Einzelheftpreis 15, /2012 Februar April Juni August Oktober Dezember. Virtualisierung und Cloud

Transkript

1 Einzelheftpreis 15, /2012 Februar April Juni August Oktober Dezember Simplify Your Security! Im Interview: Christine Schönig, Technical Managerin bei Check Point Software Technologies Industrial Security Post-Stuxnet: Bilanz und Prognosen Schutz von SCADA-Netzwerken Wie viel Office-Standard verträgt die Industrie? Zutrittskontrolle und Schließanlagen Virtualisierung und Cloud Compliance-Aspekte in hybriden Clouds Was taugen Zertifikate für Cloud-Provider? Security für Cloud-basierte Nutzen und Risiken beim Cloud Storage Trends und Technik Neue Allianz für Cyber-Sicherheit Sicherheit in Hardware: Trusted Computing Öffentlicher Dienst: Praxisgerechter Datenschutz

2 Mehr als Organisationen weltweit steigern die Sicherheit und Effizienz ihrer Netzwerke, Angestellten und Daten mit den mehrfach ausgezeichneten Lösungen von Barracuda Networks. Sie haben die Wahl wenn es darum geht, die richtigen Hersteller und Produkte auszuwählen - und mehr Gründe denn je, Barracuda Networks in Ihre Entscheidungen einzubeziehen. Virtuelle, Cloud-basierte und hybride Einsatzmöglichkeiten SECURITY Barracuda Spam & Virus Firewall Barracuda Web Application Firewall Barracuda Web Filter Barracuda NG Firewall Barracuda SSL VPN NETWORKING Barracuda Load Balancer Barracuda Link Balancer STORAGE & DATA PROTECTION Barracuda Message Archiver Barracuda Backup Service Testen Sie unsere Lösungen kostenfrei 30 Tage lang. +49 (0)

3 Editorial Cebit 2012 große Balz um Cloud-Vertrauen Trotz vieler Vorankündigungen und Vorberichte in den Medien brachte die diesjährige Cebit doch manche Überraschung. Das zentrale Thema der vielen großen und kleineren Anbieter das war keine Überraschung war einmal mehr das Cloud Computing. So hat auch beispielsweise Microsoft als weltgrößter Softwarekonzern mit Windows 8 und neuen Anwendungen in Hannover sein Cloud-Engagement stark erweitert und ist mit seinem auch für Tablets geeigneten Betriebssystem in die Welt der Wolken eingestiegen. Die Deutsche Telekom hat vor, nicht nur Großkunden und Mittelständler, sondern auch Privatkunden in dieses stark wachsende und hochattraktive Gebiet des Informations- und Telekommunikationsgeschäfts zu bringen. Die Cloud für alle ist hier das Ziel. Für den Mittelstand werde es ein Portal Business Marketplace mit einem Komplettservice von der Kundenverwaltung bis zur Buchführung geben. Privatkunden können plattform- und geräteunabhängig Daten in der Cloud ablegen. Auch die Welt der Prozessoren ist inzwischen heftig ins Cloud-Geschehen involviert: So warb etwa Intel mit seinen neuen Xeon-E5-Prozessoren für einen bis zu 80-prozentigen Leistungsschub in der Datenwolke. Die neuen Chips haben acht Rechnerkerne, adressieren bis zu 768 Gigabyte Arbeitsspeicher und sind in besonders energiesparender 32-Nanometer-Struktur gefertigt. Sie sollen die Basis für sogenannte In- Memory -Technologien bilden die nächste Generation des Cloud Computing. Dabei werden riesige Datenbanken ohne Zwischenspeicherung auf Festplatten direkt im Hauptspeicher in Echtzeit analysiert und verarbeitet. Das erlaubt eine deutliche Vereinfachung der Speicherinfrastruktur, bei drastischer Erhöhung der Performance. Im Bereich der Business-Intelligence-Plattformen gehört etwa SAP zu den führenden Playern, die In-Memory bereits nutzen. Die Zweifel an der Datensicherheit der Cloud sind jedoch nach wie vor sehr groß. Mit diesem Wissen warb Bundeskanzlerin Angela Merkel in ihrer Eröffnungsrede zur CeBIT um Vertrauen für die neuen Technologien. Ihr Bundesdatenschutzbeauftragter zeigte sich deutlich zurückhaltender: Schaar mahnte klar zur Vorsicht bei der Weitergabe von Daten in die Cloud. Vertrauen ja, aber mit höchster Aufmerksamkeit so lässt sich dann vielleicht auch das Oberthema der weltgrößten IT-Show interpretieren: Managing Trust (wörtlich: Vertrauen verwalten ). Die Cloud wird zum relevanten Wirtschaftsfaktor, insofern ist ein gewisses Maß an Vertrauen seitens der Anwender hier absolut essentiell: Ohne Cloud-Vertrauen gibt es schließlich auch kein Cloud-Business. Und das wollen sich die zahlreichen Cloud-Anbieter keinesfalls nehmen lassen. Die eigene Nation erfährt dabei als vertrauenswürdiger Rechtsraum großen Zuspruch: Fast alle deutschen Anbieter spielen beim Thema Cloud sehr gerne die Deutschland-Karte. Von einem geeinten Europa sind wir in Sachen Cloud-Gesetzgebung noch meilenweit entfernt an die globale Perspektive ist nicht zu denken. Nicht zuletzt befeuert von den Chancen und Herausforderungen im Cloud Computing entwickelte die Bundesregierung im vergangenen Jahr eine umfangreiche, nationale Prof. Dr. Jan von Knop Sicherheitsstrategie. Auf deren Basis entstand zur CeBIT eine neue Initiative, die auch das Thema Cloud auf neue Beine stellen könnte: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) gründeten eine Allianz für Cyber-Sicherheit. Was es konkret damit auf sich hat, dazu befragte IT-SICHERHEIT Lutz Neugebauer, Bereichsleiter Sicherheit beim BITKOM (Interview im Aktuell-Teil dieser Ausgabe). Viele weitere Aspekte zum Thema Sicherheit in der Cloud beleuchtet der Themenkomplex Virtualisierung/Cloud Computing als einer der beiden Schwerpunkte im vorliegenden Heft. it-sicherheit [2/2012] 3

4 Kooperation Mit it-sicherheit.de bestens informiert Der Marktplatz für IT-Sicherheit Seit Anfang Mai unterstützt das Fachmagazin IT-SICHERHEIT im Rahmen einer Kooperation mit dem Institut für Internet- Sicherheit if(is) der Fachhochschule Gelsenkirchen die Redaktion des Online-Portals it-sicherheit.de. Neben zahlreichen kostenfreien Angeboten, ebenso für Unternehmer wie auch für Privatanwender, finden interessierte Besucher unter it-sicherheit.de ab sofort täglich aktuelle News und Expertenkommentaren rund um das Thema IT-Sicherheit. Die vielen kostenfreien Angebote und aktuellen Meldungen stellen den Benutzern einen echten Mehrwert bereit und stehen im Einklang zur nicht-kommerziellen Ausrichtung des Online-Portals Der Marktplatz IT-Sicherheit. Alle Angebote von it-sicherheit.de im Schnell-Überblick l l l l l l l l l securitynews: iphone- und ipad-app sowie -Service in Echtzeit - Aktuelle Hinweise zu Sicherheitsupdates für Windows, Linux, Mac und Co. - Aktuelle Darstellung der IT-Sicherheitslage Tipps und Hilfestellungen aus der Praxis Aktuelle Meldungen zum Thema IT-Sicherheit Checklisten rund um die IT-Sicherheit Bundesweit größtes Verzeichnis von IT-Sicherheitsanbietern und -Produkten Veranstaltungshinweise rund um die IT-Sicherheit Veranstaltungsplaner IT-Sicherheit Einfaches Finden mit intelligenten Such- und Filterfunktionen Größte Jobbörse IT-Sicherheit Schauen Sie am besten gleich jetzt und regelmäßig bei uns rein!

5 Inhalt 10 CeBIT-Roundtable der IT-SICHERHEIT: Von Clouds, BYOD und Berechtigungsmanagement 30 Cloud Storage auf dem Vormarsch: Sichere Unternehmensdaten und Kollaboration ohne Grenzen Alter macht verletzlich: Flexibler Schutz für SCADA-Netzwerke Anforderungen an die Zuverlässigkeit des betrieblichen Datenschutzbeauftragten Editorial 3 CeBIT 2012 große Balz um Cloud-Vertrauen News Markt und Unternehmen 6 Aktuelle Meldungen Produkt News 8 Neuheiten auf dem Markt Aktuelles 10 CeBIT-Roundtable: Von Clouds, BYOD und Berechtigungsmanagement 14 Neue Allianz für Cybersicherheit Titel-Story 16 Im Interview: Christine Schönig, Technical Managerin bei Check Point Software Technologies Industrial Security 20 Alter macht verletzlich: Flexibler Schutz für SCADA- Netzwerke 22 Personenidentifikation: Vom Ausweis bis zur Biometrie 25 IT-Sicherheit in der Produktionsumgebung 28 Schließanlagen mit PIN-Code, RFID-Card und NFC-Mobiltelefon Cloud Computing 30 Cloud Storage auf dem Vormarsch 32 Die Cloud muss entmystifiziert werden Interview mit Wieland Alge, Barracuda Networks 34 Gezieltes Phishing durch Social Engineering 36 Compliance Aspekte in hybriden Clouds 38 Vertrauliche und verbindliche Nachrichtenübermittlung aus der Cloud IT-Recht & Rechtsprechung 40 Fallbeispiele: Wie haftet der Betreiber einer Suchmaschine? Teil 2 43 Urteilsbesprechung Security im ÖD 45 Das datenschutzrechtliche Sicherheitskonzept in der Praxis 48 Einführung von VoIP bei Behörden und Unternehmen Datenschutz 52 Anforderungen an die Zuverlässigkeit des betrieblichen Datenschutzbeauftragten Produkte & Technologien 55 Das Internet als Plattform für Big Data Teil 2 58 Trusted Computing als Vertrauensgenerator 60 QR-Codes im Visier: Schnelle Antwort schnell in Schwierigkeiten? Services 62 Veranstaltungskalender 64 Rubrikanzeigen 66 Impressum 67 DATAKONTEXT Webportal Vorschau 66 Ausblick auf die Ausgaben 3/12 und 4/ IT-SICHERHEIT der Newsletter +++ Jetzt registrieren unter it-sicherheit [2/2012] 5

6 Produkt news markt newsund unternehmen CeBIT als Plattform für ersten Auftritt unter gemeinsamem Dach Die diesjährige CeBIT war für Sophos und Astaro gleich in zweierlei Hinsicht ein absolutes Highlight: Neben der Vorschau auf das neue Security-Gateway-Flaggschiff gab es auf der Messe zudem den offiziellen Startschuss für die gemeinsame Zukunft unter dem Motto Complete Security. Als Premieren waren neben UTM 9 (ehemals Astaro Security Gateway ) auch das Rundumsorglospaket Endpoint 10 sowie das Verschlüsselungstool SafeGuard 6 und der Verwaltungsprofi Mobile Control 2.0 zu sehen. Durch die Koordination zwischen Gateway und Endpoint wird IT-Sicherheit einfacher und effektiver, so Jan Hichert, Senior Vice President & General Manager, Network Security. Das Zusammenwachsen der beiden Unternehmen visualisierten Sophos und Astaro mit einem echten Hingucker: Aus rund Legosteinen wurde unter Mithilfe der Besucher eine über fünf Meter lange Brücke gebaut, für deren feierliche Begehung am Messefreitag der Sophos-CEO Steve Munford überraschend anreiste. Weitere Infos unter: Aus rund Legosteinen wurde unter Mithilfe der Besucher eine über fünf Meter lange Brücke gebaut, für deren feierliche Begehung am Messefreitag der Sophos-CEO Steve Munford überraschend anreiste. Foto: Sophos Aufstieg in die Top 5 der globalen Managed Security Services Provider Current Analysis ordnet Orange Business Services unter den weltweiten Top-5-Anbietern für Managed Security Services (MSS) ein. Im entsprechenden Bericht Managed Security Services Update: It Just Got Better wird Orange Business Services als wichtiger Herausforderer im globalen MSS Provider (MSSP)-Markt gesehen. Orange Business Services (OBS) differenziert sich gemäß Current Analysis mit fortschrittlichen Services in den Bereichen Identitäts- und Gefahrenmanagement durch die breite geografische Abdeckung mit Sicherheitsservices vom Wettbewerb. Die Untersuchung von Current Analysis zieht bei der Bewertung insbesondere folgende fünf Aspekte von MSSP-Angeboten in Betracht: Leistungsumfang und -verfügbarkeit, Service- und Support-Garantien, Authentifizierungs- und Monitoring Services sowie Intrusion Prevention und Bedrohungsmanagement. Weitere Infos unter: Verbreitertes Produktportfolio neuer Name Die neue Marke Egosecure macht die neue Produktphilosophie deutlich und gibt uns die Möglichkeit, international erfolgreich zu werden, so Natalya Kaspersky. Foto: InfoWatch Cynapspro heißt jetzt EgoSecure. Nach dem Einstieg von Natalya Kaspersky geht das Unternehmen durch das Rebranding und die neue Produktphilosophie auf Expansionskurs. Die Mitbegründerin und ehemalige Chefin des Antivirenspezialisten Kaspersky Lab ist seit 2009 mit dem Unternehmen InfoWatch auf dem deutschen Markt vertreten. Im Dezember 2011 hatte sie mit ihrer Holding InfoWatch Labs den Mehrheitsanteil des vor etwa sieben Jahren gegründeten deutschen Endpoint Data Protection-Spezialisten cynapspro aus Ettlingen übernommen. Dessen Produktpalette umfasst heute neben dem Devicemanagement auch Lösungen für das Applikationsmanagement, die Verschlüsselung und für das Energiemanagement. Die Kernphilosophie reflektiert einen Security-Ansatz, der Problemfelder umfassend, einfach und effizient adressiert. Die neue Marke Egosecure macht die neue Produktphilosophie deutlich und gibt uns die Möglichkeit, international erfolgreich zu werden. Da weder der Standort noch die sehr erfolgreiche Mannschaft verändert, sondern deutlich ausgebaut wird, bin ich mir sicher, dass die neue Marke sehr schnell erfolgreich wird und eine noch größere Akzeptanz bei den Kunden findet", sagt Natalya Kaspersky. "EgoSecure bedeutet- Ich bin sicher!. Welcher IT-Verantwortliche möchte das nicht über seine Endpoints sagen können", erläutert Sergej Schlotthauer, Geschäftsführer der EgoSecure. "Um das effizient zu erreichen, braucht man keine Suite aus vielen Einzelprodukten, sondern eine ganzheitliche Lösung, die alle Problembereiche adressiert und genau das ist EgoSecure Endpoint. Weitere Infos unter: 6 it-sicherheit [2/2012]

7 news markt und produkt unternehmen news Rustock: Ein Jahr danach Am 16. März des vergangenen Jahres wurde das Rustock-Botnet abgeschaltet. Es war für einen Großteil des weltweit versendeten Pharma-Spams verantwortlich und steuerte hauptsächlich Bots in Westeuropa und den USA. Als Folge brach das Spam-Aufkommen innerhalb von 24 Stunden um mehr als 60 Prozent ein. Ein Jahr später hat das Research-Team von eleven die Folgen der Rustock-Abschaltung analysiert und die wichtigsten Auswirkungen zusammengestellt. Demnach lag das Spam-Aufkommen im Februar 2012 um 61,2 Prozent unter dem Wert des gleichen Vorjahresmonats und damit auf dem Niveau unmittelbar nach der Rustock- Abschaltung. Im vierten Quartal 2011 war das Spam- Volumen zwischenzeitlich wieder gestiegen, nur um anschließend erneut einzubrechen. Dagegen hat die Anzahl gefährlicher -Nachrichten deutlich zugelegt. Malware- s stiegen seit Februar 2011 um 50,5 Prozent, Virenausbrüche sogar um mehr als das Doppelte (107,0 Prozent). Den größten Sprung machten Phishing- s: Zwischen Februar 2011 und Februar 2012 wuchs ihre Zahl um 145,0 Prozent (siehe Bild). Weitere Infos unter: So hat sich das SPAM-Aufkommen seit Abschaltung des Rustock-Botnet entwickelt. Quelle: eleven Research Verbraucher dürfen durch ACTA nicht kriminalisiert werden Der Bundesverband Digitale Wirtschaft (BVDW) e.v. hält Nachbesserungen am internationalen Anti-Counterfeiting Trade Agreement ACTA für erforderlich und betont, dass Verbraucher nicht durch ACTA kriminalisiert werden dürfen. Der BVDW betont die Notwendigkeit des Urheberrechtsschutzes zugunsten der Rechteinhaber. Dieser darf aber nicht einseitig auf Kosten der Verbraucher, der Unternehmen der digitalen Wirtschaft oder der Vielfalt und Freiheit im Netz erfolgen. Der BVDW regt daher eine grundsätzliche Weiterentwicklung des Urheberrechts für einen modernen Rechtsrahmen an. Dieser muss Kreativität, Vielfalt und Freiheit in einen angemessenen Ausgleich bringen und insbesondere die Position der werkschaffenden Kreativen stärken. Weitere Infos unter: Das Vorgehen, ACTA hinter nahezu vollständig verschlossenen Türen zu verhandeln, schürte bei den Verbrauchern Unsicherheit und Ängste. Zudem lassen die oft sehr weit gefassten und nicht eindeutigen Formulierungen von ACTA zu viel Interpretationsraum. Was wir stattdessen brauchen, ist ein für die Nutzer verständliches Urheberrecht, sagt Matthias Ehrlich, BVDW- Vizepräsident. Quelle: BVDW Malware wächst Unternehmen über den Kopf IT-Abteilungen fehlt es sowohl an den technischen Hilfsmitteln als auch an Analysten, um mit der Malware-Entwicklung Schritt halten zu können. Das ist das Ergebnis einer Umfrage, die Norman in Zusammenarbeit mit dem Marktforschungsunternehmen Forrest W. Anderson zu Jahresbeginn unter IT-Leitern in den USA und in Europa durchgeführt hat. Demnach befürchten 62 Prozent der Befragten, dass die Gefährlichkeit und Komplexität von Malware schneller wächst, als Unternehmen ihre Kapazitäten für die Malware-Analyse ausbauen können. Die größte Herausforderung für das Jahr 2012 sehen 58 Prozent der IT-Leiter in der schieren Zahl neuer Schadcodes. Viele Unternehmen planen deshalb die Erweiterung ihrer intern entwickelten Analyse-Lösungen durch ein automatisiertes kommerzielles Produkt. Knapp zwei Drittel der befragten IT-Leiter (65 Prozent) gehen davon aus, dass die Anzahl der Schadcodes im laufenden Jahr um mehr als 25 Prozent zunehmen wird. Dennoch werde ihr Unternehmen nicht in dem Umfang investieren, der notwendig wäre, um mit der Entwicklung Schritt halten zu können. Nur 17 Prozent der IT-Leiter können jede Malware identifizieren, die auf ihr Unternehmen abzielt. Ebenfalls bedenklich ist, dass weniger als die Hälfte der Befragten (45 Prozent) für 2012 mit einem steigenden Budget für den Malware-Schutz rechnet und nur ein Drittel (33 Prozent) davon ausgehen kann, dass Malware-Analysten das Team verstärken werden. Weitere Infos unter: it-sicherheit [2/2012] 7

8 Produkt news News Next Generation Firewall verbunden mit Webfilter in der Cloud Als erster Anbieter einer Next Generation Firewall bietet Barracuda Networks Sicherheit und Richtliniendurchsetzung bei der Internetnutzung für Anwender außerhalb des Netzwerkes und unabhängig vom Endgerät. Barracuda Networks erreicht dies durch die Integration der Barracuda NG Firewall und des Cloud-Service Barracuda Web Security Flex. Es ist die erste Lösung, die eine Enterprise-fähige Webfilter-Technologie in der Cloud mit einer Next Generation Firewall verbindet. Durch die Verlagerung von rechenintensiven Sicherheits- und Reporting-Funktionen in die Cloud entlasten Unternehmen ihre Firewalls. Das Angebot ist ab sofort erhältlich. Eine standortunabhängige Web-Policy durchzusetzen, erforderte bisher ein komplexes Szenario aus Cloud, Firewall, Hypervisor-Container und dedizierter Webfilter-Appliance, so Wieland Alge, General Manager EMEA bei Barracuda Networks. Das ist nicht das, was Nutzer heute verlangen. Sie wollen eine klare und einfach zu verwaltende Lösung, die alles in einer einzigen Appliance vereint. Die Integration der NG Firewall mit Web Security Flex ermöglicht es Unternehmen, selbst die dynamischsten Netzwerke zu verwalten. Deren Herausforderung besteht darin, dass Zehntausende von Nutzern mit unterschiedlichen Endgeräten von innerhalb und außerhalb des Netzwerks auf Anwendungen und Netzwerkressourcen zugreifen. Weitere Infos unter: Barracuda NG Firewall verbindet eine Enterprisefähige Webfilter-Technologie in der Cloud mit einer Next Generation Firewall. Durch die Verlagerung von rechenintensiven Sicherheits- und Reporting- Funktionen in die Cloud entlasten Unternehmen ihre Firewalls. Quelle: Barracuda Networks Ab sofort verfügbar! Das Stichwortverzeichnis der IT-SICHERHEIT für 2011 stellen wir Ihnen ab sofort gerne als PDF zur Verfügung. Bitte schicken Sie bei Interesse eine mit dem Betreff IT-SICHERHEIT 2011 Stichwortverzeichnis an Wir werden Ihnen das Stichwortverzeichnis schnellstmöglich per zuschicken. Rundum informiert: Tagesaktuelle News gibt's unter Umfassender Security-Ansatz für den Arbeitsplatz von morgen Mitarbeiter möchten ihre eigenen Geräte am Arbeitsplatz nutzen und mehr Flexibilität dafür erhalten, wie, wann und wo sie arbeiten. Um Unternehmen für diese Anforderungen die geeignete Technologie-Architektur zu bieten, bringt Cisco nun einen ganzheitlichen Ansatz auf den Markt, der Richtlinien vereinheitlicht, eine bessere Bedienung durch die Nutzer ermöglicht und das Management der Geräte vereinfacht. Der Ansatz basiert auf der Borderless Network-Architektur von Cisco, die das Unternehmen für die BYOD-Unterstützung mit vier neuen beziehungsweise aktualisierten Lösungen erweitert hat. Dies sind Erweiterungen der Cisco Identity Services Engine (ISE), Cisco Unified Wireless Network Software in der Version 7.2 sowie Prime Assurance Manager und Prime Infrastructure. Letztere vereinfachen den Betrieb und das Netzwerkmanagement. IT-Manager erfassen damit die Performance einer Anwendung aus der Nutzerperspektive. Zudem sollen sie die Fehlerbehebung beschleunigen und die laufenden Kosten reduzieren. Erst kürzlich hat der Cisco Connected World Technology Report ermittelt, dass über 40 Prozent der Studenten und jungen Mitarbeiter einen geringer bezahlten Job akzeptieren würden, wenn sie dafür ihre eigenen Geräte nutzen können und mehr Mobilität erhalten. Dies zeigt, wie wichtig eine möglichst uneingeschränkte Arbeitsumgebung ist. Weitere Infos unter: Erweiterungen der Cisco Identity Services Engine (ISE) erlauben eine einheitliche Richtlinie für drahtgebundene und drahtlose Netze, für Mobiltelefonie und VPNs. Foto: Cisco 8 it-sicherheit [2/2012]

9 Advertorial Automatisiertes Identity Management in einer verzeichnisbasierten Sicherheitsarchitektur Internationale Großkonzerne verfügen in der Regel über einen äußerst umfangreichen Mitarbeiterstamm, der oft auf mehrere Tochterunternehmen verteilt ist. Angesichts einer solch weit verzweigten Struktur ist es naturgemäß schwierig, Zehntausende von Benutzern in den diversen Systemen und Anwendungen effizient zu verwalten. Hier kommen Identity Management (IDM) Systeme ins Spiel. Sie zentralisieren und automatisieren die Benutzerverwaltung, bündeln und verarbeiten Benutzer- und Unternehmensdaten aus verschiedenen Quellen und leiten sie an die entsprechenden Zielsysteme weiter. Typische Systeme, die eine leistungsfähige IDM-Lösung einbinden können sollten, sind RACF, verschiedene Windows-Domänen, SAP (ERP)-Systeme, Unternehmens- und andere LDAP-Verzeichnisse sowie zusätzlich unternehmensintern entwickelte Anwendungen. In Großprojekten sind regelmäßig erweiterte IDM-Funktionen wie Segregation-of-Duty (Aufgabentrennung) und Resource Provisioning (zentrale Vergabe von Benutzer-Berechtigungen) notwendig. Denn typischerweise enthalten die Benutzerprofile des Unternehmensverzeichnisses eines Großkonzerns oft Dutzende unterschiedlicher Attributstypen pro Benutzer. Eine Provisioning-Lösung muss hier in der Lage sein, mehrere Eingangsquellen zu unterstützen und damit das Verzeichnis permanent aktuell zu halten, Sicherheitslücken zu vermeiden und Abläufe präzise zu überwachen. Diese Funktionen sollten ohne manuelle Eingriffe der Administratoren ausgeführt werden können was eine vollständige Automatisierung der Abläufe erfordert. die IDM-Lösung übermittelt, welche sie wiederum in den verbundenen Systemen und Verzeichnissen ausführt. Dieser Prozess gestattet es der IT-Abteilung, ihren Kunden eine hohe Servicequalität anzubieten: Dank der technischen Einbettung eines Workflowsystems im IDM-System können alle Sicherheitssysteme bereits wenige Minuten nach der Erteilung der Genehmigung aktualisiert werden. Unter Einsatz der plattformübergreifenden Berichterstellungs- und Überwachungsfunktionen von SAM erstellt der konzerneigene IT- Dienstleister heute vollautomatisch monatliche Prüfberichte. Sie enthalten alle relevanten Benutzer- und Sicherheitseinstellungen und werden per an die jeweils verantwortlichen Unternehmensmanager geschickt. Pro Konzerngesellschaft generiert die Lösung zudem für die Sicherheitsadministratoren der unterschiedlichen Zielsysteme einen wöchentlichen Bericht über geänderte Benutzerattribute und deaktivierte bzw. gelöschte Konten. Für die Fluggesellschaft hat sich der Einsatz der IDM-Technologie gelohnt: Sie kann ihre umfassende Benutzerverwaltung effizient durchführen und den einzelnen Konzerngesellschaften einen hohen Service-Level garantieren. Und in der Administration lassen sich aufgrund der zentralisierten und automatisierten Benutzerverwaltung erhebliche Kosteneinsparungen erzielen. Die Berliner Beta Systems Software AG löst solche Aufgaben mit ihrer IDM-Lösung SAM Enterprise. In einem aktuellen Großprojekt bei einer international aufgestellten Fluggesellschaft optimierte und automatisierte Beta Systems mit SAM Enterprise zunächst die Benutzerverwaltung, um den ROI in möglichst kurzer Zeit zu erreichen. Als erste Maßnahme wurden das Novell NetWare-Netzwerk, RACF sowie Windows- und Unisys-Systeme an SAM Enterprise angebunden und die Benutzerverwaltung einer ersten Konzerngesellschaft automatisiert. Dabei verband man fünf Datenquellen mit der IDM-Lösung: zwei HR-Systeme, eine Datenbank externer Partner und zwei Datenquellen für unternehmensbezogene Informationen. Änderungen in diesen Systemen wurden an SAM übermittelt und anhand eines regelbasierenden Vorgangs in Benutzerkonten, Gruppenverbindungen sowie Autorisierungen der diversen angebundenen Sicherheitssysteme umgewandelt. In weiteren Projektschritten hat Beta Systems dann weitere Konzerngesellschaften in die Lösung einbezogen. IDM-Zugriff über kundenspezifisches Intranet-Portal Die Fluggesellschaft hat das IDM-System im Verlauf des Projektes mit seinem kundenspezifischen Intranet-Portal verbunden. Dadurch können Mitarbeiter und externe Partner Konten und Benutzerrechte über einen abgestimmten Genehmigungsworkflow beantragen. Die bewilligten Konten- und Rechteanfragen werden an Beta Systems Software AG Alt-Moabit 90d Berlin Phone: +49(0) Fax: +49(0)

10 Aktuelles CeBIT-Roundtable IT-SICHERHEIT Von Clouds, BYOD und Berechtigungsmanagement Die CeBIT setzte sich in weiten Teilen mit Lösungen rund um die Themen Cloud und Mobility auseinander. Auch auf dem CeBIT-Roundtable der IT-SI- CHERHEIT dominierten diese Trendtechnologien hier jedoch mit deutlich kritischen Untertönen in puncto Sicherheit. Eine dringende Handlungsempfehlung für Unternehmen sei hier die klare Klassifizierung ihrer Daten, um so Essenzielles von Unkritischem zu trennen. Das sei wesentliche Voraussetzung für wirksame Sicherheitsstrategien. Ebenfalls elementar aber oft vernachlässigt sei die Frage, wer wie auf welche Daten zugreifen kann. Quintessenz hier: Weniger ist oft mehr. Teilnehmer CeBIT-Roundtable der IT-SICHERHEIT Christian Zander, Gründer und CTO von protectednetworks.com, Entwickler und Anbieter von 8MAN, einer Software-Lösung für das Berechtigungsmanagement in Server-Umgebungen Toralv Dirro, EMEA Security Strategist bei McAfee, einem der weltweit führenden Anbieter von Sicherheits-Software und -Dienstleistungen Wolfgang Straßer, Gründer und Geschäftsführer Beratungsunternehmen und Dienstleister in Bereich IT beziehungsweise IT-Sicherheit Stefan Mutschler, Stellv. Chefredakteur IT-SICHERHEIT (Moderation) Das Dilemma in heutigen Unternehmen: Immer mehr Arbeitsbereiche und Funktionen wandern in die IT neben den operativen Jobs inzwischen mit , Fax, Messaging, Telefonie, Videokollaboration und sozialen Medien auch fast alle am Arbeitsplatz genutzten Kommunikationswege. Damit bieten die Unternehmen professionalisierten Cyberkriminellen und Spionageorganisationen immer mehr Angriffsflächen, während es für sie gleichzeitig immer komplexer wird, eine angemessene Verteidigung aufzubauen und zu pflegen. Vor dem Hintergrund aktueller Trends wie Cloud Computing und Mobility sind hier insbesondere Kleinunternehmen und Mittelständler (KMUs) oft schlicht überfordert. Zur Lösung dieses Problems schlägt Dirro vor, die Cloud nicht immer nur als Gefahr, sondern auch als große Chance zu begreifen. Eine wachsende Zahl von Cloud-Security-Service- Providern liefere inzwischen eine breite Palette von ausgefeilten Sicherheitsdiensten, die gerade für KMUs ohne eigene Sicherheitsspezialisten ein attraktives Angebot darstellten. Er warnt vor der oft geübten Praxis, sich für den Aufbau etwa einer Firewall oder eines Virenschutzes einmalig einen externen Berater ins Haus zu holen. Es gehe vielmehr um die kontinuierliche Anpassung der Abwehr an sich ständig ändernde Bedrohungsvarianten. Dieser Vorgang müsse als fixer Prozess im Unternehmen installiert sein. Gerade wenn es um die flexible Bereitstellung regelmäßig aktualisierter Security-Lösungen geht, können entsprechende Cloud-Angebote eine sehr gute Wahl sein, so Dirros Überzeugung. Die Provider bieten dazu auch meist Analysen und Protokolle an, über die sich der Nutzer in bestimmten Abständen ein Bild darüber machen kann, was in seinem Netzwerk vorgeht und wo eventuell Einbruchsversuche stattgefunden haben. Zander stimmt hier zu, würde aber mit der Gefahrenabwehr ein gutes Stück weiter vorne beginnen. Seiner Auffassung nach müsse der Informationsschutz bereits im internen Netz aufsetzen. Er empfiehlt Unternehmen und viele täten das auch bereits ihre Daten nach kritisch (direkt mit Geld verbunden), sensibel (wichtiges Firmen-Know-how) und Sonstiges zu unterscheiden. Um die Gewichtung zu verdeutli- 10 it-sicherheit [2/2012]

11 Aktuelles chen: Der Verlust von Daten der ersten Kategorie würde unmittelbar zum Konkurs führen, solcher der zweiten Kategorie würde das Unternehmen schwer schädigen und mit hoher Wahrscheinlichkeit auf etwas längere Sicht in der Pleite enden. Cloud-Security-Services seien zwar eine sinnvolle Methode für den Schutz vor Angriffen von außen der helfe aber wenig, wenn in der inneren Organisation das Kind bereits in den Brunnen gefallen ist. Das Stichwort hier sei: Zugriffsberechtigung. Das Kernproblem in vielen Unternehmen ist, dass nicht bekannt ist, wer genau tatsächlich auf welche Daten zugreifen kann. Und wer Zugriff hat, der nutzt ihn auch ohne das geringste Unrechtsbewusstsein, selbst wenn die Unternehmens-Policy das eigentlich verbietet. In diesem Zusammenhang hat Zander eine interessante Empfehlung für das Top-Management über die Jahre gegart aus eigenen Erfahrungen als Geschäftsführer eines Unternehmens: Die Unternehmensführung auch ich selbst ging bisher immer davon aus, auf alles Zugriff besitzen und alles wissen zu müssen. Das ist sehr gefährlich, denn gerade Top-Manager sind in der Regel sehr exponierte Persönlichkeiten, die nicht immer all ihre Gerätschaften im Blick haben können. Ein kurzer Moment mit einem im Besitz aller Zugriffsrechte befindlichen ipad beispielsweise reicht aber, um ein Unternehmen ruinieren zu können. Ich empfehle hier ein grundlegendes Umdenken. Es gilt, klar festzulegen, wer worauf unbedingt Zugriff haben muss und nur genau das sollte auch eingeräumt werden. Wer das konsequent umsetzt, trägt wesentlich zur Sicherung seiner kritischen und sensiblen Unternehmensdaten bei. Auch Straßer sieht in den nach innen offenen Netzwerken ein immenses Risikopotenzial. Als IT-Dienstleister mit großer Penetrationstest-Erfahrung weiß er: Sind wir einmal im Netz, gelingt es uns so gut wie immer, auf alle im Netzwerk gespeicherten Informationen zuzugreifen. Wirksame interne Barrieren Fehlanzeige. Er empfiehlt, nach einer strikten Klassifizierung der Daten die entsprechenden Netzwerke physisch oder wenigstens logisch voneinander zu trennen. Auch in KMUs sollte es möglich sein, VLANs einzurichten und Verschlüsselung einzusetzen, um nur zwei Beispiele zu nennen. Es gäbe heute sehr viele technische Möglichkeiten, kritische und sensible Daten von den anderen Daten zu trennen, oft schon mit den Bordmitteln des eingesetzten Netzwerkmanagements. Viel zu oft wird rein gar nichts davon genutzt, bemängelt er. Unternehmen sollten sich darüber im Klaren sein, dass sie es mit einer sehr heterogenen Angreifer-Landschaft zu tun haben: Vom Skript-Kiddy über den rachlüsternen Ex-Mitarbeiter, besserwisserischen Egomanen und überzeugtem Weltverbesserer bis hin zu professionellen Cyberkriminellen und Spionageorganisationen sei alles dabei. Wer selbst auf einfachste Abwehrmechanismen verzichtet, ist eine einfache Beute und läuft schon bei vergleichsweise dilettantischen Streuangriffen Gefahr, zum Opfer zu werden, so Zander. Gegen gezielte Angriffe von Profis müsse man andere Geschütze auffahren Grundschutz sei hier wirkungslos. Wichtig für den Schutz der Daten sei auch die Wahl der geeigneten Werkzeuge. Firewalls und Virenschutz sind dafür nicht geeignet diese Tools haben andere Aufgaben, so Dirro. Wenn es um die flexible Bereitstellung regelmäßig aktualisierter Security-Lösungen geht, können entsprechende Cloud-Angebote eine sehr gute Wahl sein, so Toralv Dirro, EMEA Security Strategist bei McAfee. Foto: Frank M. Preuss/IT-SICHERHEIT Cloud als externe Speichererweiterung Während Security-Services, die im Cloud- Modell bereitgestellt werden einige sehen darin auch einfach einen Managed- Service bei Beachtung geeigneter Service-Verträge von den Teilnehmern als sinnvolle Möglichkeit insbesondere für KMUs gewertet werden, sieht es bei der Ablage von kritischen und sensiblen Unternehmensdaten in öffentlichen Cloud- Systemen etwas anders aus. Die Idee des Cloud-Computing war es, durch Einzug einer Virtualisierungsebene die mitunter global verteilten Ressourcen in Rechenzentren effizienter zu nutzen, erklärt Straßer. Durch die zugegebenermaßen zum Teil sehr deutlich verbesserte Auslastung sind kostengünstige Angebote an Ressourcen und Services möglich. Unter Sicherheitsaspekten genügen solche Angebote jedoch noch nicht einmal ansatzweise. Wer also seine kritischen Unternehmensdaten einem öffentlichen Cloud-Angebot anvertraut, handelt aus meiner Sicht daher grob fahrlässig. Der Grund, warum hier keinerlei seriöse Security darstellbar ist, liegt laut Straßer in der Tatsache begründet, dass in globalen Cloud-Verbunden in keiner Weise nachzuvollziehen ist, wer in den jeweiligen Ländern für die Administration der Rechenzentren zuständig ist und wie weit deren Kompetenzen tatsächlich gehen. Das können zum Beispiel durchaus auch bestellte Spione sein, die etwa von einer Rechenzentrumslokation in Asien aus über den Verbund ganz gemütlich auch Daten von den Servern assoziierter Rechenzentren in Deutschland herunterziehen und keiner merkt es, so Straßers klare Warnung an alle, die davon ausgehen, eine Eingrenzung der Verarbeitung der Daten auf ausschließlich in Deutschland befindliche Rechenzentren sei sicher. Selbst wenn der Cloud-Anbieter seinen Kunden zusichert, dass deren Daten das Land nicht verlassen, können die Administratoren durchaus weltweit verstreut sitzen. Aus Kostengründen ist das häufige Praxis, denn durch geeigneten Wechsel des Administratorenteams rund um den Globus lässt sich deren Arbeitszeit stets auf eine kostengünstige Tagschicht legen. Auch Zander warnt eindringlich davor, wichtige Unternehmensdaten in eine Public Cloud zu legen: Öffentliche Clouds sind it-sicherheit [2/2012] 11

12 Aktuelles ein Dorado für die Geheimdienste, deren Spionagetätigkeit durch Gesetze regierungsseitig abgesegnet ist. Dirro vermutet sogar eine direkte Geschäftsbeteiligung geheimdienstlicher Organisationen: Man kann wohl davon ausgehen, dass hinter besonders günstigen Angeboten von Rechenzentrumskapazitäten nicht selten Spionageorganisationen stehen. Die großen Anbieter von Cloud-Services binden solche Kapazitäten gerne in ihren Rechenzentrumsverbund mit ein, denn sie wollen ja billiger als ihre Mitbewerber sein. Wenn dann Daten der Kunden des Cloud-Providers irgendwann vorübergehend dorthin verlagert werden, haben die Betreiber des entsprechenden Rechenzentrums leichtes Spiel. Besondere Attraktivität gewinnt der Datenklau in der Cloud durch die Tatsache, dass man nicht nur die nackten Daten abgreifen kann, sondern die komplette virtuelle Maschine, so Zander. Anders als bei einer schlichten Datenkopie bekommt man die Informationen so quasi in ihrer natürlichen Umgebung inklusive Kontext. So lassen sich Daten sehr schnell und sehr einfach interpretieren. Abgesehen vom eigenen Risiko gibt es auch gesetzliche Vorschriften, die ein Auslagern bestimmter Daten in Cloud-Systeme verbieten. Das Bundesdatenschutzgesetz beispielsweise schreibt für personenbezogene Daten vor, dass der Besitzer jederzeit wissen muss, wer physikalisch Zugang dazu hat und zwar nachweisbar, so Straßer. Es trifft hier also nicht den Provider, sondern den Anwender. Ähnliches gilt auch für Geschäftsdaten beziehungsweise solchen, die für das Finanzamt relevant sind. Da eine entsprechende Kontrolle in einer öffentlichen Cloud-Umgebung nicht möglich ist, sind solche Daten für die Cloud tabu. Einzige Lösung, die Vertraulichkeit der Daten auch in öffentlichen Clouds zu sichern, wäre eine entsprechend starke Verschlüsselung. Die werde aber nach Kenntnis der Diskussionsteilnehmer von keinem einzigen Cloud-Provider angeboten zumindest nicht in der gebotenen Form: Der Schlüssel müsste immer und exklusiv in den Händen des Unternehmens bleiben. Keinesfalls dürften Administratoren bei den Providern in den Besitz der Schlüssel gelangen. Jedoch auch unabhängig vom Thema Vertraulichkeit der Daten setzen die Diskutanten kritische Noten unter die Cloud. Die Hauptschwachstelle dabei: der Link zwischen dem eigenen Unternehmen und dem Provider. Fällt der aus etwa weil ein Bagger bei Straßenarbeiten ein Kabel gekappt hat stehen die eigenen Daten nicht mehr im Zugriff. Gegebenenfalls sei hier also für Redundanz zu sorgen. Mobiles Leben und Arbeiten BYOD - das Akronym für Bring Your Own Device, zu Deutsch, bringe dein privates Gerät mit (ins Unternehmen) gehört derzeit sicherlich zu den mit am häufigsten verwendeten Ausdrücken, wenn es um Mobilität im Unternehmen geht. Hintergrund: Mitarbeiter haben es satt, x-verschiedene Geräte zu bedienen immer schön separiert nach privat oder Business. Sie wünschen sich, alles mit einem Gerät tun zu können und moderne Tablets und Smartphones bieten sich als geeignete Plattform dafür an. Sowohl Leistung als auch Speicherkapazität sind inzwischen durchaus mit PCs vergleichbar der kleine Formfaktor erlaubt jedoch, die Geräte ständig und Kleiner aber feiner Gesprächskreis zu einigen der wichtigen Trendthemen der CeBIT (v.l.n.r.): Christian Zander, Gründer und CTO von protected-networks.com, Toralv Dirro, EMEA Security Strategist bei McAfee, Stefan Mutschler, Stellv. Chefredakteur IT-SICHERHEIT (Moderation) und Wolfgang Straßer, Gründer und Geschäftsführer 12 it-sicherheit [2/2012]

13 aktuelles überall mitzuführen. Die Verteidiger von BYOD-Konzepten leiten daraus eine Steigerung der Produktivität ab, und das könne ja nur im Interesse des Unternehmens sein. Die Diskussion um BYOD gab und gibt es natürlich auch mit den klassischen Laptops, mit den kleinen, fingerfertigen Dauerbegleitern erreichte das Thema jedoch eine völlig andere Dimension. In der Runde mag sich keiner der Teilnehmer mit dem Argument der verbesserten Arbeitsleitung anfreunden. Ehrlich gesagt hat mir noch niemand wirklich überzeugend erklären können, woraus sich der viel gepriesene Produktivitätsschub speisen sollte, bekennt Dirro. Nichtsdestotrotz verlangen immer mehr Kunden nach Lösungen, die BYOD-Implementationen absichern. Deshalb haben wir unser Angebot hier stark erweitert und treten auch hier auf der Messe unter anderem mit diesem Thema an. Straßer legt noch eine Schippe drauf: Warum soll denn einer, der einen Firmenrechner nutzt, dort weniger kreativ, weniger motiviert, weniger schnell und weniger was weiß ich was arbeiten können, als auf einem trotz aller toller Technik meist ziemlich fieseligen Mobilgerät. Für mich ist das ein Fall für den Psychiater! Straßer weiter: BYOD insbesondere im Hinblick auf Tablets und Smartphones ist völliger Blödsinn, und wenn jemand einen Job absagt, weil er nicht mit dem Gerät arbeiten darf, mit dem er will, dann war entweder der Job zu uninteressant, oder der Bewerber ungeeignet. Mir ist das noch nie vorgekommen, und ehrlich gesagt halte ich das für eine Erfindung derer, die eben ihre entsprechenden Lösungen verkaufen wollen. Einen der Gründe, warum BYOD auf die Mitarbeiter von Unternehmen einen so starken Reiz ausübt, sehen die Gesprächsteilnehmer im Verhalten der Chefs. Jeder coole Manager fummle heute regelmäßig an seinem iphone, Blackberry oder Tablet herum und signalisiere so: Mit diesem Ding habe ich meinen Laden im Griff. Viele glauben das auch noch selber und sind vielleicht deswegen so attraktive Vorbilder, so Dirro. Zander sieht ebenfalls keinen zwingenden Vorteil durch BYOD, glaubt aber, dass sich der Trend nicht mehr umkehren lässt: BYOD kommt und zwar schon bald bis in alle Ecken des Unternehmens. Für uns kann die Frage daher nur lauten: Wie können wir BYOD ökonomisch sinnvoll und doch wirksam absichern? Und hier komme ich wieder zu dem, was ich schon zu Anfang der Diskussion gesagt habe: Gerade auf mobilen Geräten nur so viele Zugriffsrechte einräumen, wie unbedingt für den Job nötig. Unternehmen sollten aktuelle Hype-Themen immer kritisch unter die Lupe nehmen, so ein Resümee aus dem Gespräch. Im Falle von BYOD weiß niemand so recht, wo eigentlich die Vorteile liegen. Mögliche Risiken und Folgekosten etwa auch beim Support bewegen einige zur Totalablehnung. Andere überlassen die Entscheidung, BYOD insbesondere im Hinblick auf Tablets und Smartphones ist völliger Blödsinn, und wenn jemand einen Job absagt, weil er nicht mit dem Gerät arbeiten darf, mit dem er will, dann war entweder der Job zu uninteressant, oder der Bewerber ungeeignet. Mir ist das noch nie vorgekommen, und ehrlich gesagt halte ich das für eine Erfindung derer, die eben ihre entsprechenden Lösungen verkaufen wollen, so Wolfgang Straßer, Gründer und Geschäftsführer Foto: Frank M. Preuss/IT-SICHERHEIT Das Kernproblem in vielen Unternehmen ist, dass nicht bekannt ist, wer genau tatsächlich auf welche Daten zugreifen kann. Und wer Zugriff hat, der nutzt ihn auch ohne das geringste Unrechtsbewusstsein, selbst wenn die Unternehmenspolicy das eigentlich verbietet, so Christian Zander, Gründer und CTO von protectednetworks.com. Foto: Frank M. Preuss/IT-SICHERHEIT ob nützlich oder nicht, dem Anwender und wollen sich auf die Unterstützung einer sicheren Umsetzung konzentrieren. Cloud-Konzepte werden einhellig unterstützt, wenn sie im Gewand eines Managed-Service daher kommen. Die Cloud als Datenspeicher hingegen erfordere so hohen Sicherungsaufwand, dass die Wirtschaftlichkeit in Frage gestellt wird. Bei öffentlichen Clouds warnen alle Teilnehmer grundsätzlich davor, dort unternehmenskritische Daten abzulegen. n Stefan Mutschler it-sicherheit [2/2012] 13

14 Aktuelles Interview mit Lutz Neugebauer, Bereichsleiter Sicherheit beim BITKOM Neue Allianz für Cyber-Sicherheit Im Rahmen der CeBIT haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) die Allianz für Cyber-Sicherheit angestoßen. Die Gründung der Allianz erfolgt vor dem Hintergrund der nationalen Cyber-Sicherheitsstrategie, die im vergangenen Jahr durch die Bundesregierung verabschiedet wurde. IT-SICHERHEIT sprach mit Lutz Neugebauer, Bereichsleiter Sicherheit beim BITKOM, über Motivation, Ziele und Organisation der neuen Allianz. ITS: Herr Neugebauer, wer sind die Teilnehmer der Allianz für Cyber-Sicherheit? Lutz Neugebauer: Initiatoren und Träger der Allianz sind das BSI und der BIT- KOM. Wir wollen aber zusammen mit einem möglichst breiten Spektrum an unterschiedlichen Partnern aus Wirtschaft, Wissenschaft und Verwaltung die Cyber-Sicherheit in Deutschland weiter verbessern. Angesprochen sind dabei insbesondere die Anwenderbranchen und die öffentliche Verwaltung, sofern sie intensiv ITK-Produkte und -Dienstleistungen einsetzen und nutzen, aber natürlich auch die Unternehmen der BITKOM-Branche, die mit ihrer Expertise einen wertvollen Beitrag leisten können. Weiterhin brauchen wir Multiplikatoren aus den Medien, der Verbändelandschaft sowie Politik und Wissenschaft, damit wir viele potenzielle Teilnehmer mit unserem Angebot erreichen. ITS: Was war die wesentliche Motivation zur Gründung der Allianz? Lutz Neugebauer: Wesentliches Ziel ist es, eine möglichst hohe Widerstandsfähigkeit in Deutschland gegenüber den vielfältigen Cyber-Bedrohungen zu erreichen. Wenn jedes Unternehmen und jede staatliche Organisation sich angemessen selbst schützt und damit die eigene Widerstandsfähigkeit stärkt, trägt das zum Schutz des gesamten Wirtschaftsstandorts Deutschland bei. Hierfür wollen wir einen vertrauensvollen Informations- und Erfahrungsaustausch ermöglichen und zwar möglichst flächendeckend. Bereits heute gibt es eine Reihe erfolgreicher Initiativen und Projekte zum Thema Cyber-Sicherheit, aber diese arbeiten häufig regional begrenzt oder konzentrieren sich überwiegend auf die Schaffung von Bewusstsein. Was uns derzeit fehlt, ist eine aktuelle und breite Bereitstellung von Einzelinformationen aus den Unternehmen zu tatsächlichen Angriffen und sonstigen Sicherheitsvorfällen. Wir wollen daher einen Rückkanal von den Unternehmen und Behörden zu einer zentralen Stelle organisieren, um einen Überblick über aktuelle Angriffsmuster und Schwachstellen in Systemen zu erhalten. Ein möglichst aktuelles Lagebild kann auch dazu beitragen, die knappen personellen und finanziellen Ressourcen richtig zu nutzen. 14 it-sicherheit [2/2012]

15 Aktuelles ITS: Welche Rolle übernimmt dabei der BITKOM, welche das BSI? Lutz Neugebauer: Der BITKOM wird die Erkenntnisse zur Gefährdungs- und Angriffslage insbesondere an die Hersteller und Dienstleister im Bereich Cyber-Sicherheit transportieren. Gleichzeitig soll das Know-how der häufig weltweit tätigen Mitgliedsunternehmen in das aktuelle Lagebild einfließen. Darüber hinaus wollen wir über unser Netzwerk den Erfahrungsaustausch mit Großunternehmen, Vertretern von Anwenderbranchen und regionalen Unternehmerverbänden intensivieren und so den Transfer von Sicherheitsinformationen verbessern. Das BSI wird in der Allianz die zentrale Koordination übernehmen, Sicherheitsempfehlungen entwickeln und aus dem Cyber-Abwehrzentrum Warnungen, Analysen sowie vertrauliche Hintergrundinformationen einbringen. Darüber hinaus übernimmt das BSI die Beobachtung der Gesamtlage sowie die nationale IT-Krisenreaktion. ITS: Welche konkreten Ziele sollen durch die Allianz für Cyber-Sicherheit erreicht werden? Lutz Neugebauer: Neben einem aktuellen Lagebild sind zwei Punkte wesentlich. Zum einen muss verstärkt IT-Sicherheitskompetenz in Unternehmen und öffentlichen Organisationen aufgebaut werden. Zum anderen spielt eine stärkere Bereitschaft der Unternehmen zur Kommunikation eine wesentliche Rolle. Sicherheitskompetenz kann man prinzipiell sehr einfach durch eine höhere Anzahl von Wissensträgern in puncto IT-Sicherheit in den Organisationen erreichen. Es gilt dabei, die Expertise in deutschen Unternehmen in Bezug auf Technikeinsatz, Organisation und Notfallmanagement zu erhöhen. Dazu müssen vielfach keine Fachleute von außen neu eingestellt werden, sondern es reicht oft schon, die vorhandenen Mitarbeiter weiter zu qualifizieren. Wichtig ist allerdings die Entscheidung der Leitung, einen Sicherheitsbeauftragten oder eine spezielle Organisationseinheit zur Informationssicherheit im Unternehmen überhaupt vorzusehen. Als zweiten Punkt müssen wir die Bereitschaft zu einem vertrauensvollen und dauerhaften Erfahrungsaustausch zwischen Unternehmen und Behörden auch auf regionaler Ebene stärken. Von den Unternehmen brauchen wir mehr freiwillige und gegebenenfalls anonymisierte Meldungen über relevante Vorfälle. Aus diesen Informationen können wir wertvolle Informationen über die neuesten Angriffsmuster der Cyber-Kriminellen ableiten. ITS: Könnten Sie noch ein Statement zur aktuellen Bedrohungslage abgeben? Lutz Neugebauer: Cyber-Bedrohungen gehören heute leider zur normalen Lebenswirklichkeit im Internet. Die Angreifer müssen hierfür noch nicht einmal besonders technisch versiert sein. Über die sogenannte Underground Economy lassen sich leicht und mit geringem finanziellen Aufwand Virenbaukästen erstehen oder sogenannte Bot-Netze für Attacken auf Webserver anmieten. Identitätsdiebstahl, Datenmanipulation, Erpressung, Online-Spionage und Sabotage sind leider alltägliche Phänomene geworden. Allerdings sind sich BITKOM und BSI darüber einig, dass man den größten Teil der Risiken durch teilweise sehr einfache Maßnahmen abwenden kann. Dazu gehören die Verwendung von möglichst aktueller Software, das regelmäßige Einspielen von Updates, die Vorbereitung von Notfallplänen und ein dem Risiko angemessenes Verhalten der Anwender. Das Verhalten der Nutzer lässt sich für Unternehmen zudem durch technische Maßnahmen teilweise lenken. Denkbar ist zum Beispiel, Inhalte im Internet zu sperren, die nicht für die berufliche Nutzung notwendig sind. Auf Bedrohungen und Lösungsmöglichkeiten hinzuweisen sowie Unternehmen und Institutionen aktiv zu unterstützen, soll Kern der Allianz für Cyber-Sicherheit sein. ITS: Vielen Dank für das Gespräch! Das Interview mit Lutz Neugebauer führte Prof. Dr. Jan von Knop, Chefredakteur IT-SI- CHERHEIT. Anzeige IT-Sicherheit mit Weitblick, Maß und Ziel Wirtschaftlich sinnvolle Sicherheitslösungen zu entwickeln und zu implementieren erfordert neben einer fundierten Marktkenntnis ein besonderes Verständnis für die spezifischen IT-Prozesse des jeweiligen Unternehmens. Als herstellerunabhängiges Beraterhaus verfügt die Secaron AG über diese Voraussetzungen und setzt höchste Priorität darauf, mit seinen Kunden zu einer maßgeschneiderten Lösung zu gelangen, die die technischen Möglichkeiten von Standards wirtschaftlich sinnvoll in ein individuelles Sicherheitskonzept integriert. So entsteht IT-Sicherheit mit Weitblick, Maß und Ziel. Secaron AG Tel IT-Sicherheit nach Maß «

16 Titel-Interview Interview mit Christine Schönig, Technical Managerin bei Check Point Software Technologies Simplify Your Security! Mit der Implementierung einer geeigneten, funktionsreichen Technologie fühlen sich die Unternehmen auf der sicheren Seite und lassen ihre Anwender außen vor. Dabei ist es erwiesenermaßen vor allem das mangelnde Sicherheitsbewusstsein der Mitarbeiter, das in den Unternehmen für den Verlust von Daten verantwortlich ist. Christine Schönig, Check Point Software Technologies 16 it-sicherheit [2/2012]

17 Titel-Interview Check Point zählt zu den wenigen IT-Security-Unternehmen, die von Marktforschern gerne als Ideenführer bezeichnet werden. Bei Gartner beispielsweise steht das Unternehmen rechts oben im magischen Quadranten der Anbieter von Enterprise Network Firewalls. Mit einem dreidimensionalen Sicherheitsansatz, der Mensch, Technik und eine Instanz für die Security-Exekutive umfasst, hat Check Point seine Innovationskraft jüngst erneut unter Beweis gestellt. IT-Sicherheit sprach mit Christine Schönig, Technical Managerin bei der Check Point Software Technologies GmbH, darüber, warum und wie die moderne Sicherheitstechnologie näher an den Menschen gebracht werden muss. ITS: Frau Schönig, Check Point rückt den Menschen verstärkt als entscheidenden Faktor ins Zentrum der Diskussionen um die richtige Sicherheitsstrategie. Warum? Christine Schönig: Weil irren nun einmal so menschlich ist. Menschen machen Fehler, auch als erfahrene Benutzer von IT-Systemen. Diese Fehler können gravierende Folgen haben, zu Malware-Infektionen und Informationsverlusten führen. Dennoch haben viele Unternehmen kein besonderes Augenmerk darauf, ihre Anwender ausreichend in die Security-Strategie für ihre Organisation mit einzubeziehen. ITS: Woran liegt das? Christine Schönig: Die Security gehört aus ihrer Historie heraus zu den IT-Bereichen, die am stärksten vertechnisiert sind. Sowohl die Anwenderunternehmen als auch die Endbenutzer haben oft Berührungsängste, wenn es um eine genauere Betrachtung von Sicherheitslösungen geht. Mit der Implementierung einer geeigneten, funktionsreichen Technologie, das propagieren ja auch die meisten Hersteller, fühlen sich die Unternehmen auf der sicheren Seite und lassen ihre Anwender außen vor. Dabei ist es erwiesenermaßen vor allem das mangelnde Sicherheitsbewusstsein der Mitarbeiter, das in den Unternehmen für den Verlust von Daten verantwortlich ist. ITS: Woran machen Sie das fest? Christine Schönig: Das belegen zum Beispiel die Ergebnisse einer auch in Deutschland durchgeführten Studie des Ponemon Instituts*. Die dort befragten Organisationen glauben, dass im Durchschnitt rund 49 Prozent ihrer Mitarbeiter wenig bis überhaupt kein Bewusstsein für Themen wie Datensicherheit, Compliance und Policies haben. Das sollte nicht nur den Anwenderunternehmen zu denken geben, sondern ist auch für uns als Hersteller Anlass genug, die Bewusstseinsentwicklung der Mitarbeiter stärker in den Fokus der Security zu rücken. ITS: Das klingt vielversprechend, im Sinne der Anwender, aber wie sieht das in der Umsetzung aus? Christine Schönig: Eine der größten Herausforderungen an die IT-Sicherheit, das wissen wir aus vielen Gesprächen mit unseren Kunden, ist die Verhinderung von Datenverlust. Und in kaum einem anderen Security-Bereich spielt der Mensch eine so entscheidende Rolle wie bei DLP, also Data Loss Prevention. Hier nehmen wir die Unternehmen dabei an die Hand, die wichtigsten Treiber für DLP zu verstehen und dann schrittweise gezielte Maßnahmen aufzusetzen. Vor allem gilt es ein klares Verständnis von den internen Datensicherheitsforderungen zu schaffen. ITS: Wie lässt sich das herstellen? Christine Schönig: Die Organisationen sollten eine verständliche, schriftlich dokumentierte Übersicht über die vorhandenen, sensitiven Daten haben. Ebenso sollten alle Datenbestände bekannt sein, die behördlichen oder wirtschaftlichen Compliance- Standards unterworfen sind. Diese Informationen müssen allen involvierten Mitarbeitern zur Verfügung stehen und so ein klares Verständnis von den internen Datensicherheitsforderungen ermöglichen. Erforderlich ist auch eine Auflistung aller sensitiven Datentypen in der Organisation und eine Kennzeichnung ihres Grads der Sensitivität. Entscheidend ist schließlich, die Sicherheitsregeln und Geschäftsanforderungen des Unternehmens miteinander in Einklang zu bringen. Mit einfachen Worten: Die Sicherheitsstrategie der Organisation sollte die Informationsbestände des Unternehmens schützen, ohne aber den Endanwender in seiner Tätigkeit zu behindern. Vielmehr muss der Anwender in den Security-Entscheidungsprozess mit einbezogen werden. Selbstlernende Techniken, wie zum Beispiel unsere UserCheck-Lösung, klären den Benutzer über die Sicherheitsregeln des Unternehmens auf und ermöglichen ihm, eventuelle Sicherheitsvorfälle selbst zu beheben. Die Verbindung von Technologie und Anwenderbewusstsein sensibilisiert die Mitarbeiter. ITS: Aufmerksame, sensibilisierte Mitarbeiter alleine aber bilden noch kein wasserdichtes Sicherheitskonzept. Was macht eine moderne Security-Architektur außerdem aus? Christine Schönig: Sie muss klare Regeln befolgen. Denn damit die Sicherheitsanforderungen des Unternehmens für alle Beteiligten transparent und verständlich sind, müssen sie in geordneten und übersichtlichen Bahnen laufen. Etwa so, wie auf der Autobahn: Die nutzen wir nur dann als schnellen Weg zum Ziel, wenn wir wissen, dass wir sicher sind. Dabei verlassen wie uns auf deutlich erkennbare Verkehrsleitsysteme, Markierungen, Schilder oder Warnsignale, die uns auf mögliche Gefahren hinweisen und uns die Möglichkeit geben, unser eventuell zu hohes Tempo zu drosseln und unseren Fahrstil den Gegebenheiten anzupassen. ITS: Was bedeutet das, umgelegt auf die Datensicherheit? Christine Schönig: Ähnlich wie die deutsche Straßenverkehrsordnung, aber weniger komplex, soll ein Security-Regelwerk für die Sicherheit des Datenverkehrs greifen: Die Mitarbeiter und selbstverständlich auch das Management sollen wissen, wann sie sozusagen freie Bahn haben und wann und warum sie bestimmten Richtlinien folgen müssen. Denn die Security ist im Laufe der letzten Jahre zu einem sehr zentralen Bestandteil der gesamten IT- Infrastruktur und zu einem wichtigen Faktor für den wirtschaftlichen Erfolg geworden. Damit jeder im Unternehmen weiß, wel- it-sicherheit [2/2012] 17

18 Titel-Interview chen Beitrag er zur Datensicherheit leisten kann und muss, wird ein Regelwerk definiert, eine Policy, die für praktisch jeden innerhalb der Organisation verständlich und nachvollziehbar ist. Hierfür ist es wichtig, dass die Bestimmungen in einfacher Geschäftssprache und nicht nur in Technologie-Termini formuliert werden. ITS: Können Sie das konkretisieren? Wie soll ein Unternehmen vorgehen? Christine Schönig: Als Erstes sollte es seine Sicherheitsziele schriftlich festhalten, ebenso die Maßnahmen und Richtlinien zur Verwirklichung dieser Ziele. Eventuell ist es ratsam, hierfür externe Berater heranzuziehen. Besonders wichtig ist es festzulegen, wie die Informationen und Systeme des Unternehmens, seiner Kunden, Mitarbeiter und Partner zu behandeln sind. Integrität, Vertraulichkeit, Verfügbarkeit und die Einhaltung gesetzlicher Bestimmungen sind hier die Schlagworte, die im Vordergrund stehen. Auch die eindeutige Klassifizierung von Informationen, etwa nach streng vertraulich oder öffentlich, und eine Klärung über die Vergabe von Berechtigungen gehören ins Security-Regelwerk, ebenso wie ein ausdrückliches Hacking-Verbot und ein Verbot der Umgehung von Autorisierungsmechanismen. Daneben müssen natürlich auch der Virenschutz, der Umgang mit Passwörtern, die Datensicherung, der Internetzugang und die Internetnutzung, der Datenzugriff von außen und auf Fremdsysteme, eventuell auch die Ausgestaltung des Arbeitsplatzes und nicht zuletzt die Nutzung mobiler Endgeräte im Rahmen der Policy geregelt werden. Entscheidend ist, dass es gelingt, über Transparenz und offene Kommunikation ein breites Verständnis und eine hohe Akzeptanz für dieses Regelwerk zu erzielen. Dann hat das Unternehmen bereits einen großen Schritt getan, um die Sicherheit für seine Geschäftsdaten zu erhöhen. Und es hat die Security in einen Geschäftsprozess transformiert, an dem alle beteiligt sind und den alle verstehen. Unternehmen wünschen sich eine Security, die mit der bedrohlichen Entwicklung von Internetgefahren mithalten kann, aber auf keinen Fall noch mehr Komplexität schaffen soll. Christine Schönig, Check Point Software Technologies 18 it-sicherheit [2/2012]

19 Titel-Interview ITS: Security als Geschäftsprozess zu verstehen, ist demnach die Empfehlung, die Sie Ihren Kunden geben? Christine Schönig: Das ist richtig. Und damit heben wir uns bewusst und deutlich von unseren Marktbegleitern ab. Die Unternehmen möchten nicht noch mehr Produkte, die ihre Security-Umgebung noch komplizierter machen, als sie ohnehin oft schon ist oder zumindest empfunden wird. Sie wünschen sich eine Security, die mit der bedrohlichen Entwicklung von Internetgefahren mithalten kann, aber auf keinen Fall noch mehr Komplexität schaffen soll. Wir sind also gefordert, moderne Security-Lösungen bereitzustellen, die sehr einfach und kosteneffektiv genutzt werden können und gleichzeitig höchsten Leistungsanforderungen gerecht werden. Hier kann nur ein ganzheitlicher Prozess greifen, eine übergreifende Architektur, die sich an den drei Kernkomponenten jeder Security-Maßnahme ausrichtet: an den Menschen, den Regeln und schließlich an deren konsequenter Umsetzung. ITS: Machen aber nicht neue Entwicklungen wie die Nutzung mobiler Endgeräte im Unternehmen oder Social Networking eine konsequente Umsetzung unmöglich? Christine Schönig: Nicht unmöglich, nur etwas anspruchsvoller und facettenreicher, würde ich sagen. Vor allem der stark zunehmende Trend zum Einsatz privater Smartphones, Tablets und Laptops im Unternehmen, zu Neudeutsch IT-Consumerization genannt, stellt uns vor neue Aufgaben. Auch soziale Netzwerke wie Facebook und Twitter werden immer öfter im beruflichen Umfeld genutzt. Die Unternehmen müssen sich bewusst sein, dass dieses veränderte Nutzungsverhalten ihre Sicherheitsgrenzen verschiebt. Und dass daraus unvermeidlich ein Bedarf an innovativen Security-Lösungen resultiert, die sich an den neuen Grenzen und Aspekten der unternehmensweiten Datensicherheit orientieren. ITS: Ist Check Point für diesen Bedarf gerüstet? Christine Schönig: Ich denke, ja. Mit der Einführung unserer 3D-Security-Strategie, also dem integrierten Sicherheitskonzept für Mensch, Technik und deren Durchsetzung, haben wir bereits das geeignete Fundament für eine Diversifizierung unseres Produktportfolios gelegt, mit dem wir uns auf die neuen Herausforderungen an moderne Security-Lösungen fokussieren. Aber die ausgeklügelten Attacken der heutigen Zeit erfordern nicht nur sehr intelligente, innovative, sondern auch sehr leistungsstarke Sicherheitsprodukte, die bei einem förmlich explodierenden Datenvolumen nicht nur den Netzwerkzugriff kontrollieren, sondern auch den Verlust von Daten verhindern und vor Web-basierten Gefahren schützen können. Hierfür haben wir erst vor wenigen Monaten eine neue Reihe sehr leistungsstarker Appliances auf den Markt gebracht, die im Vergleich zu ihren Vorgängern eine deutlich höhere Verbindungskapazität und eine dreifache Performance bieten. Damit sorgen sie auch für eine Optimierung der Bandbreite und Netzwerkleistung, was für die Anwenderunternehmen im Hinblick auf Kostenreduktion und die Konsolidierung bestehender Security- Umgebungen sicher ein wichtiger Aspekt ist. Christine Schönig: Sie ist nach wie vor ein ganz wichtiges Thema, viele Organisationen müssen gerade in der IT heute deutlich mehr leisten als noch vor einigen Jahren, haben dafür aber weniger Ressourcen zur Verfügung. Wir Hersteller haben damit den klaren Auftrag, die Unternehmen bei den erforderlichen Konsolidierungsmaßnahmen zu unterstützen, also eine IT-Security-Strategie anzubieten, die sich mit ihrer Geschäftsumgebung weiterentwickeln kann, ohne dass der Budgetrahmen gesprengt wird. Trotz immer neuer Angriffsszenarien und Gefahren. ITS: Auf welche neuen Gefahren müssen sich die Unternehmen einstellen? Christine Schönig: Die Hacker richten ihr Augenmerk verstärkt auf Mobile Security. Für sie sind mobile Endgeräte ein attraktiver Angriffsvektor, über den sie Zugriff auf sensitive Informationen erhalten und diese missbrauchen können. Eine weitere, neue Gefahr geht von Quick Response Codes aus. Über den einfachen Scan eines Smartphones beispielsweise kann ein Hacker einen solchen QR-Code nutzen, um den Benutzer unbemerkt auf eine schadhafte URL, Datei oder Anwendung zu führen und ihn dort zur Preisgabe persönlicher Daten, etwa Kontoinformationen, zu verleiten. Da sich die Security-Lösungen für Betriebssysteme in den vergangenen Jahren sehr gut entwickelt haben und auf Basis der richtigen Security-Strategie erfolgreich dabei helfen, eine Vielzahl von Attacken abzuwenden, konzentrieren sich die Angreifer vermehrt auf ein häufig leichteres Opfer: den Menschen. Die Ausnutzung menschlicher Schwächen über zunehmende Social-Engineering-Attacken, unsichere Bar-Codes, Botnets und Übergriffe auf mobile Endgeräte gehört zu den größten Risiken, mit denen sich die Unternehmen künftig befassen müssen. Sie sollten daher dringend auf eine verstärkte Sensibilisierung und Einbeziehung ihrer Mitarbeiter setzen und gleichzeitig die dazugehörigen Prozesse etablieren, so dass die Datenbestände insgesamt transparenter und besser kontrollierbar sind. Das macht die Technologie in ihrer Anwendung viel einfacher und bringt sie vor allem näher zum Menschen. ITS: Vielen Dank für das Gespräch! Das Interview mit Christine Schönig führte Christiane Jacobs, freie Fachjournalistin aus München, für IT-SICHERHEIT. * Understanding Security Complexity in 21st Century IT Environments, Ponemon Institut, 2011 ITS: Ist Konsolidierung trotz all der neuen Aspekte wie Mobile Security und DLP denn für die Unternehmen noch denkbar? it-sicherheit [2/2012] 19

20 Industrial Security Erst Stuxnet und der Duqu-Trojaner haben das Sicherheitsproblem von SCA- DA-Netzwerken stärker in das Bewusstsein von Unternehmen und Sicherheitsanbietern gerückt. Die Verletzlichkeit der Industrienetzwerke bei diesen Angriffen hat gezeigt, dass es an geeigneten Sicherheitslösungen für sie fehlt. Die größte Gefahr geht dabei aber nicht von höchstspezialisierter Schadsoftware, sondern von klassischen Angriffsmethoden aus, die es aufgrund veralteter Netzwerktopologien leichter haben. SCADA-Netzwerke (Supervisory Control and Data Acquisition) dienen zur Überwachung und Steuerung komplexer technischer Prozesse. Sie werden vorwiegend in großen Industrienetzen und bei kritischen Infrastruktureinrichtungen wie Wasseroder Kernkraftwerken eingesetzt. Dementsprechend können erfolgreiche Angriffe auf SCADA-Netzwerke schwerwiegende Folgen für die öffentliche Ordnung und Sicherheit haben. Viele der heute eingesetzten SCADA-Netzwerke sind veraltet und wurden unter anderen Voraussetzungen als den aktuellen Bedrohungsszenarien in Betrieb genommen. Bei ihrer Entwicklung spielten heutige Sicherheitsfragen nur eine untergeordnete Rolle. Zudem wurden sie ursprünglich auch nicht für die Anbindung zum Beispiel an das Internet ausgelegt. Im Zuge der immer weiter fortschreitenden Vernetzung hat sich das jedoch geändert. Immer mehr SCADA-Netzwerke sind mit dem Internet oder anderen internen und externen Netzen verbunden, ohne dafür ausreichend abgesichert zu sein. Hackern bieten sich dadurch vielfältige Angriffsmöglichkeiten. Als Folge veralteter Netzwerktopologien sind beispielsweise in vielen SCADA-Netzwerken Server im Einsatz, die aufgrund enger Wartungsfenster nur ein- oder zweimal im Jahr gepatcht werden können. Angreifer brauchen dann gar keinen neuen spezialisierten Schadcode wie Stuxnet oder Duqu, um in das Netzwerk zu gelangen. Eine simple Denial of Service (DoS)-Attacke oder eine andere schon längere bekannte Sicherheitslücke kann ausreichen. Flexibler Schutz für SCADA-Netzwerke Alter macht verletzlich Sicherheitslösungen für Industrienetze stehen noch am Anfang Die Erforschung von Sicherheitslücken in SCADA-Netzwerken steckt noch in den Kinderschuhen. Vermutlich gibt es deutlich mehr Angriffsmöglichkeiten als bislang bekannt. Ein Beispiel für eine bekannt gewordene Lücke ist die Entdeckung gravierender Sicherheitslücken bei einem Programmable Logic Controller (PLC) durch die NSS Labs Mitte Der PLC dient dazu, SCADA-Systeme zu überwachen. Mithilfe des Lecks könnten sich Hacker die Kontrolle über das Netzwerk verschaffen. Intrusion-Prevention-Systeme als sichere Sache? Eine Möglichkeit, SCADA-Systeme sicherer zu machen, ist es, sie zu entnetzen. Die Angriffsmöglichkeiten würden so deutlich reduziert. In den meisten Fällen ist das aber ohne Leistungseinbußen des Netzwerks nicht vollständig möglich. Deshalb werden zum Schutz häufig Intrusion-Prevention- Systeme eingesetzt, die den gesamten Datenverkehr kontrollieren und nur Daten ins Netzwerk lassen, bei denen keine Bedrohung entdeckt wird. IPS-Geräte unterbrechen die Datenverbindung automatisch, wenn sie bemerken, dass Schadsoftware versucht, ins Netzwerk einzudringen. Darüber hinaus sind sie in der Lage, Server und Dienste auch virtuell zu patchen und so gefährdete Server abzusichern, die sonst erst während des nächsten Wartungsfensters gepatcht werden könnten. IPS-Geräte spielen beim Schutz von SCADA- Netzwerken also eine zentrale Rolle. Absolute Sicherheit bieten aber auch sie nicht. Ein aktuelles Beispiel dafür sind Advanced Evasion Techniques (AETs). Mithilfe dieser Tarnmethode können Attacken und Schadsoftware so verändert oder verschleiert werden, dass Sicherheitssysteme wie IPS- Geräte oder Firewalls sie nicht mehr erkennen und den Datenverkehr fälschlicherweise nicht unterbrechen. Dadurch können schädliche Inhalte unerkannt in dahinter liegende, nicht weiter geschützte Systeme eingeschleust werden. Anders als einfache Evasion-Techniken, gegen die es mittlerweile zuverlässige Schutzmöglichkeiten gibt, können AETs die Methoden zur Tarnung eines Angriffs beinahe unbegrenzt variieren beziehungsweise kombinieren und so verschiedene Ebenen im Netzwerkverkehr nutzen. Dadurch sind sie auch in der Lage, klassische Sicherheitssysteme wie IPS-Systeme auszuhebeln. Die meisten Sicherheitsmechanismen von IPS-Geräten, die zur Überprüfung des Datenverkehrs eingesetzt werden, greifen unter anderem auf Protokollanalyse, Signaturerkennung und Fingerprinting zurück. Dadurch können sie bestimmte hinterlegte Angriffsmuster von Schadcodes erkennen, die Schwachstellen in einem Sicherheitssystem ausnutzen. Bei Bedrohungen wie AETs verändern sich die Angriffsmuster jedoch ständig und passen zu keinem der hinterlegten Angriffsmuster mehr. Für ein IPS-System ist es dann fast unmöglich, die verschleierte Attacke im Datenpaket aufzuspüren und den Datenverkehr zu unterbrechen. Eventuell kann bereits eine minimale Veränderung wie zum Beispiel des Segment-Offsets ausreichen, damit ein Datenpaket keinem der im IPS-System hinterlegten Angriffsmuster mehr ähnelt. Das hat zur Folge, dass kein Alarm auf eine mögliche Bedrohung hinweist und sich der Angreifer dann ungestört nach einer möglichen Schwachstelle oder einem ungepatchten Server im SCADA-Netzwerk umsehen kann. Die Funktion der Normalisierung Um die hochgradig sensiblen SCADA-Netzwerke auch gegen variable Bedrohungen zuverlässig zu schützen, müssen IPS-Systeme also mehr beherrschen als Protokollanalyse, Signaturerkennung oder Fingerprinting. Eine Möglichkeit dafür ist die Funktion der Normalisierung. Dabei untersucht und interpretiert ein IPS den Datenverkehr und setzt die Pakete hinterher genauso zusammen wie das Endsystem. IPS-Systeme können dadurch im Datenverkehr verborgenen 1 NSS Labs, Analysis Brief: Siemens PLC vulnerabilities, 23. Mai it-sicherheit [2/2012]