Branchenbuch IT-Sicherheit

Transkript

1 Branchenbuch IT-Sicherheit 015

2 IT-SICHERHEIT Fachmagazin für Informationssicherheit und Compliance Sonderausgabe: Branchenbuch IT-Sicherheit 2015 Verlag: DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Augustinusstraße 9d, Frechen Tel.: / Fax: / fachverlag@datakontext.com Vertrieb: Jürgen Weiß weiss@datakontext.com Chefredaktion: Jan von Knop knop@datakontext.com Stellvertretender Chefredakteur: Stefan Mutschler stefan-mutschler@t-online.de Redaktion: Faatin Hegazi hegazi@datakontext.com Thomas Reinhard-Rief reinhard@datakontext.com Herausgeber: Bernd Hentschel Layout: Britta Happel Anzeigen- & Objektleiter: Thomas Reinhard-Rief reinhard@datakontext.com Druck: AZ Druck und Datentechnik GmbH, Kempten DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: Spectral-Design fotolia.com Fotos: Firmenbilder; DATAKONTEXT; (Antonio Gravante, grandaded, ktsdesign, Gina Sanders, vladgrin, lassedesignen, Clemens Schüßler, blacksock, massimo, Franz Pfluegl, Giuseppe Porzani, Jürgen Priewe, olly, Andrey_Kuzmin, blobbotronic, high_resolution, elypse, alphaspirit, karelnoppe, M. Schuppich, Maksim Kabakou, drik, kange_one, Creativeapril, Photocreo Bednarek, Lars Christensen) fotolia.com 3. Jahrgang 2015 ISSN: Anzeige einfach anschaulich vielseitig Müthlein/Semmler/Kränke Datenschutzeinführung für Mitarbeiter und Führungskräfte Sofort einsetzbares PowerPoint-Folienpackage zur Datenschutzschulung zielgruppenspezifisch aufbereitet und mit Referentenleitfaden Version 2.0, 2013 auf CD-ROM + Online-Update 129,95 inkl. 19 % MwSt. ISBN Nutzen Sie die vortragsfertigen PowerPoint-Sets für folgende Zielgruppen: Führungskräfte Mitarbeiter Fachbereich IT Fachbereich HR Call-Center Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Tel / Fax 02234/ bestellung@datakontext.com

3 Mit Herzblut ins Verderben? Liebe Leserinnen und Leser, im Bereich der Internetkriminalität sind mittlerweile sämtliche Grenzen gefallen, wie uns das letzte Jahr gelehrt hat. Cyberangriffe haben eine neue Dimension erreicht, sie werden zielgerichteter und komplexer und treffen Unternehmen zunehmend genau dort, wo es richtig schmerzhaft ist. Ein paar Beispiele? Anfang April letzten Jahres ist ein schwerwiegender Programmierfehler im Open-SSL-Protokoll öffentlich geworden es war die Geburtsstunde des sogenannten Heartbleed -Bugs. Heartbleed ermöglichte es, das RAM eines Remote-Rechners Stück für Stück auszulesen, um so an Usernamen und -Passwörter zu gelangen die Folgen konnten durchaus dazu beitragen, dem Betroffenen das Herz bluten zu lassen Im September 2014 wurde bekannt, dass durch eine fatale Sicherheitslücke in der Unix-Shell Bash Linux- und MAC OS X-Betriebssysteme remote gesteuert und somit kontrolliert werden konnten. Das NIST (National Institute of Standards and Technology) bewertete das Schadenspotenzial dieser Sicherheitslücke mit 10 was dem Maximum entspricht. Heartbleed und Shellshock nur zwei Sicherheitslücken, die uns deutlich unsere Grenzen aufzeigen und den Beginn einer neuen Ära begründen. Mit dem Branchenbuch IT-Sicherheit haben Sie jedoch die Möglichkeit, das Zepter wieder in die Hand zu nehmen und die für Ihr Unternehmen passende Technologie oder IT-Sicherheitsberatung zu finden. In 27 Rubriken rund um das Thema IT-Sicherheit gegliedert, finden Sie nebst einem herstellerneutralen Einleitungstext zu der jeweiligen Security-Sparte eine Zusammenstellung von Unternehmen, die in diesem Sektor Spezialisten sind und Lösungen anbieten. Zu guter Letzt empfehlen wir Ihnen, Ihre IT-Sicherheitsinfrastruktur einer gründlichen Prüfung, wenn nicht sogar Kernsanierung, zu unterziehen. Gehen Sie Ihren Admin ruhig mal im Keller besuchen (und bringen Sie Kaffee mit), denn in der Regel ist er es, der von Berufs wegen Ihre IT- Sicherheitslandschaft sehr gut kennt und Sie beraten kann, an welchem Punkt Sie optimalerweise ansetzen sollten, um Ihr unternehmenseigenes System auf Herz und Nieren prüfen zu lassen. Passen Sie auf sich auf! Ihre Inhalt: Impressum...2 Abhörschutz...4 Akten-/Datenträgervernichtung, Datenlöschung...6 Authentifizierung/Identity Management/IAM...8 Backup & Restore...10 Business Continuity...12 Cloud Security...14 Compliance/GRC...16 Data Leakage Prevention...18 Datenbanksicherheit...20 Datenschutz...22 Disaster Recovery Sicherheit...26 Firewall-Systeme...28 IT-Sicherheitsberatung...30 Kryptografie...32 Malware/Virenschutz...34 Managed Security Services...36 Mobile Device Management...38 Netzwerk-Monitoring...40 Remote Access...42 Risikomanagement...44 Rechenzentrumssicherheit...46 Faatin Hegazi Thomas Reinhard-Rief Security Awareness...48 Sicherung mobiler Endgeräte...50 USV-Systeme...52 Web Application Security...54 Zugriffskontrolle/NAC Firmenporträts A-Z...58

4 Abhörschutz Dr. Hans-Christoph Quelle, Secusmart GmbH Schutz der Privatsphäre Das Pferd frisst keinen Gurkensalat. Das war der erste Satz, der vor über 150 Jahren über den Vorläufer eines Telefons gesprochen wurde. Philipp Reis, der Erfinder dieser Apparatur, hatte vielleicht sogar geahnt, dass diese Innovation zur Übertragung von Sprache oder Musik die Weltgeschichte verändern würde. Und tatsächlich sorgte das Telefon, mit dem Worte plötzlich weite Strecken zurücklegen konnten, für ein unvorstellbares Ausmaß an neuen Möglichkeiten und Chancen. Es war eine Erfindung, die das gesamte menschliche Kommunikationsverhalten beschleunigte und damit entscheidend veränderte. B ei allem Neuen blieb anderes allerdings gleich: Der Mensch will noch immer Dinge von anderen erfahren und Informationen sammeln. Und das auch dann wenn der Gesprächspartner damit nicht einverstanden ist. Wissen gibt schließlich dem Einzelnen Macht und sorgt auch in Politik und Wirtschaft für Vorteile und den schnellen Fortschritt. Das Gegenüber, der Belauschte, hat natürlich kein Interesse daran, dass ein anderer sein Wissen und seine Innovationen nutzt. Er plant also den Schutz und die Sicherheit des gesprochenen Wortes. Der telefonische Abhörschutz hat die große Aufgabe, diesen Interessenkonflikt zu lösen, und trägt die Verantwortung dafür, die Privatsphäre zu schützen. Von der Sprachübertragung zur Wissenschaft Noch bevor allerdings auch nur eine einzige Person daran dachte, telefonische Gespräche zu schützen, beeindruckte die Erfindung des Telefons an sich. Tatsächlich muss das erste Festnetztelefon eindrucksvoll gewesen sein. Ähnlich wie bei der ersten bewegten Bildsequenz, als der Zug auf das erschrockene Publikum zuraste, schien es unglaublich, dass Sprache losgelöst vom Menschen an anderer Stelle hörbar gemacht werden konnte. Es dauerte ein ganzes Jahrhundert, bis das Mobiltelefon seinen ersten Auftritt hatte und die Revolution des Telefons fortführte. Jetzt war Kommunikation nicht mehr gebunden, sondern konnte von beinahe überall geführt werden. In einem nächsten Evolutionsschritt ging es um die Verbindung von Internet und Mobilfunk. Damit trat das Smartphone in den Alltag ein und begann, Kommunikation, Unterhaltung und Leben zu vermischen. Mit jedem weiteren Meilenstein der Erfindungen wurde Neues möglich, wie etwa Gespräche zu speichern und erst später abzurufen durch den Anrufbeantworter. Doch genau solche Vorteile öffnen auch dem Missbrauch Tür und Tor. Indem Gespräche gespeichert werden 4

5 können, kann auch ihr Inhalt verändert und neu genutzt werden. Und wie so ein Missbrauch funktioniert, kann jeder Neugierige ganz einfach im Internet erfahren. Der Interessierte erfährt dabei auch schnell, dass es immer spannender wird, das Ohr an den inzwischen unverzichtbaren, smarten Begleiter Smartphone zu halten. Inzwischen werden Daten jeglicher Art über die Geräte abgewickelt, von Telefonaten über s bis hin zu Bankverbindungen. Alles Informationen, die für Dritte interessant sein könnten. Im großen Stil geht es um Industriespionage und politische Querelen. Im Einzelfall geht es für die einzelne Person um nichts Geringeres als um ihre eigene Identität. Diese kann, ebenso wie ein Gespräch, gespeichert, verändert und anderweitig genutzt werden. Welche Ausmaße die Entwicklung des Abhörens und Beobachtens angenommen hatte, das wurde spätestens durch die Enthüllungen von Edward Snowden und die NSA-Abhöraffäre öffentlich. Politik, Wirtschaft und jeder Einzelne Der Skandal, mit dem Snowden die Welt erschütterte, gab Anbietern von Sicherheitslösungen neuen Auftrieb. Es ist ein weiteres Beispiel dafür, wie die Meilensteine der telefonischen Kommunikation begleitet wurden von der parallelen Geschichte der Ver- und Entschlüsselung. Die Verschlüsselung begann im Kleinen mit manuellen Versuchen, die Informationen in geheime Schriften zu übersetzen, die das Gegenüber wieder von Hand entzifferte. Ein Verfahren, das automatisiert wurde, um schneller Geheimnisse zu erschaffen und Rätsel sofort lösen zu können. Bekannte Verschlüsselungsmaschinen wie die Enigma übernahmen solche Aufgaben. Jahr für Jahr wurde es wichtiger, informiert zu sein. Und Jahr für Jahr wurde aufs Neue versucht, Mitteilungen geheim zu halten. Und so wurde die Kryptologie Schritt für Schritt zur Wissenschaft. Kryptologie sollte im Auftrag der Informationssicherheit dafür sorgen, dass der Feind im Krieg weder Marschbefehle noch die Standorte von U-Booten erfährt. In der Politik sollte sie verhindern, dass ganze Telefonate mit angehört, aufgezeich- net und der Öffentlichkeit zugänglich gemacht werden können. Die Kryptologie wirkt auch der Industriespionage entgegen. Für die Wirtschaft geht es um viel Geld. Bisher beläuft sich beispielsweise der jährliche finanzielle Schaden allein in Deutschland laut der aktuelle Corporate- Trust-Studie Cybergeddon auf knapp 12 Milliarden Euro. Sicherheitslösungen brauchen den Einzelnen Viele Hersteller bieten Möglichkeiten an, die vor solchen Angriffen schützen. Politische Institutionen und Behörden weltweit sichern ihre Kommunikation bereits mit einer Abhörschutzlösung. Doch alle Angriffe und auch die Enthüllungen von Edward Snowden, die eine Welle der Entrüstung ausgelöst hatten, haben es bisher noch nicht geschafft, auch jeden Einzelnen davon zu überzeugen, seine Daten zu schützen. Nur ein Schutz, der jeder einzelnen Anspruchsgruppe individuell begegnet, kann an dieser Stelle Abhilfe schaffen. Es gibt bereits komfortable Abhörschutzlösungen. Sie lösen den Konflikt auf zwischen dem Schutz einzelner Geräte und den Wünschen der Mitarbeiter, jedwede App oder das mobile Internet zu nutzen. Sicherheit wird zum Standard werden, die jeder Nutzer so wählt, wie er sie haben möchte. Abhörsicheres Telefonieren ist das Recht jedes Einzelnen auf Privatsphäre und das ist eine Frage der Selbstbestimmung. Produktanbieter:... Seite 94 5

6 Akten-/Datenträgervernichtung, Datenlöschung Thomas Wirth, Blancco Central Europe Daten revisionssicher entsorgen Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen entscheidet in Zukunft unternehmerischen Erfolg wesentlich mit, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Das Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwaltung der Daten während ihres Lebenszyklus hinaus und betrifft, unter anderem aus rechtlichen Gründen, auch Endof-Life-Szenarien, also alles rund um die nachweisbare und rechtskonforme Löschung der Daten. Schätzungen zufolge werden sich die digitalen Datenmengen von derzeit etwa einem Zettabyte bis 2020 vervierzigfachen. Vor diesem Hintergrund gesellt sich zu der Herausforderung, wie sensible Daten gespeichert und geschützt werden können, immer dringlicher die Frage, wie sich diese Daten nach ihrer Verwendung wieder zuverlässig löschen lassen. Das Problem ist: Unternehmen und Behörden sammeln immer mehr Daten, müssen diese aber irgendwann auch wieder sicher und nachweislich löschen. Branchenübergreifend stehen Unternehmen und Organisationen beim Datenlösch-Management vor ähnlichen Problemen: Die IT-Technologien verändern sich und verlangen nach neuen Strategien und Lösungen. Ob auf Smartphones, SSD-Speichern (USB-Sticks, SD-Cards etc.) oder in der virtuellen Cloud viele sensible Unternehmensdaten, und dazu gehören auch personenbezogene Daten, befinden sich längst nicht mehr nur auf der Festplatte des Büro-Rechners, sondern sind auf viele Speicher-Orte verteilt. Das stellt neue Anforderungen an die Datenlöschung, ebenso wie zunehmend schärfere nationale und EU-weite Datenschutzverordnungen und -gesetze. Auch wenn die technischen Möglichkeiten der Gesetzgebung meistens voraus sind, werden bei unbefugter Datennutzung mittlerweile sehr viel höhere Strafen verhängt als noch vor einigen Jahren. Verschärft wird die Datenlösch-Problematik durch den Umstand, dass dieses Thema noch gar nicht vollumfänglich ins Bewusstsein vieler Unternehmen gedrungen ist. Die Datenlöschung erfolgt häufig unstrukturiert und neue Technologien wie Cloud- Dienste oder Mobile Devices nutzt man einfach mal drauf los ohne Konzepte parat zu haben, wie man die dort gespeicherten Daten wieder zuverlässig und gesetzeskonform löschen kann. 6

7 Die Erfassung und Verarbeitung riesiger Datenmengen in sehr kurzer Zeit Stichwort Big Data ist heute ohne Probleme machbar. Neue technologische Entwicklungen und immer effizientere Speichermedien machen es möglich. Sowohl für Unternehmen, Behörden als auch für Dienstleister ergeben sich daraus ganz neue Perspektiven und Geschäftsfelder. Oft jedoch wird die Frage nach der Datenlöschung zu spät gestellt. Dabei sollte schon bei der Entwicklung eines Konzepts, welches die Erfassung und Verarbeitung großer Datenmengen betrifft, an die Löschung der Daten gedacht werden nicht zuletzt wegen rechtlicher Bestimmungen. So sind etwa Anbieter von Cloud-Diensten gesetzlich verpflichtet, im Falle einer Kündigung seitens eines Kunden sämtliche seiner Daten sicher und endgültig aus der Cloud zu löschen. Gezieltes Datenlöschmanagement ist zudem auch aus einem ganz anderen Grund von unternehmensstrategischer Bedeutung: Denn vor dem Hintergrund zahlreicher, die Öffentlichkeit immer wieder alarmierender Skandale von Datenklau und -missbrauch kann ein Imageschaden bei Kunden oder Geschäftspartnern über kurz oder lang zu finanziellen Einbußen führen und sich damit letztendlich konkret auf den Erfolg und die Wettbewerbsfähigkeit von Unternehmen auswirken. Professionelles Datenlöschmanagement liegt damit im ureigenen Interesse von Unternehmen. Produktanbieter:... Seite 74 Berater/Dienstleister:... Seite Seite 74 Dreh- und Angelpunkt bei der Entwicklung von Datenlösch- Strategien ist eine ganzheitliche Sicht auf das Vorhaben bei gleichzeitiger Berücksichtigung der jeweiligen unternehmensspezifischen Anforderungen und Datenstrukturen. Nach Analyse der Ist-Situation (Was muss wann gelöscht werden?) wird ein Plan beziehungsweise eine Strategie für die Soll-Situation mit Blick auf die Einhaltung von gesetzlichen Bestimmungen, Anforderungen der Security Policy des Unternehmens und andere Faktoren erstellt. Bisweilen gilt es im Rahmen einer solchen Strategieentwicklung, das Bewusstsein für das Thema Datenlöschung unternehmensintern zu schärfen beziehungsweise überhaupt erst zu schaffen. So hält etwa der Löschbutton bei Windows mitnichten das, was er verspricht gelöscht wird hier nicht wirklich. Der Befehl Löschen oder Entfernen verändert lediglich die File Allocation Table (FAT). Die Daten bleiben auf der Festplatte und lassen sich mit geringem Aufwand wieder auslesen. Entscheidend bei der Umsetzung der Datenlösch-Strategie ist die Auswahl der richtigen Lösung. Wichtig ist eine wirklich sichere Löschung der Daten, denn Löschung ist nicht gleich Löschung: Häufig werden geschützte Bereiche der Festplatte überhaupt nicht gelöscht. Die eingesetzten Produkte sollten von unabhängiger Seite zertifiziert und getestet sein. Neben der richtigen Löschtechnologie, Bedienkomfort und Einhaltung gesetzlicher Richtlinien zählt dabei die Qualität des Berichtswesens: Nur wenn umfassende Löschprotokolle nachweisen, dass der Datenlöschprozess erfolgreich war, können Unternehmen in Prüfaudits bestehen. Die Wahl sollte deshalb immer auf einen zertifizierten Anbieter fallen. Modifizierter Auszug aus einem Beitrag von Thomas Wirth, Blancco Central Europe, erschienen in der IT-SICHERHEIT 4/

8 Authentifizierung/IdM/IAM Norbert Pohlmann Wer bin ich? Mehrmals täglich müssen wir uns gegenüber einem Großrechner, einem Server, unserem PC, unserem Notebook, unserem Smartphone oder einem Online-Dienst identifizieren. Doch woher wissen Computer und Internet-Dienstleister wie Facebook, Amazon oder Google, dass der Zugreifende auch derjenige ist, mit dem eine Interaktion gewünscht ist? die Eindeutigkeit der Identität von den Standesämtern garantiert. Eine Identifikation muss innerhalb eines Systems (einer Organisation) abgesprochen sein, damit sie eindeutig ist. Oft werden gültige -Adressen als Identifikation verwendet, weil diese immer und auch weltweit eindeutig sind. Als Erstes muss sich der Nutzer gegenüber dem Computer oder dem Internet-Dienst identifizieren und authentifizieren. Diese Identifikation ist die Angabe eines kennzeichnenden Merkmals, zum Beispiel des Benutzernamens. Im täglichen Leben wird eine Person eindeutig durch die Angabe von Vorname, Nachname, Geburtsort und Geburtstag identifiziert. In den meisten Ländern wird Die Authentifizierung ist die Überprüfung der angegebenen Identität oder die Überprüfung, ob jemand echt oder berechtigt ist. Für die Authentifizierung von Benutzern sind unterschiedliche Authentisierungsverfahren möglich: Einfache Passwortverfahren, Einmal-Passwort-, 8

9 Biometrie- und Challenge-Response-Verfahren. Besonders sicher sind kryptographische Verfahren, die mit Hilfe von Security-Token arbeiten. Das heute noch meist verwendet, aber gleichzeitig auch das am wenigsten geeignete Authentifizierungsverfahren ist das Passwortverfahren. Denn der Einsatz eines einfachen Passwortmechanismus bringt zahlreiche Sicherheitsprobleme mit sich. Mit der steigenden Anzahl von genutzten Computern und Internet-Diensten wird die Sammlung an verschiedenen Passwörtern der Nutzer immer größer. Probleme, die hier in der Breite auftreten, sind die Verwendung von qualitativ schlechten Passwörtern, die Verwendung eines guten Passworts für unterschiedliche Dienste oder die Übertragung von Passwörtern im Klartext in Http-Sessions oder in s. Häufig vorkommende Angriffsmethoden auf den einfachen Passwortmechanismus sind Trojanische Pferde mit Key-Logger-Funktionen auf den Zugangs-Computern (PC, Notebook, Smartphone, Internet-Cafe-Rechner ), Phishing-Webseiten und/oder Social Engineering. Bei Einmal-Passwörtern wird jedes Passwort nur einmal verwendet. Hier gibt es im Prinzip zwei unterschiedliche Methoden: Passwörter werden im Vorfeld bestimmt und verteilt oder der Benutzer kann sie nach einem definierten Verfahren berechnen. Biometrie ist die Identifikation und Authentisierung mittels biologischer Merkmale. Biometrische Authentisierung verwendet physiologische oder verhaltenstypische, also personengebundene Charakteristika. Der Vorteil liegt darin, dass biometrische Merkmale nicht gestohlen und im Allgemeinen nur schwer kopiert werden können. Dabei können biometrische Merkmale auf viele Arten gemessen werden. Die unterschiedlichen Verfahren messen zum Beispiel das Tippverhalten an einer Tastatur, die Fingergeometrie, das Fingerlängenverhältnis oder die Handgeometrie. Weitere Möglichkeiten sind die Stimmanalyse, die Gesichtserkennung, die Erfassung der Unterschriftendynamik, des Netzhautmusters, des Irismusters oder des genetischen Fingerabdrucks. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 98 Berater/Dienstleister:... Seite Seite Seite Seite 84 Bei dem Challenge-Response-Verfahren muss sich der Nutzer spontan kryptographisch beweisen. Dazu braucht er einen geheimen Schlüssel und ein kryptographisches Verfahren. Ein Security-Token ist eine sichere Hardwarekomponente zur Identifizierung und Authentifizierung von Nutzern. Wichtig ist, dass der Nutzer zwingend das Security-Token besitzen muss, damit er sich authentisieren kann. Neben Security-Token, mit eigenem Display und evtl. auch eigener Eingabemöglichkeit, die weit verbreitet sind, spielen Smartcards auch eine wichtige Rolle. So gibt es in Deutschland mit dem neuen Personalausweis (npa) die Möglichkeit für jeden Bürger, sich damit sicher identifizieren und authentifizieren zu lassen. Die eigentliche Verifikation erfolgt über ein sicheres Kryptografie-Protokoll. Ein weiterer und wichtiger Vorteil ist, dass mit dem neuen Personalausweis auch die überprüfende Stelle mit Hilfe eines notwendigen Berechtigungszertifikats von den Bürgern überprüft wird und damit eine gegenseitige Identifizierung und Authentifizierung durchgeführt wird. 9

10 Backup & Restore Stefan Mutschler Backup & Restore im Zeitalter der Cloud Schnelle Rückkehr zum Business Datensicherung und -Wiederherstellung (Restore/Recovery) haben sich im Laufe der Jahre zur umfassenden Disziplin für das Datenmanagement entwickelt. Entsprechend vielfältig ist das Angebot der verfügbaren Lösungen. Einige Backup-Software-Pakete lassen sich modular für unterschiedliche Aufgaben nachrüsten. Datenmanagement-Suiten, die tatsächlich alle Speicheraufgaben eines Unternehmens abdecken, sind jedoch trotzdem bis heute eher rar. Die Virtualisierung von Rechenzentren beziehungsweise die Nutzung von Cloud-Services stellt vielmehr sogar die Basisfunktionen des Backups und Restore vor neue Aufgaben. In IT-Systemen gespeicherte Daten haben eine magische Eigenschaft: Ihr Umfang und damit auch der benötigte Speicherplatz wächst exponentiell. Das liegt zum Beispiel daran, dass der Anteil multimedial angereicherter Daten im Vergleich zu traditionellen, tabellarisch darstellbaren und rein Zeichen-basierten Informationen immer größer wird. Eine weitere Ursache ist, dass Applikationen in Unternehmen so gut wie nie ausrangiert werden, selbst wenn sie längst nicht mehr aktiv genutzt werden. Geht der Platz aus, werden einfach neue Speichersysteme angeschafft. Was dabei unter den Tisch fällt: Die neuen Speichersysteme beanspruchen Raum im Rechenzentrum, verbrauchen Energie für Betrieb und Kühlung, blähen die Verwaltung inklusive Backup auf, beanspruchen Rechenkapazität, mindern damit die Leistung und vieles mehr. Das umfassende Ausmisten gegebenenfalls mit Konsolidierung von Daten unterschiedlicher Quellen auf einer neuen Plattform gehört zu den hei- 10

11 kelsten und wahrscheinlich von daher am stärksten vernachlässigten Speichermanagement-Aufgaben schlechthin. Eine gangbare Datensicherungsstrategie muss aber nicht nur das deutlich vergrößerte Speichervolumen berücksichtigen, sondern auch den dafür nötigen Transportweg zwischen Primär- und Sicherungsspeichern. Das gilt umso mehr, wenn Speichersysteme künftig verstärkt in die Cloud wandern und der Backup-Speicher über WAN-Schnittstellen bedient werden muss. Eine moderne Backup-Software muss daher viel mehr leisten, als einen zeitgesteuerten Sicherungsjob anzustoßen und bei Bedarf Daten wiederherzustellen. Das heißt aber nicht, dass die Grundaufgaben weniger wichtig geworden wären. Im Gegenteil besonders beim Recovery stellt das moderne Business heute verschärfte Anforderungen. Je nach Bedeutung für das Unternehmen sind für unterschiedliche Daten verschiedene Zeitvorgaben für die Wiederherstellung vorgegeben. Bei Servern liegen sie in der Regel im Stundenbereich bei kleineren wichtigen Dateien oft nur bei wenigen Minuten. Ein wichtiger Aspekt bei Backup-Software ist in diesem Zusammenhang die Skalierbarkeit. Die Vorgaben für die zulässige Recovery-Dauer müssen auch bei wachsenden Datenmengen eingehalten werden. Vieles spricht dafür, dass Speichersysteme künftig verstärkt in die Cloud wandern: Es entstehen keine Investitionskosten, der Speicher ist sofort nutz- und bei Bedarf nahezu beliebig erweiterbar. Wer gezielt auf ein Enterprise-Cloud-Storage- Konzept setzt, kann im Idealfall auch hinsichtlich Datensicherheit sowie Backup, Restore und Desaster Recovery handfeste Vorteile abgreifen: Ein entsprechendes Dienstangebot beim Provider vorausgesetzt, lassen sich über die Cloud Instant Offsite-Backups zu vergleichsweise niedrigen Kosten ziehen von überall zugreifbar. Ein Grundmanko der Cloud bleibt jedoch auch in Sachen Backup und vor allem Restore bestehen: Verabschiedet sich die Internet-Verbindung, lassen sich in diesem Moment Daten weder sichern noch wiederherstellen. Gerade Letzteres ist als kritischer Faktor zu sehen. Auch bei der Kostenrechnung sieht man schnell, dass CloudStorage im Vergleich zu lokalen Disks und noch mehr im Vergleich zu den Bändern meist noch relativ teuer ist. Das liegt zum einen am rein Disk-basierten Service in der Cloud, zum anderen am teuren Transportweg über öffentliche WAN-Verbindungen. Letzteres gilt bei jeder Form des offsite-backups, also auch bei Backup-Speicherung in einer anderen Niederlassung. In einigen Branchen wie etwa bei Banken ist die geografische Trennung der Original- und Backup-Daten sogar gesetzlich vorgeschrieben. Der Schlüssel, um Cloud Storage im Enterprise- Maßstab konkurrenzfähig zu machen beziehungsweise verteilte Datensicherung kosteneffizient zu realisieren liegt also darin, die zu transportierenden Daten so weit als möglich zu reduzieren. Neben der Konsolidierung beziehungsweise Archivierung von aktiv beziehungsweise passiv genutzten Daten gehören dazu die Beseitigung von Dubletten (jede Information sollte organisationsweit nur genau einmal gespeichert sein) und die Kompression (algorithmische Verdichtung). Deduplikation und Kompression gehören heute zu den wichtigen Standardaufgaben einer Backup-Software, wobei sich die Hersteller derzeit in der Ratio der damit möglichen Datenreduktion zu überbieten versuchen. Leider sind die Angaben nicht immer transparent die Möglichkeiten sowohl der Deduplikation als auch der Kompression hängen stark von der Art der Ausgangsdaten ab, und die publizierten Durchschnittswerte basieren oft auf einem nicht näher spezifizierten Datenmix. Mit den wachsenden Durchsatzanforderungen gehen nun langsam auch die Tage des Magnetbands (Tape) ihrem Ende entgegen. Nach wie vor gibt es zwar kein preisgünstigeres Backup-Medium, aber der Abstand zu Disk-basierten Systemen wird zusehends kleiner. Auf der anderen Seite etablieren sich Flash-Speicher mehr und mehr als Primärspeicher die Disk wird quasi das neue Band. Mit der Cloud geht der Trend bei der Backup-Software allmählich in Richtung eines hybriden und modular aufgebauten Backup & Recovery mit zentralen Funktionen für das Datenmanagement. Produktanbieter:... Seite Seite Seite Seite Seite Seite 98 Berater/Dienstleister:... Seite Seite Seite Seite Seite 81 11

12 Business Continuity Aidan Gogarty, HOB GmbH & Co. KG Regeln für eine umfassende Business Continuity In der modernen Arbeitswelt darf es keinen Stillstand geben. Betriebsstörungen, die dazu führen, dass Arbeit und Produktion ruhen, ziehen oft schlimme Konsequenzen nach sich. Um solche Ausfall-Situationen zu vermeiden und im Notfall betriebsfähig zu sein, sind Business-Continuity- und Desaster-Recovery-Planungen unabdingbar. Z wischen Business Continuitiy und Desaster Recovery gibt es grundlegende Unterschiede. Desaster Recovery beschäftigt sich mit der Wiederherstellung der Ressourcen. Es beschreibt den Prozess, über den der Betrieb nach einer Störung wieder aufgenommen wird. Business- Continuity-Planung ist ein umfassenderer Ansatz, welcher sich nicht nur auf die Wiederherstellung der Ressourcen bezieht, sondern auch alle anderen Unternehmensfunktionen einbezieht von Mitarbeitern und Gebäuden bis hin zur IT. Daher Unternehmen und Organisationen mit einer umfassenden Business-Continuity- Planung können nach einem Notfall den Betrieb schneller und effektiver wiederaufnehmen als solche, die hier geschluist Desaster-Recovery-Planung lediglich ein wichtiger Bestandteil einer umfassenden Business-Continuity-Konzeption. In der Business-Continuity-Planung wird definiert, welche Geschäftsabläufe und -verfahren im Katastrophenfall aufrechtzuerhalten sind und wie dies erreicht werden soll. Dies betrifft unter anderem: technische und IT-Systeme Gebäude Personal Lieferanten/Partner Warum beschäftigen sich manche Unternehmen immer noch ungern und nicht intensiv genug damit, ihre Abläufe und Systeme so aufzustellen, dass Business Continuity garantiert ist? Zum einen vielleicht, weil Unternehmen und Unternehmer sich lieber mit ihren Chancen als mit Risiken beschäftigen. Zum anderen mag auch nicht jedem immer klar sein, wie stark sich die Risiken in einer globalisierten Welt erhöht haben. Und zu guter Letzt: Business-Continuity- und Desaster- Recovery-Planungen sind hoch komplex. Eine Business-Continuity-Planung muss gut durchdacht sein und alle Geschäftsbereiche berücksichtigen. 12

13 dert haben. Um Unternehmen Richtlinien und Best-Practice-Ansätze zur Vorbereitung auf Betriebsstörungen an die Hand zu geben, wurde die internationale Norm ISO für Business Continuity-Management ins Leben gerufen. Sie gibt klare Anleitungen und Rahmenkonzepte zur Erstellung von unternehmensspezifischen Business-Continuity-Plänen. Was gehört grundlegend zu einer richtigen Business-Continuity-Planung und welche Schritte sollten beachtet werden? Unternehmen müssen beispielsweise ihre Budgets und Markteintrittsstrategien langfristig planen und darlegen. Warum? Wenn ein Unternehmen seine Ziele nicht definiert, den Unternehmenszweck und seine Pläne nicht darlegt, kann es auch nicht entscheiden, welche Prozesse und Systeme besonders kritisch für die Erreichung und Einhaltung dieser Ziele und Pläne sind. Somit fehlt es an der Basis zur Entscheidungsfindung: Welche Systeme und Abläufe müssen besonders ausfallsicher gestaltet werden, welche Ausfälle kann das Unternehmen in einer Notsituation verkraften? Darüber hinaus gehen alle Business-Continuity-Pläne auch ins Detail: Welche Mitarbeiter müssen im Notfall weiterhin miteinander kommunizieren können, wo werden sie arbeiten und ihre Arbeit weiter durchführen? Business-Continuity-Experten raten zu einem Business-Continuity-Management- Lebenszyklus, welcher in folgende fünf Phasen aufgeteilt wird: 1. Schritt: Risikoanalyse Um den Lebenszyklus einer Business Continuity-Planung zu starten, definiert die Managementebene aus allen Geschäftsbereichen Business-Continuity-Ziele und den Planungsrahmen. Das ernannte Business-Continuity-Management-Team muss als ersten Schritt eine Risikoanalyse durchführen. Bei deren Umsetzung gibt es verschiedene Methoden, etwa die Business Impact Analysis zur Ermittlung des Einflusses bestimmter Gefahren und Störungen auf die Betriebsfähigkeit. 2. Schritt: Strategiedefinition Auf Basis der Risikoanalyse sollte das Management passende Strategien für Ereigniseintritte entwickeln. Dabei werden die Prioritäten der einzelnen Strategien defi- niert. Für diese Strategien wird auch eine passende Planstruktur entwickelt. 3. Schritt: Lösungsgestaltung und Implementierung Für die Lösungsgestaltung müssen verschiedene Rollen, Prozesse und Technologien definiert werden. Dies beinhaltet nicht nur ein Krisenmanagement-Team, sondern auch eine Auflistung von Mitarbeiterressourcen und Aufgaben. Zudem muss ein Konzept für Backup und Wiederherstellung aufgestellt werden. 4. Schritt: Testen Testen ist einer der wichtigsten Punkte, bevor ein Business Continuity-Plan finalisiert wird. Der Plan muss mit verschiedenen Szenarien getestet werden. Dabei ist es wichtig, den Testprozess übersichtlich und nachvollziehbar im Testreport zu dokumentieren. Danach können die Testergebnisse anhand des Reports ausgewertet werden. Aber ein guter Plan und ein ausgereiftes Konzept sind nichtig, wenn die Mitarbeiter das Vorgehen nicht nachvollziehen können. Deshalb gehört zu diesem Schritt unbedingt auch die Sensibilisierung und Schulung der Mitarbeiter. 5. Schritt: Verwaltung und Instandhaltung Im Lebenszyklus des Business Continuity- Plans können neue Risikofaktoren für den Geschäftsbetrieb entstehen. Möglicherweise ändern sich Unternehmensstrukturen nachhaltig. Deshalb gilt es, den Plan in regelmäßigen Abständen zu prüfen und eventuell zu überarbeiten. Natürlich muss auch hier eine Änderung des Plans nochmals getestet werden. Business-Continuity-Planungen sind essenziell für die Zukunftssicherung eines Unternehmens. Sie sollten darum auch sehr sorgfältig vorgenommen werden. ISO-Zertifizierungen können diese Planungen sinnvoll strukturieren und begleiten. Ein besonders kritischer Faktor für die Aufrechterhaltung des Betriebs im Notfall sind die IT-Systeme eines Unternehmens. Modifizierter Auszug aus einem Beitrag von Aidan Gogarty, HOB GmbH & Co. KG, erschienen in der IT-SICHERHEIT 1/2014. Produktanbieter:... Seite Seite Seite Seite Seite 80 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 97 13

14 Cloud Security Prof. Dr. Norbert Pohlmann, Institut für Internet-Sicherheit Wolkenstimmung Cloud Computing ist mittlerweile in der Mitte unserer modernen Gesellschaft angekommen und ein wichtiger Teil der IT und des Internets. Nach der Vielzahl an Vorfällen der letzten Monate gilt aber mehr denn je: Die Aspekte IT-Sicherheit und Vertrauenswürdigkeit entscheiden darüber, wie schnell und wie tief Cloud-Dienste den IT-Markt in Deutschland weiter durchdringen werden. Daten werden bei Cloud-Diensten innerhalb einer externen IT-Infrastruktur generiert, gespeichert, verarbeitet und gelöscht. Die Preis-Effizienz eines hohen Sicherheitslevels der zugrundeliegenden IT-Infrastruktur erhöht sich prinzipiell. Trotzdem stellen Cloud-Dienste neue Herausforderungen an die IT-Sicherheit und die Vertrauenswürdigkeit der Anbieter. Die Sicherheitsvorteile bei größeren Cloud-Dienst-Anbietern liegen im Bereich Verfügbarkeit, Ausfallsicherheit, Elastizität, Toleranz und Business Continuity. Außerdem kann eine physikalische Sicherheit der IT-Infrastruktur bei großen Cloud-Anbietern einfacher und insgesamt kostengünstiger umgesetzt werden. Eine einheitliche Härtung von IT- 14

15 Systemen sowie eine optimale Umsetzung von Patch-Management lassen sich beispielsweise ebenfalls von zentraler Stelle sicher und nachhaltig umsetzen. Die zusätzlichen Angriffsvektoren von Cloud-Diensten liegen aus Nutzersicht unter anderem in der notwendigen öffentlichen Vernetzung, die dauerhaft einen attraktiven und zentralen Angriffspunkt darstellt. Außerdem kennen Nutzer nicht die Orte, an denen ihre Daten gespeichert sind. Sie können sich auch nicht sicher sein, dass ihre Daten überhaupt noch existieren. Prinzipiell gibt es Schwachstellen bei Shared Services, die dafür verantwortlich sind, dass Angreifer auf unsere Daten zugreifen können. Bei Cloud-Dienst-Anbietern spielt die Vertrauenswürdigkeit eine herausragende Rolle, da die Verlagerung von Daten und Diensten in die Cloud mit einem Kontrollverlust der Nutzer einhergeht. Daher müssen Nutzer Zeit in die Auswahl des richtigen, vertrauenswürdigen Dienstleisters investieren. Außerdem sollte jedem Unternehmen klar sein, dass amerikanische Cloud-Dienstleister laut Patriot Act dazu verpflichtet sind, Daten an ihre Regierung weiterzugeben auch wenn die Rechenzentren des Cloud-Dienstes in Europa stehen. Entscheidend für die Auswahl sind demnach sowohl Standort des Rechenzentrums als auch Herkunft des Cloud-Dienstleisters. Viele Cloud-Dienst-Anbieter, wie zum Beispiel Dropbox, legen vor allem Wert auf Marktanteile und weniger auf IT-Sicherheit. In Folge werden sie langfristig keine Vertrauenswürdigkeit bei den Nutzern aufbauen können, selbst wenn der Cloud-Dienst sehr gut und einfach zu bedienen ist. In diesem Bereich spielen auch kulturelle Aspekte eine Rolle. Deutsche Unternehmen haben einen sehr viel höheren Anspruch an IT-Sicherheit und Datenschutz als beispielsweise amerikanische, die aber weltweit Marktführer im Bereich von Cloud-Diensten sind. Aktuell besteht die Herausforderung darin, wie die IT-Sicherheit und Vertrauenswürdigkeit von Cloud-Diensten geschaffen, gemessen und aufrechterhalten werden kann. Weitere Innovationen im Bereich Cloud Computing werden hinzukommen, aber die Verantwortung für die eigenen Daten und die IT-Sicherheit werden die Nutzer auch in Zukunft nicht auf die Anbieter übertragen können. Nutzer sollten die Cloud- Dienstanbieter sorgfältig auswählen und Verträge aushandeln, die unsere IT-Sicherheits- und Vertrauenswürdigkeitsbedürfnisse widerspiegeln. Denn insgesamt gibt es noch einen sehr großen Handlungsbedarf, dem wir in den nächsten Jahren mit den passenden IT-Sicherheits-, Datenschutz- und Vertrauenswürdigkeitsmaßnahmen gerecht werden müssen. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite 99 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 99 15

16 Compliance/GRC Philipp Schöne, Axway Das Damoklesschwert der IT: Compliance IT-Compliance ist ein ungeliebtes Thema: Unzählige Anforderungen von unterschiedlichen Seiten sollen umgesetzt und auditiert werden. Die meisten Unternehmen wissen um die Problematik, setzen Compliance- Vorgaben aber nur zögerlich um. Das ist riskant. Z wei übergreifende Entwicklungen sorgen für immer mehr Komplexität in der IT-Infrastruktur: Kaum ein Unternehmens-Prozess kommt nunmehr ohne die Unterstützung der IT aus, inklusive der Verarbeitung geschäftskritischer Daten. Zudem sorgt nicht zuletzt die öffentliche Diskussion für ein wachsendes Sicherheitsbewusstsein und noch mehr Compliance-Regeln. Wie lässt sich die Einhaltung dauerhaft umsetzen? Jeder Partner hat eigene Regeln Jede Geschäftsbeziehung, die ein Unternehmen eingeht, unterliegt bestimmten Compliance-Regeln. Diese sollen Datenmissbrauch auf möglichst jeglicher Ebene verhindern. Alle Unternehmens-Prozesse unterliegen dabei Regularien von Behörden, Verbänden, Produktionspartnern und natürlich Kunden. Diese reichen von übergeordneten Vorschriften wie dem Bundesdatenschutzgesetz bis hin zu speziellen Ablaufregeln, einen bestimmten Datenaustauschprozess mit einem einzelnen Kunden betreffend. Das Problem in der Praxis besteht nicht nur darin, dass man all diese Regularien kennen und umsetzen muss, sondern dass diese auch von unterschiedlichen Stellen geprüft werden: Jeder Partner führt eigene Audits durch, benötigt verschiedene Daten, bereitgestellt auf die Art und Weise, die er verarbeiten kann. Das zieht beträchtlichen Aufwand nach sich. Je größer ein Unternehmen, umso schwieriger wird es, die verschiedenen Abteilungen aufeinander abzustimmen. Es ist deshalb notwendig, dass es einen Verantwortlichen gibt, der den Überblick bewahrt und die Unterstützung des Managements genießt. Denn es nützt wenig, wenn alle internen Prozesse die 16

17 Compliance-Vorgaben erfüllen, wenn sensible Daten bei einem Zulieferer oder Sublieferanten nicht gesichert verarbeitet werden. Die Sicherheit des gesamten Prozesses ist dann gefährdet. Große Defizite bei den Unternehmen Die IT-Infrastrukturen in den Unternehmen wachsen über Jahre hinweg und werden nach Bedarf neuen Bedingungen angepasst oder erweitert. Soll heißen: Sie werden normalerweise nicht rund um Compliance-Regeln gebaut, sondern entstehen im Business-Alltag. Punkt- Lösungen und Silo-Bildung sind die Folge den Gesamtüberblick über zutreffende Compliance-Regularien und deren Einhaltung erschwert das immens. Eine kürzlich erschienene Studie des auf den IT-Markt spezialisierten Analystenhauses Ovum und des Software- und IT-Dienstleistungsunternehmens Axway bestätigt dies: Viele Unternehmen erfüllen die Anforderungen an die Datensicherheit und IT-Compliance nicht und haben Probleme mit komplexen Integrationen. Es wurden rund 450 IT-Führungskräfte aus Europa, Nordamerika und Asien nach ihren Herausforderungen in Bezug auf die zunehmende Komplexität und die damit verbundene erschwerte Umsetzung von Compliance-Initiativen befragt. 23 Prozent der Befragten gaben an, in den letzten drei Jahren mindestens ein Sicherheit-Audit nicht bestanden zu haben. 17 Prozent glauben nicht, dass ihr Unternehmen im Moment ein Compliance-Audit bestehen würde, oder können dies nicht beurteilen. Das sind alarmierende Zahlen. Die Studie ist deshalb interessant, weil sie auch nach Gründen sucht, warum sich Unternehmen mit der Compliance so schwertun. So gibt es den Angaben zufolge bei gut 71 Prozent der Unternehmen kaum Synergien zwischen der Integrationsstrategie und der Datensicherheit sowie den Compliance-Richtlinien. Mehr als die Hälfte der Unternehmen nutzt Insellösungen in den Bereichen On-Premise- Application-Integration sowie B2B- und Cloud-Integration. Da heutzutage immer mehr Unternehmensressourcen, wie z. B. Anwendungen, Dienste und Daten, externen Partnern und Kunden zur Verfügung gestellt werden, setzt der weitaus größte Teil der befragten Unternehmen auf API- Programme: 78 Prozent arbeiten bereits damit oder planen den Einsatz. Compliance langfristig etablieren Compliance ist kein Projekt, das irgendwann zu Ende ist. Vielmehr benötigen Unternehmen einen fest etablierten, dauerhaft begleitenden Prozess dafür, denn Compliance-Regularien ändern sich ständig und deren Einhaltung muss regelmäßig auditiert werden. Nicht zuletzt kann die Verletzung von Compliance- Vorschriften auch Auswirkungen auf das Management haben, insbesondere, wenn es um die Geschäftsführerhaftung geht. Die beste Basis ist ein dediziert Verantwortlicher, beispielsweise aus dem IT- Security-Bereich. Dieser sollte sich einen Überblick über die einzuhaltenden Vorschriften verschaffen und die vorhandene IT-Landschaft daraufhin überprüfen. Daraus lassen sich Aktionen ableiten, die zu einer umfassenden Compliance führen. Dieser Anfangsaufwand ist hoch, doch dringend notwendig. Hat sich der Prozess erst etabliert, sind weniger Ressourcen nötig. Externe Audits und Prüfungen können schneller bewertet und durch diese zentrale Übersicht unterstützt werden. Denn wenn das Thema Compliance stets in alle Geschäftsprozesse einbezogen und damit ein entsprechend sicheres Niveau erreicht wird, müssen bei Bedarf nur noch kleinere Anpassungen gemacht werden. Und dies lässt sich langfristig planen: Denn neue Compliance-Vorschriften treten nicht über Nacht in Kraft. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 99 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 99 17

18 Data Leakage Prevention Andrew Ladouceur, Clearswift DLP-Strategie richtig aufsetzen Vor der Implementierung von DLP gilt es zunächst, mit allen Stakeholdern zu kommunizieren. Während viele IT-Projekte von der IT betrieben und in die Organisation ausgerollt werden, kommt es bei DLP darauf an, dass die Organisation gemeinsam mit der IT agiert. Denn das Verständnis der darin enthaltenen Information und deren Relevanz liegt bei der Organisation nicht bei der IT. Eine Handlungsanweisung in acht Schritten. Schritt 1: Die meisten Organisationen sind sich nicht über den Wert ihrer Informationen im Klaren. Daher müssen alle Stakeholder in diesen Identifikationsprozess eingebunden werden und danach muss die Information priorisiert werden. Hier kann man einteilen in Informationen, die aufgrund rechtlicher Vorgaben abgesichert werden müssen, wie Kreditkartenund Bankinformationen. Ferner gibt es solche Informationen, die unmittelbaren Schaden anrichten, wenn sie in die Hände der Konkurrenz fallen, wie Angebote an Kunden oder Finanzreports oder auch geistiges Eigentum, Firmenstrategien oder M&A-Pläne. Schritt 2: Manche Applikationen sitzen auf Datenbanken, die sehr viele wertvolle Informationen enthalten. Trotzdem gibt es auch für diese Informationsquellen Reports, die ausgeführt werden, um die In- formationen zu extrahieren, und die dann heruntergeladen und per Ausschneiden und Kopieren in Reports verpackt, an E- Mails angehängt und vielleicht sogar ins Netz gestellt werden. Für eine kostengünstige Planung müssen diese Informationen zuerst lokalisiert werden. Sind alle Informationen innerhalb der Organisation auf Geräten, die den Perimeter nicht verlassen, reicht eine Netzwerk-DLP-Lösung aus. Müssen die Informationen jedoch auch auf Laptops, Tablet-Rechnern und Smartphones geschützt werden, ist zusätzlich eine Endpoint-DLP-Lösung erforderlich. Schritt 3: Im nächsten Schritt geht es darum, festzustellen, wer Zugriff auf diese Informationen benötigt und wer vielleicht nicht. Handelt es sich um Einzelpersonen oder Gruppen, und werden diese geographisch oder nach Rollen organisiert? Zur effektiven Integration der 18

19 DLP-Lösung muss die Organisationsstruktur im Identity and Access Management (IAM)-System abgebildet werden, zum Beispiel im LDAP oder im Active Directory. Schritt 4: Vor dem Aufbau der Policy sollte man feststellen und priorisieren, wie die Informationen kommuniziert werden. Für die meisten Organisationen liegt die Hauptpriorität dabei auf dem internen -Verkehr, und das Netz kommt erst an zweiter Stelle. Organisationen mit Laptops sollten auch Schutzmaßnahmen gegen das nicht sichere Kopieren von Informationen auf abnehmbare Medien ergreifen (USB-Sticks, CDs etc.). Für viele Geräte sind auch Maßnahmen zum Schutz vor Datenverlust zu ergreifen, wenn die Daten sich außerhalb des Unternehmensnetzwerks befinden und Mitarbeiter beispielsweise von zu Hause oder vom Café aus arbeiten. Schritt 5: Sind diese Schritte erfolgt, kann eine einheitliche Policy über Netzwerk, Endpoints, und Web hinweg aufgesetzt werden. Dabei besteht die Gefahr des Datenverlusts, wenn man nur die s absichert, aber trotzdem den Zugang zum Internet erlaubt. Ebenso besteht ein Risiko für Daten, wenn Informationen zwar im Netzwerk als streng geheim, auf dem Endpunkt jedoch nur als zur Information eingestuft werden. Auch wenn man erst einmal klein anfangen will, erscheint diese Aufgabe immens umfangreich. Durch Priorisierung der Informationen, Speicherorte, Mitarbeiter und Kommunikationskanäle lässt sich der Umfang eingrenzen. Auch wenn viele Organisationen unterschiedlich sind, legen die meisten die erste Priorität auf das Thema und konzentrieren sich dabei zu Anfang auf Informationen, die bei einem Problem zu rechtlichen Konsequenzen führen können, wie zum Beispiel Kreditkartendetails. s lassen sich am einfachsten mittels einer Netzwerk- DLP-Lösung absichern. Der Vorteil netzwerkbasierter Lösungen liegt darin, dass alle Geräte abgesichert werden, die ans Netzwerk angebunden werden, und somit kein separater Agent auf allen Endpoints erforderlich ist. Somit ergibt sich hier der logische Anfangspunkt. Ist der Bereich erfolgreich abgesichert, erfolgt die Absicherung des Netzwerks und zu guter Letzt der Endpoints. Auf jeder Stufe können hierbei die Policies überarbeitet und verfeinert werden. Schritt 6: Erstellen Sie nun einen Umsetzungsplan und denken Sie dabei an die Folgen fürs Geschäft, wenn Sie Aktionen durchführen. Überprüfen Sie die Policies und richten sie diese am Zweck des Einsatzes aus. Minimieren Sie Fehlalarme durch Feinabstimmung der Policies, bevor diese ausgerollt werden. Stimmen Sie sich mit den Mitarbeitern im IT-Support bezüglich der neuen Policy und der neuen Technologie ab, damit diese vorbereitet sind, falls Anrufe kommen. Die Aktivitäten können mit der Zeit ausgebaut werden. So kann zum Beispiel zunächst eine Warnung erfolgen, bevor drakonische Maßnahmen ergriffen und die Inhalte gestoppt und geblockt werden. Schritt 7: Eine DLP-Policy braucht konstante Anpassung, da sich ständig die Gesetzgebung, Geschäftsprozesse, Informationen, Speichergeräte bis hin zur Belegschaft ändern. Die DLP-Policy muss diese Veränderungen abbilden, um den Geschäftsbetrieb zu unterstützt und das bedeutet regelmäßige Überprüfung und Aktualisierung. Sowohl die IT-Mitarbeiter als auch die Mitarbeiter im Unternehmen sollten hierbei eingebunden werden. Schritt 8: Ein Datenverlust ist sehr wahrscheinlich und für einige Industriebereiche gilt eine Selbstoffenlegungspflicht. Deshalb ist ein Prozess extrem wichtig, und zum anderen spart ein solcher Prozess im Fall des Falles Zeit, Aufwand und Verwirrung. Klären Sie, was zu tun ist, wenn ein Verstoß geschieht und Informationen verloren gehen. Die Planung eines solchen Szenarios hilft beim Aufbau eines entsprechenden Prozesses, und auch wenn man sich in den Medien ansieht, welche anderen Maßnahmen ergriffen werden, erhält man wertvollen Input. Die Möglichkeit, dies in einem theoretischen Szenario durchzuspielen, erlaubt eine ruhige und logische Planung, anstatt unter Druck wie im Ernstfall was durchaus zu schlechten Entscheidungen bei den erforderlichen Maßnahmen führen kann. Der Schlüssel liegt darin, ein Team mit klar definierten Verantwortlichkeiten zu haben, insbesondere beim Umgang mit Medien und Kunden. Somit wird das wohl eher der CEO oder der Geschäftsführer sein als irgendjemand aus dem Marketing. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite 98 Berater/Dienstleister:... Seite Seite Seite Seite 81 19

20 Datenbanksicherheit Franz Huell, McAfee GmbH Datenbanksicherung als geschäftskritische Notwendigkeit Es vergeht kaum ein Tag, an dem nicht der Verlust von Passwörtern und Kundendaten für Schlagzeilen in den Medien sorgt. Daraus lässt sich zweierlei ablesen: ein oft zu leichtfertiger Umgang mit unternehmenskritischen Daten und die Verletzlichkeit moderner Infrastrukturen in Unternehmen. Worauf es beim Erarbeiten einer Sicherheitsstrategie ankommt, verrät folgender Beitrag. Die Schlagzeilen rund um erfolgreiche Hacks in die IT-Infrastruktur eines Unternehmens vermitteln oft das romantisierende Bild eines jugendlichen Computerfreaks, der aus Abenteuerlust in einen Server eindringt. Dieses aus Romanen und Filmen nachhallende Klischee hat mit der skrupellosen kriminellen Energie moderner Cyber-Terroristen nichts mehr zu tun. Ihnen geht es manch- mal nicht einmal um den Diebstahl von Daten, sondern um deren Zerstörung. Datenbankschäden können Existenzen gefährden Während der Sicherheitsanalyse der eigenen IT-Landschaft denken die Verantwortlichen üblicherweise an naheliegende Bedrohungen und besonders exponierte Systeme. Online-Shop und ECM-Systeme landen fast automatisch auf der Agenda, so wie auch die Sicherung von Routern, Hubs oder Drucker-Servern. Angriffe auf diese Systeme können den Geschäftsbetrieb beeinträchtigen, keine Frage. Ein längerfristiger Ausfall eines Datenbank- Servers oder gar der Verlust der darauf gespeicherten Informationen trifft das Unternehmen aber in seinem Kern. Nur selten kann ein Verlust so schnell wie benötigt und vollständig durch ein Backup kompensiert werden, zumal das Einspielen der Daten einen funktionierenden Server und eine unbeschädigte Datenbank voraussetzt. Datenbanken sind geschäftskritisch und deren Sicherheit sollte von CTO, CIO und auch Datenschutzbeauftragten gemeinsam mit hoher Priorität untersucht werden. 20