Informations - Trends, Lösungen und Innovationen. Safer Internet Day jeder kann das netz sicherer machen! SYMANTEC IS SECURITY.

Transkript

1 Februar 2010 Informations - Sicherheit Trends, Lösungen und Innovationen IT-Sicherheit Entwicklung 2010 Nacktscanner, E-Ausweis, Smart Cards was nutzen sich wirklich? BA.004_Financial Times_Security_Ad_PDFx1A_amended.pdf 2/2/10 10:27:20 Safer Internet Day jeder kann das netz sicherer machen! Cloud Computing Vor- und Nachteile SYMANTEC IS SECURITY. symantec.com/everywhere Copyright 2010 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec Logo ist eine Marke oder eingetragene Marke der Symantec Corporation oder ihrer verbundenen Unternehmen in den USA und in anderen Ländern Anzeigensonderveröffentlichung - Eine Zeitung produziert von Mediaplanet

2 2 informationssicherheit Dies ist ein unabhängiges Produkt von Mediaplanet Prof. Dieter Kempf, Mitglied des Präsidiums BITKOM - Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. Vorstandsvorsitzender von Deutschland-sicher-im-Netz IT-Sicherheit geht alle an Der digitale Graben öffnet sich weiter. Und er verläuft nicht mehr allein zwischen jungen und alten Anwendern, sondern zwischen den Unbekümmerten und den Übervorsichtigen. Die einen geben ohne Bedenken ihr ganzes Leben im Web preis, die anderen machen weder Online-Banking noch Internet- Shopping aus Angst, ausgespäht zu werden. Passend zum heutigen Safer Internet Day der Europäischen Union bewegt das Thema (IT-)Sicherheit die Öffentlichkeit in all seinen Facetten. Es geht um den Schutz von Verbrauchern, von Unternehmen und staatlichen Einrichtungen. Vor diesem Hintergrund richten BITKOM und das Verbraucherschutzministerium ihre gemeinsame Jahreskonferenz aus. Die Kernfrage der Veranstaltung lautet: Wer trägt die Verantwortung für Sicherheit und Datenschutz im Netz? Die Antwort auf diese Frage ist einfach: alle Beteiligten Anbieter, Nutzer und der Staat. Nur wenn jeder seinen Beitrag leistet, können die zunehmenden Risiken eingedämmt werden. Für die Anbieter gilt: Die Sicherheit der IT-Produkte und -Dienste muss weiterhin laufend verbessert werden. Sicherheit muss Grundbestandteil der Entwicklung von Software und Geräten sein, statt sie erst nachträglich mit hohem Aufwand zu implementieren. Viele Kunden erwarten und honorieren hohe Sicherheitsstandards. Außerdem müssen die Kompetenz und Eigenverantwortung der Nutzer gestärkt werden. Nach einer BITKOM-Umfrage nutzen nur zwei Drittel der Internet-User eine Firewall. Wer sein System nicht sichert, dessen Computer wird schnell zur Bedrohung für andere Nutzer, speziell für Geschäftspartner, Kollegen, Freunde und Bekannte. Opfer können unwissentlich zu Tätern werden: wenn etwa der eigene Rechner von Hackern mit Viren infiziert wird und später als Teil eines so genannten Bot-Netzes Server von Unternehmen oder Behörden lahmlegt. Der Staat wiederum kann die Sicherheitsforschung unterstützen. Vor allem sollte er seine Ermittlungsbehörden besser ausstatten. Auch das Zusammenspiel von Staat und Wirtschaft bei der Bekämpfung der Cyber-Kriminalität ist verbesserungswürdig. Dabei gilt der Grundsatz: Nur wenn die Anwender den digitalen Angeboten grundlegend und dauerhaft vertrauen, wird die Erfolgsgeschichte der IT und des Internets weitergehen. Nur dann können Staat und Gesellschaft von den effizienten Prozessen, Dienstleistungen und Produkten umfassend profitieren. Wer einmal Opfer von Internet- Kriminalität geworden ist, wird den neuen Technologien langfristig mit großer Skepsis begegnen. Vertrauen wird dadurch erschöpft, dass es in Anspruch genommen wird, soll Bertolt Brecht einmal gesagt haben. Lassen wir uns gemeinsam daran arbeiten, dass dieser Ausspruch für die IT- und Internet-Nutzung keine Gültigkeit erhält. Inhalt Mit Sicherheit mehr Erfolg 4 Cloud Computing und Virtualisierung 6 Nacktheit gegen Terrorismus 9 Bankraub auf moderne Weise 10 IT-Sicherheit Trends und Entwicklungen 14 Der neue Ausweis geht online 14 Mit der Reichweite einer Tageszeitung und dem Fokus einer Fachzeitschrift Mediaplanet Deutschland GmbH Münzstraße Berlin, Deutschland Informationssicherheit Eine Themenzeitung in der FTD PRODUZIERT VON MEDIAPLANET leserservice@mediaplanet.com Projektleiter: Dennis Ronneberger, verantwortlich für Projektmanagement und Anzeigen, +49 (0) Business Development: Benjamin Römer +49 (0) Editorial Manager: Franziska Manske Produktion/Layout: Kathrin Eckert Fotos: istockphoto.com, fotolia.com Text: Hartmut Schumacher, Michael Hange, Manfred Helmes, Dr. Claudia Eckert, Ulrích Waldmann, Anna Katharina Fricke V.i.s.d.P.: Christian Züllig, Print Director, Mediaplanet Druck: Verlagszentrum GmbH & Co. KG, Hagen Mediaplanet ist die führende europäische Medienfirma, spezialisiert auf die Produktion, Finanzierung und Distribution von Themenzeitungen in der Tages- und Wirtschaftspresse. Für weitere Informationen rufen Sie bitte Christian Züllig an, +49 (0) Wir suchen Projekt-/ Online- Manager Entdecken sie mediaplanet und werden Sie erfolgreich Frage: Möchten Sie sich weiterbilden und in kurzer Zeit Karriere machen? Antwort: Dann bewerben Sie sich noch heute als Projekt-/Online Manager für Hamburg und Berlin. Kontakt Projekt Manager: Christian Züllig christian.zuellig@mediaplanet.com Mediaplanet Deutschland Kontakt Online Manager: Carl Henric Holmberg ch.holmberg@mediaplanet.com Amsterdam Berlin Bratislava Brussels Chicago Copenhagen Hamburg Helsinki Lausanne London Los Angeles Malmö Milan New York Oslo Stockholm Tallinn Toronto Warsaw Zürich

3 Rechenzentren, Outsourcing, private Subcolos, Housing in Rackeinheiten, 24/7 Management, Internetplattformen, Streaming, Centralized Computing, Security, modular Management, Storage, Backup Facilities, Hochverfügbarkeit, Green IT Migrationen, uvm... Sprechen Sie mit uns über Kosten- & Aufwandsminimierung bei gleichzeitiger Effizienzsteigerung Ihrer Serverstrukturen im externen Housing. Halle 12 Stand C30 + Halle 3 Stand E08 IP Exchange GmbH Nürnberg: Am Tower 5 PLZ: Tel. 0911/ München: Rundfunkplatz 4 PLZ: Tel. 089/

4 4 Informationssicherheit Dies ist ein unabhängiges Produkt von Mediaplanet Mit Sicherheit mehr Erfolg Die beste Computeranlage nützt einem Unternehmen nur wenig, wenn sie nicht zuverlässig arbeitet. Deshalb ist es nicht nur lohnend, sondern unabdingbar, etwas Zeit und Geld in die IT-Sicherheit zu investieren. VON HARTMUT SCHUMACHER Das Verarbeiten der Daten, die in einem Unternehmen anfallen, ist seit der Einführung von Computersystemen sehr viel einfacher geworden. Gleichzeitig aber sind neue Gefahren für diese Daten entstanden. Denn eine Datei auf einer Festplatte verschwindet deutlich leichter als ein Ordner in einem Aktenschrank. Dementsprechend wichtig ist die IT-Sicherheit. Dieser Begriff fasst die Verfügbarkeit, Vertraulichkeit und Integrität der Computersysteme und der auf ihnen gespeicherten Daten zusammen. Der Verlust oder die schlechte Verfügbarkeit der Daten eines Unternehmens allen voran der Kunden-, Personal- und Buchhaltungsdaten vermindert dessen Wettbewerbsfähigkeit. Daher liegt es im ureigensten Interesse eines Unternehmens, sich um die IT-Sicherheit nicht nur pro forma zu kümmern. Darüber hinaus hat ein Unternehmen sogar die Pflicht, die IT-Sicherheit zu gewährleisten. Denn wenn beispielsweise Kunden dadurch Schäden entstehen, dass ein Unternehmen die Standards der IT-Sicherheit nicht einhält, dann können sie Schadenersatz verlangen. Der Begriff IT-Sicherheit fasst die Verfügbarkeit, Vertraulichkeit und Integrität der Computersysteme und der auf ihnen gespeicherten Daten zusammen. Mit Verfügbarkeit ist erstens gemeint, dass das Computersystem unterbrechungsfrei läuft. Und zweitens, dass das System die Daten nicht nur sicher speichert, sondern sie auch ohne störende Verzögerungen abrufen kann. Vertraulichkeit bedeutet, dass ausschließlich berechtigte Benutzer die Daten abrufen und ändern dürfen. Sicherheitsmaßnahmen, die der Vertraulichkeit dienen, schützen einerseits allgemein die Firmendaten vor dem Wissensdrang der Konkurrenz und andererseits speziell die Kundendaten vor neugierigen, aber nicht zuständigen Mitarbeitern. Der Begriff Integrität bezeichnet die Korrektheit der Daten: Es darf nicht möglich sein, Daten unbemerkt zu verändern. Darüber hinaus müssen Daten wie Unterschriften und Bestellungen eindeutig einem Urheber zuzuordnen sein. Das Bundesamt für Sicherheit in der Informationstechnik ( de) stellt kostenlos seine IT-Grundschutz-Kataloge zur Verfügung, die Standardsicherheitsmaßnahmen detailliert und praxisnah beschreiben. Mit dem Durchführen der Sicherheitsmaßnahmen kann ein Unternehmen entweder die eigene IT-Abteilung betrauen oder aber einen externen Dienstleister. Für kleinere Unternehmen ist die zweite Möglichkeit oft sinnvoller. Maßnahmen zur IT- Sicherheit funktionieren in der Regel nur dann gut, wenn der Geschäftsführer oder ein leitender Mitarbeiter in ähnlicher Position sie zur Chefsache erklärt. Das heißt natürlich nicht, dass er sich um jedes Detail selbst kümmern soll. Aber er muss dafür Sorge tragen, dass die IT-Abteilung zeitlich und finanziell in der Lage ist, sich neben den Routineangelegenheiten auch um die Sicherheitsvorkehrungen zu kümmern. Idealerweise übernimmt die Chefetage zudem die Aufgabe, den Mitarbeitern deutlich zu machen, dass die Sicherheitsvorgaben der IT-Abteilung gute Gründe haben und daher zu befolgen sind. IT-Nutzer haben auch eine Verantwortung für die Gesellschaft Ein wirksamer Schutz vor Internet-Kriminalität ist heute wichtiger denn je, sagt Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Insbesondere der Identitätsdiebstahl im Internet sei eine wachsende Bedrohung jeder Nutzer müsse darum vorsichtig mit seinen Daten umgehen. Interview Mit Michael hange IT-Sicherheitsexperten schlagen regelmäßig Alarm wegen neuer Gefahren im Internet. Sind die ständigen Warnungen nicht etwas übertrieben? Michael Hange: Auf keinen Fall. Wir beobachten, dass die IT-Kriminellen immer professioneller vorgehen. Heute sind das keine Einzeltäter mehr, sondern internationale Netzwerke, die arbeitsteilig arbeiten einer schreibt den Schadcode, ein anderer verkauft ihn im Internet, und ein dritter nutzt ihn zum Betrug. Kreditkartennummern und digitale Identitäten sind im Internet inzwischen eine Handelsware. Wir haben es also mit einer regelrechten Schattenwirtschaft zu tun, deren Werkzeuge immer ausgefeilter werden: Heute bemerkt ein Nutzer die Infektion seines PCs mit Schadsoftware häufig gar nicht mehr. Oder erst dann, wenn die Täter sein Bankkonto geplündert haben. Was haben die Kriminellen derzeit besonders im Visier? Michael Hange: Hinter den Angriffen stehen in aller Regel finanzielle Interessen. Insofern spielt nach wie vor das Ausspähen von Bankoder Kreditkartendaten eine große Rolle. In letzter Zeit nimmt aber auch der Diebstahl von Online-Identitäten immer mehr zu: Dazu stehlen die Täter zum Beispiel die Zugangsdaten zu sozialen Netzwerken, etwa mit Hilfe von s, die auf manipulierte Websites verlinken. Mit den gewonnenen Informationen können sie sich unter falschem Namen im Netzwerk einloggen und andere Nutzer betrügen. Worauf sollten die Nutzer darum achten? Michael Hange: Generell empfehle ich ein gesundes Maß an Misstrauen, wie wir es auch in der Offline-Welt haben: Man sollte niemals auf Links klicken, die in s von unbekannten Absendern angepriesen werden. Bei dubiosen s von Freunden, in denen man zum Beispiel um Geld gebeten wird, sollte man nachfragen vielleicht verbirgt sich dahinter eine falsche Identität. Um sich vor Schadsoftware zu schützen, sollte jeder PC mit einer aktuellen Schutzsoftware ausgestattet sein. Darüber hinaus bleibt es unverzichtbar, ein sicheres Passwort zu wählen Geburtstagsdaten haben dort nichts zu suchen. Die Nutzer sollten sich auch ihrer gesellschaftlicher Verantwortung bewusst sein: Kriminelle bringen verstärkt schlecht Der Identitätsdiebstahl im Internet ist eine wachs ende Bedrohung. geschützte PCs unter ihre Kontrolle und missbrauchen deren Rechenleistung in Botnetzen für den Spam- Versand oder für Attacken auf Webseiten. Jeder muss seinen Computer darum so sicher wie möglich machen.

5 Dies ist ein unabhängiges Produkt von Mediaplanet informationssicherheit 5 Botnets: Wichtigstes Instrument der Internetkriminalität Von Sascha Krieger, eleven GmbH Weltweit sind heute mehrere Millionen Privatund Unternehmensrechner zu Botnets zusammengeschaltet, illegalen Netzwerken, die Spam versenden, Netzinfrastrukturen mittels Denial-of-Service- Angriffen lahm legen oder PINs, TANs und Passwörter ausspionieren. Mit ihrer nahezu unbegrenzten Kapazität können Botnets das Spam-Aufkommen in kürzester Zeit verfünffachen. Gegen Maßnahmen wie die Abschaltung Spamfreundlicher Webhoster sind die Kontrollstrukturen der heutigen Botnet-Generation weitgehend immun. Die Gefahren für Unternehmen: Die Spam-Belastung steigt, Spam-Spitzen führen zur Überlastung und zum Zusammenbruch der -Kommunikation. Zudem kapern Botnets verstärkt Unternehmensrechner und versenden Spam über Unternehmensnetzwerke, weil diese von vielen Spam- Filtern als legitime Absender angesehen werden. Dadurch geraten Unternehmen auf Blacklists und gefährden so ihre geschäftsrelevante E- Mail-Kommunikation. Unternehmen sind den Botnets jedoch nicht schutzlos ausgeliefert. Ein lückenloser serverseitiger Schutz gegen bekannte wie neue Viren kann Unternehmen zuverlässig vor solchen s schützen. Mit der Prüfung des ausgehenden -Verkehrs können Unternehmen zudem feststellen, ob aus ihrem Netzwerk heraus Spam versandt wird. Schließlich ermöglicht die Kombination aus einer zuverlässigen Anti-Spam- Lösung und einer leistungsfähigen -Firewall einen optimalen Schutz der -Infrastruktur von Unternehmen vor Überlastung. Anzeige Einsturzgefahr! Passgenaue IT-Sicherheit macht Ihren Erfolg stabil. Schützen Sie Ihre wichtigsten Werte. IT-Sicherheit ist der Wegbereiter für eine intakte IT-Infrastruktur und alle Prozesse. Setzen Sie mit secunet auf die richtige Karte: Wir unterstützen Sie mit Expertise und Weitblick bei der Realisierung anspruchsvoller IT-Sicherheitslösungen. Besuchen Sie uns auf der CeBIT 2010 in Halle 11, Stand D45! IT-Sicherheitspartner der Bundesrepublik Deutschland secunet-fdt-0110.indd 1 -Sicherheit für Unternehmen Anzeige :10:41 Uhr Von Kai Gutzeit, Head of Google Enterprise DACH & Nordics Der Schutz der - Systeme ist für Unternehmen jeder Größe von enormer Bedeutung. Die Belastung durch Spam und Viren nimmt stetig zu. Oft muss ein unverhältnismäßig großer Aufwand betrieben werden, um mittels eigener Firewalls, Anti-Spam-Filter oder Virensoftware das System zu schützen. Eine Lösung ist die Auslagerung der IT-Sicherheit ins Netz. Cloud Computing-Anbieter wie Google Enterprise analysieren dort aus Hunderttausenden von Einzelfällen typische Verhaltensmuster von Angreifern und können Bedrohungen effizienter und kostengünstiger abwenden. Da all dies in der Cloud passiert, muss keine Hard- oder Software installiert oder gewartet werden und Unternehmen sparen Geld und IT-Ressourcen. Google Enterprise bietet Unternehmen eine Reihe von stand-alone-sicherheitsprodukten, powered by Postini. Sie müssen also nicht Kunden von Google Apps bzw. Google Mail sein. Zu den Sicherheitslösungen zählen Google Message Filtering, Google Message Security und Google Message Discovery. Diese Dienste funktionieren mit jedem Mail-System, einschließlich Lotus Notes, Microsoft Exchange und Novell Groupwise. Die patentierten Google Sicherheitslösungen stoppen Spam, Phishing, Viren und andere Gefahren, bevor sie das Unternehmensnetzwerk erreichen. Das entlastet E- Mail-Server und verbessert die Performance der bestehenden Nachrichteninfrastruktur. Googles Sicherheitslösungen sind immer einsatzbereit und stets auf dem aktuellsten Stand. So sind die -Systeme von Unternehmen auch in der Wolke immer zuverlässig geschützt.

6 6 Informationssicherheit Dies ist ein unabhängiges Produkt von Mediaplanet Echte Gefahren auf virtuellen Computern Cloud-Computing und Virtualisierung sparen Geld, Platz und Mühe. Diese Techniken bringen aber auch zusätzliche Risiken mit sich, gegen die Unternehmen sich wappnen müssen. VON HARTMUT SCHUMACHER Zwei wichtige Trends in der IT- Welt der letzten Jahre sind Virtualisierung und Cloud-Computing: Die Virtualisierung erlaubt es, auf einem tatsächlichen Computer mehrere virtuelle Computer zu verwenden. Das hilft dabei, die vorhandene Hardware besser auszunutzen. Zum Einsatz kommt Virtualisierung unter anderem bei Anbietern von Cloud-Computing- Diensten. Solche Anbieter ermöglichen es Unternehmen, über ein Netzwerk Computer-Hardware zu benützen, die sich nicht direkt in den Unternehmen befindet, sondern auf Server-Computern im Rechenzentrum der Anbieter. Beim Verwenden von virtuellen Computern und von Cloud-Diensten sind zum einen natürlich dieselben Sicherheitsrisiken vorhanden, wie beim Einsatz von herkömmlichen Computer-Systemen. Hinzu kommen aber weitere Gefahren: Am bedeutsamsten ist die Tatsache, dass die Daten des Unternehmens nicht mehr ausschließlich auf den eigenen Computern gespeichert sind sondern auf der Anlage des Cloud-Anbieters. Der Schutz vor Anja Keß Lindlaustraße 2c, D Troisdorf Tel.: +49 (0) / Fax: +49 (0) / anja.kess@sigs-datacom.de Missbrauch und vor Datenverlust liegt daher nicht mehr nur in den Händen des Unternehmens. Aus diesem Grund ist es extrem wichtig, sich für einen vertrauenswürdigen und zuverlässigen Cloud-Anbieter zu entscheiden. Hilfreich bei dieser Entscheidung ist erstens ein Blick in die angebotenen Nutzungsverträge und zwar dahingehend, welche Garantien der Anbieter gibt. Zweitens sollte der Anbieter Zertifikate vorweisen können, die seine Zuverlässigkeit nachweisen. In Deutschland am bekanntesten ist die Zertifizierung nach ISO auf der Basis von IT-Grundschutz des Bundesamtes für Sicherheit in der Die ultimative Hacking-Akademie Klaus Dieter Wolfinger Erfolgreiche Abwehr von Hacker-Angriffen und sicherer Schutz Ihres Netzwerks April 2010, Frankfurt // September 2010, Frankfurt // November 2010, Frankfurt 2.150,- zzgl. MwSt. Sicherheit mit WebService-Infrastrukturen Jörg Bartholdt Februar 2010, München // Juli 2010, München // Oktober 2010, München 1.590,- zzgl. MwSt. Secure Coding mit Java EE Mirko Richter Entwicklung einbruchssicherer Webanwendungen und Webservices unter Java EE März 2010, München // Juli 2010, München // Oktober 2010, Düsseldorf 1.590,- zzgl. MwSt. Advanced Web Application Security Testing Thomas Schreiber Professionelle Sicherheitsuntersuchungen von Enterprise-Webanwendungen durchführen April 2010, München // Dezember 2010, München 1.590,- zzgl. MwSt. Best Practices für sichere Web-Anwendungen Thomas Schreiber Sicherheitslücken in Webanwendungen vermeiden, erkennen und schließen gemäß Empfehlungen des BSI März 2010, München // Juni 2010, Köln // Oktober 2010, Düsseldorf 1.590,- zzgl. MwSt. TCP / IP-Netze, -Dienste und Security Prof. Dr. Kai-Oliver Detken Mai 2010, Berlin // Oktober 2010, Frankfurt 1.990,- zzgl. MwSt. Anzeige Voice-over-IP (VoIP) Prof. Dr. Kai-Oliver Detken Planung und Migration Juni 2010, Berlin // November 2010, Köln 1.590,- zzgl. MwSt. Informa tionstechnik. Zusätzlich kann es sinnvoll sein, die Daten des Unternehmens nur verschlüsselt auf den Servern des Anbieters zu speichern. Dadurch lässt sich verhindern, dass Sicherheitslücken beim Anbieter größere Konsequenzen für das Unternehmen haben. Ein weiteres Risiko entsteht dadurch, dass virtuelle Computer von mehreren Kunden auf demselben Server-Computer laufen. Dies ermöglicht Angriffe, die von einem virtuellen Computer ausgehen und auf die Daten der anderen virtuellen Computer zugreifen. Deutlich mindern kann ein Unternehmen diese Gefahr, indem es statt einer Public Cloud eine Private Cloud verwendet, bei der der Anbieter bestimmte Server für lediglich einen Kunden einsetzt. Cloud-Systeme erlauben naturgemäß den Zugang von außen. Das erhöht das Risiko von Angriffen, die Wirtschaftsspionage oder einfach nur die Zerstörung von Daten zum Ziel haben. Daher ist es nötig, besonders strenge Richtlinien für die Auswahl von Zugangsdaten und für den Umgang mit diesen Daten festzulegen. Darüber hinaus müssen die IT-Administratoren noch gewissenhafter als ohnehin schon darauf achten, die Zugangsrechte von Mitarbeitern, die das Unternehmen verlassen haben, ohne Verzögerung zu löschen.

7 Dies ist ein unabhängiges Produkt von Mediaplanet informationssicherheit 7 Verschärfte Datensicherheitsanforderungen in Deutschland Der Schutz elektronisch gespeicherter Daten ist neben Spam eine der großen Herausforderungen, denen Unternehmen in puncto Informationstechnologie heute gegenüberstehen. von Markus Bernhammer, Geschäftsführer Sophos GmbH Ein aktuelles Beispiel zeigt die Brisanz: Arbeitgeber sind seit dem 1. Januar 2010 verpflichtet, die Einkommensdaten ihrer Beschäftigten an eine zentrale Datenbank bei der Deutschen Rentenversicherung zu melden. Das Datenerfassungs- und Vernetzungsprojekt ELENA (Elektronischer Werden Sie nicht zum Opfer! Entgeltnachweis) ist aus Datenschutzgesichtspunkten problematisch, weil es neben Gehaltsdaten viele weitere Angaben zum Beschäftigungsverhältnis verlangt. Der Schutz sensibler Mitarbeiterinformationen im Unternehmen, bei der Übermittlung und in der zentralen Speicherstelle der Rentenversicherung muss deshalb höchste Priorität haben. Das Datenschutzgesetz, in seiner verschärften Form seit September 2009 in Kraft, spricht eine deutliche Sprache. Darin geregelt ist unter anderem eine gesetzliche Informationspflicht bei Datensicherheitsverletzungen. Dennoch ist es in seiner Konsequenz bei vielen Unternehmen noch nicht angekommen. Das Risiko von Datenmissbrauch und unberechtigter Datenzugriffe wird ganz einfach unterschätzt. Die zahlreichen Datenmissbrauchsvorfälle der Vergangenheit haben das mehr als deutlich gezeigt. Unternehmen und Behörden sind ihren Kunden, Mitarbeitern und Partnern gegenüber verpflichtet, vertrauliche Daten ausreichend zu schützen. Der Verlust oder Missbrauch sensibler Informationen kann zu erheblichen Vertrauens- und Imageschäden führen. Gesetzliche und regulatorische Vorgaben an die IT- und Datensicherheit verpflichten zu entsprechenden Vorkehrungen, da sonst strafrechtliche Sanktionen drohen. Die Absicherung gegen Datenmissbrauch trägt nicht nur zur Einhaltung gesetzlicher Vorgaben bei, sondern mindert auch das finanzielle Risiko, dass durch Datendiebstahl und Missbrauch entstehen kann. Dabei kann dieser Bedrohung durch die Verschlüsselung von Daten auf Endgeräten, Servern und Wechselmedien effektiv vorgebeugt werden. Der Verlust, Missbrauch oder die Veröffentlichung sensibler Informationen lassen sich so vermeiden. Verschlüsselung bleibt somit für 2010 und auch die nächsten Jahre eines der Top-Themen. Technologien zur Datenverschlüsselung auf mobilen Speichermedien, Endgeräten und in s sollten deswegen den gleichen Stellenwert in der Unternehmens-IT bekommen wie Anti- Malware- und Firewall- Lösungen. Die Statistiken zeigen: Überfälle und Einbrüche nehmen stetig zu die Zeiten werden zunehmend unsicherer! Wir arbeiten dem entgegen: seit 20 Jahren entwickeln und vertreiben wir Produkte für Ihre persönliche und häusliche Sicherheit. Anzeige nicht verlassen wirken. Dieses Produkt und viele weitere Sicherheitsartikel erhalten Sie bei: kh-security GmbH & Co.KG Tel Fake TV, Preis: 39,95 Unser Top-Produkt: Fake TV Fernsehsimulator zum Schutz vor Einbruch. Wer heute Einbrecher überlisten will, muss sich etwas einfallen lassen: Dieses kleine Gerät simuliert täuschend echt die Lichteffekte eines Fernsehers und ist dabei sehr sparsam im Verbrauch (benötigt 50 Mal weniger Strom als ein normaler Fernseher). Die Effekte sind vollständig unvorhersehbar und wiederholen sich nicht. Von außerhalb Ihres Zuhauses ist Fake TV nicht von einem echten Fernsehgerät zu unterscheiden. Einbrecher meiden in den meisten Fällen belebt wirkende Häuser um nicht ertappt zu werden. Nutzen Sie dies und lassen Sie Ihr Haus am Abend, wenn Sie unterwegs oder im Urlaub sind,

8 Willkommen in der Welt von phion Network Security WAN Protection & Optimization Secure Web Access Network Access Control Web Application Security Central & Local Management phion auf der CeBit 2010! Halle 0111 Stand A _phion_de_213x314.indd :12:53

9 Dies ist ein unabhängiges Produkt von Mediaplanet informationssicherheit 9 Nacktheit gegen Terrorismus Welchen Nutzen haben Körperscanner? Sind sie gesundheitsschädlich? Ist es gerechtfertigt, sie als Nacktscanner zu bezeichnen? Und werden sie auch auf deutschen Flughäfen zum Einsatz kommen? von HARTMUT SCHUMACHER Egal, ob neutral als Körperscanner bezeichnet oder emotional aufgeladen als Nacktscanner: Derartige Geräte ermöglichen es, Menschen zu durchsuchen, ohne sie abtasten zu müssen. Der Scanner kann versteckt getragene Gegenstände, wie Waffen und Sprengstoffe, erkennen. Das gilt auch für nichtmetallische Waffen, an denen Metalldetektoren naturgemäß scheitern. Der Nachteil: Die Bilder dieser Scanner zeigen die Oberfläche des menschlichen Körpers, ähnlich wie auf einem Nacktfoto was nun mal nicht jedem angenehm ist. Zudem sind auch intime Details wie Prothesen oder Implantate zu erkennen. Es gibt für Körperscanner drei verschiedene Verfahren: Das erste verwendet Röntgenstrahlen. Die Strahlenbelastung ist dabei zwar geringer als bei medizinischen Röntgenaufnahmen. Dennoch lehnt das Bundesamt für Strahlenschutz (BfS) den Einsatz von Röntgenstrahlen im Bereich der Sicherheitstechnik ab. Das zweite Körperscanner-Verfahren setzt auf Terahertzwellen. Der Scanner registriert lediglich passiv die natürliche Terahertzstrahlung, die der menschliche Körper abgibt. Beim dritten Verfahren schließlich sendet der Scanner Terahertzwellen aus und registriert deren Rückstreuung. Dieses aktive Verfahren erlaubt detailliertere Bilder als die passive Methode. Das Risiko gesundheitlicher Beeinträchtigungen durch Tera hertzwellen ist noch nicht gründlich genug erforscht. Das BfS empfiehlt daher, passive Terahertz-Scanner den aktiven vorzuziehen. Verwendung finden Körperscanner bereits auf einigen Flughäfen, unter anderem in den USA, in Russland und in den Niederlanden. Andere Staaten wie Großbritannien und Italien haben vor, derartige Geräte bald einzuführen. In Deutschland ist die Entscheidung noch nicht gefallen. Der Bundesinnenminister Thomas de Maizière geht aber davon aus, dass Körperscanner bereits ab diesem Sommer zum Einsatz kommen, zunächst möglicherweise als Angebot, das jeder einzelne Passagier ablehnen oder wahrnehmen kann als Alternative zum herkömmlichen Abtasten. Den Schutz der Intimsphäre sollen die Scanner gewährleisten, indem sie anders als die ersten Geräte, die im Herbst 2008 für Diskussionen sorgten den Körper des untersuchten Menschen nur unscharf abbilden oder lediglich seine Umrisse anzeigen. Das Speichern der Bilder ist zudem nicht vorgesehen. Im Gespräch ist für die Geräte, die in Deutschland zum Einsatz kommen sollen, auch die Möglichkeit einer automatischen Erkennung. Dabei würde der Scanner dem Sicherheitspersonal lediglich signalisieren, ob ein Passagier Gegenstände am Körper trägt. Und wenn ja, dann würde das Gerät die Positionen dieser Gegenstände nur auf einer symbolischen Darstellung eines menschlichen Körpers anzeigen. Anzeige Mit Sicherheit eine starke Verbindung! Machen Sie den Test: Mit erweitertem Produktportfolio gemeinsam für IT-Security und Data Protection. Halle 11, Stand B26 Sophos_FinancialTimesD_BA_CeBIT :02:07 Uhr

10 10 Informationssicherheit Dies ist ein unabhängiges Produkt von Mediaplanet Bankraub auf moderne Weise Die Zahl der Delikte im Bereich Online-Banking steigt: Ein gesundes Misstrauen schützt Kunden, auf die Maschen von Betrügern hereinzufallen. Gleichzeitig müssen Banken und Sparkassen auch ihre technischen Sicherheitsvorkehrungen aufrüsten. von Anna Katharina Fricke Immer mehr Menschen nutzen das Internet zur Erledigung von Geschäftsvorgängen und wickeln ihre Bankgeschäfte per Online- Banking ab. Mittlerweile werden bereits rund 40 Millionen deutsche Girokonten online geführt. Und das lockt Kriminelle an, die mit immer raffinierteren Tricks Bankkunden prellen. Die Kreditinstitute warnen immer wieder ihre Kunden, vor allem dann, wenn sie gerade in besonderem Maße zum Ziel der Cyber-Banden geworden sind. Zuletzt warnte die Postbank, dass Anwender auf gefälschten Wartungsseiten aufgefordert werden, Kontonummer sowie Pin (Persönliche Identifikationsnummer) und Tan (Transaktionsnummer) preiszugeben. Mit diesen erbeuteten Daten können die Betrüger dann das Konto plündern. Der Präsident des Bundeskriminalamtes (BKA) Jörg Ziercke erwartet, dass es in diesem Jahr zu noch mehr Betrugsfällen kommen wird. Im vergangenen Jahr wurden Delikte registriert. Eine Zunahme um 40 Prozent erwartet Ziercke für dieses Jahr. Für Verbraucher ist es immer schwieriger, sich zu schützen. War es früher schon ein guter Schutz, vorsichtig mit s unbekannter Absender umzugehen, so kommen die Attacken heute immer häufiger über so genannte Drive-by-Infections. Das heißt, die Viren und Trojaner lauern nicht mehr in den s, sondern werden beim Aufruf scheinbar harmloser Websites auf den Rechner geladen. Zwei Drittel aller Trojaner werden nach Einschätzung des BKA heute schon auf diese Weise zum Einsatz gebracht. Angesichts dieser Zahlen hat das Bundeskriminalamt die Banken und Sparkassen dazu aufgerufen, den elektronischen Zahlungsverkehr besser zu schützen. Nach Angaben von BKA- Präsident Ziercke existieren derzeit mindestens drei Trojaner-Familien, die speziell auf den deutschen Bankenverkehr ausgerichtet sind. Gegen die neueren Schadprogramme bieten auch die durchnummerierten Transaktionsnummern die itans keine unbedingte Sicherheit mehr. Bei dieser Technik gibt der Bankkunde eine ganz bestimmte, von der Bank angeforderte, Transaktionsnummer von einer durchnummerierten Liste zur Autorisierung der Überweisung ein. Kriminelle können die Transaktion aber für eine kurze Zeit unterbrechen und selbst mit der itan aktiv werden. Aus diesem Grund werden mtan (mobile Tan) sowie Tan-Generatoren immer weitere Verbreitung finden. Mit diesen Verfahren werden Transaktionsnummern erzeugt, die lediglich Überweisungen des angegebenen Betrags auf das angegebene Konto freigeben. Auch wenn Betrüger diese Nummern erbeuten, können sie also nicht viel damit anfangen. Nachteil: Der Verbraucher benötigt ein zusätzliches Gerät für die Überweisung, entweder das Handy oder den Tan-Generator. Und ganz umsonst ist die Online-Überweisung damit auch nicht mehr. Die SMS mit der die mtan auf das Handy des Online-Banking-Kunden gesendet wird, lässt sich die Bank bezahlen. Wird ein Tan-Generator verwendet, zahlt der Kunde in der Regel einen kleinen Betrag für das Gerät. IT-Sicherheitsstrategien 2010 Andreas Zeitler, Vice President und Regional Manager, EMEA Central Region beantwortet Fragen zum Thema IT-Sicherheit interview mit Andreas Zeitler, Vice President und Regional Manager, EMEA Central Region Die Bedrohungslage nimmt rapide zu Unternehmen sind von Jahr zu Jahr höheren Sicherheitsrisiken ausgesetzt. Zu welcher IT- Sicherheitsstrategie raten Sie den Unternehmen? Andreas Zeitler: Die altbewährten Sicherheitsmodelle der Unternehmen werden mit den dynamischen Informations- und Datenfluten nicht mehr fertig. Immer raffiniertere Angriffe von Onlinekriminellen bedrohen die IT der Unternehmen von außen, während innerhalb der Firma Anwender Daten ungehindert auf ihre mobilen Geräten und USB-Sticks laden können. Diese Bedrohungslage erfordert ein neues Sicherheitsdenken ein Modell, das mit unseren Worten risikobasiert, informationszentriert, reaktionsschnell und Workflow-getrieben arbeitet. Die Bereiche Security, Storage und das Systemmanagement müssen grundsätzlich zentral gesteuert sein. Nur so kann das Sicherheitsmodell angemessen auf Vorfälle reagieren. Bedingt die enorme Dynamik der Bedrohung nun ständiges Tuning? Wie soll das Ganze handhabbar und damit wirtschaftlich bleiben? Andreas Zeitler: Ein modernes Sicherheitsmodell muss autonom reagieren. Es muss täglich anfallende Prozesse automatisch abwickeln und eventuelle Sicherheitslücken zwischen Abteilungen, Mitarbeitern und Technologien selbstständig schließen. In diesem dynamischen Prozess werden so immer wieder die äußeren Einflüsse mit den internen Anforderungen der Unternehmen abgeglichen. Weil die Fachleute von diesen repetitiven Aufgaben befreit sind, können sie sich mehr auf die strategischen und kritischen Entscheidungen konzentrieren. A propos kritische Entscheidungen: Was sind Ihrer Meinung nach die drei großen Sicherheitstrends, mit denen sich die IT 2010 befassen muss? Andreas Zeitler: Social Engineering bleibt eine der beliebtesten Methoden bei der Verbreitung von Internet- und -Gefahren. Die Angreifer sprechen dabei den Anwender direkt an, um ihn mit List zum Herunterladen von Schadsoftware oder zur Preisgabe vertraulicher Informationen zu bringen. Aber auch Fälschungen von Sicherheits-Tools, Missbrauchsversuche bei sozialen Netzwerken sowie Schadprogramme für Mac-Rechner und mobile Endgeräte sind 2010 auf dem Vormarsch und sollten auf der Agenda der IT-Verantwortlichen nicht fehlen.