Security 1st. Welche IT Trends prägen 2017

Christoph Stoica, Regional General Manager bei Micro Focus verrät, welche IT-Trends das kommende Jahr prägen werden

Im Rahmen der #DiscoverMF  Tour 2017, einer gemeinsamen Roadshow  von Micro Focus und Open Horizons, der führenden Interessensgemeinschaft für Micro Focus und SUSE Technologien, hatte Macro Mikulits als Mitglied des Open Horizons Core Teams die Möglichkeit mit Christoph Stoica, Regional General Manager von Micro über die  IT-Trends 2017 zu sprechen. Aus Sicht von Christoph Stoica sollte das Thema „ IT Sicherheit“ auch im neuen Jahr  eine zentrale  Rolle für Unternehmen  im Hinblick auf die Bewertung Ihrer IT-Strategie spielen.

Rückblickend war das Jahr 2016 geprägt von vielen, teils spektakulären Cyber-Attacken. Welche „Cyber-Bedrohungen gefährden die Netzwerke der Unternehmen Ihrer Meinung nach derzeit am meisten?

Christoph Stoica:
Die Lage der IT-Sicherheit ist angesichts immer größerer Rekord-Diebstähle von Kundendaten insgesamt sehr angespannt. Unberechtigter Zugriff resultierend aus Identitätsdiebstählen ist – neben der Verbreitung von Schadcode – nach wie vor die häufigste Ursache für sicherheitsrelevante Vorfälle in Unternehmen. Viele Angriffe konzentrieren sich zuerst auf den Diebstahl von Kennwörtern und Zugangsdaten aus dem Privatbereich – wie soziale Netzwerke, E-Mail Konten, Einkaufsportale – um sich im zweiten Schritt die Anmeldeinformation für das Unternehmensnetzwerk zu verschaffen. Professionelle Cyberkriminelle versuchen sich bei ihren Angriffen vor allem vertikal durch die Ebenen zu bewegen, um ihre Berechtigungen auszuweiten, eine Schwachstelle auszunutzen oder Zugriff auf Daten bzw. Anwendungen zu erhalten. Auch die digitale Erpressung durch gezielte Ransomware-Angriffe, wird zunehmend zu einer Bedrohung für Unternehmen und die Gesellschaft, wie die Beispiele der Cyber-Attacken auf mehrere deutsche Krankenhäuser Anfang 2016 zeigen. Infektionen mit Ransomware führen unmittelbar zu Schäden bei den betroffenen Unternehmen, was das betriebswirtschaftliche Risiko zusätzlich erhöht. Die Digitalisierung und Vernetzung sogenannter intelligenter Dinge (IoT) spielt dem Konzept der Ransomware zusätzlich in die Karten.


Wagen wir mal einen Ausblick  auf das, was uns dieses Jahr erwarten wird. Mit welchen „Cyber-Crime“-Trends müssen wir 2017 rechnen?

Christoph Stoica:
Die Themen Identitätsdiebstahl und Ransomware werden auch in 2017 weiterhin eine ernsthafte Bedrohung bleiben. Gerade bei Ransomware sind die monetären Gewinne für die Cyber-Kriminellen sehr hoch und da die Forderung nicht auf herkömmliche Währungen setzt, sondern die auf einer Blockchain basierten Cyberwährung „Bitcoins“ nutzt, ist auch das Entdeckungsrisiko für die Täter sehr gering.
Das Internet der Dinge wird in 2017 eine massive Ausweitung erfahren – insbesondere getrieben durch IoT-Lösungen im Konsumergeschäft, aber auch durch industrielle Anwendungsszenarien wie Gebäudeautomatisierung. Dadurch wird sich die tatsächliche Bedrohung weiterhin erheblich steigern. Sobald intelligente Maschinen und Geräte in Netzwerke eingebunden sind und direkte Machine-to-Machine Kommunikation immer mehr Anwendung findet in Bereichen wie Bezahlsystemen, Flottenmanagement, Gebäudetechnik oder ganz allgemein im Internet der Dinge, muss auch die Frage nach der Cybersicherheit gestellt werden.  Auf den ersten Blick denkt man vielleicht, dass von solchen „smart Things“ keine ernsthafte Bedrohung ausgeht und Schadprogramme nur lokal Auswirkung haben. Doch hat ein Schadprogramm erst einmal ein „smart Thing“ infiziert und somit die erste Hürde der peripheren Sicherheitsmaßnahmen hinter sich gelassen, können von dort weitere vernetzte Systeme identifiziert und infiziert werden. Selbst wenn es zukünftig gelingt, für die in Prozessor- und Storage-Kapazität limitierten IoT-Geräten eine automatische Installation von Updates bereitzustellen, um akute Sicherheitslücken zu stopfen, kann dies aber gleichzeitig auch zu einer Falle werden. Denn für das Einspielen solcher Updates muß das System auf das Internet zugreifen – ein Angreifer könnte sich als Updateserver ausgeben und auf diesem Weg einen Trojaner installieren.


Traditionell bietet sich der Jahreswechsel an,  gute Vorsätze für das Neue Jahr zu fassen. Aus Sicht eines Security Software Herstellers, welche 3 Security Aufgaben würden Sie Kunden empfehlen auf die „Liste der guten Vorsätze“ zu setzen, um Gefahren möglichst effektiv abzuwehren?

Christoph Stoica: Mit den guten Vorsätzen zum Jahresbeginn ist das immer so eine Sache… üblicherweise fallen diese meist recht schnell alten Gewohnheiten zum Opfer und damit sind wir direkt beim Thema „Passwortsicherheit“.

„Das Passwort sollte dynamisch werden.“

Obwohl man sich durchaus der Gefahr bewusst ist, werden vielerorts immer noch zu einfache Passwörter verwendet, ein und dasselbe Passwort für mehrere Accounts genutzt, das Passwort nicht regelmäßig gewechselt, Account-Daten notiert und so weiter und so weiter. Passwörter und Zugangsdaten sind nach wie vor das schwächste Glied der Kette. Dreiviertel aller Cyber-Attacken auf Unternehmen sind laut einer neuen Deloitte Studie auf gestohlene oder schwache Passwörter zurückzuführen. Starke Authentifizierungsverfahren hingegen können unerwünschte Zugriffe bereits an der Eingangstür verhindern und bieten wirksamen Schutz gegen Identitätsdiebstahl. Risikobasierte Zugriffskontrollen berücksichtigen eine Vielzahl von Faktoren um für jedes System und jeden Zugriff das angemessene Sicherheitsniveau zu erreichen – so erhält das Herzstück des Unternehmens den größtmöglichen Schutz, während der Zugriff auf weniger kritische Komponenten nicht durch unangemessene Sicherheitsmaßnahmen eingeschränkt wird.

„Bereiten Sie dem Wildwuchs bei den Verzeichnisdiensten und im Berechtigungsmanagement ein Ende.“

Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind unzulässige Berechtigungen oder verwaiste Konten. Gerade in einer Zeit, in der kompromittierte privilegierte Benutzerkonten das Einfallstor für Datensabotage oder -diebstahl sind, müssen Unternehmen dafür sorgen, diese Angriffsflächen zu reduzieren, Angriffe rechtzeitig zu erkennen und umgehend Gegenmaßnahmen einzuleiten. Hierfür werden intelligente Analysewerkzeuge benötigt, auf deren Basis die richtigen Entscheidungen getroffen werden können. Bei den Maßnahmen zur Prävention sollten Unternehmen daher Ihren Blick auf die Vereinfachung und Automatisierung von sogenannten Zugriffszertifizierungsprozessen richten, um Identity Governance Initiativen im Unternehmen zu etablieren.

„Verkürzen Sie die Reaktionszeit auf Sicherheitsvorfälle.“

Entscheidend für eine bessere und effektivere Abwehr von Bedrohungen und Datenmissbrauch ist die Verkürzung von Reaktionszeiten nach Sicherheitsvorfällen. Doch festzustellen, welche Aktivitäten echte oder potenzielle Bedrohungen darstellen und näher untersucht werden müssen, ist äußerst schwierig. Zur schnellen Erkennung von Bedrohungen, noch bevor sie Schaden anrichten, benötigt man Echtzeitinformationen und Analysen der aktuell auftretenden Sicherheitsereignisse. SIEM-Lösungen ermöglichen eine umfassende Auswertung von Sicherheitsinformationen und können durch Korrelation auch automatisiert Gegenmaßnahmen einleiten. Doch in vielen Fällen bieten bereits deutlich einfachere Change Monitoring Lösungen eine spürbare Verbesserung der Reaktionszeiten auf Sicherheitsvorfälle.
Über Open Horizons :
Open Horizons ist die größte und führende Interessengemeinschaft
für Micro Focus & SUSE Software Technologien.

Als Bindeglied zwischen Hersteller, Anwender und Kunde ist es unser Ziel, die Zusammenarbeit stetig zu verbessern. Denn je größer der Nutzen ist, den Unternehmen und Mitarbeiter aus den von Ihnen eingesetzten Micro Focus und SUSE Software-Lösungen ziehen, desto besser können Sie aktuellen IT-Herausforderungen entgegnen. Deshalb bilden Erfahrung- und Wissensaustausch die Eckpfeiler der Open Horizons Community Philosophie.  Diesem Kerngedanken folgend wurde die Open Horizons Community im Jahre 2004 gegründet. Die Projekte umfassen die Veröffentlichung des Open Horizons Mitglieder-Magazins, die Durchführung von User & Admin-Trainings, das Betreiben des Mailservers GW@home sowie die Organisation verschiedener, hochwertiger Events wie z.B.  Open Horizons Summit und Roadshows wie der YES Tour 2015 oder der #DiscoverMF Tour 2016/2017.
www.open-horizons.de

Süßer die Online Kassen nie klingeln. Wie digital ist das Fest der Liebe?

Süßer die Online-Kassen nie klingeln – so lautet das diesjährige Motto des Onlinehandel-Weihnachtsgeschäfts. Nahezu jeder zweite Deutsche beabsichtigt alle seine Geschenke für das Fest online zu kaufen. Doch wie gut sind die Online-Händler auf das digitale Weihnachten vorbereitet? Systemabstürze und nicht verfügbare Webseiten führender Online-Handelsplattformen in der Schweiz am Black Friday zeigen, wie schnell der Online-Kaufhype zum Bommerang werden kann und warum Last- und Perfomancetests so wichtig sind.

Die Adventszeit beginnt, Weihnachten steht kurz vor der Tür. Während die einen sich auf Duftwolken von Glühwein, Zimt und Anis freuen, die von Weihnachtsmärkten durch die Straßen ziehen, fiebern die anderen dem Black Friday, der Cyber Monday Week oder ganz einfach dem digitalen 24/7 Shoppingangebot im Netz entgegen. Dass die Digitalisierung auch vor dem traditionellen Weihnachtsfest nicht Halt macht, ist klar: Viele Bräuche wandern ins Netz ab  –  wurden früher noch voller Enthusiasmus Bilder von Spielen, Puppen, Büchern und Klamotten mühselig aus Katalogen ausgeschnitten, auf einen Din-A-4-Zettel geklebt, beschriftet, umrandet und dann als formvollendete künstlerische Meisterleistung auf die Fensterbank gelegt,  so versenden die digital Natives heute ihren Wunschzettel samt Emoijs via Facebook, WhatsApp & Co über das Netz. Sehr zur Freude des Onlinehandels, denn die voranschreitende Digitalisierung und die zunehmende Nutzung von social media erschließt den Werbetreibenden ein neues lukratives Feld – man erhält detaillierte Einblicke in das alltägliche Konsumverhalten der Menschen und somit die Möglichkeit, genau auf die Bedürfnisse und Vorlieben des Einzelnen Werbung zu platzieren.

BlackMon2

Süßer die Online Kassen nie klingeln …..oder auch nicht?

Einer aktuellen, repräsentativen Studie von Adobe zur Folge, boomt das Online-Geschäft gerade zur Weihnachtszeit. Im Vergleich zum Vorjahr wird der Umsatz, so die Studie, nochmals um 10 % gesteigert und aller Voraussicht nach auf 23 Milliarden anwachsen.  Angesichts dieser rosigen Umsatzprognosen verwundert es kaum, dass rund 43 % aller Deutschen ihre diesjährigen Weihnachtseinkäufe ausschließlich online tätigen wollen. Als Gründe für die wachsende Begeisterung für das Online Shoppen nannten die 4.000 Befragten vor allem, dass das Einkaufen über das Smartphone wesentlich einfacher geworden sei und sich die Mobile Optimierung der Shops  stark verbessert habe. Viele Händler nutzen deswegen hierzulande, auch aufgrund des wachsenden Bedürfnisses der Kunden, Einkäufe online tätigen zu wollen, Trends wie die aus Amerika bekannten Online Schnäppchen Kampagnen Black Friday oder Cyber Monday Week. Alleine für das Wochenende rund um den sogenannten „Black Friday“ schätzt Adobe das Umsatzpotenzial auf 549 Millionen. Doch der Hype um die Rabattschlachten im Netz birgt für die Händler auch Risiken.  So brachen führende Schweizer Online-Portale unter dem Ansturm der Shopper zusammen und scheiterten grandios im Stress-Test von «Black Friday». Statt erhoffter klingelnder Online Kassen läuteten die Alarmglocken, denn neben Umsatzeinbußen bedeuten solche Störungen auch immer einen Imageverlust – schließlich hat man für die Onlineaktion ja kräftig die Werbetrommel gerührt.  Unternehmen müssen hochperformante Websites bereitstellen, die auch Spitzenlasten problemlos bewältigen können. Deshalb sind Last- und Performance Tests nicht optional, sondern geschäftskritisch und lohnenswert. Für ein reibungsloses Funktionieren eines Programms oder einer Online-Shopping Plattform müssen die einzelnen Komponenten optimal aufeinander abgestimmt sein. Heutzutage müssen Apps und Websites – ganz egal in welcher Branche ein Unternehmen tätig ist – auf jeder Plattform bzw. auf jedem Gerät und unabhängig vom Standort zuverlässig funktionieren und dabei ein ausgezeichnetes Benutzererlebnis bieten. Inkonsistente Benutzererfahrungen und langsame Reaktionszeiten werden von Kunden kaum noch toleriert und führen im Falle des Onlineshoppings zu Kaufabbrüchen.

BlackMon1

5 Tipps zur Beseitigung potenzieller Performance-Engpässe:

1. Frühzeitiges und häufiges Testen

Keinesfalls sollten Performance-Tests bei Applikationen erst vor ihrer Übernahme in den Produktivbetrieb durchgeführt werden, sondern in jeder Entwicklungsstufe und für alle Architekturebenen. Für Applikationen mit einer Drei-Schichten-Architektur bedeutet das zum Beispiel, dass Lasttests für die Präsentations-, Logik- und Datenhaltungsschicht in jeder Phase ihrer Lebenszyklen vorzusehen sind. Durch frühzeitige Tests können Fehler und Architekturprobleme schneller erkannt und damit auch der Kostenaufwand reduziert werden, da es bis zu 100-fach höhere Kosten verursacht, wenn Fehler erst am Ende des Softwareentwicklungsprozesses und nicht bereits zu Beginn beseitigt werden.

2. Ermittlung der maximalen Spitzenlast

Ein Unternehmen sollte auf jeden Fall wissen, für welchen maximalen Traffic die eigene Website ausgelegt ist. Unkenntnis kann hier desaströse Folgen für das eigene Geschäft nach sich ziehen. Viele Unternehmen vertreten allerdings die Auffassung, dass dies nur durch den kostenintensiven Aufbau einer Testumgebung zu ermitteln ist. Es gibt jedoch auch alternative Optionen wie Cloud-basierte Infrastrukturen für Lasttests, über die reale Szenarios simuliert werden können – zum Beispiel mit Tausenden von Usern. Verfügbar sind hier heute Pay-as-you-go-Versionen, mit denen eine Simulation von Spitzenlasten schnell und kosteneffizient erfolgen kann.

3. Durchführung von plattform- und geräteübergreifenden Tests

Anwender nutzen heute eine große Vielfalt unterschiedlicher Geräte und Plattformen für den Zugriff auf Websites. Deshalb ist es unerlässlich, dass sie problemlos auf einem Smartphone, Tablet oder Desktop-PC dargestellt werden können. Folglich müssen Unternehmen auch Performance-Tests für mobile Web- und mobile native Applikationen für Android, iOS, und Windows Phone durchführen. Ebenfalls zu berücksichtigen sind Bandbreitentests im Hinblick auf unterschiedliche Mobilfunkverbindungen über GPRS, 3G oder 4G.

4. Analyse der Fehler-Ursachen

Es ist keineswegs ausreichend, Performance-Probleme zu erkennen, viel wichtiger noch sind Root-Cause-Analysen. Als Teil einer Testing-Gesamtlösung ermöglichen Diagnosetools eine effiziente Lokalisierung der Ursachen von Performance-Problemen – auch unter Spitzenlasten –, und damit eine deutlich schnellere Fehlerbehebung.

5. Unmittelbare Alarmierung

Reguläre Performance-Tests helfen zwar, potenzielle Spitzenlast-Engpässe zu beseitigen, ebenso wichtig ist es aber, unmittelbar über etwaige Probleme informiert zu werden. Deshalb sollte ein Online-Händler auf jeden Fall auch ein Website-Monitoring-Tool mit Alarmierungsfunktion nutzen, das zudem tägliche Updates und Reports bietet, auf deren Basis auch potenzielle Schwachstellen beseitigt werden können.

Fazit : Auch wenn das Weihnachtsgeschäft bereits im vollem Gange ist – für Veränderung und Optimierung ist es nie zu spät, denn auch im kommenden Jahr gibt es nicht nur wieder einen neuen „Black Friday“ oder andere Online-Kampagnen, die gut vorbereitet sein sollten.  Mit Performance Tests, automatisierten funktionalen Tests sowie Lösungen im Bereich des Zugriffsmanagement und erweiterter Authentifizierungsmethoden bietet Micro Focus nicht nur Online-Händlern wichtige Unterstützung.

Gregor Rechberger

Gregor-Rechberger

Gregor Rechberger is the Product Manager for performance testing and application monitoring which includes load-testing and application performance monitoring products. Since joining Segue/Borland in 2002 he has held documentation, program, and product management positions and has over 10 years of experience in the testing discipline.

Die Digitalisierung macht uns verwundbar – brauchen wir ein digitales Immunsystem?

Vom weltweiten Angriff auf DSL-Router am letzten November-Wochenende waren auch Hundertausende deutsche Internetnutzer betroffen. Die Angreifer gelangen über eine Sicherheitslücke der Wartungsprotolle TR-069 und TR-064 auf die Router der Telekom-Kunden. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) sprach von einem „globalen Hacker-Angriff“, bei dem die Telekom nur eins von vielen Ziele gewesen sei. Und wenn auch mittlerweile die Telekom-Router immun sind gegen diese Angriff, so zeigt Vorfall, wie wehrlos Unternehmen und Institutionen noch immer gegen Angriffe aus dem Netz sind. Lesen Sie im Blog, welche aufeinander abgestimmten Maßnahmen notwendig sind, für die Erkennung und Abwehr solcher Cyberangriffe.

Die Lage bleibt angespannt – eine solche Äußerung bedeutet nie etwas Gutes und schon gar nicht, wenn offizielle Stellen der Regierung sie verlauten lassen. Politiker und Sicherheitsexperten benutzen eine solche Ausdrucksweise oft im Zusammenhang abstrakter Gefahren, um die Bevölkerung auf wachsende und sich verändernde Bedrohungen hinzuweisen. Anfang November benutzte das Bundesamtes für Sicherheit  und Informationstechnik (BSI) genau diese Formulierung zur Beurteilung der IT-Sicherheitslage in Deutschland für das laufende Jahr. Die Formulierung, die wie ein mahnender Zeigefinger wirkt, diente dabei vor allem dazu, potenzielle Gefahren nicht naiv zu unterschätzen und entsprechende Vorsorgemaßnahmen präventiv zu treffen sowie das Sicherheitsbewusstsein eines jeden Einzelnen zu sensibilisieren und zu schärfen. Denn gerade in der heutigen Zeit, in der das abstrakte Gefährdungslagebild professionell motivierter Cyber-Kriminalität bedenklich ist, weiß man, dass aufgrund der unterschiedlichsten Methodik solcher Cyber-Angriffe, die Angreifer nur schwer aufzuspüren und ihre Taten kaum zu verhindern sind. Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland zeigt, dass in 2016 insgesamt eine zunehmende Professionalisierung der Angreifer und ihrer Angriffsmethoden festgestellt wurde und die Gefährdungslage angespannt bleibt. So ist die Zahl bekannter Schadprogrammvarianten dieses Jahr weiter gestiegen und lag im August 2016 bei mehr als 560 Millionen. Gleichzeitig verlieren klassische bisherige Abwehrmaßnahmen weiter an Wirksamkeit, weil die Schädlinge oft durch die – meist unbeabsichtigte und unbewußte – Mitwirkung von Insidern in die Netzwerke gelangen und somit klassische Schutzmaßnahmen wie Firewalls umgangen werden. Weiterhin wurde für 2016 eine deutliche Zunahme an Sicherheitslücken und Schwachstellen in Soft- und Hardware gegenüber dem Vorjahr konstatiert. Besonders betroffen waren dabei Betriebssysteme wie Apples macOS oder Microsoft Windows 7 aber auch Softwareprodukte wie  Adobe Reader, Adobe Flash sowie Webbrowser. Eine besorgniserregende Entwicklung, denn gerade Schwachstellen in Hard- und Software bieten ein leichtes Einfallstor in Unternehmensnetze und können von Angreifern leicht ausgenutzt werden.

CyberThreats

Auch die Bedrohung durch sogenannte „Ransomware“ hat sich deutlich verschärft – Krankenhäuser, Unternehmen aber auch Behörden sind von diesen Angriffen betroffen, bei denen informations-technische  Systeme lahmgelegt werden um „Lösegeld“ zu erpressen. Zu den häufigsten Infektionsvektoren für Ransomware gehören Distributed-Denial-of-Service-Angriffe (DDoS) oder Drive-by-Exploits. Sogenannte DDoS-Angriffe sind im Grunde nichts Neues, sie basieren auf einem relativ simplen Prinzip, dass massenhaft sinnlose Anfragen an Server geschickt werden, so daß dieser überlastet und legitime Anfragen nicht annehmen kann. Angreifer benutzen für diese Angriffe in den seltensten Fällen ihre eigene Infrastruktur, sondern vielmehr gehackte Computer und IoT, die zu Botnetzen zusammengefasst werden. Offene Telnet-Ports ohne Authentifizierung, Standard-Nutzernamen, banalste Sicherheitslücken und vor allem keine Security-Updates lassen IoT zur leichten Beute für Cyberkriminelle werden. Die meisten IoT-Geräte sind in Prozessor- und Storage-Kapazität limitiert – derzeitige Security-Modelle, wie  automatische Installation von Updates, das Einspielen von Security-Patches, das Installieren und Aktualisieren von Antiviren-Software und die Konfiguration von Host-basierten Firewalls, lassen sich daher nicht einfach 1:1 umsetzen. Ausnutzbar werden diese Schwachstellen, weil die fortschreitende Digitalisierung zu einer Vielzahl komplexer Kommunikationsverbindungen geführt hat. Die Schutzmechanismen vernetzter Systeme müssen also darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf eine einzelne, verwundbare Komponente nicht sofort Auswirkungen auf das gesamte System hat.

Doch auch wenn Realität und Anspruch in Bezug auf Sicherheit und Datenschutz vielleicht momentan oft noch diametral auseinandergehen, muss die Entwicklung von künstlicher Intelligenz und Verschmelzung von IT und Industrie weiter vorangetrieben werden – zu groß sind die sich hieraus bietenden wirtschaftlichen und gesellschaftlichen Potenziale. Die Digitalisierung ist eine Schlüsselinnovation, die alle Wirtschaftsbereiche verändert. Wir können uns vor ihr weder abschotten noch sie abwählen. Gerade der starke und innovative deutsche Mittelstand mit zahlreichen Weltmarktführern muss die Entwicklung neuer digitaler Geschäftsmodelle und –prozesse vorantreiben, andere Denkansätze verfolgen um Innovationen zu schaffen – selbst wenn die hundertprozentige und absolute Sicherheit nicht gewährleistet werden kann. Wenn wir heute auf die Erfolgsgeschichte des Automobils zurückblicken, so war auch dies – wie heute die Digitalisierung oder Industrie 4.0 – ein disruptive Technologie, die im Frühstadium längst nicht über die für uns heute selbstverständlichen Sicherheitsstandards verfügte. Die ersten Autos hatten kein Dach, geschweige denn einen Sicherheitsgurt oder sonst irgendwelche Vorrichtungen wie ABS, Airbags oder Bremsassistenten, um den Fahrer zu schützen. Doch auch wenn all diese Features heute Standards in Autos sind – absolute Sicherheit kann der Automobilhersteller nicht garantieren. Sicherheit kann deshalb nur relative Sicherheit bedeuten. Die Automobilindustrie hat es verstanden, das  Paradigma  „relativer“ Sicherheit mit einem sehr hohen Sicherheitsgrad  als  nachprüfbare  Produkteigenschaft (TÜV)  zu  etablieren.

Analog hierzu wird der Informationssicherheit im Zuge der Digitalisierung und der damit einhergehenden Verwundbarkeit von Systemen eine Schlüsselrolle  zuteil. Umfassende Sicherheitskonzepte können hierbei wie eine Art Immunsystem durch Prävention, Detektion und Reaktion die Gefahrenpotenziale von Cyberangriffen abmildern.  Hierfür sind neben gestaffelten und aufeinander abgestimmten Maßnahmen , auch die Einschätzung der Gefahrenlage sowie die Entwicklung neuer Strategien für die Erkennung und Abwehr von Cyberangriffen notwendig.

Prävention schützt

So wie ein intaktes Immunsystem beim Menschen bösartige Zellen erkennt und an einer Ausbreitung hindert, verhindern starke Authentifizierungsverfahren unerwünschte Zugriffe bereits an der Eingangstür und bieten wirksamen Schutz gegen Identitätsdiebstahl. Risikobasierte Zugriffskontrollen berücksichtigen eine Vielzahl von Faktoren um für jedes System und jeden Zugriff das angemessene Sicherheitsniveau zu erreichen – so erhält das Herzstück des Unternehmens den größtmöglichen Schutz, während der Zugriff auf weniger kritische Komponenten nicht durch unangemessene Sicherheitsmaßnahmen eingeschränkt wird.

Detektion – Risiken systematisch und in Echtzeit aufspüren

Auch trotz bester Vorsorge, kann es dennoch passieren, dass man sich mit Viren und Schädlingen infiziert. Aufgabe des Immunsystems ist es dann, schnellstmöglich Angriffe und Veränderungen zu entdecken und Gegenmaßnahmen einzuleiten. Ähnlich verhält es sich, sobald Malware in Systeme eingedrungen ist. Entscheidend wird sein, wie schnell ein Unternehmen den Angriff entdeckt und ob man in der Lage ist, adäquat drauf zu reagieren. Durch Einsatz von Security Information & Event Management-Technologien (SIEM) wird eine Grundkonfiguration für die normalen Aktivitätsmuster in der IT-Umgebung definiert. Auf diese Weise können Auffälligkeiten anhand einer Echtzeit-Sicherheitsanalyse identifiziert werden, ohne genau zu wissen, wonach eigentlich gesucht wird. Change Monitoring Systeme stellen eine sinnvolle Ergänzung zu SIEM-Lösungen dar – sie bieten eine permanente Überwachung geschäftskritischer Dateien und Systeme und liefern bei unbefugten Änderungen aussagekräftige Alarmmeldungen. Dies ermöglicht kurze Reaktionszeiten und reduziert somit das Risiko eines folgenschweren Datenmissbrauchs erheblich.

Reaktion bedeutet Sicherheitssysteme schnell & dynamisch anzupassen

Sicherheit erfordert aber nicht nur eine schnelle Reaktion im Angriffsfall, sondern auch eine schnelle Anpassung der Sicherheitsarchitektur an Veränderungen. Agile Software-Entwicklung, automatisiertes Release Management, standardisierte Cloud-Services – viele Trends wirken als Katalysator für immer kürzere Innovationszyklen. Das „Immunsystem“ der IT muß sich ebenso schnell anpassen – integriert, automatisiert, intelligent und dynamisch sind daher zentrale Attribute einer modernen Sicherheitsarchitektur.

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

Passwortkrieg – Wer kämpft eigentlich gegen wen?

Das Jahr 2016 brachte spektakuläre Datendiebstähle unfassbarer Dimension ans Tageslicht – Dropbox, Yahoo aber auch staatliche Institution wie RUAG wurden u.a. Opfer der sich immer stärker ausbreitenden professionellen Cyberangriffe. Hinzukommt eine wachsende Unzufriedenheit der Mitarbeiter bezüglich der Zugriffsbereitstellung, was zu einem Wildwuchs bei Zugriffsrechten führt. Im Blog erfahren Sie, wie man diesem Dilemma entkommen kann.

Im Jahr 2016 hat das Thema Datenklau hat eine bislang noch nie da gewesene Dimension erreicht. Datendiebstähle werden zum Alltag, Ransomware zur Norm und wenn ein Onlineportal Millionen Zugangsdaten verliert, überrascht das auch niemanden mehr. 68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000 gestohlene Kundenzugangsdaten bei der deutschen Telekom und der jüngste  Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy –  die Liste lässt sich beliebig weiter fortsetzen. Zwischen all diesen Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren. Auffällig ist, dass die erwähnten Datendiebstähle allesamt auf Netzwerkangriffe zurückgehen, die bereits vor 4, beziehungsweise im Falle von Yahoo, vor 2  Jahren erfolgten und die Unternehmen seinerzeit die Auswirkungen dieser initialen Angriffe in der Öffentlichkeit eher herunterspielten. Heute zeigt sich mit dem Auftauchen der seinerzeit beim Angriff erbeuteten eMail Adressen und Passwörter im erst das wahre Ausmaß des Schadens.

Ursächlich für die massiven Fälle des Datendiebstahls waren in den genannten Fällen jeweils geknackte Passwörter privater LinkedIn Accounts. Und trotz steigender Bedrohungslage, gibt es immer noch genügend Mitarbeiter, die allem Anschein zur Folge naiv genug sind und das gleiche, privat genutzte  Passwort auch beruflich  verwenden und somit den Hackern Zugang  zu Unternehmensnetzwerken ermöglichen.  Erstaunlich ist auch, dass sich die öffentliche Empörung der jetzt ans Licht gekommenen, unvorstellbar großen Datendiebstähle  sehr in Grenzen hielt, denn entsprechende Schlagzeilen füllten gerade mal einen Tag lang die Gazetten. Anscheinend zählt der Verlust vertraulicher Daten und Passwörter, bei dem Unzählige schon ihr digitales Leben verloren – zum Glück nur das digitale – schon zur Tagesordnung. Doch nicht nur Unternehmen sind Opfer wachsender Cyberkriminalität, auch staatliche Institutionen geraten zunehmend  ins Visier der Hacker. Der staatseigene Schweizer Rüstungsbetrieb RUAG  und das Schweizer Verteidigungsministerium sind zum Ziel von Hackern geworden und zumindest einer dieser Angriffe war erfolgreich. Laut dem Bericht der Melde- und Analysestelle Informationssicherung (Melani) konnte der Hackerangriff auf das Schweizer Verteidigungsministerium Anfang 2016 noch rechtzeitig entdeckt werden. Der Angriff auf RUAG, begann im Dezember 2014 begann und blieb über ein Jahr lang unentdeckt. Mithilfe eines Schadprogramms gelang es den Angreifern, durch Watering-Hole-Angriffe über präparierte Webseiten eine Erstinfektion zu erreichen. Dies führte dazu, dass die Angreifer eine Schwachstelle im Browser eines Mitarbeiters ausnutzen und Schadsoftware installieren konnten. Im Nachgang kam es auf dem infizierten System zu einer Erweiterung der Benutzerprivilegien und über mehrere Stufen schließlich zur vollständigen Kontrolle über das Active Directory im Unternehmensnetz. Damit erlangten die Angreifer höchstmögliche Benutzerrechte.

Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) beklagt jeden Tag mehr als 20 hochspezialisierte Angriffe auf das Regierungsnetz – eine alarmierende Zahl.  Dort spricht man bereits von elektronischem Flächen-Bombardement, Streuverlusten und von Spezialeinheiten zur Bekämpfung  und bedient sich dabei des Vokabulars, welches man eigentlich nur aus dem Verteidigungsministerium kennt.  Der Feind lauert überall und sieht es bei seinen Beutezügen vor allem auf eines ab:

Er sucht die größte Schwachstelle, die ihm ein Eindringen in Unternehmensnetzwerke möglichst unbemerkt erlaubt. Passwörter und Zugangsdaten scheinen dabei das schwächste Glied der Kette zu sein, denn dreiviertel aller Cyberattacken auf Unternehmen sind laut einer neuen Deloitte Studie auf gestohlene oder schwache Passwörter zurückzuführen.

Doch neben dem Kampf gegen immer ausgetüftelterer Cyberattacken und professionelle Hacker  sieht sich die IT-Abteilung noch einer zweiten Front im Passwortkrieg gegenüber – der Front der unzufriedenen Mitarbeiter im eigenen Unternehmen. Denn als Reaktion auf die wachsende Cyberkriminalität mit immer subtileren Angriffsmethoden werden gleichzeitig auch immer restriktivere Maßnahmen bei der Passwortvergabe eingeführt. Keine Namen oder einfache Worte, sondern Zahlen, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen sind zu verwenden, mindestens 10 Stellen sollten es sein und möglichst nach 14 Tagen zu erneuern und auf gar keinen Fall ein und das gleiche Passwort für alles zu benutzen  – um hier nur einige der häufigsten Regeln für die Passwortvergabe zu nennen. Schon heute besitzt ein User durchschnittlich 13 Passwörter und greift auf 6 – 10 Applikationen und Webseiten mit Logins pro Tag zu. Glaubt man der Studie von Deloitte wird sich die Zahl der Online Accounts pro Nutzer auf 200 bis zum Jahre 2020 erhöhen. Kein Mensch kann sich mehr all die benötigten verschiedenen und komplizierten Passwörter merken, was unweigerlich zur Folge hat, dass Haftnotizen als Gedankenstützen an Displays kleben oder oftmals das gleiche, meist einfache Passwort für mehrere Logins verwendet wird. Zudem führen diese Passwort-Policies in Unternehmen zunehmend auch zu Frust bei den Angestellten. So stellte das Ponemon-Institut in der jüngst veröffentlichen Umfrage für Identity Governance & Access Management fest, dass bei 38 % der befragten Unternehmen, Mitarbeiter über den aktuellen Prozess für die Zugriffsverwaltung verärgert sind. Und selbst wenn die Benutzer allen strikten Vorgaben bei der Passworterstellung folgen würden und tatsächlich starke und unterschiedliche Passwörter benutzten würden, diese immer noch nicht sicher genug wären. Mittels Social Engineering – auch soziale Manipulation genannt – nutzen Hacker menschliche Schwachstellen aus, um durch gezielte Beeinflussung an vertrauliche Informationen zu gelangen (siehe Blog: Tausche Passwort gegen Schokolade)

multifaktor

Sicherheit muss praktikabel sein

Also, was können Unternehmen tun, um sich vor Identitätsdiebstahl zu schützen? Identitätsbasierte Sicherheitslösungen, wie beispielweise Multi-Faktor-Authentifizierung  können der Schlüssel sein, um sicheren Zugriff auf Anwendungen und Systeme, die Mitarbeiter für Ihr tägliches Arbeiten benötigen, zu gewährleisten. Doch wirklich sicherer wird es nur, wenn es auch einfach ist. Denn während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem, führt dies dazu, dass Anwender Mittel und Wege finden, diese zu umgehen. Das wiederum wirkt sich negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Darüber hinaus ist es wichtig, das die  Zugriffe dynamisch evaluiert und die Sicherheit für den Login adaptiert werden.  Wie Sie Ihr Unternehmen vor Cyberangriffen schützen können zeigen wir auf der  #DiscoverMF Tour, die am 7. Dezember 2016 in Zürich beginnt.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann

A classic never goes out of style

Die digitale Transformation von Geschäftsprozessen sowie die Modernisierung und Optimierung der IT- Infrastruktur lassen die Rufe nach der Ablösung des Mainframe lauter werden. Zudem haftet dem “Dino” der IT ein zunehmend negatives Image an: zu teuer, zu unmodern, zu unflexibel. Doch Fakt ist auch, dass Cobol Anwendungen immer noch großen Einfluss auf unser tägliches Leben haben. Die Flugbuchung, die Sitzplatzreservierung im ICE, das Bezahlen bei Zalando, Amazon & Co. -am Ende ist es fast immer COBOL-Code, der involviert ist. Es stellt sich also die zentrale Frage: Wie kann man bestehende Geschäftsmodelle samt vorhandenen Geschäftsregeln und Applikationen in neue Systeme einbringen, die flexibel, dynamisch und web-orientiert sind? Martin Reusch liefert Antworten…

Vor fast 125 Jahren wurde das Unternehmen Coca Cola in Atlanta gegründet. Trotz des auch für ein Unternehmen stattlichen Alters, ist die Coca Cola alles andere als angestaubt und unmodern. Für Coca Cola, dem Getränk in der unverwechselbaren, bauchigen Kontur-Glasflasche oder der rot-weißen Dose  gelten anscheinend nicht die Regeln des Alterns. Sprachforschern zufolge ist Coca-Cola heute das zweitbekannteste Wort der Welt nach „Okay“, es ist die wertvollste Marke der Welt, denn  Coca Cola ist das auch heute noch das Erfrischungs-Getränk Nummer 1 und das trotz  immer neuer Brausegetränke. Anderes Beispiel – Mythos Porsche 911, seit über 50 Jahren das Herzstück der Marke Porsche. Der erste 911 wurde 1963 auf der IAA in Frankfurt vorgestellt und ist seitdem einfach geblieben, auch wenn das heutige Modell längst nicht mehr mit dem ursprünglichen Original zu vergleichen ist. Denn Porsche hat es stets verstanden, dieses einzigartige Modell durch intelligente Ideen und Technologien, welche Performance, Alltagstauglichkeit, Sicherheit und Nachhaltigkeit verknüpften, immer weiter zu modifizieren.

Auch in der IT gibt es vergleichbare Klassiker. Großrechner, besser als Mainframe bekannt, oder COBOL die Programmiersprache für viele Businessanwendungen, existieren ebenfalls seit Anfang der 60er Jahre. Doch die während ein Klassiker wie der Porsche 911 heute ein Mythos ist und mit positiven Charakteristika wie Wertbeständigkeit, Stilistik und Dynamik verbunden wird, haftet dem Mainframe und seiner beherrschenden Programmiersprache COBOL in der Öffentlichkeit ein zunehmend negatives Image an: die Systeme und Applikationen gelten als veraltet, unmodern, unsicher und deswegen als zu risikoreich, sie aufrechtzuerhalten. Diese eher abwertende Sichtweise wird zudem begünstigt durch neue Technologieansätze wie Big Data, Cloud Computing, Mobile- und Sozial Business Technologien. Trotz des vermeintlichen negativen Stigma verwenden aber nach einer aktuellen Schätzung von IBM immer noch rund 55 Prozent aller weltweiten Enterprise-Anwendungen bei Banken und Versicherungen in der einen oder anderen Weise einen COBOL-Code. Geld am Automaten abheben oder überweisen, bei Amazon, Zalando oder eBay einkaufen – am Ende ist es fast immer COBOL-Code, der die Kontostände ausgleicht. Die Flugbuchung, die Sitzplatzreservierung im ICE etc. – ohne dass wir es merken, haben der Mainframe und seine COBOL-Anwendungen immer noch großen Einfluss auf unser tägliches Leben.

Wachsende Probleme durch Digitale Transformation

Nicht zu leugnen ist aber auch, dass die IT-Industrie gegenwärtig einen rasanten Wandel durchläuft, bei dem gerade die digitale Transformation von Geschäftsprozessen sowie die Modernisierung und Optimierung der IT- Infrastruktur bezogen auf neue Technologietrends wie Mobility, Social Business und BYOD eine zentrale Rolle spielen. Auch wenn die Mainframe-Umgebung als operationskritische Plattform hierbei nach wie eine Rolle spielen kann, stellt die Einführung agiler Entwicklungsmodelle und steigende Anforderungen an die Flexibilität der Hardware bestehende Konzepte vor Probleme, denn an der der stetigen Wartung, Aktualisierung und Weiterentwicklung von systemrelevanten Mainframe-Applikationen führt auch sowohl aus technischer als auch fachlicher Sicht kein Weg vorbei.

klasse2

Viele der Themen sowie der damit verbundenen Herausforderungen sind nicht neu, schließlich beschäftigen sich die IT-Branche  seit der Entwicklung des Internets vor 20 Jahren bereits mit dem Prozess der Digitalisierung und den Folgen, die sie hervorruft. Neu ist hingegen ist die Geschwindigkeit, mit der die teils disruptiven neuen Technologien wie Mobility und Connectivity, Cloud Computing, Sozial Media und Big Data Analytics, neue Geschäftsmodelle, Prozesse und Wertschöpfungsketten entstehen lassen. Bedenkt man dann noch, dass ehemalige Start-ups wie Amazon, Google, Spotify, ebay oder booking.com, die ohne die Zwänge historisch gewachsener Unternehmenskulturen und Strukturen agil neue Geschäftsmodelle in einem etablierten Markt platzieren und als branchenfremde Unternehmen in die Märkte der etablierten Platzhirsche eindringen, wird schnell klar, dass die Letztgenannten und ihre IT-Abteilungen unter starkem Zwang stehen, ihr unternehmerisches Handeln zu überdenken, und ihre bestehenden Geschäftsmodelle den sich verändernden Erwartungen, Bedürfnissen und Verhaltensschema der Kunden anzupassen und weiterzuentwickeln.

Zwangsläufig stellt sich dabei dann immer wieder die zentrale Frage: Wie kann man bestehende Geschäftsmodelle samt vorhandenen Geschäftsregeln und Applikationen in neue Systeme einbringen, die flexibel, dynamisch und web-orientiert sind?

Die Unternehmensführung erwartet von der IT, dass die Business Applikationen nicht mehr isoliert voneinander ablaufen, sondern das Produktion, betriebliche Abläufe und Kunden in einer einzelnen, integrierten Lösung in die Wertschöpfungskette eingebunden werden. Die Fertigung möchte spezifisch auf den Kundenwunsch abgestimmt produzieren, das Marketing will personalisierte Produktempfehlungen abgeben und viele Unternehmen bereiten sich zudem auf die Herausforderungen durch die Industrie 4.0 vor, die beispielsweise vorausschauende Wartung ermöglicht. Dazu müssen allerdings die unterschiedlichen Backend-Systeme wie die Kundendatenbank und das Enterprise Resource Planning, die Analyse-Tools im Marketing und das SAP miteinander verknüpft sein.

In vielen Unternehmen hingegen ist die IT ist im Laufe der Jahre zu einer technologisch heterogenen Applikationslandschaft herangewachsen, die zwar immer wieder aktualisiert, ergänzt und erweitert – mit den unterschiedlichsten Technologien – von COBOL, Microsoft VB, Java oder C# bis hin zu Standardpaketen wie SAP. Doch eben diese verschiedenen Technologien verhindern oftmals den Aufbau eines integrierten Systems. Es existiert ein Mosaik an Applikationen mit einer Vielzahl von Anwendungen, Datenbanken und komplexen Schnittstellen, die Prozessstörungen verursachen können.

klasse3

Revolution vs. Evolution – welcher Ansatz ist der Richtige?

Wie modernisiert man nun also seine Applikationslandschaft – verfolgt man den revolutionären Ansatz mit einer kompletten Neuentwicklung oder der Einführung von Standardapplikationen, oder ist eine evolutionäre Anwendungsmodernisierung der eigenen Individualsoftware der bessere Weg?

Die radikale Lösung mit einer kompletten Neuentwicklung einer über Jahrzehnte gewachsenen Kernapplikation, die einen Millionenwert an fachlicher Businesslogik darstellt? Dazu fehlen selbst Banken die Zeit und die Ressourcen, außerdem sind mit einem solchen Vorgehen viele Risiken und immense Kosten verbunden. Der Umstieg z.B. auf ein neues Core-Banking System im Bankenbereich kann ohne weiteres Kosten im zweistelligen Millionenbereich Bereich nach sich ziehen, angesichts immer knapper werdender IT-Budgets und wachsendem Zeitdruck keine wirkliche Alternative.

Eine wesentlich kostengünstigerer und auch sicherer Weg ist die Anwendungsmodernisierung unternehmenskritischer Applikationen, bei dem dank einer evolutionären Vorgehensweise nicht nur der Wert der Anwendung erhalten wird, sondern diese kontinuierlich mit der geforderten Flexibilität und Agilität weiter entwickelt und optimiert wird.

Aufgrund unterschiedlicher Modernisierungsansätze, sollten zunächst die Ziele, die man erreichen will, genau formuliert werden:

  • Kosteneinsparungen

Durch einen Umstieg auf kostengünstigere Plattformen und den Einsatz von Open-Source-Technologien lassen sich Betriebskosten signifikant reduzieren – in der Spitze um über 70 Prozent.

  • Produktivität & Time-to-Market

Mithilfe moderner Entwicklungsumgebungen und entsprechender Tools (bspw. Versions- Test- und Releasemanagement) kann die Produktivität gesteigert und gleichzeitig das Risiko minimiert werden. Das fördert eine schnellere Umsetzung neuer Ideen und stellt die Akzeptanz der Nutzer sicher.

  • Wiederverwendbarkeit & Zukunftsfähigkeit vorhandener COBOL Anwendungen

Operative Betriebsrisiken minimieren sich z.B. in Bezug auf Know-how, Technologie, Sicherheitslücken und Kosten. Aktuelle technologische Standards schaffen darüber hinaus die Basis für eine schnelle Reaktion auf neue Anforderungen (z.B. Regulatorik).

Entscheidet man sich für die Modernisierung der Infrastruktur, ist im Falle von auf dem Host betriebenen Anwendungen oft ein Rehosting der Applikationen sinnvoll. Beim Rehosting verlagert man die Anwendung(en) auf eine andere kostengünstere Plattform in der dezentralen Welt (UNIX, Linux oder Windows), ohne Änderung der Funktionalität. Der Kern der Enterprise-Applikationen bleibt grundsätzlich erhalten, also die Business-Logik, wie sie beispielsweise in COBOL- oder PL/1-Code implementiert ist.

Möchte man einen ganzheitlichen Ansatz realisieren, um eine bessere Zusammenarbeit der einzelnen Bereiche (Entwicklung, Qualitätssicherung, Operating) zu erreichen und so die Qualität, die Effizienz und den Software-Entwicklungszyklus für den Mainframe verbessern, so ist die Realisierung einer DevOps Strategie für MainframeUmgebungen der richtige Ansatz. Eine solche Strategie hilft, die Fehlerquote bei neuen Produktversionen zu verringern, die Bereitstellung neuer Anwendungen zu beschleunigen und den Zeitraum für das Beheben kurzzeitiger Störungen zu minimieren.

Ist die Wiederverwendung der bestehenden Geschäftsregeln und Anwendungen in neuen Systemumgebungen der dezentralen Welt, die flexibel, dynamisch und web-orientiert sind, das Ziel, muss die COBOL-Softwareentwicklung vom Komfort aktueller integrierter Entwicklungsoberflächen (IDEs) wie Visual Studio oder Eclipse profitieren. Der größte Vorteil liegt aber wahrscheinlich in der Möglichkeit, innerhalb einer einzigen IDE COBOL-Legacy-Code mit neueren, etwa in Java geschriebenen Projekten zusammenzubringen. So werden hybride Lösungen möglich, bei denen beispielsweise das COBOL-Backend mit einem Java-, RCP- oder Web-Frontend kombiniert werden.

In den kommenden Wochen werden wir hierzu verschiedene Szenarien der Anwendungsmodernisierung und ihre Vorteile näher erläutern.

Zeit, dass sich was dreht

Der gestern Abend bekannt gewordene Datendiebstahl bei Yahoo verdeutlicht einmal mehr, dass Unternehmen ihre Sicherheitsstrategie genau prüfen und an die sich ändernden Herausforderungen anpassen sollten. Ein Kommentar von Christoph Stoica zum Rekordhack bei Yahoo.

68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000  gestohlene Kundenzugangsdaten bei der Telekom und jetzt der Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy. Zwischen diesen drei Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren.  Für die Presse sind solche spektakulären Cyberhacks ein gefundenes Fressen und vielleicht gibt es sogar schon manch pfiffiges Wettbüro, das jetzt Wetten annimmt, wie lange es wohl dauern wird, bis auch der aktuelle Rekordhack mit 500.000.000 kompromittierten Nutzerkonten von einem noch größeren Diebstahl übertroffen wird – für die geschädigten Unternehmen hingegen bedeuten solche Angriffe zunächst einmal vor allem einen Imageverlust und der Verlust der Glaubwürdigkeit. Im Falle von Yahoo scheint diese Datenpanne jedoch auch reelle finanzielle Auswirkungen zu haben.

Wie immer bei der Veröffentlichung solcher  Mega-Datenpannen melden sich auch jetzt wieder diejenigen zu Wort,  die mahnend den Zeigefinger heben und sich fragen, wie ein Datendiebstahl solchen Ausmaßes überhaupt möglich ist, und warum dieser so lange anscheinend unentdeckt blieb. Das Wort Fahrlässigkeit wird auch dabei – und das sicherlich teils auch zu Recht –  wieder schnell die Runde machen.  Es ist  schwer vorstellbar, dass gerade die oben genannten Unternehmen, allesamt aus der IT- Branche, grob vorsätzlich und fahrlässig gehandelt haben  in Bezug auf die seinerzeit getroffenen Sicherheitsmaßnahmen.  Bedenken sollte man, dass alle kürzlich veröffentlichen Datendiebstähle auf Netzwerkangriffe zurückgehen, die bereits vor   4 beziehungsweise 2  Jahren im Falle von Yahoo erfolgten.  Damals galt in den Unternehmen noch die Devise „Schützen und Verteidigen“ als ausreichend  für den Schutz der sensiblen Daten, man investierte vor allem in immer ausgefeiltere Firewalls und Antivirensoftware und die Kombination  aus Passwort und Nutzernamen für die Authentifizierung galt als bestmöglicher Kompromiss aus Sicherheit und Nutzbarbarkeit. Doch mit den sich rasant neu entwickelnden Trends wie Cloud Computing und Cloud Services, Social Media, mobiles Internet, BYOD  muss sich auch der Blick auf die IT-Sicherheitsstrategie komplett ändern. Die wachsende technologische Durchdringung und Vernetzung, die damit einhergehende Komplexität der IT-Landschaften, die sich verändernden Formen der geschäftlichen Zusammenarbeit sowie die ‘always on’ Mentalität, sprich zu jeder Zeit und von jedem Ort online erreichbar zu sein, stellt die IT-Abteilungen ganz klar vor neue Herausforderungen. Der klassische Schutz der IT-Netze und Systeme an den Außengrenzen erodiert zunehmend,  denn es gibt keine Grenze mehr zwischen „innerhalb“ und „außerhalb“  des Netzwerkes – das Netzwerk ist heute überall  und der Feind ebenso.

DeYahoo1

Zeit, dass sich was dreht: Von der statischen IT-Sicherheit hin zur dynamischen IT-Sicherheitsstrategie

Unternehmen sind heute angesichts der stetig wachsenden Bedrohungslage was Cyberattacken anbelangt mehr denn je gefordert, ihre Sicherheitsstrategie zu überprüfen und den geänderten Herausforderungen anzupassen. Die technischen Möglichkeiten hierzu stehen – anders als auch vielleicht noch vor 4 Jahren –  beispielsweise mit einem risikobasiertem Zugriffsmanagement bereits zur Verfügung. Eine Analyse der Risiken und die Implementierung einer risikobasierten Zugriffssteuerung auf  der Grundlage von Multi-Faktor-Authentifizierung sollte daher die Basis eines jeden Sicherheitskonzeptes sein. Eine weitere Grundlage für eine umfassende IT-Sicherheit ist ein zentraler Überblick über alle vergebenen Berechtigungen. Die Konzepte werden auf Basis von Attributen, IT- und Geschäftsrollen sowie Richtlinien definiert. Auch die Vereinfachung und Automatisierung von Prozessen zur Rezertifizierung der Zugriffsberechtigungen und die Etablierung von Identity Governance Initiativen gehören dazu.

Fazit:

Zusammenfassend kann man sagen, dass eine komplette Neubewertung des Umgang mit Berechtigungen und Zugriffen erforderlich ist. Für die Verwaltung von Benutzeridentitäten und Zugriffsrechten reicht eine IT-zentrische Form des Identity Management alleine nicht mehr aus. Ging es früher im Wesentlichen darum, die Benutzerverwaltung zu automatisieren und den Datenschutz- und Compliance-Richtlinien zu entsprechen, sínd heute intelligente Verwaltungslösungen gefragt, um die IT-Sicherheit an sich verändernde Anforderungen anzupassen und situativ und in Echtzeit reagieren zu können. Unternehmen, die angesichts sich massiv häufender Datendiebstähle und Cyberattacken , nach wie vor nur auf eine statische Sicherheitsstrategie setzen, handeln fahrlässig – sowohl in Bezug auf die Datensicherheit als auch im Hinblick auf mögliche Image- und Wertverluste ihres Unternehmens.

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

 

Datenschutz und Datensicherheit

Nach jahrelangem Hin- und Her haben EU-Rat und -Parlament Mitte des Jahres nun endlich die neue Datenschutzgrundverordnung durchgewunken. Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen und löst die geltenden nationalen Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie ab. Das neue Gesetz gilt ab 2018 und Unternehmen jeder Größe haben demnach nur knapp zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten zu gewährleisten; andernfalls drohen ihnen massive Bußgelder. In unserem Blog beleuchten wir die Kernelemente der Reform und erläutern, worauf Unternehmen achten sollten.

 – Anforderungen an Unternehmen im Kontext der neuen EU-Datenschutzgrundverordnung

In Bezug auf die personenbezogenen Daten, ist das Jahr 2016 von spannenden Entwicklungen geprägt. Nach dem gekippten Safe-Harbour Abkommen haben EU-Rat und –Parlament Mitte April 2016 nach jahrelangem Hin- und Her das neue europäische Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO) verabschiedet, welches die bisher geltende Datenschutzrichtlinie von 1995 ab sofort ersetzt. Die Politik verfolgt damit das Ziel, die Datenschutzrechte von EU-Bürgern zu stärken, das Vertrauen in die digitale Wirtschaft wiederherzustellen und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser zu schützen.

Im Gegensatz zur Richtlinie ist die neue Grundverordnung kein Rahmen, der in nationale Gesetzgebung umgesetzt werden soll, sondern eine unmittelbare Verpflichtung für alle Mitgliedstaaten – ein EU‐weit geltendes Gesetz, das über den nationalen Gesetzen steht und Anpassungen dieser Gesetze erfordert. Derzeit ist Regelung des Umgangs mit sogenannten personenbezogenen Daten in den Mitgliedsstaaten der EU noch unterschiedlich ausgeprägt. In Deutschland gilt das Bundesdatenschutzgesetz (BDSG), in Österreich das Bundesgesetz über den Schutz personenbezogener Daten und in der Schweiz gilt das Bundesgesetz über den Datenschutz. Allein schon diese drei Gesetze zeigen, dass die Datenschutzrichtlinie von 1995 einen Flickenteppich aus nationalen Gesetzen geschaffen hat, der vor dem Hintergrund der digitalen Globalisierung mehr und mehr zu rechtlichen Grauzonen und Rechtsunsicherheit führte. Hinzukommt wie schon im letzten Blog erwähnt, eine zunehmende Erhebung personenbezogener Daten zu Geschäftszwecken. Daten sind heute mehr denn je Wirtschaftsgut statt Schutzgut, mit denen eine Vielzahl von Unternehmen Geld verdient – genau das rückt Daten wie Unternehmen in das Fadenkreuz von Cyber-Kriminellen. Rechtsunsicherheit, gesteigertes Datenaufkommen, mehr Kriminalität – fast täglich gelangen neue Fälle von Verlust oder Missbrauch personenbezogener Daten an die Öffentlichkeit. Vor diesem Hintergrund ist die neue europaweit einheitliche Regelung des Datenschutzes absolut notwendig.

Kernelemente der Reform – Worauf sollten Unternehmen achten

Stellvertretend für alle Änderungen, die mit der EU-Datenschutz Grundverordnung einhergehen, betrachten wir nachfolgend drei Aspekte, die für IT-Abteilungen von besonderem Interesse sind.

Infographic, Europäische Union 2015
Infographic, Europäische Union 2015

Recht auf Vergessen

Bislang liegt bei den meisten Unternehmen der Fokus darauf, wie man möglichst erfolgreich viele Daten sammeln kann – die wenigsten beschäftigen sich damit, wie sie diese gegebenenfalls auch wieder aus ihren Systemen löschen können. Dies wird eine Herausforderung für viele Firmen, denn angesichts der riesigen Mengen an gesammelten und teils auch unstrukturierten Daten wird es schwieriger den Überblick zu wahren, wo welche Daten verzeichnet sind. Um interne Datenflut rechtzeitig in den Griff zu bekommen, ist es wichtig, relevante Informationen aufzubewahren und unbedeutende Daten gleichzeitig rechtskonform zu beseitigen. Ein manuelles Sichten und Filtern des kompletten Datenbestands in einem Unternehmen ist in der Realität aber schier unmöglich, geschweige denn effizient. An dieser Stelle können jedoch Data-Governance-Tools Abhilfe schaffen, indem der vollständige elektronische Datensatz eines Unternehmens durch ein intelligentes und automatisiertes System geordnet und bereinigt wird.

Technische und organisatorische Anforderungen

Die Anforderungen an Unternehmen personenbezogene Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation abzusichern wurden erheblich verschärft. Waren bisher offene und eher allgemeine Formulierungen in nationalen Gesetzen die Grundlage für die Verpflichtung der Unternehmen, gibt es jetzt detaillierte Vorgaben, wie die Absicherung der IT–Systeme vor ungewollten Zugriffen zu erfolgen hat. Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten – oder einfacher gesagt, man verlangt, dass Kundendaten zu jederzeit dem Risiko entsprechend angemessen geschützt sind. Unternehmen müssen sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten und das gespeicherte oder übermittelte personenbezogene Daten weder unbeabsichtigt noch unrechtmäßig zerstört werden. Ferner sind die Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten muss stets gewährleistet sein. Kurzum: Diese Vorgabe schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende Kontrollmechanismen zum Schutz von Daten einführen müssen ( Stichpunkt : Multi-Faktor-Authentifizierung )

Anzeige bei Verstößen – hier ist Echtzeit- Sicherheitsintelligenz gefragt

Ein weiteres Kriterium für die Bemessung des Bußgeldes und eventueller Sanktionen bei Verstößen gegen die neue Grundordnung ist die unverzügliche Meldepflicht bei  einer Verletzung des Schutzes personenbezogener Daten.  Unternehmen sind verpflichtet die jeweilige Aufsichtsbehörde sowie die Betroffenen möglichst ohne unangemessene Verzögerung und spätestens binnen 72 Stunden über die Datenpanne zu benachrichtigen. Neben dem Zeitpunkt sowie der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde –  insbesondere wird hier auf die Selbstanzeige hingewiesen – spielt der Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen eine besondere Rolle bei der Bemessung der Sanktionen. Unternehmen sind besonders gefordert denn angesichts immer stärker verfeinerter Pishing-Methoden, neuer Bedrohungen durch Ransomware und aufgrund erodierender Außengrenzen des Netzwerkes, bieten sich den Cyber-Kriminellen immer mehr Einfallstore für ihre Angriffe. Erschwerend kommt hinzu, dass gerade professionelle Angreifer ihre Angriffe so geschickt verschleiern und weitestgehend keine oder nur wenige Spuren hinterlassen, die mit herkömmlichen Kontrollmechanismen nur schwer aufzudecken sind. Bei der forensischen professionellen Analyse von Datenmissbrauch hingegen  ergeben sich in der Regel klare Nachweise für schädliche Aktivitäten in den Audit-Protokollen. Wenn IT-Sicherheitsteams diese Aktivitäten erkennen würden, wären sie sicher in der Lage, sie zu unterbinden oder die Bedrohung zumindest zu verringern. Ohne eine Echtzeitlösung zur Überwachung von Änderungen und automatisieren Alarmierung, ist es äußerst schwierig festzustellen, welche Aktivitäten potenzielle Bedrohungen darstellen und näher untersucht werden müssen.  Ganz gleich, ob Unternehmen Ihre IT-Umgebung lokal, virtuell oder in der Cloud verwalten, Sie benötigen eine Methode, um Richtlinienverletzungen in der gesamten Umgebung zu erkennen und zu korrigieren und somit Lücken bei der IT-Compliance zu schließen.

Fazit:

Unternehmen müssen deutlich mehr Aufwand für Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und IT-Compliance Lösungen einplanen. Wer zukünftig nicht über die geeigneten Prozesse und Systeme zum Schutz sensibler Daten verfügt, wird dafür unter Umständen teuer bezahlen müssen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen-und Geschäftswertes und des Vertrauens der Kunden. Die Themen Compliance und Sicherheit gehören bereits in diesem Jahr auf die Agenda eines jeden Unternehmens, damit man in zwei Jahren für die neue Verordnung gerüstet ist. Die neuen gesetzlichen Bestimmungen sind jedoch nicht nur als Herausforderung zu verstehen, sondern bieten Unternehmen auch Chancen: wer sich um die Sicherheit personenbezogener Daten nicht Sorgen muß, kann schneller auf neue Marktentwicklungen reagieren und Innovationen in der Interaktion mit seinen Kunden und Geschäftspartnern vorantreiben ohne dabei Risiken einzugehen. Positive Beispiele findet man bereits heute im eCommerce, wo für es Online-Händler seit Jahren einen verpflichtenden Sicherheitsstandard (PCI DSS) für die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten gibt. Gleiches gilt auch für die Finanzindustrie, die ebenfalls dem erwähnten verpflichtenden Sicherheitsstandard unterliegt. Wie in einem unserer letzten Blogs bereits berichtet, wird die HSBC Bank in UK ab Sommer diesen Jahres eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen, um den Zugriff auf das eigene Bankkonto sicherer zu machen. (mehr Details finden Sie hier)

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

Vom Chaos zur Ordnung – was unaufgeräumte Kinderzimmer mit dem Berechtigungsmanagement zu tun haben

Die ungeliebte Aufgabe, Ordnung zu schaffen, gibt es nicht nur in Kinderzimmern. Auch in Unternehmen wird das „Aufräumen“ zum Beispiel in Bezug auf den Wildwuchs bei den Verzeichnisdiensten und im Berechtigungsmanagement eher als lästige und vor allem zeitraubende Pflicht angesehen. Die Folgen sind fatal und hoch riskant, denn unzulässige Berechtigungen oder verwaiste Konten bieten große Angriffsflächen für Datensabotage und -diebstahl. Götz Walecki zeigt mit seinem Blog Lösungen auf, wie man mittels Standardsoftware effizient innerhalb der der IT aufräumen kann.

Sommerzeit ist Ferienzeit –6 ½ Wochen bleiben die Schulen geschlossen und der Nachwuchs tobt sich angesichts des chronisch schlechten Wetters in diesem Sommer schonungslos in den Kinderzimmern aus. Hinter verschlossenen Türen, werden dann die Kisten mit Playmobil, Lego und diversen Puzzeln herausgekramt, umgestülpt und der Boden ist innerhalb kürzestes Zeit gänzlich mit Spielsachen bedeckt. Mit Schildern an den Zimmertüren wie „Sperrgebiet für Eltern“ oder „Zutritt verboten“ will der Nachwuchs die Eltern vor dem Betreten des Zimmers abhalten, denn auf den unweigerlich folgenden Satz „Jetzt räum doch mal dein Zimmer auf“ haben sie überhaupt keine Lust. Jeder von uns kennt diesen Satz nur allzu gut – sei es aus eigenen Kindheitstagen oder weil man ihn als seufzende Kapitulationserklärung gegenüber den eigenen Kindern selbst abgegeben hat. In aller Regel jedoch, vermutlich ebenfalls vertraut, zeigt dieser Satz ziemlich wenig Wirkung – das geliebte beziehungsweise ungeliebte Chaos bleibt. Doch die ungeliebte Aufgabe, Ordnung zu schaffen, gibt es nicht nur in Kinderzimmern. Auch in Unternehmen wird das „Aufräumen“ zum Beispiel in Bezug auf den Wildwuchs bei den Verzeichnisdiensten und im Berechtigungsmanagement eher als lästige und vor allem zeitraubende Pflicht angesehen. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind unzulässige Berechtigungen oder verwaiste Konten. Aber gerade in einer Zeit, in der kompromittierte privilegierte Benutzerkonten das Einfallstor für Datensabotage oder -diebstahl sind, müssen Unternehmen dafür sorgen diese Angriffsflächen zu reduzieren, Risiken zu minimieren und Gegenmaßnahmen schnell einzuleiten. Hierfür werden intelligente Analysewerkzeuge benötigt auf deren Basis die richtigen Entscheidungen getroffen werden können.

Wie kann mittels Standardsoftware innerhalb der IT aufgeräumt werden?

Bei den Maßnahmen zur Prävention sollten Unternehmen daher Ihren Blick auf die Vereinfachung und Automatisierung von sogenannten Zugriffszertifizierungsprozessen richten, um Identity Governance Initiativen im Unternehmen zu etablieren. Die immer weiter zunehmende Digitalisierung mit all den unterschiedlichen Zugriffsmöglichkeiten auf sensible Daten und Systeme, sowie die Flexibilisierung der Arbeitsorganisation durch eine engere Einbindung von Partnern und Dienstleistern, schaffen einen unübersichtlichen Flickenteppich an Berechtigungen, der manuell kaum noch zu kontrollieren und zu überwachen ist.

Ordnung2

Die Analyse der Accounts und Berechtigungen, sowie eine Optimierung zum Beispiel im Bereich der Verzeichnisdienste, hilft Unternehmen nicht nur Sicherheitsrisiken, die beispielsweise durch verwaiste oder mit übermäßigen Berechtigungen ausgestattete Benutzerkonten entstehen, zu reduzieren, sondern trägt auch zu Kostenreduzierung bei. Denn jeder Nutzer zu viel kostet Geld und Sicherheit. Geschäftsleitung und Führungskräften benötigen Tools, die relevante Informationen bereitstellen, um Entscheidungen zu treffen, die das Risiko von Datenverlust reduzieren, Zugriffsberechtigungen auf das Nötigste beschränken und somit den an Unternehmen gestellten Anforderungen zur Datensicherheit genügen. Micro Focus bietet mit Access Review 2.0 eine flexible Lösung für diese Aufgabenstellung in puncto Attestierung und Rezertifizierung von Konten, Zugriffsrechten und Business Rollen.

Der Rezertifizierungsprozess ist dabei sehr anpassungsfähig und wird durch die Fokussierung auf Ausnahmen deutlich vereinfacht. Berichtsfunktionen mit vorkonfigurierten Berichten zu Berechtigungen, Zertifizierungsstatus, Anfragen/Genehmigungen und Regelverstößen, sowie Unterstützung für automatisierte Kampagnen ermöglichen eine deutliche Effizienzsteigerung der Governance und helfen bei der Kostenreduktion z.B. durch Identifikation und anschließender Entfernung verwaister Konten. Mit der Micro Focus Lösung sind Kunden in der Lage, jenseits der Verwaltung von Benutzerkonten den Benutzerzugriff auf programmatische, wiederhol- und nachweisbare Art und Weise tatsächlich zu regeln und somit die Angriffsfläche nachhaltig zu reduzieren.

Götz Walecki

Manager Systems Engineering

LV7A5495_1(1)

Schlaflos vor dem Bildschirm – der Super-Sportsommer 2016 biegt auf die Zielgrade ein!

Am 5. August ertönt der Startschuss für das nächste Großereignis des Sportsommers – die Olympischen Sommerspiele 2016. Die Vorfreude bei allen Sportbegeisterten ist riesengroß, denn bei mehr als 340 Stunden live Übertragungen im Fernsehen und über 1.000 Stunden Live-Streams in Web, stellt sich nicht mehr die Frage, ob und was man schauen möchte, sondern vielmehr wie, wo und mit welchem Endgerät. Des einen Freud, des anderen Leid …. denn gerade die Vielfalt an Endgeräten, die rasant steigende Nachfrage von Livestream-Angeboten und die Browservielfalt stellt die Entwickler vor immer größere Herausforderungen. Georg Rechberger gewährt Einblicke, wie man frühzeitig Leistungs- und Funktionsprobleme aufdeckt und eine zuverlässige Perfomrance von Apps erzielen kann.

2016 ist ein absolutes Highlight für alle Sportfans, denn die Großereignisse geben sich quasi die Klinke in die Hand. Kaum sind mit der UEFA EURO 2016 und der Copa America die beiden großen Fussball-Turniere nördlich und südlich des Äquators Geschichte, die neuen Champions des Rasentennis in Wimbledon gefunden und der Sieger der Tour de France kürzlich erst auf der Avenue des Champs-Élysées gekürt, beginnt mit den olympischen Spielen von Rio nun der absolute Höhepunkt des Sportsommers. Am Freitag wird das olympische Feuer im Maracanã Stadion entzündet und in den nächsten 16 Tagen lautet das Motto nicht nur für die Sportler „Dabei sein ist alles“. Mit mehr als 340 Stunden live Übertragungen im Fernsehen und über 1.000 Stunden Video-Live-Streams im Internet stellt sich für die Zuschauer nicht mehr die Frage,  ob und was man schauen möchte, sondern vielmehr wie, wo und mit welchem Endgerät. Alleine die beiden Platzhirsche ARD und ZDF bieten auf ihren Webportalen sportschau.de und sport.zdf.de täglich von 14.00 – 05:00 Uhr morgens sechs verschiedene Live-Streams an und darüber hinaus noch 60 Clips täglich, die als on-Demand Paket das Internet Programm abrunden.

Diese immense Investition der öffentlich-rechtlichen Sender in Live-Streaming- und in Video-on-Demand-Angebote ist auf den allgemeinen Trend zurückzuführen, dass Konsumenten ihr Nutzerverhalten in den letzten Jahren vor allem dank neuer Technologien wie Smartphones und Tablets grundlegend geändert haben. Waren es bei Olympia 2012 in London bereits 25 % der Konsumenten, die die Spiele im Netz statt auf linearem Übertragungsweg verfolgten, so werden es diesmal sicherlich noch weitaus mehr sein. Nicht nur bei Sportevents ist der Trend zu  Mobile Streaming erkennbar:  der The Cisco® Visual Networking Index (VNI) prognostiziert , dass der durch Video verursachte Datenmengenverbrauch innerhalb der nächsten 5 Jahre um 825 % steigen wird. Für die Entwickler solcher Streaming- und Video-on-Demand Anwendungen stellt sich damit nicht nur die Frage, wie diese immens steigenden Datenmengen an den Kunden ausgeliefert werden, sondern auch, wie man für eine immer gleichbleibend hohe Qualität bei der Video-Wiedergabe sorgen kann, und zwar unabhängig davon, ob der Konsument den Live-Stream im Park auf seinem Smartphone, oder auf dem Heimweg in der Straßenbahn auf seinem Tablet oder zuhause vor seinem 50 Zoll 4k Fernseher sitzend verfolgt. Eines ist dabei klar: Qualitätseinbußen, insbesondere solche, wie eine Verzögerung bei der Übertragung, werden seitens der Konsumenten nicht geduldet.

riode1

Denken wir doch jetzt nur einmal an das 100-Meter Finale der Herren in Rio, der wohl prestigeträchtigsten Entscheidung in Brasilien. Usain Bolt und seine Konkurrenten stehen in den Startblöcken und warten auf den Startschuss und just in diesem Moment erscheint auf unserem Bildschirm das Buffering  Symbol, oder eine „Video ist nicht verfügbar“ Notiz oder das Video springt ständig auf Pause – nicht auszudenken, welche Reaktionen ein solcher Vorfall auf Twitter, Facebook oder den anderen sozialen Netzwerken auslösen würde. Neben Spot und Häme in den sozialen Netzwerken müsste der Videostreaming Anbieter im schlimmsten Fall auch noch mit finanziellen Einbußen bei seinen Werbepartnern rechnen, denn wer möchte schon, dass seine Werbung ruckelt und stockend oder überhaupt nicht übertragen wird. Der Nutzer erwartet die gleiche Performance, die er seitens der herkömmlichen Fernsehübertragung gewohnt ist – eine Verzögerung von mehr als einer Minute wird nicht toleriert –  ansonsten wird eine andere Quelle für die Berichterstattung gewählt und der Anbieter läuft Gefahr, seine Abonnements und Werbeinnahmen zu verlieren.
Der Schlüssel für die unterbrechungsfreie Ausführung liegt vor allem in sogenannten Lasttest und in effektiven Leistungsmessungen mit Workloads, die das echte Benutzerverhalten replizieren. Lasttests sind ein wesentlicher Bestandteil des Software-Entwicklungsprozesses. Anwendungen müssen auch bei Nachfragespitzen für Tausende, wenn nicht sogar Hunderttausende verfügbar bleiben und die versprochene Leistung erbringen. Micro Focus bietet mit Silk Performer ein Produkt an, mit dem man bei der derzeit führenden Videostreaming Technologie HLS (HTTP Live Streaming), aussagefähige Last- und Performance Tests durchführen kann. Das Aufzeichnen von Skripten ist hierbei sehr einfach und bei der Testausführung gibt es verschiedene Qualitätsmetriken, die Ihnen zum Beispiel sagen, wie viele Segmente der Streaming Client in verschiedenen Auflösungen heruntergeladen hat. So kann man feststellen, wann mehr Segmente mit niedriger Auflösung geladen wurde, weil die Bandbreite zu gering oder die Infrastruktur nicht der Lage war, gleichzeitig eine hohe Anzahl an hochauflösenden Streams bereitzustellen. Man sieht, wie lange es dauerte das erste Segment herunterzuladen und man kann das Verhältnis zwischen der Dauer der Downloadzeit und der Abspielzeit genau analysieren. Kurzum gesagt, diese Qualitätsmessungen helfen dabei, die Nutzererfahrung in Bezug auf Downloadzeiten, dem Verhältnis von „download-to-play“ Zeiten und dem Live-Streaming  deutlich zu verbessern. Mit den Performancetest-Lösungen von Micro Focus können Sie das echte Benutzerverhalten  geräte-, netzwerk- und standortübergreifend präzise simulieren. Durch die Bereitstellung dieser Lösungen als cloudbasierten Service zur Leistungsmessung kann man  kosteneffektiv sicherstellen, dass geschäftskritische Anwendungen Spitzenlasten bewältigen und wie erwartet von allen Benutzern weltweit auf allen Geräten ausgeführt werden können.

Fazit:

Wenn Kunden schlechte Erfahrungen machen – egal ob mit einer Webseite, einer App oder einem Videostreaming Dienst, werden sie kaum zurückkehren oder Ihre Angebote nutzen. Das Testen auf Performance, Skalierbarkeit und Zuverlässigkeit ist daher von entscheidender Bedeutung. Der Anspruch der Kunden verändert das herkömmliche Verständnis von „Qualität“. Unternehmen können sich inkonsistente Benutzererfahrungen und langsame Reaktionszeiten einfach nicht mehr leisten. Die Tools von Micro Focus decken Funktions- und Leistungsprobleme auf, vermeiden somit Prestige- und Umsatzverluste und helfen dabei, eine zuverlässige Performance von Apps und die Funktionsfähigkeit globaler Websites zu erzielen.

 

Was hat Schokolade mit Sicherheit zu tun?

Dass Schokolade so manchen Durchhänger im Büro mildern kann, wissen wir alle und außer vielleicht für die Figur stellt so ein kleines Stückchen süßer Sünde nun eigentlich auch keine wirklich große Gefahr dar, oder? Doch was würden Sie sagen, wenn ein Mitarbeiter oder ein Kollege sein wichtiges Computer-Passwort für ein Stück Schokolade verrät? Das halten Sie für unmöglich, denn so dumm kann doch wirklich keiner sein, oder? Wenn Sie sich da mal nicht täuschen …

Von beidem könnte es immer noch ein bisschen mehr sein, könnte man denken. Doch sowohl zu viel Schokolade als auch zu viel Sicherheit können kontraproduktiv sein. Das ist also nicht die Antwort auf die Frage, sondern der Hinweis auf eine aktuelle Studie. Die Forscher der International School of Management in Stuttgart und der Universität Luxemburg untersuchten wie leicht Nutzer ihr Passwort preisgeben. Die mit 1.206 zufällig ausgewählten Personen durchgeführte Studie zeigt: Für eine kleine Gefälligkeit verraten Menschen wildfremden Leuten ihr Passwort. Die Wissenschaftler verwendeten für ihre Studie dabei Vorgehensweise von Trickbetrügern – sie schickten sieben studentische Hilfskräfte los, die den zufällig ausgewählte Passanten erzählten, sie würden eine Umfrage zum Thema Computersicherheit durchführen. Zur Belohnung gab es eine Tafel Schokolade. Nach kurzen Fragen zum Thema baten die Tester die Probanden ihr Passwort auf den Umfragebogen zu schreiben. Das Ergebnis ist erschreckend: Insgesamt 36,8 % der Befragten nannten ihr komplettes Passwort, weitere 47,5 % gaben auf Nachfrage zumindest deutliche Hinweise auf Bestandteile des Passwortes. Schokolade als Köder unmittelbar vor der Passwortfrage verstärkte das Ergebnis – fast jeder zweite Teilnehmer gab sein vollständiges persönliches Passwort preis, wenn er direkt davor eine Tafel Schokolade bekommen hatte.

Diese Art der Betrügerei nennt sich “Social Engineering” oder “soziale Manipulation”. So wie Hacker technische Schwachstellen suchen, um in Computersystem einzudringen, nutzen Trickbetrüger  menschliche Schwachstellen aus – sie “hacken” ihre Opfer gewissermaßen und versuchen durch gezielte Beeinflussung, vertrauliche Informationen zu bekommen. Ausgenutzt werden unter anderem Sympathie für scheinbar ähnliche Menschen, Autoritätszugehörigkeit, Gier oder Neugier als psychologisches Prinzip. Während wir technische Schwachstellen und Lücken in unseren Computersystemen dank immer besserer Technologien und neuer Updates schließen können, bleiben die menschlichen Schwächen hingegen nahezu gleich.

Auf das Passwort alleine ist daher kein Verlass – bessere Lösungen für eine sichere Zukunft müssen her

Iris2blog

Lange stellten Passwörter den besten Kompromiss aus Sicherheit und Nutzbarkeit dar. Doch mit dem Wachstum der mobilen Belegschaft, der zunehmenden Akzeptanz von Cloud-Diensten  und Cloud-Apps und durch immer stärkere Vernetzung, wodurch immer mehr sensible Unternehmensdaten  zwischen Mitarbeitern und auch Geschäftspartnern  bewegt und gemeinsam bearbeitet werden, sind Geschäftsdaten heute einer höheren Gefahr durch Hacker, Betrüger und Cyberdiebstählen ausgesetzt. Erst kürzlich musste die Telekom mitteilen, dass 120.000 Kundendaten im Darknet aufgetaucht sind und dass diese Daten zumindest teilweise echt und aktuell seien. Die Telekom ist mitnichten ein Einzelfall, erst Anfang Juni diesen Jahres wurde bekannt, dass auch die Zugangsdaten von 32 Millionen Twitter-Nutzern zum Verkauf stehen. Zuvor betraf es LinkedIn und MySpace. Und wenn selbst der Twitter und Pinterest Account von Facebook Chef Mark Zuckerberg gehackt werden kann, wie Anfang Juni Venture Beat berichtete, dann ist es offensichtlich, dass die jahrelang gültige Devise des „Schützens und Verteidigens“ durch Investitionen in hochentwickelte Firewalls und Virenschutzprogramme heute nicht mehr alleine ausreichen für den Schutz sensibler Daten.

Starke Authentifizierungsverfahren hingegen, wie Multi-Faktor Authentifizierung, sind in der Lage Identitätsdiebstähle zu begrenzen und somit die Sicherheit zu steigern. Dahinter steckt die Idee, drei Grundbereiche der Authentifizierung miteinander zu verknüpfen: Etwas, das der Nutzer besitzt, wie ein Token oder ein Smartphone; ein Körpermerkmal des Nutzers, zum Beispiel ein Fingerabdruck und andere biometrische Merkmale; und drittens etwas, das der Nutzer weiß, eben ein Passwort, eine PIN oder ein Einmalpasswort (OTP = One Time Password). Die Anzahl der Authentifizierungs-methoden wächst stetig. Die Auswahl geht von Standards wie Fingerabdrücken , Einmalpasswörter und Smart Cards bis hin zur Mustererkennung durch die Kamera oder auch das Nutzen eines Zertifikats auf der SIM-Karte im Handy.

MFA stellt neue Anforderungen an Entwickler

Stellt sich also die Frage, warum nicht schon vielmehr Unternehmen eine Mulit-Faktor-Authentifizierungsverfahren einsetzen. Dazu muss man wissen, dass Eine Welt ohne Passwörter hat große Auswirkungen auf verschiedene Sicherheitsbereiche, insbesondere auf die Anwendungssicherheit. Hier erfordert sie ein Umdenken bei Entwicklern. Die meisten älteren Anwendungen nutzen ihr eigenes Login-Dialogfeld. Die Entwicklung ist verhältnismäßig einfach. MFA hingegen ist komplexer umzusetzen. So muss jede Anwendung mit einer Vielzahl an verschiedenen Eingabeverfahren umgehen können. Der Programmieraufwand für jede Anwendung ist beträchtlich.

Access Management Lösungen auf Basis von Single-Single-On-Mechanismen (SSO) und Gateway Komponenten können diese Herausforderung lösen und den Vorgang auf eine einzige Anmeldung beschränken. Bei Bedarf und Zugriff auf schützenswerte bzw. kritische Daten und Dienste kann mittels sogenannter „Step up“ Authentifizierung z.B. ein zusätzliches Einmalpasswort abgefragt werden. Die Entscheidung einer zusätzlichen Abfrage kann dabei dynamisch und adaptiv erfolgen, z.B. wenn ein Anwender versucht mittels eines privaten Gerätes aus einem unischeren Land auf sensible Daten zuzugreifen.

Was bei MFA Methode zu berücksichtigen ist: Sicherheit muss auch praktikabel sein

Während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem wirkt sich das negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die  Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Aspekte, wie Flexibilität in puncto Nutzung und Integration verschiedener Authentifizierungsmethoden oder Handhabbarkeit in Ausnahmesituationen (Beispiel: das Vergessen der Smartcard), sowie die TCO sind besonders zu berücksichtigen. In unserem Live-Webinar „ Identitätsbasierende Sicherheit für die hybride IT von heute und morgen“ am 26. Juni liefern wir Antworten, wie der IT-Sicherheitsstandard in einer hybride IT erhöht werden kann,  wie sie sich konkret vor Missbrauch der digitalen Identität schützen können was Unternehmen im Hinblick auf ein zukunftsfähiges Access Management  beachten sollten und welche Lösungen bereits heute verfügbar sind. Informationen und Anmeldemöglichkeit finden Sie hier.

Götz Walecki

Manager Systems Engineering

LV7A5495_1(1)

Neuer Sicherheitsstandard PCI DSS 3.2. – Die Daumenschrauben für die Finanzindustrie werden angezogen – Teil 2

Mit den neuen Sicherheitsanforderungen hat das PCI Security Standard Council ein klares Zeichen gesetzt, wie sensible Daten von Kreditkarteninhaber zu schützen sind. Den Firmen wurde zwar noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, die entsprechenden Weichen dafür sollten aber bereits heute gestellt werden. Erfahren Sie, wie eine effektive und starke Authentifizierungs-Stratgie Ihnen hilft, das Passwort-Problem zu lösen und compliant zu bleiben.

Im ersten Teil meines Blogs zum neuen Sicherheitsstandard PCI DSS 3.2 berichtete ich über die geänderten Sicherheitsanforderungen, die den konsequenten Einsatz einer Multi-Faktor-Authentifizierung für Administratoren bei Banken, Händler und alle anderen, die mit Kreditkarten arbeiten, nun zwingend vorschreibt. Auch wenn den Firmen noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, sollten bereits heute die entsprechenden Weichen dafür gestellt werden. Es gibt eine Vielzahl von Herstellern, die unterschiedliche Multi-Faktor-Authentifizierungsverfahren anbieten, und die Anzahl der Authentifizierungsmethoden wächst rasant weiter. So gab die HSBC Bank in Großbritannien vor kurzem bekannt, dass sie ab Sommer 2016 eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen wird.

thumb

Das Ende statischer Passwörter und einfacher Pins… es gibt bessere Lösungen für eine sichere Zukunft

Die Authentifizierung, die den Zugriff auf das eigene Bankkonto ermöglicht, erfolgt dann per Smartphone, Stimmen-ID und Fingerabdruck. Innovative Hard- und Software ermöglicht eine eindeutige Identifizierung der Stimme anhand von mehr als 100 Merkmalen, wie beispielsweise Schnelligkeit, Betonung und Rhythmus – auch im Falle einer Erkältung! Ein anderes interessantes Verfahren, an welchem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswertet und individuelle Muster erkennt und prüft.

Jedes Unternehmen hat unterschiedliche Anforderungen und Voraussetzungen für die Implementierung solcher MFA-Lösungen, und somit gibt es keine „one-size-fits-all“-Lösung. Unterschiede bestehen vor allem bei der Integrationsfähigkeit mit Remotezugriffsystemen und Cloud-Anwendungen. Wie löst man also das Passwort-Problem am besten?

Eine effektive Authentifizierungs-Strategie

Es gibt drei Kernpunkte, die Unternehmen bei der Planung eines für sie passenden Authentifizierungsverfahren berücksichtigen sollten:

  • Abbildung der Business Policies in modularen Richtlinien – vorhandene Richtlinien sollten wiederverwendbar, aktualisierbar und auch auf mobile Endgeräte erweiterbar sein. Das erleichtert die Verwaltung der Zugriffskontrolle für die IT-Sicherheit, da der Zugriff für das Gerät dann im Falle eines Sicherheitsvorfalls schnell entzogen werden kann.
  • Verbesserte Nutzbarkeit mobiler Plattformen. Einige Legacy-Applikationen verwenden zwar ein Web-Interface, sind jedoch weder für den mobilen Zugriff noch für regelmäßige Aktualisierungen ausgelegt. Die Verwendung von Single-Sign-On (SSO) Mechanismen für native und Web-Applikationen kann hier durchaus hilfreich sein.
  • Flexibler Einsatz unterschiedlichster Authentifizierungsmechanismen für ein angemessenes Gleichgewicht zwischen Sicherheitsanforderungen, betrieblicher Handlungsfähigkeit und Benutzerfreundlichkeit. Das Authentifizierungsverfahren sollte immer genau dem jeweils erforderlichen Schutzniveau anpassbar sein. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen – die verwendete Methode muss sowohl zur Rolle als auch zur Situation des Benutzers passen.

Die Planung eines für sie passenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur am Status Quo ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Zu berücksichtigen sind insbesondere die zentrale Verwaltung und Steuerung von Benutzern und Endpunkten, sowie die TCO, und ob neue Anforderungen wie Cloud Services und Mobile Devices über das gleiche MFA-Produkt ohne weitere Add-on Module abgesichert werden können.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann