Security 1st. Welche IT Trends prägen 2017

Christoph Stoica, Regional General Manager bei Micro Focus verrät, welche IT-Trends das kommende Jahr prägen werden

Im Rahmen der #DiscoverMF  Tour 2017, einer gemeinsamen Roadshow  von Micro Focus und Open Horizons, der führenden Interessensgemeinschaft für Micro Focus und SUSE Technologien, hatte Macro Mikulits als Mitglied des Open Horizons Core Teams die Möglichkeit mit Christoph Stoica, Regional General Manager von Micro über die  IT-Trends 2017 zu sprechen. Aus Sicht von Christoph Stoica sollte das Thema „ IT Sicherheit“ auch im neuen Jahr  eine zentrale  Rolle für Unternehmen  im Hinblick auf die Bewertung Ihrer IT-Strategie spielen.

Rückblickend war das Jahr 2016 geprägt von vielen, teils spektakulären Cyber-Attacken. Welche „Cyber-Bedrohungen gefährden die Netzwerke der Unternehmen Ihrer Meinung nach derzeit am meisten?

Christoph Stoica:
Die Lage der IT-Sicherheit ist angesichts immer größerer Rekord-Diebstähle von Kundendaten insgesamt sehr angespannt. Unberechtigter Zugriff resultierend aus Identitätsdiebstählen ist – neben der Verbreitung von Schadcode – nach wie vor die häufigste Ursache für sicherheitsrelevante Vorfälle in Unternehmen. Viele Angriffe konzentrieren sich zuerst auf den Diebstahl von Kennwörtern und Zugangsdaten aus dem Privatbereich – wie soziale Netzwerke, E-Mail Konten, Einkaufsportale – um sich im zweiten Schritt die Anmeldeinformation für das Unternehmensnetzwerk zu verschaffen. Professionelle Cyberkriminelle versuchen sich bei ihren Angriffen vor allem vertikal durch die Ebenen zu bewegen, um ihre Berechtigungen auszuweiten, eine Schwachstelle auszunutzen oder Zugriff auf Daten bzw. Anwendungen zu erhalten. Auch die digitale Erpressung durch gezielte Ransomware-Angriffe, wird zunehmend zu einer Bedrohung für Unternehmen und die Gesellschaft, wie die Beispiele der Cyber-Attacken auf mehrere deutsche Krankenhäuser Anfang 2016 zeigen. Infektionen mit Ransomware führen unmittelbar zu Schäden bei den betroffenen Unternehmen, was das betriebswirtschaftliche Risiko zusätzlich erhöht. Die Digitalisierung und Vernetzung sogenannter intelligenter Dinge (IoT) spielt dem Konzept der Ransomware zusätzlich in die Karten.


Wagen wir mal einen Ausblick  auf das, was uns dieses Jahr erwarten wird. Mit welchen „Cyber-Crime“-Trends müssen wir 2017 rechnen?

Christoph Stoica:
Die Themen Identitätsdiebstahl und Ransomware werden auch in 2017 weiterhin eine ernsthafte Bedrohung bleiben. Gerade bei Ransomware sind die monetären Gewinne für die Cyber-Kriminellen sehr hoch und da die Forderung nicht auf herkömmliche Währungen setzt, sondern die auf einer Blockchain basierten Cyberwährung „Bitcoins“ nutzt, ist auch das Entdeckungsrisiko für die Täter sehr gering.
Das Internet der Dinge wird in 2017 eine massive Ausweitung erfahren – insbesondere getrieben durch IoT-Lösungen im Konsumergeschäft, aber auch durch industrielle Anwendungsszenarien wie Gebäudeautomatisierung. Dadurch wird sich die tatsächliche Bedrohung weiterhin erheblich steigern. Sobald intelligente Maschinen und Geräte in Netzwerke eingebunden sind und direkte Machine-to-Machine Kommunikation immer mehr Anwendung findet in Bereichen wie Bezahlsystemen, Flottenmanagement, Gebäudetechnik oder ganz allgemein im Internet der Dinge, muss auch die Frage nach der Cybersicherheit gestellt werden.  Auf den ersten Blick denkt man vielleicht, dass von solchen „smart Things“ keine ernsthafte Bedrohung ausgeht und Schadprogramme nur lokal Auswirkung haben. Doch hat ein Schadprogramm erst einmal ein „smart Thing“ infiziert und somit die erste Hürde der peripheren Sicherheitsmaßnahmen hinter sich gelassen, können von dort weitere vernetzte Systeme identifiziert und infiziert werden. Selbst wenn es zukünftig gelingt, für die in Prozessor- und Storage-Kapazität limitierten IoT-Geräten eine automatische Installation von Updates bereitzustellen, um akute Sicherheitslücken zu stopfen, kann dies aber gleichzeitig auch zu einer Falle werden. Denn für das Einspielen solcher Updates muß das System auf das Internet zugreifen – ein Angreifer könnte sich als Updateserver ausgeben und auf diesem Weg einen Trojaner installieren.


Traditionell bietet sich der Jahreswechsel an,  gute Vorsätze für das Neue Jahr zu fassen. Aus Sicht eines Security Software Herstellers, welche 3 Security Aufgaben würden Sie Kunden empfehlen auf die „Liste der guten Vorsätze“ zu setzen, um Gefahren möglichst effektiv abzuwehren?

Christoph Stoica: Mit den guten Vorsätzen zum Jahresbeginn ist das immer so eine Sache… üblicherweise fallen diese meist recht schnell alten Gewohnheiten zum Opfer und damit sind wir direkt beim Thema „Passwortsicherheit“.

„Das Passwort sollte dynamisch werden.“

Obwohl man sich durchaus der Gefahr bewusst ist, werden vielerorts immer noch zu einfache Passwörter verwendet, ein und dasselbe Passwort für mehrere Accounts genutzt, das Passwort nicht regelmäßig gewechselt, Account-Daten notiert und so weiter und so weiter. Passwörter und Zugangsdaten sind nach wie vor das schwächste Glied der Kette. Dreiviertel aller Cyber-Attacken auf Unternehmen sind laut einer neuen Deloitte Studie auf gestohlene oder schwache Passwörter zurückzuführen. Starke Authentifizierungsverfahren hingegen können unerwünschte Zugriffe bereits an der Eingangstür verhindern und bieten wirksamen Schutz gegen Identitätsdiebstahl. Risikobasierte Zugriffskontrollen berücksichtigen eine Vielzahl von Faktoren um für jedes System und jeden Zugriff das angemessene Sicherheitsniveau zu erreichen – so erhält das Herzstück des Unternehmens den größtmöglichen Schutz, während der Zugriff auf weniger kritische Komponenten nicht durch unangemessene Sicherheitsmaßnahmen eingeschränkt wird.

„Bereiten Sie dem Wildwuchs bei den Verzeichnisdiensten und im Berechtigungsmanagement ein Ende.“

Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind unzulässige Berechtigungen oder verwaiste Konten. Gerade in einer Zeit, in der kompromittierte privilegierte Benutzerkonten das Einfallstor für Datensabotage oder -diebstahl sind, müssen Unternehmen dafür sorgen, diese Angriffsflächen zu reduzieren, Angriffe rechtzeitig zu erkennen und umgehend Gegenmaßnahmen einzuleiten. Hierfür werden intelligente Analysewerkzeuge benötigt, auf deren Basis die richtigen Entscheidungen getroffen werden können. Bei den Maßnahmen zur Prävention sollten Unternehmen daher Ihren Blick auf die Vereinfachung und Automatisierung von sogenannten Zugriffszertifizierungsprozessen richten, um Identity Governance Initiativen im Unternehmen zu etablieren.

„Verkürzen Sie die Reaktionszeit auf Sicherheitsvorfälle.“

Entscheidend für eine bessere und effektivere Abwehr von Bedrohungen und Datenmissbrauch ist die Verkürzung von Reaktionszeiten nach Sicherheitsvorfällen. Doch festzustellen, welche Aktivitäten echte oder potenzielle Bedrohungen darstellen und näher untersucht werden müssen, ist äußerst schwierig. Zur schnellen Erkennung von Bedrohungen, noch bevor sie Schaden anrichten, benötigt man Echtzeitinformationen und Analysen der aktuell auftretenden Sicherheitsereignisse. SIEM-Lösungen ermöglichen eine umfassende Auswertung von Sicherheitsinformationen und können durch Korrelation auch automatisiert Gegenmaßnahmen einleiten. Doch in vielen Fällen bieten bereits deutlich einfachere Change Monitoring Lösungen eine spürbare Verbesserung der Reaktionszeiten auf Sicherheitsvorfälle.
Über Open Horizons :
Open Horizons ist die größte und führende Interessengemeinschaft
für Micro Focus & SUSE Software Technologien.

Als Bindeglied zwischen Hersteller, Anwender und Kunde ist es unser Ziel, die Zusammenarbeit stetig zu verbessern. Denn je größer der Nutzen ist, den Unternehmen und Mitarbeiter aus den von Ihnen eingesetzten Micro Focus und SUSE Software-Lösungen ziehen, desto besser können Sie aktuellen IT-Herausforderungen entgegnen. Deshalb bilden Erfahrung- und Wissensaustausch die Eckpfeiler der Open Horizons Community Philosophie.  Diesem Kerngedanken folgend wurde die Open Horizons Community im Jahre 2004 gegründet. Die Projekte umfassen die Veröffentlichung des Open Horizons Mitglieder-Magazins, die Durchführung von User & Admin-Trainings, das Betreiben des Mailservers GW@home sowie die Organisation verschiedener, hochwertiger Events wie z.B.  Open Horizons Summit und Roadshows wie der YES Tour 2015 oder der #DiscoverMF Tour 2016/2017.
www.open-horizons.de

Neuer Sicherheitsstandard PCI DSS 3.2. – Die Daumenschrauben für die Finanzindustrie werden angezogen

Das PCI Security Standard Council hat mir der kürzlich verabschiedeten neuen Version PCI DSS 3.2. seine Sicherheitstandards für die Finanzindustrie nochmals deutlich verschärft. Erst kürzlich bekannt gewordene Angriffe auf das SWIFT-System haben gezeigt, dass die bereits hohen Sicherheitsstandards und Complianceanfoderungen immer noch nicht ausreichend genug sind, die sensiblen Daten umfassend zu schützen. Woran liegt das? Erfahren Sie in unserem Blogbeitrag mehr über die vielfältigen Gründe und welche Konsequenzen auf den Handel, die Banken und alle anderen, die mit Kreditkarten arbeiten, zukommen.

Die Cyberkriminalität in der Finanzwelt ist weiterhin auf dem Vormarsch. Wie bereits in meinem letzten Blogbeitrag erwähnt, hat sich die Cyber-Kriminalität laut einer KPMG-Studie zu einem äußert lukrativen Geschäft entwickelt. Geografisch gesehen häufte sich die Wirtschaftskriminalität in der Schweiz vor allem im Raum Zürich, gefolgt vom Tessin als zweitplatzierte Region. Dass gerade diese beiden Regionen die Liste anführen ist nicht weiter verwunderlich, da sowohl Zürich als auch Lugano die größten Finanzzentren in der Schweiz sind, und die Finanzinstitute nach wie vor im Fokus der Cyberkriminellen stehen. Obwohl die Finanzindustrie zu den am höchsten regulierten Branchen mit hohen Sicherheitsstandards und Complianceanforderungen zählt, gibt es nach wie vor unzählige Fälle von Datenmissbrauch und Datendiebstählen bei Finanzdienstleistern. Als Beispiel können hier die erst kürzlich bekannt gewordenen Angriffe auf das SWIFT System genannt werden.

Mit PCI DSS wurde bereits vor vielen Jahren ein Sicherheitsstandard für die Zahlungsindustrie eingeführt – basierend auf den Sicherheitsprogrammen Visa AIS (Account Information Security) und MasterCard SDP (Site Data Protection). Die Sicherheitsvorkehrungen der Kreditkartenunternehmen reichen anscheinend nicht aus. Woran liegt das? Die Gründe sind vielfältig:

  • Ausnutzung bestehender privilegierter Accounts durch Advanced Persistent Threat Szenarien,
  • die gestiegene Nutzung von Mobilitätslösungen und Cloud Services,
  • vermehrte Web-App-Angriffe durch die Verwendung gestohlener Zugangsdaten,
  • das Ausnutzen von Schwachstellen in Webanwendungen und
  • eine stetig steigende Bedrohungslage durch neue Schadsoftware und Cyberspionage.

Aber auch die Einhaltung von PCI-Compliance-Vorschriften bereitet den Unternehmen anscheinend Probleme. Gemäß dem 2015 PCI Compliance Report von Verizon fallen drei von vier Unternehmen durch, wenn es um die Einhaltung von PCI-Compliance geht. Damit sind all diese Unternehmen anfällig für Cyberangriffe auf Kreditkartentransaktionen und Kundendaten.

Als Reaktion sowohl auf die massiven Datendiebstähle bei Finanzdienstleistern als auch auf die steigende Komplexität der Bedrohungen, hat das PCI Security Standards Council seine Sicherheitsanforderungen nun deutlich erhöht. Mit der am 28. April 2016 verabschiedeten Version 3.2 fordert das PCI Security Standards Council unter anderem den konsequenten Einsatz einer Multi-Faktor-Authentifizierung (MFA) für Banken, Händler und andere, die mit Kreditkarten arbeiten. In bisherigen Versionen wurde ausschließlich der Einsatz einer Two-Factor-Authentifizierung für den Remotezugriff gefordert. Neu gilt dies für alle Administratoren, auch bei Zugriffen innerhalb des Cardholder Data Environment (CDE), und man spricht über Multi-Factor-Authentifizierung. Mit den neuen Sicherheitsanforderungen will das PCI Security Standards Council offenbar ein klares Zeichen setzten, dass die momentanen Schutzmechanismen für kritische und sensible Daten, wie solche von Karteninhabern, nicht ausreichend sind und erweitert werden müssen.

Damit verfolgt das PCI Security Standards Council die gleiche Richtung in Bezug auf Passwörter, wie sie bereits letzten Herbst durch den britischen Geheimdienst GHCQ in der Publikation „Password guidance: simplifying your approach“ empfohlen wurden. Angesichts der heutigen Bedrohungsszenarien sind längere und komplexere Passwörter alleine nicht mehr ausreichend.

Das Ende statischer Passwörter und einfacher Pins… es gibt bessere Lösungen für eine sichere Zukunft

thumbAuch wenn den Firmen noch eine Schonfrist für die Umsetzung der neuen Anforderungen bis zum 1. Februar 2018 gewährt wird, sollten bereits heute die entsprechenden Weichen dafür gestellt werden. Es gibt eine Vielzahl von Herstellern, die unterschiedliche Multi-Faktor-

Authentifizierungsverfahren anbieten, und die Anzahl der Authentifizierungsmethoden wächst rasant weiter. So gab die HSBC Bank in Großbritannien vor kurzem bekannt, dass sie ab Sommer 2016 eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen wird. Die Authentifizierung, die den Zugriff auf das eigene Bankkonto ermöglicht, erfolgt dann per Smartphone, Stimmen-ID und Fingerabdruck. Innovative Hard- und Software ermöglicht eine eindeutige Identifizierung der Stimme anhand von mehr als 100 Merkmalen, wie beispielsweise Schnelligkeit, Betonung und Rhythmus – auch im Falle einer Erkältung! Ein anderes interessantes Verfahren, an welchem Micro Focus und Nymi derzeit arbeiten, ist die Authentifizierung über den eigenen Herzschlag. Hierfür legt sich der Nutzer ein Armband an, welches den Herzschlag per EKG auswertet und individuelle Muster erkennt und prüft.

Jedes Unternehmen hat unterschiedliche Anforderungen und Voraussetzungen für die Implementierung solcher MFA-Lösungen, und somit gibt es keine „one-size-fits-all“-Lösung. Unterschiede bestehen vor allem bei der Integrationsfähigkeit mit Remotezugriffsystemen und Cloud-Anwendungen. Wie löst man also das Passwort-Problem am besten?

Eine effektive Authentifizierungs-Strategie

Es gibt drei Kernpunkte, die Unternehmen bei der Planung eines für sie passenden Authentifizierungsverfahren berücksichtigen sollten:

  • Abbildung der Business Policies in modularen Richtlinien – vorhandene Richtlinien sollten wiederverwendbar, aktualisierbar und auch auf mobile Endgeräte erweiterbar sein. Das erleichtert die Verwaltung der Zugriffskontrolle für die IT-Sicherheit, da der Zugriff für das Gerät dann im Falle eines Sicherheitsvorfalls schnell entzogen werden kann.
  • Verbesserte Nutzbarkeit mobiler Plattformen. Einige Legacy-Applikationen verwenden zwar ein Web-Interface, sind jedoch weder für den mobilen Zugriff noch für regelmäßige Aktualisierungen ausgelegt. Die Verwendung von Single-Sign-On (SSO) Mechanismen für native und Web-Applikationen kann hier durchaus hilfreich sein.
  • Flexibler Einsatz unterschiedlichster Authentifizierungsmechanismen für ein angemessenes Gleichgewicht zwischen Sicherheitsanforderungen, betrieblicher Handlungsfähigkeit und Benutzerfreundlichkeit. Das Authentifizierungsverfahren sollte immer genau dem jeweils erforderlichen Schutzniveau anpassbar sein. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen – die verwendete Methode muss sowohl zur Rolle als auch zur Situation des Benutzers passen.

Die Planung eines für sie passenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur am Status Quo ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Zu berücksichtigen sind insbesondere die zentrale Verwaltung und Steuerung von Benutzern und Endpunkten, sowie die TCO, und ob neue Anforderungen wie Cloud Services und Mobile Devices über das gleiche MFA-Produkt ohne weitere Add-on Module abgesichert werden können.

Thomas Hofmann

Systems Engineer – Micro Focus Switzerland

TomHofmann

 

Alles Wolke 7 oder doch eher Wolkenbruch? – Cloud Computing ist Realität, hybride Lösungen sind die Konsequenz

Cloud Computing rückt 2016 in Fokus vieler deutscher mittelständischer Unternehmen. Verständlich denn, getragen von der digitalen Transformation sorgt Cloud Computing für die Optimierung der Kapitalbasis, indem sich ausgewählte IT-Kosten von einem Investitions- hin zu einem Betriebskostenmodell verlagern. Doch wie sieht es mit Sicherheitsrisiken und der Durchsetzung von Compliance dabei aus? Sind die Daten in der Cloud wirklich sicher und wo liegen sie und wer kontrolliert sie? Christoph Stoica erläutert im neuen Blogbeitrag, welche Aspekte aus der IT-Security Sicht beachtet werden sollten.

Wenn man einen Blick in den aktuellen Cloud Monitor 2015 der Bitkom wirft, dann ist es keine Frage mehr : Cloud Computing ist jetzt auch bei den deutschen mittelständischen Unternehmen angekommen und die Anpassung geht mit großen Schritten voran.  Einer der maßgeblichen Treiber für die gestiegene Akzeptanz der Cloud in Deutschland ist die digitale Transformation.  Auf Basis von neuen Technologien und Applikationen werden Produkte, Services und Prozesse umgestaltet, so dass sich Unternehmen nach und nach zu einer vollständig vernetzten digitalen Organisation wandeln. Wer jetzt denkt, dies alles sei Zukunftsmusik und gehöre nicht auf die Agenda der  TOP-Prioritäten, dem sei gesagt : weit gefehlt!

Schon jetzt bewegen wir uns mit einer Höchstgeschwindigkeit in eine voll vernetzte Welt.  Immer mehr Menschen verfügen über mobile Endgeräte, hinterlassen digitale Spuren in sozialen Netzwerken, tragen Wearables  die  ihre persönlichen Daten – ob freiwillig oder nicht – senden und für Unternehmen verfügbar machen. Maschinen und Gegenstände sind über  Sensoren und SIM-Karten jederzeit digital ansprechbar, was zu veränderten und erweiterten Wertschöpfungsketten führt.  Die Vielzahl der so gesammelten Daten stellt für Unternehmen  einen  wichtigen Rohstoff dar, der, durch geschickte Analytics Tools richtig genutzt, den entscheidenden Wettbewerbsvorteil verschaffen kann. Es stellt sich also nicht die Frage, ob die digitale Transformation erfolgt, sondern vielmehr wie schnell die Unternehmensführung die entsprechende Weichenstellung in der IT-Infrastruktur vornimmt.

Die digitale Transformation erfordert skalierbare Infrastrukturen – sowohl technisch als auch hinsichtlich der internationalen Reichweite. Cloud Dienste, ob public oder private, mit ihren Merkmalen wie Agilität,  Anpassungsfähigkeit, Flexibilität und  Reaktivität sind hierfür bestens dafür geschaffen. Doch wie sieht es mit den Sicherheitsrisiken und der Durchsetzung von Compliance dabei aus? Sind die Daten in der Cloud sicher? Wo genau liegen meine Daten und wer kontrolliert sie? Auch wenn nach dem kürzlich gefallenen Safe Harbor Urteil „Big Player“ wie Amazon Web Services, Profitbricks, Salesforce und Microsoft nun ihre Rechenzentren in Deutschland oder zumindest an einen EU Standort verlagern, löst das immer noch nicht alle Sicherheitsfragen. Reicht ein Zugriffsmanagement basierend auf einer einfachen Authentifizierung mittels Benutzername und Passwort angesichts der größeren Angriffsfläche noch aus?

dataprotection

Benutzernamen und Passwörter lassen sich heutzutage leicht überlisten, das neue Zaubermittel heißt  Multi-Faktor Authentifizierung. Eine  erweiterte Authentifizierungsmethode unter Nutzung zusätzlicher Faktoren ermöglicht  eine schnelle und präzise Identifikation. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen, die verwendete Methode muss zur  Rolle als auch zum Kontext des Benutzers passen und natürlich der Risikoeinstufung der angeforderten Informationen gerecht werden. Nicht jede Interaktion birgt dasselbe Risiko für ein Unternehmen. Einige Interaktionen stellen eine größere Gefahr dar. Bei einer risikobehafteten Interaktion wird eine strengere Authentifizierung benötigt, die beispielsweise durch eine zusätzliche Information (die nur dem Benutzer bekannt ist), die zusätzliche Verifizierung der Identität über getrennte Kanäle – man spricht von Out of Band – oder andere Elemente gewährleistet wird.

Jedoch kann die Verwendung und Verwaltung solcher mehrstufiger Authentifizierungsverfahren kostspielig und unübersichtlich werden. Micro Focus bietet mit Advanced Authentication eine Lösung zur zentralen Verwaltung aller Authentifizierungsverfahren – ob für Ihre Mitarbeiter, Lieferanten oder Geräte.

Christoph

 

 

 

 

Christoph Stoica

Regional General Manager DACH

Micro Focus