfahrung, Begeisterung und Leidenschaft steht für den Bau, die Planung und Ausstattung von Rechenzentren und Server-räumen zur Verfügung. Weitere umfangreiche Leistungen unterstreichen die Kompetenz und Qualität der ExpertInnen. Dazu zählen Betriebsopti-mierungen und Strategien bezüglich Outsourcing und Colocation sowie Netzwerkplanung und -verkabelung, Zertifi zierungen, Workshops sowie Feinstaub- und Energieeffi zienzlösungen. Auch für individuelle und um-fangreichere Kundenanforderungen fi ndet das Unternehmen jederzeit eine intelligente und sichere All-in-One-Lösung.

Firmenporträt

83

Mit der Digitalisierung und der Automatisierung von Fertigungsprozes-sen sichert die produzierende Industrie ihre Wettbewerbsfähigkeit. Die anfallenden Daten bilden die Grundlage für Entscheidungsfi ndung, Ana-lytik und Vorhersage. Da die Menge der zu verarbeitenden Daten konti-nuierlich zunimmt und auch die Anforderungen an Hochverfügbarkeit und Sicherheit steigen, modernisieren Unternehmen ihre IT-Infrastruktur direkt an den Produktionsstandorten durch Edge-Rechenzentren.

In Fabriken zieht immer mehr IT ein, da Datenströme aus Fertigungsstraßen so-wie von Industrierobotern in Echtzeit ver-arbeitet werden müssen. Die Lösung be-steht darin, die IT-Infrastruktur dezentral durch Edge-Rechenzentren zu erweitern. Gleichzeitig wird die Anforderung nach niedrigen Latenzzeiten erfüllt, die für eine Echtzeitverarbeitung von Daten notwen-dig ist. Anstatt also das zentrale Rechen-zentrum in der Firmenzentrale weiter auszubauen, wird zusätzliche Rechenleis-tung direkt am Ort der Datenerzeugung aufgebaut. Häufi g stehen die Fabriken an entfernten Standorten und damit am Rand der Unternehmensnetze – daher der Begriff „Edge“. Edge Datacenter sind mit Cloud-Rechenzentren verbunden, da dort

84

eine nachgelagerte Verarbeitung stattfi n-det, beispielswiese für Trendanalysen und Statistiken sowie für eine vorausschauen-de Maschinenwartung (Predictive Main-tenance).

Schnell und fl exibel durch modulare Bauweise

Modular aufgebaute Edge-Systeme sind in stabilen Stahlcontainern aufgebaut und mit vorkonfi gurierten Komponenten für Kühlung, Brandschutz sowie Notstrom-versorgung versehen. Stabile Sicherheits-türen inklusive Zugangskontrolle sowie ein detailliertes Monitoring sichern den laufenden Betrieb und schützen vor un-befugtem Zutritt. Darüber hinaus ist ein

Firmenporträt

Edge-Rechenzentrum so konzipiert, dass der Kunde dies über vorkonfigurierte, standardisierte Module an die benötigte Leistungsfähigkeit anpassen kann. Module für Klimatisierung und Stromversorgung sowie stabile IT-Racks und Sicherheits-komponenten sind bereits aufeinander abgestimmt. Gerade in rauen Produktions-umgebungen sind IT-Schränke mit einer hohen Schutzklasse wie IP 55 notwendig, die die empfi ndlichen IT-Systeme gegen äußere Einfl üsse, wie Feuchte, Staub oder Schmutz und unbefugten Zugriff schützen.

Die technologische Ausführung kann ganz unterschiedlich ausfallen. Beispielsweise als einfacher Technikschrank oder auf Basis eines speziell gesicherten IT-Racks, das mit einer zusätzlichen Schutzhülle umgeben ist. Wer mehr Leistung benötigt, realisiert ein leistungsstarkes Edge Datacenter auf Basis eines modularen Rechenzentrums-Containers mit wetterfester- und feuer-fester Ummantelung. Eine solche Lösung wird in direkter Nähe der Datenerzeugung innerhalb oder außerhalb von Gebäuden aufgestellt und unterstützt bei entspre-

Rittal GmbH & Co. KG

Höchste IT-Sicherheit für die Produktionsumgebung

Mit Edge-Datacentern die Fertigung zukunftssicher gestaltenMichael Nicolai, Vertriebsleiter IT Deutschland, Rittal, Herborn

84

in-Raum-Umgebung errichten: Eine solche Sicherheitszelle bietet höchsten Schutz bei Bränden und bei starker Verschmutzung der Umgebung. Außerdem ist im Outdoor-Bereich darauf zu achten, dass die Schutz-klasse einen sicheren IT-Betrieb in einem breiten Temperaturfenster unterstützt, beispielsweise von -20 °C bis +45 °C.

Für diese vielfältigen Anforderungen ha-ben Anbieter wie Rittal ein modulares Konzept entwickelt. Ähnlich wie in einem Baukastensystem, können Unternehmen die für ihre Anforderung geeignete Lösung zusammenstellen. Bei der Lösungsfi ndung verfolgt das Unternehmen einen ganz-heitlichen Ansatz: Über Partnerschaften mit Unternehmen, wie ABB, HPE, IBM und weiteren, erhalten Kunden alle benötigten Leistungen aus einer Hand. Das Ergebnis ist eine vordefi nierte, standardisierte Edge-Komplettlösung, die optional mit aktiven IT-Komponenten und As-a-Service-Leistun-gen ergänzt und schlüsselfertig geliefert wird.

Stahlindustrie erfi ndet sich neu

Ein Beispiel für die Digitalisierung der Fer-tigungsindustrie liefert das Duisburger Unternehmen thyssenkrupp Steel, ein füh-render Anbieter von Qualitätsfl achstahl. Schon im Jahr 2017 installiert das Unter-nehmen erste IT-Container an den Produk-tionsstandorten. Diese wurden von Rittal konzipiert und im Rahmen einer Partner-schaft kontinuierlich den Bedürfnissen von thyssenkrupp Steel angepasst. Die Rittal IT-Container werden bei thyssenkrupp Steel direkt auf dem Firmengelände installiert und arbeiten als Edge-Rechenzentren, in-klusive einer Cloud-Anbindung. Denn: Mit der Digitalisierung steigt die Nachfrage nach schnell verfügbaren Daten nahe dem Entstehungsort, und dies erfordert zusätz-

liche Rechenleistung, kurze Latenzzeiten bei der Datenbereitstellung sowie eine unterbrechungsfreie Datenverfügbarkeit und systemweite Sicherheit.

„Die Rittal Data Center Container sind ein wesentlicher Baustein in unserem ganz-heitlichen Sicherheitskonzept und erfül-len unsere Anforderungen an höchsten Sicherheitsstandards. Die im Rahmen der Partnerschaft mit Rittal entstandenen Edge-Rechenzentren stellen wir direkt an unseren Produktionsstandorten auf und können damit zusätzlich auch IoT-Szenari-en effi zient und sicher unterstützen“, sagt Dr. Michael Kranz, CIO bei thyssenkrupp Steel.

Rittal: Lösungsanbieter für innova-tive IT-Umgebungen– von Edge bis

Hyperscale Computing

Gemeinsam mit Partnern liefert das „Rit-tal Ecosystem IT“ Komponenten, Systeme und Lösungen für alle Anforderungen einer skalierbaren und wirtschaftlichen IT-Umgebung für Edge- und Cloud-Sze-narien. Das Portfolio reicht vom Datacen-ter-Standort über das einzelne Rack und schlüsselfertige Rechenzentrum im Con-tainer bis hin zum Datacenter as a Service (DCaaS). Private Cloud-Plattformen und Managed Services kommen dabei von iN-NOVO Cloud. Darüber hinaus bietet Rittal – von der Planung über Implementierung bis zu Betrieb und Optimierung einer IT-Infrastruktur – alles aus einer Hand für den gesamten Lebenszyklus von Datacentern.

Weitere Informationen fi nden Sie unter www.rittal.de/it-solutions und www.friedhelm-loh-group.com.

85

chender Kühltechnologie eine Leistung von bis zu 35 kW pro IT-Rack.

Zu den generellen Vorteilen von IT-Contai-nern zählen die Stabilität und Sicherheit durch die Verwendung von Stahlwänden sowie die hohe Mobilität der Lösung, die es erlaubt, leistungsfähige Rechenzentren sehr fl exibel auf dem Firmengelände oder innerhalb von Fabrikhallen aufzustellen.

Anforderungen bestimmen die Konfi guration

Um die Konfi guration eines Edge Data-centers zu bestimmen, sind eine Reihe von Kriterien zu beachten: So sollten Edge Sys-teme schnell und unkompliziert einsetzbar sein, damit sich die Anforderung aus dem Fachbereich nach mehr IT-Leistung zeitnah umsetzen lässt. Ideal ist ein Komplettsys-tem, das der Hersteller fertig montiert übergibt. Die Lösung wird anschließend im Plug-&-Play-Verfahren an die Ener-gieversorgung und die Netzwerktechnik angeschlossen. Die Kälteversorgung und eine USV für die Notstromversorgung sind typischerweise bereits implementiert.

Welche Schutzklasse für den physikali-schen Schutz letztlich notwendig ist, ent-scheiden Faktoren, wie der Standort oder die benötigte Ausfallsicherheit. Darüber hinaus ist es wichtig, ein Monitoring zu verwenden, das die Überwachung von Gehäuse- bzw. Rack-Türen ebenso umfasst wie von Seitenwänden. Elektronische Tür-schlösser erleichtern zudem die Auswer-tung, wann welche Mitarbeiter Zugriff auf die IT hatten.

Mit Edge mehr Sicherheit erreichen

Für höchste Sicherheitsansprüche lässt sich ein Edge Datacenter in einer Raum-

Auf dem Stützelberg • D-35745 Herborn • Telefon: +49 (0)2772/505-0www.rittal.de • E-Mail: info@rittal.de

◀ Produktionsnahe Rechenpower: Mit standar-disierten Datacenter-Containern unterstützt Rittal thyssenkrupp Steel bei der Digitalisie-rung von produktionsnahen Prozessen: Die Container werden bei thyssenkrupp Steel direkt auf dem Firmengelände installiert und arbeiten als Edge-Rechenzentren, inklusive einer Cloud-Anbindung.

Ausgezeichneter Standort: Industrie-4.0-Anwendungen und Edge-Szenarien benötigen kurze Latenzzeiten. So ist der Cloudpark Höchst für Unternehmen aus der Frankfurter Region ein ausgezeichneter Datacenter-Standort. Hier sorgen schlüsselfertige IT-Container von Rittal für den schnellen und sicheren Aufbau von IT-Ressourcen.

85

FirmenporträtFirmenporträt

Zu den Technologieführern dieses Sicher-heitsansatzes zählt der IT-Sicherheitsex-perte Rohde & Schwarz Cybersecurity. Die deutschen Krypto-Experten haben auf Grundlage des „Security by Design“-Konzeptes einen IT-Rundumschutz für Unternehmen und Behörden entwickelt, der Cyberangriff e wirksam verhindert. DAs grundlegende Prinzip: Der Schutz vor An-griff en wird bereits bei der Entwicklung in die jeweilige Architektur beziehungsweise Betriebssystemplattform integriert. Die Sicherheit muss also nicht erst im Nachhi-nein implementiert werden.

Auf dieser Grundlage entwickelt und produziert Rohde & Schwarz Cybersecu-rity technisch führende Lösungen für die Informations- und Netzwerksicherheit. Dazu zählen Next-Generation-Firewalls und Firewalls für geschäftskritische Web-anwendungen, hochsichere Verschlüsse-lungslösungen, innovative Ansätze für das sichere Arbeiten in der Cloud sowie Desk-top- und Mobile-Security-Anwendungen.

Die neuen Konzepte innovativer Sicher-heitslösungen von Rohde & Schwarz Cy-bersecurity schützen Unternehmen und öff entliche Institutionen weltweit vor Cy-berangriff en. Dazu zählen:

R&S® Trusted Gate: datenzentrische Sicherheit in der Cloud

Grundlage von R&S® Trusted Gate ist eine neuartige Technologie, die in einer ganz-heitlichen Lösung Verschlüsselung, Virtua-lisierung und Fragmentierung von Daten in Public Clouds und On-Premises verbindet. Diese richtungsweisende Cloud-Security-Lösung zielt auf eine neue Art der Absi-cherung von Daten in der Cloud: mittels „datenzentrischer Sicherheit“. Der Schutz erfolgt dabei auf Dateiebene, statt von außen über eine abgesicherte Umgebung.

Herkömmliche Sicherheitskonzepte unter-scheiden lediglich zwischen öff entlichen und Firmennetzwerken. Für die Absiche-rung von Daten außerhalb des eigenen

Netzwerkes greift diese „Perimeter-Sicher-heit“ jedoch viel zu kurz. Denn nur, wenn Dateien selbst geschützt sind, sind sie in der Cloud vor Angriff en sicher. Insbesonde-re für weltweit tätige Unternehmen und für Behörden mit mehreren Standorten ist der datenzentrische Ansatz hilfreich, da er fl exibles und gemeinsames Arbeiten in Cloud-Umgebungen und auf Kollaborati-onsplattformen auf sichere Weise ermög-licht.

R&S® Trusted Gate ist besonders anwen-derfreundlich und kann nahtlos in gängi-ge Public Clouds (z. B. Microsoft® Azure™, Google, AWS) und Collaboration-Tools (z. B. Microsoft® Offi ce 365™ und SharePoint™) integriert werden. Auch als hochsicherer, virtueller Datenraum oder als Datendiode für die Übertragung hochsensibler Daten in klassifi zierten Netzwerken kann diese Sicherheitslösung zum Einsatz kommen. Bei allen Einsatzszenarien können Daten auf mehreren Servern gespeichert und ver-teilt werden. Die Lösung eignet sich somit perfekt für global agierende Teams, die mit R&S® Trusted Gate Dokumente sicher aus-tauschen und bearbeiten können.

R&S® Trusted Gate läuft transparent in bestehenden Anwendungen, sodass Ar-beitsabläufe nicht gestört werden. Die Originaldokumente werden beim Upload

IT-Sicherheit von heute gegen Gefahren von morgenCyberkriminelle sind erfi ndungsreich. Für Angriff e auf Unternehmen und Behörden entwickeln sie ständig neue Methoden und Instrumente. Her-kömmliche Antivirenlösungen greifen inzwischen zu kurz. Zeitgemäßen Schutz bietet nur ein Konzept, das Angriff e proaktiv verhindert: „Security by Design“.

Firmenporträt

Rohde & Schwarz Cybersecurity GmbH

Firmenporträt

86

Mühldorfstraße 15 • 81671 München • Telefon: +49 (0)30/65884-222 • www.cybersecurity.rohde-schwarz.comE-Mail: cybersecurity@rohde-schwarz.com

in die Cloud oder auf Server automatisch verschlüsselt und danach in mehrere Frag-mente zerlegt. Der Nutzer entscheidet selbst, in welchen On-Premises-Servern oder Clouds die Fragmente gespeichert werden. Zusätzlich erhalten nur autorisier-te Personen Rechte, Dateien herunterzula-den und lokal zu entschlüsseln. So werden rechtliche Bestimmungen erfüllt, die etwa eine Speicherung bestimmter Daten auf Servern in Drittländern verbietet. Dazu zählt auch die Datenschutz-Grundverord-nung (EU-DS-GVO). Dank R&S® Trusted Gate bleiben hochsensible Daten im siche-ren Rechtsraum.

R&S® Web Application Firewall: Sicherheit auf allen Ebenen

Nicht nur für Cloud-Dienste, auch für Web-anwendungen bietet Rohde & Schwarz Cybersecurity eine innovative Sicherheits-lösung: Die R&S®Web Application Firewall gewährleistet einen umfassenden Schutz geschäftskritischer, webbasierter Appli-kation vor Bedrohungen. Dazu zählen sowohl bekannte als auch unbekannte Angriff e einschließlich der OWASP Top 10. Die aktuelle Version 6.5 bietet noch mehr Benutzerfreundlichkeit dank mehrerer neu-er Features.

Im aktuellen Release der R&S® Web Ap-plication Firewall lassen sich mit neuen Konfi gurationsmethoden False Positives erheblich reduzieren, ohne dass komplexe Einstellungen erforderlich wären. Standard-funktionalitäten herkömmlicher Lösungen werden um Vulnerability Scanning, Virtual Patching und Web Access Management für webbasierte Anwendungen, wie zum Beispiel von SAP, E-Mail-Anwendungen, wie Outlook Web Access oder CRM, erweitert.

Die Sicherheitslösung verfügt über eine Workfl ow-Technologie, mit der die Sicher-heitseinstellungen der R&S®Web Applica-tion Firewall übersichtlich visualisiert und einfach administriert werden.

Mit dem R&S® Cloud Protector bietet Rohde & Schwarz Cybersecurity eine SaaS-Version der R&S®Web Application Firewall an. Sie lässt sich direkt im Browser öff nen und von überall aus bedienen.

Im Gegensatz zu herkömmlichen Netz-werk-Firewalls überprüft und schützt die R&S® Web Application Firewall auch Da-ten, die im http- bzw. https-Protokoll auf

der Anwendungsebene verkehren. Diese Protokolle bilden die Grundlage für inno-vative IT-Prozesse sämtlicher Branchen und sind anfällig für Schwachstellen und daher besonders schutzbedürftig.

Über 600 Kunden setzen bereits auf die R&S® Web Application Firewall von Rohde & Schwarz Cybersecurity. Um die Anfor-derungen von Unternehmenskunden zu erfüllen, verfügt die Firewall über das Long Term Support Feature (LTS). Durch den Langzeit-Support stellt Rohde & Schwarz Cybersecurity sicher, dass die R&S® Web Application Firewall immer dem aktuel-len Stand der Technik entspricht. Denn: Die Gewährleistung von Sicherheit und Datenschutz ist die bei weitem wichtigste Funktion einer Web Application Firewall.

Auf Bedürfnisse zugeschnittene IT-Lösungen

Angesichts des wachsenden Bedrohungs-szenarios ist es entscheidend, dass Sicher-

heitsprodukte auf die Bedürfnisse der jeweiligen Unternehmen zugeschnitten sind. Daher reicht das Angebot der mehr-fach ausgezeichneten und zertifi zierten Si-cherheitslösungen von Rohde & Schwarz Cybersecurity von kompakten All-in-one-Produkten bis hin zu individuellen Lösun-gen für die dedizierten Bedürfnisse von Betreibern kritischer Infrastrukturen. Auf diese Weise lassen sich Offi ce-Umgebun-gen im Mittelstand ebenso effi zient schüt-zen wie hochkomplexe Industrienetzwerke in Großunternehmen.

Dank kontinuierlicher Forschungs- und Entwicklungsarbeit sorgt Rohde & Schwarz Cybersecurity für eine ständige Verbesse-rung seiner Lösungen, um proaktive Cyber-sicherheit und Datenschutz zu gewährleis-ten.

87

▪ Gewohnte Arbeitsprozesse werden beibehalten, kein Erlernen neuer Software nötig

▪ Kosteneffi zienz und Produktivität durch hohen Automatisierungsgrad

▪ Konsequente Einhaltung von Sicher-heitsrichtlinien und Compliance-Stan-dards

▪ Investitionsschutz und strategischer Freiraum durch zahlreiche Standard-Schnittstellen

Highlights▪ Verfügbar on-premise, als Managed

Service und in der Cloud▪ Implementierung als Software,

virtuelle oder Hardware-Appliance▪ Läuft auf Windows, Linux und Solaris▪ Einfache Integration in bestehende

Systemarchitektur▪ Nutzung von Standards sichert

Vorwärtskompatibilität

Zentrale Datenaustausch-plattform für verschiedenste Anforderungen

Geschäftsprozesse und -interaktionen sind datengetrieben. Geraten Unterneh-mensdaten in falsche Hände, kann dies fi nanzielle Schäden und negative Auswir-

kungen auf das Unternehmensimage zur Folge haben.totemodata® ist eine sichere und benut-zerfreundliche Managed-File-Transfer-Lösung.

Key Facts▪ Sichere Übertragung von Dateien

innerhalb und außerhalb des Unter-nehmens

▪ Verschlüsselung von Daten und Übertragungsprotokollen

▪ Automatisiertes Zertifi kats- und Schlüs selmanagement

▪ Protokollierung aller Datenbewegun-gen für Audits und Revisionen

▪ Bequeme Administration über grafi sche Benutzeroberfl äche

Vorteile▪ Zentrale und automatisierte Umset-

zung von Sicherheitsrichtlinien▪ Überblick und Kontrolle über alle

File-Transfers▪ Schutz vor unbefugten Zugriff en durch

Verschlüsselung▪ Kosteneffi zienz und Produktivität durch

hohen Automatisierungsgrad▪ Ausfallsicherheit dank Hochverfügbar-

keit mit Clustering▪ Skalierbarkeit ermöglicht Einsatz in

Unternehmen jeder Größe

Highlights▪ Implementierung als Software,

virtuelle oder Hardware-Appliance▪ Läuft auf Windows, Linux und Solaris▪ Unterstützt alle gängigen Datentrans-

ferprotokolle, wie HTTPS, FTPS, SFTP und SCP

▪ Administrationskonsole mit Job-De-signer und Workfl ow Engine

▪ Outlook-Add-in für den Versand großer E-Mail-Anhänge

▪ Einfache Integration in bestehende Systemarchitektur

totemo ag • Freihofstrasse 22 • CH-8700 Küsnacht • Telefon: +41 44/914 99 00 • Fax: +41 44/914 99 99www.totemo.com • E-Mail: info@totemo.com • Ansprechpartnerin: Diana Eisenberg

Sichere E-Mail-Kommunika-tion durch Verschlüsselung und Anti-Malware

Gerade der E-Mail-Verkehr erweist sich als große Schwachstelle in puncto Da-tenschutz: Wer mitlesen will, kann dies ohne großen Aufwand tun. totemomail® ist eine verlässliche Ver-schlüsselungslösung für den Austausch sensibler Informationen per E-Mail.

Key Facts▪ Höchste Sicherheit und Vertraulichkeit

aller E-Mails und Anhänge▪ Nutzung der gängigen Ver schlüs se-

lungs standards S/MIME, OpenPGP und TLS

▪ Alternative Verfahren für Kommunika-tionspartner ohne Verschlüsselungsin-frastruktur

▪ Keine Installation dedizierter E-Mail- Clients oder Plug-ins

▪ Automatische und zentrale Verwal-tung von Zertifi katen und Schlüsseln

▪ Bequeme Administration über grafi sche Benutzeroberfl äche

Vorteile▪ Ganz einfach verschlüsselt kommuni-

zieren mit internen und externen Partnern

Seit 2001 gewährleisten wir den sicheren Austausch von Informationen. Mit uns werden Ihre E-Mails und Datentransfers rundum vertraulich, zu-verlässig und effi zient abgewickelt – auch auf mobilen Geräten. Unsere patentierte und FIPS-140-2-validierte totemo-Sicherheitsplatt-form ermöglicht eine schnelle und einfache Integration in jede bestehen-de IT-Infrastruktur. Weltweit tätige Konzerne sowie kleine und mittlere Unternehmen aus den unterschiedlichsten Branchen setzen auf unsere Lösungen, darunter Evonik, die SCHUFA und SIX. Mit mehr als 500 Kun-den weltweit und über drei Millionen aktiven Nutzerlizenzen gilt totemo als führender Spezialist für E-Mail-Verschlüsselung in Deutschland, Öster-reich und der Schweiz.

Wir schützen Ihre elektronische Kommunikation

Firmenporträt

Foto

: ©Xa

vier

Arn

au/i

stoc

k.co

m

88

Hardware-Sicherheitsmodule (HSM) sind spezielle Geräte zur Erstellung und zum Schutz kryptografi scher Geheimnisse, wie beispielsweise digitaler Schlüssel und Sig-naturen. Während General-Purpose-HSM auf verschiedensten Gebieten zum Einsatz kommen, wurden Payment-HSM speziell für die Absicherung des Zahlungsverkehrs konzipiert. Künftig werden beide Berei-che immer mehr verschmelzen. Utimaco kann als führender Hersteller von General-Purpose-HSM durch die Akquisition von Atalla, einer der renommiertesten Marken für Payment-HSM, Kundenbedürfnisse in beiden Märkten aus einer Hand bedienen und mit vereinter Stärke Innovationen vo-rantreiben.

HSM für jeden Einsatz

Das Hardware-Sicherheitsmodul Utimaco Atalla AT1000 ist ein Payment-HSM zum Schutz sensibler Daten und dazugehöri-ger kryptografi scher Schlüssel, etwa beim bargeldlosen Zahlungsverkehr, im Rah-men grenzüberschreitender Abrechnun-gen oder bei der Authentifi zierung von Karteninhabern. Es ergänzt den Utimaco-PaymentServer, eine interessante und be-zahlbare Lösung für Finanzunternehmen, die PCI Data Security Standard (PCI DSS) anstreben, sowie für Lösungsanbieter aus dem Bereich der Kreditkartenerstellung.

Mit dem SecurityServer bietet Utimaco zu-dem ein General-Purpose-HSM, das krypto-grafi sches Schlüsselmaterial für Server und Applikationen sichert. Er ist als Se-Serie für gängige Industrieanforderungen oder als CSe-Serie für höchste Sicherheitsanforde-rungen, gerade im Finanz- oder öff entli-chen Sektor (z. B. Pass- oder Banknotener-stellung), erhältlich. Für Unternehmen, die eIDAS-konforme Vertrauensdienste an-bieten möchten, ist der CryptoServer CP5 eine zukunftssichere Wahl. Er ist das erste HSM, das nach dem Common-Criteria-Schutzprofi l EN 419 221-5 zertifi ziert wurde. Kunden, die in Multi-Cloud-Umgebungen sicher und fl exibel agieren wollen, können mit dem CryptoServer Cloud zudem HSM als Service beziehen.

Vertrauen Sie Utimaco – heute und in Zukunft

Utimaco gehört zu den führenden Her-stellern von HSM. Diese bilden den Ver-trauensanker für die unterschiedlichsten Branchen, wie etwa den Finanzsektor, die Automobilindustrie, für Cloud-Dienstleis-ter oder den öff entlichen Dienst. Wir si-

chern Ihre kryptografi schen Schlüssel und digitalen Identitäten, um kritische digitale Daten und Infrastrukturen zu schützen. Utimaco bietet eine umfangreiche Pro-duktfamilie inklusive General-Purpose-HSM und Payment-HSM, die mühelos in bestehende Software-Lösungen integ-rierbar sind. Ebenso lassen sie sich gänz-lich den Kundenbedürfnissen anpassen, um die Entwicklung neuer Lösungen zu ermöglichen. Mit unserem Professional-Services-Angebot unterstützen wir unse-re Partner zudem bei der Umsetzung ihrer Lösungen.

Seit der Gründung von Utimaco im Jahre 1983 sind HSM heutzutage bei mehr als 1.000 Anwendern in über 80 Ländern im Einsatz. Utimaco beschäftigt etwa 220 Mitarbeiter am Standort in Aachen sowie in den USA, Großbritannien und Singapur.Tausende Unternehmen und Institutio-nen bauen seither auf Utimaco, wenn es um den Schutz ihres geistigen Eigentums sowie kritischer Unternehmensdaten und -anwendungen geht. Unsere HSM helfen dabei, Hunderte Millionen von Endkunden weltweit zu schützen.

Utimaco IS GmbH • Germanusstraße 4 • 52080 Aachen • Telefon: + 49 241/1696 200hsm.utimaco.com • E-Mail: hsm@utimaco.com • Ansprechpartner: Alexandra Guennewig – Director of Global Marketing

General-Purpose- und Payment-Hardware-Sicherheitsmodule aus einer Hand

Die digitale Transformation rüttelt an etablierten Geschäftsmodellen. Technologien wie Cloud und Blockchain, mobile Anwendungen und neue Regularien stellen hohe Anforderungen an Unternehmen in der Finanz-branche. Sie müssen gleichzeitig traditionelle Zahlungsinfrastrukturen aufrechterhalten und innovative Services aufbauen. Dafür benötigen sie verlässliche und fl exibel anpassbare Hardware-Sicherheitslösungen.

Firmenporträt

PKICloud

AlternativePayment /

Mobile

AuthenticationIdentityand AccessManagement

Signature Creation /Document Signing Code Signing

KeyInjection

CardIssuance

Inter-Banking

AtallaInnovation in Payments

SecurityServerThe Root of Trust HSM

CryptoServer CloudHSM as a Service

89

90

Umfassendes und redaktionell geprüftes Sicherheits-Wissen und

aktuelle Sicherheitsinformationenvon und für Sicherheits- und

IT-Sicherheitsverantwortliche.IT-Sicherheitsverantwortliche.

www.secupedia.info

Diese Verbände und Unternehmen ermöglichen als Sponsoren die Sicherheitsplattform:

WARUM PHYSISCHE IT-SICHERHEIT:In einer kürzlich verö�entlichten Studie von

Honeywell wurde das Problem und die Gefahren

durch USB-Wechselmedien deutlich gemacht.

Das Thema Sicherheit und Schutz sensibler

Daten und somit das Managen der IT-Sicherheit

wird aufgrund der stetig steigenden Komplexität

und der Gefahren zunehmend wichtiger. USB

Ports lassen sich �exibel nutzen, ein USB-Stick

oder das Handy sind schnell eingestöpselt, etwa

auch zum unbefugten Kopieren oder dem

unerwünschten Datenaustausch. Besonders

technologieorientierte und innovative Unterne-

hmen, KMU´s aber auch ö�entliche Einrichtun-

gen, KRITIS-Unternehmen, Städte und Gemein-

den sowie Universitäten oder Krankenhäuser

müssen sich heutzutage mehr und mehr diesen

Herausforderungen stellen und den Schutz vor

unbefugten Zugri�en gewährleisten.

PORTS PHYSISCH SCHÜTZEN:Eine Antwort darauf hat das Hamburger

Unternehmen Smart Light Solutions GmbH.

Mit dem Produktkonzept Smartkeeper wird

eine physische IT-Präventions-Sicherheitslösung

angeboten, welche verschiedene Möglichkeiten

bietet, alle Eingangs- und Ausgangsports der

IT-Hardware - wie z.B. USB-Ports, Netzwerkan-

schlüsse von PC´s, Switches, Druckern oder

Servern - mechanisch zu verschließen und zu

sperren. Aber auch das Sichern von ö�entlich

zugänglichen Bereichen innerhalb von

Gebäuden oder Räumlichkeiten wird durch die

Schlösser ermöglicht. Das System ist das physis-

che Komplementär zu allen bereits existieren-

den, softwarebasierten Sicherheitsprodukten.

Es ist ein neuer Baustein in der Sicherheitsmauer

gegen Eindringlinge – an einer Stelle, für

die es bisher überhaupt keinen oder nur äußerst

schwachen Schutz gab. Mit Blick auf die

EU-DSGVO und der ISO27001 sowie dem Rat des

BSI zum Thema IT-Grundschutz ist die physische

Absicherung der IT-Ports erforderlich und das

Konzept Smartkeeper prädestiniert.

Sicherheit fürIT-Hardwareschnittstellen

Mit Smartkeeper lassen sich IT-Hardwareschnittstellen physisch verriegeln, sodass einDatenaustausch darüber nicht mehr möglich ist. Sehr geeignet sind die Produkte zum Beispielfür KMUs, öffentliche Einrichtungen, Krankenhäuser und alle KRITIS-Unternehmen.

Wie funktioniert Smarkeeper:Smartkeeper ist ein komplett unabhängiges

Sicherheitskonzept, welches keine Softwarein-

stallation erfordert und die Kosten für Wartung

und Kontrolle reduziert. Dieses macht

Smartkeeper zu einem sehr �exiblen, e�zienten,

unkomplizierten und leicht zu verwaltenden

System. Die jeweiligen Schlösser können

ausschließlich mit dem eigens für sie erstellten

Smartkeeper-Schlüsseltypen mechanisch ver-

und entriegelt werden. Das System bietet dank

einer individualisierten Codierung - sowohl für

USB-Schlüssel als auch für die dazugehörigen

USB-Schlösser für jeden Kunden ein äußerst

hohes Maß an Sicherheit und Zugri�skontrolle.

Alle kritischen Ports können manuell mit

den mechanischen Schlössern ausgestattet

werden und es vereinfacht das Managen der

Schnittstellen im Vergleich zu komplexen

Softwarelösungen.

Smartkeeper unterscheidet vier Kategorien:• Physischer USB-Schutz

• Physischer Netzwerk-Schutz

• Physischer Diebstahlschutz der Hardware (PC, Notebooks etc.)

• Physischer Schutz anderer „Schnittstellen“ wie u.a. von PC-Laufwerken, DVI-Ports, Parallelports, USB-C uvm.

Die vielfältigen und unterschiedlichen

Sicherheitsschlösser, gepaart mit einem sehr

hohen Sicherheitsanspruch, sind Gründe dafür,

dass bereits über 500 global führende Unterneh-

men die zerti�zierten und patentierten

Smartkeeperprodukte zur physischen IT-Sicher-

heit nutzen.

Alle weiteren Informationen �nden sich auf der

Homepage unter www.smartkeeper.de oder

im direkten Kontakt unter

smartkeeper@smartlightsolutions.de

Smartkeeper Lan Cable Lock

Smartkeeper Networkport Lock+

Smartkeeper Secure USB & Secure Connector

Smartkeeper LinkLock & USB Port Lock

C

M

Y

CM

MY

CY

CMY

K

NF_Print_A4_26_11_18_RZ.pdf 1 26.11.18 11:13

91

Umfassendes und redaktionell geprüftes Sicherheits-Wissen und

aktuelle Sicherheitsinformationenvon und für Sicherheits- und

IT-Sicherheitsverantwortliche.IT-Sicherheitsverantwortliche.

www.secupedia.info

Diese Verbände und Unternehmen ermöglichen als Sponsoren die Sicherheitsplattform:

ßerdem eignet sie sich sowohl für BYOD-Modelle, bei denen der Mitarbeiter sein privates Gerät auch für berufl iche Zwecke nutzt, als auch für Modelle mit reinen Fir-mengeräten.

Offi ce to go: alle Funktionalitäten in einer App

Der Container-only-Ansatz bietet höchste Flexibilität, da die App sowohl mit iOS, als auch mit Android kompatibel ist. Inner-halb der App kann der Mitarbeiter, dank umfangreicher Funktionalitäten, auch unterwegs ohne Einschränkungen arbei-ten. Alle wichtigen Arbeitsfunktionen, wie E-Mail, Kontakte, Kalender, Aufgaben, Notizen, Dokumente, Browser und eine Kamera, befi nden sich in einer einzigen benutzerfreundlichen App. Container

stellen auch eine klare Trennung von pri-vaten und berufl ichen Daten sicher, egal ob auf privaten oder Firmengeräten. Zu-dem sind die Daten nicht nur auf dem mobilen Endgerät, sondern auch wäh-rend der Übertragung verschlüsselt. Die Vorgaben der Datenschutzgrundverord-nung sind damit berücksichtigt.

Sicherheitsexperte Virtual Solution

Virtual Solution hat es sich zur Aufgabe gemacht, Sicherheit und Benutzerfreund-lichkeit in der mobilen Arbeitswelt der Zukunft zu verbinden. Mit SecurePIM und dem Sicherheitsframework SERA entwickelt und vertreibt Virtual Solution Sicherheitslösungen für verschiedenste Plattformen, die auf die Bedürfnisse einer zunehmend digitalisierten und mobilen Gesellschaft zugeschnitten sind. Bei der Entwicklung des Produktes SecurePIM wurde eng mit dem BSI zusammengear-beitet, und die Systemlösung SecurePIM Government SDS für besonders hohe Si-cherheitsanforderungen ist vom BSI für die Datenkommunikation bis zur Sicher-heitsstufe „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD) zugelassen. Dies unterstreicht den hohen Sicherheits-anspruch, den Virtual Solution an seine Produkte hat.

Container – die sichere und einfache Lösung

Höchste Sicherheit muss dabei nicht kom-pliziert sein. Das zeigt die Container-App SecurePIM für Unternehmen und Behör-den. Hier wird der Fokus auf den Schutz der Daten gelegt, anstatt komplette Ge-räte zu kontrollieren. Der verschlüsselte Container auf dem Mobilgerät, der durch ein spezielles Gateway mit der internen Infrastruktur verbunden ist, schützt vor Malware, unberechtigtem Zugang und Fehlverhalten von Mitarbeitern. Für IT-Administratoren ist der Aufwand für die Verwaltung und Einrichtung gering, egal ob dabei das SecurePIM-Management-Portal oder ein Mobile-Device-Manage-ment-System zum Einsatz kommt. Beides ist mit der Container-Lösung möglich. Au-

Sicheres mobiles Arbeiten einfach umsetzen

Virtual Solution AG • Blutenburgstr. 18 • 81373 München • Telefon: +49 89/30 90 57 0 • Fax: +49 89/30 90 57 200https://www.virtual-solution.com/ • E-Mail: lena.knezevic@virtual-solution.com • Ansprechpartnerin: Lena Knezevic

Das klassische Büro mit Anwesenheitspfl icht gerät aus der Mode: Smart-phones und Tablets haben dazu beigetragen, dass Mitarbeiter jederzeit und überall arbeiten können. Der vermehrte Einsatz von mobilen Geräten birgt aber auch Risiken. Smartphones und Tablets bieten Hackern leicht zugängliche Angriff sstellen, sind öfter unbeaufsichtigt und stellen deshalb eine größere Gefahr für die interne Firmeninfrastruktur dar. Unternehmen und Behörden stehen deshalb vor der Herausforderung, den Mitarbeitern eine sichere Lösung für mobiles Arbeiten zur Verfügung zu stellen, die so-wohl interne Daten schützt als auch die Privatsphäre des Mitarbeiters.

Firmenporträt

92

FirmenporträtFirmenporträt

Ganzheitliche Sicherheit

Die VON ZUR MÜHLEN’SCHE GmbH (VZM) hat immer die ganzheitliche Sicherheit ei-nes Unternehmens zum Ziel. Im Fokus ste-hen alle geschäfts- und unternehmenskri-tischen Anwendungen und Prozesse. Dies beinhaltet die individuelle und umfassen-de Analyse von Gefährdungspotenzialen und Schwachstellen sowie die Defi nition von Schutzzielen.

Aus zahlreichen Projekten weiß VZM, dass viele Unternehmen über die Basis eines Informationssicherheits-Management-systems (ISMS) verfügen und sich mit den Aspekten

▪ Objektschutz, Sicherheitskonzeption▪ Verfügbarkeit von Infrastruktur▪ IT- und Rechenzentrumssicherheit▪ Datenschutz▪ Notfall- und Krisenmanagement

auseinandergesetzt haben. Hier setzen die VZM-Experten an, die unter anderem als ISMS Lead Auditoren nach ISO/IEC 27000 zertifi ziert sind. Sie analysieren, nehmen Anpassungen vor und komplettieren – im Sinne eines eff ektiven Business-Continui-ty-Managements (BCM).

IT-Infrastruktur und Rechenzentrum

VZM konzipiert erfolgreich IT-Infrastruk-turen und Rechenzentren, unter dem Aspekt der Höchstverfügbarkeit. Aus der Begleitung mehrerer Hundert RZ-Projekte verfügt das Unternehmen über ein einzig-artiges Know-how in Beratung, Planung und Qualitätssicherung bei Neubau, Reen-gineering und Sanierung, Benchmarking, Standortanalysen, Healthchecks (Härte-

tests), Audits, Effi zienz- und Verfügbar-keitsoptimierung sowie der Vorbereitung von Zertifi zierungen.

VZM begleitet Unternehmen erfolgreich bei der RZ-Zertifi zierung und Rezertifi zie-rung – auch nach der Methode Trusted Site Infrastructure (TSI), bis hin zu Level 4. VZM ist offi zieller TSI.PARTNER des TÜViT (TÜV Informationstechnik GmbH).

Das Leistungsspektrum der VZM:

▪ Risiko- und Gefährdungsanalysen▪ Schutzziele festlegen und defi nieren▪ Corporate Security: Sicherheits-

organisation, Informationsschutz, technische Infrastruktur

▪ Zertifi zierte Objektsicherheit: VdS 3406 Bauliche Objekte, Brandschutz, Zutrittskontrolle, Videoüberwachung, Sicherheitstechnik

▪ Leitstellen, Infrastruktur, DIN EN 50518 Alarmempfangsstellen, VdS 3138 Notruf- und Serviceleitstellen

▪ Data Center – Konzeption und Planung, Betrieb und Management, DIN EN 50600

▪ IT-, TK- und Informationssicherheit▪ Datenschutz ▪ Personaldienstleistungen (Audits,

Vertragsgestaltung, Leistungsspek-trum, Ausschreibungen, …)

▪ Expat Security▪ Business Continuity-, Notfall-

und Krisenmanagement, Krisen-kommunikation

VZM berät und arbeitet nach wirtschaftli-chen Aspekten und nutzt dabei den Um-setzungs- und Realisierungsspielraum, den gesetzliche Vorgaben, technische Normen und Regeln bieten.

VON ZUR MÜHLEN’SCHE GmbH • Alte Heerstraße 1 • 53121 Bonn • Telefon: +49 228/96293-0 Fax: +49 228/96293-90 • www.vzm.de • E-Mail: info@vzm.de • Ansprechpartner: Peter Stürmann, Peter Loibl

IT-Infrastrukturen und Objekte schützen

Über VZM: Die 1972 gegründete VON ZUR MÜHLEN’SCHE GmbH ist eine international agierende Beratungs-, Planungs- und Ingenieurgesellschaft für das komplette Spektrum der Sicherheit mit Tätigkeitsschwerpunkt in Europa. Der Geschäftsbereich RZ-Plan® ist auf die Konzeption und Planung von Re-chenzentren sowie Planungsleistungen der Sicherheitstechnik (Einbruch-melde-, Brandmelde-, Videoüberwachungs- und Zutrittskontrollanlagen) fokussiert.Als Gründungsmitglied des BdSI (Bundesverband unabhängiger deut-scher Sicherheitsberater und -Ingenieure e. V.) hat sich VZM zur Produkt-neutralität sowie Herstellerunabhängigkeit verpfl ichtet.Das Team der VZM besteht aus Spezialisten unterschiedlicher Disziplinen mit komplexem übergreifendem Expertenwissen – Systemanalytiker, Or-ganisatoren, Informatiker, ISMS-Auditoren nach ISO 27001, Architekten, Bauingenieure, Nachrichten- und Elektroingenieure, TGA-Ingenieure, Brandschutzsachverständige.Das Fachwissen der VZM-Experten fl ießt zudem in die Arbeit der DKE-Gre-mien zur Leitstellennorm DIN EN 50518 und zur RZ-Norm DIN EN 50600, in den Zertifi zierungsbeirat des TÜViT sowie in vielfältige Publikationen ein.

Foto

: ©Da

rio Lo

Pre

sti/

shut

ters

tock

.com

Peter Stürmann, Peter Loibl (VZM-Geschäftsführung)

Firmenporträt

93

Bereits 1996 ist WatchGuard Technologies mit dem Ziel angetreten, mit-telständischen Unternehmen mit effi zienter IT-Sicherheitstechnologie auf Enterprise-Niveau den Rücken zu stärken. Seitdem gehört das Unter-nehmen mit Sitz in Seattle (USA) zu den führenden Anbietern im Bereich Netzwerksicherheit.

samtperformance. Durch die modulare Architektur garantiert WatchGuard neben hohem Datendurchsatz vor allem Skalier-barkeit und Flexibilität im Rahmen einer sich verändernden Bedrohungslandschaft. Die webbasierte Management-Konsole ermöglicht zudem das einfache Konfi gu-rieren und Steuern aller Sicherheitsfunk-tionen mittels einer zentralen Oberfl äche von jedem beliebigen Ort aus.

Benutzerfreundliche Visualisierung

Damit IT-Abteilungen vor dem Hinter-grund der mannigfaltigen Herausforde-rungen nicht die Kontrolle verlieren, setzt WatchGuard bei all seinen Lösungen auf leistungsstarke und gleichzeitig nutzer-freundliche Analyse- und Visualisierungs-möglichkeiten. Auf diese Weise ergeben sich passgenaue Einblicke in die Datenaus-tauschprozesse im Netzwerk. Individuelle Fragen zu wichtigen Sicherheitsthemen und -trends sind im Handumdrehen be-antwortet. Administratoren gewinnen ein solides Fundament zur Defi nition ziel-gerichteter Security-Policies, die im Zuge des modernen Echtzeit-Reportings auch schnell an neue Bedrohungsszenarien angepasst werden können. Gleichzeitig

Firmenporträt

lassen sich Performance-Engpässe auf-spüren und sofortige Gegenmaßnahmen ergreifen.

Sicheres WLAN

Die gesamte Sicherheitsfunktionalität kann mithilfe der Access Points von Watch-Guard jederzeit auf WLAN-Umgebungen übertragen werden. Darüber hinaus bietet die neue WatchGuard Wi-Fi-Cloud zusätz-lichen Mehrwert. Neben einem umfassen-den WIPS (Wireless Intrusion Prevention System) profi tieren Anwender von de-taillierten Analysen im Hinblick auf die WLAN-Nutzung.

Effektive MFA

Im Sommer 2018 hat WatchGuard das Produktportfolio mit AuthPoint noch um eine moderne Lösung für die Multifaktor-Authentifi zierung (MFA) erweitert. Über den Cloud-basierten Ansatz mit eigener Smartphone-App können gerade kleinere und mittlere Unternehmen dieses aktuelle Brennpunktthema der Branche auf einfa-che und kosteneffi ziente Weise umsetzen.

Im Rahmen der kontinuierlichen Weiter-entwicklung und Verknüpfung der an-gebotenen Sicherheitstechnologie sorgt WatchGuard dafür, dass Unternehmen stets mit neuen Angriff strends Schritt hal-ten können – bei gleichzeitig minimalem Aufwand.

WatchGuard Technologies

Das Produktportfolio reicht von hochent-wickelten UTM (Unifi ed Threat Manage-ment)-Plattformen über Multifaktor-Au-thentifi zierung bis hin zu Technologien für umfassenden WLAN-Schutz. Mehr als 80.000 Unternehmen weltweit vertrauen auf die ausgeklügelten Sicherheitsmecha-nismen und profi tieren von der einfachen Handhabung der WatchGuard-Lösungen. Kernzielgruppe sind nach wie vor kleine bis mittlere Unternehmen sowie große, dezentral aufgestellte Organisationen aus jeder Branche – vom Einzelhandel über den Bildungssektor, das Gesundheitswe-sen, Gastronomie und Hotellerie bis hin zum produzierenden Gewerbe. Der Ver-trieb erfolgt über ein Netzwerk von mehr als 10.000 Partnern in 120 Ländern.

Mehrschichtige Gefahrenabwehr

Basis des anhaltenden Erfolgs von Watch-Guard ist die zielgerichtete Verbindung aus leistungsstarker Hardware und den besten im Markt verfügbaren Sicherheits-diensten unterschiedlichster Anbieter. Das eigens entwickelte Betriebssystem Fireware stellt sicher, dass alle nach Be-darf kombinierbaren Scanmodule perfekt zusammenspielen – bei maximaler Ge-

WatchGuard Technologies • Wendenstraße 379 • 20537 Hamburg • Telefon: +49 700/92229333www.watchguard.de • E-Mail: germanysales@watchguard.com • Ansprechpartner: Paul Moll

WatchGuard Technologies

94

Zscaler Internet Access

ZIA sichert den Internet-basierten Daten-verkehr und übernimmt durch die Cloud-Security-Plattform unter anderem die Funktion der Firewall, einer DLP-Lösung, von Bandbreiten-Management und des Proxies. Die Plattform schützt vor Mal-ware, Phishing, Browser-Exploits, schäd-lichen URLs, Botnets und Datenverlust. Dazu wird lediglich der Internet-Daten-verkehr durch die Zscaler-Cloud geleitet und dort gefi ltert. Unternehmen, Zweig-stellen und Mitarbeiter an jedem Stand-ort und auf jedem Gerät sind auf dem Weg ins und vom Internet abgesichert.

Zscaler Private Access

Die Security-Plattform basiert auf zen-tralisiertem Policy-Management und bietet durch die weltweite Umsetzung von Richtlinien in Echtzeit umfassende Sicherheit. Die gleiche Zscaler-App, mit der Anwender Zugang auf die Security-Plattform bekommen, ermöglicht autori-

sierten Benutzern den Zugriff auf inter-ne Anwendungen, unabhängig davon, wo sich der Anwender oder die Anwen-dung befi ndet. ZPA ersetzt klassisches RAS-VPN und gewährt Mitarbeitern und Geschäftspartnern gezielt Zugriff auf bestimmte Anwendungen im Unterneh-mensnetz oder in der private & public Cloud, wie AWS und Azure, ohne Eingriff in das Netzwerk, sodass die Komplexität von herkömmlichen RAS-VPNs durch Fle-xibilität ersetzt wird. Durch ZPA lässt sich SDN mit Zero-Trust-Ansatz dank Micro-segmentierung pro Applikation erreichen.

Weitere Informationen unter: www.zscaler.de.

Ihre Ansprechpartnerin:

Verena Danner (Projektanfragen bis 3.000 Mitarbeiter):Inside Sales RepresentativeE-Mail: VDanner@zscaler.com

Zscaler ermöglicht die sichere Transformation in die Cloud durch schnellen, Policy-basierten Zugriff auf Anwendungen im Rechenzentrum und in der Cloud

Netzwerk-Transformation für neue Arbeitsumgebungen

Wenn Unternehmen ihre Anwendungen in die Cloud verlagern, müssen sie ihre Netzwerkstruktur überdenken. Daten-ströme wie bisher über den Umweg des zentralen Rechenzentrums ins Internet und die Cloud zu schicken, ist nicht nur teuer, sondern mindert auch die Vorteile einer Cloud-Migration. Durch Anbindung aller Niederlassungen über lokale Inter-net-Zugänge, etwa mit Hilfe von SD-WAN, erhalten Unternehmen die nötige Flexibi-lität für die Cloud. Die erforderliche Sicher-heit, Transparenz und Kontrolle an jedem Standort erhalten sie durch die Cloud-Security-Plattform – ohne Hardware, (wie etwa Firewalls oder Proxy Systeme), vor Ort und ohne Wartungsaufwand.

Die Security-Plattform bietet ein umfas-sendes Portfolio an Lösungen für den si-cheren, Policy-basierten Zugriff auf jede Applikation von überall aus mit jedem Gerät:

Sicher in die Digitalisierung mit ZscalerTransformation von Anwendungen, Netzwerken und Sicherheit mit der Cloud-Security-Plattform

Zscaler Germany GmbH • Landshuter Allee 8 • 80637 München • Telefon: +49 89/54558358www.zscaler.de • E-Mail: VDanner@zscaler.com

Zscaler unterstützt Organisationen weltweit bei der sicheren Transfor-mation ihrer Netzwerke und Applikationen in eine moderne Arbeitsum-gebung, in der Mobilität und die Cloud an erster Stelle stehen. Mit Hilfe der Services Zscaler Internet AccessTM und Zscaler Private AccessTM werden schnelle und sichere Verbindungen zwischen Anwendern und ihren Ap-plikationen hergestellt, unabhängig vom Gerät, Standort oder Netzwerk. Die Zscaler Services basieren zu 100 % auf der Cloud und bieten höhere Sicherheit und einfache Benutzerführung für den Anwender und damit Vorteile gegenüber traditionellen Appliances. Zscaler betreibt eine mul-timandantenfähige Cloud Security Plattform, die in mehr als 185 Ländern mit mehr als 100 Rechenzentren Kunden vor Cyberangriff en und Daten-verlust schützt und den sicheren Zugriff der Mitarbeiter auf ihre Anwen-dungen im Netzwerk oder der Cloud ermöglicht.

Firmenporträt

95

Kompetenz aus einer Hand

Fachzeitschriften

Zertifi zierungen

Webinare

Newsletter

Fachtagungen

ARGEn

Corporate Publishing

Seminare

Consulting

Fachliteratur

©Yu

ri A

rcur

s/Fo

tolia

Bitte beachten Sie unser Seminarangebot unter www.datakontext.com

Mein Partner für Datenschutz und IT-Sicherheit