Die Digitalisierung macht uns verwundbar – brauchen wir ein digitales Immunsystem?

Vom weltweiten Angriff auf DSL-Router am letzten November-Wochenende waren auch Hundertausende deutsche Internetnutzer betroffen. Die Angreifer gelangen über eine Sicherheitslücke der Wartungsprotolle TR-069 und TR-064 auf die Router der Telekom-Kunden. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) sprach von einem „globalen Hacker-Angriff“, bei dem die Telekom nur eins von vielen Ziele gewesen sei. Und wenn auch mittlerweile die Telekom-Router immun sind gegen diese Angriff, so zeigt Vorfall, wie wehrlos Unternehmen und Institutionen noch immer gegen Angriffe aus dem Netz sind. Lesen Sie im Blog, welche aufeinander abgestimmten Maßnahmen notwendig sind, für die Erkennung und Abwehr solcher Cyberangriffe.

Die Lage bleibt angespannt – eine solche Äußerung bedeutet nie etwas Gutes und schon gar nicht, wenn offizielle Stellen der Regierung sie verlauten lassen. Politiker und Sicherheitsexperten benutzen eine solche Ausdrucksweise oft im Zusammenhang abstrakter Gefahren, um die Bevölkerung auf wachsende und sich verändernde Bedrohungen hinzuweisen. Anfang November benutzte das Bundesamtes für Sicherheit  und Informationstechnik (BSI) genau diese Formulierung zur Beurteilung der IT-Sicherheitslage in Deutschland für das laufende Jahr. Die Formulierung, die wie ein mahnender Zeigefinger wirkt, diente dabei vor allem dazu, potenzielle Gefahren nicht naiv zu unterschätzen und entsprechende Vorsorgemaßnahmen präventiv zu treffen sowie das Sicherheitsbewusstsein eines jeden Einzelnen zu sensibilisieren und zu schärfen. Denn gerade in der heutigen Zeit, in der das abstrakte Gefährdungslagebild professionell motivierter Cyber-Kriminalität bedenklich ist, weiß man, dass aufgrund der unterschiedlichsten Methodik solcher Cyber-Angriffe, die Angreifer nur schwer aufzuspüren und ihre Taten kaum zu verhindern sind. Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland zeigt, dass in 2016 insgesamt eine zunehmende Professionalisierung der Angreifer und ihrer Angriffsmethoden festgestellt wurde und die Gefährdungslage angespannt bleibt. So ist die Zahl bekannter Schadprogrammvarianten dieses Jahr weiter gestiegen und lag im August 2016 bei mehr als 560 Millionen. Gleichzeitig verlieren klassische bisherige Abwehrmaßnahmen weiter an Wirksamkeit, weil die Schädlinge oft durch die – meist unbeabsichtigte und unbewußte – Mitwirkung von Insidern in die Netzwerke gelangen und somit klassische Schutzmaßnahmen wie Firewalls umgangen werden. Weiterhin wurde für 2016 eine deutliche Zunahme an Sicherheitslücken und Schwachstellen in Soft- und Hardware gegenüber dem Vorjahr konstatiert. Besonders betroffen waren dabei Betriebssysteme wie Apples macOS oder Microsoft Windows 7 aber auch Softwareprodukte wie  Adobe Reader, Adobe Flash sowie Webbrowser. Eine besorgniserregende Entwicklung, denn gerade Schwachstellen in Hard- und Software bieten ein leichtes Einfallstor in Unternehmensnetze und können von Angreifern leicht ausgenutzt werden.

CyberThreats

Auch die Bedrohung durch sogenannte „Ransomware“ hat sich deutlich verschärft – Krankenhäuser, Unternehmen aber auch Behörden sind von diesen Angriffen betroffen, bei denen informations-technische  Systeme lahmgelegt werden um „Lösegeld“ zu erpressen. Zu den häufigsten Infektionsvektoren für Ransomware gehören Distributed-Denial-of-Service-Angriffe (DDoS) oder Drive-by-Exploits. Sogenannte DDoS-Angriffe sind im Grunde nichts Neues, sie basieren auf einem relativ simplen Prinzip, dass massenhaft sinnlose Anfragen an Server geschickt werden, so daß dieser überlastet und legitime Anfragen nicht annehmen kann. Angreifer benutzen für diese Angriffe in den seltensten Fällen ihre eigene Infrastruktur, sondern vielmehr gehackte Computer und IoT, die zu Botnetzen zusammengefasst werden. Offene Telnet-Ports ohne Authentifizierung, Standard-Nutzernamen, banalste Sicherheitslücken und vor allem keine Security-Updates lassen IoT zur leichten Beute für Cyberkriminelle werden. Die meisten IoT-Geräte sind in Prozessor- und Storage-Kapazität limitiert – derzeitige Security-Modelle, wie  automatische Installation von Updates, das Einspielen von Security-Patches, das Installieren und Aktualisieren von Antiviren-Software und die Konfiguration von Host-basierten Firewalls, lassen sich daher nicht einfach 1:1 umsetzen. Ausnutzbar werden diese Schwachstellen, weil die fortschreitende Digitalisierung zu einer Vielzahl komplexer Kommunikationsverbindungen geführt hat. Die Schutzmechanismen vernetzter Systeme müssen also darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf eine einzelne, verwundbare Komponente nicht sofort Auswirkungen auf das gesamte System hat.

Doch auch wenn Realität und Anspruch in Bezug auf Sicherheit und Datenschutz vielleicht momentan oft noch diametral auseinandergehen, muss die Entwicklung von künstlicher Intelligenz und Verschmelzung von IT und Industrie weiter vorangetrieben werden – zu groß sind die sich hieraus bietenden wirtschaftlichen und gesellschaftlichen Potenziale. Die Digitalisierung ist eine Schlüsselinnovation, die alle Wirtschaftsbereiche verändert. Wir können uns vor ihr weder abschotten noch sie abwählen. Gerade der starke und innovative deutsche Mittelstand mit zahlreichen Weltmarktführern muss die Entwicklung neuer digitaler Geschäftsmodelle und –prozesse vorantreiben, andere Denkansätze verfolgen um Innovationen zu schaffen – selbst wenn die hundertprozentige und absolute Sicherheit nicht gewährleistet werden kann. Wenn wir heute auf die Erfolgsgeschichte des Automobils zurückblicken, so war auch dies – wie heute die Digitalisierung oder Industrie 4.0 – ein disruptive Technologie, die im Frühstadium längst nicht über die für uns heute selbstverständlichen Sicherheitsstandards verfügte. Die ersten Autos hatten kein Dach, geschweige denn einen Sicherheitsgurt oder sonst irgendwelche Vorrichtungen wie ABS, Airbags oder Bremsassistenten, um den Fahrer zu schützen. Doch auch wenn all diese Features heute Standards in Autos sind – absolute Sicherheit kann der Automobilhersteller nicht garantieren. Sicherheit kann deshalb nur relative Sicherheit bedeuten. Die Automobilindustrie hat es verstanden, das  Paradigma  „relativer“ Sicherheit mit einem sehr hohen Sicherheitsgrad  als  nachprüfbare  Produkteigenschaft (TÜV)  zu  etablieren.

Analog hierzu wird der Informationssicherheit im Zuge der Digitalisierung und der damit einhergehenden Verwundbarkeit von Systemen eine Schlüsselrolle  zuteil. Umfassende Sicherheitskonzepte können hierbei wie eine Art Immunsystem durch Prävention, Detektion und Reaktion die Gefahrenpotenziale von Cyberangriffen abmildern.  Hierfür sind neben gestaffelten und aufeinander abgestimmten Maßnahmen , auch die Einschätzung der Gefahrenlage sowie die Entwicklung neuer Strategien für die Erkennung und Abwehr von Cyberangriffen notwendig.

Prävention schützt

So wie ein intaktes Immunsystem beim Menschen bösartige Zellen erkennt und an einer Ausbreitung hindert, verhindern starke Authentifizierungsverfahren unerwünschte Zugriffe bereits an der Eingangstür und bieten wirksamen Schutz gegen Identitätsdiebstahl. Risikobasierte Zugriffskontrollen berücksichtigen eine Vielzahl von Faktoren um für jedes System und jeden Zugriff das angemessene Sicherheitsniveau zu erreichen – so erhält das Herzstück des Unternehmens den größtmöglichen Schutz, während der Zugriff auf weniger kritische Komponenten nicht durch unangemessene Sicherheitsmaßnahmen eingeschränkt wird.

Detektion – Risiken systematisch und in Echtzeit aufspüren

Auch trotz bester Vorsorge, kann es dennoch passieren, dass man sich mit Viren und Schädlingen infiziert. Aufgabe des Immunsystems ist es dann, schnellstmöglich Angriffe und Veränderungen zu entdecken und Gegenmaßnahmen einzuleiten. Ähnlich verhält es sich, sobald Malware in Systeme eingedrungen ist. Entscheidend wird sein, wie schnell ein Unternehmen den Angriff entdeckt und ob man in der Lage ist, adäquat drauf zu reagieren. Durch Einsatz von Security Information & Event Management-Technologien (SIEM) wird eine Grundkonfiguration für die normalen Aktivitätsmuster in der IT-Umgebung definiert. Auf diese Weise können Auffälligkeiten anhand einer Echtzeit-Sicherheitsanalyse identifiziert werden, ohne genau zu wissen, wonach eigentlich gesucht wird. Change Monitoring Systeme stellen eine sinnvolle Ergänzung zu SIEM-Lösungen dar – sie bieten eine permanente Überwachung geschäftskritischer Dateien und Systeme und liefern bei unbefugten Änderungen aussagekräftige Alarmmeldungen. Dies ermöglicht kurze Reaktionszeiten und reduziert somit das Risiko eines folgenschweren Datenmissbrauchs erheblich.

Reaktion bedeutet Sicherheitssysteme schnell & dynamisch anzupassen

Sicherheit erfordert aber nicht nur eine schnelle Reaktion im Angriffsfall, sondern auch eine schnelle Anpassung der Sicherheitsarchitektur an Veränderungen. Agile Software-Entwicklung, automatisiertes Release Management, standardisierte Cloud-Services – viele Trends wirken als Katalysator für immer kürzere Innovationszyklen. Das „Immunsystem“ der IT muß sich ebenso schnell anpassen – integriert, automatisiert, intelligent und dynamisch sind daher zentrale Attribute einer modernen Sicherheitsarchitektur.

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

Zeit, dass sich was dreht

Der gestern Abend bekannt gewordene Datendiebstahl bei Yahoo verdeutlicht einmal mehr, dass Unternehmen ihre Sicherheitsstrategie genau prüfen und an die sich ändernden Herausforderungen anpassen sollten. Ein Kommentar von Christoph Stoica zum Rekordhack bei Yahoo.

68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000  gestohlene Kundenzugangsdaten bei der Telekom und jetzt der Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy. Zwischen diesen drei Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren.  Für die Presse sind solche spektakulären Cyberhacks ein gefundenes Fressen und vielleicht gibt es sogar schon manch pfiffiges Wettbüro, das jetzt Wetten annimmt, wie lange es wohl dauern wird, bis auch der aktuelle Rekordhack mit 500.000.000 kompromittierten Nutzerkonten von einem noch größeren Diebstahl übertroffen wird – für die geschädigten Unternehmen hingegen bedeuten solche Angriffe zunächst einmal vor allem einen Imageverlust und der Verlust der Glaubwürdigkeit. Im Falle von Yahoo scheint diese Datenpanne jedoch auch reelle finanzielle Auswirkungen zu haben.

Wie immer bei der Veröffentlichung solcher  Mega-Datenpannen melden sich auch jetzt wieder diejenigen zu Wort,  die mahnend den Zeigefinger heben und sich fragen, wie ein Datendiebstahl solchen Ausmaßes überhaupt möglich ist, und warum dieser so lange anscheinend unentdeckt blieb. Das Wort Fahrlässigkeit wird auch dabei – und das sicherlich teils auch zu Recht –  wieder schnell die Runde machen.  Es ist  schwer vorstellbar, dass gerade die oben genannten Unternehmen, allesamt aus der IT- Branche, grob vorsätzlich und fahrlässig gehandelt haben  in Bezug auf die seinerzeit getroffenen Sicherheitsmaßnahmen.  Bedenken sollte man, dass alle kürzlich veröffentlichen Datendiebstähle auf Netzwerkangriffe zurückgehen, die bereits vor   4 beziehungsweise 2  Jahren im Falle von Yahoo erfolgten.  Damals galt in den Unternehmen noch die Devise „Schützen und Verteidigen“ als ausreichend  für den Schutz der sensiblen Daten, man investierte vor allem in immer ausgefeiltere Firewalls und Antivirensoftware und die Kombination  aus Passwort und Nutzernamen für die Authentifizierung galt als bestmöglicher Kompromiss aus Sicherheit und Nutzbarbarkeit. Doch mit den sich rasant neu entwickelnden Trends wie Cloud Computing und Cloud Services, Social Media, mobiles Internet, BYOD  muss sich auch der Blick auf die IT-Sicherheitsstrategie komplett ändern. Die wachsende technologische Durchdringung und Vernetzung, die damit einhergehende Komplexität der IT-Landschaften, die sich verändernden Formen der geschäftlichen Zusammenarbeit sowie die ‘always on’ Mentalität, sprich zu jeder Zeit und von jedem Ort online erreichbar zu sein, stellt die IT-Abteilungen ganz klar vor neue Herausforderungen. Der klassische Schutz der IT-Netze und Systeme an den Außengrenzen erodiert zunehmend,  denn es gibt keine Grenze mehr zwischen „innerhalb“ und „außerhalb“  des Netzwerkes – das Netzwerk ist heute überall  und der Feind ebenso.

DeYahoo1

Zeit, dass sich was dreht: Von der statischen IT-Sicherheit hin zur dynamischen IT-Sicherheitsstrategie

Unternehmen sind heute angesichts der stetig wachsenden Bedrohungslage was Cyberattacken anbelangt mehr denn je gefordert, ihre Sicherheitsstrategie zu überprüfen und den geänderten Herausforderungen anzupassen. Die technischen Möglichkeiten hierzu stehen – anders als auch vielleicht noch vor 4 Jahren –  beispielsweise mit einem risikobasiertem Zugriffsmanagement bereits zur Verfügung. Eine Analyse der Risiken und die Implementierung einer risikobasierten Zugriffssteuerung auf  der Grundlage von Multi-Faktor-Authentifizierung sollte daher die Basis eines jeden Sicherheitskonzeptes sein. Eine weitere Grundlage für eine umfassende IT-Sicherheit ist ein zentraler Überblick über alle vergebenen Berechtigungen. Die Konzepte werden auf Basis von Attributen, IT- und Geschäftsrollen sowie Richtlinien definiert. Auch die Vereinfachung und Automatisierung von Prozessen zur Rezertifizierung der Zugriffsberechtigungen und die Etablierung von Identity Governance Initiativen gehören dazu.

Fazit:

Zusammenfassend kann man sagen, dass eine komplette Neubewertung des Umgang mit Berechtigungen und Zugriffen erforderlich ist. Für die Verwaltung von Benutzeridentitäten und Zugriffsrechten reicht eine IT-zentrische Form des Identity Management alleine nicht mehr aus. Ging es früher im Wesentlichen darum, die Benutzerverwaltung zu automatisieren und den Datenschutz- und Compliance-Richtlinien zu entsprechen, sínd heute intelligente Verwaltungslösungen gefragt, um die IT-Sicherheit an sich verändernde Anforderungen anzupassen und situativ und in Echtzeit reagieren zu können. Unternehmen, die angesichts sich massiv häufender Datendiebstähle und Cyberattacken , nach wie vor nur auf eine statische Sicherheitsstrategie setzen, handeln fahrlässig – sowohl in Bezug auf die Datensicherheit als auch im Hinblick auf mögliche Image- und Wertverluste ihres Unternehmens.

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

 

Datenschutz und Datensicherheit

Nach jahrelangem Hin- und Her haben EU-Rat und -Parlament Mitte des Jahres nun endlich die neue Datenschutzgrundverordnung durchgewunken. Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen und löst die geltenden nationalen Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie ab. Das neue Gesetz gilt ab 2018 und Unternehmen jeder Größe haben demnach nur knapp zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten zu gewährleisten; andernfalls drohen ihnen massive Bußgelder. In unserem Blog beleuchten wir die Kernelemente der Reform und erläutern, worauf Unternehmen achten sollten.

 – Anforderungen an Unternehmen im Kontext der neuen EU-Datenschutzgrundverordnung

In Bezug auf die personenbezogenen Daten, ist das Jahr 2016 von spannenden Entwicklungen geprägt. Nach dem gekippten Safe-Harbour Abkommen haben EU-Rat und –Parlament Mitte April 2016 nach jahrelangem Hin- und Her das neue europäische Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO) verabschiedet, welches die bisher geltende Datenschutzrichtlinie von 1995 ab sofort ersetzt. Die Politik verfolgt damit das Ziel, die Datenschutzrechte von EU-Bürgern zu stärken, das Vertrauen in die digitale Wirtschaft wiederherzustellen und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser zu schützen.

Im Gegensatz zur Richtlinie ist die neue Grundverordnung kein Rahmen, der in nationale Gesetzgebung umgesetzt werden soll, sondern eine unmittelbare Verpflichtung für alle Mitgliedstaaten – ein EU‐weit geltendes Gesetz, das über den nationalen Gesetzen steht und Anpassungen dieser Gesetze erfordert. Derzeit ist Regelung des Umgangs mit sogenannten personenbezogenen Daten in den Mitgliedsstaaten der EU noch unterschiedlich ausgeprägt. In Deutschland gilt das Bundesdatenschutzgesetz (BDSG), in Österreich das Bundesgesetz über den Schutz personenbezogener Daten und in der Schweiz gilt das Bundesgesetz über den Datenschutz. Allein schon diese drei Gesetze zeigen, dass die Datenschutzrichtlinie von 1995 einen Flickenteppich aus nationalen Gesetzen geschaffen hat, der vor dem Hintergrund der digitalen Globalisierung mehr und mehr zu rechtlichen Grauzonen und Rechtsunsicherheit führte. Hinzukommt wie schon im letzten Blog erwähnt, eine zunehmende Erhebung personenbezogener Daten zu Geschäftszwecken. Daten sind heute mehr denn je Wirtschaftsgut statt Schutzgut, mit denen eine Vielzahl von Unternehmen Geld verdient – genau das rückt Daten wie Unternehmen in das Fadenkreuz von Cyber-Kriminellen. Rechtsunsicherheit, gesteigertes Datenaufkommen, mehr Kriminalität – fast täglich gelangen neue Fälle von Verlust oder Missbrauch personenbezogener Daten an die Öffentlichkeit. Vor diesem Hintergrund ist die neue europaweit einheitliche Regelung des Datenschutzes absolut notwendig.

Kernelemente der Reform – Worauf sollten Unternehmen achten

Stellvertretend für alle Änderungen, die mit der EU-Datenschutz Grundverordnung einhergehen, betrachten wir nachfolgend drei Aspekte, die für IT-Abteilungen von besonderem Interesse sind.

Infographic, Europäische Union 2015
Infographic, Europäische Union 2015

Recht auf Vergessen

Bislang liegt bei den meisten Unternehmen der Fokus darauf, wie man möglichst erfolgreich viele Daten sammeln kann – die wenigsten beschäftigen sich damit, wie sie diese gegebenenfalls auch wieder aus ihren Systemen löschen können. Dies wird eine Herausforderung für viele Firmen, denn angesichts der riesigen Mengen an gesammelten und teils auch unstrukturierten Daten wird es schwieriger den Überblick zu wahren, wo welche Daten verzeichnet sind. Um interne Datenflut rechtzeitig in den Griff zu bekommen, ist es wichtig, relevante Informationen aufzubewahren und unbedeutende Daten gleichzeitig rechtskonform zu beseitigen. Ein manuelles Sichten und Filtern des kompletten Datenbestands in einem Unternehmen ist in der Realität aber schier unmöglich, geschweige denn effizient. An dieser Stelle können jedoch Data-Governance-Tools Abhilfe schaffen, indem der vollständige elektronische Datensatz eines Unternehmens durch ein intelligentes und automatisiertes System geordnet und bereinigt wird.

Technische und organisatorische Anforderungen

Die Anforderungen an Unternehmen personenbezogene Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation abzusichern wurden erheblich verschärft. Waren bisher offene und eher allgemeine Formulierungen in nationalen Gesetzen die Grundlage für die Verpflichtung der Unternehmen, gibt es jetzt detaillierte Vorgaben, wie die Absicherung der IT–Systeme vor ungewollten Zugriffen zu erfolgen hat. Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten – oder einfacher gesagt, man verlangt, dass Kundendaten zu jederzeit dem Risiko entsprechend angemessen geschützt sind. Unternehmen müssen sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten und das gespeicherte oder übermittelte personenbezogene Daten weder unbeabsichtigt noch unrechtmäßig zerstört werden. Ferner sind die Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten muss stets gewährleistet sein. Kurzum: Diese Vorgabe schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende Kontrollmechanismen zum Schutz von Daten einführen müssen ( Stichpunkt : Multi-Faktor-Authentifizierung )

Anzeige bei Verstößen – hier ist Echtzeit- Sicherheitsintelligenz gefragt

Ein weiteres Kriterium für die Bemessung des Bußgeldes und eventueller Sanktionen bei Verstößen gegen die neue Grundordnung ist die unverzügliche Meldepflicht bei  einer Verletzung des Schutzes personenbezogener Daten.  Unternehmen sind verpflichtet die jeweilige Aufsichtsbehörde sowie die Betroffenen möglichst ohne unangemessene Verzögerung und spätestens binnen 72 Stunden über die Datenpanne zu benachrichtigen. Neben dem Zeitpunkt sowie der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde –  insbesondere wird hier auf die Selbstanzeige hingewiesen – spielt der Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen eine besondere Rolle bei der Bemessung der Sanktionen. Unternehmen sind besonders gefordert denn angesichts immer stärker verfeinerter Pishing-Methoden, neuer Bedrohungen durch Ransomware und aufgrund erodierender Außengrenzen des Netzwerkes, bieten sich den Cyber-Kriminellen immer mehr Einfallstore für ihre Angriffe. Erschwerend kommt hinzu, dass gerade professionelle Angreifer ihre Angriffe so geschickt verschleiern und weitestgehend keine oder nur wenige Spuren hinterlassen, die mit herkömmlichen Kontrollmechanismen nur schwer aufzudecken sind. Bei der forensischen professionellen Analyse von Datenmissbrauch hingegen  ergeben sich in der Regel klare Nachweise für schädliche Aktivitäten in den Audit-Protokollen. Wenn IT-Sicherheitsteams diese Aktivitäten erkennen würden, wären sie sicher in der Lage, sie zu unterbinden oder die Bedrohung zumindest zu verringern. Ohne eine Echtzeitlösung zur Überwachung von Änderungen und automatisieren Alarmierung, ist es äußerst schwierig festzustellen, welche Aktivitäten potenzielle Bedrohungen darstellen und näher untersucht werden müssen.  Ganz gleich, ob Unternehmen Ihre IT-Umgebung lokal, virtuell oder in der Cloud verwalten, Sie benötigen eine Methode, um Richtlinienverletzungen in der gesamten Umgebung zu erkennen und zu korrigieren und somit Lücken bei der IT-Compliance zu schließen.

Fazit:

Unternehmen müssen deutlich mehr Aufwand für Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und IT-Compliance Lösungen einplanen. Wer zukünftig nicht über die geeigneten Prozesse und Systeme zum Schutz sensibler Daten verfügt, wird dafür unter Umständen teuer bezahlen müssen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen-und Geschäftswertes und des Vertrauens der Kunden. Die Themen Compliance und Sicherheit gehören bereits in diesem Jahr auf die Agenda eines jeden Unternehmens, damit man in zwei Jahren für die neue Verordnung gerüstet ist. Die neuen gesetzlichen Bestimmungen sind jedoch nicht nur als Herausforderung zu verstehen, sondern bieten Unternehmen auch Chancen: wer sich um die Sicherheit personenbezogener Daten nicht Sorgen muß, kann schneller auf neue Marktentwicklungen reagieren und Innovationen in der Interaktion mit seinen Kunden und Geschäftspartnern vorantreiben ohne dabei Risiken einzugehen. Positive Beispiele findet man bereits heute im eCommerce, wo für es Online-Händler seit Jahren einen verpflichtenden Sicherheitsstandard (PCI DSS) für die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten gibt. Gleiches gilt auch für die Finanzindustrie, die ebenfalls dem erwähnten verpflichtenden Sicherheitsstandard unterliegt. Wie in einem unserer letzten Blogs bereits berichtet, wird die HSBC Bank in UK ab Sommer diesen Jahres eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen, um den Zugriff auf das eigene Bankkonto sicherer zu machen. (mehr Details finden Sie hier)

Christoph

Christoph Stoica

Regional General Manager DACH

Micro Focus

Was hat Schokolade mit Sicherheit zu tun?

Dass Schokolade so manchen Durchhänger im Büro mildern kann, wissen wir alle und außer vielleicht für die Figur stellt so ein kleines Stückchen süßer Sünde nun eigentlich auch keine wirklich große Gefahr dar, oder? Doch was würden Sie sagen, wenn ein Mitarbeiter oder ein Kollege sein wichtiges Computer-Passwort für ein Stück Schokolade verrät? Das halten Sie für unmöglich, denn so dumm kann doch wirklich keiner sein, oder? Wenn Sie sich da mal nicht täuschen …

Von beidem könnte es immer noch ein bisschen mehr sein, könnte man denken. Doch sowohl zu viel Schokolade als auch zu viel Sicherheit können kontraproduktiv sein. Das ist also nicht die Antwort auf die Frage, sondern der Hinweis auf eine aktuelle Studie. Die Forscher der International School of Management in Stuttgart und der Universität Luxemburg untersuchten wie leicht Nutzer ihr Passwort preisgeben. Die mit 1.206 zufällig ausgewählten Personen durchgeführte Studie zeigt: Für eine kleine Gefälligkeit verraten Menschen wildfremden Leuten ihr Passwort. Die Wissenschaftler verwendeten für ihre Studie dabei Vorgehensweise von Trickbetrügern – sie schickten sieben studentische Hilfskräfte los, die den zufällig ausgewählte Passanten erzählten, sie würden eine Umfrage zum Thema Computersicherheit durchführen. Zur Belohnung gab es eine Tafel Schokolade. Nach kurzen Fragen zum Thema baten die Tester die Probanden ihr Passwort auf den Umfragebogen zu schreiben. Das Ergebnis ist erschreckend: Insgesamt 36,8 % der Befragten nannten ihr komplettes Passwort, weitere 47,5 % gaben auf Nachfrage zumindest deutliche Hinweise auf Bestandteile des Passwortes. Schokolade als Köder unmittelbar vor der Passwortfrage verstärkte das Ergebnis – fast jeder zweite Teilnehmer gab sein vollständiges persönliches Passwort preis, wenn er direkt davor eine Tafel Schokolade bekommen hatte.

Diese Art der Betrügerei nennt sich “Social Engineering” oder “soziale Manipulation”. So wie Hacker technische Schwachstellen suchen, um in Computersystem einzudringen, nutzen Trickbetrüger  menschliche Schwachstellen aus – sie “hacken” ihre Opfer gewissermaßen und versuchen durch gezielte Beeinflussung, vertrauliche Informationen zu bekommen. Ausgenutzt werden unter anderem Sympathie für scheinbar ähnliche Menschen, Autoritätszugehörigkeit, Gier oder Neugier als psychologisches Prinzip. Während wir technische Schwachstellen und Lücken in unseren Computersystemen dank immer besserer Technologien und neuer Updates schließen können, bleiben die menschlichen Schwächen hingegen nahezu gleich.

Auf das Passwort alleine ist daher kein Verlass – bessere Lösungen für eine sichere Zukunft müssen her

Iris2blog

Lange stellten Passwörter den besten Kompromiss aus Sicherheit und Nutzbarkeit dar. Doch mit dem Wachstum der mobilen Belegschaft, der zunehmenden Akzeptanz von Cloud-Diensten  und Cloud-Apps und durch immer stärkere Vernetzung, wodurch immer mehr sensible Unternehmensdaten  zwischen Mitarbeitern und auch Geschäftspartnern  bewegt und gemeinsam bearbeitet werden, sind Geschäftsdaten heute einer höheren Gefahr durch Hacker, Betrüger und Cyberdiebstählen ausgesetzt. Erst kürzlich musste die Telekom mitteilen, dass 120.000 Kundendaten im Darknet aufgetaucht sind und dass diese Daten zumindest teilweise echt und aktuell seien. Die Telekom ist mitnichten ein Einzelfall, erst Anfang Juni diesen Jahres wurde bekannt, dass auch die Zugangsdaten von 32 Millionen Twitter-Nutzern zum Verkauf stehen. Zuvor betraf es LinkedIn und MySpace. Und wenn selbst der Twitter und Pinterest Account von Facebook Chef Mark Zuckerberg gehackt werden kann, wie Anfang Juni Venture Beat berichtete, dann ist es offensichtlich, dass die jahrelang gültige Devise des „Schützens und Verteidigens“ durch Investitionen in hochentwickelte Firewalls und Virenschutzprogramme heute nicht mehr alleine ausreichen für den Schutz sensibler Daten.

Starke Authentifizierungsverfahren hingegen, wie Multi-Faktor Authentifizierung, sind in der Lage Identitätsdiebstähle zu begrenzen und somit die Sicherheit zu steigern. Dahinter steckt die Idee, drei Grundbereiche der Authentifizierung miteinander zu verknüpfen: Etwas, das der Nutzer besitzt, wie ein Token oder ein Smartphone; ein Körpermerkmal des Nutzers, zum Beispiel ein Fingerabdruck und andere biometrische Merkmale; und drittens etwas, das der Nutzer weiß, eben ein Passwort, eine PIN oder ein Einmalpasswort (OTP = One Time Password). Die Anzahl der Authentifizierungs-methoden wächst stetig. Die Auswahl geht von Standards wie Fingerabdrücken , Einmalpasswörter und Smart Cards bis hin zur Mustererkennung durch die Kamera oder auch das Nutzen eines Zertifikats auf der SIM-Karte im Handy.

MFA stellt neue Anforderungen an Entwickler

Stellt sich also die Frage, warum nicht schon vielmehr Unternehmen eine Mulit-Faktor-Authentifizierungsverfahren einsetzen. Dazu muss man wissen, dass Eine Welt ohne Passwörter hat große Auswirkungen auf verschiedene Sicherheitsbereiche, insbesondere auf die Anwendungssicherheit. Hier erfordert sie ein Umdenken bei Entwicklern. Die meisten älteren Anwendungen nutzen ihr eigenes Login-Dialogfeld. Die Entwicklung ist verhältnismäßig einfach. MFA hingegen ist komplexer umzusetzen. So muss jede Anwendung mit einer Vielzahl an verschiedenen Eingabeverfahren umgehen können. Der Programmieraufwand für jede Anwendung ist beträchtlich.

Access Management Lösungen auf Basis von Single-Single-On-Mechanismen (SSO) und Gateway Komponenten können diese Herausforderung lösen und den Vorgang auf eine einzige Anmeldung beschränken. Bei Bedarf und Zugriff auf schützenswerte bzw. kritische Daten und Dienste kann mittels sogenannter „Step up“ Authentifizierung z.B. ein zusätzliches Einmalpasswort abgefragt werden. Die Entscheidung einer zusätzlichen Abfrage kann dabei dynamisch und adaptiv erfolgen, z.B. wenn ein Anwender versucht mittels eines privaten Gerätes aus einem unischeren Land auf sensible Daten zuzugreifen.

Was bei MFA Methode zu berücksichtigen ist: Sicherheit muss auch praktikabel sein

Während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem wirkt sich das negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die  Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Aspekte, wie Flexibilität in puncto Nutzung und Integration verschiedener Authentifizierungsmethoden oder Handhabbarkeit in Ausnahmesituationen (Beispiel: das Vergessen der Smartcard), sowie die TCO sind besonders zu berücksichtigen. In unserem Live-Webinar „ Identitätsbasierende Sicherheit für die hybride IT von heute und morgen“ am 26. Juni liefern wir Antworten, wie der IT-Sicherheitsstandard in einer hybride IT erhöht werden kann,  wie sie sich konkret vor Missbrauch der digitalen Identität schützen können was Unternehmen im Hinblick auf ein zukunftsfähiges Access Management  beachten sollten und welche Lösungen bereits heute verfügbar sind. Informationen und Anmeldemöglichkeit finden Sie hier.

Götz Walecki

Manager Systems Engineering

LV7A5495_1(1)

Neuer Sicherheitsstandard PCI DSS 3.2. – Die Daumenschrauben für die Finanzindustrie werden angezogen – Teil 2

Mit den neuen Sicherheitsanforderungen hat das PCI Security Standard Council ein klares Zeichen gesetzt, wie sensible Daten von Kreditkarteninhaber zu schützen sind. Den Firmen wurde zwar noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, die entsprechenden Weichen dafür sollten aber bereits heute gestellt werden. Erfahren Sie, wie eine effektive und starke Authentifizierungs-Stratgie Ihnen hilft, das Passwort-Problem zu lösen und compliant zu bleiben.

Im ersten Teil meines Blogs zum neuen Sicherheitsstandard PCI DSS 3.2 berichtete ich über die geänderten Sicherheitsanforderungen, die den konsequenten Einsatz einer Multi-Faktor-Authentifizierung für Administratoren bei Banken, Händler und alle anderen, die mit Kreditkarten arbeiten, nun zwingend vorschreibt. Auch wenn den Firmen noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, sollten bereits heute die entsprechenden Weichen dafür gestellt werden. Es gibt eine Vielzahl von Herstellern, die unterschiedliche Multi-Faktor-Authentifizierungsverfahren anbieten, und die Anzahl der Authentifizierungsmethoden wächst rasant weiter. So gab die HSBC Bank in Großbritannien vor kurzem bekannt, dass sie ab Sommer 2016 eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen wird.

thumb

Das Ende statischer Passwörter und einfacher Pins… es gibt bessere Lösungen für eine sichere Zukunft

Die Authentifizierung, die den Zugriff auf das eigene Bankkonto ermöglicht, erfolgt dann per Smartphone, Stimmen-ID und Fingerabdruck. Innovative Hard- und Software ermöglicht eine eindeutige Identifizierung der Stimme anhand von mehr als 100 Merkmalen, wie beispielsweise Schnelligkeit, Betonung und Rhythmus – auch im Falle einer Erkältung! Ein anderes interessantes Verfahren, an welchem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswertet und individuelle Muster erkennt und prüft.

Jedes Unternehmen hat unterschiedliche Anforderungen und Voraussetzungen für die Implementierung solcher MFA-Lösungen, und somit gibt es keine „one-size-fits-all“-Lösung. Unterschiede bestehen vor allem bei der Integrationsfähigkeit mit Remotezugriffsystemen und Cloud-Anwendungen. Wie löst man also das Passwort-Problem am besten?

Eine effektive Authentifizierungs-Strategie

Es gibt drei Kernpunkte, die Unternehmen bei der Planung eines für sie passenden Authentifizierungsverfahren berücksichtigen sollten:

  • Abbildung der Business Policies in modularen Richtlinien – vorhandene Richtlinien sollten wiederverwendbar, aktualisierbar und auch auf mobile Endgeräte erweiterbar sein. Das erleichtert die Verwaltung der Zugriffskontrolle für die IT-Sicherheit, da der Zugriff für das Gerät dann im Falle eines Sicherheitsvorfalls schnell entzogen werden kann.
  • Verbesserte Nutzbarkeit mobiler Plattformen. Einige Legacy-Applikationen verwenden zwar ein Web-Interface, sind jedoch weder für den mobilen Zugriff noch für regelmäßige Aktualisierungen ausgelegt. Die Verwendung von Single-Sign-On (SSO) Mechanismen für native und Web-Applikationen kann hier durchaus hilfreich sein.
  • Flexibler Einsatz unterschiedlichster Authentifizierungsmechanismen für ein angemessenes Gleichgewicht zwischen Sicherheitsanforderungen, betrieblicher Handlungsfähigkeit und Benutzerfreundlichkeit. Das Authentifizierungsverfahren sollte immer genau dem jeweils erforderlichen Schutzniveau anpassbar sein. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen – die verwendete Methode muss sowohl zur Rolle als auch zur Situation des Benutzers passen.

Die Planung eines für sie passenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur am Status Quo ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Zu berücksichtigen sind insbesondere die zentrale Verwaltung und Steuerung von Benutzern und Endpunkten, sowie die TCO, und ob neue Anforderungen wie Cloud Services und Mobile Devices über das gleiche MFA-Produkt ohne weitere Add-on Module abgesichert werden können.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann

 

Neuer Sicherheitsstandard PCI DSS 3.2. – Die Daumenschrauben für die Finanzindustrie werden angezogen

Das PCI Security Standard Council hat mir der kürzlich verabschiedeten neuen Version PCI DSS 3.2. seine Sicherheitstandards für die Finanzindustrie nochmals deutlich verschärft. Erst kürzlich bekannt gewordene Angriffe auf das SWIFT-System haben gezeigt, dass die bereits hohen Sicherheitsstandards und Complianceanfoderungen immer noch nicht ausreichend genug sind, die sensiblen Daten umfassend zu schützen. Woran liegt das? Erfahren Sie in unserem Blogbeitrag mehr über die vielfältigen Gründe und welche Konsequenzen auf den Handel, die Banken und alle anderen, die mit Kreditkarten arbeiten, zukommen.

Die Cyberkriminalität in der Finanzwelt ist weiterhin auf dem Vormarsch. Wie bereits in meinem letzten Blogbeitrag erwähnt, hat sich die Cyber-Kriminalität laut einer KPMG-Studie zu einem äußert lukrativen Geschäft entwickelt. Geografisch gesehen häufte sich die Wirtschaftskriminalität in der Schweiz vor allem im Raum Zürich, gefolgt vom Tessin als zweitplatzierte Region. Dass gerade diese beiden Regionen die Liste anführen ist nicht weiter verwunderlich, da sowohl Zürich als auch Lugano die größten Finanzzentren in der Schweiz sind, und die Finanzinstitute nach wie vor im Fokus der Cyberkriminellen stehen. Obwohl die Finanzindustrie zu den am höchsten regulierten Branchen mit hohen Sicherheitsstandards und Complianceanforderungen zählt, gibt es nach wie vor unzählige Fälle von Datenmissbrauch und Datendiebstählen bei Finanzdienstleistern. Als Beispiel können hier die erst kürzlich bekannt gewordenen Angriffe auf das SWIFT System genannt werden.

Mit PCI DSS wurde bereits vor vielen Jahren ein Sicherheitsstandard für die Zahlungsindustrie eingeführt – basierend auf den Sicherheitsprogrammen Visa AIS (Account Information Security) und MasterCard SDP (Site Data Protection). Die Sicherheitsvorkehrungen der Kreditkartenunternehmen reichen anscheinend nicht aus. Woran liegt das? Die Gründe sind vielfältig:

  • Ausnutzung bestehender privilegierter Accounts durch Advanced Persistent Threat Szenarien,
  • die gestiegene Nutzung von Mobilitätslösungen und Cloud Services,
  • vermehrte Web-App-Angriffe durch die Verwendung gestohlener Zugangsdaten,
  • das Ausnutzen von Schwachstellen in Webanwendungen und
  • eine stetig steigende Bedrohungslage durch neue Schadsoftware und Cyberspionage.

Aber auch die Einhaltung von PCI-Compliance-Vorschriften bereitet den Unternehmen anscheinend Probleme. Gemäß dem 2015 PCI Compliance Report von Verizon fallen drei von vier Unternehmen durch, wenn es um die Einhaltung von PCI-Compliance geht. Damit sind all diese Unternehmen anfällig für Cyberangriffe auf Kreditkartentransaktionen und Kundendaten.

Als Reaktion sowohl auf die massiven Datendiebstähle bei Finanzdienstleistern als auch auf die steigende Komplexität der Bedrohungen, hat das PCI Security Standards Council seine Sicherheitsanforderungen nun deutlich erhöht. Mit der am 28. April 2016 verabschiedeten Version 3.2 fordert das PCI Security Standards Council unter anderem den konsequenten Einsatz einer Multi-Faktor-Authentifizierung (MFA) für Banken, Händler und andere, die mit Kreditkarten arbeiten. In bisherigen Versionen wurde ausschließlich der Einsatz einer Two-Factor-Authentifizierung für den Remotezugriff gefordert. Neu gilt dies für alle Administratoren, auch bei Zugriffen innerhalb des Cardholder Data Environment (CDE), und man spricht über Multi-Factor-Authentifizierung. Mit den neuen Sicherheitsanforderungen will das PCI Security Standards Council offenbar ein klares Zeichen setzten, dass die momentanen Schutzmechanismen für kritische und sensible Daten, wie solche von Karteninhabern, nicht ausreichend sind und erweitert werden müssen.

Damit verfolgt das PCI Security Standards Council die gleiche Richtung in Bezug auf Passwörter, wie sie bereits letzten Herbst durch den britischen Geheimdienst GHCQ in der Publikation „Password guidance: simplifying your approach“ empfohlen wurden. Angesichts der heutigen Bedrohungsszenarien sind längere und komplexere Passwörter alleine nicht mehr ausreichend.

Das Ende statischer Passwörter und einfacher Pins… es gibt bessere Lösungen für eine sichere Zukunft

thumbAuch wenn den Firmen noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, sollten bereits heute die entsprechenden Weichen dafür gestellt werden. Es gibt eine Vielzahl von Herstellern, die unterschiedliche Multi-Faktor-

Authentifizierungsverfahren anbieten, und die Anzahl der Authentifizierungsmethoden wächst rasant weiter. So gab die HSBC Bank in Großbritannien vor kurzem bekannt, dass sie ab Sommer 2016 eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen wird. Die Authentifizierung, die den Zugriff auf das eigene Bankkonto ermöglicht, erfolgt dann per Smartphone, Stimmen-ID und Fingerabdruck. Innovative Hard- und Software ermöglicht eine eindeutige Identifizierung der Stimme anhand von mehr als 100 Merkmalen, wie beispielsweise Schnelligkeit, Betonung und Rhythmus – auch im Falle einer Erkältung! Ein anderes interessantes Verfahren, an welchem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswertet und individuelle Muster erkennt und prüft.

Jedes Unternehmen hat unterschiedliche Anforderungen und Voraussetzungen für die Implementierung solcher MFA-Lösungen, und somit gibt es keine „one-size-fits-all“-Lösung. Unterschiede bestehen vor allem bei der Integrationsfähigkeit mit Remotezugriffsystemen und Cloud-Anwendungen. Wie löst man also das Passwort-Problem am besten?

Eine effektive Authentifizierungs-Strategie

Es gibt drei Kernpunkte, die Unternehmen bei der Planung eines für sie passenden Authentifizierungsverfahren berücksichtigen sollten:

  • Abbildung der Business Policies in modularen Richtlinien – vorhandene Richtlinien sollten wiederverwendbar, aktualisierbar und auch auf mobile Endgeräte erweiterbar sein. Das erleichtert die Verwaltung der Zugriffskontrolle für die IT-Sicherheit, da der Zugriff für das Gerät dann im Falle eines Sicherheitsvorfalls schnell entzogen werden kann.
  • Verbesserte Nutzbarkeit mobiler Plattformen. Einige Legacy-Applikationen verwenden zwar ein Web-Interface, sind jedoch weder für den mobilen Zugriff noch für regelmäßige Aktualisierungen ausgelegt. Die Verwendung von Single-Sign-On (SSO) Mechanismen für native und Web-Applikationen kann hier durchaus hilfreich sein.
  • Flexibler Einsatz unterschiedlichster Authentifizierungsmechanismen für ein angemessenes Gleichgewicht zwischen Sicherheitsanforderungen, betrieblicher Handlungsfähigkeit und Benutzerfreundlichkeit. Das Authentifizierungsverfahren sollte immer genau dem jeweils erforderlichen Schutzniveau anpassbar sein. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen – die verwendete Methode muss sowohl zur Rolle als auch zur Situation des Benutzers passen.

Die Planung eines für sie passenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur am Status Quo ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Zu berücksichtigen sind insbesondere die zentrale Verwaltung und Steuerung von Benutzern und Endpunkten, sowie die TCO, und ob neue Anforderungen wie Cloud Services und Mobile Devices über das gleiche MFA-Produkt ohne weitere Add-on Module abgesichert werden können.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann

 

Alles Wolke 7 oder doch eher Wolkenbruch? – Cloud Computing ist Realität, hybride Lösungen sind die Konsequenz

Cloud Computing rückt 2016 in Fokus vieler deutscher mittelständischer Unternehmen. Verständlich denn, getragen von der digitalen Transformation sorgt Cloud Computing für die Optimierung der Kapitalbasis, indem sich ausgewählte IT-Kosten von einem Investitions- hin zu einem Betriebskostenmodell verlagern. Doch wie sieht es mit Sicherheitsrisiken und der Durchsetzung von Compliance dabei aus? Sind die Daten in der Cloud wirklich sicher und wo liegen sie und wer kontrolliert sie? Christoph Stoica erläutert im neuen Blogbeitrag, welche Aspekte aus der IT-Security Sicht beachtet werden sollten.

Wenn man einen Blick in den aktuellen Cloud Monitor 2015 der Bitkom wirft, dann ist es keine Frage mehr : Cloud Computing ist jetzt auch bei den deutschen mittelständischen Unternehmen angekommen und die Anpassung geht mit großen Schritten voran.  Einer der maßgeblichen Treiber für die gestiegene Akzeptanz der Cloud in Deutschland ist die digitale Transformation.  Auf Basis von neuen Technologien und Applikationen werden Produkte, Services und Prozesse umgestaltet, so dass sich Unternehmen nach und nach zu einer vollständig vernetzten digitalen Organisation wandeln. Wer jetzt denkt, dies alles sei Zukunftsmusik und gehöre nicht auf die Agenda der  TOP-Prioritäten, dem sei gesagt : weit gefehlt!

Schon jetzt bewegen wir uns mit einer Höchstgeschwindigkeit in eine voll vernetzte Welt.  Immer mehr Menschen verfügen über mobile Endgeräte, hinterlassen digitale Spuren in sozialen Netzwerken, tragen Wearables  die  ihre persönlichen Daten – ob freiwillig oder nicht – senden und für Unternehmen verfügbar machen. Maschinen und Gegenstände sind über  Sensoren und SIM-Karten jederzeit digital ansprechbar, was zu veränderten und erweiterten Wertschöpfungsketten führt.  Die Vielzahl der so gesammelten Daten stellt für Unternehmen  einen  wichtigen Rohstoff dar, der, durch geschickte Analytics Tools richtig genutzt, den entscheidenden Wettbewerbsvorteil verschaffen kann. Es stellt sich also nicht die Frage, ob die digitale Transformation erfolgt, sondern vielmehr wie schnell die Unternehmensführung die entsprechende Weichenstellung in der IT-Infrastruktur vornimmt.

Die digitale Transformation erfordert skalierbare Infrastrukturen – sowohl technisch als auch hinsichtlich der internationalen Reichweite. Cloud Dienste, ob public oder private, mit ihren Merkmalen wie Agilität,  Anpassungsfähigkeit, Flexibilität und  Reaktivität sind hierfür bestens dafür geschaffen. Doch wie sieht es mit den Sicherheitsrisiken und der Durchsetzung von Compliance dabei aus? Sind die Daten in der Cloud sicher? Wo genau liegen meine Daten und wer kontrolliert sie? Auch wenn nach dem kürzlich gefallenen Safe Harbor Urteil „Big Player“ wie Amazon Web Services, Profitbricks, Salesforce und Microsoft nun ihre Rechenzentren in Deutschland oder zumindest an einen EU Standort verlagern, löst das immer noch nicht alle Sicherheitsfragen. Reicht ein Zugriffsmanagement basierend auf einer einfachen Authentifizierung mittels Benutzername und Passwort angesichts der größeren Angriffsfläche noch aus?

dataprotection

Benutzernamen und Passwörter lassen sich heutzutage leicht überlisten, das neue Zaubermittel heißt  Multi-Faktor Authentifizierung. Eine  erweiterte Authentifizierungsmethode unter Nutzung zusätzlicher Faktoren ermöglicht  eine schnelle und präzise Identifikation. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen, die verwendete Methode muss zur  Rolle als auch zum Kontext des Benutzers passen und natürlich der Risikoeinstufung der angeforderten Informationen gerecht werden. Nicht jede Interaktion birgt dasselbe Risiko für ein Unternehmen. Einige Interaktionen stellen eine größere Gefahr dar. Bei einer risikobehafteten Interaktion wird eine strengere Authentifizierung benötigt, die beispielsweise durch eine zusätzliche Information (die nur dem Benutzer bekannt ist), die zusätzliche Verifizierung der Identität über getrennte Kanäle – man spricht von Out of Band – oder andere Elemente gewährleistet wird.

Jedoch kann die Verwendung und Verwaltung solcher mehrstufiger Authentifizierungsverfahren kostspielig und unübersichtlich werden. Micro Focus bietet mit Advanced Authentication eine Lösung zur zentralen Verwaltung aller Authentifizierungsverfahren – ob für Ihre Mitarbeiter, Lieferanten oder Geräte.

Christoph

 

 

 

 

Christoph Stoica

Regional General Manager DACH

Micro Focus