Security 1st. Welche IT Trends prägen 2017

Christoph Stoica, Regional General Manager bei Micro Focus verrät, welche IT-Trends das kommende Jahr prägen werden

Im Rahmen der #DiscoverMF  Tour 2017, einer gemeinsamen Roadshow  von Micro Focus und Open Horizons, der führenden Interessensgemeinschaft für Micro Focus und SUSE Technologien, hatte Macro Mikulits als Mitglied des Open Horizons Core Teams die Möglichkeit mit Christoph Stoica, Regional General Manager von Micro über die  IT-Trends 2017 zu sprechen. Aus Sicht von Christoph Stoica sollte das Thema „ IT Sicherheit“ auch im neuen Jahr  eine zentrale  Rolle für Unternehmen  im Hinblick auf die Bewertung Ihrer IT-Strategie spielen.

Rückblickend war das Jahr 2016 geprägt von vielen, teils spektakulären Cyber-Attacken. Welche „Cyber-Bedrohungen gefährden die Netzwerke der Unternehmen Ihrer Meinung nach derzeit am meisten?

Christoph Stoica:
Die Lage der IT-Sicherheit ist angesichts immer größerer Rekord-Diebstähle von Kundendaten insgesamt sehr angespannt. Unberechtigter Zugriff resultierend aus Identitätsdiebstählen ist – neben der Verbreitung von Schadcode – nach wie vor die häufigste Ursache für sicherheitsrelevante Vorfälle in Unternehmen. Viele Angriffe konzentrieren sich zuerst auf den Diebstahl von Kennwörtern und Zugangsdaten aus dem Privatbereich – wie soziale Netzwerke, E-Mail Konten, Einkaufsportale – um sich im zweiten Schritt die Anmeldeinformation für das Unternehmensnetzwerk zu verschaffen. Professionelle Cyberkriminelle versuchen sich bei ihren Angriffen vor allem vertikal durch die Ebenen zu bewegen, um ihre Berechtigungen auszuweiten, eine Schwachstelle auszunutzen oder Zugriff auf Daten bzw. Anwendungen zu erhalten. Auch die digitale Erpressung durch gezielte Ransomware-Angriffe, wird zunehmend zu einer Bedrohung für Unternehmen und die Gesellschaft, wie die Beispiele der Cyber-Attacken auf mehrere deutsche Krankenhäuser Anfang 2016 zeigen. Infektionen mit Ransomware führen unmittelbar zu Schäden bei den betroffenen Unternehmen, was das betriebswirtschaftliche Risiko zusätzlich erhöht. Die Digitalisierung und Vernetzung sogenannter intelligenter Dinge (IoT) spielt dem Konzept der Ransomware zusätzlich in die Karten.


Wagen wir mal einen Ausblick  auf das, was uns dieses Jahr erwarten wird. Mit welchen „Cyber-Crime“-Trends müssen wir 2017 rechnen?

Christoph Stoica:
Die Themen Identitätsdiebstahl und Ransomware werden auch in 2017 weiterhin eine ernsthafte Bedrohung bleiben. Gerade bei Ransomware sind die monetären Gewinne für die Cyber-Kriminellen sehr hoch und da die Forderung nicht auf herkömmliche Währungen setzt, sondern die auf einer Blockchain basierten Cyberwährung „Bitcoins“ nutzt, ist auch das Entdeckungsrisiko für die Täter sehr gering.
Das Internet der Dinge wird in 2017 eine massive Ausweitung erfahren – insbesondere getrieben durch IoT-Lösungen im Konsumergeschäft, aber auch durch industrielle Anwendungsszenarien wie Gebäudeautomatisierung. Dadurch wird sich die tatsächliche Bedrohung weiterhin erheblich steigern. Sobald intelligente Maschinen und Geräte in Netzwerke eingebunden sind und direkte Machine-to-Machine Kommunikation immer mehr Anwendung findet in Bereichen wie Bezahlsystemen, Flottenmanagement, Gebäudetechnik oder ganz allgemein im Internet der Dinge, muss auch die Frage nach der Cybersicherheit gestellt werden.  Auf den ersten Blick denkt man vielleicht, dass von solchen „smart Things“ keine ernsthafte Bedrohung ausgeht und Schadprogramme nur lokal Auswirkung haben. Doch hat ein Schadprogramm erst einmal ein „smart Thing“ infiziert und somit die erste Hürde der peripheren Sicherheitsmaßnahmen hinter sich gelassen, können von dort weitere vernetzte Systeme identifiziert und infiziert werden. Selbst wenn es zukünftig gelingt, für die in Prozessor- und Storage-Kapazität limitierten IoT-Geräten eine automatische Installation von Updates bereitzustellen, um akute Sicherheitslücken zu stopfen, kann dies aber gleichzeitig auch zu einer Falle werden. Denn für das Einspielen solcher Updates muß das System auf das Internet zugreifen – ein Angreifer könnte sich als Updateserver ausgeben und auf diesem Weg einen Trojaner installieren.


Traditionell bietet sich der Jahreswechsel an,  gute Vorsätze für das Neue Jahr zu fassen. Aus Sicht eines Security Software Herstellers, welche 3 Security Aufgaben würden Sie Kunden empfehlen auf die „Liste der guten Vorsätze“ zu setzen, um Gefahren möglichst effektiv abzuwehren?

Christoph Stoica: Mit den guten Vorsätzen zum Jahresbeginn ist das immer so eine Sache… üblicherweise fallen diese meist recht schnell alten Gewohnheiten zum Opfer und damit sind wir direkt beim Thema „Passwortsicherheit“.

„Das Passwort sollte dynamisch werden.“

Obwohl man sich durchaus der Gefahr bewusst ist, werden vielerorts immer noch zu einfache Passwörter verwendet, ein und dasselbe Passwort für mehrere Accounts genutzt, das Passwort nicht regelmäßig gewechselt, Account-Daten notiert und so weiter und so weiter. Passwörter und Zugangsdaten sind nach wie vor das schwächste Glied der Kette. Dreiviertel aller Cyber-Attacken auf Unternehmen sind laut einer neuen Deloitte Studie auf gestohlene oder schwache Passwörter zurückzuführen. Starke Authentifizierungsverfahren hingegen können unerwünschte Zugriffe bereits an der Eingangstür verhindern und bieten wirksamen Schutz gegen Identitätsdiebstahl. Risikobasierte Zugriffskontrollen berücksichtigen eine Vielzahl von Faktoren um für jedes System und jeden Zugriff das angemessene Sicherheitsniveau zu erreichen – so erhält das Herzstück des Unternehmens den größtmöglichen Schutz, während der Zugriff auf weniger kritische Komponenten nicht durch unangemessene Sicherheitsmaßnahmen eingeschränkt wird.

„Bereiten Sie dem Wildwuchs bei den Verzeichnisdiensten und im Berechtigungsmanagement ein Ende.“

Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind unzulässige Berechtigungen oder verwaiste Konten. Gerade in einer Zeit, in der kompromittierte privilegierte Benutzerkonten das Einfallstor für Datensabotage oder -diebstahl sind, müssen Unternehmen dafür sorgen, diese Angriffsflächen zu reduzieren, Angriffe rechtzeitig zu erkennen und umgehend Gegenmaßnahmen einzuleiten. Hierfür werden intelligente Analysewerkzeuge benötigt, auf deren Basis die richtigen Entscheidungen getroffen werden können. Bei den Maßnahmen zur Prävention sollten Unternehmen daher Ihren Blick auf die Vereinfachung und Automatisierung von sogenannten Zugriffszertifizierungsprozessen richten, um Identity Governance Initiativen im Unternehmen zu etablieren.

„Verkürzen Sie die Reaktionszeit auf Sicherheitsvorfälle.“

Entscheidend für eine bessere und effektivere Abwehr von Bedrohungen und Datenmissbrauch ist die Verkürzung von Reaktionszeiten nach Sicherheitsvorfällen. Doch festzustellen, welche Aktivitäten echte oder potenzielle Bedrohungen darstellen und näher untersucht werden müssen, ist äußerst schwierig. Zur schnellen Erkennung von Bedrohungen, noch bevor sie Schaden anrichten, benötigt man Echtzeitinformationen und Analysen der aktuell auftretenden Sicherheitsereignisse. SIEM-Lösungen ermöglichen eine umfassende Auswertung von Sicherheitsinformationen und können durch Korrelation auch automatisiert Gegenmaßnahmen einleiten. Doch in vielen Fällen bieten bereits deutlich einfachere Change Monitoring Lösungen eine spürbare Verbesserung der Reaktionszeiten auf Sicherheitsvorfälle.
Über Open Horizons :
Open Horizons ist die größte und führende Interessengemeinschaft
für Micro Focus & SUSE Software Technologien.

Als Bindeglied zwischen Hersteller, Anwender und Kunde ist es unser Ziel, die Zusammenarbeit stetig zu verbessern. Denn je größer der Nutzen ist, den Unternehmen und Mitarbeiter aus den von Ihnen eingesetzten Micro Focus und SUSE Software-Lösungen ziehen, desto besser können Sie aktuellen IT-Herausforderungen entgegnen. Deshalb bilden Erfahrung- und Wissensaustausch die Eckpfeiler der Open Horizons Community Philosophie.  Diesem Kerngedanken folgend wurde die Open Horizons Community im Jahre 2004 gegründet. Die Projekte umfassen die Veröffentlichung des Open Horizons Mitglieder-Magazins, die Durchführung von User & Admin-Trainings, das Betreiben des Mailservers GW@home sowie die Organisation verschiedener, hochwertiger Events wie z.B.  Open Horizons Summit und Roadshows wie der YES Tour 2015 oder der #DiscoverMF Tour 2016/2017.
www.open-horizons.de

Die Digitalisierung macht uns verwundbar – brauchen wir ein digitales Immunsystem?

Vom weltweiten Angriff auf DSL-Router am letzten November-Wochenende waren auch Hundertausende deutsche Internetnutzer betroffen. Die Angreifer gelangen über eine Sicherheitslücke der Wartungsprotolle TR-069 und TR-064 auf die Router der Telekom-Kunden. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) sprach von einem „globalen Hacker-Angriff“, bei dem die Telekom nur eins von vielen Ziele gewesen sei. Und wenn auch mittlerweile die Telekom-Router immun sind gegen diese Angriff, so zeigt Vorfall, wie wehrlos Unternehmen und Institutionen noch immer gegen Angriffe aus dem Netz sind. Lesen Sie im Blog, welche aufeinander abgestimmten Maßnahmen notwendig sind, für die Erkennung und Abwehr solcher Cyberangriffe.

Die Lage bleibt angespannt – eine solche Äußerung bedeutet nie etwas Gutes und schon gar nicht, wenn offizielle Stellen der Regierung sie verlauten lassen. Politiker und Sicherheitsexperten benutzen eine solche Ausdrucksweise oft im Zusammenhang abstrakter Gefahren, um die Bevölkerung auf wachsende und sich verändernde Bedrohungen hinzuweisen. Anfang November benutzte das Bundesamtes für Sicherheit  und Informationstechnik (BSI) genau diese Formulierung zur Beurteilung der IT-Sicherheitslage in Deutschland für das laufende Jahr. Die Formulierung, die wie ein mahnender Zeigefinger wirkt, diente dabei vor allem dazu, potenzielle Gefahren nicht naiv zu unterschätzen und entsprechende Vorsorgemaßnahmen präventiv zu treffen sowie das Sicherheitsbewusstsein eines jeden Einzelnen zu sensibilisieren und zu schärfen. Denn gerade in der heutigen Zeit, in der das abstrakte Gefährdungslagebild professionell motivierter Cyber-Kriminalität bedenklich ist, weiß man, dass aufgrund der unterschiedlichsten Methodik solcher Cyber-Angriffe, die Angreifer nur schwer aufzuspüren und ihre Taten kaum zu verhindern sind. Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland zeigt, dass in 2016 insgesamt eine zunehmende Professionalisierung der Angreifer und ihrer Angriffsmethoden festgestellt wurde und die Gefährdungslage angespannt bleibt. So ist die Zahl bekannter Schadprogrammvarianten dieses Jahr weiter gestiegen und lag im August 2016 bei mehr als 560 Millionen. Gleichzeitig verlieren klassische bisherige Abwehrmaßnahmen weiter an Wirksamkeit, weil die Schädlinge oft durch die – meist unbeabsichtigte und unbewußte – Mitwirkung von Insidern in die Netzwerke gelangen und somit klassische Schutzmaßnahmen wie Firewalls umgangen werden. Weiterhin wurde für 2016 eine deutliche Zunahme an Sicherheitslücken und Schwachstellen in Soft- und Hardware gegenüber dem Vorjahr konstatiert. Besonders betroffen waren dabei Betriebssysteme wie Apples macOS oder Microsoft Windows 7 aber auch Softwareprodukte wie  Adobe Reader, Adobe Flash sowie Webbrowser. Eine besorgniserregende Entwicklung, denn gerade Schwachstellen in Hard- und Software bieten ein leichtes Einfallstor in Unternehmensnetze und können von Angreifern leicht ausgenutzt werden.

CyberThreats

Auch die Bedrohung durch sogenannte „Ransomware“ hat sich deutlich verschärft – Krankenhäuser, Unternehmen aber auch Behörden sind von diesen Angriffen betroffen, bei denen informations-technische  Systeme lahmgelegt werden um „Lösegeld“ zu erpressen. Zu den häufigsten Infektionsvektoren für Ransomware gehören Distributed-Denial-of-Service-Angriffe (DDoS) oder Drive-by-Exploits. Sogenannte DDoS-Angriffe sind im Grunde nichts Neues, sie basieren auf einem relativ simplen Prinzip, dass massenhaft sinnlose Anfragen an Server geschickt werden, so daß dieser überlastet und legitime Anfragen nicht annehmen kann. Angreifer benutzen für diese Angriffe in den seltensten Fällen ihre eigene Infrastruktur, sondern vielmehr gehackte Computer und IoT, die zu Botnetzen zusammengefasst werden. Offene Telnet-Ports ohne Authentifizierung, Standard-Nutzernamen, banalste Sicherheitslücken und vor allem keine Security-Updates lassen IoT zur leichten Beute für Cyberkriminelle werden. Die meisten IoT-Geräte sind in Prozessor- und Storage-Kapazität limitiert – derzeitige Security-Modelle, wie  automatische Installation von Updates, das Einspielen von Security-Patches, das Installieren und Aktualisieren von Antiviren-Software und die Konfiguration von Host-basierten Firewalls, lassen sich daher nicht einfach 1:1 umsetzen. Ausnutzbar werden diese Schwachstellen, weil die fortschreitende Digitalisierung zu einer Vielzahl komplexer Kommunikationsverbindungen geführt hat. Die Schutzmechanismen vernetzter Systeme müssen also darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf eine einzelne, verwundbare Komponente nicht sofort Auswirkungen auf das gesamte System hat.

Doch auch wenn Realität und Anspruch in Bezug auf Sicherheit und Datenschutz vielleicht momentan oft noch diametral auseinandergehen, muss die Entwicklung von künstlicher Intelligenz und Verschmelzung von IT und Industrie weiter vorangetrieben werden – zu groß sind die sich hieraus bietenden wirtschaftlichen und gesellschaftlichen Potenziale. Die Digitalisierung ist eine Schlüsselinnovation, die alle Wirtschaftsbereiche verändert. Wir können uns vor ihr weder abschotten noch sie abwählen. Gerade der starke und innovative deutsche Mittelstand mit zahlreichen Weltmarktführern muss die Entwicklung neuer digitaler Geschäftsmodelle und –prozesse vorantreiben, andere Denkansätze verfolgen um Innovationen zu schaffen – selbst wenn die hundertprozentige und absolute Sicherheit nicht gewährleistet werden kann. Wenn wir heute auf die Erfolgsgeschichte des Automobils zurückblicken, so war auch dies – wie heute die Digitalisierung oder Industrie 4.0 – ein disruptive Technologie, die im Frühstadium längst nicht über die für uns heute selbstverständlichen Sicherheitsstandards verfügte. Die ersten Autos hatten kein Dach, geschweige denn einen Sicherheitsgurt oder sonst irgendwelche Vorrichtungen wie ABS, Airbags oder Bremsassistenten, um den Fahrer zu schützen. Doch auch wenn all diese Features heute Standards in Autos sind – absolute Sicherheit kann der Automobilhersteller nicht garantieren. Sicherheit kann deshalb nur relative Sicherheit bedeuten. Die Automobilindustrie hat es verstanden, das  Paradigma  „relativer“ Sicherheit mit einem sehr hohen Sicherheitsgrad  als  nachprüfbare  Produkteigenschaft (TÜV)  zu  etablieren.

Analog hierzu wird der Informationssicherheit im Zuge der Digitalisierung und der damit einhergehenden Verwundbarkeit von Systemen eine Schlüsselrolle  zuteil. Umfassende Sicherheitskonzepte können hierbei wie eine Art Immunsystem durch Prävention, Detektion und Reaktion die Gefahrenpotenziale von Cyberangriffen abmildern.  Hierfür sind neben gestaffelten und aufeinander abgestimmten Maßnahmen , auch die Einschätzung der Gefahrenlage sowie die Entwicklung neuer Strategien für die Erkennung und Abwehr von Cyberangriffen notwendig.

Prävention schützt

So wie ein intaktes Immunsystem beim Menschen bösartige Zellen erkennt und an einer Ausbreitung hindert, verhindern starke Authentifizierungsverfahren unerwünschte Zugriffe bereits an der Eingangstür und bieten wirksamen Schutz gegen Identitätsdiebstahl. Risikobasierte Zugriffskontrollen berücksichtigen eine Vielzahl von Faktoren um für jedes System und jeden Zugriff das angemessene Sicherheitsniveau zu erreichen – so erhält das Herzstück des Unternehmens den größtmöglichen Schutz, während der Zugriff auf weniger kritische Komponenten nicht durch unangemessene Sicherheitsmaßnahmen eingeschränkt wird.

Detektion – Risiken systematisch und in Echtzeit aufspüren

Auch trotz bester Vorsorge, kann es dennoch passieren, dass man sich mit Viren und Schädlingen infiziert. Aufgabe des Immunsystems ist es dann, schnellstmöglich Angriffe und Veränderungen zu entdecken und Gegenmaßnahmen einzuleiten. Ähnlich verhält es sich, sobald Malware in Systeme eingedrungen ist. Entscheidend wird sein, wie schnell ein Unternehmen den Angriff entdeckt und ob man in der Lage ist, adäquat drauf zu reagieren. Durch Einsatz von Security Information & Event Management-Technologien (SIEM) wird eine Grundkonfiguration für die normalen Aktivitätsmuster in der IT-Umgebung definiert. Auf diese Weise können Auffälligkeiten anhand einer Echtzeit-Sicherheitsanalyse identifiziert werden, ohne genau zu wissen, wonach eigentlich gesucht wird. Change Monitoring Systeme stellen eine sinnvolle Ergänzung zu SIEM-Lösungen dar – sie bieten eine permanente Überwachung geschäftskritischer Dateien und Systeme und liefern bei unbefugten Änderungen aussagekräftige Alarmmeldungen. Dies ermöglicht kurze Reaktionszeiten und reduziert somit das Risiko eines folgenschweren Datenmissbrauchs erheblich.

Reaktion bedeutet Sicherheitssysteme schnell & dynamisch anzupassen

Sicherheit erfordert aber nicht nur eine schnelle Reaktion im Angriffsfall, sondern auch eine schnelle Anpassung der Sicherheitsarchitektur an Veränderungen. Agile Software-Entwicklung, automatisiertes Release Management, standardisierte Cloud-Services – viele Trends wirken als Katalysator für immer kürzere Innovationszyklen. Das „Immunsystem“ der IT muß sich ebenso schnell anpassen – integriert, automatisiert, intelligent und dynamisch sind daher zentrale Attribute einer modernen Sicherheitsarchitektur.

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

Zeit, dass sich was dreht

Der gestern Abend bekannt gewordene Datendiebstahl bei Yahoo verdeutlicht einmal mehr, dass Unternehmen ihre Sicherheitsstrategie genau prüfen und an die sich ändernden Herausforderungen anpassen sollten. Ein Kommentar von Christoph Stoica zum Rekordhack bei Yahoo.

68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000  gestohlene Kundenzugangsdaten bei der Telekom und jetzt der Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy. Zwischen diesen drei Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren.  Für die Presse sind solche spektakulären Cyberhacks ein gefundenes Fressen und vielleicht gibt es sogar schon manch pfiffiges Wettbüro, das jetzt Wetten annimmt, wie lange es wohl dauern wird, bis auch der aktuelle Rekordhack mit 500.000.000 kompromittierten Nutzerkonten von einem noch größeren Diebstahl übertroffen wird – für die geschädigten Unternehmen hingegen bedeuten solche Angriffe zunächst einmal vor allem einen Imageverlust und der Verlust der Glaubwürdigkeit. Im Falle von Yahoo scheint diese Datenpanne jedoch auch reelle finanzielle Auswirkungen zu haben.

Wie immer bei der Veröffentlichung solcher  Mega-Datenpannen melden sich auch jetzt wieder diejenigen zu Wort,  die mahnend den Zeigefinger heben und sich fragen, wie ein Datendiebstahl solchen Ausmaßes überhaupt möglich ist, und warum dieser so lange anscheinend unentdeckt blieb. Das Wort Fahrlässigkeit wird auch dabei – und das sicherlich teils auch zu Recht –  wieder schnell die Runde machen.  Es ist  schwer vorstellbar, dass gerade die oben genannten Unternehmen, allesamt aus der IT- Branche, grob vorsätzlich und fahrlässig gehandelt haben  in Bezug auf die seinerzeit getroffenen Sicherheitsmaßnahmen.  Bedenken sollte man, dass alle kürzlich veröffentlichen Datendiebstähle auf Netzwerkangriffe zurückgehen, die bereits vor   4 beziehungsweise 2  Jahren im Falle von Yahoo erfolgten.  Damals galt in den Unternehmen noch die Devise „Schützen und Verteidigen“ als ausreichend  für den Schutz der sensiblen Daten, man investierte vor allem in immer ausgefeiltere Firewalls und Antivirensoftware und die Kombination  aus Passwort und Nutzernamen für die Authentifizierung galt als bestmöglicher Kompromiss aus Sicherheit und Nutzbarbarkeit. Doch mit den sich rasant neu entwickelnden Trends wie Cloud Computing und Cloud Services, Social Media, mobiles Internet, BYOD  muss sich auch der Blick auf die IT-Sicherheitsstrategie komplett ändern. Die wachsende technologische Durchdringung und Vernetzung, die damit einhergehende Komplexität der IT-Landschaften, die sich verändernden Formen der geschäftlichen Zusammenarbeit sowie die ‘always on’ Mentalität, sprich zu jeder Zeit und von jedem Ort online erreichbar zu sein, stellt die IT-Abteilungen ganz klar vor neue Herausforderungen. Der klassische Schutz der IT-Netze und Systeme an den Außengrenzen erodiert zunehmend,  denn es gibt keine Grenze mehr zwischen „innerhalb“ und „außerhalb“  des Netzwerkes – das Netzwerk ist heute überall  und der Feind ebenso.

DeYahoo1

Zeit, dass sich was dreht: Von der statischen IT-Sicherheit hin zur dynamischen IT-Sicherheitsstrategie

Unternehmen sind heute angesichts der stetig wachsenden Bedrohungslage was Cyberattacken anbelangt mehr denn je gefordert, ihre Sicherheitsstrategie zu überprüfen und den geänderten Herausforderungen anzupassen. Die technischen Möglichkeiten hierzu stehen – anders als auch vielleicht noch vor 4 Jahren –  beispielsweise mit einem risikobasiertem Zugriffsmanagement bereits zur Verfügung. Eine Analyse der Risiken und die Implementierung einer risikobasierten Zugriffssteuerung auf  der Grundlage von Multi-Faktor-Authentifizierung sollte daher die Basis eines jeden Sicherheitskonzeptes sein. Eine weitere Grundlage für eine umfassende IT-Sicherheit ist ein zentraler Überblick über alle vergebenen Berechtigungen. Die Konzepte werden auf Basis von Attributen, IT- und Geschäftsrollen sowie Richtlinien definiert. Auch die Vereinfachung und Automatisierung von Prozessen zur Rezertifizierung der Zugriffsberechtigungen und die Etablierung von Identity Governance Initiativen gehören dazu.

Fazit:

Zusammenfassend kann man sagen, dass eine komplette Neubewertung des Umgang mit Berechtigungen und Zugriffen erforderlich ist. Für die Verwaltung von Benutzeridentitäten und Zugriffsrechten reicht eine IT-zentrische Form des Identity Management alleine nicht mehr aus. Ging es früher im Wesentlichen darum, die Benutzerverwaltung zu automatisieren und den Datenschutz- und Compliance-Richtlinien zu entsprechen, sínd heute intelligente Verwaltungslösungen gefragt, um die IT-Sicherheit an sich verändernde Anforderungen anzupassen und situativ und in Echtzeit reagieren zu können. Unternehmen, die angesichts sich massiv häufender Datendiebstähle und Cyberattacken , nach wie vor nur auf eine statische Sicherheitsstrategie setzen, handeln fahrlässig – sowohl in Bezug auf die Datensicherheit als auch im Hinblick auf mögliche Image- und Wertverluste ihres Unternehmens.

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

 

Datenschutz und Datensicherheit

Nach jahrelangem Hin- und Her haben EU-Rat und -Parlament Mitte des Jahres nun endlich die neue Datenschutzgrundverordnung durchgewunken. Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen und löst die geltenden nationalen Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie ab. Das neue Gesetz gilt ab 2018 und Unternehmen jeder Größe haben demnach nur knapp zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten zu gewährleisten; andernfalls drohen ihnen massive Bußgelder. In unserem Blog beleuchten wir die Kernelemente der Reform und erläutern, worauf Unternehmen achten sollten.

 – Anforderungen an Unternehmen im Kontext der neuen EU-Datenschutzgrundverordnung

In Bezug auf die personenbezogenen Daten, ist das Jahr 2016 von spannenden Entwicklungen geprägt. Nach dem gekippten Safe-Harbour Abkommen haben EU-Rat und –Parlament Mitte April 2016 nach jahrelangem Hin- und Her das neue europäische Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO) verabschiedet, welches die bisher geltende Datenschutzrichtlinie von 1995 ab sofort ersetzt. Die Politik verfolgt damit das Ziel, die Datenschutzrechte von EU-Bürgern zu stärken, das Vertrauen in die digitale Wirtschaft wiederherzustellen und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser zu schützen.

Im Gegensatz zur Richtlinie ist die neue Grundverordnung kein Rahmen, der in nationale Gesetzgebung umgesetzt werden soll, sondern eine unmittelbare Verpflichtung für alle Mitgliedstaaten – ein EU‐weit geltendes Gesetz, das über den nationalen Gesetzen steht und Anpassungen dieser Gesetze erfordert. Derzeit ist Regelung des Umgangs mit sogenannten personenbezogenen Daten in den Mitgliedsstaaten der EU noch unterschiedlich ausgeprägt. In Deutschland gilt das Bundesdatenschutzgesetz (BDSG), in Österreich das Bundesgesetz über den Schutz personenbezogener Daten und in der Schweiz gilt das Bundesgesetz über den Datenschutz. Allein schon diese drei Gesetze zeigen, dass die Datenschutzrichtlinie von 1995 einen Flickenteppich aus nationalen Gesetzen geschaffen hat, der vor dem Hintergrund der digitalen Globalisierung mehr und mehr zu rechtlichen Grauzonen und Rechtsunsicherheit führte. Hinzukommt wie schon im letzten Blog erwähnt, eine zunehmende Erhebung personenbezogener Daten zu Geschäftszwecken. Daten sind heute mehr denn je Wirtschaftsgut statt Schutzgut, mit denen eine Vielzahl von Unternehmen Geld verdient – genau das rückt Daten wie Unternehmen in das Fadenkreuz von Cyber-Kriminellen. Rechtsunsicherheit, gesteigertes Datenaufkommen, mehr Kriminalität – fast täglich gelangen neue Fälle von Verlust oder Missbrauch personenbezogener Daten an die Öffentlichkeit. Vor diesem Hintergrund ist die neue europaweit einheitliche Regelung des Datenschutzes absolut notwendig.

Kernelemente der Reform – Worauf sollten Unternehmen achten

Stellvertretend für alle Änderungen, die mit der EU-Datenschutz Grundverordnung einhergehen, betrachten wir nachfolgend drei Aspekte, die für IT-Abteilungen von besonderem Interesse sind.

Infographic, Europäische Union 2015
Infographic, Europäische Union 2015

Recht auf Vergessen

Bislang liegt bei den meisten Unternehmen der Fokus darauf, wie man möglichst erfolgreich viele Daten sammeln kann – die wenigsten beschäftigen sich damit, wie sie diese gegebenenfalls auch wieder aus ihren Systemen löschen können. Dies wird eine Herausforderung für viele Firmen, denn angesichts der riesigen Mengen an gesammelten und teils auch unstrukturierten Daten wird es schwieriger den Überblick zu wahren, wo welche Daten verzeichnet sind. Um interne Datenflut rechtzeitig in den Griff zu bekommen, ist es wichtig, relevante Informationen aufzubewahren und unbedeutende Daten gleichzeitig rechtskonform zu beseitigen. Ein manuelles Sichten und Filtern des kompletten Datenbestands in einem Unternehmen ist in der Realität aber schier unmöglich, geschweige denn effizient. An dieser Stelle können jedoch Data-Governance-Tools Abhilfe schaffen, indem der vollständige elektronische Datensatz eines Unternehmens durch ein intelligentes und automatisiertes System geordnet und bereinigt wird.

Technische und organisatorische Anforderungen

Die Anforderungen an Unternehmen personenbezogene Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation abzusichern wurden erheblich verschärft. Waren bisher offene und eher allgemeine Formulierungen in nationalen Gesetzen die Grundlage für die Verpflichtung der Unternehmen, gibt es jetzt detaillierte Vorgaben, wie die Absicherung der IT–Systeme vor ungewollten Zugriffen zu erfolgen hat. Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten – oder einfacher gesagt, man verlangt, dass Kundendaten zu jederzeit dem Risiko entsprechend angemessen geschützt sind. Unternehmen müssen sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten und das gespeicherte oder übermittelte personenbezogene Daten weder unbeabsichtigt noch unrechtmäßig zerstört werden. Ferner sind die Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten muss stets gewährleistet sein. Kurzum: Diese Vorgabe schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende Kontrollmechanismen zum Schutz von Daten einführen müssen ( Stichpunkt : Multi-Faktor-Authentifizierung )

Anzeige bei Verstößen – hier ist Echtzeit- Sicherheitsintelligenz gefragt

Ein weiteres Kriterium für die Bemessung des Bußgeldes und eventueller Sanktionen bei Verstößen gegen die neue Grundordnung ist die unverzügliche Meldepflicht bei  einer Verletzung des Schutzes personenbezogener Daten.  Unternehmen sind verpflichtet die jeweilige Aufsichtsbehörde sowie die Betroffenen möglichst ohne unangemessene Verzögerung und spätestens binnen 72 Stunden über die Datenpanne zu benachrichtigen. Neben dem Zeitpunkt sowie der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde –  insbesondere wird hier auf die Selbstanzeige hingewiesen – spielt der Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen eine besondere Rolle bei der Bemessung der Sanktionen. Unternehmen sind besonders gefordert denn angesichts immer stärker verfeinerter Pishing-Methoden, neuer Bedrohungen durch Ransomware und aufgrund erodierender Außengrenzen des Netzwerkes, bieten sich den Cyber-Kriminellen immer mehr Einfallstore für ihre Angriffe. Erschwerend kommt hinzu, dass gerade professionelle Angreifer ihre Angriffe so geschickt verschleiern und weitestgehend keine oder nur wenige Spuren hinterlassen, die mit herkömmlichen Kontrollmechanismen nur schwer aufzudecken sind. Bei der forensischen professionellen Analyse von Datenmissbrauch hingegen  ergeben sich in der Regel klare Nachweise für schädliche Aktivitäten in den Audit-Protokollen. Wenn IT-Sicherheitsteams diese Aktivitäten erkennen würden, wären sie sicher in der Lage, sie zu unterbinden oder die Bedrohung zumindest zu verringern. Ohne eine Echtzeitlösung zur Überwachung von Änderungen und automatisieren Alarmierung, ist es äußerst schwierig festzustellen, welche Aktivitäten potenzielle Bedrohungen darstellen und näher untersucht werden müssen.  Ganz gleich, ob Unternehmen Ihre IT-Umgebung lokal, virtuell oder in der Cloud verwalten, Sie benötigen eine Methode, um Richtlinienverletzungen in der gesamten Umgebung zu erkennen und zu korrigieren und somit Lücken bei der IT-Compliance zu schließen.

Fazit:

Unternehmen müssen deutlich mehr Aufwand für Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und IT-Compliance Lösungen einplanen. Wer zukünftig nicht über die geeigneten Prozesse und Systeme zum Schutz sensibler Daten verfügt, wird dafür unter Umständen teuer bezahlen müssen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen-und Geschäftswertes und des Vertrauens der Kunden. Die Themen Compliance und Sicherheit gehören bereits in diesem Jahr auf die Agenda eines jeden Unternehmens, damit man in zwei Jahren für die neue Verordnung gerüstet ist. Die neuen gesetzlichen Bestimmungen sind jedoch nicht nur als Herausforderung zu verstehen, sondern bieten Unternehmen auch Chancen: wer sich um die Sicherheit personenbezogener Daten nicht Sorgen muß, kann schneller auf neue Marktentwicklungen reagieren und Innovationen in der Interaktion mit seinen Kunden und Geschäftspartnern vorantreiben ohne dabei Risiken einzugehen. Positive Beispiele findet man bereits heute im eCommerce, wo für es Online-Händler seit Jahren einen verpflichtenden Sicherheitsstandard (PCI DSS) für die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten gibt. Gleiches gilt auch für die Finanzindustrie, die ebenfalls dem erwähnten verpflichtenden Sicherheitsstandard unterliegt. Wie in einem unserer letzten Blogs bereits berichtet, wird die HSBC Bank in UK ab Sommer diesen Jahres eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen, um den Zugriff auf das eigene Bankkonto sicherer zu machen. (mehr Details finden Sie hier)

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

„End of Life“ – Opportunismus der Hersteller – die Zeche zahlt der Kunde

Die Hersteller Aussage “End of Life” bedeutet nie etwas Gutes. Auch wenn dies oftmals kein direktes und abruptes Ende des Produktes zur Folge hat, so sind die hieraus für Kunden resultierenden Konsequenzen oftmals gravierend und weitreichend: Investitionen müssen getätigt werden die nicht budgetiert waren und Kapazitäten werden gebunden – wichtige Initiativen zur Unterstützung der Unternehmensziele werden dadurch verzögert oder bleiben gänzlich auf der Strecke. Lesen Sie im neusten Blogbeitrag, warum am Ende der Kunde die Zeche für den Hersteller Opportunismus zahlen muss und welche Alternativen es gibt.

„End of Life“ bedeutet in der Regel nie etwas Gutes. Im Kontext der Hersteller beziehungsweise Produktzyklen bezeichnet es die Endstufe im Leben eines Produktes; für die Kunden ergibt sich hieraus oftmals ein ungewollter Handlungszwang. Die schnelle Entwicklung von Technologien, stetig wachsender Wettbewerbsdruck sowie die Nachfrage beeinflussen den Zeitpunkt des End of Life eines Produktes genauso wie der Aufwand seitens der Hersteller, verschiedene Produktversionen stets aktualisiert auf dem Markt vorzuhalten. Insbesondere letzteres bindet viele Kapazitäten und beeinträchtigt zudem die Fähigkeit schnell auf neue Kundenanforderungen zu reagieren und Innovationen voranzutreiben. Unter diesem Gesichtspunkt scheint es durchaus verständlich, dass jedes hergestellte Produkt irgendwann das Ende des Lebenszyklus erreicht, oder durch eine Weiterentwicklung oder ein neues Produkt ersetzt wird. Doch gerade in der IT-Branche stellt man neben den bereits genannten Aspekten weitere Motivationsgründe seitens der Hersteller fest, Produkte auslaufen zu lassen. Immer öfter sind nicht nur einzelne Produkte sondern vielmehr ganze Produktlinien dem „End-of-life“ Prozess unterworfen und das ist oftmals dem reinen Opportunismus der Software Hersteller geschuldet. So sind es häufig betriebswirtschaftliche Überlegungen der Hersteller – sei es, dass  Produktlinien nicht länger als strategisch wertvoll betrachtet werden, oder man in anderen Bereichen kurzfristig bessere Wachstums- und Ertragschancen für das eigene Unternehmen sieht – die zur  Einstellung von Produkten führen. Auch wenn die Hersteller-Aussage „End of Life“ meist keine abruptes Ende für das Produkt zur Folge hat, es vielmehr schleichend kommt, so sind die hieraus für Kunden resultierenden Konsequenzen oftmals gravierend und weitreichend: Investitionen müssen getätigt werden die nicht budgetiert waren und Kapazitäten werden gebunden – wichtige Initiativen zur Unterstützung der Unternehmensziele werden dadurch verzögert oder bleiben gänzlich auf der Strecke. Bisweilen diktieren Hersteller mit derartigen Entscheidungen ihren Kunden gar die strategische Ausrichtung der IT – das kann nicht im Interesse des Kunden sein.

Beispiele gibt es genügend – gerade Microsoft hat Kunden in den letzten Jahren mit dem ein oder anderen strategischen Hakenschlag seine Agenda aufgezwungen. So hat die Abkündigung des Microsoft Small Business Servers 2011 im Jahr 2013 ein Kundensegment betroffen, in dem IT-Resourcen besonders knapp und unnötige Aufwände damit umso schmerzhafter sind. Als Alternative bietet Microsoft den Windows Server 2012 Essentials an – der bietet allerdings nur Datei- und Druckdienste. Wer Exchange nicht aus der Cloud nutzen will, muss für den Betrieb seines Mail-Systems einen zusätzlichen Server anschaffen. Die Entscheidung ob ein Unternehmen seine IT in Teilen oder in Gänze in die Cloud verlagert ist jedoch primär eine Frage der Unternehmens- und IT-Strategie, die wohl überlegt sein will. Manchen Unternehmen ist es bereits aus Gründen des Datenschutzes nicht möglich in die Cloud zu gehen, für andere ist es schlicht nicht die richtige Lösung. Dennoch werden all diese Anwender durch die unternehmerische Entscheidung eines einzelnen IT-Lieferanten zum Handeln gezwungen. Glück im Unglück, dass die rasante Entwicklung in der IT für Kunden vor allen Dingen eines geschaffen hat: Alternativen.

PE

Es gibt jedoch auch positive Beispiele anderer Hersteller, die eindrucksvoll beweisen, dass in etablierte und von Kunden geschätzte Produkte investiert und diese stetig an veränderte Marktgegebenheiten und Anforderungen angepasst werden. Micro Focus hat es sich zum Ziel gesetzt Unternehmen dabei zu unterstützen innovativ zu bleiben ohne Risiken einzugehen. Eine unserer wichtigsten Aufgaben ist es dabei, unseren Kunden eine Brücke zu bauen, die bewährte Technologien für heutige und zukünftige Anforderungen rüstet – denn immer wenn uns das gelingt, ersparen wir unseren Kunden die erheblichen Aufwände und Risiken die mit Architekturwechseln verbunden sind. So verfügen Novell NetWare-Kunden die dem Druck zur Standardisierung auf Microsoft widerstanden haben Heute mit dem Micro Focus Open Enterprise Server über eine moderne, auf Enterprise Linux basierende Infrastruktur die Datei- und Druckdienste für stationäre wie mobile Anwender zuverlässig, effizient und sicher zur Verfügung stellt; Micro Focus COBOL-Kunden betreiben Anwendungen die vor Jahrzehnten geschrieben wurden Heute in der Cloud und stellen sie als Web Service mobilen Mitarbeitern und Endkunden zur Verfügung, ohne Millionen und Mannjahre in Neuentwicklungen oder die Implementierung und Anpassung von Standard-Software investiert zu haben; Host-Anwender bedienen 3270-Anwendungen auf ihrem Tablet und mit modernsten Benutzeroberflächen…Es gäbe noch viele Beispiele und die Liste wird sich fortschreiben, denn die Welt hört sich nicht auf zu drehen und wir werden nicht aufhören unseren Kunden Brücken in die Zukunft zu bauen. Auch für die von Microsoft zurückgelassenen Anwender der Small Business Suite haben wir übrigens eine Antwort: wechseln Sie auf die Linux-basierte Micro Focus Open Workgroup Suite.

Christoph

Christoph Stoica

Regional General Manager DACH

IT-Sicherheit auf dem richtigen Kurs – Micro Focus als Overall Leader im Kuppinger Cole Report ausgezeichnet

Auch dieses Jahr hat das auf die Themen Identity & Access Management sowie digitale Transformation spezialisierte, internationale Analystenhaus KuppingerCole eine detaillierte Analyse von 17 Access Management und Federation Anbietern erstellt. Micro Focus wurde hierbei als marktführend in den Kategorien Produkt, Markt und in der Gesamtwertung als Leader eingestuft. Lesen jetzt im Blog die wichtigsten Aussagen des Reports.

Micro Focus dreimal als Leader ausgezeichnet im aktuellen KuppingerCole Leadership Compass Access Management & Federation

Für IT-Verantwortliche wird es zunehmend schwerer den richtigen Kurs für ihre IT-Sicherheitsstrategie in einer stetig komplexeren IT-Landschaft einzuschlagen. Mit der digitalen Transformation, dem aktuellen Top-Thema, steuert eine große Welle an Veränderungen und Herausforderungen auf die IT zu. Waren es bislang eher die Sensoren im Haus und am Körper von Fitnessfanatikern, die Smartwatch, die Heimautomatisierung und das vernetzte Auto, die die Berichterstattung zum Internet of Things dominiert haben, so werden in Zukunft die durch die Verschmelzung von IT und Industrie entstehenden komplexen Beziehungsgeflechte von Verbindungen, Maschinen und Identitäten unser Verständnis vom Internet der Dinge prägen. Egal ob aktuelle Geschäftsprozesse, bestehende IT-Infrastrukturen oder existierende Kundenbeziehungsmodelle – kein Aspekt bleibt unberührt vom Einfluss der Digitalisierung. Und spätestens nach dem der Europäische Gerichtshofs (EuGH) vergangenen Oktober das Safe-Harbour Abkommen für ungültig erklärt, schwirren wieder deutlich mehr Fragen als Antworten durch die IT-Welt. Wie können innovative Identity Management-Konzepte entwickelt werden? Wie schützt man Daten und vernetzte Objekte besser vor unberechtigten Zugriffen? Wie kann ihre Vertrauenswürdigkeit nachgewiesen und Datenschutz gewährleistet werden?

Next Generation ID – von der taktischen IT-Herausforderung zur  strategischen Infrastruktur

Bis zum Jahr 2020 wird es kaum noch ein Objekt geben, das nicht automatisch identifiziert, lokalisiert und mit anderen Objekten vernetzt werden könnte. Das betrifft vor allem auch bisher nicht vernetzte Bereiche wie Öffentliche Infrastrukturen, Autos, Heimelektronik oder Gesundheitsinformationen bis hin zu politischen Nachrichten. Sicherheit und ein vertrauensvoller Umgang mit Identitäten, sowie schützenswerten Daten und Prozessen haben deshalb oberste Priorität. Vor allem müssen für Personen und Objekte wirksame Möglichkeiten bereitgestellt werden, automatische Identi-fizierungen oder Vernetzungen zu kontrollieren und gegebenenfalls zu unterbinden.
Kunden benötigen Lösungen für neue Geschäftsherausforderungen wie beispielsweise das Onboarding von Geschäftspartnern oder Systemen, Kundenzugänge für Services, Zugang zu Cloud-Diensten und vielen mehr. Die IT muss reagieren und eine Standardinfrastruktur für alle diese verschiedenen Kommunikations- und Kollaborationsbedürfnisse in der ‚Connected Enterprise‘ schaffen. Als Resultat muss Access Management und Federation sich von einer taktischen IT Herausforderung hin zu einer strategischen Infrastruktur verändern, welche die Geschäftsagilität fördert.

Martin Kuppinger, Gründer und leitender Analyst von KuppingerCole, kommentiert den aktuellen Leadership Compass, dass eine der größten Herausforderungen von Access Management darin bestünde, die komplexen Beziehungen von Dingen, Geräten und Menschen zu steuern und die Authentifizierung von Dingen zu unterstützen. Des Weiteren führe die Verwaltung von Millionen von vernetzten Dingen zu neuen Anforderungen an die Skalierbarkeit. Das auf die Themen Identity & Access Management sowie digitale Transformation spezialisierte, internationale Analystenhaus KuppingerCole erstellt einmal pro Jahr eine detaillierte Analyse von 17 Access Management und Federation Anbietern und stuft sie jeweils als marktfolgend, Herausforderer oder marktführend ein.

  • Produkt: Führende Unternehmen in dieser Kategorie stellen die Spitzenprodukte im jeweiligen Marktsegment bereit.
  • Markt: Marktführende Unternehmen verfügen über einen großen, globalen Kundenstamm und ein starkes Partnernetzwerk zur Unterstützung ihrer Kunden.
  • Innovation: Führende Unternehmen in diesem Bereich sind Vorreiter neuer Ideen, Geräte oder Methoden in ihrem Marktsegment.
  • Gesamtwertung: Insgesamt führende Unternehmen werden anhand einer Kombination aus der Leistung ihrer Produkte, aus ihrer Marktpräsenz und aus ihren Innovationen identifiziert.

Micro Focus wird im Leadership Compass Access Management and Federation 2016 von KuppingerCole als marktführend in den Kategorien Produkt, Markt und in der Gesamtwertung als Leader eingestuft.

LC_Access_Federation_Overall_Leader

Insbesondere die erneute Spitzen-Position in der Gesamtbewertung sowie die Auszeichnung, dass Micro Focus als erster Anbieter eine vollständige Integration von Federated Services von Anfang an für webbasierte und cloud-basierte Anwendungen ermöglichte, verstehen wir als eine besondere Auszeichnung für unsere Arbeit. Dies ist ein weiterer Beweis dafür, dass Micro Focus  Anforderungen und Entwicklungen des Markts genau versteht, stets neue und  innovative Lösungen bereitstellt, um die Herausforderungen des digitalen Zeitalters zu bewältigen. Über einen standardbasierten Identitätsverbund ermöglicht es Micro Focus  sicher auf Anwendungen bzw. Dienste anderer Unternehmen oder Cloud-basierte Dienste zuzugreifen, ohne dass sich Anwender erneut anmelden müssen. Darüber hinaus entfällt durch den Verbund die Notwendigkeit von redundanten Identitätsspeichern oder Benutzerverwaltungsprozessen.

Weitere Informationen und den vollständigen „Leadership Compass: Access Management and Federation“ 2016 von KuppingerCole finden Sie hier (https://www.netiq.com/de-de/promo/identity-and-access-management/kuppingercole-report-leadershipcompass-access-management-landing.html)

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

Im Rausch der Daten – der Handel setzt zur EM die Big Data Brille auf

Nicht erst mit dem Anpfiff des Eröffnungsspiels ist die Fussball EM 2016 scheinbar allgegenwärtig. Bereits seit Wochen nutzt vor allem auch der Handel und die Konsumgüterindustrie das Sportereignis für seine vielfältigen Werbekampagnen im Internet und buhlt damit um die Aufmerksamkeit der Konsumenten. Das Ziel ist dabei klar: die Begeisterung für den Sport auf die eigene Marke übertragen, dabei möglichst viele Kundendaten sammeln und analysieren und natürlich den Absatz zu steigern. Christoph Stoica nimmt dies im aktuellen Blog zum Anlass, die sich sowohl für Untenrehmen als als für Privatpersonen verändernden Parameter des Datenschutzes näher zu erläutern.

Für Sportliebhaber bietet das Jahr 2016 einige Schmankerln, denn mit der Fußball-Europameisterschaft in Frankreich und den Olympischen Spielen in Rio reihen sich im Sommer in den ohnehin schon mit jährlich wiederkehrenden Sport-Events vollgepackten Kalender zwei TOP-Events ein. Das Super-Sportjahr 2016 freut aber nicht nur Sportsfreunde, sondern vor allem auch Handel und Konsumgüterindustrie. Sie alle buhlen bereits seit Wochen mit ihren Kampagnen im Internet um die Aufmerksamkeit der Konsumenten. Das Ziel ist dabei klar: die Begeisterung für den Sport auf die eigene Marke übertragen, dabei möglichst viele Kundendaten sammeln und analysieren und natürlich den Absatz zu steigern.

Noch vor dem Eröffnungsspiel zwischen Frankreich und Rumänien letztes Wochenende schwappte die Werbewelle über Deutschland hinweg wie nie zuvor. Sei es, ob Schweinsteiger & Co. als joggendes EM-Team werben, die „Fanhansa“ am Himmel kreist oder schmutzige Trikots nach dem Spiel dank Weltmeister-Waschpulver wieder in strahlendem Weiß leuchten – die Begeisterung für „König Fußball“ scheint alle Branchen ergriffen zu haben. Einige werden jetzt sicher sagen, dass gab es doch schon immer, schließlich fand man Lattenkracher-Brötchen, Volltreffer-Brot oder WM-Gulasch auch schon zu Zeiten des deutschen Sommermärchens 2006.

Ausverkauf der Daten – Quo vadis Datenschutz

Doch die Digitalisierung und die zunehmende Nutzung von social media und Online Werbung erschließt den Werbetreibenden ein neues lukratives Feld – das Geschäft mit Daten. So wie die Kinder eifrig Fussball-Bilder sammeln, so häuft die Industrie immer mehr persönlichen Daten an, analysiert das Kaufverhalten und erhält somit detaillierte Einblicke in das alltägliche Konsumverhalten der Menschen. Mittels Sozial-Plugins wie etwas dem „Like-Button“ werden die Wege und das Surfverhalten zahlreicher Facebook-Nutzer und selbst derjenigen, die nicht auf Facebook angemeldet sind, erfasst und geraten somit in die Datenbestände des US-Anbieters. Spuren im Sand verschwinden – die in der digitalen Welt nicht. Traditionelle Datenhändler kooperieren mit digitalen Datensammlern.

shutterstock_373201492

So besitzt beispielsweise der US-Marktführer Acxiom mittlerweile Dossiers von rund 700 Millionen Menschen, die bis zu 3000 Einzelinformationen je Person umfassen. Zu den gespeicherten Eigenschaften gehören Angaben zu deren Bildung, Wohnsituation, Beschäftigung, Finanzen, Interessen und Gesundheit. Mit 44 Millionen Deutschen zählt Acxiom auch bereits mehr als die Hälfte der hiesigen Bevölkerung zu seinem Bestand. Hinzukommt, dass mit dem vermehrten Einsatz von Metadaten dem Konsumenten die Kontrolle zunehmend entgleitet. Diese Datenschnipsel fallen meist durch das Raster der Datenschutzverordnungen, da jede Metainformation für sich genommen keine Auskunft über die Person geben kann. Doch sammelt man diese in großer Zahl, etwa durch Kreditkartennutzung, Standortdaten und Sensoren im Internet der Dinge, und wertet sie aus, so ergibt sich ein einwandfreies Bild über unser Verhalten, unsere Gewohnheiten und Vorlieben.

Die Datenspuren machen uns berechenbar: Versicherer und Banken können dank der Datenanalyse ihre geschäftstypischen Risiken zu Lasten der Kundinnen und Kunden verringern. Wenn Scoring-Anbieter Einschätzungen zur Kreditwürdigkeit auf der Basis von Standortdaten und Social-Media-Profilen auf Facebook, Xing und LinkedIn ermitteln oder Lebensversicherer Modelle erforschen, die mittels des Konsumverhaltens, des Lebensstils und des Einkommens das Risiko vorhersagen, wer an Diabetes, Bluthochdruck oder Depressionen erkrankt und dann höhere Beiträge zahlen muss und Krankenversicherungen mit Gutscheinen oder Rabatten für diejenigen locken, die Informationen über Ernährung, Fitness, Gesundheitsvorsorge und Lebensstil per Smartphone sammeln, dann wird das Recht auf Datenschutz ein teures Privileg. Denn Personen, die sich der „Überwachung“ Entziehen oder bei den digitalen Prämienprogrammen nicht mitmachen wollen, werden bereits durch die dem Unternehmen dadurch fehlenden Profilinformationen zu einem Risiko und müssen mit schlechteren Konditionen rechnen.

Fazit

Dank Big Data sind Unternehmen und Behörden nun in der Lage, steigende Petabytes an persönlichen Daten für Analysezwecke zu speichern, in der Annahme, dass diese Daten irgendwann einmal einen Wert für sie darstellen könnten. Verbunden mit der Fähigkeit aus den von verschiedensten Quellen über einen langen Zeitraum angesammelten Datenschnipseln Trends abzuleiten und sukzessive ein an Details reichhaltiges Bild des Konsumenten aufzubauen, wird schnell klar wo das eigentliche Risiko liegt: die einzelne, mit wem auch immer geteilten Information ist nicht das Problem – es ist die Anhäufung und die Analyse all dieser Informationen die zu einem schleichenden Verlust an Privatsphäre führt. Die Unternehmen müssen verstehen, dass das Sammeln von privaten Daten ihrer Kunden mit der Bürde der Verantwortung einergeht, Datensicherheit und einen verantwortungsvollen Umgang bei der weiteren Verarbeitung zu gewährleisten. Im Streben nach Geschäftszielen muß stets auch das Streben der Gesellschaft und des Gesetzgebers nach digitaler Selbstbestimmung im Auge behalten werden. Die jüngste Datenschutzreform der EU leistet einen erheblichen Beitrag zu einer Vereinheitlichung der gesetzlichen Rahmenbedingungen in Europa – ein großer Schritt zur Vollendung eines digitalen Binnenmarktes. Unternehmen müssen nun ihren Beitrag leisten und Kontrollmechanismen implementieren um den Zugriff auf die Daten ihrer Kunden zu reglementieren, die Verarbeitung dieser Daten zu überwachen und im Falle von Datenmißbrauch effektive Gegenmaßnahmen einzuleiten.

Christoph

 

Christoph Stoica

Regional General Manager DACH

Micro Focus

Die Kunst der Einfachheit ist die Komplexität des Puzzle

Über die gestiegene Akzeptanz von Cloud Services und die damit verbundenen Herausforderungen in Bezug auf das Zugriffsmanagement haben wir im letzten Blogbeitrag bereits berichtet. Im folgenden Beitrag beleuchtet Christoph Stoica weitere Stolpersteine, die bei der Integration von Cloud Diensten in die vorhandene Infrastruktur zu beachten sind, um Business Continuity, Sicherheit und Compliance in heterogenen Umgebungen zu gewährleisten.

Laut IDC werden bis 2018 mindestens die Hälfte der IT-Ausgaben in cloudbasierte Lösungen fließen. Ohne Cloud Services wird zukünftig nichts mehr gehen, denn Cloud bildet sowohl die Basis für neue digitale Produkte als auch Services.  Keine Frage, Cloud Computing ist jetzt auch bei den deutschen mittelständischen Unternehmen angekommen und die Anpassung geht mit großen Schritten voran. Fast jedes Unternehmen nutzt jetzt irgendeine Form von Cloud Services,  allerdings gibt es viele  Herausforderungen im Betrieb dieses Service-Modells.  Für die Unternehmensführung  steht bei der Entscheidung für den Einsatz von Cloud Ressourcen vorrangig  die Erfüllungen von Zielen  wie Flexibilität, Skalierbarkeit und Schnelligkeit im Vordergrund. Eine moderne IT-Infrastruktur ist heute ohne mobile Komponente und ohne Cloud Dienste nicht mehr komplett.  Darüber hinaus punkten Cloud Dienste vor allem damit, dass sie standardisierte Leistungen schneller und zu einem günstigeren Preis anbieten als die Unternehmen selbst dies mit ihrer internen IT können.

Aus Business-Sicht im Zuge von immer knapper werdenden IT Budgets scheint dies ein idealer Schachzug – weg von der Komplexität hin zur Lean-IT.  Doch so verlockend die operativen Vorteile auch sein mögen, eine 100 % Migration in die  Cloud wird es in Realität wohl eher kaum geben. Das liegt unter anderem an den immer noch großen Sicherheits- und Datenschutzbedenken gegenüber Public Cloud Diensten. Cloud-Integration ist daher ein wichtiges Stichwort.  Man kann davon ausgehen, dass in den Unternehmen ein Mix aus verschiedenen Modellen entstehen wird. Neben dem herkömmlichen, lokalen IT-Betrieb (der Legacy IT oder Static IT)  wird es parallel dazu eine dynamische IT in Form von virtualisierten Private Clouds und Public Clouds geben.

CloudPieces

Bei der Konvergenz von herkömmlicher, statischer IT und dynamischer IT geht es nicht nur darum, Best-of-Breed-Lösungen zu finden, sondern auch darum, sie zusammenzufügen. Wie tief soll man integrieren? Wie organisiert man die Datenhaltung, damit nicht an unterschiedlichen Stellen sich widersprechende Informationen gespeichert werden? Wie automatisiert  man das Zugriffsmanagement über die verschiedenen Plattformen hinweg? Neben Herausforderungen wie Integration und Management, wächst für IT-Organisationen  natürlich auch die Angriffsfläche. Der klassische Schutz der IT-Netze und Systeme an den Außengrenzen der Unternehmen erodiert zusehends. Die Integration von hybriden Cloud Architekturen  muss daher gleichzeitig mit einer Evolution der IT-Sicherheitsmaßnahmen auf allen Ebenen Hand in Hand gehen, damit die Verteidiger gegenüber den Angreifern technologisch nicht ins Hintertreffen geraten.  Die Agilität, die man durch Virtualisierung und „Cloudifizierung“ gewinnt, bringt es naturgemäß mit sich, dass ständig und vor allem schnell eine große Zahl von Zugriffsregeln in Dutzenden oder gar Hunderten von Systemen modifiziert werden muss. Um Business Continuity, Sicherheit und Compliance in derart heterogenen Umgebungen wie hybriden Clouds zu gewährleisten, ist die Auswahl der richtigen Werkzeuge essenziell. Manuelle Prozesse können einfach nicht mehr mit der Dynamik dieser hybriden Welten mithalten.

Zum Glück gibt es mittlerweile Lösungen, wie die von Micro Focus, die genau solche Orchestrierungen von Sicherheitsrichtlinien ermöglichen. Sie bieten eine holistische Sicht auf die gesamte heterogene Umgebung und erlauben ein automatisiertes Change-Management von Security Policies – vom Design über die Implementierung bis hin zur Nachverfolgung für die Auditierung.

Christoph

 

 

 

 

 

Christoph Stoica

Regional General Manager DACH

Micro Focus

Alles Wolke 7 oder doch eher Wolkenbruch? – Cloud Computing ist Realität, hybride Lösungen sind die Konsequenz

Cloud Computing rückt 2016 in Fokus vieler deutscher mittelständischer Unternehmen. Verständlich denn, getragen von der digitalen Transformation sorgt Cloud Computing für die Optimierung der Kapitalbasis, indem sich ausgewählte IT-Kosten von einem Investitions- hin zu einem Betriebskostenmodell verlagern. Doch wie sieht es mit Sicherheitsrisiken und der Durchsetzung von Compliance dabei aus? Sind die Daten in der Cloud wirklich sicher und wo liegen sie und wer kontrolliert sie? Christoph Stoica erläutert im neuen Blogbeitrag, welche Aspekte aus der IT-Security Sicht beachtet werden sollten.

Wenn man einen Blick in den aktuellen Cloud Monitor 2015 der Bitkom wirft, dann ist es keine Frage mehr : Cloud Computing ist jetzt auch bei den deutschen mittelständischen Unternehmen angekommen und die Anpassung geht mit großen Schritten voran.  Einer der maßgeblichen Treiber für die gestiegene Akzeptanz der Cloud in Deutschland ist die digitale Transformation.  Auf Basis von neuen Technologien und Applikationen werden Produkte, Services und Prozesse umgestaltet, so dass sich Unternehmen nach und nach zu einer vollständig vernetzten digitalen Organisation wandeln. Wer jetzt denkt, dies alles sei Zukunftsmusik und gehöre nicht auf die Agenda der  TOP-Prioritäten, dem sei gesagt : weit gefehlt!

Schon jetzt bewegen wir uns mit einer Höchstgeschwindigkeit in eine voll vernetzte Welt.  Immer mehr Menschen verfügen über mobile Endgeräte, hinterlassen digitale Spuren in sozialen Netzwerken, tragen Wearables  die  ihre persönlichen Daten – ob freiwillig oder nicht – senden und für Unternehmen verfügbar machen. Maschinen und Gegenstände sind über  Sensoren und SIM-Karten jederzeit digital ansprechbar, was zu veränderten und erweiterten Wertschöpfungsketten führt.  Die Vielzahl der so gesammelten Daten stellt für Unternehmen  einen  wichtigen Rohstoff dar, der, durch geschickte Analytics Tools richtig genutzt, den entscheidenden Wettbewerbsvorteil verschaffen kann. Es stellt sich also nicht die Frage, ob die digitale Transformation erfolgt, sondern vielmehr wie schnell die Unternehmensführung die entsprechende Weichenstellung in der IT-Infrastruktur vornimmt.

Die digitale Transformation erfordert skalierbare Infrastrukturen – sowohl technisch als auch hinsichtlich der internationalen Reichweite. Cloud Dienste, ob public oder private, mit ihren Merkmalen wie Agilität,  Anpassungsfähigkeit, Flexibilität und  Reaktivität sind hierfür bestens dafür geschaffen. Doch wie sieht es mit den Sicherheitsrisiken und der Durchsetzung von Compliance dabei aus? Sind die Daten in der Cloud sicher? Wo genau liegen meine Daten und wer kontrolliert sie? Auch wenn nach dem kürzlich gefallenen Safe Harbor Urteil „Big Player“ wie Amazon Web Services, Profitbricks, Salesforce und Microsoft nun ihre Rechenzentren in Deutschland oder zumindest an einen EU Standort verlagern, löst das immer noch nicht alle Sicherheitsfragen. Reicht ein Zugriffsmanagement basierend auf einer einfachen Authentifizierung mittels Benutzername und Passwort angesichts der größeren Angriffsfläche noch aus?

dataprotection

Benutzernamen und Passwörter lassen sich heutzutage leicht überlisten, das neue Zaubermittel heißt  Multi-Faktor Authentifizierung. Eine  erweiterte Authentifizierungsmethode unter Nutzung zusätzlicher Faktoren ermöglicht  eine schnelle und präzise Identifikation. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen, die verwendete Methode muss zur  Rolle als auch zum Kontext des Benutzers passen und natürlich der Risikoeinstufung der angeforderten Informationen gerecht werden. Nicht jede Interaktion birgt dasselbe Risiko für ein Unternehmen. Einige Interaktionen stellen eine größere Gefahr dar. Bei einer risikobehafteten Interaktion wird eine strengere Authentifizierung benötigt, die beispielsweise durch eine zusätzliche Information (die nur dem Benutzer bekannt ist), die zusätzliche Verifizierung der Identität über getrennte Kanäle – man spricht von Out of Band – oder andere Elemente gewährleistet wird.

Jedoch kann die Verwendung und Verwaltung solcher mehrstufiger Authentifizierungsverfahren kostspielig und unübersichtlich werden. Micro Focus bietet mit Advanced Authentication eine Lösung zur zentralen Verwaltung aller Authentifizierungsverfahren – ob für Ihre Mitarbeiter, Lieferanten oder Geräte.

Christoph

 

 

 

 

Christoph Stoica

Regional General Manager DACH

Micro Focus

Oh wie schön ist Panama …. wenn es doch nur keine Datenlecks gäbe.

Die Enthüllungsgeschichte zu den Geheimgeschäften der Anwaltskanzlei Mossack Fonseca schlägt nicht nur politisch hohe Wellen. Auch die Frage, inwiefern Sicherheitslücken in den IT-Systemen der Kanzlei das Datenleck erst ermöglichten, beschäftigt die Experten. Wie fahrlässig hat die Anwaltskanzlei in Bezug auf das Thema Data Governance seine IT-Systeme konfiguriert? Welche Risiken gehen Unternehmen ein, die ihre unstrukturierten nicht in ihre Data Governance Strategie einbeziehen? Christoph Stoica beantwortet diese Fragen und zeigt Lösugnen auf ….

Schon bei Janosch sagte der Bär zum kleinen Tiger : „In Panama ist alles viel schöner. Panama ist das Land der Träume“ . So wie der Janosch Bär dachten wohl auch viele andere – Politiker, Firmen, Privatpersonen, Prominente & Sportstars – die Liste lässt sich beliebig lang fortsetzen. Sie alle betreiben in Steueroasen Geheimgeschäfte in bislang ungeahntem Ausmaß, was die jüngsten Recherchen der Süddeutschen Zeitung und dem International Consortium for Investigative Journalists (ICIJ)  eindeutig belegen.

Die Unterlagen einer panamaischen Anwaltskanzlei  zeigen, wie sie in Geschäfte mit Offshore-Konstruktionen verstrickt sind. Das Leck umfasst E-Mails, Urkunden, Kontoauszüge, Passkopien und weitere Dokumente zu rund 214.000 Gesellschaften, vor allem in Panama und auf den Britischen Jungferninseln. Die sogenannten Panama Papers zeigen, wie Netzwerke aus Banken, Anwaltsfirmen und anderen Vermittlern zweifelhafte Vermögen in Steueroasen verstecken.

Wie Sicherheitslücken in den IT-Systemen von Mossack Fonseca bei den Panama Papers halfen

Ungeachtet wie die Medien Zugriff auf die Dokumente erhalten haben, sei es durch einen Insider oder durch einen gezielten Angriff auf die Computersysteme, eines bleibt hierbei unbestritten:  die IT – Systeme entsprachen definitiv nicht den der heutigen Zeit angemessenen Sicherheitsstandards. Man kann sogar noch weiter gehen und behaupten, dass das Unternehmen und insbesondere die IT-Abteilung  im Hinblick auf Datenschutz- und Compliance Bestimmungen grob fahrlässig gehandelt hat. Das Magazin Wired berichtet in einer Onlineausgabe, dass  sowohl Frontend als auch Backend-Systeme nicht geupdated wurden und große Sicherheitslücken aufwiesen – so wurde zum Beispiel das Anmeldeportal für den Kundenbereich sowie das Content  Management System seit 2013 nicht mehr aktualisiert, Outlook Web Access befand sich gar auf dem Stand von 2009. Hinzu kommt, dass die Server einfach schlichtweg falsch konfiguriert waren, so dass ein unerlaubter Einblick in Verzeichnislisten problemlos möglich war. Vor diesem Hintergrund klingt das auf der Webseite gegebene Verspechen der Kanzlei, seinen Kunden stets einen  „sicheren Online-Zugang“ zu gewähren, mit dem sie auf „die Informationen ihrer Firma von überall auf der Welt“ zugreifen können, wie ein Farce.

Data Governance für unstrukturierte Daten wird oft unterschätzt

Spannend neben der Frage, welche Sicherheitslücken wirklich von den Angreifern genutzt wurden,  ist vor allem auch die Struktur der geleakten Daten. Für jede Briefkastenfirma hat sich Mossack Fonseca einen Arbeitsordner angelegt, in dem sich E-Mails, Verträge, Abschriften, eingescannte Dokumente und weitere Schriftstücke, die mit der jeweiligen Offshore-Firma in Verbindung stehen, abgelegt wurden. Das Datenleck umfasst über 11,5 Millionen Dokumente, bestehend aus 4,8 Millionen Datenbank-Dateien, 2,1 Millionen PDFs, 1,1 Millionen Bilder, 320.166 Textdateien und 2.242 andere Dateien. Bedenkt man nun, dass Mossack Fonseca seit über 40 Jahren das Geschäft mit den Briefkastenfirmen betreibt, umso klarer ist es, dass  angesichts der unvorstellbaren Datenmenge, wohl niemand in der Kanzlei mehr so genau wusste, welche Daten sich in den jeweiligen Ordnern befinden, wem sie gehören und als wie sensibel sie einzustufen sind. In der IT spricht man in diesem Falle von sogenannten „Dark Data“ oder „unstrukturierten Daten“, da diese nicht in einer Datenbank oder einer anderen speziellen Datenstruktur abgelegt werden.

PanamaData

Leaktivism entwächst den Kinderschuhen

Die Menge an Daten, die auf Dateiservern und NAS-Geräten, in Kollaborationsportalen, Postfächern und Ordnern oder in der Cloud gespeichert werden, nimmt Jahr für Jahr  explosionsartig und unkontrolliert zu. Dies betrifft nicht nur Kanzleien sondern gilt für Unternehmen nahezu aller Branchen. Ob in Personal- oder Rechtsabteilungen, Geschäftsführungs- und Aufsichtsgremien, Forschungs- und Entwicklungsabteilungen oder Betriebsräten – viele Unternehmensbereiche hantieren tagtäglich mit unstrukturierten Daten. Unternehmen, die unstrukturierte Daten nicht in ihre Data Governance Strategie einbeziehen, gehen immer größere Risiken hinsichtlich Sicherheit, Gesetzeskonformität und Compliance ein. Waren die Beweggründe von Edward Snowdon oder der jetzt unbekannten Quelle im Falle der Panama Papers eher die eines Aktivisten, so können diese Schwachstellen jedoch auch früher oder später von der Cybermafia ausgenutzt werden und Firmen könnten somit erpresst werden. Datenschutzlösungen müssen sensible und kritische Daten unabhängig davon, wo sie sich befinden, schützen. Unternehmen benötigen einen allumfassenden Überblick, welche Daten vorhanden sind, wie sie genutzt werden, wer dafür verantwortlich ist und wer darauf zugreifen kann. Nur so können gesetzliche Vorgaben für Datenzugriff, -nutzung und -aufbewahrung eingehalten und vertrauliche Informationen vor unberechtigter Nutzung und Offenlegung geschützt werden. Konzepte zur automatisierten und revisionssicheren Berechtigungsverwaltung müssen endlich auch auf Dateistrukturen ausgeweitet werden. Die Zugriffskontrolle darf sich nicht länger nur auf Unternehmensapplikationen und Datenbanken beschränken – auch in Verzeichnissystemen muss man sich mit der Frage privilegierter Accounts und der Überwachung sensibler Bereiche beschäftigen. Data Governance lässt sich nicht von einem Tag auf den anderen umsetzen, aber Micro Focus hat Lösungen, die Ihnen helfen, die Transparenz zu verbessern, Risiken zu erkennen und Maßnahmen einzuführen die Ihnen die Kontrolle über Ihre Daten zurückgeben und die Compliance verbessern.

Christoph Stoica

Regional General Manager DACH

Micro Focus

Christoph

IT Trends 2016 – Roboter, übernehmen Sie!

In den nächsten 5 Jahren werden mehr als 30 Milliarden Maschinen und Geräte mit dem Internet verbunden sein und über einer vernetzte Infrastruktur mit ihrem Umfeld Daten austauschen und kommunizieren. Hieraus ergeben sich gewaltige Potenziale für eine optimierte und nachhaltige Produktion. Aber was bedeutet das für die IT- Sicherheit. Wenn Sie „alles“ mit einer IP-Adresse versehen, wie behalten Sie dabei den Überblick und die Kontrolle? Christoph Stoica zeigt im folgenden Blog auf, mit welchen Sicherheitsstrategien ein erfolgreicher Weg in die Industrie 4.0 gelingen kann.

Wie jedes Jahr melden sich die führenden Analysten wie Gartner, Forrester, Experton und viele andere zu Wort und stellen ihre IT Trends für das kommende Jahr vor. Worauf muss sich die IT-Branche einstellen,  was sie sind die „newcomer“ Themen und welche fallen von der 10 Punkte Liste herunter? Gibt es einen Megatrend, den alle vorne sehen?  „Vernetzte Welt“, „Internet of Things“, „Production IT“ oder “Industrie.4.0”, sie alle stehen weit oben auf den Top 10 Listen und wir fragen uns, inwieweit diese Trends bereits den IT-Alltag beeinflussen.  In wenigen Jahren wird die Verschmelzung von Office IT und Production IT, in der  von Autos über Industrie-Anlagen bis hin zu Kühlschränken  alles miteinander vernetzt ist, Realität sein, daher müssen wir uns jetzt über passenden Sicherheitsmechanismen für die „vernetzten Dinge“ Gedanken machen. Wenn noch nicht einmal der deutsche Bundestag vor Cyber-Attacken geschützt ist, dann bleibt das Thema Sicherheit die Achillesferse für das Internet of Things.

Was genau macht das Thema Sicherheit in Bezug auf das Internet der Dinge denn so schwierig? Ein Grund dafür ist,  dass es so gewaltige Ausmaße hat.  Wenn Sie „alles“ mit einer IP-Adresse versehen, wie behalten Sie dabei den Überblick und die Kontrolle?

Verbundene Geräte können alles sein, von der Kuh über die Melkanlage, vom Auto bis hin zu medizinischen Geräten, Aufzügen oder Fertigungsroboter und so weiter. Einen einheitlichen Sicherheitsstandard für all diese unterschiedlichen Dinge zu definieren, ist kaum möglich.

Und je mehr Dinge mit- und untereinander vernetzt sind, desto größer ist die Gefahr, das Firmen und individuelle Personen die Kontrolle über Daten verlieren. Wer weiß dann noch genau, wo sich welche Informationen befinden und wer bzw. was auf was Zugriff hat. Die zunehmende Konnektivität von Produkten und Gegenständen bedeutet wohl  eher das Gegenteil von Sicherheit. Je mehr Verbindungen mit dem Netzwerk bestehen,  desto höher ist das Cyber-Angriffspotenzial.

Die Netzwerksicherheit  ist ein wesentlicher Sicherheitsaspekt. Netzwerkverbindungen bei  IoT basieren dabei nicht nur auf WLAN, sondern z.B. auch auf Bluetooth, NFC (Near Field Communication) oder RFID. Die Absicherung der Vernetzung bei IoT muss also zahlreiche verschiedene Verbindungsarten und Schnittstellen berücksichtigen – parallel versteht sich.

German Blog Image 1

Neben den Herausforderungen durch die vielschichtigen Netzwerkverbindungen gibt es weitere Probleme bei der Anwendung klassischer IT-Sicherheit. So sind IoT-Geräte meist Embedded Systems und kommunizieren eher mit anderen Geräten als mit einem Benutzer.

Für die IT-Abteilungen bedeutet das konkret, dass sie ihren Ansatz beim Thema IT-Sicherheit verändern müssen.  Das “Schützen und Verteidigen” alleine reicht nicht mehr aus. Vielmehr müssen moderne Sicherheitskonzepte auch Disziplinen wie “Eindämmen und Kontrollieren“ beinhalten.

Hierbei geht es vor allem darum, den potentiellen Schaden durch IT-Angriffe, vor allem durch zwei Ansätze, möglichst gering zu halten:

  • Ein intelligentes Zugriffsmanagement, welches die Eingrenzung des potenziellen Schadens durch Kontrolle, worauf eine Verbindung Zugriff hat, senkt.
  • Ein leistungsstarkes Sicherheitsmanagement zur Verbesserung der Visibilität von IT-Angriffen, so dass Gegenmaßnahmen effektiv und schnell greifen können bevor es ein Vorfall wird.

Micro Focus bietet bereits heute  IT-Sicherheitslösungen, die sich den Herausforderung durch das Internet of Things stellen und ein wirksames und zukunftsfähiges Sicherheitskonzept für Unternehmen bieten.

Christoph Stoica

Regional General Manager DACH

Micro Focus

Christoph