Focus on Security Ausgabe 11, November 2013

Transkript

1 Focus on Security Ausgabe 11, November 2013

2 2 Focus on Security Informationen zur Unternehmenssicherheit Advanced Persistant Threats (APT) Seite 3 Arbeitsschutz Seite 3 Betrug Seite 3 Biometrie Seite 4 Brandanschläge Seite 4 Brandschutz Seite 4 Cloud Computing Seite 6 Compliance Seite 7 Datenschutz Seite 8 Diebstahl Seite 8 Einbruch Seite 9 Explosionsschutz Seite 9 Falschgeld Seite 9 Flughafensicherheit Seite 10 Gebäudesicherheit Seite 10 Gefängnissicherheit Seite 10 Gefahrenmeldetechnik Seite 11 Geldautomatensicherheit Seite 12 Geld- und Werttransporte Seite 12 Hotelsicherheit Seite 12 IT-Sicherheit Seite 12 IuK-Kriminalität Seite 16 Kommunikationssicherheit Seite 17 Krisenregionen Seite 17 Logistiksicherheit Seite 18 Luftsicherheit Seite 19 Metalldiebstahl Seite 19 Mobile Endgeräte Seite 19 Notfallmanagement Seite 20 Perimeterschutz Seite 21 Piraterie Seite 21 Produktpiraterie Seite 22 Rechenzentrumssicherheit Seite 22 Risikomanagement Seite 23 Schlüsselmanagement Seite 24 Schwarzarbeit Seite 24 Sicherheitsmarkt Seite 24 Social Engineering Seite 25 Spionage Seite 25 Terrorismus Seite 26 Unternehmenssicherheit Seite 26 Videoüberwachung Seite 27 Zutrittskontrolle Seite 31

3 Focus on Security Advanced Persistant Threats (APT) Timo Steffens, BSI, behandelt in der Fachzeitschrift <kes> (Ausgabe , S ) Möglichkeiten der Abwehr von APT-Angriffen. Aus Sicht des BSI liege ein APT vor, wenn ein gut ausgebildeter Angreifer mit Rückgriff auf große Ressourcen sehr gezielt und mit großem Aufwand ein Netz oder System angreift, sich dann in dem System ausbreitet, weitere Hintertüren einbaut, und möglicherweise über längere Zeit Informationen sammelt oder Manipulationen vornimmt. Die Angreifer arbeiteten häufig in thematischen Kampagnen wie beispielsweise Luftfahrt oder Energie. APTs seien darauf ausgelegt, unter dem Radar der klassischen Antiviren-Lösungen zu bleiben. Generell zeige die Erfahrung, dass APTs nicht durch den Einsatz einzelner IT-Sicherheitsprodukte verhindert werden können. Und sie zeige, dass es den Angreifern zu einfach gemacht werde, weil die eigentlichen Basis-Sicherheitsmaßnahmen nicht durchgeführt wurden. Um gegen APTs stets auf dem Laufenden zu bleiben, sei es wichtig, dass sich Unter- nehmen gegenseitig über gezielte Angriffe informieren. Um die Anonymität der Unternehmen zu bewahren, baue das BSI derzeit eine Austauschplattform auf. Und auf Seiten der Allianz für Cybersicherheit stehe ein anonymes Meldeportal zur Verfügung. Andres Wild, Redwood Shores (US/CA), geht in derselben Ausgabe (S. 10/11) der Frage nach: Wie soll man APTs begegnen? Für die Implementierung eines starken risikobasierten Ansatzes gebe es eine ganze Menge passender Rahmenwerke: ISO 27000, NIST SP & Co. seien keine Unbekannten. Ein möglicher Weg sei die Nutzung einer Methodik mit Überwachungs- und Steuerelementen, die sich bei der Minderung von Risiken realer Bedrohungen als effektiv erwiesen haben. Die zwanzig Critical Controls for Effective Cyber Defense seien ein Ansatz, der dieser Methodik entspreche. Sie würden nach Bedarf aktualisiert und lägen aktuell im vierten Release (Version 4.1) vor. Arbeitsschutz Der Sicherheitsberater befasst sich am 1. Oktober mit der Arbeitsergonomie in Leitstellen (S ). In Notruf- oder Serviceleitstellen, in denen sich üblicherweise mehrere Arbeitnehmer einen Arbeitsplatz teilen, sollten die Arbeitsmittel dynamisch und flexibel an die jeweiligen Bedürfnisse der Mitarbeiter anpassen lassen. Insgesamt seien die körpergerechten Abmessungen bei der Möblierung im Auge zu behalten. Arbeits- und Anzeigegeräte wie Monitore sollten ergonomisch justiert werden können. Beleuchtungs-/Reflexionsvorgaben seien einzuhalten. Die Temperatur solle bei mindestens 20 und maximal 26 Grad liegen. Für die Einhaltung der zulässigen Umgebungslautstärke müsse gesorgt werden. Vorzugsweise sollte die Belegschaft maximal % der Arbeitszeit im Sitzen verbringen, den Rest abwechselnd im Stehen und in Bewegung. Betrug Nach einer Meldung der FAZ vom 18. Oktober warnt die Bundesagentur für Arbeit vor einer dreisten Masche im Internet: Demnach stellt ein fremder Anbieter Rechnungen an Arbeitgeber aus, die ihre Stellenangebote auf der kostenlosen Jobbörse der Arbeitsagentur im Internet einstellen. Der Anbieter Jobdirect24 verlange für die angebliche Veröffentlichung 580 Euro. Die Behörde weise darauf hin, dass es sich bei Jobdirect24

4 4 Focus on Security nicht um einen Kooperationspartner handelt und rät allen betroffenen Arbeitgebern, die Rechnung nicht zu begleichen. Nach einer Mitteilung von Securicon vom 5. Oktober warnt die PD Aalen vor folgender Betrugsmasche: Deutsche Geschäftsleute haben Geschäftsverbindungen zu Partnern in der VR China. Bei Bestellung von Waren leisten die deutschen Unternehmen eine Anzahlung. Nach Mitteilung der Warenversendung erfolgt die Restzahlung auf ein bekanntes Konto des Partnerunternehmens. In mehreren Fällen seien für diese Restzahlung in gefälschten s von Betrügern neue Bankverbindungen in London, Dubai, Bangkok und Honkong angegeben worden. Biometrie Wie die Zeitschrift WiK in der Ausgabe , S. 10, mitteilt, haben Forscher der Universität von Leicester eine neue Methode entwickelt, um Fingerabdrücke auf metallischen Oberflächen zu identifizieren. Anders als nach der klassischen Methode nutze die neue Technik die elektrischen Isoliereigenschaften der Fingerspuren. Der Abdruck wirke dabei wie eine Maske, die dafür sorgt, dass per elektrischem Strom farbige, elektroaktive Polymere auf die Flächen zwischen den Ablagerungen des Fingerabdrucks umgelenkt werden. So entstehe ein Negativbild des Fingerabdrucks. Allerdings würden isolierende Rückstände ab Nanometerdicke die Polymerablagerung verhindern. Bisher sei das Verfahren nur im Labor angewandt worden. Heise online meldet am 17. Oktober, der Europäische Gerichtshof habe entschieden, dass die Speicherung digitaler Fingerabdrücke auf deutschen Reisepässen zulässig ist. Die gängige Praxis, biometrische Daten auf dem Ausweis zu speichern, entspreche dem europäischen Recht. Auf diese Weise könne Betrug bei der Verwendung von Reisepässen verhindert werden. Brandanschläge Das BKA berichtet in der Wochenlage am 6. Oktober, dass Unbekannte am 29. September auf dem Gelände eines Autohauses in Erfurt zur Auslieferung bereitgestellte Einsatzfahrzeuge der Polizei in Brand gesetzt haben. 15 Mannschaftswagen brannten aus, fünf weitere Fahrzeuge wurden beschädigt. Der Schaden wird auf insgesamt Euro geschätzt. In einem Selbstbezichtigungsschreiben wird die Tat von der Gruppe Abteilung bürgerlicher Ungehorsam im TRH, die sich als Mitarbeiter des Landesrechnungshofes ausgibt, in ironischer Weise dahingehend begründet, dass die Thüringer Polizei durch fehlende Ausschreibungen, Verstöße gegen Vergabe-Vorschriften, verschleierte Kreditfinanzierungen und serienmäßige Mängel bei angekauften Neufahrzeugen die Täter zu der Tat gezwungen habe. Das BKA weist auf einen ähnlichen Fall am 23. Januar 2012 in Magdeburg hin. Damals belief sich der Sachschaden auf ca Euro. Brandschutz Das VdS-Magazin s+s report enthält in seiner Ausgabe mehrere für den Brandschutz in Unternehmen interessante Beiträge: Dipl.-Ing. Roland Motz, GDV, erläutert die VDI-Richtlinien zum Brand- und Explosionsschutz an Sprühtrocknungsanlagen

5 Focus on Security (S ). Die Brandgefährdung hänge von der Produktmenge und dem Brandverhalten des herzustellenden Produktes ab. Die Hauptursache für Brände und Explosionen liege in der teils beträchtlichen Wärme- und Druckwirkung und in den Verbrennungsprodukten. Für den Explosionsschutz fordere die BSVO von Betreibern von Sprühtrocknungsanlagen beim Auftreten gefährlicher explosionsfähiger Atmosphäre ein Explosionsschutzdokument. In den Richtlinien VDI 2263 Blatt 7 würden nun erstmals auch die Anforderungen an den Brandschutz berücksichtigt, die bei der Planung, Errichtung und dem Betrieb solcher Anlagen beachtet werden sollten. Nach Blatt 7 seien insgesamt 13 mögliche Zündquellen von denen für den Brandschutz nur acht von Bedeutung seien auf ihre Wirksamkeit zum Auslösen einer Staubexplosionen zu beurteilen. Der Autor geht näher auf die möglichen Schutzmaßnahmen, eine mögliche Brandfrüherkennung und Brandbekämpfungsmaßnahmen ein. Die wichtigsten Maßnahmen, um im Brandfall ein Ausflühen von Bauteilen der Sprühtrocknungsanlage zu verhindern, seien die sofortige Außerbetriebnahme der Luftzufuhr und das gleichzeitige Löschen und Kühlen. Der Einsatz von speziell für solche Anlagen geplanten stationären Löschanlagen, die automatisch und manuell in Betrieb gesetzt werden können, sei zwingend erforderlich. Sie seien mit einem geeigneten Brandfrüherkennungssystem zu koppeln. Dr.-Ing. Mingyi Wang, GDV, gibt auf S entsprechend VdS 3149 Hinweise zur Bewertung von Abschnittsflächen, um einen technisch und wirtschaftlich optimalen Brandschutz zu ermöglichen. Gemäß dem Abschottungsprinzip sollten Gebäude nach Möglichkeit durch feuerwiderstandsfähige Wände und Decken baulich unterteilt werden, um eine Ausbreitung von Feuer und Rauch zu verhindern oder wenigstens zu begrenzen. Abgesehen von der Abtrennung von Nutzungseinheiten seien bei Industrie- und Gewerbebauten folgende Abschnittsbildungen bekannt: Komplex, Brandabschnitt (BA), Brandbekämpfungsabschnitt (BBA) und feuerbeständig abgetrennter Raum. Der Autor behandelt die typische Abschnittsbildung, Definitionen der Abschnittsflächen in der Muster-Industriebaurichtlinie, die risikotechnische Bewertung der Abschnittsflächen und Empfehlungen der Versicherer. Diese hätten anhand ausgewerteter Schadenerfahrungen Empfehlungen zur Bewertung von Abschnittsflächen veröffentlicht. Mit ihnen solle die Praxis dabei unterstützt werden, die Brandgefahren und die damit verbundenen Risiken insbesondere durch die Anordnung brandschutztechnisch abgetrennter Gebäudeabschnitte zu minimieren. Dr. Florian Irrek, VdS Schadenverhütung, befasst sich mit der Planung von Gaslöschanlagen (S ). Sie sei eine äußerst komplexe Angelegenheit, bei der viele Faktoren in Betracht gezogen werden müssten. Erschwert werde die Planung dadurch, dass oft noch während des Baus Änderungen vorgenommen werden müssen, die nur schlecht vorauszuplanen sind. Dennoch könne auch ohne ausführliche hydraulische Berechnungen eine recht genaue Vorhersage getroffen werden, wie lang das Rohrnetz der Anlage maximal sein darf. Die Frage, wie viel Platz in der Löschgaszentrale für das Löschgas benötigt wird, könne noch relativ leicht mithilfe der VdS-Richtlinien Planung und Einbau für Gaslöschanlagen, VdS 2093/2380/2381, beantwortet werden. Sofern bereits die Löschkonzentration bekannt ist, könne sehr einfach von Hand die Mindest-Vorratsmenge berechnet werden. Die Beantwortung der zweiten grundlegenden Frage, wie nah am Löschbereich die Löschgaszentrale positioniert werden muss, setze üblicherweise eine hydraulische Berechnung voraus. Der Autor zeigt aber an einem Beispiel, dass eine brauchbare und belastbare Abschätzung der maximalen Entfernung zum Löschbereich auch in der Planungsphase möglich ist, in der noch keine vollständige hydraulische Berechnung möglich ist. Dipl.-Ing. (FH) Sven Reiske, AXA MATRIX Risk Conusltants, gibt eine aktuelle Übersicht

6 6 Focus on Security über Leistungsmerkmale und Anforderungen an den Brandschutz bei Wärmedämmverbundsystemen (WDVS). Bei WDVS mit brennbaren Dämmstoffen sei es wichtig, dass der Dämmstoff in die nichtbrennbaren Deckschichten eingepackt bzw. entsprechend geschützt ist. Den Flammen müsse möglichst lange der Zutritt zum Dämmstoff verwehrt bleiben. Das bauordnungsrechtliche Schutzziel an der Gebäudeaußenwand müsse somit darin bestehen, eine schnelle Brandausbreitung über mehr als zwei Geschosse oberhalb bzw. unterhalb der Brandausbruchstelle sowie einen Brandeintritt in die Dämmstoffebene vor dem Löschangriff der Feuerwehr zu verhindern, eine Gefährdung der Rettungskräfte zu vermeiden und die Rettung von Personen zu ermöglichen. Bei der Verwendung von Dämmstoffdicken oberhalb von 10 cm seien zusätzliche Brandbarrieren erforderlich: alternativ ein Sturzschutz über jeder Öffnung oder ein umlaufender Brandriegel in jedem zweiten Geschoss. Protector weist in seiner Ausgabe (S. 16/17) darauf hin, dass der ZVEI beim Brandschutztag am Ausblicke auf heutige und künftige Schwerpunkte des anlagentechnischen Brandschutzes gibt: Zunehmend würden Brandschutzmaßnahmen, die sich allein oder überwiegend mit bautechnischen Maßnahmen nicht optimal umsetzen ließen, als kombinierte bau- und anlagentechnische Maßnahmen realisiert. Seit am 1. Juli 2013 liege mehr Verantwortung bei Planern und Errichtern, denn sie müssten durch die neue europäische Bauproduktenverordnung bei Ausschreibungen viel intensiver als bisher prüfen, ob Bauprodukte für die Verwendung geeignet sind. Die Vernetzung und Dynamisierung gehe weiter. Aus der statischen Fluchtweglenkung werde eine dynamische. In der Brandalarmierung würden inzwischen auch vermehrt optische Signalgeber als Ergänzung zu den akustischen Signalen eingesetzt. Die Kabelindustrie habe neue Brandschutzkabel entwickelt, die sowohl die Brandausbreitung eindämmen und geringere Hitze entwickeln als auch weniger Rauch und giftige Gase entstehen lassen. Cloud Computing Dipl.-Inf. Maxim Schnjakin und Prof.Christoph Meinel, Hasso Plattner Institut für Softwaresystemtechnik GmbH (HPI), stellen in der Fachzeitschrift <kes> (Ausgabe , S )einen Lösungsansatz vor, um auch bei Cloud-Speichern Zuverlässigkeit zu gewährleisten und das Risiko abzuwenden, in eine Abhängigkeit von einem einzelnen Dienstleister zu geraten. In einer Forschungsarbeit am HPI seien ausgewählte Cloud-Speicheranbieter in einer einheitlichen Plattform integriert worden. Das System überprüfe die Einhaltung der Anwenderanforderungen und garantiere, dass kein Dienstanbieter im alleinigen Besitz der Anwenderdaten ist. Diese letzte Komponente werde von drei Diensten unterstützt: den Encoding-, Datenverteilungs- und Sicherheits-Services. Das System schaffe eine Metaebene zwischen Anwendern und Anbietern von Cloud-Speicherressourcen. Bei der Übertragung der Anwenderdaten würden die einzelnen Datensätze mittels Erasure-Codes (Erasure-Algorithmen) fragmentiert und auf verschiedene, voneinander unabhängige Dienstleister verteilt. Die hierbei beteiligten Cloud-Ressourcen könnten nach den benutzerdefinierten Anforderungen an Leistungsfähigkeit, geografische Lage sowie etwaige technische Eigenschaften ausgewählt werden. Wer sich für Security as a Service von T- Systems entscheidet, erhalte professionellen Schutz aus der Cloud zum Festpreis pro Nutzer und zugeschnitten auf den aktuellen Bedarf, erläutert Jürgen Harazim, T-Systems, in der Beilage zu <kes>, Ausgabe ,

7 Focus on Security S. 48/49. T-Systems biete mit Secure Services und Secure Web Access Services zwei neue Security as a Service- Module. Sichere Cloud-Dienste mit Active-Directory-Anbindung stellt in derselben Ausgabe (S ) Stefan Keller, noris network AG, vor. Die Vorteile von Cloud-Services ließen sich mit Compliance- und Sicherheitsgedanken nur kombinieren, wenn diese Dienste aus inländischen Hochsicherheitsrechenzentren bezogen werden. Der Komfort müsse nicht leiden und ein effizientes Rechtemanagement lasse sich über die Kopplung der Dienste mit dem unternehmenseigenen Active Directory kombinieren. Eine solche Managed Cloud-Lösung verbinde ein On Demand-Angebot mit Sicherheitsgarantien und einfacher Administrierbarkeit. Dipl.-Informatiker Michael Herfert, Fraunhofer-Institut für Sichere Informationstechnologie SIT, liefert in der Zeitschrift WiK (Ausgabe , S ) Kriterien, die hilfreich sein sollen, um Schwächen bei verschiedenen Cloud-Lösungen zu erkennen. Für Cloud-Speicherdienste seien wichtige Eigenschaften die Verschlüsselung von Daten, bevor sie den Rechner des Nutzers verlassen, und das mit Schlüsseln, die in seiner alleinigen Verfügbarkeit liegen, und die Verwendung etablierter kryptographischer Mechanismen und Protokolle. Für Cloud-Verarbeitungsdienste seien die größten Sicherheitsrisiken die Registrierung, der Transport, die Deduplikation und das Teilen von Daten. Es gebe zwar verschiedene Siegel für Cloud- Computing, aber darunter seien einige mit fraglichem Hintergrund. Ein allgemein anerkanntes Siegel wäre ein Schritt in die richtige Richtung. Bei Diensten, die Daten auch verarbeiten, werde eine individuelle Prüfung des Dienstes notwendig bleiben. Die FAZ weist am 8. Oktober darauf hin, dass die Europäische Datenschutzrichtlinie nach ihrem aktuellen Diskussionsstand die Forderung enthalte, dass Nutzer von den Betreibern eines Rechenzentrums ausdrücklich darauf hingewiesen werden, wenn ihre Daten europäischen Boden verlassen und zum Beispiel in ein Rechenzentrum in den USA übertragen werden. Eine solche Übertragung solle verboten werden, wenn die entsprechenden Bedingungen zuvor nicht erfüllt werden. Darin eingeschlossen solle der Hinweis sein, dass persönliche Daten möglicherweise von ausländischen Geheimdiensten oder Behörden dritter Staaten ausgewertet werden könnten. Von einer Datenverlagerung solle zum einen der Inhaber der Daten selbst, zum anderen aber auch eine Überwachungsbehörde unterrichtet werden. Heise online weist am 16. Oktober darauf hin, dass EU-Kommissarin Neelie Kroes fordert, Europa solle die führende vertrauenswürdige Cloud-Region werden. Es seien mehr Transparenz und hohe Standards nötig. Kroes propagiere Verschlüsselung sowohl beim Transport als auch beim Speichern von Daten und warne davor, dass Schlüssel entwendet und Algorithmen geknackt werden könnten. Compliance Wichtig sei Compliance auch für den Mittelstand, erläutert die FAZ am 26. September in einer Spezialausgabe. Kein Unternehmen könne es sich leisten, die drohenden Gefahren bei Compliance-Verstößen zu ignorieren. Es gelte, Compliance-Regelwerke und entsprechende Systeme zu individualisieren. Statt wahllos Workshops für Mitarbeiter anzubieten, sollten Geschäftsführer sich zunächst mal ihr Unternehmen ganz genau anschauen und sich fragen: Wo liegen bei meinem Geschäftsmodell die Risiken?. Maß halten, laute unisono die Devise von Experten. Für Geschäftsführer von Unternehmen

8 8 Focus on Security gelte eine sogenannte Organisations- und Aufsichtspflicht: Sie müssten dafür sorgen, dass ihre Firma als Ganzes sowie jeder einzelne Mitarbeiter gesetzliche und unternehmensinterne Vorschriften einhält. Ebenso müssten sie regelmäßig kontrollieren und dokumentieren, inwieweit zum Beispiel hauseigene Compliance-Systeme Wirkung zeigen. Außerdem könnten Geschäftsführer, Vorstände und Aufsichtsräte seit einigen Jahren persönlich haftbar gemacht werden, wenn sie sich fahrlässig verhalten oder Entscheidungen treffen, die dem Unternehmen schaden. Die Haftungspflicht könne auch dann greifen, wenn einzelne Mitarbeiter gegen gesetzliche oder hausinterne Regeln verstoßen haben, die Führungskraft davon wusste und nichts dagegen unternommen hat. Um Schadenersatzklagen zu vermeiden, sei die von Beratern empfohlene Risikoanalyse wichtig. Heise online berichtet am 10. Oktober, dass der Europäische Gerichtshof für Menschenrechte die Klage eines Nachrichtenportals zurückgewiesen hat, das von einem estnischen Gericht zu einer Geldstrafe verurteilt worden war, weil es trotz eindeutiger Warnungen an die Nutzer und automatischer Wortfilter nicht genug getan habe, um beleidigende Kommentare, von denen eine Fährgesellschaft betroffen war, schnell zu entfernen. Datenschutz In der Fachzeitschrift <kes> (Ausgabe , S ) weist Rechtsanwalt Stefan Jaeger darauf hin, dass die Informationspflicht von Unternehmen über Datenschutzverletzungen jetzt europaweit durch die VO Nr. 611/2013 der EU-Kommission vereinheitlicht wurde. Die Informationspflicht gelte in bestimmten Fällen gegenüber Aufsichtsbehörden und Betroffenen. Ungeklärt seien nach wie vor einige rechtliche Fragen. So sehe die VO selbst keinerlei Sanktion für den Fall des Verstoßes gegen die Meldepflicht vor. Zudem bleibe auch die Frage nach den Verpflichteten gemäß der EU-VO unklar. Diebstahl Das BKA hat nach einer Information von ASW-Securicon vom 12. Oktober darauf hingewiesen, dass seit etwa 2005 jährlich ca. zwei Dutzend Diebstähle von Solarmodulen bekannt werden. Die Sachschäden lägen immer im fünfstelligen, manchmal sogar im sechsstelligen Euro-Bereich (bis zu ). Die Tatorte befänden sich meist in einsam gelegenen Gebieten außerhalb bebauter Ortschaften (Lagerhallen, Gehöfte, Stallungen, Solarparks). Die Gebäude und Parks seien in der Regel offen zugänglich, wobei die Parks inzwischen zunehmend mit einem Zaun umfriedet seien. Die Photovoltaik-Module oder Stromkollektoren sowie die Wechselrichter würden fachge- recht abmontiert. Täterhinweise würden nur in ganz wenigen Fällen bekannt. Zur Abwehr solcher Diebstähle rät die Zentrale Geschäftsstelle des Programms Polizeiliche Kriminalprävention zu einer Kombination aus folgenden Komponenten: Perimeterabsicherung, Zugangstorüberwachung, Videoüberwachung mit Detektion, Bewegungsmelder zur Überwachung der Zaunanlage, Technikhaus Einbruchshemmung nach RC 3 DIN EN 1627 komplett. Die Alarmtechnik sollte auf einer ständig besetzten NSL auflaufen. Die Polizei sollte erst hinzugezogen werden, wenn von einem Echtalarm ausgegangen werden muss.

9 Focus on Security Einbruch In der Fachzeitschrift s+s report (Ausgabe , S ) zieht Julia Christiani, Programm Polizeiliche Kriminalprävention der Länder und des Bundes, nach einem Jahr der Öffentlichkeitskampagne K- Einbruch eine positive Bilanz. Die Zahl der fehlgeschlagenen Einbrüche sei von im Jahr 2010 über im Jahr 2011 auf im Jahr 2012 gestiegen. Viele Einbrüche könnten durch die richtige Sicherungstechnik verhindert werden. Eine Untersuchung des Bayerischen LKA habe ergeben, dass in Bayern im Jahre 2012 von insgesamt Fällen durch mechanische Sicherungen verhindert wurden. In 223 Fällen sei die Tat durch EMA vereitelt worden. Dies zeige zudem, dass die Einbruchmeldetechnik immer eine Ergänzung zur mechanischen Sicherungstechnik sein und nicht als Ersatz dafür angesehen werden sollte. Nach der Erhebung des Bayerischen LKA (S. 44/45) wurden 2012 im Gewerbebereich 626 Einbrüche durch mechanische Sicherungen verhindert, und zwar 506 durch Sicherungen an Türen (312 durch eine widerstandsfähige Türkonstruktion und geeignete Anbauteile, 194 durch Zusatzsicherungen) und 99 durch mechanische Sicherungen an Fenstern, Terrassen- und Balkontüren (65 durch Fensterzusatzsicherungen und 34 durch sonstige Sicherungen wie Gitter) sowie 21 durch Schaufenstersicherungen. Ebenfalls im Gewerbebereich konnten durch 181 Alarme 28 Festnahmen erzielt werden. Die Festnahmequote betrug bei stillen Alarmierungen 57 %, bei örtlichen (akustischen oder optischen) Alarmen 7 %. Explosionsschutz Eine Möglichkeit, Schutz vor Sprengstoffanschlägen auch bei Bestandsgebäuden zu erreichen, ist der Einsatz von sprengwirkungshemmenden Sicherheitsfolien. Darauf weist der Sicherheitsberater am 1. Oktober (S. 300/301) hin. Ungeschütztes Einfachund Isolierglas erreiche durch die Beschichtung mit PROFILON ER1 folgende Widerstandsklassen: 1. Sprengwirkungshemmung Klasse ER1 nach DIN EN (NS). 2. Durchwurfhemmung Klasse A1 nach DIN (alt) bzw. Klasse P2A nach EN 356 (neu). Die Sicherheitsfolie sei im Druckstoßrohr getestet und nach Aussage des Herstellers Haverkamp die weltweit einzige Folie, deren sprengwirkungshemmende Eigenschaften in diesem Härtetest nach DIN EN bestätigt wurde. Falschgeld Wie die ASW am 27. September mitteilt, hat das LKA Schleswig-Holstein seit Juni 2013 ein plötzliches und konzentriertes Anhalten von Falsifikaten in Form von 10-, 20- und 50-Eurobanknoten, überwiegend im Raum Kiel, registriert. Nach einem vorübergehenden Rückgang seien die Fallzahlen seit August 2013 wieder angestiegen. Es handele sich um professionelle, vermutlich in italienischen Fälscherwerkstätten hergestellte, Druckfälschungen. Die gefälschten 50-Euro-Banknoten seien mit einem mangelhaft aufgedruckten Wasserzeichen versehen, das unabhängig vom Lichteinfall immer gleich ausschaue. Das echte Wasserzeichen entstehe durch eine unterschiedliche Papierdichte. Es werde sichtbar, wenn die Note gegen das Licht gehalten wird. Helle und dunkle Stellen gingen sanft ineinander über. Werde die Note auf eine dunkle Oberfläche gelegt, würden die hellen Stellen dunkel. Dieses Echtheitsmerkmal fehle der falschen

10 10 Focus on Security Euro-Banknote. Auch den Farbwechsel der auf der rechten unteren Rückseite der Banknote aufgebrachten Ziffer 50 könnten die Fälscher nicht täuschend sicher nachempfinden. Beim Kippen der echten 50-Euro-Banknote wechsele die Farbe von purpurrot zu olivgrün/braun. Flughafensicherheit Protector befasst sich in der Ausgabe in einer Reihe von Beiträgen mit der Flughafensicherheit: Die verschiedenen Gefahrenquellen erforderten ganzheitliche Sicherheitskonzepte. Dabei habe jeder Bereich seine ganz speziellen Anforderungen. Außenbereiche erforderten die Absicherung mithilfe von Sicherheitszäunen, am besten mit Übersteigschutz und Freigeländeüberwachungssystemen. Durchfahrts- oder Durchgangssperren wie hydraulische oder starre Poller, Wege Barriers, aber auch Schrankenanlagen, Schnellfalttore und Schiebetore komplettierten die Konzepte (S. 28/29). In einem anderen Beitrag wird der Brandschutz für einen neuen Flugsteig mit sieben Gates für Großraumjets auf dem Frankfurter Flughafen behandelt (S. 36/37). Der Flugsteig A-Plus sei in Abschnitte unterteilt worden, die im Brandfall durch 21 automatisch schließende Schiebetore getrennt werden. Angesteuert würden die Tore durch 129 optische Rauchschalter. Wo Fluchtwege durch die Tore führen, seien diese mit Fluchttüren versehen. Gebäudesicherheit Architektur und Sicherheit bildet den Schwerpunkt der Ausgabe des Sicherheitsberaters vom 1. Oktober (S ). Bewusste und frühzeitige Planung von Sicherheit bringe dem Immobilienmanagement nur Vorteile. Durch intelligente Architektur könne man Flucht- und Rettungsversuche problemlos so planen, dass diese nicht in eine Nutzungseinheit hineinführen, sondern nur in allgemein zugängliche Bereiche. Werde das Gewerk Sicherheit schon früh in einem Projekt berücksichtigt, so sei es möglich, die typischen Schutzzonen konzeptionell so umzusetzen, dass diese sich zum einen architektonisch in das Gesamtbauwerk integrieren und zum anderen von den Nutzern nicht als den Betriebsablauf störend empfunden werden. In einem guten Sicherheitskonzept lasse sich auch eine spätere, anders gelagerte Nutzung des Gebäudes berücksichtigen. Auch im technischen Brandschutz fänden sich Möglichkeiten, die vorgeschriebene Technik der Branddetektion unauffällig in die Innenarchitektur zu integrieren. Gefängnissicherheit Ministerialrat Wolfgang Suhrbier behandelt in Ausgabe von Security insight (S ) die Sicherheit im Justiz- und Maßregelvollzug der Sicherungsverwahrung. Immer mehr Bundesländer hätten auf Wachtürme verzichtet und sie durch technische Einrichtungen ersetzt. Die Zahl der Ausbrüche sei seit Jahrzehnten dank der sicherheitstechnischen Aufrüstung auf ein Minimum gesunken. Die Vorgaben des Bundesverfassungsgerichts zum Maßregelvollzug könne der Vollzug unter Berücksichtigung der Sicherheitsbelange nur durch ausgewogene Sicherheitstechnik und höheren Personaleinsatz erfüllen. Zur Technik zählten insbesondere Kommu-

11 Focus on Security Protector befasst sich in der Ausgabe (S. 40/41) mit der Nichtauslönikationsanlagen mit Notruffunktion und Ortung, Überwachungsanlagen, Alarmmanagementsysteme, die den schnellen Einsatz weiterer Mitarbeiter im Krisenfall ermöglichen, sowie bezahlbare Systeme zur Verhinderung unerlaubter Kontaktaufnahme der Inhaftierten zur Außenwelt. In derselben Ausgabe beschreibt Jens Aperdannier, Tyco Fire & Security Holding Germany GmbH, ein hochverfügbares System integrierter Sicherheits- und Kommunikationstechnik in Justizvollzugsanstalten (S. 42/43). Ein effizientes Zusammenspiel der einzelnen integrierten Schwachstrom-Gewerke und -Technologien sei hierzu zwingend von Telekommunikations-, Intercom- und Sprachalarmierungsanlagen, Sicherheitstechnik wie Zutrittskontrolle und Videoüberwachung, Zellenruf- und Personenschutzanlagen über sichere Daten- und Kommunikationsnetzwerke sowie Gebäude- und Sicherheits-Managementsysteme bis hin zur übergreifenden Leitstelle. Erst im intelligenten Verbund via offener Plattformen gewährleisteten die Einzelgewerke die durchgängige und flexible Kommunikation und die effiziente Steuerung von Prozessabläufen. Gefahrenmeldetechnik Im s+s report (Ausgabe ) weist Dipl.-Wirtschaftsjurist (FH) Sebastian Brose, VdS Schadenverhütung darauf hin, dass VdS nunmehr auch mobile Applikationen in der Einbruchmeldetechnik anerkennt (S ). Die Anforderungen und Prüfmethoden für solche EMA-Apps seien in den Richtlinien Fernzugriff auf EMA mittels Smart Device-Applikation, VdS 3169, fixiert. Die Authentizität der Daten werde durch ein sogenanntes Pairing-Verfahren und die Ermittlung der Hashcodes sichergestellt. Im Master werde eine Liste der zulässigen Clients geführt, die z. B. anhand ihrer MAC- Adresse oder IMEI-Nummer identifiziert werden. Die Integrität der Daten werde durch verschiedene Mechanismen gewährleistet. Um die Vertraulichkeit der Daten zu wahren, müsse eine AES-Verschlüsselung mit 128 Bit mit Cipher Block Chaining Mode eingesetzt werden. Der Verbindungsaufbau gehe vom Client aus und durchlaufe die vier Stufen Nutzercode, Schlüsselprüfung, Pairing-Prüfung, Codeabfrage. Sobald die EMA extern scharf geschaltet ist, sei die Bedienung EMA-relevanter Funktionen nicht möglich. Sebastian Brose und Wilfried Drzensky, VdS Schadenverhütung, befassen sich in der Zeitschrift WiK (Ausgabe , S ) mit Problemen bei der Attestierung von EMA. Das Installationsattest dokumentiere, dass es sich tatsächlich um eine VdS-anerkannte EMA handelt und stehe damit für die Vorteile die eine solche EMA bietet: Einhaltung der VdS-Richtlinien, Behebung von Mängeln auf Kosten des Errichters, jederzeit erreichbarer Instandhaltungsdienst, Vorhaltung eines Ersatzteillagers, Reparatur-/Instandhaltungsausrüstung beim Errichter und Störungsbeseitung innerhalb von 24 h bei regelmäßiger Instandhaltung. Die Autoren behandeln einige der Fragestellungen rund um die Attestierung von EMA in den Bereichen: Dokumentation von Änderungen, Gültigkeit des VdS-Attests bei Wartungsverweigerungen, Instandhaltung durch Dritte, Scannung des Attests und Vernichtung des Originals durch Versicherer, Bestandsschutz von EMA. Wie Michael von Foerster, Bosch-Sicherheitssysteme, in derselben Ausgabe (S. 57/58) berichtet, fordert Euroalarm von der EU-Kommission zusätzliche Aktivitäten zur Erhöhung der Wettbewerbsfähigkeit der europäischen Industrie für Gefahrenmeldetechnik. Es sollte Aufgabe der Politik sein, ein unabhängiges Prüfzentrum mit einem einheitlichen Prüfzeichen zu schaffen.

12 12 Focus on Security sung von Bewegungsmeldern. Für die unterschiedlich schwierigen Anforderungsbedingungen an Bewegungsmelder gebe es eine Auswahl von Kombinationen in der Sensortechnologie. Komplett dichte Erfassungsvorhänge bildeten gegenüber einer Standarderfassung immer einen maximalen Detektionsbereich. Bei größeren Überwachungsflächen, bei denen sich auch die räumliche Einrichtung ändern kann, böten sich Deckenmelder zur Flächenüberwachung an. Diese könnten mehrere Bewegungsmelder mit einer einzigen Deckenmelderinstallation ersetzen und somit auch zur wirtschaftlichen Lösung beitragen. Die kompletten Vorhänge mit einer 360 Grad-Erfassung detektierten bis zu 20 Meter Raumdiagonale bei bis zu fünf Metern Montagehöhe. Geldautomatensicherheit Wie das PP Nordhessen am 18. Oktober meldet, versuchten bislang unbekannte Täter, in einer Bankfiliale in Nieste nachts einen Geldautomaten aufzuschweißen. Vom Tatbeginn an habe die installierte Videoan- lage keine Bilder mehr geliefert. Alle Scheibenflächen des Automatenraumes seien von den Tätern aufwändig tapeziert worden, damit sie ungestört arbeiten konnten. Geld- und Werttransporte Zwei schwere Raubüberfälle am 6. September vor einer Kreissparkassenfiliale auf zwei Mitarbeiterinnen, die für die Kreissparkasse ungepanzerte Geldtransporte in PKWs durchführten, und im August in Hamburg Wilhelmsburg auf einen Geldboten, der in einem ungepanzerten Firmenfahrzeug eines Sicherheitsunternehmens Geld transportierte, veranlassten den HGF der BDGW, Dr. Olschok, zu einem Appell an Kreditinstitute, Handelsunternehmen und Veranstalter, Geldtransporte nur in dafür vorgesehenen Spezialgeldtransportfahrzeugen durchzuführen. Verletzten Arbeitgeber ihre Sorgfaltspflicht, so drohten Nachforschungen durch die gesetzliche Unfallversicherung und durch Strafverfolgungsbehörden (WiK, Special Sicherheitslösungen für Banken, Oktober 2013, S. 4). Hotelsicherheit Die Zeitschrift WiK (Ausgabe , S. 7) meldet, heise Security habe ausprobiert, wie leicht Hotelsafes mit Codeschlössern geknackt werden können. Diese Tresore ließen sich meist mit einem selbst einzugebenden Code sichern. Sollte dieser vergessen werden, hätten die Hotels sowohl mechanische Schlüssel als auch Mastercodes, um die Tresore wieder zu öffnen. Doch oft werde schon beim Einbau geschlampt : Viele Hotels würden vergessen, den vom Hersteller vorgegebenen Mastercode zu ändern. Diese Codes ließen sich aber über eine Suchmaschine herausfinden. IT-Sicherheit Die Fachzeitschrift <kes> enthält in ihrer Ausgabe interessante Beiträge zur IT-Sicherheit: Als Schatten-IT bezeichnet Sebastian Broecker, Deutsche

13 Focus on Security Flugsicherung (S ) generell alle Assets inklusive Hardware, Software und Projekten, die an den offiziellen Beschaffungs- und Implementierungswegen einer Firma vorbei in diese eingebracht werden. Die Schatten-IT könne entweder mit eigentlich guten Absichten implementiert werden oder von vornherein egoistischen oder kriminellen Zielen dienen. Der Autor behandelt Schatten-Hardware, Schatten- Software, Schatten-Dienste und Schatten- Projekte. Ansatzpunkte für eine Reduzierung solcher Vorgänge sieht er in folgenden Empfehlungen: 1. Halten Sie in Ihrer Rolle als Securityverantwortlicher Augen und Ohren offen! 2. Behalten Sie die üblichen Verdächtigen im Auge und suchen Sie den Dialog zu solchen Mitarbeitern! 3. Wecken Sie Security-Awareness! 4. Bieten Sie Lösungen an! 5. Versuchen Sie, neben aller notwendigen Kontrolle in Fragen zur IT auch als kooperativer Partner zu gelten, um die Bildung geschlossener Zirkel möglichst zu vermeiden! Dr. Frederico Crazzolara, krügernetwork GmbH, befasst sich mit der Sicherheitsinfrastruktur für smarte Versorgungsnetze (S ). Intelligente Versorgungsnetze, so genannte Smart Grids, sollen flexibler auf Energieeinspeisungen und auftretende Spitzenlasten reagieren können. Dabei kämen für eine bessere Koordinierbarkeit von Stromerzeugung und -bedarf intelligente Messsysteme zum Einsatz Smart Meters. Solche Systeme führten personenbezogene Daten zusammen, verarbeiteten und leiteten aufbereitete Daten weiter. Für sie würden daher hohe Anforderungen an Datenschutz und Datensicherheit gelten. Der Autor behandelt das Prinzip Security by Design, digitale Zertifikate, mehrseitige Hardware und ECC als Security-Grundlage, hoheitliche Vertrauensanker (die Stammzertifizierungsstelle der Smart-Meter-PKI wird vom BSI implementiert und zentral zur Verfügung gestellt) und die Verantwortung der Gateway-Administratoren. Die Gateway-Administration sei die bedeutendste technische Smart-Metering-Dienstleistung. Es bleibe noch viel zu klären und zu tun, bis ein intelligentes Versorgungsnetz zur Verfügung steht. In derselben Ausgabe (S. 59/60) befasst sich Jens Mehrfeld, BSI, mit eingebetteten Systemen, die in unterschiedlichen Geräten, Maschinen und Anlagen zum Einsatz kommen, häufig an ein Netz angeschlossen sind und Zugang zum Internet besitzen. Ein großes Problem bilde neben den technischen Angriffspunkten das fehlende Sicherheitsbewusstsein. Was sei zu tun? Die Sicherheitshinweise des Herstellers müssten beachtet werden. Die Standardkonfiguration der Geräte sei anzupassen. Die Verbindung mit dem Internet sollte möglichst nur anlassbezogen und für kurze Zeit hergestellt werden. Für den Fall der Internetverbindung sollten die Sicherheitsmechanismen des Routers genutzt werden. Thomas Kerbl und Amir Salkic, SEC Consult, erläutern einen vom BSI zusammen mit SEC Consult veröffentlichten Leitfaden zur Entwicklung sicherer Web-Anwendungen. Den Kerninhalt des Leitfadens für Auftragnehmer bildeten Vorgaben an den Entwicklungsprozess und an die Implementierung. Der vielleicht wichtigste Nutzen des Leitfadens liege jedoch in der Unterstützung des Auftraggebers bei der Überprüfung der Vorgaben an den Entwicklungsprozess (S ). In derselben Ausgabe kritisiert <kes> das Fehlen von IT-Sicherheitsrichtlinien in vielen Unternehmen. Nach einer von Kaspersky und B2B durchgeführten Studie beklagen 57 % der deutschen IT-Entscheider das Fehlen von Zeit und Budget. Eine Studie des IT-Dienstleisters Iron Mountain habe gezeigt, dass viele Arbeitgeber Verhaltensweisen ihrer Mitarbeiter bei der Arbeit im Homeoffice tolerieren, die ihre Unternehmensinformationen einem erheblichen Risiko aussetzten. 60 % der befragten Deutschen hätten angegeben, ihre privaten -Accounts zum Senden

14 14 Focus on Security und Empfangen von Arbeitsdokumenten zu verwenden. 35 % ließen ihre Arbeitsdokumente zu Hause liegen und 21 % entsorgten Geschäftsdokumente im Haushaltsabfall. 7 % benutzten eine unsichere WLAN-Verbindung, um Arbeitsdokumente per zu senden und zu empfangen. Eine Hauptursache seien die Unternehmen selbst. So würden lediglich 25 % der deutschen Unternehmen ihren Mitarbeitern Vorgaben machen, welche Papierakten und elektronischen Daten sie mit nach Hause nehmen dürfen. In 73 % der Fälle fehlten entsprechende Richtlinien, die das Arbeiten im Homeoffice regeln. Ein weiteres Problem sei die Infrastruktur: Bei 54 % der Arbeitgeber scheitere ein sicheres Arbeiten im Homeoffice an fehlender IT-Ausstattung, und 67 % stellten keinen sicheren Zugang zum Intranet zur Verfügung (S. 98/99). Die European Network and Information Security Agency (ENISA) hat ihren Jahresbericht über IT- und Netzausfälle für 2012 vorgelegt, meldet <kes> in der Ausgabe (S. 99). In 18 EU-Ländern sei es zu 79 signifikanten Vorfällen der vier Dienstekategorien Festnetz- und Mobilfunk, Internet und mobiles Internet gekommen. Die häufigsten Ursachen für die Ausfälle seien Hard- und Software-Fehler gewesen. Cyberattacken seien nur sechsmal ursächlich gewesen, und nach durchschnittlich drei Stunden seien die Dienste wieder gelaufen. Naturereignisse seien ebenfalls nur selten ursächlich gewesen. Allerdings habe die Beseitigung solcher Ausfälle besonders lange gedauert. In derselben Ausgabe (S. 100) weist <kes> darauf hin, dass fast jeder fünfte Mitarbeiter in KMUs schon einmal Firmendaten mit Absicht zerstört habe. Das sei das Ergebnis der Studie Datenzerstörung im Mittelstand, für die Mozy 100 Manager und Mitarbeiter von KMUs befragt habe. Der Grund für die absichtliche Zerstörung sei überwiegend harmlos: in 78 % handelten die Angestellten gemäß den Weisungen eines Vorgesetzten. Heise online listet am 27. September 10 Regeln für mehr Sicherheit im Netz auf, die das BSI als Sicherheitskompass in Zusammenarbeit mit der Polizeilichen Kriminalprävention der Länder und des Bundes aufgestellt hat: 1. Verwenden Sie sichere Passwörter! 2. Schränken Sie Rechte von PC-Mitbenutzern ein! 3. Halten Sie Ihre Software immer auf dem aktuellen Stand! 4. Verwenden Sie eine Firewall! 5. Gehen Sie mit s und deren Anhängen sowie mit Nachrichten in Sozialen Netzwerken sorgsam um! 6. Erhöhen Sie die Sicherheit ihres Internet-Browsers! 7. Vorsicht beim Download von Software aus dem Internet! 8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung! 9. Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet! 10. Schützen Sie Ihre Hardware gegen Diebstahl und unbefugten Zugriff! Auch in einem special der Fachzeitschrift <kes> vom Oktober 2013 finden sich mehrere Beiträge zur IT-Sicherheit: Arved Graf von Stackelberg, HP Software Deutschland, empfiehlt das System SIEM (Security Incident and Event Management) als intelligentes Sicherheitsradar (S ). SIEM-Lösungen könnten die disparaten Log-Files sammeln und in Echtzeit miteinander abgleichen. Aus dem Kontext heraus würden sie verborgene Angriffsmuster erkennen, sortieren und die Ergebnisse zu übersichtlichen Warnhinweisen und Reports

15 Focus on Security zusammenstellen. Der Autor beschreibt die Leistungsmerkmale von SIEM. Das Produkt müsse geschickt implementiert werden. Die Implementierung sei als Prozess zu verstehen, der Schritt für Schritt immer mehr kritische Sicherheitsmanagement-Aufgaben durch intelligente Software unterstützt. Michael Klatte, ESET Deutschland, fordert mehr Sicherheit am SharePoint (eine Webanwendung von Microsoft, die folgende Anwendungsbereiche abdeckt: Intranetportal, Soziale Netzwerke, Content- Management, Koordinierungs- und Verwaltungsfunktionen sowie Geschäftsanwendungen). Ein lascher Umgang in puncto Sicherheit könne den Sharepoint schnell in eine Virenschleuder verwandeln. Malware stelle für den SharePoint die aktuell größte Gefahr dar. Microsoft werde seine Antivirus-Lösung Forefront Protection for SharePoint nicht mehr weiterführen. ESET zähle zu den wenigen Anbietern, die Malware-Schutz für Microsoft SharePoint 2013 anbieten. Der Autor hat eine Checkliste für mehr Sicherheit am SharePoint aufgestellt (S. 26/27). Kathrin Beckert, G Data, stellt neue Netzwerklösungen für Unternehmen vor. Neben technologischen Neuerungen hätten Administratoren künftig auch alle Android-Devices fest im Griff. Die Lösung habe folgende Produkteigenschaften: Hybridschutz, Mobile Device-Management, einfache Administration und mobilen Zugriff (S. 343/35). Andreas Müller, Lumension, erläutert das professionelle Patchmanagement für sichere Geschäftsprozesse. Es führe durch die hohen Aufwände an Mehrarbeit, die nötig sei, um schnell auf Gefahrenpunkte reagieren zu können, zu höheren Kosten. Das Unternehmen Lumension biete eine gute Alternative, die die Umsetzung einer holistischen Schwachstellen-Managementstrategie ermögliche. Der geringere Bedarf an punktorientierten Produkten und an Mitarbeiterressourcen ermöglichten eine Reduzierung der Betriebskosten (S ). Klaus Gheri, Barracuda Networks, fordert, dass Sicherheitslösungen für KMUs den gleichen Schutz bieten, wie bei Großunternehmen, aber sie müssten intuitiv und einfach einzusetzen sein. Wenn KMUs Security- und Backup-Lösungen einsetzen, die konkret auf den unkomplizierten Betrieb ausgelegt sind, gleichzeitig aber den kompletten Schutz einer vollen Enterprise- Lösung böten und noch dazu mit datenschutzkonformen Cloud-Technologien die Infrastruktur des Unternehmens entlasten, könnten sie sich gegen Angriffe oder Datenverlust absichern (S ). Armin Simon, SafeNet, beklagt, man sei trotz der Berichte über Datendiebstahl beim Schutz der Daten bisher nicht wirklich weiter gekommen. Daten ließen sich inzwischen mit modernen Verschlüsselungs- und IAM-Lösungen zuverlässig schützen. Es gebe eine Methodik, die sich auf einfache Hauptpunkte reduzieren lasse: Identifiziere die wichtigen Daten, verschlüssele sie, pass auf die Schlüssel auf und regele zuverlässig den Zugriff durch Identity- and Access-Management. Ein Mindeststandard müsse nicht das sein, was der Begriff nahelegt. Wenn das BSI eine Norm definiert, dann handele es sich zunächst um eine unverbindliche Empfehlung. Das gelte auch von dem jetzt vom BSI verlangten Einsatz von TLS 1.2 als Transportverschlüsselung im Internet (heise online v. 8. Oktober). In der Fachzeitschrift IT-Security (Ausgabe , S ) erläutert Urs Biggeli, United Security Providers AG, warum Network Access Control (NAC) mehr und mehr zu einem zentralen Element der IT-Infrastruktur wird. Neben der Sicherheit, dass keine fremden Endgeräte am Netzwerk angeschlossen werden, liege der Hauptnutzen einer NAC-Lösung darin, den Überblick im Netzwerk zu wahren und dessen Verwaltung in einem hohen Maße zu erleichtern. Dadurch reduzierten sich erwiesenermaßen auch die Betriebsaufwände. Heutige NAC-Lösungen würden bei der Umsetzung von Mobile-Securitystrategien und BYOD-Konzepten helfen. In demselben Heft befasst sich Jochen Koehler, Cyber-Ark,

16 16 Focus on Security mit der Datenbank-Sicherheit (S ). Etliche Unternehmen versuchten, sie mit der Implementierung von Lösungen in den Bereichen Data Loss Prevention (DLP) oder Database Activity Monitoring (DAM) zu erreichen. Diese Ansätze seien zwar richtig, aber keineswegs ausreichend. Die Implementierung zuverlässiger Lösungen für die automatische Verwaltung von privilegierten Benutzerkonten sollte für jedes Unternehmen selbstverständlich sein, zumal das Gefahrenpotenzial kontinuierlich steige. Die Unsicherheit von s werde unterschätzt, ist Marian Spohn überzeugt (S ). Eine sichere Lösung stelle Managed File Transfer (MFT) dar, weil sie sicherstelle, dass alle Nachrichten codiert sowie kontrolliert am Zielort ankommen und nur berechtigte Empfänger darauf zugreifen können. Dabei bleibe die Datei sicher im MFT-System hinterlegt. Es würden nur in einer ersten die dazugehörige Download-Berechtigung und in einer zweiten ein Passwort für den Download- Link versendet. In Verbindung mit einer zentralen Datendrehscheide ermögliche die Lösung ein umfassendes Monitoring sämtlicher unternehmensinterner und externer Datentransferaktivitäten, mit dem sich Nachrichten von der Anfangs- bis zur Zieladresse überwachen und vollständig bis auf die IP-Adresse genau zurückverfolgen ließen. Eine MFT-Lösung müsse so beschaffen sein, dass ein Anwender die Bequemlichkeit und Schnelligkeit eines normalen -Versands nicht vermisst. Heise online meldet am 15. Oktober, der Industrieausschuss des EU-Parlaments habe den Weg frei gemacht für einen Verordnungsentwurf der EU-Kommission, mit dem die Nutzung elektronischer Signaturen und vergleichbarer Identifikationssysteme vereinfacht und harmonisiert werden solle. Die Abgeordneten möchten damit Unternehmen, Behörden und Bürgern die Möglichkeit geben, Dokumente elektronisch zu unterzeichnen und zu zertifizieren. Die Mitgliedstaaten sollten verpflichtet werden, eid-systeme anderer EU-Länder offiziell anzuerkennen. Das neue deutsche E Government-Gesetz lasse neben der qualifizierten elektronischen Signatur alternative Technologien für den elektronischen Ersatz der Schriftform zu und wolle so weitere Einsatzmöglichkeiten für die eid-funktion des neuen Personalausweises und D schaffen. IuK-Kriminalität Die Zeitschrift <kes> weist in ihrer Ausgabe (S. 100) darauf hin, BITKOM habe berichtet, dass die Zahl der gemeldeten Phishing-Fälle 2012 deutlich abgenommen habe. Nach Angaben des BKA habe sich die Zahl 2012 nahezu halbiert (-46 %). Die verursachten Schäden seien 2012 ebenfalls um 46 % auf 13,8 Millionen Euro gesunken. Allerdings würden die Betrüger zunehmend raffinierter vorgehen und verstärkt auf Phishing-Malware setzen. Die Zahl der Sicherheitsvorfälle insgesamt sei in den letzten 12 Monaten um 25 % gestiegen, meldet das Handelsblatt am 1. Oktober unter Hinweis auf die Beratungsgesellschaft PwC. Im Durchschnitt hätten die befragten Sicherheits- und IT-Manager globaler Unternehmen über Attacken pro Firma und Jahr verzeichnet. Jeder dritte Manager vermute Hacker hinter den Angriffen, 14 % verdächtigten Wettbewerber als Drahtzieher, und 4 % nähmen an, dass ausländische Staaten versuchen, auf die Daten des Unternehmens zuzugreifen. Budgets für IT-Sicherheit seien binnen Jahresfrist massiv aufgestockt worden, von durchschnittlich 2,8 auf heute 4,3 Millionen EU-Dollar pro Unternehmen. Dennoch mangele es an Abwehrkraft. Das Hauptproblem: Die Zahl der möglichen Einfallstore steige rasch. Mobile Geräte eröffneten neue Zugangspunkte auf die Firmen-IT, private

17 Focus on Security Geräte entsprächen nicht dem Sicherheitsstandard des Konzerns und Cloud Computing-Lösungen stellten die IT parallel vor zahlreiche neue Herausforderungen. Der Diebstahl von Kundendaten oder Geschäftsgeheimnissen Dritter sowie die Weiterverbreitung von Viren oder Schadprogrammen können zu Schadenersatzklagen führen, erläutern Rechtsanwälte Stefan Schuppert und Markus Burckhardt in der FAZ am 2. Oktober Kunden oder Mitarbeiter eines Unternehmens, die durch dessen IT-Systeme geschädigt werden, könnten grundsätzlich vertragliche Schadenersatzansprüche geltend machen. Auch Dritten gegenüber sei eine Deliktshaftung nicht ausgeschlossen. Dies gelte auch für mögliche Sammelklagen. Ferner drohten bei bestimmten Verstößen erhebliche Geldbußen. Ein umfassendes IT-Sicherheitskonzept müsse neben technischen Maßnahmen auch die betriebliche Organisation, die Überprüfung von Mitarbeitern und Dienstleistern sowie die Vertragsgestaltung miteinbeziehen. Zudem sollten Notfallpläne mit klaren Handlungsanweisungen und Verantwortlichkeiten erstellt und kommuniziert werden. Die Einhaltung von Sicherheitsstandards habe auch für eine mögliche Haftung gegenüber Dritten große Bedeutung. Die Einhaltung vorhandener Normen führe zwar nicht zu einem gesetzlichen Haftungsausschluss. In aller Regel werde man in diesem Fall aber eine Pflichtverletzung verneinen können. Die Durchsetzung von Regressansprüchen gegen die Cyberkriminellen sei schwierig, denn die Angriffe erfolgten oft aus dem Ausland. Bei effektiver Einbindung von IT-Forensikern und Behörden in den Zielländern ließen sich Ansprüche unter Umständen vorläufig sichern und Vermögenswerte einfrieren. Der Sicherheitsberater weist am 15. Oktober auf Versicherungen hin, die Policen zur Absicherung von Cyberrisiken und IT- Schäden anbieten. Neben dem Angebot der Axa-Versicherung seien dies folgende Produkte: ITSafeCare 2.0 der Zurich Gruppe, Allianz Cyber Protect der Allianz Global Corporate & Speciality sowie Cyber+ von HDI Gerling (S. 311/312). Kommunikationssicherheit Der Sicherheitsberater weist am 1. Oktober darauf hin, dass das BSI offiziell die Zulassung des Handys SiMKo 3 für die Geheimhaltungsstufe Verschlusssache Nur für den Dienstgebrauch (VS-NfD) erteilt hat. Im Unterschied zu einem herkömmlichen Android-Handy sitze im SiMKo3 ein alternatives Betriebssystem, der sogenannte L4-Hochsicherheits-Mikrokern. Dieser bietet laut Telekom den Hackern kein Versteck mehr für Überraschungen. An der Entwicklung seien durchgängig deutsche Firmen beteiligt gewesen. Die Entwicklung des SiMKo3 gehe weiter. Es solle in den nächsten Monaten zusätzliche Produktmerkmale bieten: verschlüsselte Voice over IP-Telefonie mit hochsicheren Verschlüsselungsverfahren, sichere netzübergreifende Sprachverschlüsselung, SiMKo-Produktfamilie mit Tablets und Notebooks für den Heimarbeitsplatz und Unterstützung des schnellen LTE-Funkstandards (S. 299/300). Krisenregionen Logistiksicherheit PD Dr. Markus Ritter, Bundespolizei, beschreibt in einem Beitrag in Security Insight (Ausgabe , S ) das minimale Grundgerüst für die Entsendung von Mitarbeitern in Risiko- und Krisengebiete. Das Gastland

18 18 Focus on Security Protector beschreibt in der Ausgabe (S. 36/37) den Brandschutz im größten Distributionszentrum Norddeutschlands. Beim Schutzkonzept der Hochregallager habe sich Minimax an dem Regelwerk VdS CEA 4001 orientiert, das neben einer klassischen Deckensprinklerung auch eine Sprinklerung in den Regalen vorschreibt. In diesem Projekt seien die insgesamt Palettenstellplätze in 15 Sprinklerebenen unterteilt und mit über Sprinklern geschützt worden. Dagegen seien im Bereich des Blocklagers nach den FM-Richtlinien sogenannte SFR (Early Suppression Fast Response)- Sprinkler eingesetzt worden. Sie würden, an der Decke montiert, dem Betreiber eine flexible Lagerung ermöglichen. Sensible Bereiche (Serverraum, elektrische Schalt- und Betriebsräume) seien mit Oxeo Inertgas- Löschanlagen versehen worden. Acht Brandmeldezentralen vom Typ FMZ 5000 seien mit den 255 Meldepunkten durch vier Kilometer Kabel verbunden worden. Protector beschreibt in der Ausgabe (S. 38/39) das Gefahrenmanagement beim Versender Netrada. Am Standort Lehrte komme das Siemens-Gefahrenmahabe auf jeden Fall eine Garantenstellung, aus der sich eine Schutzpflicht gegenüber den ausländischen Unternehmen im Lande ergibt. Bei der diplomatischen oder konsularischen Vertretung Deutschlands sollten sich die entsandten Mitarbeiter registrieren lassen. Der Schutz von UZNB-, EU- oder NATO-Vertretungen im Gastland werde nicht automatisch gestellt, sondern müsse durch ein Technical Agreement oder ein Memorandum of Understanding vorab vereinbart werden. Familienangehörige seien als weiche Ziele oft mehr gefährdet als der eigentliche Expatriate. In Risiko- und Krisengebieten müsse ein hauptamtlicher Sicherheitsverantwortlicher eingesetzt werden, der über einschlägige Erfahrungen verfügt. In Ländern mit Entführungsrisiko sei das Vorhalten vorbereiteter Proof of life- Fragen und -Antworten wichtig. Fahrzeuge sollten mit GPS, Track 24 und gegebenenfalls auch mit Funk und einem Jammer ausgestattet sein. Wenn man sich auf die örtliche Stromversorgung nicht verlassen kann, sollten Dieselgeneratoren und zur Vermeidung von Computerabsturz und Datenverlust unbedingt Uninterruptable Power Supply-Einheiten beschafft werden. Wichtig sei auch der garantierte Zugang zu Kliniken mit westlichem Standard oder die Möglichkeit einer umgehenden medizinischen Evakuierung aus dem Land. Zur Vorbereitung für den Krisenfall gehöre auch die Bildung eines Critical Incident Management Team. Logistiksicherheit nagementsystem (GMS) SiNVR-Command mit dem netzwerkbasierten Videosystem SiNVR zum Einsatz. Die GMS-Softwarte führe verschiedene Subsysteme für Sicherheit und Gebäudebetrieb auf einer einheitlichen Plattform zusammen (BMA und EMA, Videosystem, Sprinklerzentrale, automatische Evakuierungsanlage sowie den BOS-Gebäudefunk. Daten aus den Inhouse-Logistiksystemen seien über TCP/ IP direkt im System verfügbar. Ein wichtiges Element der Gesamtlösung sei eine Client/ Server-basierte Software zur Verarbeitung von digitalen Videobildern. Sie erlaube eine vielseitige Darstellung von Videobildern und unterstütze Recherchemöglichkeiten. In einem weiteren Beitrag (S. 42/43) beschreibt Protector die Eignung von Videosicherheitssystemen zur Prozessdokumentation und -optimierung für Unternehmen innerhalb jeder Lieferkette. Die Dokumentation des Haftungsübergangs werde zur Wahrung von Rechtsansprüchen gegenüber Dritten durch die Verknüpfung von Prozessdaten und Videosystem erheblich vereinfacht. Idealerweise würden Kameras entlang der gesamten Prozesskette platziert, meist ab der Anlieferung. Während der

19 Focus on Security Videoaufzeichnung verknüpfe das System die Videodaten erstmalig automatisch und in Echtzeit mit den Barcode- oder RFID- Daten. Werden kleine Artikel von Hand ausund eingepackt oder sortiert, sei die Dokumentation mit Überkopfkameras hilfreich. Hier seien hochauflösende IP-Kameras zweckmäßig, da sie auch Details über den Zustand der bearbeiteten Artikel liefern. Gleichzeitig werde mit Übersichtskameras die Umgebung erfasst. Eine leistungsstarke Datenbank garantiere den schnellen Zugriff auf die relevanten Videoaufzeichnungen anhand der Prozessdaten oder von Datum und Uhrzeit als Suchkriterium. Die Güterverkehrs- und Logistiksicherheit als Aufgabe für die Sicherheitswirtschaft beschreibt Manfred Buhl, Securitas. In einem ersten Teil (S. 50/51) geht er auf die vom Bundesministerium für Verkehr, Bau und Standentwicklung entwickelte Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft ein. Dann benennt er die relevanten technischen und organisatorischen Standards, einschließlich der Norm des Authorised Economic Operator (AEO), die auf EU-Verordnungen beruht und die Sicherheit in der internationalen Lieferkette zum Ziel hat. Schließlich behandelt er das noch weithin ungelöste Problem des Mangels an sicheren LKW-Stellplätzen an Autobahnen und die maritime Sicherheit als Grundvoraussetzung für funktionsfähige internationale Transportketten. Luftsicherheit Während das Luftfahrtbundesamt im Februar 2012 von Unternehmen ausgegangen sei, die ihre Produkte über Luftfrachtversand an die jeweiligen Empfänger bringen, seien bis heute von diesen Unternehmen nur ca als bekannte Versender zertifiziert, stellt Philip Buse, Geschäftsführer des VSWN, fest. Da viele Produkte der Luftfracht nicht oder nur sicher gemacht werden könnten, komme es beim Versand zu hohen Zeitverlusten. Das Luftfahrtbundesamt habe 267 Stellen besetzt, die Unternehmen als bekannte Versender auditieren und zertifizieren sollten. Am wahrscheinlichsten sei, dass sie nun vor allem die reglementierten Beauftragten häufiger kontrollieren (WiK, Ausgabe , S. 38/39). Metalldiebstahl Die FAZ berichtet am 8. Oktober, dass vor allem in östlichen Regionen Metalldiebe Bahntrassen plünderten. Ursachen seien unter anderem Täter aus Osteuropa und viele Baustellen. Obwohl die Deutsche Bahn im ersten Halbjahr 2013 mit rund 820 Diebstählen etwa 40 % weniger Taten als im Vorjahreszeitraum gezählt habe, sei das Problem immer noch erheblich. Die Deutsche Bahn gehe mit verdeckten Einsätzen, künstlicher DNA und Informationsaktionen gegen Metalldiebe vor. Während andere Betroffene wie der Stromkonzern Vattenfall unter anderem mit Flugrobotern Langfingern das Handwerk legen wollten, setze die Bahn auf Polizeiarbeit und Vorbeugung. Mobile Endgeräte Die FAZ befasst sich am 24. September mit dem Scanner für Fingerabdrücke beim iphone 5S. Man lege den Finger nur auf und ziehe ihn nicht, wie bei Notebooks,

20 20 Focus on Security über eine Fläche. Vermessen würden untere Hautschichten. Auf diese Weise sei auch eine Lebenderkennung implementiert. Apple speichere so die biometrischen Daten in einem separaten Bereich des Geräts, der von außen nicht lesbar sei, nicht in eine itunes-synchronisation übernommen werde und nicht auf Apple-Server übertragen werde. Das alles verspreche einzigartige Sicherheit, zumal auch kein Abbild des Fingerabdrucks gespeichert werde, sondern eine Art Kondensat ( Hash ), aus dem sich das Original nicht wiederherstellen lasse. Damit verspreche Apple mehr Schutz der Privatsphäre, der Fingerscan sei einfacher als die Kennworteingabe. Wer diese lieber meide, werde jenen mögen. Zum anderen Diebstahlschutz: In Verbindung mit dem neuen Betriebssystem ios 7 könne ein gestohlenes Gerät nicht mehr in den Auslieferungszustand versetzt werden. Das Diebesgut werde wertlos. Das werde sich herumsprechen. In der Zeitschrift <kes> (Ausgabe , S ) sieht Rüdiger Trost, F-Secure, in der mobilen Malware eine Bedrohung mit Zukunftspotential. Wenn immer mehr professionelle Anwendungen über mobile Geräte laufen, würden sie auch interessanter für Entwickler mobiler Malware. Dabei sei das Betriebssystem mit dem größten Marktanteil auch das Angriffsziel Nummer 1: Malware werde vor allem für Android entwickelt. Ein weiterer wichtiger Trend sei die Zunahme von Malware, die eine Verbindung zu Command and Control (C & C)-Servern erstellt: 123 der 149 von Januar bis März 2013 von F-Secure neu entdeckten Bedrohungen sendeten über eine solche Verbindung Kommandos an das mobile Gerät, ohne dass der rechtmäßige Besitzer etwas davon merke. Habe man erst einmal die Kontrolle über ein Handy übernommen, so lasse sich ohne Weiteres damit Profit generieren etwa durch die Veranlassung von Long Distance-Calls, während der Handy-Besitzer schläft. Mit dem Online- Bankraub sei auch schon eine noch lukrativere Disziplin der profitmotivierten Malware belegt. Malware werde zwar komplexer, lasse sich aber durch ein Angebot an Malware- Kits dennoch schnell entwickeln. Botnets würden mittlerweile auch zur Verbreitung mobiler Malware benutzt. Zugleich würden Aktivitäten immer zielgerichteter: Targeted Attacks seien im Windows-Bereich schon lange verbreitet, spielten aber nun auch im mobilen Malware-Markt eine große Rolle. Der Trend gehe zu immer leistungsfähigeren und kleineren mobilen Geräten, stellt Armin Leinfelder, baramundi software AG, im special von <kes> im Oktober 2013 fest (S. 38/39). Die Grenzen zwischen den Geräteklassen würden unscharf. An diese Entwicklung müsse sich die IT-Administration anpassen. Auch das Arbeitsverhalten ändere sich. So würden Dokumente unterwegs auf einem Mobilgerät begonnen und später auf dem PC fertiggestellt, E- Mails und Kalender sollten überall verfügbar sein. Die Folge für die IT-Administration: Es müssten alle Geräte mit den nötigen Programmen, Daten und Rechten versorgt werden und es müssten alle Geräte zuverlässig abgesichert werden. Notfallmanagement In der Zeitschrift <kes> (Ausgabe , S ) befassen sich Manuela Reiss und Marco Sportelli, dokuit, mit der Notfallorganisation der IT. Aus den Ausführungen des BSI in dem 2008 veröffentlichten BSI-Standard Notfallmanagement lasse sich klar ableiten, dass die Erstellung eines Notfallhandbuchs keine alleinige Aufgabe der IT-Organisation sein könne, sondern sich in ein übergeordnetes Notfallmanagement einbinden müsse. Die Autoren behandeln das Zusammenspiel im