Ob Hacker oder Innentäter wie Unternehmen zuverlässig ihre ICT-Infrastruktur, Daten und Anwendungen schützen. Das Kundenmagazin von T-Systems

Transkript

1 Practice Ausgabe Best Practice Best Das Kundenmagazin von T-Systems Ob Hacker oder Innentäter wie Unternehmen zuverlässig ihre ICT-Infrastruktur, Daten und Anwendungen schützen.

2 Foto Nadja Klier Werden Sie zum Helden für Kinder in Not. Jessica Schwarz Schauspielerin und Botschafterin der Kinderzukunft Spenden Sie jetzt und helfen Sie mit. Überall auf der Welt gibt es Kinder, die unsere Hilfe benötigen, weil Krisen, Kriege und Katastrophen ihnen alles genommen haben. Mit Ihrer Spende helfen Sie uns, diese Kinder zu unterstützen und ihnen eine selbstständige und menschenwürdige Zukunft zu ermöglichen. Wir garantieren: 100% Ihrer Spenden erreichen die Kinder, weil sämtliche Werbe- und Verwaltungskosten durch Erträge des Stiftungsvermögens und zweckgebundene Zuwendungen gedeckt werden. Stiftung Kinderzukunft Rabenaustraße 1a, D Gründau Tel. +49 (0) 60 51/ Spendenkonto Postbank Frankfurt BLZ

3 editorial 3 Reinhard Clemens, 51, ist seit Dezember 2007 Vorstand T-Systems Deutsche Telekom AG und CEO von T-Systems. Foto: T-Systems Die Bedrohungslage durch Cyberkriminalität bekommt eine ganz neue Qualität. Spätestens jetzt ist die Zeit gekommen, in Sachen ICT-Sicherheit internationale Standards festzulegen. SICHERHEIT DESIGNED IN EUROPE Sie heißen Stuxnet, ZeuS oder W32.Duqu. Sie nisten sich in fremde Computer ein, stehlen Daten und könnten ganze Produktionsanlagen zum Erliegen bringen. So manchem mag das immer noch eher nach Agententhriller à la James Bond klingen. Doch wer sich näher mit IT-Sicherheit beschäftigt, weiß, die Raubzüge im Internet und Angriffe aus dem Cyberspace haben das Potenzial zu einer globalen Bedrohung. Cyberkrieg, so Bundeskanzlerin Angela Merkel, sei inzwischen nicht weniger gefährlich als klassische militärische Angriffe. Befeuert von einer Vielzahl spektakulärer Ereignisse bei namhaften internationalen Konzernen wie zum Beispiel Sony, rücken die Themen Datenschutz und Informationssicherheit ins Zentrum der öffentlichen Wahrnehmung. Und die Bedrohungslage wird zukünftig noch einmal eine ganz neue Qualität gewinnen. Während sich die Risiken bislang auf Finanzbetrug oder den Diebstahl von Informationen konzentrierten, gerät zunehmend die Wertschöpfung ins Visier der Angreifer. Wir sehen uns mit einer neuen Generation von Schadprogrammen konfrontiert, die nur zur Wirtschaftssabotage und -spionage entwickelt wurden. Das von der Bundesregierung angestoßene übergreifende Bündnis zum Schutz kritischer Informations-Infrastrukturen sowie das Aufstocken von IT- Experten in den Behörden und Organisationen mit Sicherheitsaufgaben in Europa setzen das richtige Signal: Informations- und Kommunikationstechnik ist für die Volkswirtschaft ebenso wichtig und schützenswert wie Strom, Wasser und Gas. Im Zentrum dieser Initiative stehen daher drei strategische Ziele. Erstens: durch geeignete und abgestimmte Präventionsmaßnahmen bestehende Restrisiken verringern. Zweitens: Regeln, Prozesse und Zuständigkeiten definieren, die Unternehmen und Staat in die Lage versetzen, bei ICT-Sicherheitsvorfällen zeitnah und wirkungsvoll zu handeln. Drittens: einen übergreifenden Plan entwickeln, der unsere europäische ICT-Sicherheitskompetenz stärkt und internationale Standards setzt. Dabei zeigen schon heute immer mehr Unternehmen auch außerhalb der EU Interesse an einem hohen Datenschutzniveau, wie es in Deutschland etwa durch den Gesetzgeber eingefordert wird. Zum Beispiel beim Cloud Computing. Unter anderem ist in der Bundesrepublik die Speicherung von unverschlüsselten personenbezogenen Daten in virtuell strukturierten Ressourcen bei denen der Speicherort nicht nachvollziehbar ist verboten, wenn der Betroffene nicht ausdrücklich seine Zustimmung gibt. Denn nur so behalten Unternehmen jederzeit die Hoheit über personenbezogene Daten. Der Kunde muss selbst bestimmen, wo seine Daten liegen und wer welchen Zugriff darauf erhält. Dabei helfen modernste ICT-Security-Technologien, ungewollte Zugriffe zu verhindern. Wenn wir uns an die Spitze der Entwicklung stellen und Sicherheit als Designfaktor in alle Anwendungen integrieren, hat Security designed in Europe die Chance, weltweit zum Qualitätssiegel für eine sichere ICT-Infrastruktur zu werden. Herzlichst Ihr Reinhard Clemens

4 4 inhalt AUSGABE ausgewählt 06 News-Ticker International. Der weltweit führende französische Hersteller von Frankiersystemen Neopost nutzt globales Hochgeschwindigkeitsnetz... Südafrikas Glasspezialist Consol entscheidet sich für Outsourcing seiner SAP-Landschaft... Spanischer Medienkonzern PRISA baut Digitaldienste in 22 Ländern aus... IMPRESSUM Best Practice Das Kundenmagazin von T-Systems Herausgeber Thomas Spreitzer, T-Systems-Marketing Gesamtverantwortung Gina Duscher Projektmanagement Tatjana Geierhaas Chefredaktion Thomas van Zütphen (V. i. S. d. P.) Organisation Anke Echterling Art Direction Jessica Winter Bildredaktion Susanne Narjes Chefin vom Dienst Anja Sibylla Weddig Schlussredaktion Sebastian Schulin Autoren dieser Ausgabe: Dr. Sandro Gaycken, Steffan Heuer, Roger Homrich, Dr. Christiane Meis, Matt Sloan, Prof. Dr. Norbert Pohlmann, Tobias Schrödel, Thomas van Zütphen Verlag HOFFMANN UND CAMPE VERLAG GmbH, ein Unternehmen der GANSKE VERLAGSGRUPPE Harvestehuder Weg 42, Hamburg Tel. (040) , Fax (040) Geschäftsführung Dr. Kai Laakmann Objektleitung HOFFMANN UND CAMPE Christian Breid Herstellung Claude Hellweg (Ltg.), Oliver Lupp Litho Einsatz Creative Production, Hamburg Druck NEEF + STUMME premium printing GmbH & Co. KG, Wittingen Copyright 2011 by T-Systems Nachdrucke nur mit Quellen angabe und Belegexemplar. Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers wieder. Fragen zu Inhalt, Versand oder Bestellungen BestPractice@t-systems.com ISSN X rint kompensiert Id-Nr VIDEO Schon gesehen? BEST PRACTICE ONLINE Schon gelesen? TWITTER Schon verfolgt? bewegen 08 Balance-Akt für CIOs ICT Security. CIOs sollen die Produktivität ihrer Mitarbeiter erhöhen und ihnen mobiles Arbeiten und Collaboration-Formen in jeglicher Hinsicht ermöglichen. Zugleich sollen ihre ICT-Infrastrukturen trotz immer größerer Angriffsflächen nicht zu Einfalltoren für Viren, Würmer & Co. werden. Der Spagat als Traumjob kann Hilfestellung vertragen und die kommt zukünftig aus dem Netz. Als Security as a Service zum Beispiel, der Administrationsvorgänge und Authentisierung sicherer macht und deutlich vereinfacht. 18 ICT Security ganzheitlich betrachtet Grafik. Trotz zunehmender Cyberkriminalität dürfen Unternehmen ihre IT-Infrastruktuen nicht abschotten. Doch wer steuert die Zugriffe und schleust die Daten sicher zu ihren berechtigten Empfängern? Ein Security Information and Event Management (SIEM) zum Beispiel, Risk & Compliance Tools oder ein System zur Einhaltung des Need to know. Best Practice

5 5 Die ersten zwei Galileo-Satelliten starteten im Oktober ins All. Spätestens 2020 sollen für das europäische Navigationssystem 30 Satelliten in Kilometern Entfernung die Erde umkreisen. erfahren 20 Compliance ohne Grenzen Allianz. Der Finanzdienstleister und einer der größten Versicherungskonzerne der Welt schützt sein IP-Daten- und Telefonnetz in Osteuropa mit neuester Security-Technologie und harmonisiert die Compliance-Anforderungen in neun verschiedenen Ländern. 24 Vordenker Michael Fertik. Managerkontakte auf LinkedIn, Xing oder Facebook, so der CEO von Reputation.com, können Konkurrenzunternehmen schon viel verraten. Darum rät der Harvard-Absolvent dringend, die Security-Awareness von Führungsmitarbeitern auf deren Social-Media-Kommunikation auszuweiten und auf die ihrer Angehörigen. 26 Flankenschutz im Cyberwar CERT. Das Computer Emergency Response Team von T-Systems verteidigt die IT-Systeme seiner Kunden weltweit vor Angriffen aus dem Netz. Was die Mitarbeiter dabei erleben, ist eine Art Kriegsberichterstattung aus dem alltäglichen Cyberwar. 32 Selbstverteidigung Gastbeitrag. Wenn Cyberwaffen immer cleverer werden, müssen smarte Daten sich auch selbst schützen, sagt Prof. Dr. Norbert Pohlmann. Objekte werden künftig definieren, wer sie in welcher IT-Umgebung nutzen darf. 34 Datendiebe im Fokus Kontrovers. Wo lauert das größte Risiko? Dr. Christiane Meis vom Sicherheitsforum Baden-Württemberg und Dr. Sandro Gaycken von der FU Berlin auf einer Spurensuche. 36 CIO Talk bei Fraport Dr. Roland Krieg. Der CIO des Frankfurter Flughafens über den Sicherheitsbeitrag einer Airport-IT, Collaboration-Lösungen der großen Hubs und die Grenzen internationaler Clouds beim Daten-(Flug-)Verkehr. 40 Galileo Wegweisend. Ob im Rollstuhl, Mähdrescher oder Frachtschiff das europäische Satelliten- Navigationssystem schafft eine neue Mobilität und bewegt die Wirtschaft eines ganzen Kontinents. 44 Zahlen, Daten, Fakten Trendmonitor. Wo sind die größten Schwachstellen in der ICT-Security-Kette, und wie wollen sich Unternehmen künftig schützen? Indikatoren eines Markts, dessen Entwicklung nur eine Richtung kennt: Sie steigt. 46 Kolumne Seuche im Büro. Drucker und Kopierer sind nicht nur wahre Informationssammler, sie hinterlassen auch auf jedem Blatt Papier noch eine Art Signatur. Fachbuchautor Tobias Schrödel über die latent schlimmste Büroseuche der Welt: Fleckfieber. Schaut nach vorn: Fraport-CIO Dr. Roland Krieg treibt die Entwicklung von Collaboration Tools für die Zusammenarbeit internationaler Großflughäfen voran. Fotos: Natalie Bothur, Mike Schroeder/argus, ESA/P. Carril, istockphoto.com Best Practice

6 6 ausgewählt NEWS Weil immer mehr Menschen aktuelle Informationen nicht nur via Tageszeitung, Radio und TV beziehen wollen, baut der spanische Medienkonzern PRISA sein Angebot an digitalen Diensten aus. ONLINE-EXPANSION Fotos: Mauritius Images/Alamy, Ryan McVay/Getty Images, istockphoto.com Ob im Fernseh-, Radio- oder Verlagsgeschäft die Bereitstellung von Informations-, Bildungs- und Unterhaltungsangeboten via Internet wird für Medienunternehmen immer wichtiger. Darum will auch Spaniens führender Medienkonzern PRISA ( El País ) seine Digitaldienste weiter ausbauen und beauftragte damit den ICT-Dienstleister T-Systems. Die IT-Infrastrukturen für die digitalen Services sollen künftig von der Telekom-Tochter verwaltet und administriert werden. Ziel des Projekts: Auf einer öffentlich zugänglichen Onlineplattform für alle Geschäftsbereiche des Konzerns, der in 22 Ländern TV- und Radiosender betreibt sowie Zeitungen und Magazine verlegt, sollen die PRISA-Angebote verfügbar sein. Weltweit beschäftigt PRISA knapp Mitarbeiter. Mit der Online-Offensive sollen zusätzliche Märkte in Europa sowie Nord-, Mittel- und Südamerika erschlossen werden. Steigende Flexibilitätswünsche und das schnelle Wachstum unserer Gruppe verlangen die Automatisierung der Prozesse, erläutert PRISA-Managing Director Luis Manuel García. Für diese Expansion brauchen wir Qualität, Effizienz, Innovation und haben uns aufgrund seiner ausgewiesenen Expertise für den deutschen Dienstleister entschieden. Ausschlaggebend waren die maßgeschneiderten Serviceleistungen. Dazu zählen: mehrsprachige Dienste, technischer Rund-um-die- Uhr-Support, Telefon-Hotlines für Nutzer und interne Kunden. T-Systems managt darüber hinaus bereits IT-Dienstleistungen am Hauptsitz des PRISA- Konzerns in Madrid sowie bei PRISA Digital Services. Kontakt: francisco.vargas@t-systems.es

7 7 Hochgeschwindigkeitsnetz für weltweiten Datenzugriff Der Hersteller von Frankier- und Kuvertiermaschinen Neopost nutzt ein globales Hochgeschwindigkeitsnetz, um seine 30 internationalen Standorte per MLPS-Technologie miteinander zu verbinden. Dass Briefe für Unternehmen, Behörden und Privatleute auch in Zeiten des Internets unverzichtbar sind, zeigt der Umsatz der französischen Neopost S.A. Die aus dem Alcatel-Konzern entstandene Aktiengesellschaft in Paris ist ein weltweit führender Hersteller von Frankier- und Kuvertiermaschinen und baut ihr internationales Geschäft gerade aus. Jetzt beauftragte das Unternehmen T-Systems mit dem Betrieb seines Hochgeschwindigkeitsnetzes, um die aktuell 30 Neopost-Standorte weltweit miteinander zu verbinden. Neopost ging es vor allem darum, seine bislang heterogenen Netze zu vereinheitlichen und sowohl Infrastruktur als auch Dienstleistungen nicht länger von verschiedenen Partnern, sondern aus einer Hand zu beziehen. Weltweit bekommen die mehr als 5000 Mitarbeiter damit direkten Zugriff auf ihre Anwendungen, können Daten zu Entwicklung, Produktion und Vertrieb deutlich schneller abfragen und kommunizieren. Betrieben wird das globale Firmennetz per MPLS-Technologie (Multi-Protocol Label Switching) unter anderem so, dass vorgegebene Datentypen priorisiert und bevorzugt an den Bestimmungsort weitergeleitet werden. Dabei sorgt die Telekom-Tochter in einer sicheren Umgebung dafür, dass das vereinbarte Datenvolumen problemlos über das IP-basierte Sprach- und Datennetz transportiert wird und schützt das neue Unternehmensnetzwerk entsprechend der Security-Policy von Neopost vor unbefugten Zugriffen. Kontakt: Frederic Ong: GLASKLARE SICHT DANK DER CLOUD Jährlich ungefähr eine Million Tonnen Glas verarbeitet Südafrikas Marktführer Consol Glas zu Gefäßen und Verpackungen für Kosmetika, Arznei- und Lebensmittel. Besondere Umsicht war gefragt, als der Glashersteller nach einer Outsourcing-Lösung für seine Geschäftsdaten auf Basis einer hochstabilen, standardisierten Plattform suchte. Die von uns eingesetzte SAP-Software wie NetWeaver oder BusinessObjects Explorer verlangt extrem stabile Systeme und muss auch im laufenden Betrieb ständig feinabgestimmt und optimiert werden können, so Consol-CIO Johan du Plessis. Denn ob Farben, Formen oder Verschlüsse auch auf dem Glasmarkt bestimmen Moden und Trends das Geschäft. Nur aktuell verfügbare Daten ermöglichen schnelles Handeln. Die dafür nötige flexible Bereitstellung von Rechen- und Speicherleistung bezieht Consol jetzt aus einer T-Systems-Cloud. Es gibt nur wenige Provider, die eine SAP-Landschaft so stabil anbieten und zugleich jeden neuen Prozess oder Geschäftsverlauf dynamisch mitgehen, begründet Johan du Plessis die Entscheidung und ergänzt: Am Anfang unserer Zusammenarbeit war T-Systems für uns ein Supplier. Heute ist die Telekom-Tochter ein strategischer Partner. Via Cloud hat der südafrikanische Glaskonzern nun weltweit und jederzeit Durchblick auf seine Produktionszahlen, Kosten und Investitionen. Kontakt:

8 8 bewegen ICT SICHERHEIT ZWISCHEN SECURITY UND PRODUKTIVITÄT Lesen Sie hier vom Kostenfaktor zum Business Value wie ICT Security wirtschaftlichen Erfolg sichert, welche Sicherheitsstrategie Unternehmensdaten und Anwendungen wirklich schützt, warum der Standort eines Rechenzentrums für Wettbewerbsfähigkeit, Compliance und Governance eines Unternehmens entscheidend sein kann. Foto: Mike Schroeder/argus Cyberkriminalität Sicherheitsrisiko Nummer 1 Quarum Unam Incolae Belgae In Computerviren und Datenmissbrauch sehen knapp zwei Drit tel der Führungskräfte aus Wirtschaft, Politik und Verwaltung ein deutlich höheres Risiko als in klassischer Kriminalität und Katastrophen. Dies geht aus dem Sicherheitsreport 2011 hervor, den das Allensbacher Institut für Demoskopie und das Centrum für Strategie und Höhere Führung im Auftrag von T-Systems erstellten. Danach hat IT-Sicherheit für 67 Prozent der Entscheider in größeren Unternehmen einen sehr hohen Stellenwert (siehe Trendmonitor Seite 44). Zugleich gehen 42 Prozent der Befragten davon aus, dass Internet- und Computerkriminalität in Zukunft weiter zunehmen werden. Denn Hacker und Industriespione rüsten auf, und ihre Methoden werden immer dreister.

9 9 Wenn Sie Ihre Daten unbeschadet zurückhaben wollen, zahlen Sie 30 Millionen Dollar. Ansonsten Allein in Deutschland belief sich der Schaden durch Wirtschaftskriminalität 2010 auf über 20 Milliarden Euro. Mehr als die Hälfte der Beute an Daten und Geld erzielten dabei Hacker durch Cyberattacken. Cloudnapping heißt das neueste Geschäftsmodell der Onlinekriminellen, bei dem Cyber-Erpresser Unternehmens daten nicht etwa nur stehlen, sondern damit Lösegeld erpressen. Nach Informationen des Branchenblatts Digital haben die für Online-Erpressung zuständigen Cybercrime Officers bei Interpol in Lyon allein im April dieses Jahres aus europäischen Großunternehmen darunter einem deutschen Konzern Hinweise auf sechs Fälle von Cloudnapping erhalten. Dabei verschaffen sich die Cybergangster über Trojaner und andere Schadsoftware Zugangsdaten zu den Servern der Cloud-Provider und blockieren durch Manipulationen binnen Sekunden Unternehmen den Zugriff auf deren eigene Daten. Für Stunden oder Tage bis das Lösegeld gezahlt ist. Egal, ob die Daten auf den Servern eines Unternehmens, im Rechenzentrum eines Cloud-Providers oder auf den Endgeräten der User gespeichert sind: Mit der zunehmenden Zahl von Angriffen aus dem Netz, so T-Systems- CEO Reinhard Clemens, sind Sabotage und Spionage zu einem eigenständigen Wirtschaftszweig geworden, der Unternehmen wie Gesellschaft bis ins Mark treffen kann. Die zunehmenden Cyberattacken auf Wirtschaft, Industrie und nicht zuletzt auf die nationale Sicherheit elektrisieren auch die Politik. So warnte Bundeskanzlerin Angela Merkel auf der diesjährigen Sicherheitskonferenz in München vor dem Wettrüsten im Internet und wies darauf hin: Cyberwar ist so gefährlich wie ein klassischer Krieg. Im vergangenen Jahr sabotierte die Schadsoftware Stuxnet die Steuerung von iranischen Nuklearanlagen. Der mutmaßlich von Geheimdiensten eingeschmuggelte Trojaner zeigt ein völlig neuartiges Bedrohungspotenzial auf, indem er industrielle Steuerungssysteme angreift, wie sie auch in vielen kritischen Infrastrukturen der Energiewirtschaft oder der Wasserversorgung enthalten sind. Prompt meldete die US-Sicherheitsfirma Symantec vor wenigen Wochen den mutmaßlich ersten Stuxnet-Nachfolger: Der Wurm Duqu zielt in die gleiche Richtung wie sein Vorgänger. Kontroll- und Steuerungssysteme von Industrieanlagen sind ebenfalls in den Mittelpunkt von Angriffen gerückt. Heimvorteil Europa Ob Cyberattacken oder Insider-Sabotage weitgehend unabhängig davon, aus welcher Richtung Unternehmensdaten fremde Einsichtnahme droht, registrieren internationale IT-Provider wie T-Systems ein zunehmendes Interesse ihrer Kunden an Europa. Deren Aufmerksamkeit weckt besonders das

10 10 bewegen ICT SICHERHEIT Fingerprint für die Finanz Informatik Um die Zugangsberechtigung ihrer Mitarbeiter zu IT-Anwendungen und Geschäftsdaten zu überprüfen, bietet die Finanz Informatik ihren Kunden eine starke Authentisierung mittels einer biometrischen Lösung von T-Systems an. Das Unternehmen ist der IT-Dienstleister der Sparkassen-Finanzgruppe, zu der unter anderem 429 Sparkassen mit deutschlandweit Arbeitsplatzsystemen zählen. Zusätzlich zu einem Passwort identifizieren sich heute schon Tausende Mitarbeiter beim Log-in auf einem USB-3D-Fingerprintscanner mit ihrem Fingerabdruck. Über die anwenderfreundliche, skalierbare Biometrielösung erfüllen die Unternehmen der Finanz branche die vorgeschriebenen Standards für erhöhte Sicherheit beim Zugriff auf ihre IT-Systeme. Kontakt: Links: hohe Datenschutzniveau innerhalb der EU und eine optionale Konzentration ihrer Datenbestände in europäischen Rechenzentren. Ein Punkt, der etwa Microsoft unlängst ver anlasste, die Partnerschaft mit T-Systems auszubauen, um den Kunden Softwareangebote wie Exchange und Sharepoint auch über deutsche Rechenzentren zur Verfügung zu stellen. Wie auch im Fall des Mineralölkonzerns Shell. Als einer der größten Micro soft-kunden Europas bezieht das niederländisch-britische Unternehmen Cloud-Computing-Lösungen wie die Multifunktionsplattform Sharepoint vom US-Softwarehaus. Gespeichert werden die Daten aber nicht bei Microsoft, sondern auf Servern von T-Systems. Denn bei der Telekom-Tochter treffen die Kunden die Auswahl ihres Serverstandorts und wissen so immer, wo ihre Daten gespeichert werden. Um mögliche Datenschutzverstöße und damit verbundene Bußgelder und Schadenersatzansprüche zu vermeiden, empfahlen die Datenschutzbeauftragten des Bundes und der Länder anlässlich ihrer 82. Konferenz am 30. September deutschen Unternehmen, ihre bestehenden Verträge mit Cloud-Anbietern zu überprüfen. Dabei sollten Unternehmen besonderes Augenmerk darauf legen, dass sie als Cloud-Anwender den deutschen Gesetzen entsprechend für die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen verantwortlich bleiben. Ein Punkt, der an Bedeutung gewinnt, sobald die Datenverarbeitung gegebenenfalls außerhalb der EU und des europäischen Wirtschaftsraums erfolgt. Denn Cloud-Anbieter, so die Datenschutzkonferenz, werden zur Erbringung der IT-Dienstleistungen oft Unteranbieter einbeziehen, etwa wenn deren Inanspruchnahme auch nur für einen kurzzeitig gestiegenen Bedarf an Rechenleistung in Betracht kommt. Auch in einem solchen Fall müssen deutsche Cloud-Nutzer laut der Konferenz ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweisen. Denn, so die Orientierungshilfe der deutschen Datenschützer wörtlich: In jedem Fall bleibt der Cloud-Anwender haftungsrechtlich für sämtliche Schäden verantwortlich, die der Cloud-Anbieter oder sein Unteranbieter den Betroffenen zufügen. Behörden und Regierungsstellen Ziel von Angriffen Weniger sind es Haftungsfragen als brandaktuelle und reale Risikoszenarien, die seit einigen Monaten die US-Behörden beschäftigen. Im Juli dieses Jahres drangen Hacker in die mutmaßlich gut geschützten Netze des US- Pentagons ein, stahlen vom Rechner eines Rüstungszulieferers streng geheime Daten über Flugzeugelektronik, Überwachungstechnik und Netzwerkprotokolle. In wessen Auftrag die Angriffe erfolgten, ist bis heute nicht öffentlich bekannt. Wohl eher keine Konkurrenten, sondern Cybergangster waren es auch, die im April dieses Jahres und noch einmal im Mai mehr als 100 Millionen Kundendaten vom Playstation-Netzwerk des Elektronikkonzerns Sony kopierten. Mutmaßlicher Schaden: 170 Millionen Dollar. Noch nicht eingerechnet die Entschädigungen aus einer Sammelklage verärgerter Kunden und der Imageverlust für Marke und Konzern. Ich glaube, Sie sehen, dass Cyberterrorismus eine globale Macht ist, räumte Sony-Chef Howard Stringer gegenüber Aktio nären ein, nachdem der Börsenwert des Unternehmens in Rekordgeschwindigkeit um 50 Prozent eingesackt war.

11 Mobile Datenkommunikation mit SiMKo 11 Ob in Regierungsstellen oder der öffentlichen Verwaltung, im Finanzsektor oder in der industriellen Fertigung für die Steigerung der Produktivität spielt in immer mehr Branchen eine Rolle, dass die Mitarbeiter nicht nur mobil arbeiten, sondern dabei auch sicher kommunizieren können. Für den verlässlichen Schutz vertraulicher Daten in ihrer mobilen Kommunikation nutzen 38 Organisationen des Bundes und seiner Ministerien den sicheren PDA SiMKo. Das von T-Systems gehärtete Endgerät bietet ausschließlich seinem individuellen Nutzer den hochsicher verschlüsselten Zugriff auf seine persönliche Daten und ermöglicht Regierungs- und Verwaltungsbediensteten, auch mobil auf ihre Kontakte, Kalenderfunktionen und s zugreifen zu können. Die gleiche Lösung nutzen bereits 50 Mitarbeiter der Geschäftsführung und oberen Führungsebenen der Sparkasse Pforzheim Calw. Die Lösung SiMKo ( Sichere mobile Kommunikation ) umfasst dabei Sicherheitsmaßnahmen, die sowohl Hardware als auch Software und den Betrieb der Smartphones vor Angriffen schützen. So betrifft die Verschlüsselung den Zugang zur Kundeninfrastruktur, die übertragenen Daten, das Betriebssystem und die auf den Endgeräten gespeicherten Daten. Darüber hinaus arbeiten SiMKo-Smartphones mit einer digitalen Identität, also Zertifikaten, die von einem Trustcenter bereitgestellt werden. Die Zertifikate werden auf einer besonders geprüften Krypto-Karte im Gerät gespeichert, das ohne Umwege über Fremdserver eine direkte Verbindung zu einem Behörden- oder Unternehmensnetz und den Geschäftsanwendungen aufbaut. Dabei ist jede Verbindung über einen VPN-Tunnel gesichert. So ausgestattet, ist SiMKo die einzige vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Lösung für eine sichere PIM-Datensynchronisation. Kontakt: michael.bartsch@t-systems.com Links: Fotos: istockphoto.com, fotolia.com Definitiv unfreiwillig wurde Sony durch einen einzigen Sicherheitsvorfall vorübergehend zum Übernahmekandidaten. Mitte Oktober erwischte es den Konzern zum dritten Mal. Wieder ging es den Hackern um die Nutzerkonten beim Spieledienst Sony Online Entertainment (SOE) und beim weltweiten Playstation Network (PSN). Immerhin konnte Sony diesmal viel schneller reagieren. Nur gingen verloren, bevor die Cyber-Abwehrstrategen des Unternehmens den Angriff stoppten. Allein in Deutschland registrierte das Bundeskriminalamt im vergangenen Jahr Angriffe via Internet, um an das Identitätsprofil von Usern zu kommen. Den Anstieg von 20 Prozent im Vergleich zum Vorjahr führen Experten vor allem darauf zurück, dass die Zahl mobiler Endgeräte zunimmt. Denn in nicht wenigen Fällen nutzten Hacker die immer breiter dargebotene Angriffsfläche, um sich mit einer von mobilen Endgeräten gestohlenen Identität in ein Firmennetz einzuloggen und auf vertrauliche Applikationen zuzugreifen. Zusätzlich haben Angreifer oft durch schlecht gesicherte Server, auf denen Sicherheits-Updates nicht eingespielt worden sind, leichtes Spiel. Vom Mitarbeiter zum Mittäter Mehr als 70 Prozent der Täter kommen einer Studie des Sicherheitsforums Baden-Württemberg zufolge aus dem eigenen Unternehmen und sind im Durchschnitt bereits zehn Jahre dort beschäftigt (siehe Kontrovers, Seite 34). Viele Unternehmen haben sich in der Vergangenheit zu lange auf Angreifer von außen, Industriespione oder Hacker, konzentriert, so der Telekom-Vorstand für Datenschutz, Recht und Compliance, Manfred Balz. Dabei sei das Potenzial der Innentäter lange unterschätzt worden. Denen werde es relativ leicht gemacht, im eigenen Unternehmen einen sehr großen Schaden anzurichten. Doch unter den Tätern, so Dieter Kempf, Präsident des deutschen Branchenverbandes BITKOM, seien nicht nur jene, die bewusst kriminell agieren. Immer häufiger würden Angestellte auch unwissentlich als Werkzeuge missbraucht. Das Problem mit kleinen Geheimnissen Um an Konstruktionspläne oder Produktionsdaten zu gelangen und dabei die perimetrischen Sicherheitswälle der Unternehmen einfach zu unterlaufen, ist ein kleiner Umweg für Hacker häufig viel zielführender. Etwa der zu den persönlichen Finanzdaten eines Entwicklungsingenieurs, zu dem außerehelichen (SMS-)Verkehr des Produktionsleiters mit seiner Affäre oder dem unschönen Dokumentenaustausch des eigenen Anwalts mit der Führerscheinstelle Stichwort Trunkenheitsfahrt. Völlig banal oder hochbrisant? Je höher der oder die Einzelne den Geheimhaltungsdruck bei einem sehr persönlichen little secret empfindet, desto größer ist das Risiko, dass er oder sie vom Opfer zum (Mit-) Täter für andere wird. Ob Laptop oder Smartphone auf dem privaten Device Abgelegtes mag für den einen normal und vor allem privat sein. Für andere ist es gerade deshalb extrem reizvoll. Taugt es im zweiten Schritt doch dazu, dem Ausgeforschten wenn schon nicht gleich die Daten für das Future-2/17-Projekt abzupressen, so aber zumindest die Zugangsdaten dorthin. So bestätigte Jörg Ziercke, Präsident des Bundeskriminalamts, bei der Vorstellung des BKA-Lagebilds Cybercrime 2010 im Juni dieses Jahres: Die Täter folgen dem Nutzungsverhalten der Anwender. Mobile Endgeräte werden

12 12 IT-Regelwerk speziell für Krankenhäuser Fotos: istockphoto.com, T-Systems Kliniken in Deutschland müssen lückenlos dokumentieren können, welcher Mitarbeiter welche Patienteninformationen bearbeitet oder auch nur eingesehen hat. Dafür nutzt das Berliner Krankenhaus Königin Elisabeth Herzberge eine SAP- Governance, Risk & Compliance -Lösung (GRC), die T-Systems in einem Pilotprojekt für die Branchenlösung IS-H (Industry Solution Hospital) entwickelt hat. Basis ist das Modul BusinessObjects Access Control, das SAP für Industrieunternehmen aber nicht für Kliniken schon als Standard anbietet. Die Telekom-Tochter hat diese Lücke jetzt geschlossen. Dafür wurden von den T-Systems-Experten alle Vorgaben für kritische Berechtigungen und sogenannte Funktionstrennungskonflikte in der IS-H-Lösung zusammengeführt und als Regelwerk in SAP BusinessObjects Access Control eingespielt. Aus den gemeinsamen Erfahrungen haben SAP und T-Systems ein GRC-Out sourcing-modell entwickelt, mit dem der ICT-Dienstleister demnächst für Krankenhauskunden eine zentrale Governance-Risk-&-Compliance- Plattform in seinen Rechenzentren bereitstellen kann. Damit können Kliniken remote, ohne eigene Installation, auf das GRC-Regelwerk zugreifen und ihrer Kontrollund Über prüfungspflicht, wie sie jedes Krankenhaus im Umgang mit sensiblen Patienten daten hat, deutlich einfacher nachkommen. Kontakt: Links: infiziert, um parallel zum PC auch an Daten und Inhalte von SMS und SMSbasierten Authentifizierungsverfahren zu gelangen. Alles eine Frage von Risikobewusstsein Allein soziale Netzwerke wie Facebook, Xing oder LinkedIn können wertvolle Informationen über Angriffsziele und deren personelles Umfeld liefern. Zwar lassen sich Profile vor ungewünschten Einblicken schützen, doch die wenigsten Social Networker wissen das. Und deren Gutgläubigkeit beschwört mitunter noch ganz andere Gefahren herauf. René Reutter, Leiter ICT-Sicherheit bei T-Systems: Eine klassische mit individuellem Zuschnitt reicht bei fehlendem Risikobewusstsein meistens schon aus, damit Hacker das Vertrauen von Mitarbeitern gewinnen. Gerade wenn es um die eigenen Hobbys oder Themen der Freizeitgestaltung geht, werden viele Menschen unvorsichtig. Hinter den unauffälligen Mails steckt das Ziel, präparierte Anlagen in der oder auf einer entsprechend modifizierten Webseite ( drive-by infection ) durch den Angeschriebenen nutzen zu lassen. Im selben Moment kann es bei fehlender Absicherung der Systeme dazu kommen, dass der User unwissentlich sogenannte Remote Administration Tools installiert und es dem Korrespondenzpartner dadurch ermöglicht, den Rechner von Command and Control -Servern aus fernzusteuern. Doch der Unternehmensberatung KPMG zufolge schult nur jedes vierte Unternehmen seine Mitarbeiter in Sicherheitsfragen und -technologien. Nur ein von drei Unternehmen hat überhaupt ein IT-Sicherheitskonzept, das wenigstens in der Theorie auch Mitarbeitern deren eigenes Angriffsrisiko vor Augen führen könnte. 37 Prozent der Firmen sichern ihre geschäftlichen Daten nicht täglich, sieben Prozent vor allem kleinere und mittlere Unternehmen praktisch nie in einem zusätzlichen Backup. Vielfach geht es Datendieben um Betriebsgeheimnisse und wettbewerbsrelevante Informationen und letztlich um Geld. Unternehmen, die milliardenschwere F&E-Daten zu schützen haben, Banken, die den Geldverkehr ihrer Kunden sichern müssen, Firmen, denen (mit intelligenter Schadsoftware hochgerüstete) Hacker gern wertvolle Kundendaten abphishen, werden sensibler. Und auch immer mehr Endverbraucher, die bis dato sorglos privateste Daten bei Facebook & Co. eingespeist haben, grübeln heute: Wo sind meine Daten eigentlich noch geschützt? Gute Frage. Denn während Internet-User Daten und Anwendungen auf Notebooks und PCs im Büro oder zu Hause durch Antiviren- oder Security- Software schützen, denken über die gleiche Schutzsoftware für Smartphones und Tablets nur die wenigsten nach. Nicht zuletzt deshalb, so Norbert Pohlmann, Professor am Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen, bieten unsere Daten immer breitere und vielfältigere Angriffsflächen (siehe Seite 32). Sicherheit in der Wolke Letztendlich geht es um den Schutz von Know-how, Informationen, Daten und Geschäftsprozessen. Darum, durch den Schutz vor Industriespionage und Geheimnisverrat auch die eigenen Entwicklungsvorsprünge abzusichern. Doch, so René Reutter, viele Firmen verfügen weder über das notwendige technische Know-how noch über die personellen Ressourcen, um ihre Netzwerke und ICT-Strukturen Tag und Nacht zu durchleuchten und zu überwachen. Aber nicht jeder Unternehmensvorstand will diese Schwäche wahrhaben. In nahezu jeder Firma geht Investitionen in mehr Sicherheit eine Kosten- Nutzen-Rechnung voraus, so die Beobachtung des IT-Sicherheitsforschers Dr. Sandro Gaycken. Das Problem sei, sagt der Wissenschaftler der FU Berlin, dass die Gefahren aus dem Netz den Verantwortlichen häufig diffus erscheinen, Kosten für die Aufrüstung der eigenen IT-Protektion jedoch sehr konkret (siehe Kontrovers, Seite 35).

13 bewegen ICT SICHERHEIT 13 Interview SECURITY ALS SERVICE ANBIETEN Hagen Rickmann, verantwortlich für den T-Systems-Geschäftsbereich Service, über Erfahrung mit Internetkriminalität, die Qualität von Sicherheitsdienstleistungen und compliancegerechte Lösungen. Herr Rickmann, was sind die konkreten Aufgaben des T-Systems- Geschäftsbereichs Service? Spätestens bei einem Security Incident merkt jeder Kunde: Entscheidend für den Betrieb seiner Unternehmens-IT ist nicht nur die Technik, die er einsetzt, sondern dass sie zuverlässig läuft. In diesem Sinne verantwortet der Geschäftsbereich Service alle Dienstleistungen gegenüber unseren Kunden, die deren Prozesse, ihre Qualität und die Einhaltung ihrer Kosten sicherstellen. Angefangen von der termintreuen und qualitätskonformen Lieferung der Services über die Verantwortung für das gesamte Angebotsportfolio und dessen Entwicklung durch innovative Lösungen bis zum Management von Transitions- und Transformationsprojekten. Welche Leistungen bietet T-Systems als führender ICT-Security- Provider an? Sicherheit hat viele Dimensionen. Unternehmen brauchen Lösungen in der gesamten Bandbreite von ICT-Security. Und die beginnt mit der Absicherung von Gebäuden und reicht über den Schutz von Netzen, Rechenzentren und immer mobileren Arbeitsplätzen bis zu rechtlichen Rahmenbedingungen. Oder denken Sie an den Schutz von Applikationen und Geschäftsprozessen das alles zählt zu unserem Portfolio an ICT-Security-Leistungen und wird unterstützt vom Beratungsangebot unserer Sicherheitsexperten. Und da haben besondere Priorität Compliance und Governance. Denn an vielen Schnittstellen der Datenverarbeitung ist es wichtig, was technologisch möglich ist, aber es ist auch entscheidend, was juristisch erlaubt ist. An der Einhaltung dieser rechtlichen Vorgaben orientieren sich unsere Lösungen. Welche Security-Lösungen waren für Ihre Kunden 2011 besonders wichtig? Laut Cybercrime-Lagebild des BKA nimmt Internetkriminalität jährlich um 20 Prozent zu. Zugleich steigt das Schadensvolumen um mehr als 60 Prozent. Und im Sicherheitsreport 2011 befürchten Entscheider über alle Branchen hinweg, dass Computerkriminalität das größte Risiko für ihre Organisation darstellt. Der Fokus der Unternehmen geht zunächst einmal dahin, ihre Firmenanwendungen abzusichern. Dazu gehören vor allem Lösungen, die zur Erkennung und Vermeidung solcher Vorgänge dienen. Da werden auch Aware ness-kampagnen und Coachings der Mitarbeiter immer wichtiger gerade wenn es um den Bereich Innentäter geht. Viele Unternehmen wissen gar nicht, dass in 70 Prozent aller Fälle von sogenanntem Know-how-Abfluss eigene Mitarbeiter oder unternehmensnahe Personen beteiligt sind. Wie beraten Sie weltweit agierende Kunden bei Sicherheitsfragen rund um Security und Cloud Computing? Wir beschäftigen mehr als 600 Mitarbeiter in unseren Professionell Services & Solutions (PSS), darunter Spezialisten in unserem CERT (Computer Emergency Response Team), die innerhalb von Minuten nach dem ersten Hinweis überall auf der Welt Schadsoftware, Trojaner & Co. bekämpfen, abwehren und unschädlich machen können. Da haben wir in den vergangenen Jahren aus Sicherheitsprojekten bei zahlreichen internationalen Kunden und darunter einige Global Player viel Know-how und Erfahrung gewonnen. Überall dort zum Beispiel, wo mit besonders sensiblen Daten umgegangen wird oder F & E extrem wett bewerbs relevante Daten hervorbringen in Verwaltungsorganisationen, wissenschaftlichen Einrichtungen und Zukunftsindustrien, aber auch in Unternehmen, in denen staatliche Interessen besonders geschützt werden müssen. Welche Herausforderungen sehen Sie in den kommenden Monaten für Security Services? Eine der größten Herausforderungen wird sein, Security als Service anzubieten. Weil Unternehmen sich immer weiter öffnen und kontinuierlich mehr Angriffsfläche bieten, wird der Bedarf dafür weiter steigen. Denken Sie an Cloud Computing und die steigende Zahl mobiler Endgeräte. Das können Unternehmen mit eigenen Ressourcen nicht mehr leisten. Darum investieren wir weiter in neue Cloud- und Kommunikationsdienste. So werden wir Security as a Service in unsere Angebote aufnehmen, als neuen Cloud-Dienst starten und auch Administrationsvorgänge und Authentisierung weiter vereinfachen. Das gilt übrigens und da sehen wir eine zweite große Herausforderung besonders für den Bereich Mobilkommunikation. Link: INTERVIEW: THOMAS VAN ZÜTPHEN An vielen Schnittstellen der Datenverarbeitung ist es wichtig, was technisch möglich ist, aber es ist auch entscheidend, was juristisch erlaubt ist. Hagen Rickmannn, Geschäftsführer Service T-Systems

14 14 Hochprozentige Sicherheit Auf die neueste Generation von Antiviren-Software für Server, Gateways und PC-Arbeitsplätze mit einem mehrstufigen Viren-Scanning setzt die Berentzen- Gruppe AG, einer der führenden deutschen Hersteller von Spirituosen und Erfrischungsgetränken. Für seine Server und Desktops nutzt das Unternehmen das Produkt Telesec SDS. Über die klassischen Antivirus- Funktionen hinaus werden damit unter anderem Spam-Abwehr-Methoden eingesetzt, und jeder Desktop erhält ein Firewall-System mit einer eingebauten Intrusion Detection in Echtzeit. Eine Softwarelösung, die so Berentzen-IT-Leiter Heinz-Hermann Thyen uns höchstmögliche Sicherheit bietet, zu reduzierten Kosten und alles in einem System, das sich bequem zentral verwalten lässt. Kontakt: Links: Doch nicht überall wird am falschen Ende gespart. Während zuletzt die IT-Budgets in vielen Bereichen gekürzt wurden, wuchsen die weltweiten Investitionen in ICT-Sicherheit laut den Marktforschern Frost & Sullivan selbst im Krisenjahr 2009 um rund zwei Prozent auf 50 Milliarden Euro. Seither beobachten die Researcher einen weiteren Anstieg um jährlich sechs bis sieben Prozent. Problemgerechte Weitsicht Um die eigene Produktivität zu erhöhen und am Markt wettbewerbsfähig zu bleiben, stellen sich CEOs und CIOs vielerorts durchaus die richtigen Fragen. Wie kommt unser Unternehmen an dynamisch zu nutzende IT-Ressourcen? Wie arbeiten wir zukünftig mit unseren Zulieferern, Partnern und Kunden zusammen? Wie können wir unseren Mitarbeitern mobile Anwendungen zur Verfügung stellen, ohne in Konflikt mit der eigenen Governance zu geraten? Ob Cloud Computing, Collaboration oder Mobility aktuelle technologische Entwicklungen prägen das Marktumfeld in nahezu allen Branchen. Allein, von diesen Marktanforderungen schlagen zu wenige Executives die Brücke zu den Sicherheitsbelangen. Beispiel Cloud Computing Das dynamische Bereitstellen von IT-Ressourcen aus der Cloud ist aktuell das Topthema bei IT- und Business-Entscheidern. Sie nutzen IT-Leistungen bedarfsgerecht, variabilisieren ihre Kosten und vermeiden, teure Kapazitäten für maximale Systemlast vorzuhalten. Das Beratungshaus Forrester prognostiziert eine weltweite Marktentwicklung für Cloud-Services von aktuell 41 Milliarden Dollar auf mehr als 240 Milliarden Dollar am Ende dieser Dekade. Doch auch wenn Unternehmen ihre Daten und IT-Anwendungen einem Cloud-Provider anvertrauen, bleibt die gesetzliche Verantwortung für das Einhalten von Datenschutz und Compliance beim Unternehmen. Schon aus diesem Grund sollten Verantwortliche eine klar definierte, strukturierte und ganzheitliche Governance, Risk & Com pliance -Strategie stellen, so der IT-Analyst Bernt Ostergaard von Current Analysis (siehe Interview Analyze IT, Seite 16). Wichtig sei, so der Experte, Bedrohungen rechtzeitig zu erkennen und Angriffe in Near Real-Time abzuwehren. Dafür müssten Security-Verantwortliche Sicherheitsaspekte schon bei der Entwicklung von Geschäftsprozessen berücksichtigen. Denn, so Oster gaard: Die Vorstellung, dass man Sicherheit im Nachhinein einbauen kann, ist schlichtweg falsch. So schließt etwa ein Identity & Access Management rollenbasierte Berechtigungen und Zugriffsverfahren ein. Neben den Dynamic Services setzt zum Beispiel T-Systems selbst für die Bereitstellung von IT-Sicherheitslösungen heute schon auf Cloud-Technologien und bietet sie als Managed Security Services oder Identity as a Service an. Dabei werden in den eigenen Rechen zentren kundenspezifische Anwendungen und Daten durch Virtual Local Area Networks sauber voneinander getrennt und verschlüsselt. Neben der Standortwahl des Rechenzentrums sichert beim Cloud Computing auf Wunsch eine sogenannte Twin-Core-Strategie Daten und Anwendungen in einem parallelen Rechenzentrum ab. Die Synchronisa tion findet im laufenden Betrieb automatisch statt. Fällt am Hauptstandort ein Server aus, übernimmt der Zwilling nahtlos den Betrieb. Das Geschäft läuft störungsfrei weiter. Zudem sind die Netzverbindungen zu diesen Standorten doppelt ausgelegt, und die Daten werden verschlüsselt übertragen. Der gesamte Datenbestand, das höchste Gut in der IT, steht jeder-

15 bewegen ICT SICHERHEIT 15 Vertrauen ist gut, Cloud Security ist besser Standort entscheidend. In den europäischen Rechenzentren von T-Systems (Foto) schützen auch internationale Unternehmen gern ihre Daten vor unberechtigtem Zugriff. Fotos: Wolfram Scheible/Deutsche Telekom AG, istockphoto.com Das tschechische Unternehmen Software602 ist spezialisiert auf Dienstleistungen und Anwendungen rund um die Themen Prozessdigitalisierung, Onlineformulare und E-Government. Der IT-Dienstleister gehört zu den führenden Anbietern in Mitteleuropa und blickt auf langjährige Erfahrung speziell im Bereich E-Government zurück. Von den Technologien des Unternehmens profitieren bereits Millionen von Bürgern durch täglich sichere, elektronisch verifizierte Transaktionen. Angeschlossen sind gegenwärtig Anwender an 7000 Standorten. Das IT-Unternehmen betreibt das Portal das EU-weit von mehreren hundert Kunden aus dem öffentlichen und privaten Sektor genutzt wird. Das Portal ermöglicht es Anwendern, mit elektronischen Dokumenten zu arbeiten ganz ohne spezielle Vorkenntnisse. Zu den Leistungen gehören die Verifizierung digitaler Signaturen, Zeitstempel, PDF-Konvertierungstools und elektronische Freigabeprozesse. Dank der Unterstützung von Smartphones und Tablet-PCs kann das Bearbeiten von Dokumenten von überall her erfolgen auch von unterwegs. Das SecuStamp-Portal kann in alle gängigen IT-Anwendungen integriert werden, zum Beispiel ERP, CRM, DMS oder Workflow-Management. Die entsprechende Infrastruktur wird im Prager T-Systems-Rechenzentrum betrieben als Teil einer Hybrid-Cloud-Lösung. Sicherheit, Skalierbarkeit und Zuverlässigkeit auf Grundlage verbindlicher SLA sind dadurch garantiert. Damit kann sich Software602 weiterhin auf sein schnell wachsendes, dynamisches Kerngeschäft konzentrieren. Kontakt: fi l i p. s e v c i t - s y s t e m s. c z Link: zeit in beiden Rechenzentren zur Verfügung. Durch definierte Servicelevels und hohe Verfügbarkeiten hat der Kunde die permanente Kontrolle über die eigenen Daten und Geschäftsapplikationen auch in einer virtualisierten Umgebung. Beispiel Collaboration Daten- und Informa tions sicherheit, aber auch die Sicher heit von Geschäftsprozessen spielen in einer unternehmensübergreifenden vielfach internationalen Zusammenarbeit eine entscheidende Rolle. Ohne ein umfassendes Sicherheitskonzept mit Rechtemanagement und sicheren Identitäten, die den Zugang zu Systemen und Informationen regeln, droht der Verlust von Daten, Know-how und Geschäftsgeheimnissen. Zur Speicherung empfehlen sich Secure Data Container, eine Datenverschlüsselung auch während der Übertragung und auf den beteiligten Endsystemen. Den sicheren Zugriff bieten rollenbasierte Lösungen für Identity & Access Management. Denn mehr und mehr wollen Mitarbeiter unabhängig von ihrem Aufenthaltsort per Chat oder Wikis, Videokonferenzsystemen oder internen Social Media Tools datensicher miteinander kommunizieren und arbeiten. Die Zukunft gehört ICT-Security-Systemen, die eine transparente und offene Zusammenarbeit sicher machen. Beispiel Mobility Mobile Datenträger, wie sie nicht zuletzt der Trend zum Bring your own Device in die Unternehmen spült, sind laut einer E-Crime-Studie von KPMG zu Computerkriminalität in der deutschen Wirtschaft die leichtesten Angriffspunkte in der Informations- und Kommunikationstechnik. Durchgängige Security-Lösungen mit rollenbasierten Zugriffskonzepten helfen CIOs, die ständig wachsende Zahl und Vielfalt immer neuer Endgeräte zu integrieren und zuverlässig zu managen. Nicht zuletzt müssen die Verantwortlichen dabei zunehmend persönliche IT-Präferenzen der Mitarbeiter berücksichtigen. Mit MoWS (Mobile Workplace Services) können sie Geräte identifizieren, User authentifizieren und im Zweifelsfall über Dienste wie Remote Wipe verdächtige Geräte abschalten, so Hagen Rickmann, Geschäftsführer Service bei T-Systems. Der Service gewährleistet, dass Daten wenn sie auf einem Gerät bleiben dort nur verschlüsselt abgelegt werden. Das Gros der von Mitarbeitern genutzten Daten und Anwendungen wird indes gar nicht auf dem Gerät gespeichert, sondern ausschließlich in Servern des Cloud-Providers. So wird das Mitarbeiter- Device auf Basis zweier Nutzerprofile zur Schnittstelle auch zwischen privaten und businessgenutzten Cloud-Anwendungen, die zukünftig vom Dienstleister virtualisiert scharf voneinander getrennt bleiben. Absolute Sicherheit, so T-Systems-CEO Reinhard Clemens, gibt es nicht. Aber eine Vielzahl leicht einzusetzender Hindernisse, die Hackern und Spionen das Eindringen in fremde Netze sehr schwierig machen. Den tokenbasierten Passwortschutz One Time Pass (OTP) zum Beispiel. Oder biometrische Authentifizierungslösungen, wie sie etwa der IT-Dienstleister der Sparkassen-Finanzgruppe heute schon bei Tausenden seiner Mitarbeiter einsetzt (siehe Seite 10). Verifizierungstools zur Prüfung digitaler Signaturen etwa beim tschechischen Spezialisten für elektronisches Dokumentenmanagement Software602 oder das von T-Systems entwickelte System für sichere mobile Kommunikation SiMKo, wie es neben der Bundesregierung auch immer mehr Firmen einsetzen: von Industrieunternehmen bis hin zu Finanzinstituten wie der Sparkasse Calw Pforzheim. Zahlreiche Lösungen für Enterprise Security und Business Protection an

16 16 bewegen ANALYZE IT INTERVIEW EIN UNTERNEHMEN IST KEINE INSEL Bernt Ostergaard, Research Director IT Services bei Current Analysis, über einen ganzheitlichen Ansatz in Sachen IT-Sicherheit, die Voraussetzungen für ein reibungsloses Zusammenspiel mit externen Partnern und warum bei der Auswahl externer Dienstleister deren Gesamtportfolio entscheidend ist. INTERVIEW Foto: privat Herr Ostergaard, welche Fragen stehen bei Ihnen ganz am Anfang, wenn Sie die IT-Sicherheit eines Unternehmens analysieren? Zu Beginn aller Überlegungen steht eine klar definierte, strukturierte und ganzheitliche Governance, Risk & Compliance -Strategie (GRC). Das setzt eine von Anfang an sehr enge Abstimmung mit der Geschäftsführung beziehungsweise dem Vorstand voraus. Im ersten Schritt sollten präzise Maßnahmen herausgearbeitet werden, die für die Sicherheit aller Unternehmenswerte und Businessprozesse relevant sind. Anschließend folgt eine Priorisierung nach Wichtigkeit und Wertigkeit. In dieser Rangfolge kommt man nicht umhin, die bereits bestehenden Sicherheitsmechanismen genauer unter die Lupe zu nehmen. Vor allem muss man sich vergegenwärtigen, wie diese Bausteine zusammenspielen und wie sie die einzelnen Businessprozesse im Unternehmen unterstützen. Mich erstaunt immer wieder, welche Budgets Unternehmen dafür ausgeben, ihre Schnittstellen nach außen zu sichern. Auf der anderen Seite fehlen dann häufig die Mechanismen, bereits aufgetretene Verstöße punktgenau zu identifizieren. So wichtig wie die eigenen Abwehrmechanismen ist es, Bedrohungen rechtzeitig zu erkennen und zwar dann, wenn sie eintreten, oder allerspätestens kurz danach. Nur eine Detailanalyse kann hier die Grundlage weiterer Überlegungen und Maßnahmen sein. Datenanalyse und Log-Überwachung unterstützen dabei, Angriffe zu erkennen und abzuwehren das alles in Near Real-Time. Sobald eine Sicherheitslücke erkannt wird, muss sie umgehend behoben werden. Das kann allerdings Wochen oder sogar Monate in Anspruch nehmen. Es ist deshalb unabdingbar, Sicherheitsaspekte schon bei der Entwicklung von Geschäftsprozessen zu berücksichtigen. Die Vorstellung, dass man Sicherheit im Nachhinein einbauen kann, ist schlichtweg falsch. Worauf müssen Unternehmen achten, wenn sie ihre IT sicherer machen wollen? Zunächst einmal: Das Thema Sicherheit muss als Business Value betrachtet werden. Sicherheit muss das Unternehmen auch wirtschaftlich voranbringen, nicht behindern. Dazu gehört, dass Sicherheitsmaßnahmen die alltäglichen operativen Arbeitsprozesse nicht negativ beeinträchtigen dürfen und zum wirtschaftlichen Erfolg des Unternehmens beitragen. Drei Schlüsseltrends kommen heute auf Unternehmen zu. Erstens: mobiles Arbeiten, bei dem Mitarbeiter Fernzugriff zu allen relevanten Ressourcen benötigen auch von unterwegs. Zweitens: Mitarbeiter nutzen immer öfter ihre eigenen Endgeräte auch in der Arbeitswelt. Darauf haben Unternehmen kaum Einfluss. Gleichzeitig sind Unternehmen dazu verpflichtet, die Einhaltung von Sicherheitsstandards zu garantieren und die entsprechenden Zugriffsrechte klar zu definieren. Zu guter Letzt als unmittelbares Ergebnis des Einsatzes von Virtualisierung und Cloud Computing sind Anwendungen und Daten heutzutage vielfach überall verstreut und werden nicht mehr wie früher zentral bereitgehalten. Inzwischen ist die Speicherung außerhalb der firmeneigenen Netzwerkumgebung schon gang und gäbe. Diese Entwicklungen gilt es zu berücksichtigen. Entsprechend müssen Unternehmen ihre GRC-Ansätze überdenken und neu ausrichten. Was spricht aus Sicht eines Unternehmens dafür, die eigene IT-Sicherheit externen Anbietern anzuvertrauen? Im angelsächsischen Raum sagt man: No company is an island. Die globalisierte Welt ist ohne internationale Arbeitsteilung nicht mehr vorstellbar und das Thema Sicherheit macht da keine Ausnahme. IT- Sicherheit hat eine universelle Relevanz. Hinzu kommen permanente und rasche Veränderungen sowie die rasant wachsende Anzahl und Verschiedenartigkeit von Angriffen. Ein externer Security-Partner ist als Spezialist auf diesem Gebiet in der Lage, Unternehmen vor solchen Bedrohungen nachhaltig zu schützen. Zum Beispiel, indem er Instrumente bereitstellt, die eine höchstmögliche interne Sicherheit garantieren und die insbesondere vor Denial-of-Service-Angriffen (DDoS) schützen. Solche und ähnliche Aufgaben können oder wollen viele Unternehmen oft nicht selbst in die Hand nehmen und konzentrieren sich lieber auf ihre unternehmenseigene Kernkompetenz. So gesehen, kann ein Outsourcing dieser sicherheitsrelevanten Aufgaben durchaus sinnvoll sein. Wenn ich zum Beispiel ein Unternehmen wie T-Systems danach frage, welche Sicherheitsstandards es einsetzt, übergibt man mir eine Liste, auf der mindestens 25 unterschiedliche Normen verzeichnet sind von Revision und Rechenzentren über Authentifizierung bis zu Identity Management. Ein einzelner Kunde wäre niemals in der Lage, sämtliche Anforderungen zu erfüllen. Das kann nur ein ausgewiesener IT-Provider leisten. Es gibt eine Vielzahl großer, international tätiger IT-Provider im Bereich Cloud Computing. Welche Bedeutung spielt die Größe eines solchen Providers ganz besonders in Bezug auf die Sicherheit seiner Services? Ohne Frage spielt die Größe des Anbieters eine wichtige Rolle. Das hat damit zu tun, dass nur ein Pro vider mit entsprechendem Gewicht in der Lage ist, permanent in die neueste Virtualisierung und Cloud-Service-Technologie zu investieren. Das gilt auch für sämtliche Sicherheitsleistungen, die damit zusammenhängen, insbesondere für das Identity & Access Management. Größer bedeutet aber nicht zwangsläufig besser. Viel wichtiger als die Größe des Unternehmens ist sein Gesamtportfolio, speziell was Cloud Computing angeht. Gibt der Provider zum Beispiel eine überzeugende Antwort auf die Frage: Erfüllen Sie alle unserer branchenspezifischen Anforderungen? Es gibt noch zwei weitere Schlüssel kriterien, auf die ich bei der Auswahl achten würde: weltweite Präsenz des IT-Providers und der Standort seiner Rechenzentren. Wo sehen Sie zukünftige Entwicklungschancen im Markt für Sicherheitsleistungen? Auf welchen Gebieten erwarten Sie das stärkste Wachstum? Aktuell sehen wir viel Bewegung auf dem Markt der sogenannten Big Data Analytics. Dabei geht es um die Möglichkeit, sehr unterschiedliche Zusammenstellungen von Daten zu analysieren und herauszufinden, wie sie miteinander korrelieren. Dieser

17 bewegen ICT SICHERHEIT 17 Twin-Core-Strategie für Hochsicherheits-Hosting top secret top secret Die Annahme, dass man Sicherheit im Nachhinein einbauen kann, ist schlichtweg falsch. Bernt Ostergaard, Research Director Current Analysis Ein hochsicheres Informationssystem ist für das Wertpapiermanagement der Unicredit-Tochter Pioneer Investments in Tschechien unerlässlich. Finanzielle Transaktionen, die auf dem weltweiten Börsenmarkt rund um die Uhr durchgeführt werden, erfordern es, Anwendern eine maximale Ver fügbarkeit ihrer zumeist streng vertraulichen Daten zu gewährleisten. Sowohl das System selbst als auch der Zugriff durch Benutzer müssen zu jedem Zeitpunkt optimal geschützt sein. Die Implementierung strenger Richtlinien zur physischen Verfügbarkeit der IT-Infrastruktur sowie die Verwendung der technisch hochqualifizierten verschlüsselten Kommunikation mit Anwendern sind dabei selbstverständlich. T-Systems hostet die Pioneer-Anwendungen in zwei unabhängigen Datenzentren, die den Zugriff auf die kritischen Anwendungen auch im Notfall unabhängig voneinander über beide Standorte sicherstellen. Dabei beinhaltet die Lösung eine verschlüsselte Ethernet- Datenverbindung zwischen beiden Datenzentren und dem LAN des Kunden, gesichert durch eine weitere unabhängige Internetroute. Zusätzliche Sicherheit bietet eine vorbereitete Datenverbindung zum alternativen Backup-Kundenstandort, der ohne wesentliche Einschränkungen Zugriff auf alle wichtigen gehosteten Systeme und Anwendungen gewährleistet. Kontakt: Link: Bereich ist deshalb stark im Kommen, weil Unternehmensgrenzen immer mehr verschwimmen und IT-Abteilungen sich damit konfrontiert sehen, eine immer größere Anzahl verschiedener Endgeräte und mobiler User unter einen Hut zu bringen. In der Konsequenz steigen die Datenmengen, die ein Unternehmen verarbeiten können muss, enorm und sie werden tagtäglich größer. Big Data Analytics, manchen auch als SIEM (Security Information and Event Management) bekannt, bildet klassisches Kundenverhalten ab. Bei Abweichungen vom allgemeingültigen Muster und damit Hinweisen auf eine mögliche Bedrohung schlägt das System Alarm. Auch hier zeigen sich die Vorteile, wenn man Sicherheitsexperten von außen rechtzeitig einbindet. Diese externen Spezialisten sind in der Lage, Datenströme und verhaltensrelevante Ereignisse quer über alle möglichen Netzwerke und User hinweg zu analysieren. Gerade was Cloud Computing betrifft, muss man hier sehr wachsam sein. Viele CIOs erwarten eine Auslagerung der unternehmenseigenen IT in die Wolke von bis zu 35 Prozent innerhalb der nächsten beiden Jahre. Eine solche Entwicklung bedingt zwangsläufig ein intelligentes Identity and Authentification Management und hier gibt es noch viel zu tun. INTERVIEW: THOMAS VAN ZÜTPHEN Kontakt: Link: unterschiedlichsten Fronten des Cyberkriegs machen Netzkriminellen das Leben zunehmend schwerer. Dabei reichen die Maßnahmen von der Verschlüsselungstechnik bis zum leistungsstarken Security Information and Event Management (SIEM), das auf Basis von Echtzeitforensik, künstlicher Intelligenz und modernsten Data-Mining-Technologien vorbeugende Maßnahmen und wirksame Gegen schritte für Netzattacken findet (siehe Reportage ab Seite 26). Und die Lösungen treffen augenscheinlich auf einen Markt, der dringend auf sie gewartet hat. So sehen IT-Manager Zuwachsraten von 53 Prozent bis 2013 für digitales Rechtemanagement, Risk & Compliance Tools & Co. Darüber hinaus ist auch die Standortfrage ein kritischer Erfolgsfaktor. Denn nicht nur deutsche IT-Experten, so Reinhard Clemens, fordern schon lange und zu Recht eine nach den strengen deutschen Datenschutzrichtlinien umgesetzte Cloud- Lösung. Der T-Systems-CEO unterstützt den von der Bundesregierung angestoßenen Nationalen Plan zum Schutz kritischer Informationsinfra strukturen auch, weil ICT für die Volkswirtschaft so wichtig ist wie Strom, Wasser und Gas. Damit sei Clemens der erste deutsche Topmanager, der sich überhaupt öffentlich für Patriotismus in der IT-Industrie stark macht, lobte unlängst das Magazin Wirtschaftswoche die vom T-Systems-CEO ausgelöste heftige Debatte über ein europäisches Sicherheitsbetriebssystem. Kontakt: Links: THOMAS VAN ZÜTPHEN

18 18 erfahren KONTROVERS ICT SICHERHEIT 360 GRAD ICT-SICHERHEIT Cloud Computing, mobiles Arbeiten und Collaboration erhöhen Produktivität und Wettbewerbsfähigkeit. Unternehmen dürfen sich daher trotz zunehmender Cyberkriminalität nicht abschotten. Mit einem ganzheitlichen Sicherheitskonzept schützen sie Infrastruktur, Anwendungen, Daten und ihre Kommunikation durch einen dreifach gesicherten Korridor mit kontrolliertem Zugang. ICT-INFRASTRUKTUREN SCHÜTZEN Business Protection Gefahren erkennen und bewerten (ICT Infrastructure Security) Oftmals wissen Unternehmen nicht, dass sie Opfer einer Cyberattacke waren. Erst wenn sie eindeutige Schäden feststellen, ergreifen sie Gegenmaßnahmen. Ein Security Information and Event Management (SIEM) übernimmt die Aufgaben eines IT-Wachschutzes rund um die Uhr. Es findet auf Basis von Echtzeitforensik, künstlicher Intelligenz und Data-Mining-Technik vorbeugende Maßnahmen und wirksame Gegenschritte für Netzattacken. Es bewertet Risiken aus Sicht der IT, macht Angriffsversuche transparent und entwickelt Kontrollinstrumente, mit denen sich Gefahren und Lücken frühzeitig erkennen lassen. DATEN UND Datenschutz in der Wolke (ICT Infrastructure Security) In der Private Cloud profitiert ein Unternehmen von allen Sicherheitsmaßnahmen wie beim klassischen Outsourcing. Da im Cloud- Computing-Rechenzentrum mehrere Unternehmen IT-Ressourcen von denselben Rechnern beziehen, muss verbürgt sein, dass niemand an die Informationen des anderen kommt. Daten und Anwendungen der einzelnen Kunden sind strikt voneinander getrennt. Zu diesem Zweck erhält jeder Auftraggeber für sein Unternehmen einen separaten Zugang zum Rechenzentrum. Auch der Datenschutz muss höchsten Anforderungen entsprechen. Daten in Rechenzentren innerhalb der EU sind durch die europäischen Datenschutzvorschriften besonders geschützt. Illustrationen: Sascha Bierl Mobile Devices sichern (ICT Infrastructure Security) Mobile Datenträger wie Notebook, Smartphone und Tablet-PC sind die am leichtesten angreifbare Informations- und Kommunikationstechnik. Mobile Mitarbeiter greifen unterwegs auf Unternehmensnetze zu, nutzen Geschäftsanwendungen oder speichern Dokumente auf ihren mobilen Festplatten. Zunehmend werden elektronische Identitäten von Smartphones gestohlen, um damit illegal in Firmennetze einzudringen. Für Smartphones und Tablets muss deshalb eine besondere Sicherheits-Policy gelten: Schutz vor unberechtigter Inbetriebnahme mittels PIN/Passwort, die automatische Gerätesperre bei Inaktivität, eine regelmäßige Softwareaktualisierung sowie die Verschlüsselung sensibler Daten und im Notfall das Remote-Löschen der Daten. Von Vorteil ist, wenn die genutzten Daten und Anwendungen nicht auf dem Gerät, sondern ausschließlich im sicheren Rechenzentrum des eigenen Unternehmens oder eines Cloud-Providers gespeichert werden. Best Practice 03 l 2011

19 APPLIKATIONEN KNOW-HOW UND KOMMUNIKATION SICHERN Business Enablement 17 Gegen Innentäter schützen (Identity & Access Management) Fast jedes fünfte Unternehmen hat bereits einen Datenmissbrauch durch Innentäter entdeckt. Trotzdem unterschätzt die Wirtschaft das Risiko durch Insider noch immer. Wer aber Zugriff auf unternehmenskritische Informationen hat, sie ändern oder sogar auslesen darf, könnte aus unterschiedlichen Gründen Interesse an einem Missbrauch von IT-Systemen und Daten haben. Dagegen können sich Unternehmen schützen, indem sie das Need to know -Prinzip anwenden: Jeder Mitarbeiter darf nur die Software nutzen und auf die Daten zugreifen, die er für seine Arbeit benötigt. Solche Rollen und Rechte für Anwendungen und Datenzugriffe lassen sich mit rollenbasierten Zugangssystemen festlegen. Grenzüberschreitend zusammenarbeiten (Collaboration) Sich gegen die Außenwelt abzuschotten hat mit der heutigen Wirtschaftsrealität wenig zu tun. Produkte entstehen in Teamarbeit, an der sowohl interne als auch externe Mitarbeiter, Partner und Lieferanten beteiligt sind. Standort- und unternehmensübergreifende Teams können in besonders geschützten Datenräumen zusammenarbeiten. Zutritt bekommen nur eindeutig identifizierbare Personen, die sich mit Passwörtern oder biometrischen Zugangskontrollen gegenüber dem System authentifizieren. Zur Speicherung empfehlen sich Secure Data Container, eine Datenverschlüsselung während der Übertragung und auf den beteiligten Endsystemen. GESCHÄFTSPROZESSE SICHER MACHEN Business Integration Risiken managen (Governance, Risk & Compliance) Unternehmen müssen Know-how, Daten und Geschäftsprozesse schützen. Sie sind zur Einhaltung gesetzlicher Vorschriften verpflichtet und müssen ihre Geschäftsrisiken minimieren. ICT-Sicherheit, Risikomanagement und Compliance gehören daher zusammen. Bilanzgesetze wie der US-amerikanische Sarbanes-Oxley Act und SAS70 oder Normen wie ISO sind ohne ausreichende ICT-Sicherheit nicht zu erfüllen. Auch branchenspezifische Regelungen wie MARisk aus dem Finanzsektor oder das Energiewirtschaftsgesetz (EnWG) spielen eine Rolle. IT-Manager sehen daher Zuwachsraten von 53 Prozent bis 2013 für digitales Rechtemanagement sowie Risk & Compliance Tools. Sicherheitsbewusstsein schärfen (Security Strategy & Awareness) Firewall, Spamfilter oder Virenschutzprogramme allein greifen zu kurz. Sicherheitslücken entstehen aus Unkenntnis oder aus mangelndem Problembewusstsein. Daher beginnt ICT-Sicherheit in den Köpfen. Unternehmen müssen mit Aufklärungskampagnen und Trainings Management und Mitarbeiter auf den Kampf gegen Cyberwar und IT-Angriffe einschwören. Alle Mitarbeiter sollten ein Grundverständnis für Informationssicherheit haben und Gefahren einschätzen können. Weiterhin gilt es, eindeutige Prozesse zu definieren, an die sich jeder zu halten hat. Diese Sicherheitsrichtlinien und -vorgaben sind nur dann wirksam, wenn Unternehmen ihre Mitarbeiter hierfür motivieren und Fälle von Verstößen konsequent ahnden. Kontakt: Links: Best Practice 03 l 2011

20 20 erfahren ALLIANZ Moskau Polen Warschau Russland SICHERES SPRACH-DATEN- NETZWERK AUF MPLS-BASIS Tschechien Prag Bratislava Slowakei Kiew Ukraine Zagreb Ungarn Kroatien Budapest Rumänien Bukarest Sofia Bulgarien Lesen Sie hier wie einer der größten Versicherungskonzerne weltweit seine heterogene IT-Landschaft harmonisiert, wie die Allianz in Mittel- und Osteuropa alle Standorte sicher miteinander verbindet, wie internationale Tochterunternehmen trotz unterschiedlicher Datenschutzgesetze compliancegerecht arbeiten.