Einzelheftpreis 15, /2012 Februar April Juni August Oktober Dezember. Virtualisierung und Cloud

Größe: px
Ab Seite anzeigen:

Download "Einzelheftpreis 15,- 49187 2/2012 Februar April Juni August Oktober Dezember. Virtualisierung und Cloud"

Transkript

1 Einzelheftpreis 15, /2012 Februar April Juni August Oktober Dezember Simplify Your Security! Im Interview: Christine Schönig, Technical Managerin bei Check Point Software Technologies Industrial Security Post-Stuxnet: Bilanz und Prognosen Schutz von SCADA-Netzwerken Wie viel Office-Standard verträgt die Industrie? Zutrittskontrolle und Schließanlagen Virtualisierung und Cloud Compliance-Aspekte in hybriden Clouds Was taugen Zertifikate für Cloud-Provider? Security für Cloud-basierte Nutzen und Risiken beim Cloud Storage Trends und Technik Neue Allianz für Cyber-Sicherheit Sicherheit in Hardware: Trusted Computing Öffentlicher Dienst: Praxisgerechter Datenschutz

2 Mehr als Organisationen weltweit steigern die Sicherheit und Effizienz ihrer Netzwerke, Angestellten und Daten mit den mehrfach ausgezeichneten Lösungen von Barracuda Networks. Sie haben die Wahl wenn es darum geht, die richtigen Hersteller und Produkte auszuwählen - und mehr Gründe denn je, Barracuda Networks in Ihre Entscheidungen einzubeziehen. Virtuelle, Cloud-basierte und hybride Einsatzmöglichkeiten SECURITY Barracuda Spam & Virus Firewall Barracuda Web Application Firewall Barracuda Web Filter Barracuda NG Firewall Barracuda SSL VPN NETWORKING Barracuda Load Balancer Barracuda Link Balancer STORAGE & DATA PROTECTION Barracuda Message Archiver Barracuda Backup Service Testen Sie unsere Lösungen kostenfrei 30 Tage lang. +49 (0)

3 Editorial Cebit 2012 große Balz um Cloud-Vertrauen Trotz vieler Vorankündigungen und Vorberichte in den Medien brachte die diesjährige Cebit doch manche Überraschung. Das zentrale Thema der vielen großen und kleineren Anbieter das war keine Überraschung war einmal mehr das Cloud Computing. So hat auch beispielsweise Microsoft als weltgrößter Softwarekonzern mit Windows 8 und neuen Anwendungen in Hannover sein Cloud-Engagement stark erweitert und ist mit seinem auch für Tablets geeigneten Betriebssystem in die Welt der Wolken eingestiegen. Die Deutsche Telekom hat vor, nicht nur Großkunden und Mittelständler, sondern auch Privatkunden in dieses stark wachsende und hochattraktive Gebiet des Informations- und Telekommunikationsgeschäfts zu bringen. Die Cloud für alle ist hier das Ziel. Für den Mittelstand werde es ein Portal Business Marketplace mit einem Komplettservice von der Kundenverwaltung bis zur Buchführung geben. Privatkunden können plattform- und geräteunabhängig Daten in der Cloud ablegen. Auch die Welt der Prozessoren ist inzwischen heftig ins Cloud-Geschehen involviert: So warb etwa Intel mit seinen neuen Xeon-E5-Prozessoren für einen bis zu 80-prozentigen Leistungsschub in der Datenwolke. Die neuen Chips haben acht Rechnerkerne, adressieren bis zu 768 Gigabyte Arbeitsspeicher und sind in besonders energiesparender 32-Nanometer-Struktur gefertigt. Sie sollen die Basis für sogenannte In- Memory -Technologien bilden die nächste Generation des Cloud Computing. Dabei werden riesige Datenbanken ohne Zwischenspeicherung auf Festplatten direkt im Hauptspeicher in Echtzeit analysiert und verarbeitet. Das erlaubt eine deutliche Vereinfachung der Speicherinfrastruktur, bei drastischer Erhöhung der Performance. Im Bereich der Business-Intelligence-Plattformen gehört etwa SAP zu den führenden Playern, die In-Memory bereits nutzen. Die Zweifel an der Datensicherheit der Cloud sind jedoch nach wie vor sehr groß. Mit diesem Wissen warb Bundeskanzlerin Angela Merkel in ihrer Eröffnungsrede zur CeBIT um Vertrauen für die neuen Technologien. Ihr Bundesdatenschutzbeauftragter zeigte sich deutlich zurückhaltender: Schaar mahnte klar zur Vorsicht bei der Weitergabe von Daten in die Cloud. Vertrauen ja, aber mit höchster Aufmerksamkeit so lässt sich dann vielleicht auch das Oberthema der weltgrößten IT-Show interpretieren: Managing Trust (wörtlich: Vertrauen verwalten ). Die Cloud wird zum relevanten Wirtschaftsfaktor, insofern ist ein gewisses Maß an Vertrauen seitens der Anwender hier absolut essentiell: Ohne Cloud-Vertrauen gibt es schließlich auch kein Cloud-Business. Und das wollen sich die zahlreichen Cloud-Anbieter keinesfalls nehmen lassen. Die eigene Nation erfährt dabei als vertrauenswürdiger Rechtsraum großen Zuspruch: Fast alle deutschen Anbieter spielen beim Thema Cloud sehr gerne die Deutschland-Karte. Von einem geeinten Europa sind wir in Sachen Cloud-Gesetzgebung noch meilenweit entfernt an die globale Perspektive ist nicht zu denken. Nicht zuletzt befeuert von den Chancen und Herausforderungen im Cloud Computing entwickelte die Bundesregierung im vergangenen Jahr eine umfangreiche, nationale Prof. Dr. Jan von Knop Sicherheitsstrategie. Auf deren Basis entstand zur CeBIT eine neue Initiative, die auch das Thema Cloud auf neue Beine stellen könnte: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) gründeten eine Allianz für Cyber-Sicherheit. Was es konkret damit auf sich hat, dazu befragte IT-SICHERHEIT Lutz Neugebauer, Bereichsleiter Sicherheit beim BITKOM (Interview im Aktuell-Teil dieser Ausgabe). Viele weitere Aspekte zum Thema Sicherheit in der Cloud beleuchtet der Themenkomplex Virtualisierung/Cloud Computing als einer der beiden Schwerpunkte im vorliegenden Heft. it-sicherheit [2/2012] 3

4 Kooperation Mit it-sicherheit.de bestens informiert Der Marktplatz für IT-Sicherheit Seit Anfang Mai unterstützt das Fachmagazin IT-SICHERHEIT im Rahmen einer Kooperation mit dem Institut für Internet- Sicherheit if(is) der Fachhochschule Gelsenkirchen die Redaktion des Online-Portals it-sicherheit.de. Neben zahlreichen kostenfreien Angeboten, ebenso für Unternehmer wie auch für Privatanwender, finden interessierte Besucher unter it-sicherheit.de ab sofort täglich aktuelle News und Expertenkommentaren rund um das Thema IT-Sicherheit. Die vielen kostenfreien Angebote und aktuellen Meldungen stellen den Benutzern einen echten Mehrwert bereit und stehen im Einklang zur nicht-kommerziellen Ausrichtung des Online-Portals Der Marktplatz IT-Sicherheit. Alle Angebote von it-sicherheit.de im Schnell-Überblick l l l l l l l l l securitynews: iphone- und ipad-app sowie -Service in Echtzeit - Aktuelle Hinweise zu Sicherheitsupdates für Windows, Linux, Mac und Co. - Aktuelle Darstellung der IT-Sicherheitslage Tipps und Hilfestellungen aus der Praxis Aktuelle Meldungen zum Thema IT-Sicherheit Checklisten rund um die IT-Sicherheit Bundesweit größtes Verzeichnis von IT-Sicherheitsanbietern und -Produkten Veranstaltungshinweise rund um die IT-Sicherheit Veranstaltungsplaner IT-Sicherheit Einfaches Finden mit intelligenten Such- und Filterfunktionen Größte Jobbörse IT-Sicherheit Schauen Sie am besten gleich jetzt und regelmäßig bei uns rein!

5 Inhalt 10 CeBIT-Roundtable der IT-SICHERHEIT: Von Clouds, BYOD und Berechtigungsmanagement 30 Cloud Storage auf dem Vormarsch: Sichere Unternehmensdaten und Kollaboration ohne Grenzen Alter macht verletzlich: Flexibler Schutz für SCADA-Netzwerke Anforderungen an die Zuverlässigkeit des betrieblichen Datenschutzbeauftragten Editorial 3 CeBIT 2012 große Balz um Cloud-Vertrauen News Markt und Unternehmen 6 Aktuelle Meldungen Produkt News 8 Neuheiten auf dem Markt Aktuelles 10 CeBIT-Roundtable: Von Clouds, BYOD und Berechtigungsmanagement 14 Neue Allianz für Cybersicherheit Titel-Story 16 Im Interview: Christine Schönig, Technical Managerin bei Check Point Software Technologies Industrial Security 20 Alter macht verletzlich: Flexibler Schutz für SCADA- Netzwerke 22 Personenidentifikation: Vom Ausweis bis zur Biometrie 25 IT-Sicherheit in der Produktionsumgebung 28 Schließanlagen mit PIN-Code, RFID-Card und NFC-Mobiltelefon Cloud Computing 30 Cloud Storage auf dem Vormarsch 32 Die Cloud muss entmystifiziert werden Interview mit Wieland Alge, Barracuda Networks 34 Gezieltes Phishing durch Social Engineering 36 Compliance Aspekte in hybriden Clouds 38 Vertrauliche und verbindliche Nachrichtenübermittlung aus der Cloud IT-Recht & Rechtsprechung 40 Fallbeispiele: Wie haftet der Betreiber einer Suchmaschine? Teil 2 43 Urteilsbesprechung Security im ÖD 45 Das datenschutzrechtliche Sicherheitskonzept in der Praxis 48 Einführung von VoIP bei Behörden und Unternehmen Datenschutz 52 Anforderungen an die Zuverlässigkeit des betrieblichen Datenschutzbeauftragten Produkte & Technologien 55 Das Internet als Plattform für Big Data Teil 2 58 Trusted Computing als Vertrauensgenerator 60 QR-Codes im Visier: Schnelle Antwort schnell in Schwierigkeiten? Services 62 Veranstaltungskalender 64 Rubrikanzeigen 66 Impressum 67 DATAKONTEXT Webportal Vorschau 66 Ausblick auf die Ausgaben 3/12 und 4/ IT-SICHERHEIT der Newsletter +++ Jetzt registrieren unter +++ it-sicherheit [2/2012] 5

6 Produkt news markt newsund unternehmen CeBIT als Plattform für ersten Auftritt unter gemeinsamem Dach Die diesjährige CeBIT war für Sophos und Astaro gleich in zweierlei Hinsicht ein absolutes Highlight: Neben der Vorschau auf das neue Security-Gateway-Flaggschiff gab es auf der Messe zudem den offiziellen Startschuss für die gemeinsame Zukunft unter dem Motto Complete Security. Als Premieren waren neben UTM 9 (ehemals Astaro Security Gateway ) auch das Rundumsorglospaket Endpoint 10 sowie das Verschlüsselungstool SafeGuard 6 und der Verwaltungsprofi Mobile Control 2.0 zu sehen. Durch die Koordination zwischen Gateway und Endpoint wird IT-Sicherheit einfacher und effektiver, so Jan Hichert, Senior Vice President & General Manager, Network Security. Das Zusammenwachsen der beiden Unternehmen visualisierten Sophos und Astaro mit einem echten Hingucker: Aus rund Legosteinen wurde unter Mithilfe der Besucher eine über fünf Meter lange Brücke gebaut, für deren feierliche Begehung am Messefreitag der Sophos-CEO Steve Munford überraschend anreiste. Weitere Infos unter: Aus rund Legosteinen wurde unter Mithilfe der Besucher eine über fünf Meter lange Brücke gebaut, für deren feierliche Begehung am Messefreitag der Sophos-CEO Steve Munford überraschend anreiste. Foto: Sophos Aufstieg in die Top 5 der globalen Managed Security Services Provider Current Analysis ordnet Orange Business Services unter den weltweiten Top-5-Anbietern für Managed Security Services (MSS) ein. Im entsprechenden Bericht Managed Security Services Update: It Just Got Better wird Orange Business Services als wichtiger Herausforderer im globalen MSS Provider (MSSP)-Markt gesehen. Orange Business Services (OBS) differenziert sich gemäß Current Analysis mit fortschrittlichen Services in den Bereichen Identitäts- und Gefahrenmanagement durch die breite geografische Abdeckung mit Sicherheitsservices vom Wettbewerb. Die Untersuchung von Current Analysis zieht bei der Bewertung insbesondere folgende fünf Aspekte von MSSP-Angeboten in Betracht: Leistungsumfang und -verfügbarkeit, Service- und Support-Garantien, Authentifizierungs- und Monitoring Services sowie Intrusion Prevention und Bedrohungsmanagement. Weitere Infos unter: Verbreitertes Produktportfolio neuer Name Die neue Marke Egosecure macht die neue Produktphilosophie deutlich und gibt uns die Möglichkeit, international erfolgreich zu werden, so Natalya Kaspersky. Foto: InfoWatch Cynapspro heißt jetzt EgoSecure. Nach dem Einstieg von Natalya Kaspersky geht das Unternehmen durch das Rebranding und die neue Produktphilosophie auf Expansionskurs. Die Mitbegründerin und ehemalige Chefin des Antivirenspezialisten Kaspersky Lab ist seit 2009 mit dem Unternehmen InfoWatch auf dem deutschen Markt vertreten. Im Dezember 2011 hatte sie mit ihrer Holding InfoWatch Labs den Mehrheitsanteil des vor etwa sieben Jahren gegründeten deutschen Endpoint Data Protection-Spezialisten cynapspro aus Ettlingen übernommen. Dessen Produktpalette umfasst heute neben dem Devicemanagement auch Lösungen für das Applikationsmanagement, die Verschlüsselung und für das Energiemanagement. Die Kernphilosophie reflektiert einen Security-Ansatz, der Problemfelder umfassend, einfach und effizient adressiert. Die neue Marke Egosecure macht die neue Produktphilosophie deutlich und gibt uns die Möglichkeit, international erfolgreich zu werden. Da weder der Standort noch die sehr erfolgreiche Mannschaft verändert, sondern deutlich ausgebaut wird, bin ich mir sicher, dass die neue Marke sehr schnell erfolgreich wird und eine noch größere Akzeptanz bei den Kunden findet", sagt Natalya Kaspersky. "EgoSecure bedeutet- Ich bin sicher!. Welcher IT-Verantwortliche möchte das nicht über seine Endpoints sagen können", erläutert Sergej Schlotthauer, Geschäftsführer der EgoSecure. "Um das effizient zu erreichen, braucht man keine Suite aus vielen Einzelprodukten, sondern eine ganzheitliche Lösung, die alle Problembereiche adressiert und genau das ist EgoSecure Endpoint. Weitere Infos unter: 6 it-sicherheit [2/2012]

7 news markt und produkt unternehmen news Rustock: Ein Jahr danach Am 16. März des vergangenen Jahres wurde das Rustock-Botnet abgeschaltet. Es war für einen Großteil des weltweit versendeten Pharma-Spams verantwortlich und steuerte hauptsächlich Bots in Westeuropa und den USA. Als Folge brach das Spam-Aufkommen innerhalb von 24 Stunden um mehr als 60 Prozent ein. Ein Jahr später hat das Research-Team von eleven die Folgen der Rustock-Abschaltung analysiert und die wichtigsten Auswirkungen zusammengestellt. Demnach lag das Spam-Aufkommen im Februar 2012 um 61,2 Prozent unter dem Wert des gleichen Vorjahresmonats und damit auf dem Niveau unmittelbar nach der Rustock- Abschaltung. Im vierten Quartal 2011 war das Spam- Volumen zwischenzeitlich wieder gestiegen, nur um anschließend erneut einzubrechen. Dagegen hat die Anzahl gefährlicher -Nachrichten deutlich zugelegt. Malware- s stiegen seit Februar 2011 um 50,5 Prozent, Virenausbrüche sogar um mehr als das Doppelte (107,0 Prozent). Den größten Sprung machten Phishing- s: Zwischen Februar 2011 und Februar 2012 wuchs ihre Zahl um 145,0 Prozent (siehe Bild). Weitere Infos unter: So hat sich das SPAM-Aufkommen seit Abschaltung des Rustock-Botnet entwickelt. Quelle: eleven Research Verbraucher dürfen durch ACTA nicht kriminalisiert werden Der Bundesverband Digitale Wirtschaft (BVDW) e.v. hält Nachbesserungen am internationalen Anti-Counterfeiting Trade Agreement ACTA für erforderlich und betont, dass Verbraucher nicht durch ACTA kriminalisiert werden dürfen. Der BVDW betont die Notwendigkeit des Urheberrechtsschutzes zugunsten der Rechteinhaber. Dieser darf aber nicht einseitig auf Kosten der Verbraucher, der Unternehmen der digitalen Wirtschaft oder der Vielfalt und Freiheit im Netz erfolgen. Der BVDW regt daher eine grundsätzliche Weiterentwicklung des Urheberrechts für einen modernen Rechtsrahmen an. Dieser muss Kreativität, Vielfalt und Freiheit in einen angemessenen Ausgleich bringen und insbesondere die Position der werkschaffenden Kreativen stärken. Weitere Infos unter: Das Vorgehen, ACTA hinter nahezu vollständig verschlossenen Türen zu verhandeln, schürte bei den Verbrauchern Unsicherheit und Ängste. Zudem lassen die oft sehr weit gefassten und nicht eindeutigen Formulierungen von ACTA zu viel Interpretationsraum. Was wir stattdessen brauchen, ist ein für die Nutzer verständliches Urheberrecht, sagt Matthias Ehrlich, BVDW- Vizepräsident. Quelle: BVDW Malware wächst Unternehmen über den Kopf IT-Abteilungen fehlt es sowohl an den technischen Hilfsmitteln als auch an Analysten, um mit der Malware-Entwicklung Schritt halten zu können. Das ist das Ergebnis einer Umfrage, die Norman in Zusammenarbeit mit dem Marktforschungsunternehmen Forrest W. Anderson zu Jahresbeginn unter IT-Leitern in den USA und in Europa durchgeführt hat. Demnach befürchten 62 Prozent der Befragten, dass die Gefährlichkeit und Komplexität von Malware schneller wächst, als Unternehmen ihre Kapazitäten für die Malware-Analyse ausbauen können. Die größte Herausforderung für das Jahr 2012 sehen 58 Prozent der IT-Leiter in der schieren Zahl neuer Schadcodes. Viele Unternehmen planen deshalb die Erweiterung ihrer intern entwickelten Analyse-Lösungen durch ein automatisiertes kommerzielles Produkt. Knapp zwei Drittel der befragten IT-Leiter (65 Prozent) gehen davon aus, dass die Anzahl der Schadcodes im laufenden Jahr um mehr als 25 Prozent zunehmen wird. Dennoch werde ihr Unternehmen nicht in dem Umfang investieren, der notwendig wäre, um mit der Entwicklung Schritt halten zu können. Nur 17 Prozent der IT-Leiter können jede Malware identifizieren, die auf ihr Unternehmen abzielt. Ebenfalls bedenklich ist, dass weniger als die Hälfte der Befragten (45 Prozent) für 2012 mit einem steigenden Budget für den Malware-Schutz rechnet und nur ein Drittel (33 Prozent) davon ausgehen kann, dass Malware-Analysten das Team verstärken werden. Weitere Infos unter: it-sicherheit [2/2012] 7

8 Produkt news News Next Generation Firewall verbunden mit Webfilter in der Cloud Als erster Anbieter einer Next Generation Firewall bietet Barracuda Networks Sicherheit und Richtliniendurchsetzung bei der Internetnutzung für Anwender außerhalb des Netzwerkes und unabhängig vom Endgerät. Barracuda Networks erreicht dies durch die Integration der Barracuda NG Firewall und des Cloud-Service Barracuda Web Security Flex. Es ist die erste Lösung, die eine Enterprise-fähige Webfilter-Technologie in der Cloud mit einer Next Generation Firewall verbindet. Durch die Verlagerung von rechenintensiven Sicherheits- und Reporting-Funktionen in die Cloud entlasten Unternehmen ihre Firewalls. Das Angebot ist ab sofort erhältlich. Eine standortunabhängige Web-Policy durchzusetzen, erforderte bisher ein komplexes Szenario aus Cloud, Firewall, Hypervisor-Container und dedizierter Webfilter-Appliance, so Wieland Alge, General Manager EMEA bei Barracuda Networks. Das ist nicht das, was Nutzer heute verlangen. Sie wollen eine klare und einfach zu verwaltende Lösung, die alles in einer einzigen Appliance vereint. Die Integration der NG Firewall mit Web Security Flex ermöglicht es Unternehmen, selbst die dynamischsten Netzwerke zu verwalten. Deren Herausforderung besteht darin, dass Zehntausende von Nutzern mit unterschiedlichen Endgeräten von innerhalb und außerhalb des Netzwerks auf Anwendungen und Netzwerkressourcen zugreifen. Weitere Infos unter: Barracuda NG Firewall verbindet eine Enterprisefähige Webfilter-Technologie in der Cloud mit einer Next Generation Firewall. Durch die Verlagerung von rechenintensiven Sicherheits- und Reporting- Funktionen in die Cloud entlasten Unternehmen ihre Firewalls. Quelle: Barracuda Networks Ab sofort verfügbar! Das Stichwortverzeichnis der IT-SICHERHEIT für 2011 stellen wir Ihnen ab sofort gerne als PDF zur Verfügung. Bitte schicken Sie bei Interesse eine mit dem Betreff IT-SICHERHEIT 2011 Stichwortverzeichnis an Wir werden Ihnen das Stichwortverzeichnis schnellstmöglich per zuschicken. Rundum informiert: Tagesaktuelle News gibt's unter Umfassender Security-Ansatz für den Arbeitsplatz von morgen Mitarbeiter möchten ihre eigenen Geräte am Arbeitsplatz nutzen und mehr Flexibilität dafür erhalten, wie, wann und wo sie arbeiten. Um Unternehmen für diese Anforderungen die geeignete Technologie-Architektur zu bieten, bringt Cisco nun einen ganzheitlichen Ansatz auf den Markt, der Richtlinien vereinheitlicht, eine bessere Bedienung durch die Nutzer ermöglicht und das Management der Geräte vereinfacht. Der Ansatz basiert auf der Borderless Network-Architektur von Cisco, die das Unternehmen für die BYOD-Unterstützung mit vier neuen beziehungsweise aktualisierten Lösungen erweitert hat. Dies sind Erweiterungen der Cisco Identity Services Engine (ISE), Cisco Unified Wireless Network Software in der Version 7.2 sowie Prime Assurance Manager und Prime Infrastructure. Letztere vereinfachen den Betrieb und das Netzwerkmanagement. IT-Manager erfassen damit die Performance einer Anwendung aus der Nutzerperspektive. Zudem sollen sie die Fehlerbehebung beschleunigen und die laufenden Kosten reduzieren. Erst kürzlich hat der Cisco Connected World Technology Report ermittelt, dass über 40 Prozent der Studenten und jungen Mitarbeiter einen geringer bezahlten Job akzeptieren würden, wenn sie dafür ihre eigenen Geräte nutzen können und mehr Mobilität erhalten. Dies zeigt, wie wichtig eine möglichst uneingeschränkte Arbeitsumgebung ist. Weitere Infos unter: Erweiterungen der Cisco Identity Services Engine (ISE) erlauben eine einheitliche Richtlinie für drahtgebundene und drahtlose Netze, für Mobiltelefonie und VPNs. Foto: Cisco 8 it-sicherheit [2/2012]

9 Advertorial Automatisiertes Identity Management in einer verzeichnisbasierten Sicherheitsarchitektur Internationale Großkonzerne verfügen in der Regel über einen äußerst umfangreichen Mitarbeiterstamm, der oft auf mehrere Tochterunternehmen verteilt ist. Angesichts einer solch weit verzweigten Struktur ist es naturgemäß schwierig, Zehntausende von Benutzern in den diversen Systemen und Anwendungen effizient zu verwalten. Hier kommen Identity Management (IDM) Systeme ins Spiel. Sie zentralisieren und automatisieren die Benutzerverwaltung, bündeln und verarbeiten Benutzer- und Unternehmensdaten aus verschiedenen Quellen und leiten sie an die entsprechenden Zielsysteme weiter. Typische Systeme, die eine leistungsfähige IDM-Lösung einbinden können sollten, sind RACF, verschiedene Windows-Domänen, SAP (ERP)-Systeme, Unternehmens- und andere LDAP-Verzeichnisse sowie zusätzlich unternehmensintern entwickelte Anwendungen. In Großprojekten sind regelmäßig erweiterte IDM-Funktionen wie Segregation-of-Duty (Aufgabentrennung) und Resource Provisioning (zentrale Vergabe von Benutzer-Berechtigungen) notwendig. Denn typischerweise enthalten die Benutzerprofile des Unternehmensverzeichnisses eines Großkonzerns oft Dutzende unterschiedlicher Attributstypen pro Benutzer. Eine Provisioning-Lösung muss hier in der Lage sein, mehrere Eingangsquellen zu unterstützen und damit das Verzeichnis permanent aktuell zu halten, Sicherheitslücken zu vermeiden und Abläufe präzise zu überwachen. Diese Funktionen sollten ohne manuelle Eingriffe der Administratoren ausgeführt werden können was eine vollständige Automatisierung der Abläufe erfordert. die IDM-Lösung übermittelt, welche sie wiederum in den verbundenen Systemen und Verzeichnissen ausführt. Dieser Prozess gestattet es der IT-Abteilung, ihren Kunden eine hohe Servicequalität anzubieten: Dank der technischen Einbettung eines Workflowsystems im IDM-System können alle Sicherheitssysteme bereits wenige Minuten nach der Erteilung der Genehmigung aktualisiert werden. Unter Einsatz der plattformübergreifenden Berichterstellungs- und Überwachungsfunktionen von SAM erstellt der konzerneigene IT- Dienstleister heute vollautomatisch monatliche Prüfberichte. Sie enthalten alle relevanten Benutzer- und Sicherheitseinstellungen und werden per an die jeweils verantwortlichen Unternehmensmanager geschickt. Pro Konzerngesellschaft generiert die Lösung zudem für die Sicherheitsadministratoren der unterschiedlichen Zielsysteme einen wöchentlichen Bericht über geänderte Benutzerattribute und deaktivierte bzw. gelöschte Konten. Für die Fluggesellschaft hat sich der Einsatz der IDM-Technologie gelohnt: Sie kann ihre umfassende Benutzerverwaltung effizient durchführen und den einzelnen Konzerngesellschaften einen hohen Service-Level garantieren. Und in der Administration lassen sich aufgrund der zentralisierten und automatisierten Benutzerverwaltung erhebliche Kosteneinsparungen erzielen. Die Berliner Beta Systems Software AG löst solche Aufgaben mit ihrer IDM-Lösung SAM Enterprise. In einem aktuellen Großprojekt bei einer international aufgestellten Fluggesellschaft optimierte und automatisierte Beta Systems mit SAM Enterprise zunächst die Benutzerverwaltung, um den ROI in möglichst kurzer Zeit zu erreichen. Als erste Maßnahme wurden das Novell NetWare-Netzwerk, RACF sowie Windows- und Unisys-Systeme an SAM Enterprise angebunden und die Benutzerverwaltung einer ersten Konzerngesellschaft automatisiert. Dabei verband man fünf Datenquellen mit der IDM-Lösung: zwei HR-Systeme, eine Datenbank externer Partner und zwei Datenquellen für unternehmensbezogene Informationen. Änderungen in diesen Systemen wurden an SAM übermittelt und anhand eines regelbasierenden Vorgangs in Benutzerkonten, Gruppenverbindungen sowie Autorisierungen der diversen angebundenen Sicherheitssysteme umgewandelt. In weiteren Projektschritten hat Beta Systems dann weitere Konzerngesellschaften in die Lösung einbezogen. IDM-Zugriff über kundenspezifisches Intranet-Portal Die Fluggesellschaft hat das IDM-System im Verlauf des Projektes mit seinem kundenspezifischen Intranet-Portal verbunden. Dadurch können Mitarbeiter und externe Partner Konten und Benutzerrechte über einen abgestimmten Genehmigungsworkflow beantragen. Die bewilligten Konten- und Rechteanfragen werden an Beta Systems Software AG Alt-Moabit 90d Berlin Phone: +49(0) Fax: +49(0)

10 Aktuelles CeBIT-Roundtable IT-SICHERHEIT Von Clouds, BYOD und Berechtigungsmanagement Die CeBIT setzte sich in weiten Teilen mit Lösungen rund um die Themen Cloud und Mobility auseinander. Auch auf dem CeBIT-Roundtable der IT-SI- CHERHEIT dominierten diese Trendtechnologien hier jedoch mit deutlich kritischen Untertönen in puncto Sicherheit. Eine dringende Handlungsempfehlung für Unternehmen sei hier die klare Klassifizierung ihrer Daten, um so Essenzielles von Unkritischem zu trennen. Das sei wesentliche Voraussetzung für wirksame Sicherheitsstrategien. Ebenfalls elementar aber oft vernachlässigt sei die Frage, wer wie auf welche Daten zugreifen kann. Quintessenz hier: Weniger ist oft mehr. Teilnehmer CeBIT-Roundtable der IT-SICHERHEIT Christian Zander, Gründer und CTO von protectednetworks.com, Entwickler und Anbieter von 8MAN, einer Software-Lösung für das Berechtigungsmanagement in Server-Umgebungen Toralv Dirro, EMEA Security Strategist bei McAfee, einem der weltweit führenden Anbieter von Sicherheits-Software und -Dienstleistungen Wolfgang Straßer, Gründer und Geschäftsführer Beratungsunternehmen und Dienstleister in Bereich IT beziehungsweise IT-Sicherheit Stefan Mutschler, Stellv. Chefredakteur IT-SICHERHEIT (Moderation) Das Dilemma in heutigen Unternehmen: Immer mehr Arbeitsbereiche und Funktionen wandern in die IT neben den operativen Jobs inzwischen mit , Fax, Messaging, Telefonie, Videokollaboration und sozialen Medien auch fast alle am Arbeitsplatz genutzten Kommunikationswege. Damit bieten die Unternehmen professionalisierten Cyberkriminellen und Spionageorganisationen immer mehr Angriffsflächen, während es für sie gleichzeitig immer komplexer wird, eine angemessene Verteidigung aufzubauen und zu pflegen. Vor dem Hintergrund aktueller Trends wie Cloud Computing und Mobility sind hier insbesondere Kleinunternehmen und Mittelständler (KMUs) oft schlicht überfordert. Zur Lösung dieses Problems schlägt Dirro vor, die Cloud nicht immer nur als Gefahr, sondern auch als große Chance zu begreifen. Eine wachsende Zahl von Cloud-Security-Service- Providern liefere inzwischen eine breite Palette von ausgefeilten Sicherheitsdiensten, die gerade für KMUs ohne eigene Sicherheitsspezialisten ein attraktives Angebot darstellten. Er warnt vor der oft geübten Praxis, sich für den Aufbau etwa einer Firewall oder eines Virenschutzes einmalig einen externen Berater ins Haus zu holen. Es gehe vielmehr um die kontinuierliche Anpassung der Abwehr an sich ständig ändernde Bedrohungsvarianten. Dieser Vorgang müsse als fixer Prozess im Unternehmen installiert sein. Gerade wenn es um die flexible Bereitstellung regelmäßig aktualisierter Security-Lösungen geht, können entsprechende Cloud-Angebote eine sehr gute Wahl sein, so Dirros Überzeugung. Die Provider bieten dazu auch meist Analysen und Protokolle an, über die sich der Nutzer in bestimmten Abständen ein Bild darüber machen kann, was in seinem Netzwerk vorgeht und wo eventuell Einbruchsversuche stattgefunden haben. Zander stimmt hier zu, würde aber mit der Gefahrenabwehr ein gutes Stück weiter vorne beginnen. Seiner Auffassung nach müsse der Informationsschutz bereits im internen Netz aufsetzen. Er empfiehlt Unternehmen und viele täten das auch bereits ihre Daten nach kritisch (direkt mit Geld verbunden), sensibel (wichtiges Firmen-Know-how) und Sonstiges zu unterscheiden. Um die Gewichtung zu verdeutli- 10 it-sicherheit [2/2012]

11 Aktuelles chen: Der Verlust von Daten der ersten Kategorie würde unmittelbar zum Konkurs führen, solcher der zweiten Kategorie würde das Unternehmen schwer schädigen und mit hoher Wahrscheinlichkeit auf etwas längere Sicht in der Pleite enden. Cloud-Security-Services seien zwar eine sinnvolle Methode für den Schutz vor Angriffen von außen der helfe aber wenig, wenn in der inneren Organisation das Kind bereits in den Brunnen gefallen ist. Das Stichwort hier sei: Zugriffsberechtigung. Das Kernproblem in vielen Unternehmen ist, dass nicht bekannt ist, wer genau tatsächlich auf welche Daten zugreifen kann. Und wer Zugriff hat, der nutzt ihn auch ohne das geringste Unrechtsbewusstsein, selbst wenn die Unternehmens-Policy das eigentlich verbietet. In diesem Zusammenhang hat Zander eine interessante Empfehlung für das Top-Management über die Jahre gegart aus eigenen Erfahrungen als Geschäftsführer eines Unternehmens: Die Unternehmensführung auch ich selbst ging bisher immer davon aus, auf alles Zugriff besitzen und alles wissen zu müssen. Das ist sehr gefährlich, denn gerade Top-Manager sind in der Regel sehr exponierte Persönlichkeiten, die nicht immer all ihre Gerätschaften im Blick haben können. Ein kurzer Moment mit einem im Besitz aller Zugriffsrechte befindlichen ipad beispielsweise reicht aber, um ein Unternehmen ruinieren zu können. Ich empfehle hier ein grundlegendes Umdenken. Es gilt, klar festzulegen, wer worauf unbedingt Zugriff haben muss und nur genau das sollte auch eingeräumt werden. Wer das konsequent umsetzt, trägt wesentlich zur Sicherung seiner kritischen und sensiblen Unternehmensdaten bei. Auch Straßer sieht in den nach innen offenen Netzwerken ein immenses Risikopotenzial. Als IT-Dienstleister mit großer Penetrationstest-Erfahrung weiß er: Sind wir einmal im Netz, gelingt es uns so gut wie immer, auf alle im Netzwerk gespeicherten Informationen zuzugreifen. Wirksame interne Barrieren Fehlanzeige. Er empfiehlt, nach einer strikten Klassifizierung der Daten die entsprechenden Netzwerke physisch oder wenigstens logisch voneinander zu trennen. Auch in KMUs sollte es möglich sein, VLANs einzurichten und Verschlüsselung einzusetzen, um nur zwei Beispiele zu nennen. Es gäbe heute sehr viele technische Möglichkeiten, kritische und sensible Daten von den anderen Daten zu trennen, oft schon mit den Bordmitteln des eingesetzten Netzwerkmanagements. Viel zu oft wird rein gar nichts davon genutzt, bemängelt er. Unternehmen sollten sich darüber im Klaren sein, dass sie es mit einer sehr heterogenen Angreifer-Landschaft zu tun haben: Vom Skript-Kiddy über den rachlüsternen Ex-Mitarbeiter, besserwisserischen Egomanen und überzeugtem Weltverbesserer bis hin zu professionellen Cyberkriminellen und Spionageorganisationen sei alles dabei. Wer selbst auf einfachste Abwehrmechanismen verzichtet, ist eine einfache Beute und läuft schon bei vergleichsweise dilettantischen Streuangriffen Gefahr, zum Opfer zu werden, so Zander. Gegen gezielte Angriffe von Profis müsse man andere Geschütze auffahren Grundschutz sei hier wirkungslos. Wichtig für den Schutz der Daten sei auch die Wahl der geeigneten Werkzeuge. Firewalls und Virenschutz sind dafür nicht geeignet diese Tools haben andere Aufgaben, so Dirro. Wenn es um die flexible Bereitstellung regelmäßig aktualisierter Security-Lösungen geht, können entsprechende Cloud-Angebote eine sehr gute Wahl sein, so Toralv Dirro, EMEA Security Strategist bei McAfee. Foto: Frank M. Preuss/IT-SICHERHEIT Cloud als externe Speichererweiterung Während Security-Services, die im Cloud- Modell bereitgestellt werden einige sehen darin auch einfach einen Managed- Service bei Beachtung geeigneter Service-Verträge von den Teilnehmern als sinnvolle Möglichkeit insbesondere für KMUs gewertet werden, sieht es bei der Ablage von kritischen und sensiblen Unternehmensdaten in öffentlichen Cloud- Systemen etwas anders aus. Die Idee des Cloud-Computing war es, durch Einzug einer Virtualisierungsebene die mitunter global verteilten Ressourcen in Rechenzentren effizienter zu nutzen, erklärt Straßer. Durch die zugegebenermaßen zum Teil sehr deutlich verbesserte Auslastung sind kostengünstige Angebote an Ressourcen und Services möglich. Unter Sicherheitsaspekten genügen solche Angebote jedoch noch nicht einmal ansatzweise. Wer also seine kritischen Unternehmensdaten einem öffentlichen Cloud-Angebot anvertraut, handelt aus meiner Sicht daher grob fahrlässig. Der Grund, warum hier keinerlei seriöse Security darstellbar ist, liegt laut Straßer in der Tatsache begründet, dass in globalen Cloud-Verbunden in keiner Weise nachzuvollziehen ist, wer in den jeweiligen Ländern für die Administration der Rechenzentren zuständig ist und wie weit deren Kompetenzen tatsächlich gehen. Das können zum Beispiel durchaus auch bestellte Spione sein, die etwa von einer Rechenzentrumslokation in Asien aus über den Verbund ganz gemütlich auch Daten von den Servern assoziierter Rechenzentren in Deutschland herunterziehen und keiner merkt es, so Straßers klare Warnung an alle, die davon ausgehen, eine Eingrenzung der Verarbeitung der Daten auf ausschließlich in Deutschland befindliche Rechenzentren sei sicher. Selbst wenn der Cloud-Anbieter seinen Kunden zusichert, dass deren Daten das Land nicht verlassen, können die Administratoren durchaus weltweit verstreut sitzen. Aus Kostengründen ist das häufige Praxis, denn durch geeigneten Wechsel des Administratorenteams rund um den Globus lässt sich deren Arbeitszeit stets auf eine kostengünstige Tagschicht legen. Auch Zander warnt eindringlich davor, wichtige Unternehmensdaten in eine Public Cloud zu legen: Öffentliche Clouds sind it-sicherheit [2/2012] 11

12 Aktuelles ein Dorado für die Geheimdienste, deren Spionagetätigkeit durch Gesetze regierungsseitig abgesegnet ist. Dirro vermutet sogar eine direkte Geschäftsbeteiligung geheimdienstlicher Organisationen: Man kann wohl davon ausgehen, dass hinter besonders günstigen Angeboten von Rechenzentrumskapazitäten nicht selten Spionageorganisationen stehen. Die großen Anbieter von Cloud-Services binden solche Kapazitäten gerne in ihren Rechenzentrumsverbund mit ein, denn sie wollen ja billiger als ihre Mitbewerber sein. Wenn dann Daten der Kunden des Cloud-Providers irgendwann vorübergehend dorthin verlagert werden, haben die Betreiber des entsprechenden Rechenzentrums leichtes Spiel. Besondere Attraktivität gewinnt der Datenklau in der Cloud durch die Tatsache, dass man nicht nur die nackten Daten abgreifen kann, sondern die komplette virtuelle Maschine, so Zander. Anders als bei einer schlichten Datenkopie bekommt man die Informationen so quasi in ihrer natürlichen Umgebung inklusive Kontext. So lassen sich Daten sehr schnell und sehr einfach interpretieren. Abgesehen vom eigenen Risiko gibt es auch gesetzliche Vorschriften, die ein Auslagern bestimmter Daten in Cloud-Systeme verbieten. Das Bundesdatenschutzgesetz beispielsweise schreibt für personenbezogene Daten vor, dass der Besitzer jederzeit wissen muss, wer physikalisch Zugang dazu hat und zwar nachweisbar, so Straßer. Es trifft hier also nicht den Provider, sondern den Anwender. Ähnliches gilt auch für Geschäftsdaten beziehungsweise solchen, die für das Finanzamt relevant sind. Da eine entsprechende Kontrolle in einer öffentlichen Cloud-Umgebung nicht möglich ist, sind solche Daten für die Cloud tabu. Einzige Lösung, die Vertraulichkeit der Daten auch in öffentlichen Clouds zu sichern, wäre eine entsprechend starke Verschlüsselung. Die werde aber nach Kenntnis der Diskussionsteilnehmer von keinem einzigen Cloud-Provider angeboten zumindest nicht in der gebotenen Form: Der Schlüssel müsste immer und exklusiv in den Händen des Unternehmens bleiben. Keinesfalls dürften Administratoren bei den Providern in den Besitz der Schlüssel gelangen. Jedoch auch unabhängig vom Thema Vertraulichkeit der Daten setzen die Diskutanten kritische Noten unter die Cloud. Die Hauptschwachstelle dabei: der Link zwischen dem eigenen Unternehmen und dem Provider. Fällt der aus etwa weil ein Bagger bei Straßenarbeiten ein Kabel gekappt hat stehen die eigenen Daten nicht mehr im Zugriff. Gegebenenfalls sei hier also für Redundanz zu sorgen. Mobiles Leben und Arbeiten BYOD - das Akronym für Bring Your Own Device, zu Deutsch, bringe dein privates Gerät mit (ins Unternehmen) gehört derzeit sicherlich zu den mit am häufigsten verwendeten Ausdrücken, wenn es um Mobilität im Unternehmen geht. Hintergrund: Mitarbeiter haben es satt, x-verschiedene Geräte zu bedienen immer schön separiert nach privat oder Business. Sie wünschen sich, alles mit einem Gerät tun zu können und moderne Tablets und Smartphones bieten sich als geeignete Plattform dafür an. Sowohl Leistung als auch Speicherkapazität sind inzwischen durchaus mit PCs vergleichbar der kleine Formfaktor erlaubt jedoch, die Geräte ständig und Kleiner aber feiner Gesprächskreis zu einigen der wichtigen Trendthemen der CeBIT (v.l.n.r.): Christian Zander, Gründer und CTO von protected-networks.com, Toralv Dirro, EMEA Security Strategist bei McAfee, Stefan Mutschler, Stellv. Chefredakteur IT-SICHERHEIT (Moderation) und Wolfgang Straßer, Gründer und Geschäftsführer 12 it-sicherheit [2/2012]

13 aktuelles überall mitzuführen. Die Verteidiger von BYOD-Konzepten leiten daraus eine Steigerung der Produktivität ab, und das könne ja nur im Interesse des Unternehmens sein. Die Diskussion um BYOD gab und gibt es natürlich auch mit den klassischen Laptops, mit den kleinen, fingerfertigen Dauerbegleitern erreichte das Thema jedoch eine völlig andere Dimension. In der Runde mag sich keiner der Teilnehmer mit dem Argument der verbesserten Arbeitsleitung anfreunden. Ehrlich gesagt hat mir noch niemand wirklich überzeugend erklären können, woraus sich der viel gepriesene Produktivitätsschub speisen sollte, bekennt Dirro. Nichtsdestotrotz verlangen immer mehr Kunden nach Lösungen, die BYOD-Implementationen absichern. Deshalb haben wir unser Angebot hier stark erweitert und treten auch hier auf der Messe unter anderem mit diesem Thema an. Straßer legt noch eine Schippe drauf: Warum soll denn einer, der einen Firmenrechner nutzt, dort weniger kreativ, weniger motiviert, weniger schnell und weniger was weiß ich was arbeiten können, als auf einem trotz aller toller Technik meist ziemlich fieseligen Mobilgerät. Für mich ist das ein Fall für den Psychiater! Straßer weiter: BYOD insbesondere im Hinblick auf Tablets und Smartphones ist völliger Blödsinn, und wenn jemand einen Job absagt, weil er nicht mit dem Gerät arbeiten darf, mit dem er will, dann war entweder der Job zu uninteressant, oder der Bewerber ungeeignet. Mir ist das noch nie vorgekommen, und ehrlich gesagt halte ich das für eine Erfindung derer, die eben ihre entsprechenden Lösungen verkaufen wollen. Einen der Gründe, warum BYOD auf die Mitarbeiter von Unternehmen einen so starken Reiz ausübt, sehen die Gesprächsteilnehmer im Verhalten der Chefs. Jeder coole Manager fummle heute regelmäßig an seinem iphone, Blackberry oder Tablet herum und signalisiere so: Mit diesem Ding habe ich meinen Laden im Griff. Viele glauben das auch noch selber und sind vielleicht deswegen so attraktive Vorbilder, so Dirro. Zander sieht ebenfalls keinen zwingenden Vorteil durch BYOD, glaubt aber, dass sich der Trend nicht mehr umkehren lässt: BYOD kommt und zwar schon bald bis in alle Ecken des Unternehmens. Für uns kann die Frage daher nur lauten: Wie können wir BYOD ökonomisch sinnvoll und doch wirksam absichern? Und hier komme ich wieder zu dem, was ich schon zu Anfang der Diskussion gesagt habe: Gerade auf mobilen Geräten nur so viele Zugriffsrechte einräumen, wie unbedingt für den Job nötig. Unternehmen sollten aktuelle Hype-Themen immer kritisch unter die Lupe nehmen, so ein Resümee aus dem Gespräch. Im Falle von BYOD weiß niemand so recht, wo eigentlich die Vorteile liegen. Mögliche Risiken und Folgekosten etwa auch beim Support bewegen einige zur Totalablehnung. Andere überlassen die Entscheidung, BYOD insbesondere im Hinblick auf Tablets und Smartphones ist völliger Blödsinn, und wenn jemand einen Job absagt, weil er nicht mit dem Gerät arbeiten darf, mit dem er will, dann war entweder der Job zu uninteressant, oder der Bewerber ungeeignet. Mir ist das noch nie vorgekommen, und ehrlich gesagt halte ich das für eine Erfindung derer, die eben ihre entsprechenden Lösungen verkaufen wollen, so Wolfgang Straßer, Gründer und Geschäftsführer Foto: Frank M. Preuss/IT-SICHERHEIT Das Kernproblem in vielen Unternehmen ist, dass nicht bekannt ist, wer genau tatsächlich auf welche Daten zugreifen kann. Und wer Zugriff hat, der nutzt ihn auch ohne das geringste Unrechtsbewusstsein, selbst wenn die Unternehmenspolicy das eigentlich verbietet, so Christian Zander, Gründer und CTO von protectednetworks.com. Foto: Frank M. Preuss/IT-SICHERHEIT ob nützlich oder nicht, dem Anwender und wollen sich auf die Unterstützung einer sicheren Umsetzung konzentrieren. Cloud-Konzepte werden einhellig unterstützt, wenn sie im Gewand eines Managed-Service daher kommen. Die Cloud als Datenspeicher hingegen erfordere so hohen Sicherungsaufwand, dass die Wirtschaftlichkeit in Frage gestellt wird. Bei öffentlichen Clouds warnen alle Teilnehmer grundsätzlich davor, dort unternehmenskritische Daten abzulegen. n Stefan Mutschler it-sicherheit [2/2012] 13

14 Aktuelles Interview mit Lutz Neugebauer, Bereichsleiter Sicherheit beim BITKOM Neue Allianz für Cyber-Sicherheit Im Rahmen der CeBIT haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) die Allianz für Cyber-Sicherheit angestoßen. Die Gründung der Allianz erfolgt vor dem Hintergrund der nationalen Cyber-Sicherheitsstrategie, die im vergangenen Jahr durch die Bundesregierung verabschiedet wurde. IT-SICHERHEIT sprach mit Lutz Neugebauer, Bereichsleiter Sicherheit beim BITKOM, über Motivation, Ziele und Organisation der neuen Allianz. ITS: Herr Neugebauer, wer sind die Teilnehmer der Allianz für Cyber-Sicherheit? Lutz Neugebauer: Initiatoren und Träger der Allianz sind das BSI und der BIT- KOM. Wir wollen aber zusammen mit einem möglichst breiten Spektrum an unterschiedlichen Partnern aus Wirtschaft, Wissenschaft und Verwaltung die Cyber-Sicherheit in Deutschland weiter verbessern. Angesprochen sind dabei insbesondere die Anwenderbranchen und die öffentliche Verwaltung, sofern sie intensiv ITK-Produkte und -Dienstleistungen einsetzen und nutzen, aber natürlich auch die Unternehmen der BITKOM-Branche, die mit ihrer Expertise einen wertvollen Beitrag leisten können. Weiterhin brauchen wir Multiplikatoren aus den Medien, der Verbändelandschaft sowie Politik und Wissenschaft, damit wir viele potenzielle Teilnehmer mit unserem Angebot erreichen. ITS: Was war die wesentliche Motivation zur Gründung der Allianz? Lutz Neugebauer: Wesentliches Ziel ist es, eine möglichst hohe Widerstandsfähigkeit in Deutschland gegenüber den vielfältigen Cyber-Bedrohungen zu erreichen. Wenn jedes Unternehmen und jede staatliche Organisation sich angemessen selbst schützt und damit die eigene Widerstandsfähigkeit stärkt, trägt das zum Schutz des gesamten Wirtschaftsstandorts Deutschland bei. Hierfür wollen wir einen vertrauensvollen Informations- und Erfahrungsaustausch ermöglichen und zwar möglichst flächendeckend. Bereits heute gibt es eine Reihe erfolgreicher Initiativen und Projekte zum Thema Cyber-Sicherheit, aber diese arbeiten häufig regional begrenzt oder konzentrieren sich überwiegend auf die Schaffung von Bewusstsein. Was uns derzeit fehlt, ist eine aktuelle und breite Bereitstellung von Einzelinformationen aus den Unternehmen zu tatsächlichen Angriffen und sonstigen Sicherheitsvorfällen. Wir wollen daher einen Rückkanal von den Unternehmen und Behörden zu einer zentralen Stelle organisieren, um einen Überblick über aktuelle Angriffsmuster und Schwachstellen in Systemen zu erhalten. Ein möglichst aktuelles Lagebild kann auch dazu beitragen, die knappen personellen und finanziellen Ressourcen richtig zu nutzen. 14 it-sicherheit [2/2012]

15 Aktuelles ITS: Welche Rolle übernimmt dabei der BITKOM, welche das BSI? Lutz Neugebauer: Der BITKOM wird die Erkenntnisse zur Gefährdungs- und Angriffslage insbesondere an die Hersteller und Dienstleister im Bereich Cyber-Sicherheit transportieren. Gleichzeitig soll das Know-how der häufig weltweit tätigen Mitgliedsunternehmen in das aktuelle Lagebild einfließen. Darüber hinaus wollen wir über unser Netzwerk den Erfahrungsaustausch mit Großunternehmen, Vertretern von Anwenderbranchen und regionalen Unternehmerverbänden intensivieren und so den Transfer von Sicherheitsinformationen verbessern. Das BSI wird in der Allianz die zentrale Koordination übernehmen, Sicherheitsempfehlungen entwickeln und aus dem Cyber-Abwehrzentrum Warnungen, Analysen sowie vertrauliche Hintergrundinformationen einbringen. Darüber hinaus übernimmt das BSI die Beobachtung der Gesamtlage sowie die nationale IT-Krisenreaktion. ITS: Welche konkreten Ziele sollen durch die Allianz für Cyber-Sicherheit erreicht werden? Lutz Neugebauer: Neben einem aktuellen Lagebild sind zwei Punkte wesentlich. Zum einen muss verstärkt IT-Sicherheitskompetenz in Unternehmen und öffentlichen Organisationen aufgebaut werden. Zum anderen spielt eine stärkere Bereitschaft der Unternehmen zur Kommunikation eine wesentliche Rolle. Sicherheitskompetenz kann man prinzipiell sehr einfach durch eine höhere Anzahl von Wissensträgern in puncto IT-Sicherheit in den Organisationen erreichen. Es gilt dabei, die Expertise in deutschen Unternehmen in Bezug auf Technikeinsatz, Organisation und Notfallmanagement zu erhöhen. Dazu müssen vielfach keine Fachleute von außen neu eingestellt werden, sondern es reicht oft schon, die vorhandenen Mitarbeiter weiter zu qualifizieren. Wichtig ist allerdings die Entscheidung der Leitung, einen Sicherheitsbeauftragten oder eine spezielle Organisationseinheit zur Informationssicherheit im Unternehmen überhaupt vorzusehen. Als zweiten Punkt müssen wir die Bereitschaft zu einem vertrauensvollen und dauerhaften Erfahrungsaustausch zwischen Unternehmen und Behörden auch auf regionaler Ebene stärken. Von den Unternehmen brauchen wir mehr freiwillige und gegebenenfalls anonymisierte Meldungen über relevante Vorfälle. Aus diesen Informationen können wir wertvolle Informationen über die neuesten Angriffsmuster der Cyber-Kriminellen ableiten. ITS: Könnten Sie noch ein Statement zur aktuellen Bedrohungslage abgeben? Lutz Neugebauer: Cyber-Bedrohungen gehören heute leider zur normalen Lebenswirklichkeit im Internet. Die Angreifer müssen hierfür noch nicht einmal besonders technisch versiert sein. Über die sogenannte Underground Economy lassen sich leicht und mit geringem finanziellen Aufwand Virenbaukästen erstehen oder sogenannte Bot-Netze für Attacken auf Webserver anmieten. Identitätsdiebstahl, Datenmanipulation, Erpressung, Online-Spionage und Sabotage sind leider alltägliche Phänomene geworden. Allerdings sind sich BITKOM und BSI darüber einig, dass man den größten Teil der Risiken durch teilweise sehr einfache Maßnahmen abwenden kann. Dazu gehören die Verwendung von möglichst aktueller Software, das regelmäßige Einspielen von Updates, die Vorbereitung von Notfallplänen und ein dem Risiko angemessenes Verhalten der Anwender. Das Verhalten der Nutzer lässt sich für Unternehmen zudem durch technische Maßnahmen teilweise lenken. Denkbar ist zum Beispiel, Inhalte im Internet zu sperren, die nicht für die berufliche Nutzung notwendig sind. Auf Bedrohungen und Lösungsmöglichkeiten hinzuweisen sowie Unternehmen und Institutionen aktiv zu unterstützen, soll Kern der Allianz für Cyber-Sicherheit sein. ITS: Vielen Dank für das Gespräch! Das Interview mit Lutz Neugebauer führte Prof. Dr. Jan von Knop, Chefredakteur IT-SI- CHERHEIT. Anzeige IT-Sicherheit mit Weitblick, Maß und Ziel Wirtschaftlich sinnvolle Sicherheitslösungen zu entwickeln und zu implementieren erfordert neben einer fundierten Marktkenntnis ein besonderes Verständnis für die spezifischen IT-Prozesse des jeweiligen Unternehmens. Als herstellerunabhängiges Beraterhaus verfügt die Secaron AG über diese Voraussetzungen und setzt höchste Priorität darauf, mit seinen Kunden zu einer maßgeschneiderten Lösung zu gelangen, die die technischen Möglichkeiten von Standards wirtschaftlich sinnvoll in ein individuelles Sicherheitskonzept integriert. So entsteht IT-Sicherheit mit Weitblick, Maß und Ziel. Secaron AG Tel IT-Sicherheit nach Maß «

16 Titel-Interview Interview mit Christine Schönig, Technical Managerin bei Check Point Software Technologies Simplify Your Security! Mit der Implementierung einer geeigneten, funktionsreichen Technologie fühlen sich die Unternehmen auf der sicheren Seite und lassen ihre Anwender außen vor. Dabei ist es erwiesenermaßen vor allem das mangelnde Sicherheitsbewusstsein der Mitarbeiter, das in den Unternehmen für den Verlust von Daten verantwortlich ist. Christine Schönig, Check Point Software Technologies 16 it-sicherheit [2/2012]

17 Titel-Interview Check Point zählt zu den wenigen IT-Security-Unternehmen, die von Marktforschern gerne als Ideenführer bezeichnet werden. Bei Gartner beispielsweise steht das Unternehmen rechts oben im magischen Quadranten der Anbieter von Enterprise Network Firewalls. Mit einem dreidimensionalen Sicherheitsansatz, der Mensch, Technik und eine Instanz für die Security-Exekutive umfasst, hat Check Point seine Innovationskraft jüngst erneut unter Beweis gestellt. IT-Sicherheit sprach mit Christine Schönig, Technical Managerin bei der Check Point Software Technologies GmbH, darüber, warum und wie die moderne Sicherheitstechnologie näher an den Menschen gebracht werden muss. ITS: Frau Schönig, Check Point rückt den Menschen verstärkt als entscheidenden Faktor ins Zentrum der Diskussionen um die richtige Sicherheitsstrategie. Warum? Christine Schönig: Weil irren nun einmal so menschlich ist. Menschen machen Fehler, auch als erfahrene Benutzer von IT-Systemen. Diese Fehler können gravierende Folgen haben, zu Malware-Infektionen und Informationsverlusten führen. Dennoch haben viele Unternehmen kein besonderes Augenmerk darauf, ihre Anwender ausreichend in die Security-Strategie für ihre Organisation mit einzubeziehen. ITS: Woran liegt das? Christine Schönig: Die Security gehört aus ihrer Historie heraus zu den IT-Bereichen, die am stärksten vertechnisiert sind. Sowohl die Anwenderunternehmen als auch die Endbenutzer haben oft Berührungsängste, wenn es um eine genauere Betrachtung von Sicherheitslösungen geht. Mit der Implementierung einer geeigneten, funktionsreichen Technologie, das propagieren ja auch die meisten Hersteller, fühlen sich die Unternehmen auf der sicheren Seite und lassen ihre Anwender außen vor. Dabei ist es erwiesenermaßen vor allem das mangelnde Sicherheitsbewusstsein der Mitarbeiter, das in den Unternehmen für den Verlust von Daten verantwortlich ist. ITS: Woran machen Sie das fest? Christine Schönig: Das belegen zum Beispiel die Ergebnisse einer auch in Deutschland durchgeführten Studie des Ponemon Instituts*. Die dort befragten Organisationen glauben, dass im Durchschnitt rund 49 Prozent ihrer Mitarbeiter wenig bis überhaupt kein Bewusstsein für Themen wie Datensicherheit, Compliance und Policies haben. Das sollte nicht nur den Anwenderunternehmen zu denken geben, sondern ist auch für uns als Hersteller Anlass genug, die Bewusstseinsentwicklung der Mitarbeiter stärker in den Fokus der Security zu rücken. ITS: Das klingt vielversprechend, im Sinne der Anwender, aber wie sieht das in der Umsetzung aus? Christine Schönig: Eine der größten Herausforderungen an die IT-Sicherheit, das wissen wir aus vielen Gesprächen mit unseren Kunden, ist die Verhinderung von Datenverlust. Und in kaum einem anderen Security-Bereich spielt der Mensch eine so entscheidende Rolle wie bei DLP, also Data Loss Prevention. Hier nehmen wir die Unternehmen dabei an die Hand, die wichtigsten Treiber für DLP zu verstehen und dann schrittweise gezielte Maßnahmen aufzusetzen. Vor allem gilt es ein klares Verständnis von den internen Datensicherheitsforderungen zu schaffen. ITS: Wie lässt sich das herstellen? Christine Schönig: Die Organisationen sollten eine verständliche, schriftlich dokumentierte Übersicht über die vorhandenen, sensitiven Daten haben. Ebenso sollten alle Datenbestände bekannt sein, die behördlichen oder wirtschaftlichen Compliance- Standards unterworfen sind. Diese Informationen müssen allen involvierten Mitarbeitern zur Verfügung stehen und so ein klares Verständnis von den internen Datensicherheitsforderungen ermöglichen. Erforderlich ist auch eine Auflistung aller sensitiven Datentypen in der Organisation und eine Kennzeichnung ihres Grads der Sensitivität. Entscheidend ist schließlich, die Sicherheitsregeln und Geschäftsanforderungen des Unternehmens miteinander in Einklang zu bringen. Mit einfachen Worten: Die Sicherheitsstrategie der Organisation sollte die Informationsbestände des Unternehmens schützen, ohne aber den Endanwender in seiner Tätigkeit zu behindern. Vielmehr muss der Anwender in den Security-Entscheidungsprozess mit einbezogen werden. Selbstlernende Techniken, wie zum Beispiel unsere UserCheck-Lösung, klären den Benutzer über die Sicherheitsregeln des Unternehmens auf und ermöglichen ihm, eventuelle Sicherheitsvorfälle selbst zu beheben. Die Verbindung von Technologie und Anwenderbewusstsein sensibilisiert die Mitarbeiter. ITS: Aufmerksame, sensibilisierte Mitarbeiter alleine aber bilden noch kein wasserdichtes Sicherheitskonzept. Was macht eine moderne Security-Architektur außerdem aus? Christine Schönig: Sie muss klare Regeln befolgen. Denn damit die Sicherheitsanforderungen des Unternehmens für alle Beteiligten transparent und verständlich sind, müssen sie in geordneten und übersichtlichen Bahnen laufen. Etwa so, wie auf der Autobahn: Die nutzen wir nur dann als schnellen Weg zum Ziel, wenn wir wissen, dass wir sicher sind. Dabei verlassen wie uns auf deutlich erkennbare Verkehrsleitsysteme, Markierungen, Schilder oder Warnsignale, die uns auf mögliche Gefahren hinweisen und uns die Möglichkeit geben, unser eventuell zu hohes Tempo zu drosseln und unseren Fahrstil den Gegebenheiten anzupassen. ITS: Was bedeutet das, umgelegt auf die Datensicherheit? Christine Schönig: Ähnlich wie die deutsche Straßenverkehrsordnung, aber weniger komplex, soll ein Security-Regelwerk für die Sicherheit des Datenverkehrs greifen: Die Mitarbeiter und selbstverständlich auch das Management sollen wissen, wann sie sozusagen freie Bahn haben und wann und warum sie bestimmten Richtlinien folgen müssen. Denn die Security ist im Laufe der letzten Jahre zu einem sehr zentralen Bestandteil der gesamten IT- Infrastruktur und zu einem wichtigen Faktor für den wirtschaftlichen Erfolg geworden. Damit jeder im Unternehmen weiß, wel- it-sicherheit [2/2012] 17

18 Titel-Interview chen Beitrag er zur Datensicherheit leisten kann und muss, wird ein Regelwerk definiert, eine Policy, die für praktisch jeden innerhalb der Organisation verständlich und nachvollziehbar ist. Hierfür ist es wichtig, dass die Bestimmungen in einfacher Geschäftssprache und nicht nur in Technologie-Termini formuliert werden. ITS: Können Sie das konkretisieren? Wie soll ein Unternehmen vorgehen? Christine Schönig: Als Erstes sollte es seine Sicherheitsziele schriftlich festhalten, ebenso die Maßnahmen und Richtlinien zur Verwirklichung dieser Ziele. Eventuell ist es ratsam, hierfür externe Berater heranzuziehen. Besonders wichtig ist es festzulegen, wie die Informationen und Systeme des Unternehmens, seiner Kunden, Mitarbeiter und Partner zu behandeln sind. Integrität, Vertraulichkeit, Verfügbarkeit und die Einhaltung gesetzlicher Bestimmungen sind hier die Schlagworte, die im Vordergrund stehen. Auch die eindeutige Klassifizierung von Informationen, etwa nach streng vertraulich oder öffentlich, und eine Klärung über die Vergabe von Berechtigungen gehören ins Security-Regelwerk, ebenso wie ein ausdrückliches Hacking-Verbot und ein Verbot der Umgehung von Autorisierungsmechanismen. Daneben müssen natürlich auch der Virenschutz, der Umgang mit Passwörtern, die Datensicherung, der Internetzugang und die Internetnutzung, der Datenzugriff von außen und auf Fremdsysteme, eventuell auch die Ausgestaltung des Arbeitsplatzes und nicht zuletzt die Nutzung mobiler Endgeräte im Rahmen der Policy geregelt werden. Entscheidend ist, dass es gelingt, über Transparenz und offene Kommunikation ein breites Verständnis und eine hohe Akzeptanz für dieses Regelwerk zu erzielen. Dann hat das Unternehmen bereits einen großen Schritt getan, um die Sicherheit für seine Geschäftsdaten zu erhöhen. Und es hat die Security in einen Geschäftsprozess transformiert, an dem alle beteiligt sind und den alle verstehen. Unternehmen wünschen sich eine Security, die mit der bedrohlichen Entwicklung von Internetgefahren mithalten kann, aber auf keinen Fall noch mehr Komplexität schaffen soll. Christine Schönig, Check Point Software Technologies 18 it-sicherheit [2/2012]

19 Titel-Interview ITS: Security als Geschäftsprozess zu verstehen, ist demnach die Empfehlung, die Sie Ihren Kunden geben? Christine Schönig: Das ist richtig. Und damit heben wir uns bewusst und deutlich von unseren Marktbegleitern ab. Die Unternehmen möchten nicht noch mehr Produkte, die ihre Security-Umgebung noch komplizierter machen, als sie ohnehin oft schon ist oder zumindest empfunden wird. Sie wünschen sich eine Security, die mit der bedrohlichen Entwicklung von Internetgefahren mithalten kann, aber auf keinen Fall noch mehr Komplexität schaffen soll. Wir sind also gefordert, moderne Security-Lösungen bereitzustellen, die sehr einfach und kosteneffektiv genutzt werden können und gleichzeitig höchsten Leistungsanforderungen gerecht werden. Hier kann nur ein ganzheitlicher Prozess greifen, eine übergreifende Architektur, die sich an den drei Kernkomponenten jeder Security-Maßnahme ausrichtet: an den Menschen, den Regeln und schließlich an deren konsequenter Umsetzung. ITS: Machen aber nicht neue Entwicklungen wie die Nutzung mobiler Endgeräte im Unternehmen oder Social Networking eine konsequente Umsetzung unmöglich? Christine Schönig: Nicht unmöglich, nur etwas anspruchsvoller und facettenreicher, würde ich sagen. Vor allem der stark zunehmende Trend zum Einsatz privater Smartphones, Tablets und Laptops im Unternehmen, zu Neudeutsch IT-Consumerization genannt, stellt uns vor neue Aufgaben. Auch soziale Netzwerke wie Facebook und Twitter werden immer öfter im beruflichen Umfeld genutzt. Die Unternehmen müssen sich bewusst sein, dass dieses veränderte Nutzungsverhalten ihre Sicherheitsgrenzen verschiebt. Und dass daraus unvermeidlich ein Bedarf an innovativen Security-Lösungen resultiert, die sich an den neuen Grenzen und Aspekten der unternehmensweiten Datensicherheit orientieren. ITS: Ist Check Point für diesen Bedarf gerüstet? Christine Schönig: Ich denke, ja. Mit der Einführung unserer 3D-Security-Strategie, also dem integrierten Sicherheitskonzept für Mensch, Technik und deren Durchsetzung, haben wir bereits das geeignete Fundament für eine Diversifizierung unseres Produktportfolios gelegt, mit dem wir uns auf die neuen Herausforderungen an moderne Security-Lösungen fokussieren. Aber die ausgeklügelten Attacken der heutigen Zeit erfordern nicht nur sehr intelligente, innovative, sondern auch sehr leistungsstarke Sicherheitsprodukte, die bei einem förmlich explodierenden Datenvolumen nicht nur den Netzwerkzugriff kontrollieren, sondern auch den Verlust von Daten verhindern und vor Web-basierten Gefahren schützen können. Hierfür haben wir erst vor wenigen Monaten eine neue Reihe sehr leistungsstarker Appliances auf den Markt gebracht, die im Vergleich zu ihren Vorgängern eine deutlich höhere Verbindungskapazität und eine dreifache Performance bieten. Damit sorgen sie auch für eine Optimierung der Bandbreite und Netzwerkleistung, was für die Anwenderunternehmen im Hinblick auf Kostenreduktion und die Konsolidierung bestehender Security- Umgebungen sicher ein wichtiger Aspekt ist. Christine Schönig: Sie ist nach wie vor ein ganz wichtiges Thema, viele Organisationen müssen gerade in der IT heute deutlich mehr leisten als noch vor einigen Jahren, haben dafür aber weniger Ressourcen zur Verfügung. Wir Hersteller haben damit den klaren Auftrag, die Unternehmen bei den erforderlichen Konsolidierungsmaßnahmen zu unterstützen, also eine IT-Security-Strategie anzubieten, die sich mit ihrer Geschäftsumgebung weiterentwickeln kann, ohne dass der Budgetrahmen gesprengt wird. Trotz immer neuer Angriffsszenarien und Gefahren. ITS: Auf welche neuen Gefahren müssen sich die Unternehmen einstellen? Christine Schönig: Die Hacker richten ihr Augenmerk verstärkt auf Mobile Security. Für sie sind mobile Endgeräte ein attraktiver Angriffsvektor, über den sie Zugriff auf sensitive Informationen erhalten und diese missbrauchen können. Eine weitere, neue Gefahr geht von Quick Response Codes aus. Über den einfachen Scan eines Smartphones beispielsweise kann ein Hacker einen solchen QR-Code nutzen, um den Benutzer unbemerkt auf eine schadhafte URL, Datei oder Anwendung zu führen und ihn dort zur Preisgabe persönlicher Daten, etwa Kontoinformationen, zu verleiten. Da sich die Security-Lösungen für Betriebssysteme in den vergangenen Jahren sehr gut entwickelt haben und auf Basis der richtigen Security-Strategie erfolgreich dabei helfen, eine Vielzahl von Attacken abzuwenden, konzentrieren sich die Angreifer vermehrt auf ein häufig leichteres Opfer: den Menschen. Die Ausnutzung menschlicher Schwächen über zunehmende Social-Engineering-Attacken, unsichere Bar-Codes, Botnets und Übergriffe auf mobile Endgeräte gehört zu den größten Risiken, mit denen sich die Unternehmen künftig befassen müssen. Sie sollten daher dringend auf eine verstärkte Sensibilisierung und Einbeziehung ihrer Mitarbeiter setzen und gleichzeitig die dazugehörigen Prozesse etablieren, so dass die Datenbestände insgesamt transparenter und besser kontrollierbar sind. Das macht die Technologie in ihrer Anwendung viel einfacher und bringt sie vor allem näher zum Menschen. ITS: Vielen Dank für das Gespräch! Das Interview mit Christine Schönig führte Christiane Jacobs, freie Fachjournalistin aus München, für IT-SICHERHEIT. * Understanding Security Complexity in 21st Century IT Environments, Ponemon Institut, 2011 ITS: Ist Konsolidierung trotz all der neuen Aspekte wie Mobile Security und DLP denn für die Unternehmen noch denkbar? it-sicherheit [2/2012] 19

20 Industrial Security Erst Stuxnet und der Duqu-Trojaner haben das Sicherheitsproblem von SCA- DA-Netzwerken stärker in das Bewusstsein von Unternehmen und Sicherheitsanbietern gerückt. Die Verletzlichkeit der Industrienetzwerke bei diesen Angriffen hat gezeigt, dass es an geeigneten Sicherheitslösungen für sie fehlt. Die größte Gefahr geht dabei aber nicht von höchstspezialisierter Schadsoftware, sondern von klassischen Angriffsmethoden aus, die es aufgrund veralteter Netzwerktopologien leichter haben. SCADA-Netzwerke (Supervisory Control and Data Acquisition) dienen zur Überwachung und Steuerung komplexer technischer Prozesse. Sie werden vorwiegend in großen Industrienetzen und bei kritischen Infrastruktureinrichtungen wie Wasseroder Kernkraftwerken eingesetzt. Dementsprechend können erfolgreiche Angriffe auf SCADA-Netzwerke schwerwiegende Folgen für die öffentliche Ordnung und Sicherheit haben. Viele der heute eingesetzten SCADA-Netzwerke sind veraltet und wurden unter anderen Voraussetzungen als den aktuellen Bedrohungsszenarien in Betrieb genommen. Bei ihrer Entwicklung spielten heutige Sicherheitsfragen nur eine untergeordnete Rolle. Zudem wurden sie ursprünglich auch nicht für die Anbindung zum Beispiel an das Internet ausgelegt. Im Zuge der immer weiter fortschreitenden Vernetzung hat sich das jedoch geändert. Immer mehr SCADA-Netzwerke sind mit dem Internet oder anderen internen und externen Netzen verbunden, ohne dafür ausreichend abgesichert zu sein. Hackern bieten sich dadurch vielfältige Angriffsmöglichkeiten. Als Folge veralteter Netzwerktopologien sind beispielsweise in vielen SCADA-Netzwerken Server im Einsatz, die aufgrund enger Wartungsfenster nur ein- oder zweimal im Jahr gepatcht werden können. Angreifer brauchen dann gar keinen neuen spezialisierten Schadcode wie Stuxnet oder Duqu, um in das Netzwerk zu gelangen. Eine simple Denial of Service (DoS)-Attacke oder eine andere schon längere bekannte Sicherheitslücke kann ausreichen. Flexibler Schutz für SCADA-Netzwerke Alter macht verletzlich Sicherheitslösungen für Industrienetze stehen noch am Anfang Die Erforschung von Sicherheitslücken in SCADA-Netzwerken steckt noch in den Kinderschuhen. Vermutlich gibt es deutlich mehr Angriffsmöglichkeiten als bislang bekannt. Ein Beispiel für eine bekannt gewordene Lücke ist die Entdeckung gravierender Sicherheitslücken bei einem Programmable Logic Controller (PLC) durch die NSS Labs Mitte Der PLC dient dazu, SCADA-Systeme zu überwachen. Mithilfe des Lecks könnten sich Hacker die Kontrolle über das Netzwerk verschaffen. Intrusion-Prevention-Systeme als sichere Sache? Eine Möglichkeit, SCADA-Systeme sicherer zu machen, ist es, sie zu entnetzen. Die Angriffsmöglichkeiten würden so deutlich reduziert. In den meisten Fällen ist das aber ohne Leistungseinbußen des Netzwerks nicht vollständig möglich. Deshalb werden zum Schutz häufig Intrusion-Prevention- Systeme eingesetzt, die den gesamten Datenverkehr kontrollieren und nur Daten ins Netzwerk lassen, bei denen keine Bedrohung entdeckt wird. IPS-Geräte unterbrechen die Datenverbindung automatisch, wenn sie bemerken, dass Schadsoftware versucht, ins Netzwerk einzudringen. Darüber hinaus sind sie in der Lage, Server und Dienste auch virtuell zu patchen und so gefährdete Server abzusichern, die sonst erst während des nächsten Wartungsfensters gepatcht werden könnten. IPS-Geräte spielen beim Schutz von SCADA- Netzwerken also eine zentrale Rolle. Absolute Sicherheit bieten aber auch sie nicht. Ein aktuelles Beispiel dafür sind Advanced Evasion Techniques (AETs). Mithilfe dieser Tarnmethode können Attacken und Schadsoftware so verändert oder verschleiert werden, dass Sicherheitssysteme wie IPS- Geräte oder Firewalls sie nicht mehr erkennen und den Datenverkehr fälschlicherweise nicht unterbrechen. Dadurch können schädliche Inhalte unerkannt in dahinter liegende, nicht weiter geschützte Systeme eingeschleust werden. Anders als einfache Evasion-Techniken, gegen die es mittlerweile zuverlässige Schutzmöglichkeiten gibt, können AETs die Methoden zur Tarnung eines Angriffs beinahe unbegrenzt variieren beziehungsweise kombinieren und so verschiedene Ebenen im Netzwerkverkehr nutzen. Dadurch sind sie auch in der Lage, klassische Sicherheitssysteme wie IPS-Systeme auszuhebeln. Die meisten Sicherheitsmechanismen von IPS-Geräten, die zur Überprüfung des Datenverkehrs eingesetzt werden, greifen unter anderem auf Protokollanalyse, Signaturerkennung und Fingerprinting zurück. Dadurch können sie bestimmte hinterlegte Angriffsmuster von Schadcodes erkennen, die Schwachstellen in einem Sicherheitssystem ausnutzen. Bei Bedrohungen wie AETs verändern sich die Angriffsmuster jedoch ständig und passen zu keinem der hinterlegten Angriffsmuster mehr. Für ein IPS-System ist es dann fast unmöglich, die verschleierte Attacke im Datenpaket aufzuspüren und den Datenverkehr zu unterbrechen. Eventuell kann bereits eine minimale Veränderung wie zum Beispiel des Segment-Offsets ausreichen, damit ein Datenpaket keinem der im IPS-System hinterlegten Angriffsmuster mehr ähnelt. Das hat zur Folge, dass kein Alarm auf eine mögliche Bedrohung hinweist und sich der Angreifer dann ungestört nach einer möglichen Schwachstelle oder einem ungepatchten Server im SCADA-Netzwerk umsehen kann. Die Funktion der Normalisierung Um die hochgradig sensiblen SCADA-Netzwerke auch gegen variable Bedrohungen zuverlässig zu schützen, müssen IPS-Systeme also mehr beherrschen als Protokollanalyse, Signaturerkennung oder Fingerprinting. Eine Möglichkeit dafür ist die Funktion der Normalisierung. Dabei untersucht und interpretiert ein IPS den Datenverkehr und setzt die Pakete hinterher genauso zusammen wie das Endsystem. IPS-Systeme können dadurch im Datenverkehr verborgenen 1 NSS Labs, Analysis Brief: Siemens PLC vulnerabilities, 23. Mai it-sicherheit [2/2012]

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 PROAKTIVER SCHUTZ FÜR IHRE DATEN Nur eine Firewall, die kontinuierlich

Mehr

Symantec Mobile Computing

Symantec Mobile Computing Symantec Mobile Computing Zwischen einfacher Bedienung und sicherem Geschäftseinsatz Roland Knöchel Senior Sales Representative Endpoint Management & Mobility Google: Audi & Mobile Die Mobile Revolution

Mehr

Cloud Services und Mobile Workstyle. Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix.

Cloud Services und Mobile Workstyle. Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix. Cloud Services und Mobile Workstyle Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix.com Mobile Workstyles Den Menschen ermöglichen, wann, wo und wie sie

Mehr

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite IN DER EINFACHHEIT LIEGT DIE KRAFT Business Suite DIE GEFAHR IST DA Online-Gefahren für Ihr Unternehmen sind da, egal was Sie tun. Solange Sie über Daten und/oder Geld verfügen, sind Sie ein potenzielles

Mehr

Test zur Bereitschaft für die Cloud

Test zur Bereitschaft für die Cloud Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich

Mehr

CLOUDLÖSUNGEN FÜR DEN MITTELSTAND BUILD YOUR OWN CLOUD

CLOUDLÖSUNGEN FÜR DEN MITTELSTAND BUILD YOUR OWN CLOUD Ihr starker IT-Partner. Heute und morgen CLOUDLÖSUNGEN FÜR DEN MITTELSTAND BUILD YOUR OWN CLOUD In 5 Stufen von der Planung bis zum Betrieb KUNDENNÄHE. Flächendeckung der IT-Systemhäuser IT-Systemhaus

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Sicherheits-Tipps für Cloud-Worker

Sicherheits-Tipps für Cloud-Worker Sicherheits-Tipps für Cloud-Worker Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Cloud Computing Einschätzung

Mehr

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

CLOUD COMPUTING IN DEUTSCHLAND 2013

CLOUD COMPUTING IN DEUTSCHLAND 2013 Fallstudie: Dimension Data IDC Multi-Client-Projekt CLOUD COMPUTING IN DEUTSCHLAND 2013 Business-anforderungen und Geschäftsprozesse mit Hilfe von Cloud services besser unterstützen Dimension Data Fallstudie:

Mehr

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10.

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10. Zahlen und Fakten. Firmware Mit Firmware wird bei mobilen Endgeräten der Anteil des Betriebssystems bezeichnet, der auf die Hardware in dem Gerät angepasst ist und mit dem Gerät durch Laden in einen Flash-Speicher

Mehr

Ihre Business-Anwendungen in besten Händen Fujitsu Application Services

Ihre Business-Anwendungen in besten Händen Fujitsu Application Services Ihre Business-Anwendungen in besten Händen Fujitsu Application Services Worauf Sie sich verlassen können: Hochzuverlässigkeit. Qualitätssprünge. Effizienzsteigerung. Starten Sie jetzt. Jederzeit. Bei Ihnen

Mehr

Complete User Protection

Complete User Protection Complete User Protection Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

IT IM FOCUS. bes-systemhaus.de

IT IM FOCUS. bes-systemhaus.de IT IM FOCUS. bes-systemhaus.de POTENZIALE AUFZEIGEN. VERANTWORTUNGSVOLL HANDELN. Die Zukunft beginnt hier und jetzt. Unsere moderne Geschäftswelt befindet sich in einem steten Wandel. Kaum etwas hat sich

Mehr

Mobile Device Management eine Herausforderung für jede IT-Abteilung. Maximilian Härter NetPlans GmbH maximilian.haerter@netplans.

Mobile Device Management eine Herausforderung für jede IT-Abteilung. Maximilian Härter NetPlans GmbH maximilian.haerter@netplans. Mobile Device Management eine Herausforderung für jede IT-Abteilung Maximilian Härter NetPlans GmbH maximilian.haerter@netplans.de WER WIR SIND NETPLANS AUF EINEN BLICK NetPlans Systemhausgruppe Unternehmenspräsentation

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

Sicherheit im IT - Netzwerk

Sicherheit im IT - Netzwerk OSKAR EMMENEGGER & SÖHNE AG IT - SERVICES Email mail@it-services.tv WWW http://www.it-services.tv Stöcklistrasse CH-7205 Zizers Telefon 081-307 22 02 Telefax 081-307 22 52 Kunden erwarten von ihrem Lösungsanbieter

Mehr

Unternehmensdaten rundum sicher mobil bereitstellen

Unternehmensdaten rundum sicher mobil bereitstellen im Überblick SAP-Technologie SAP Mobile Documents Herausforderungen Unternehmensdaten rundum sicher mobil bereitstellen Geschäftsdokumente sicher auf mobilen Geräten verfügbar machen Geschäftsdokumente

Mehr

SCHÜTZEN SIE IHR UNTERNEHMEN, WO AUCH IMMER SIE SICH BEFINDEN. Protection Service for Business

SCHÜTZEN SIE IHR UNTERNEHMEN, WO AUCH IMMER SIE SICH BEFINDEN. Protection Service for Business SCHÜTZEN SIE IHR UNTERNEHMEN, WO AUCH IMMER SIE SICH BEFINDEN Protection Service for Business WIR LEBEN IN EINER MOBILEN WELT WLAN Fußgänger Heute verwenden wir mehr Geräte und nutzen mehr Verbindungen

Mehr

IT-LÖSUNGEN AUS DER CLOUD. Flexibel, planbar & sicher. www.enteccloud.ch

IT-LÖSUNGEN AUS DER CLOUD. Flexibel, planbar & sicher. www.enteccloud.ch IT-LÖSUNGEN AUS DER CLOUD Flexibel, planbar & sicher. www.enteccloud.ch Die flexible und kosteneffiziente IT-Lösung in der entec cloud Verzichten Sie in Zukunft auf Investitionen in lokale Infrastruktur:

Mehr

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Enrico Mahl Information Technology Specialist Infinigate Deutschland GmbH ema@infinigate.de 1 Alles Arbeit, kein Spiel Smartphones& Tabletserweitern

Mehr

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen Information als Erfolgsfaktor Ihres Unternehmens Der Erfolg eines Unternehmens hängt von der Schnelligkeit ab, mit der es seine Kunden erreicht. Eine flexible, zukunftsorientierte und effiziente Infrastruktur

Mehr

Willkommen zum Azure Sales Scenario Training

Willkommen zum Azure Sales Scenario Training Azure Sales Training Willkommen zum Azure Sales Scenario Training Übung macht den Meister. Das gilt auch in Situationen, in denen man Kunden von der Nützlichkeit von Microsoft Azure überzeugen möchte.

Mehr

Sicherheit ohne Kompromisse für alle virtuellen Umgebungen

Sicherheit ohne Kompromisse für alle virtuellen Umgebungen Sicherheit ohne Kompromisse für alle virtuellen Umgebungen SECURITY FOR VIRTUAL AND CLOUD ENVIRONMENTS Schutz oder Performance? Die Anzahl virtueller Computer übersteigt mittlerweile die Anzahl physischer

Mehr

Moderner Schutz gegen aktuelle Bedrohungen

Moderner Schutz gegen aktuelle Bedrohungen Moderner Schutz gegen aktuelle Bedrohungen Die Lösungen der PROFI AG Die Lösungen der PROFI AG Firewall Protection Content Security Data Encryption Security Services IT-Security von PROFI Sind Sie schon

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Lizenzierung von Exchange Server 2013

Lizenzierung von Exchange Server 2013 Lizenzierung von Exchange Server 2013 Das Lizenzmodell von Exchange Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und Zugriffslizenzen, so genannte Client

Mehr

10.15 Frühstückspause

10.15 Frühstückspause 9:00 Begrüßung und Vorstellung der Agenda 9:15 10.15 Datenschutz, Compliance und Informationssicherheit: Wie halten Sie es mit Ihren Daten? Aktuelle Herausforderungen für mittelständische Unternehmen Thomas

Mehr

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN KAPITEL ZAHLEN UND FAKTEN.3 MDM-Systeme MDM-Systeme sind in Unternehmen und Organisationen noch nicht flächendeckend verbreitet, ihr Einsatz hängt unmittelbar mit dem Aufbau von mobilen Infrastrukturen

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Microsoft Cloud Ihr Weg in die Cloud

Microsoft Cloud Ihr Weg in die Cloud Microsoft Cloud Ihr Weg in die Cloud Komfort Informationen flexibler Arbeitsort IT-Ressourcen IT-Ausstattung Kommunikation mobile Endgeräte Individualität Mobilität und Cloud sind erfolgsentscheidend für

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business.

Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business. Cloud? Vertrauen kann sich nur entwickeln. Genau wie Ihr Business. Inhaltsverzeichnis Wie der moderne CIO den Übergang von IT-Infrastruktur- Optimierung zu Innovation meistert Wie kann ich Elemente meiner

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

Rund um Sorglos. Information Communication Technology Ebner e.u. für Home Office oder Small Office. [Datum einfügen]

Rund um Sorglos. Information Communication Technology Ebner e.u. für Home Office oder Small Office. [Datum einfügen] Information Communication Technology Ebner e.u. für Home Office oder Small Office [Datum einfügen] Ingeringweg 49 8720 Knittelfeld, Telefon: 03512/20900 Fax: 03512/20900-15 E- Mail: jebner@icte.biz Web:

Mehr

Arbeitskreis EDV Büro 2.0 Neue Technologien - Möglichkeiten und Risiken

Arbeitskreis EDV Büro 2.0 Neue Technologien - Möglichkeiten und Risiken Arbeitskreis EDV Büro 2.0 Neue Technologien - Möglichkeiten und Risiken Erfahrungen mit dem Arbeiten in der Wolke Anwender berichten aus der Praxis Ihre Referenten: Christian Kruse, Steuerberater, Westerstede

Mehr

Cloud Computing Realitätscheck und Optionen für KMUs

Cloud Computing Realitätscheck und Optionen für KMUs Cloud Computing Realitätscheck und Optionen für KMUs 6. Stuttgarter Sicherheitskongress Michael Wilfer, Fichtner IT Consulting AG Vorsitzender ITK Ausschuss, IHK Region Stuttgart Oktober 04 Cloud Computing

Mehr

Der einfache Weg zu Sicherheit

Der einfache Weg zu Sicherheit Der einfache Weg zu Sicherheit BUSINESS SUITE Ganz einfach den Schutz auswählen Die Wahl der passenden IT-Sicherheit für ein Unternehmen ist oft eine anspruchsvolle Aufgabe und umfasst das schier endlose

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Veranstaltung. IT Trends 2014 - Ihr Weg in die Zukunft. Prinzip Partnerschaft

Veranstaltung. IT Trends 2014 - Ihr Weg in die Zukunft. Prinzip Partnerschaft Veranstaltung IT Trends 2014 - Ihr Weg in die Zukunft Prinzip Partnerschaft IT Trends 2014 Im digitalen Zeitalter hat die weltweite Kommunikation rasant zugenommen. Bites und Bytes immer detailliert im

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

Sophos Complete Security. Trainer und IT-Academy Manager BFW Leipzig

Sophos Complete Security. Trainer und IT-Academy Manager BFW Leipzig Sophos Complete Trainer und IT-Academy Manager BFW Leipzig Mitbewerber Cisco GeNUA Sonicwall Gateprotect Checkpoint Symantec Warum habe ICH Astaro gewählt? Deutscher Hersteller Deutscher Support Schulungsunterlagen

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Was versteht man unter modernen Arbeitsstilen? Moderne Arbeitsstile erhöhen Mitarbeiterproduktivität und zufriedenheit

Mehr

m2m-cockpit We cockpit your machine to machine data Cloud-Lösungen sind sicherer als inhouse-lösungen

m2m-cockpit We cockpit your machine to machine data Cloud-Lösungen sind sicherer als inhouse-lösungen m2m-cockpit We cockpit your machine to machine data Cloud-Lösungen sind sicherer als inhouse-lösungen 23. Automation Day "Cloud-Lösungen sind sicherer als inhouse-lösungen 16. Juli 2014 IHK Akademie, Nürnberg

Mehr

Big Data Herausforderungen für Rechenzentren

Big Data Herausforderungen für Rechenzentren FINANCIAL INSTITUTIONS ENERGY INFRASTRUCTURE, MINING AND COMMODITIES TRANSPORT TECHNOLOGY AND INNOVATION PHARMACEUTICALS AND LIFE SCIENCES Big Data Herausforderungen für Rechenzentren RA Dr. Flemming Moos

Mehr

4Brain IT-Netzwerke IT-Sicherheit

4Brain IT-Netzwerke IT-Sicherheit 4Brain IT-Netzwerke IT-Sicherheit Markus Hannemann Geschäftsführer IT-Counsultant 4Brain IT-Netzwerke IT-Sicherheit Essener Straße 59 46047 Oberhausen 0208 307791-81 info@4brain.de 1 Firmenportrait März

Mehr

EINBLICK. ERKENNTNIS. KONTROLLE. ERFOLG DURCH PRODUKTIVITÄT.

EINBLICK. ERKENNTNIS. KONTROLLE. ERFOLG DURCH PRODUKTIVITÄT. EINBLICK. ERKENNTNIS. KONTROLLE. ERFOLG DURCH PRODUKTIVITÄT. Ganz gleich ob Sie Technologie-Lösungen entwickeln, verkaufen oder implementieren: Autotask umfasst alles, was Sie zur Organisation, Automatisierung

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Deutschland sicher im Netz e.v. Gemeinsam für mehr IT-Sicherheit

Deutschland sicher im Netz e.v. Gemeinsam für mehr IT-Sicherheit 10.10.2013, itsa Nürnberg Vorstellung DsiN securitynews APP Prof. Norbert Pohlmann Michael Kranawetter Idee Informationsdienst Sicherheits-Nachrichten Cyber-Kriminelle nutzen Schwachstellen in Software-Produkten

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: Microsoft Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? MICROSOFT DEUTSCHLAND GMBH Fallstudie: Telefónica

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Desktopvirtualisierung 2009 ACP Gruppe

Desktopvirtualisierung 2009 ACP Gruppe Konsolidieren Optimieren Automatisieren Desktopvirtualisierung Was beschäftigt Sie Nachts? Wie kann ich das Desktop- Management aufrechterhalten oder verbessern, wenn ich mit weniger mehr erreichen soll?

Mehr

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B G DATA GOES AZURE NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B MADE IN BOCHUM Anbieter von IT-Sicherheitslösungen Gegründet 1985, 1. Virenschutz 1987 Erhältlich in

Mehr

Network Security Management als flexible und modulare Managed Service Leistung ohne dabei die Kontrolle zu verlieren

Network Security Management als flexible und modulare Managed Service Leistung ohne dabei die Kontrolle zu verlieren Network Security Management als flexible und modulare Managed Service Leistung ohne dabei die Kontrolle zu verlieren 9. Cyber- Sicherheits- Tag der Allianz für Cyber- Sicherheit Frankfurt am Main, 16.06.2015

Mehr

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement Ihre Informationen in guten Händen. Mit Sicherheit. 4444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Mehr

DIGITAL. Die Vertrauensfrage

DIGITAL. Die Vertrauensfrage so. DIGITAL Datenskandale schüren das Misstrauen gegen Cloud Computing. Auf der CeBIT wollen Telekom, Microsoft und Co. deshalb für mehr Vertrauen in ihre Angebote werben ihr Geschäft hängt davon ab. Sicherheitsfirmen

Mehr

Workload-Bewusstsein ist entscheidend. für effektive Hybrid-Cloud-Strategien von Großunternehmen

Workload-Bewusstsein ist entscheidend. für effektive Hybrid-Cloud-Strategien von Großunternehmen Workload-Bewusstsein ist entscheidend Oktober 2014 Ziele der Studie Für diesen Bericht führte IDC unter Großunternehmen weltweit eine Umfrage durch, um die Trends im Bereich der IT-Integration von Public,

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Managed Infrastructure Service (MIS) Schweiz

Managed Infrastructure Service (MIS) Schweiz Pascal Wolf Manager of MIS & BCRS Managed Infrastructure Service (MIS) Schweiz 2011 Corporation Ein lokaler Partner in einem global integrierten Netzwerk Gründung im Jahr 2002 mit dem ersten full-outtasking

Mehr

Produktinformation workany Stand: 02. April 2013. ITynamics GmbH Industriering 7 63868 Grosswallstadt Tel. 0 60 22-26 10 10 info@itynamics.

Produktinformation workany Stand: 02. April 2013. ITynamics GmbH Industriering 7 63868 Grosswallstadt Tel. 0 60 22-26 10 10 info@itynamics. Produktinformation workany Stand: 02. April 2013 ITynamics GmbH Industriering 7 63868 Grosswallstadt Tel. 0 60 22-26 10 10 info@itynamics.com workany @ Swiss Fort Knox Cloud Computing und Private Cloud

Mehr

Sophos Complete Security

Sophos Complete Security Sophos Complete WLAN am Gateway! Patrick Ruch Senior Presales Engineer Agenda Kurzvorstellung der Firma Sophos, bzw. Astaro Das ASG als WLAN/AP Controller Aufbau und Konfiguration eines WLAN Netzes 2 Astaro

Mehr

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Name: Manoj Patel Funktion/Bereich: Director Global Marketing Organisation: Nimsoft Liebe Leserinnen

Mehr

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Pressemeldung Frankfurt, 01. August 2011 IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Die Bedrohungsszenarien

Mehr

Wir befinden uns inmitten einer Zeit des Wandels.

Wir befinden uns inmitten einer Zeit des Wandels. Wir befinden uns inmitten einer Zeit des Wandels. Geräte Apps Ein Wandel, der von mehreren Trends getrieben wird Big Data Cloud Geräte Mitarbeiter in die Lage versetzen, von überall zu arbeiten Apps Modernisieren

Mehr

Die Cloud wird die Automation verändern

Die Cloud wird die Automation verändern Die Cloud wird die Automation verändern Dr.-Ing. Kurt D. Bettenhausen Vorsitzender der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA) Statement zum VDI-Pressegespräch anlässlich des Kongresses

Mehr

Virtualisierung im Rechenzentrum

Virtualisierung im Rechenzentrum in wenigen Minuten geht es los Virtualisierung im Rechenzentrum Der erste Schritt auf dem Weg in die Cloud KEIN VOIP, nur Tel: 030 / 7261 76245 Sitzungsnr.: *6385* Virtualisierung im Rechenzentrum Der

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION

KASPERSKY SECURITY FOR VIRTUALIZATION KASPERSKY SECURITY FOR VIRTUALIZATION SCHUTZ FÜR SERVER, DESKTOPS & RECHENZENTREN Joachim Gay Senior Technical Sales Engineer Kaspersky Lab EXPONENTIELLER ANSTIEG VON MALWARE 200K Neue Bedrohungen pro

Mehr

Hmmm.. Hmmm.. Hmmm.. Genau!! Office in der Cloud Realität oder Zukunft? Dumme Frage! ist doch schon lange Realität!. aber auch wirklich für alle sinnvoll und brauchbar? Cloud ist nicht gleich Cloud!

Mehr

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz Datenblatt: Endpoint Security Mehr als nur Viren- und Endgeräteschutz Überblick Symantec Protection Suite Advanced Business Edition ist ein Komplettpaket, das kritische Unternehmensressourcen besser vor

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: IBM Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? IBM DEUTSCHLAND GMBH Fallstudie: Panasonic Europe

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

ENTERPRISE MOBILITY IN DEUTSCHLAND 2015

ENTERPRISE MOBILITY IN DEUTSCHLAND 2015 Fallstudie: Hewlett Packard IDC Multi-Client-Projekt ENTERPRISE MOBILITY IN DEUTSCHLAND 2015 Von consumerization zu Mobile First - Mobility-Strategien in deutschen Unternehmen Hewlett Packard Fallstudie:

Mehr

Enterprise Mobile Management

Enterprise Mobile Management Enterprise Mobile Management Security, Compliance, Provisioning, Reporting Sergej Straub IT Security System Engineer Persönliches Beschäftigung seit 10 Jahren, DTS IT-Security Team Schwerpunkte Datensicherheit

Mehr

#1 Security Platform for Virtualization & the Cloud. Timo Wege Sales Engineer

#1 Security Platform for Virtualization & the Cloud. Timo Wege Sales Engineer #1 Security Platform for Virtualization & the Cloud Timo Wege Sales Engineer Trend Micro marktführender Anbieter von Sicherheitslösungen für Rechenzentren Führender Sicherheitsanbieter für Server, Cloud

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

STW Datentechnik und Avira.

STW Datentechnik und Avira. STW Datentechnik und Avira. Partner, die sich (auf IT-Sicherheit!) verstehen. STW Datentechnik Clevere IT-Lösungen für den Mittelstand Das Systemhaus STW Datentechnik, 1989 von Stefan Wagner gegründet,

Mehr

Dell Data Protection Solutions Datensicherungslösungen von Dell

Dell Data Protection Solutions Datensicherungslösungen von Dell Dell Data Protection Solutions Datensicherungslösungen von Dell André Plagemann SME DACH Region SME Data Protection DACH Region Dell Softwarelösungen Vereinfachung der IT. Minimierung von Risiken. Schnellere

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

Microsoft. 15-Jahres-Konferenz der ppedv. Technologi. Konferenz C++ Office 365 - nur ein Profi-E-Mail Account aus der Cloud? Windows 8.

Microsoft. 15-Jahres-Konferenz der ppedv. Technologi. Konferenz C++ Office 365 - nur ein Profi-E-Mail Account aus der Cloud? Windows 8. 00001111 Windows 8 Cloud Microsoft SQL Server 2012 Technologi 15-Jahres-Konferenz der ppedv C++ Konferenz SharePoint 2010 IT Management Office 365 - nur ein Profi-E-Mail Account aus der Cloud? Kay Giza

Mehr

Intranet. Erfolg. Was die Zukunft bringt. Digital Workplace. Namics.

Intranet. Erfolg. Was die Zukunft bringt. Digital Workplace. Namics. Intranet. Erfolg. Was die Zukunft bringt. Digital Workplace. Benjamin Hörner. Senior Manager. 21. März 2013 Der digitale Arbeitsplatz. Connect Collaboration Social Networking and instant Collaboration,

Mehr

Die Cloud, die für Ihr Unternehmen geschaffen wurde.

Die Cloud, die für Ihr Unternehmen geschaffen wurde. Die Cloud, die für Ihr Unternehmen geschaffen wurde. Das ist die Microsoft Cloud. Jedes Unternehmen ist einzigartig. Ganz gleich, ob im Gesundheitssektor oder im Einzelhandel, in der Fertigung oder im

Mehr

SICHERER GESCHÄFTSBETRIEB - GANZ GLEICH, WAS AUF SIE ZUKOMMT. Protection Service for Business

SICHERER GESCHÄFTSBETRIEB - GANZ GLEICH, WAS AUF SIE ZUKOMMT. Protection Service for Business SICHERER GESCHÄFTSBETRIEB - GANZ GLEICH, WAS AUF SIE ZUKOMMT Protection Service for Business DIE WELT IST MOBIL WLAN Die Anzahl der Endgeräte und der Verbindungen ist heute größer als jemals zuvor. Wählen

Mehr

SAP HANA zur Miete. Starten Sie Ihr HANA-Projekt ohne Investitionskosten. Mit unseren Services für Evaluierung, Implementierung, Betrieb.

SAP HANA zur Miete. Starten Sie Ihr HANA-Projekt ohne Investitionskosten. Mit unseren Services für Evaluierung, Implementierung, Betrieb. SAP HANA zur Miete Starten Sie Ihr HANA-Projekt ohne Investitionskosten. Mit unseren Services für Evaluierung, Implementierung, Betrieb. SAP HANA für Ihr Unternehmen. Aus Rechenzentren in Deutschland.

Mehr

IT-Trends in Industrie und ÖV. René Drescher Geschäftsführer Flowster Solutions GmbH Potsdam

IT-Trends in Industrie und ÖV. René Drescher Geschäftsführer Flowster Solutions GmbH Potsdam IT-Trends in Industrie und ÖV René Drescher Geschäftsführer Flowster Solutions GmbH Potsdam 2 IT Trends für 2014 Agenda Change Management größter Trend? IT Trends 2014 und folgend von Cloud bis Virtualisierung

Mehr

Mehr als Cloud Computing. force : cloud

Mehr als Cloud Computing. force : cloud Mehr als Cloud Computing force : cloud Force Net Mehr als ein IT-Unternehmen Force Net ist ein Infrastruktur- und Cloud-Service-Provider, der die Lücke zwischen interner und externer IT schließt. Force

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr