Branchenbuch IT-Sicherheit

Transkript

1 Branchenbuch IT-Sicherheit 016

2 CyberSecurity Hochentwickelte Lösungen und Services zum Schutz vor gezielten Cyber-Angriffen. 2

3 Schöne neue Welt Liebe Leserinnen und Leser, glaubt man den Angaben des Bundesministeriums des Innern, dann basieren bereits heute 40 Prozent der weltweiten Wertschöpfung auf der Informations- und Kommunikationstechnologie Tendenz steigend. Menschen, Unternehmen und Behörden nutzen die Informationstechnologie in einem nie dagewesenen Ausmaß, um sich zu vernetzen, um schneller beziehungsweise bequemer an Informationen zu kommen und um diese zu verarbeiten. Diese Digitalisierung durchdringt unsere Gesellschaft in nahezu allen Lebensbereichen mit nicht nur positiven Effekten. Natürlich können wir heutzutage weltumspannend per Mausklick miteinander kommunizieren, Know-how von A nach B transferieren und spontan von unterwegs die Kundendatenbank aufrufen. Doch gleichzeitig wächst damit auch die Abhängigkeit von IT-Systemen im wirtschaftlichen, gesellschaftlichen und individuellen Bereich und damit die Bedeutung der Verfügbarkeit und Sicherheit der IT-Systeme sowie des Cyberraums insgesamt. Aber nicht nur das. Die stetige Zunahme an digitalisierten Informationen und Wissen weckt Begehrlichkeiten und die heterogenen, immerzu wachsenden IT-Systeme bieten eine Vielzahl von Angriffsmöglichkeiten. Ein Blick in die Tageszeitung genügt, um hierfür unzählige Beispiele aus der Praxis zu finden: Im Februar dieses Jahres gelangten Cyberkriminelle in den Besitz von circa 80 Millionen Kundendaten eines US-Krankenversicherers. Im August veröffentlichte eine Hackergruppe die sexuellen Vorlieben von circa 40 Millionen Usern. Bereits einen Monat vorher wurde bekannt, dass 95 Prozent aller Android-basierten Smartphones und Tablets über eine Sicherheitslücke namens Stagefright verwundbar sind. Und nur zwei Monate später stellte sich heraus, dass zahlreiche Apps im Apple Store mit Malware infiziert sind. Sicherheitsexperten wie Yevgeny Kaspersky sind sich schon lange darüber im Klaren, dass eine hundertprozentige Sicherheit nicht möglich ist, insbesondere dann, wenn es sich um gezielte Angriffe und Datendiebstahl handelt. Vielmehr, so der Gründer des gleichnamigen Antiviren-Herstellers, gelte es, den Angreifern die Arbeit so schwer und aufwendig wie nur möglich zu machen, in der Hoffnung, dass sie aufgeben und sich neue, leichtere Angriffsziele suchen. Analog dazu sagte Sicherheitsexperte Rüdiger Trost vom finnischen Sicherheitsanbieter F-Secure zuletzt auf einer Veranstaltung: Wenn Sie und Ihre Partnerin in freier Natur auf einmal von einem Grizzlybären angegriffen werden, dann müssen Sie auf der Flucht zum Auto nicht schneller laufen als der Bär. Sie müssen nur schneller sein als Ihre Partnerin! Somit bleibt zu hoffen, dass auch Sie bei diesem Wettrennen nicht das Nachsehen haben. Um sich einen guten Überblick zu verschaffen, welche Sicherheitsaspekte für Ihr Unternehmen relevant sein können, veröffentlichen wir hiermit nun bereits zum vierten Mal unser Branchenbuch. In 27 Rubriken rund um das Thema IT-Sicherheit gegliedert, finden Sie nebst einem Einleitungstext zu der jeweiligen Security-Sparte auch eine Zusammenstellung von Produktanbietern und Dienstleistern, die in diesem Sektor Spezialisten sind und Lösungen anbieten. Im Kampf um mehr Sicherheit sind Sie nämlich nicht allein. Ihre Faatin Hegazi Thomas Reinhard-Rief 3

4 IT-SICHERHEIT Fachmagazin für Informationssicherheit und Compliance Sonderausgabe: Branchenbuch IT-Sicherheit 2016 Verlag: DATAKONTEXT GmbH Augustinusstraße 9d, Frechen Tel.: / Fax: / fachverlag@datakontext.com Vertrieb: Jürgen Weiß weiss@datakontext.com Chefredaktion: Jan von Knop knop@datakontext.com Stellvertretender Chefredakteur: Stefan Mutschler stefan-mutschler@t-online.de Redaktion: Faatin Hegazi hegazi@datakontext.com Thomas Reinhard-Rief reinhard@datakontext.com Layout: Britta Happel Michael Paffenholz michael.paffenholz@gmx.de Anzeigen- & Objektleiter: Thomas Reinhard-Rief reinhard@datakontext.com Druck: AZ Druck und Datentechnik GmbH, Kempten DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: Spectral-Design fotolia.com Fotos: Firmenbilder; DATAKONTEXT; (Alexandr Mitiuc, Andrey Kuzmin, bilderbox, blacksock, Cachaco, Clemens Schüßler, Daevid, David_San_Segundo, demango23, duckman76, ekzman, frank peters, GIS, Heidi Baldrian, Helder Almeida, Iakov Kalinin, ivan kmit, Jeroen van den Broek, lavitreiu, m.schuckart, Max Krasnov, Melpomene, Mikael Damkier, olly, pixeltrap, Scanrail, Sergey Nivens, Serp, Sharpshot, shocky, Spectral-Design, Thomas Berg, Tom Bayer, twixx) fotolia.com 4. Jahrgang 2016 ISSN: Anzeige DEDICATED TO SOLUTIONS CYBER SECURITY & INTELLIGENCE: SecurITy integrated. Digitalisierung und Vernetzung benötigen zuverlässige Informations- und Kommunikationssysteme und sind Schlüsselfaktoren für eine funktionierende Verteidigung, Sicherheit, Wirtschaft und Verwaltung. Mit dem Anspruch Security made in Germany bietet die ESG die erforderlichen Kompetenzen und Fähigkeiten in einem starken Team: } Center of Cyber Security Excellence CCSE Partnernetzwerk } Cyber Training Center } Cyber Living Lab /

5 Inhalt: Editorial... 3 Impressum... 4 Authentifi zierung/identity Management/IAM... 6 Backup & Restore... 8 Business Continuity Cloud Security Compliance/GRC Data Leakage Prevention Datenbanksicherheit Datenschutz Datenträgervernichtung/Datenlöschung Disaster Recovery Sicherheit Firewall-Systeme Internet der Dinge/Industrie Kritische Infrastrukturen Kryptografi e Malware-/Virenschutz/APTs Managed Security Services Mobile Device Management Rechenzentrumssicherheit Remote Access Risikomanagement Security Awareness Security Monitoring Sicherung mobiler Endgeräte USV-Systeme Web Application Security Zugriffskontrolle/NAC Firmenporträts A-Z... 60

6 Authentifi zierung Dirk Losse, HID Global Starke Authentifi zierung ist ein absolutes Muss für jedes Unternehmen Der Schutz vor Cyber-Kriminalität ist mehr denn je eine große Herausforderung für Unternehmen. Herkömmliche Sicherheitskonzepte, die auf dem klassischen Perimeter-Schutz mit Firewall und Antivirenlösungen sowie der strikten Umsetzung einer Passwort-Richtlinie basieren, haben sich inzwischen häufig als unzureichend erwiesen. Ein zuverlässiger Schutz für Unternehmenssysteme und -daten ist heute nur mit einer integrierten Sicherheitslösung realisierbar, die eine starke Zwei- oder Mehr-Faktor- Authentifizierung unterstützt. P erimeter- und Passwortsicherheit als effektiver Schutz vor externen Angriffen: Das galt vielleicht in der Vergangenheit. Die Situation hat sich gravierend verän- dert, denn Cyber-Angriffe über passwortgeschützte privilegierte Benutzerkonten von Administratoren sind heute keine Ausnahme mehr, sondern eher die Regel. Auch wenn ein Unternehmen eine strikte Passwort-Policy verfolgt eventuell sogar mit einer automatischen, regelmäßigen Änderung aller Passwörter, ist hier kein ausreichender Schutz gegeben. Außerdem sind für einige Angriffe nach wie vor eigene Mitarbeiter verantwortlich. Doch wie kann dieser Herausforderung begegnet werden? Die Antwort lautet starke Zwei- oder Mehr- Faktor-Authentifizierung. 6

7 Doch was bedeutet starke Authentifizierung überhaupt? Sie geht deutlich über die Sicherheit eines einzelnen statischen Passworts hinaus. Sie erfordert weitere Komponenten (Faktoren), um die Identität des Benutzers zweifelsfrei zu bestimmen. Der Faktor Wissen (Passwort oder PIN) wird mindestens um den Faktor Besitz (Smartcard, Token etc.) und eventuell noch um den Faktor Eigenschaft (Biometrie) oder Verhalten erweitert. Die Umsetzung eines Konzeptes für die starke Authentifizierung ist zunächst einmal keine einfache Aufgabe für die IT. Der Grund liegt auf der Hand: Die Ausgabe und kontinuierliche Verwaltung von digitalen Identitäten auf diversen Medien wie Smartcards oder Smartphones für alle erforderlichen Nutzeranwendungen und unterschiedlichen Unternehmensressourcen zieht per se einen erheblichen Administrationsaufwand nach sich. Abhilfe kann hier nur eine integrierte Gesamtlösung für die starke Authentifizierung schaffen, mit der Credentials in mehreren Sicherheitsstufen für unterschiedliche Zugangsebenen ausgegeben und verwaltet werden können. Zentrale Lösungskomponenten einer modernen Authentifi zierungsinfrastruktur Im Einzelnen muss eine zukunftsweisende Authentifizierungslösung vor allem unterschiedliche Authentifizierungsmethoden unterstützen. So sollte die Möglichkeit bestehen, verschiedene Authentifizierungsgeräte zu nutzen, beispielsweise Hardware- Einmal-Passwort-Generatoren, Smartcards oder USB-Token. Auch Soft-Token zur Einmal-Passwort-Erzeugung auf mobilen Geräten, die auf ios, Android, Windows Mobile oder anderen Betriebssystemen basieren, empfehlen sich zur Authentifizierung. Darüber hinaus sollte der Versand von Einmal-Passwörtern per SMS oder E- Mail möglich sein. Zum Aufbau einer adäquaten Authentifizierungsinfrastruktur müssen zudem unterschiedliche Zugangskanäle unterstützt werden, zum Beispiel RADIUS für klassische Remote- und VPN-Zugänge und SAML (Security Assertion Markup Language) für Web-SSO (Web-Single-Sign-On) und Cloud-Dienste. Das ist vor allem deshalb von Bedeutung, weil sich im Hinblick auf die zunehmende Verbreitung von Cloudbasierten Anwendungen beim Anmelde- verfahren gerade die Verwendung von Federation-Services (zum Beispiel Microsoft ADFS) mit Web-SSO empfiehlt. Starke Authentifi zierung bietet hohe Sicherheit und Flexibilität sowie vereinfachte Administration Die Vorteile einer integrierten Authentifizierungslösung betreffen vor allem die Aspekte Sicherheit, Administration, Flexibilität und Kosten. Mehr Sicherheit ergibt sich durch die Zwei- oder Mehr-Faktor- Authentifizierung, mit der potenzielle Sicherheitslücken geschlossen und unberechtigte Zugriffe zuverlässig verhindert werden können. Mit einem standardbasierten Konzept kann ein sicherer Zugang zu internen und auch Cloud-basierten Anwendungen realisiert werden. Ein wesentlicher Vorteil einer integrierten Gesamtlösung, mit der unterschiedliche Credentials über ihren gesamten Lebenszyklus verwaltet werden können, liegt auch in der vereinfachten, zentralisierten Administration. Mit solchen Lösungen können beispielsweise Smartcards sowie die damit verbundenen Schlüssel, Daten und PKI-Zertifikate zentral und sicher administriert werden. Dabei sind Smartcards im gewohnten Kreditkartenformat genauso zu verwalten wie USB-Token und Secure-µSD-Karten, die bei Smartphones und Tablets eingesetzt werden. Insgesamt ermöglicht eine vollständig integrierte Authentifizierungslösung die Umsetzung von flexiblen Szenarien für die Zugangs- und Zugriffsberechtigung und zwar in Abhängigkeit von den unterschiedlichen Nutzertypen. Auch eine Differenzierung zwischen internen und externen Mitarbeitern ist für ein Unternehmen so komfortabel und problemlos möglich. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 87 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 94 7

8 Backup & Restore Stefan Mutschler, IT-SICHERHEIT Business-orientiertes Backup & Restore Seit Daten maschinell verarbeitet werden, gibt es auch Prozesse, um diese Daten regelmäßig zu sichern. Im Laufe der Zeit haben sich Datensicherung und -Wiederherstellung (Restore/Recovery) zu einer umfassenden Disziplin für das Datenmanagement entwickelt. Entsprechend vielfältig ist heute das Angebot der verfügbaren Lösungen. Einige Backup-Software-Pakete lassen sich modular für unterschiedliche Aufgaben nachrüsten. Datenmanagement- Suiten, die tatsächlich alle Speicheraufgaben eines Unternehmens abdecken, sind jedoch nach wie vor eher rar. Die Virtualisierung von Rechenzentren beziehungsweise die Nutzung von Cloud-Services stellt vielmehr sogar die Basisfunktionen des Backups und Restore vor neue Aufgaben. Gleichzeitig eröffnen sich mit der Cloud aber auch neue Wege, Backup- und Restore- Prozesse zu optimieren. In IT-Systemen gespeicherte Daten haben eine magische Eigenschaft: Ihr Umfang und damit auch der benötigte Speicherplatz wächst exponentiell. Das liegt zum Beispiel daran, dass der Anteil multimedial angereicherter Daten im Vergleich zu traditionellen, tabellarisch darstellbaren und rein Zeichen-basierten Informationen immer größer wird. Im Zuge von Big Data werden außerdem bislang unbeachtete beziehungsweise nicht erfasste Daten wichtig oft mit ganz neuen Quellen wie Sensoren und Maschinen als Basis. Themen wie das Internet der Dinge (IoT), Smart Home/City/Planet und Industrie 4.0 sind hier die wesentlichen Treiber. Eine weitere Ursache für die zunehmende Datenflut ist, dass Applikationen in Unternehmen so gut wie nie ausrangiert werden, selbst wenn sie längst nicht mehr aktiv genutzt werden. Geht der Platz aus, werden einfach neue Speichersysteme angeschafft. Was dabei unter den Tisch fällt: Die neuen Speichersysteme beanspruchen Raum im Rechenzentrum, verbrauchen Energie für Betrieb und Kühlung, blähen die Verwaltung inklusive Backup auf, beanspruchen Rechenkapazität, mindern damit die Leistung und vieles mehr. Das umfassende Ausmisten gegebenenfalls mit der Konsolidierung von 8

9 Daten unterschiedlicher Quellen auf einer neuen Plattform gehört zu den heikelsten und wahrscheinlich von daher am stärksten vernachlässigten Speichermanagement- Aufgaben schlechthin. Eine gangbare Datensicherungsstrategie muss aber nicht nur das deutlich vergrößerte Speichervolumen berücksichtigen, sondern auch den dafür nötigen Transportweg zwischen Primär- und Sicherungsspeichern. Das gilt umso mehr, wenn Speichersysteme künftig verstärkt in die Cloud wandern und der Backup-Speicher über WAN-Schnittstellen bedient werden muss. Eine moderne Backup-Software muss daher viel mehr leisten, als einen zeitgesteuerten Sicherungsjob anzustoßen und bei Bedarf Daten wiederherzustellen. Das heißt aber nicht, dass die Grundaufgaben weniger wichtig geworden wären. Im Gegenteil besonders beim Recovery stellt das moderne Business heute verschärfte Anforderungen. Je nach Bedeutung für das Unternehmen sind für unterschiedliche Daten verschiedene Zeitvorgaben für die Wiederherstellung vorgegeben. Bei Servern liegen sie in der Regel im Stundenbereich bei kleineren wichtigen Dateien oft nur bei wenigen Minuten. Ein wichtiger Aspekt bei Backup-Software ist in diesem Zusammenhang die Skalierbarkeit. Die Vorgaben für die zulässige Recovery-Dauer müssen auch bei wachsenden Datenmengen eingehalten werden. Vieles spricht dafür, dass Speichersysteme künftig verstärkt in die Cloud wandern: Es entstehen keine Investitionskosten, der Speicher ist sofort nutz- und bei Bedarf nahezu beliebig erweiterbar. Wer gezielt auf ein Enterprise-Cloud-Storage-Konzept setzt, kann im Idealfall auch hinsichtlich Datensicherheit sowie Backup, Restore und Desaster Recovery handfeste Vorteile abgreifen: Ein entsprechendes Dienstangebot beim Provider vorausgesetzt, lassen sich über die Cloud Instant-Offsite-Backups zu vergleichsweise niedrigen Kosten ziehen von überall zugreifbar. Ein Grundmanko der Cloud bleibt jedoch auch in Sachen Backup und vor allem Restore bestehen: verabschiedet sich die Internet-Verbindung, lassen sich in diesem Moment Daten weder sichern noch wiederherstellen. Gerade Letzteres ist als kritischer Faktor zu sehen. Auch bei der Kostenrechnung sieht man schnell, dass Cloud Storage im Vergleich zu lokalen Disks und noch mehr den Bändern meist relativ teuer ist. Das liegt zum einen am rein Disk-basierten Service in der Cloud, zum anderen am teuren Transportweg über öffentliche WAN-Verbindungen. Letzteres gilt bei jeder Form des Offsite-Backups, also auch bei Backup-Speicherung in einer anderen Niederlassung. In einigen Branchen wie etwa bei Banken ist die geografische Trennung der Original- und Backup-Daten sogar gesetzlich vorgeschrieben. Der Schlüssel, um Cloud Storage im Enterprise-Maßstab konkurrenzfähig zu machen und eine verteilte Datensicherung kosteneffizient zu realisieren, liegt also darin, die zu transportierenden Daten soweit als möglich zu reduzieren. Neben der Konsolidierung beziehungsweise Archivierung von aktiv beziehungsweise passiv genutzten Daten gehören dazu die Beseitigung von Dubletten (jede Information sollte organisationsweit nur genau einmal gespeichert sein) und die Kompression (algorithmische Verdichtung). Deduplikation und Kompression gehören heute zu den wichtigen Standardaufgaben einer Backup-Software, wobei sich die Hersteller derzeit in der Ratio der damit möglichen Datenreduktion zu überbieten versuchen. Leider sind die Angaben nicht immer transparent die Möglichkeiten sowohl der Deduplikation als auch der Kompression hängen stark von der Art der Ausgangsdaten ab, und die publizierten Durchschnittswerte basieren oft auf einem nicht näher spezifizierten Datenmix. Mit den wachsenden Durchsatzanforderungen gehen nun langsam auch die Tage des Magnetbands (Tape) ihrem Ende entgegen. Nach wie vor gibt es zwar kein preisgünstigeres Backup-Medium, aber der Abstand zu Disk-basierten Systemen wird zusehends kleiner. Auf der anderen Seite etablieren sich Flash-Speicher mehr und mehr als Primärspeicher die Disk wird quasi das neue Band. Mit der Cloud geht der Trend bei der Backup-Software allmählich hin zu einem hybriden und modular aufgebauten Backup & Recovery mit zentralen Funktionen für das Datenmanagement. Produktanbieter:... Seite Seite Seite Seite Seite 74 Berater/Dienstleister:... Seite Seite 70 9

10 Business Continuity Wieland Alge, Barracuda Networks Weiterarbeiten trotz widriger Umstände Wann haben Sie zuletzt Ihren Business-Continuity-Plan richtig ernsthaft durchgetestet? Eben. Business Continuity wird oft wie eine Versicherungspolice gehandhabt. Man hätte sie schon gerne, aber noch besser wäre, wenn nichts passiert. Und gerade jetzt ist sowieso keine Zeit, sich zu kümmern. Wer einmal erlebt hat, welchen Schaden selbst relativ kurze Ausfallzeiten kritischer Systeme bei Unternehmen anrichten können, denkt nicht mehr so. IDC schätzt die Kosten pro Vorfall von ungeplanter Downtime auf US-Dollar bis US-Dollar bei KMUs (IDC, The Growth Opportunity for SMB Cloud and Hybrid Business Continuity, April 2015), bei Konzernen liegt sie um ein Vielfaches höher. 80 Prozent der KMUs hätten laut der Studie bereits solche Ausfälle hinnehmen müssen. Das heißt: Eine Vernachlässigung des Themas kann einem Unternehmen das komplette Geschäftsjahr verhageln. Es geht darum, einem Unternehmen trotz widrigster Umstände das Weiterarbeiten zu ermöglichen. Die überlebenswichtigen Prozesse müssen weiterlaufen, die geschäftskritischen Daten müssen gesichert sein und zugänglich bleiben. Obwohl Business Continuity letztlich über die IT hinausgeht und die physische Sicherheit von Personen und Gebäuden einschließen kann, steht die IT inzwischen doch in fast allen Branchen im Zentrum der Business Continuity. Unter Umständen ist es selbst für 10

11 produzierende Unternehmen mittlerweile wahrscheinlicher, durch Schwächen in der IT wochenlang auf eine Produktionsstraße zu verzichten, als durch traditionelle Probleme in der Anlagentechnik. Ganz zu schweigen vom Szenario, tagelang den Zugang zu Kunden-, Bestell- oder Rechnungsdaten zu verlieren. Business Continuity Management war in der Vergangenheit mit einem extremen Aufwand verbunden. Allein das Management von Backup-Tapes und deren Transport und Hinterlegung in Banksafes geben einen Eindruck davon. Das klassische Backup mit Replikation der Daten an einem entfernten Ort ist dabei nur der weiterhin unverzichtbare Anfang. Bereits einen ganz anderen Level an Geschäftskontinuität können Unternehmen erreichen, die ihre Systeme lauffähig an einem entfernten Ort replizieren. Vor einigen Jahren bedeutete dieser Ansatz noch den Aufbau eines zweiten Rechenzentrums. Und selbst wenn die Wiederherstellung der wichtigsten Geschäftsressourcen in einem Business-Continuity-Plan niedergelegt war, benötigte dessen Umsetzung viel manuelle Arbeit. Und bereits die Annahme, die richtigen Menschen zur Umsetzung seien immer bei der Hand oder online, täuscht. Oft genug sind sie in Krisensituationen nicht erreichbar. Zeitsprung in das Zeitalter von Cloud Computing, Virtualisierung und Mobility diese Technologien bieten große Chancen hinsichtlich eines günstigeren Business- Continuity-Managements. Wer seine virtualisierten Systeme in die Cloud repliziert, hat diese Systeme selbst im größten anzunehmenden lokalen Katastrophenfall zur Verfügung. Business Continuity bedeutet dann einfach nur eine Verlagerung der Workloads von einem lokalen System auf andere Systeme. Mitarbeiter können mit privaten Endgeräten, Ersatzgeräten oder mobilen Geräten darauf zugreifen. Die Hoffnung dahinter: Alle geschäftskritischen Prozesse und Systeme können aufrechterhalten werden, solange die Mitarbeiter und Failover-Systeme Zugang zu Strom und ausreichend guter Internet-Verbindung haben. Der Konnektivität in die Cloud kommt dabei eine besondere Rolle zu. Es ist ja schön, wenn die Systeme in der Cloud weiterlaufen, aber wenn Mitarbeiter oder Systeme aus den Niederlassungen keinen Zugang haben, nützt das wenig. Helfen können Lösungen, die automatisch auf einen anderen Provider oder auf andere Verbindungswege wie G oder einen Satelliten- Link umschalten. Im gleichen Zuge können sie applikationssensitiv dafür sorgen, dass die jetzt umso kostbarere Bandbreite nicht mehr für Facebook und YouTube zur Verfügung steht, sondern für die definierten geschäftskritischen Applikationen verwendet wird. Der Clou ist aber, dass im Kontext von Virtualisierung/Cloud einerseits und Mobility andererseits Business Continuity Hand in Hand gehen kann mit einer besseren Performance im Normalbetrieb. Wenn es Organisationen schaffen, ihre Investitionen für Business Continuity so einzusetzen, dass sie sich im Alltag auszahlen, fällt auch die Antwort auf die Frage nach dem angemessenen Budget ganz anders aus. Man sorgt für redundante Wege im Active/ Active-Modus, statt nur passive, schlafende Instanzen anzuschaffen, die im seltenen Fall des Desasters die erste Instanz ersetzen (sollten sie dann funktionieren). Bei diesem Ansatz fällt im Katastrophenfall die Leistung der Systeme ab. Doch durch eine Konzentration der Rechenpower und Bandbreite auf die wichtigsten Applikationen und Prozesse würden diese kaum beeinträchtigt. Das soll nicht davon ablenken, dass sich oft gerade die kritischsten Systeme, wie Bestandsysteme, in denen Versicherungen ihre Vertragsdaten speichern, nicht ohne Weiteres in die Cloud überführen lassen. Noch auf Jahrzehnte hinaus werden Unternehmen auch für die Geschäftskontinuität von nicht-virtualisierten Systemen, Legacy- Systemen und hochsensiblen Daten sorgen müssen. Wo jedoch Failover-Systeme Teil der produktiven Umgebung sind, erledigen sich auch viele andere Fragen von selbst. So zum Beispiel die nach dem Testen. Oft ist es heute also die Kombination aus hybriden Lösungen, die gleichzeitig On-premise und in der Private oder Public Cloud laufen, sowie Lösungen, die eine Konnektivität zur Cloud unter widrigsten Umständen herstellen, die den Kern eines Business-Continuity- Konzepts ausmachen. Produktanbieter:... Seite Seite Seite Seite Seite Seite 82 Berater/Dienstleister:... Seite Seite Seite Seite Seite 95 11

12 Cloud Security Hans-Peter Dietrich, Security Solution Manager Cloud Security Vorteile und Gefahren Selten wurde ein Thema so kontrovers diskutiert und führte zu so gegensätzlichen Meinungen wie das Thema Cloud Computing. Dabei liegen die Vorteile für den Business-Verantwortlichen klar auf der Hand die internen IT-Services können schnell und bedarfsgerecht ergänzt werden, ohne dass hohe Anfangsinvestitionen anfallen. Eine gewisse Zurückhaltung spürt man in den IT-Abteilungen, da Teile ihrer Services ausgelagert werden und bisher erfolgreiche Sicherheitsmaßnahmen nicht mehr gleich gut im Cloud-Umfeld funktionieren. Die Sicherheitsverantwortlichen befürchten hingegen den Verlust jeglicher Kontrolle über die Firmendaten sowie die Verletzung gesetzlicher Vorgaben und ein deutlich höheres Risiko für Datendiebstahl und Zugriffe von nicht berechtigten Personen. Allerdings sieht die Realität inzwischen ganz anders aus: Die Mitarbeiter in den Unternehmen nutzen bereits heute eine Vielzahl von Cloud Services, ohne dass es die IT-Abteilung bemerkt bzw. die neuen Risiken richtig einschätzen kann. Es ist daher höchste Zeit, dass jedes Unternehmen sich eine Cloud-Strategie erarbeitet und dazu alle Entscheider frühzeitig einbezieht. Wer heute noch Aussagen wie Wir benutzen keine Cloud-Lösungen daher sind wir sicher! von der Unternehmensleitung hört, sollte hellhörig werden. Wahrscheinlich besteht hier Beratungsbedarf und ein externes Audit der IST-Situation ist zu empfehlen. Während die IT-Ausgaben insgesamt eher moderat in den nächsten Jahren wachsen werden, wird bei vielen Unternehmen ein zunehmend größerer Budget-Anteil für strategische Themen, beispielsweise Cloud & Security, allokiert. Gleiches vermelden Analysten wie Forrester und Gartner, die das Thema Cloud Security als neues, eigenständiges Themenfeld sehen, da viele neue Hersteller spezielle Cloud-Ergänzungen anbieten, die es den Unternehmen ermöglichen, Geschäftsprozesse und Ressourcen effizienter zu gestalten. In der Praxis hat sich gezeigt: Auch wenn Unternehmen möglichst sofort neue Cloud-Dienste zur Optimierung in den Bereichen ERP, Asset- Management, Business Intelligence, BIG- Data-Analyse oder für Predictive Maintenance und zur Steuerung von IoT-Devices einsetzen möchten, scheitern aktuell die meisten Projekte kurz vor der Einführung am Thema Security. Hier werden oftmals die entsprechenden Security-Abteilungen zu spät einbezogen oder notwendige Security Cloud Gateways am Übergabepunkt werden einfach nicht budgetiert. Auch aktuellen Gerichtsurteilen zur Datenspeicherung im Ausland wird häufig keine Beachtung geschenkt. Unter dem Begriff Cloud Security existieren seit vielen Jahren spezialisierte IT-Services, die bei Security-Standardaufgaben entlasten. Weit verbreitet und allgemein akzeptiert sind dabei die -/Web-Security-Services, die den ein- und ausgehenden Internet-Traffic nach Malware, Spyware und Spam untersuchen. Die Unternehmen müssen sich hier nicht mehr selber um den Betrieb kümmern oder mühsam neue Technologien wie Sandboxing evaluieren und einführen alle Standorte lassen sich von einer zentralen Stelle aus verwalten. Zusätzlich haben die Unternehmen inzwischen die Möglichkeit, ein Mischkonzept 12

13 (Hybrid-Cloud) zu verwenden, um in der Zentrale weiterhin Appliances einzusetzen. Mittlerweile gibt es neue Cloud Security Services, die im Bereich Authentisierung zum Beispiel für Remote-User oder Web- User entlasten und die häufig mühsame Verwaltung der 2-Faktor-Token vereinfachen. Darüber hinaus denken aktuell viele mittelständische Unternehmen darüber nach, ob sie die Überwachung der Endgeräte-Sicherheit effizienter gestalten können und somit die zentrale Überwachung aller internen Arbeitsplätze, der mobilen User und Home Offices in die Cloud auslagern. Stark wachsende Nachfrage besteht im Bereich Managed Security Incident Management. Man ist sich mittlerweile darüber bewusst, dass die Log-Analyse sehr aufwendig, aber zwingend notwendig ist, um überhaupt eine Anomalie oder einen Hacking-Angriff im eigenen Netzwerk zu erkennen. In der Regel fehlen hier jedoch einfach die entsprechenden Experten im eigenen Team. Viele IT-Abteilungen befinden sich im Umbruch und müssen zunehmend IT-Services extern einkaufen und managen, um die Anforderungen der Unternehmensführung schneller, flexibler und kostengünstiger anbieten zu können. Die Cloud-Anbieter (SaaS, PaaS, IaaS) erfüllen diese Wünsche: Alle großen Software-Anbieter (z. B. MS Office 365) bieten ihre Lösungen fertig lauffähig in der Cloud an. Spezielle BIG-Data-Analysen können bei Bedarf eingekauft und nach effektiver Nutzung abgerechnet werden oder Kundendaten lassen sich weltweit (z. B. dank Salesforce) nutzen. Hinderlich ist nur, dass viele interessante SaaS-Offerten im Ausland die überlassenen Daten speichern und damit nicht immer europäischen Anforderungen im Bereich Datenschutz entsprechen. Mit steigender Attraktivität und Nutzung der SaaS-Lösungen verliert die IT-Abteilung zunehmend die Kontrolle über wichtige Firmendaten wer kann mit den bestehenden Security-Ansätzen wie einer Firewall noch kontrollieren, welche firmeninternen Daten dort verarbeitet werden, welche SaaS-Services firmenweit überhaupt im Einsatz sind und ob ein Mitarbeiter nicht gerade wichtige Daten aus dem SaaS-Service exportiert. Eine schnelle und sichere SaaS-Einführung verspricht die neue Produktreihe CASB-Gateways: Cloud Access Security Broker (CASB) sind Gateways, die zwischen Unternehmen und dem externen Cloud-Anbieter geschaltet werden und sicherstellen, dass eine Verschlüsselung der wichtigen Daten erfolgt, bevor diese beim SaaS-Provider abgelegt werden. Zudem lässt sich das Fehlverhalten einzelner Mitarbeiter rechtzeitig erkennen, da das CASB-Gateway in der Lage ist, über eine API-Schnittstelle auf den SaaS-Provider zuzugreifen und sich dort Log-Daten abholen und somit das Nutzungsverhalten aller User beobachten kann. Viele CASB- Anbieter ermöglichen auch eine ausführliche Inhalts-Steuerung und kontrollieren beim Transfer in Richtung SaaS-Provider Dateien und Daten nach Malware bzw., ob der User überhaupt berechtigt ist, diese Daten beim Provider abzulegen oder diese zu exportieren. Ein typischer Anwendungsfall ist MS Office 365. Hier ist es möglich, für jeden User ein Profil anzulegen und damit zu steuern, von welchem Endgerät aus der Mitarbeiter berechtigt ist und welche Inhalte er wo speichern darf. Erste Erfahrungen machen die meisten Unternehmen mit CASB bei einem Audit. In dem Audit wird übersichtlich darstellt, wer im Unternehmen welche Cloud Services aktuell nutzt bzw. in der Vergangenheit bereits genutzt hat. Hierzu werden auch existierende Log-Daten von der Firewall verwendet, anonymisiert und ausgewertet. Nicht selten sind die IT-Abteilungen überrascht, dass es im Schnitt meist mehrere hundert Cloud Services sind, die kreative Mitarbeiter schon nutzen. Im Gegensatz zur existierenden Firewall liefert CASB zu jedem Cloud Service eine ausführliche Risiko-Einschätzung. Zudem ist es möglich, mit dem Audit-Report sofort die High- Risk-Vorfälle zu ermitteln und priorisiert zu beseitigen. CASB ist somit ein wichtiger Bestandteil, um die Shadow-IT in den Griff zu bekommen. Die Nachfrage nach Cloud Services wird rasant steigen mit oder ohne Einwilligung der IT-Abteilungen. Vorhandene Sicherheitsmaßnahmen müssen mit neuen Cloud-Security-Komponenten ergänzt werden, um die zusätzlichen Risiken von Cloud-SaaS-Providern zu reduzieren. Neben einer passenden Security-Strategie ist es zur erfolgreichen Umsetzung des Cloud Security-Projekts zudem ratsam, einen Systemintegrator mit umfangreichen Erfahrungen im IT-Security-Umfeld von Anfang an hinzuzuziehen. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite Seite 91 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite Seite Seite 94 13

14 Compliance/GRC Sven Steinert, AirITSystems Im Zweifel lieber handeln Mitte 2015 verabschiedete der Bundestag das neue IT-Sicherheitsgesetz mit weitreichenden Folgen für die betroffenen Unternehmen. Doch nach wie vor lässt die Gesetzesgrundlage viel Raum für Spekulationen. Nicht wenige Unternehmen fragen sich, was jetzt von ihnen erwartet wird. für kritische Infrastrukturen (KRITIS) neue Risikopotenziale, denen das neue Gesetz einen Riegel vorschieben soll. So weit, so gut und richtig. Anfang 2015 gelang es Hackern, in das Netzwerk des Bundestages einzudringen und in massivem Umfang Daten abzuzweigen. Ende Juni legten Computer-Attacken auf eine polnische Airline den Flugbetrieb in Warschau lahm. Für großen Wirbel sorgte sogar unter IT-Sicherheitsexperten die Manipulation der iranischen Atomanlagen mittels des Computerwurms Stuxnet. Diese Beispiele wie noch viele mehr zeigen, dass die Bedrohungen für Unternehmen keinem Hollywood-Blockbuster entspringen, son- Allerdings lässt der verabschiedete Gesetzesentwurf einige Fragen offen und die Unternehmen etwas hilflos dastehen. So sind die im Gesetz geforderten Maßnahmen oder Begrifflichkeiten wie Stand der Technik nicht konkret ausgeführt. Zudem ist nicht eindeutig, welche Infrastrukturen für die Funktion unseres Gemeinwesens wirklich zentral sind. Was letztendlich genau gefordert ist, wird voraussichtlich erst in der Rechtsverordnung zum IT-Sicherheitsgesetz stehen. Diese ist allerdings erst Ende 2016 zu erwarten. Klar ist hingegen, dass Unternehmen ab Inkrafttreten ihre IT-Sicherheit innerhalb von zwei Jahren auf den aktuellen Stand der Technik bringen und zukünftig auch halten müssen andern Realität sind. Um Unternehmen und vor allem die mit kritischer Infrastruktur besser zu schützen, hat die Bundesregierung Mitte 2015 das IT-Sicherheitsgesetz verabschiedet. Es betrifft im weitesten Sinne Unternehmen mit kritischen Infrastrukturen wie Energie, Informationstechnik, Telekommunikation, Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Durch die zunehmende Digitalisierung und Verzahnung von IT und industriellen Prozessen entstehen 14

15 dernfalls drohen Bußgelder. Experten gehen davon aus, dass Unternehmen dazu verpflichtet werden, ein Information Security Management System (ISMS) einzuführen und nach ISO/IEC zu zertifizieren. Je nachdem, wie Unternehmen mit ihrer IT-Sicherheit bereits aufgestellt sind, ist eine Übergangsfrist von zwei Jahren knapp bemessen. Dennoch gibt es einige vorbereitende Maßnahmen, die Unternehmen durchführen sollten. Im Zweifel lohnt es sich nicht, darauf zu warten, ob das eigene Unternehmen wirklich betroffen ist. Das Etablieren eines ISMS zahlt sich dagegen auf jeden Fall aus. Um einzuschätzen, welche Maßnahmen notwendig sind, starten Unternehmen in einem ersten Schritt mit einer Ist-Analyse ihrer Prozesse und Infrastruktur. Dabei sind alle Geschäftsbereiche zu unter die Lupe zu nehmen. Einige Unternehmen neigen dazu, ihre technischen Gewerke getrennt von der IT zu betrachten. In der Realität ist der Vernetzungsgrad zwischen IT und Unternehmensinfrastruktur bereits sehr hoch und eine Abgrenzung zwischen Betriebstechnik und IT daher nicht zweckdienlich. Moderne Leitstände oder auch profane Gebäudetechnik sprechen heute IT und sind ohne zentrale IT-Services aus dem Rechenzentrum heraus bald nicht mehr zu betreiben. Es ist daher effizienter und sicherer, das Unternehmen von Anfang an ganzheitlich zu betrachten, anstatt später die notwendigen IT-Services doppelt aufzubauen und zu betrieben. Für eine ganzheitliche Betrachtung ist die Einführung eines ISMS durchaus sinnvoll, da es klare Richtlinien und Regeln vorgibt. Unternehmen erhalten einen effektiven Standard, der das Handling von Informationssicherheit auf Basis klar definierter Management-Prinzipien deutlich vereinfacht. Für ein effizientes ISMS müssen sich die Betriebe zunächst grundlegend bewusst machen, wie sie aufgestellt sind. Welche Prozesse und Systeme sind kritisch? Mittels einer Risiko-Analyse gilt es Verfügbarkeit, Vertraulichkeit und Integrität zu überprüfen. Dafür ist auch die Klassifikation von Informationen und Assets wichtig. Je nach Klassifikation leiten sich weitere Maßnahmen wie beispielsweise notwendige Verschlüsselungen für vertrauliche Personendaten ab. Damit dies gelingt, sollten Unternehmen entsprechend Ressourcen einplanen und zur Verfügung stellen. Das beinhaltet unter Umständen auch, eine in- terne IT-Abteilung auf- oder auszubauen. Alternativ helfen Dienstleister mit entsprechender Branchenerfahrung weiter. Zwar gilt es unter Umständen anfangs mehr Ressourcen einzuplanen, doch trägt ein reibungslos funktionierendes ISMS im späteren Betrieb dazu bei, langfristig Ressourcen und Kosten einzusparen. Fester Bestandteil eines ISMS sind außerdem Leitlinien, die Sicherheitsziele und ihre Umsetzung dokumentieren. Auf diesen Security Policies fußt letzten Endes die Sicherheitsstrategie eines Unternehmens. Sind die organisatorischen Voraussetzungen geschafften, gilt es, sämtliche Mitarbeiter zu informieren und einzubinden. Ganz nach dem Motto: Jedes Systems ist so sicher, wie der Mensch dahinter. Hier geht es darum, Mitarbeiter für Gefährdungen wie Social-Engineering-Maßnahmen zu sensibilisieren und mit in die Verantwortung zu nehmen. Unternehmen kommunizieren ihre Sicherheitsziele daher idealerweise transparent und auch für Nicht-IT-Mitarbeiter verständlich. Wo notwendig, helfen Workshops und Schulungen weiter. Jedem im Unternehmen sollte klar sein, warum die geforderten Maßnahmen wichtig sind und welche Folgen Verstöße nach sich ziehen. Welche Kosten genau auf Unternehmen zukommen, ist noch nicht absehbar. Zwar sollten die ergriffenen Maßnahmen in einem angemessenen Verhältnis zu den Security-Zielen stehen, doch gerade Unternehmen, die sich bisher wenig mit IT-Sicherheit auseinandergesetzt haben, sollten entsprechende Budgets einplanen. Ein weiterer Kostentreiber wird die Meldepflicht für Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dafür müssen Unternehmen einen effizienten Incident-Prozess aufbauen. Experten schätzen die Kosten für die Wirtschaft auf 1,1 Milliarden Euro. Produktanbieter:... Seite Seite Seite Seite Seite Seite 93 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite Seite Seite 95 15

16 Data Leakage Prevention Michael Bauner, Geschäftsführer Endpoint Protector GmbH Data Leakage Prevention ist der neue Virenschutz IT-Spezialisten gehen davon aus, dass den meisten Unternehmen Daten abhandengekommen sind, allerdings nur wenige davon etwas bemerkt haben. Stark anwachsende Datenbestände und zunehmende Mobilität machen einen Ausbau der Schutzmaßnahmen unumgänglich. Dabei müssen Daten in Bewegung verstärkt berücksichtigt werden. Lösungen für Data Leakage Prevention sorgen dafür, dass Unternehmen die Kontrolle über ihre Daten behalten. Unternehmen verfügen über umfangreiche Datenbestände. Das Unternehmens-Know-how liegt weitestgehend digitalisiert vor; was früher in Tresoren lag, befindet sich heute auf File-Servern: von Konstruktionszeichnungen oder Rezepturen über Produktionsprozesse bis zu Angeboten, Preisen und Kundenkarteien. Diese Daten sind in erster Linie von Diebstahl im Rahmen von Wirtschaftsspionage bedroht. Mit der Datenfl ut steigt die Angriffsfl äche In den kommenden Jahren werden Internet of Things (IoT, Internet der Dinge) und Big Data das Datenvolumen geradezu explodieren lassen. Allein die Existenz dieser enormen Datenaufkommen wird die Angriffsfläche erheblich vergrößern. Die Unternehmen stehen deshalb vor der Aufgabe, den Schutz ihrer Daten zu verstärken und auszuweiten. Während heute der Schwerpunkt vielfach noch auf der Absicherung ruhender Daten vor unbefugtem Zugriff liegt, müssen angesichts der weiter steigenden Mobilität und der zunehmenden Zahl von Kommunikationswegen künftig insbesondere die Daten in Bewegung verstärkt in die Schutzkonzepte einbezogen werden. Denn sobald sie bewegt, mithin kopiert werden, können sie gestohlen werden oder versehentlich in falsche Hände geraten. Nur die gefühlte Bedrohung kommt von außen Unbefugte Datenzugriffe und Datendiebstahl erfolgen nur in weniger als der Hälfte der Daten-Vorfälle von außen. Berichte über aufsehenerregende Fälle suggerieren 16

17 zwar durch die Bezeichnung der vermuteten Täter als Hacker überwiegend externe Zugriffe; den Analysten von Techconsult zufolge hält auch die Mehrheit der befragten Firmenchefs die Gefahr von Datendiebstahl durch die eigenen Mitarbeiter oder von Datenverlust durch Unvorsichtigkeit oder Versehen für eher gering. Allerdings zeigen Untersuchungen zu erfolgten Datenverlusten und -diebstählen beispielsweise des Branchenverbandes Bitkom oder von IBM ein ganz anderes Bild. Demnach waren an mehr als der Hälfte aller Vorkommnisse derzeitige oder ehemalige Mitarbeiter beteiligt. Mitarbeiter sind an Datenverlust beteiligt Die Ergebnisse der Bitkom-Untersuchung sind naheliegend: Schließlich sind die Mitarbeiter diejenigen, die täglich mit den Daten arbeiten, auf Daten zugreifen und sie transferieren. Dafür steht ihnen eine beachtliche Variationsbreite von Geräten zur Verfügung, auf die sie Daten übertragen und auf denen sie diese vorhalten, und für die Kommunikation mit Kollegen und Geschäftspartnern nutzen sie eine Vielzahl von Schnittstellen. Dass bei durchaus berechtigten Datentransfers Fehler passieren können, liegt in der menschlichen Natur. Unternehmen verlieren die Kontrolle Immerhin räumen knapp 60 Prozent der von Techconsult Befragten ein, dass ihre Firma nicht ausreichend vor Datenverlust bzw. Datendiebstahl durch Mitarbeiter geschützt ist. Dennoch hoffen nach wie vor sehr viele Entscheider darauf, dass der Kelch an ihnen vorübergeht. Hoffnung ersetzt jedoch keine Strategie. Die Nachfrage beispielsweise nach Verschlüsselungsprodukten oder Lösungen für Mobile Device Management mit weitreichenden Schutzfunktionen von Daten auf mobilen Geräten verweist darauf, dass sich die Unternehmen zunehmend der Gefahr bewusst sind, die Kontrolle zu verlieren. Es werden USB-Ports gesperrt, s verschlüsselt versendet oder für das mobile Endgerät Remote-Löschfunktionen eingerichtet, aber für Anwenderfehler und gezielten Diebstahl bleiben immer noch Lücken groß wie Scheunentore. Viele Lösungen sind nur punktuell wirksam und decken weder die Gesamtheit der Geräte ab, die im Unternehmen eingesetzt werden, noch erfassen sie die Gesamtheit der Datenbe- wegungen. Zudem nützt die Absicherung der Transportwege und -medien wenig, wenn beispielsweise nur bestimmte Inhalte das Unternehmen nicht verlassen sollen, andere aus Produktivitätsgründen jedoch explizit versendet werden sollen. Daten in Bewegung müssen überwacht werden Damit die Kontrolle über die Daten gewährleistet werden kann, muss der Datentransfer unter Berücksichtigung der Inhalte möglichst vollständig überwacht und protokolliert sowie, zum Schutz vor Verlust und Diebstahl, gegebenenfalls reguliert werden. Die Regeln über die Zulässigkeit von Transfers entstehen aus der Beobachtung und Analyse der Aktivitäten entlang der Geschäftsprozesse und müssen kontinuierlich weiterentwickelt und angepasst werden. Die Grundlage dafür sind einerseits die Schutzziele des Unternehmens und zum anderen die Daten, die anhand ihres Stellenwertes für den Fortbestand des Unternehmens und ihres Schutzbedarfes im Zusammenhang mit gesetzlichen Bestimmungen klassifiziert werden. Zudem fließen in die Regeln beispielsweise Erkenntnisse über die Korrumpierbarkeit von Devices oder Protokollen ein. Data Leakage Prevention stellt Zukunftssicherheit her Die Umsetzung erfolgt mittels Lösungen für Data Leakage Prevention. Die Prüfung der Inhalte und die Überwachung und Regulierung der Datenbewegungen sollten sich auf möglichst alle im Unternehmen eingesetzten Betriebssysteme und Gerätetypen erstecken und mobile Geräte einbeziehen. Auch die Macs der Marketing- Abteilung oder die Linux-Prozessrechner in Forschung und Entwicklung sind zu berücksichtigen. Entscheidend für die Bedienbarkeit einer Lösung sind neben der einfachen Installation umfassende Funktionalität für Auswertung und Reporting und die filigrane Anpassbarkeit der Regeln an die Anforderungen der Organisation, die der Administrator intuitiv und ohne Schulung oder Handbuch umsetzen können sollte. Dann gibt Data Leakage Prevention den Unternehmen die Herrschaft über ihre Daten zurück und macht sie handlungsfähig im Hinblick auf künftige Bedrohungen. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite Seite 93 Berater/Dienstleister:... Seite Seite Seite Seite 88 17

18 Datenbanksicherheit Stefan Mutschler, IT-SICHERHEIT Angriffe auf die Wissensbasis abwehren Datenbanken bilden den Kern des in einer Organisation gespeicherten Wissens. Ausgehend von der heute mehr denn je geltenden Gleichung Wissen gleich Kapital wird schnell verständlich, warum Kriminelle Datenbanksysteme immer schärfer ins Visier nehmen. Für den Schutz vor solchen Angriffen sind Firewalls allein heute längst nicht mehr ausreichend. Vielmehr ist ein mehrdimensionaler Ansatz gefragt, der alle Angriffsvektoren gezielt sichert. Datenbanksysteme sind in der Regel komplexe Gebilde, zu denen neben den eigentlichen Daten die für ihre Bearbeitung genutzten Anwendungen und Funktionen, Datenbank-Managementsysteme (DBMS) und -Server sowie die für den Zugriff benötigten Netzwerkverbindungen gehören. Jede dieser Komponenten hat ihre spezifi- schen Schwachstellen, die für Angriffe genutzt werden können. Firewalls sind nach wie vor wichtig, um auf Netzwerkebene die Zugriffsmöglichkeiten zu reglementieren. Ohne weitere Maßnahmen bleiben für die Datenbanken aber andere Risiken bestehen. So haben auch legitime Nutzer nicht immer Absichten, die im Sinne des Unternehmens oder der Behörde sind, beziehungsweise sind sie vor Irrtümern nicht gefeit. Absichtlich oder aus Versehen können so enorme Schäden entstehen. Der Zwang, bestimmte Internet-Kanäle für legitime Nutzer offenzuhalten, führt zudem oft dazu, dass Kriminelle sich leicht an den Firewalls vorbeischleusen und Daten, Funktionen sowie Einstellungen manipulieren können. Ein weiterer Punkt sind die verwendeten Hard- und Software-Systeme: Im Zeitalter exponentiell wachsender Datenmengen 18

19 kommen diese schon mal schnell an ihre Grenzen und werden langsam, ein Ausfall führt gar zum völligen Stillstand. Diese wenigen Beispiele für Datenbankrisiken sollen verständlich machen, dass zur Datenbanksicherheit und einem reibungslosen Service eben weit mehr gehört als der traditionelle Old-School-Ansatz über Firewalls. Große Datenbankanbieter wie beispielsweise Oracle haben daher ein umfangreiches Portfolio an Sicherheitsfunktionen für verschiedene Ebenen ihrer Datenbanken, darunter etwa die Überwachung und Blockierung von Datenbankaktivitäten, Zugriffskontrolle für privilegierte Benutzer, Mehrfaktor-Zugriffskontrollen, Datenklassifikation und -erkennung, transparente Datenverschlüsselung, Auditing und Berichterstellung, sicheres Konfigurationsmanagement und Datenmaskierung. Mit eine der wichtigsten Kernfunktionen für die Datenbanksicherheit ist die Überwachung der Datenbankaktivitäten (kurz DAM für Database Activity Monitoring), ohne die ein Nachweis über die Einhaltung von Compliance-Richtlinien wie SOX 302 und 404, PCI 7 und 8.5 sowie von anderen Vorschriften nicht möglich wäre. DAM-Lösungen sollten unter anderem automatisierte Prozesse, Audit-Analysen und anpassbare Berichte bereitstellen. Manche Anbieter wie beispielsweise Imperva bieten über Add-ons Funktionserweiterungen an, die automatisch übermäßige Rechte und inaktive Konten basierend auf dem Unternehmenskontext, der Objektsensibilität und der tatsächlichen Nutzung identifizieren. Wichtig bei DAM-Tools sind außerdem zentralisierte Verwaltungs- und umfassende Analysefunktionen, welche die Reaktion auf Vorfälle beschleunigen und forensische Untersuchungen erleichtern. Ein wichtiger Aspekt moderner DAM-Tools ist auch die Anlernung normaler und legitimer Verhaltensmuster der Nutzer. Auf Basis solcher Muster können sie Warnmeldungen ausgeben oder andere vordefinierte Aktivitäten veranlassen, sobald jemand von seinem Normalverhalten abweicht. Im Sinne der Compliance-Konformität ist es für bestimmte Datentypen wie etwa Kreditkartendaten, Sozialversicherungsnummern und persönliche Daten erforderlich, besondere Schutzvorkehrungen einzuhalten. Dazu gehören etwa die Verschlüsselung der ruhenden Daten und das Maskieren von Daten während der Übertragung. Auch diese Funktionen werden meist optional angeboten. Beides kann wiederum über ein DAM nachgewiesen werden. Technisch gesehen läuft DAM primär über eine Analyse der Datenbankprotokolle wie beispielsweise SQL im Netzwerk. Ist zusätzlich eine manipulationssichere Überwachung der Datenbankadministratoren gefragt, übernehmen Software-Agenten die Überwachung von Datenbankaktivitäten auf jedem Server. Um zu verhindern, dass Datenbankadministratoren dieses sogenannte native Logging abschalten, muss die Steuerung der Agenten aus dem Einflussbereich der Datenbankadministratoren ausgekoppelt sein. Es ist nicht trivial, Datenbank-Managementsysteme und Datenbankinstanzen gekonnt zu konstruieren und zu betreiben. Gerade Oracle-Datenbanksysteme kommen mit einer Fülle von Funktionen, Optionen und Parameter. Nur richtig angewendet und konfiguriert lässt sich damit ein solides Datenbank-Managementsystem aufbauen. Generell setzen Datenbanken ein immenses Spezialwissen voraus, das gerade in kleineren und mittleren Unternehmen oft nicht präsent ist. Hier kommen externe Dienstleister ins Spiel, welche dabei helfen, Datenbanken korrekt und effizient aufzusetzen und zu betreiben. Auch die Betreuung bereits existierender Datenbanken kann an Dienstleister outgesourct werden. Entsprechende Provider wie beispielsweise dbaservices analysieren dazu die entsprechenden Datenbanksysteme, versehen sie mit proaktiven Alert- und Monitoring-Skripten und pflegen sie in ihre Service-Systeme ein, um sie anschließend permanent zu überwachen. Angebotene Services umfassen etwa Monitoring-Setup, Überwachung der Datenbank-Events, das Erkennen und idealerweise Beheben von Störungen, das Überprüfen der Backup- Jobs, proaktives Kapazitätsmanagement und Reporting. Bei der Buchung externer Dienstleistungen lohnt sich ein genauer Blick auf die zugehörigen Service-Level- Verträge. Produktanbieter:... Seite Seite Seite Seite Seite 91 Berater/Dienstleister:... Seite Seite Seite Seite Seite 92 19

20 Datenschutz Markus Zechel, migosens GmbH Das Datenschutzaudit Der Datenschutzbeauftragte muss sich jeden Tag einer Reihe von Herausforderungen stellen. Eine der wesentlichen Herausforderungen ist es, natürliche Personen davor zu schützen, dass ihre Persönlichkeitsrechte durch den Umgang mit personenbezogenen Daten beeinträchtigt werden. Als Ergebnis daraus ergibt sich die konkrete Aufgabe zu überwachen, ob personenbezogene Daten ordnungsgemäß verarbeitet werden. Ein Ansatz dieser systematisierten Prüfpflicht nachzukommen ist das Datenschutzaudit. Durch klare Prinzipien bei der Prüfung und Auswertung im Rahmen von Datenschutbestimmten Zeitraum geplant und auf einen spezifischen Zweck ausgerichtet sind. So sind die Ziele des Audits, der Prüfbereich, die Planung und die Methodik im Vorfeld festzulegen. Ziele des Audits Nach Auffassung der Aufsichtsbehörden ist mit der Prüfpflicht die regelmäßige Durchführung von angemeldeten und unvermuteten betriebsinternen Prüfungen verbunden. Es wird eine systematische Prüfung vorausgesetzt und empfohlen, die Prüfung in einem jährlichen Turnus durchzuführen. Das Prüfergebnis muss für alle Beteiligten in einem Bericht festgehalten werden. zaudits wird die Auditierung transparent und die Bewertung vergleichbar. Zentrale Bestandteile des Datenschutzaudits Im optimalen Fall ist das Datenschutzaudit ein Bestandteil eines zentralen Auditprogramms. Aber auch ohne übergeordnete Prozesse lässt sich das Datenschutzaudit sinnvoll abbilden. Wie bei einem unternehmensweiten Auditprogramm beinhaltet das Programm für Datenschutzaudits die Festlegungen für ein oder mehrere Audits, die für einen Im Vorfeld des Audits werden die konkreten Ziele festlegt, die mit dem Audit erreicht werden sollen. Ein Audit besteht im Wesentlichen in der Ermittlung, ob und wie die Anforderungen umgesetzt worden sind hier konkret die gesetzlichen Anforderungen zum Datenschutz. Die Kriterien, gegen die geprüft wird, können hier gelten: Einhaltung der Anforderungen aus den Datenschutzgesetzen, z. B.: - Datenvermeidung, Datensparsamkeit, - Zweckbindung bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, 20

21 - Aufbewahrungsdauer bzw. Löschfristen von personenbezogenen Daten, Einhaltung interner Regelungen oder Richtlinien zum Datenschutz, aber auch der Datensicherheit, z. B.: - Verschlüsselung beim -Versand von personenbezogenen Daten (Weitergabekontrolle), - sichere Passwörter, also ausreichende Passwortlänge und -komplexität (Zugangskontrolle), - Vergabe von Berechtigungen nach einem abgestuften rollenbasierten Berechtigungskonzept (Zugriffskontrolle). Auch die Einbindung als Datenschutzbeauftragter in die Unternehmensabläufe und Prozesse ist ein möglicher Bereich für die Überprüfung. Dazu gehören z.b.: die rechtzeitige Information des DSB bei der Auswahl neuer Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden sollen, Mitteilung an den DSB über die Verarbeitung von besonderen Arten personenbezogener Daten (Vorabkontrolle). Der Prüfbereich: Verfahren automatisierter Verarbeitung Im Kern der Auditierung sollten die Verfahren automatisierter Verarbeitung stehen. Die Verfahrensbeschreibungen enthalten alle wesentlichen Informationen, um eine Bewertung der oben genannten Anforderungen bzw. Ziele vornehmen zu können. Durch die Verbindung der Anwendungen, die zur Verarbeitung personenbezogener Daten verwendet werden, mit den einzelnen Verfahren erhält man einen gut umrissenen Bereich für die Prüfung. Die Planung: Das Auditjahresprogramm Um ein Audit erfolgreich durchführen zu können, ist es gut zu planen. Im besten Fall erstellt man bereits zu Beginn des Jahres ein Auditjahresprogramm, das die Prüfthemen und die zu auditierenden Einheiten festlegt und mit der Unternehmensleitung sowie ggfs. mit den zu auditierenden Einheiten terminlich abgestimmt wird. Die Planung: Auditplan Der Auditplan, der die wesentlichen Angaben für die Durchführung des Audits enthält, sollte dann für jedes Audit den genauen zeitlichen Ablauf und den konkreten Prüfbereich (Scope) festlegen. Somit können sich alle Beteiligten terminlich darauf einstellen und das Audit in der geplanten Zeit durchgeführt und abgeschlossen werden. Die Durchführung von Stichprobenkontrollen und die Erfassung von Nachweisen sind eine zweckmäßige Grundlage, um zu zuverlässigen und nachvollziehbaren Schlussfolgerungen in einem systematischen Auditprozess zu gelangen. Auditnachweise sollen überprüfbar sein. Sie beruhen auf Stichproben der verfügbaren Informationen, da ein Audit während eines begrenzten Zeitraums und mit begrenzten Ressourcen durchgeführt wird. Dazu wird ein Auditplan erstellt. Zur Unterstützung eines Audits werden in der Regel Checklisten eingesetzt. Damit können sowohl die Auditziele als auch die Ergebnisse strukturiert und nachvollziehbar dokumentiert werden. Die Checklisten sind individuell an die jeweiligen Auditziele und insbesondere an das jeweils zu auditierende Unternehmen anzupassen. Es gibt allerdings eine Menge Auditfragen, die wesentliche Anforderungen aus dem BDSG oder gängigen IT-Sicherheitsstandards (ISO 27001, BSI usw.) adressieren. Die Aufgabe des DSB ist es, aus einem Pool von Auditfragen die passenden herauszusuchen und so zusammenzustellen, dass Sie die individuellen Auditziele mit den entsprechenden Fragen erreicht werden können. Die Methodik des Audits Eine wichtige Festlegung im Rahmen des Auditprogramms ist die Auditmethode, die für die Prüfung wählt wird. In Abhängigkeit von den zur Verfügung stehenden Ressourcen und dem Risiko, das mit der Verarbeitung personenbezogener Daten verbunden ist, kann man Art der Auditierung festlegen. Typische Methoden sind Vor-Ort-Audits in Interviewform Selbsteinschätzung oder Selbstkontrolle des Bereichs anhand von Checklisten Begehungen Beobachtung der durchgeführten Arbeiten vor Ort (offen oder inkognito) Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite 93 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite 95 21

22 Datenträgervernichtung/ Datenlöschung Michael Nuncic, Kroll Ontrack Sichere Datenlöschung wird immer wichtiger Eine aktuelle Studie von Kroll Ontrack und der Blanc co Technology Group1 bringt es an den Tag: Auf fast der Hälfte (insgesamt 48 Prozent) der auf Online-Plattformen wie Amazon, ebay und Gazelle.com verkauften Speichermedien konnten von den Datenrettungs- und Datenlösch-Spezialisten noch Daten identifiziert und wiederhergestellt werden. Besonders bemerkenswert dabei: Drei Viertel 75 Prozent aller Verkäufer der überprüften Laufwerke, die noch Restdaten aufwiesen, haben zuvor versucht, diese restlos zu löschen. Wie kommt es zu dieser Diskrepanz zwischen Wollen und Können? Offensichtlich besteht bei vielen Anwendern immer noch ein eklatantes Wissensdefizit bei der Wahl der passenden Löschmethode. Scheinbar geht ein Großteil davon aus, dass ein Quickformat -Löschen bei Festplatten völlig ausreicht, obwohl das keineswegs der Fall ist. Denn Fakt ist: Wenigstens eine vollständige Formatierung sollte durchgeführt werden, noch besser ist eine Low-Level-Formatierung. Doch das gilt nur für den privaten Einsatz. In Firmen dagegen sollte man immer sofort auf eine professionelle Datenlöschsoftware oder ein zertifiziertes Datenlöschunternehmen zurückgreifen. Und das nicht nur, weil es mit einer solchen Lösung die Software überschreibt den Speicher mit neuem, zufälligem Inhalt nicht mehr möglich ist, Daten wiederherzustellen, sondern auch, weil man für einen späteren Nachweis der tatsächlich erfolgten Datenlöschung einen detaillierten Report erhält. Dass ein professionelles Datenmanagement inklusive sicherer Datenlöschung und eventuell anschließender Speichermedium- Zerstörung immer wichtiger wird, zeigt der dramatische Anstieg der gespeicherten Datenberge : Nach einer gemeinsamen Studie von EMC und IBC1 verdoppelt sich das Datenuniversum derzeit alle zwei Jahre. Bis zum Jahr 2020 soll sich sogar das weltweite Datenvolumen von rund 4,4 Millionen Zettabytes auf 44 Millionen Zettabytes verzehnfachen. Dabei ist eine interessante Aussage der Studie, dass für den enormen Anstieg hauptsächlich Firmen verantwortlich sind: Sie sind mit bis zu 85 Prozent an dem immensen Datenwachstum beteiligt. Privatleute nur zu 15 Prozent. Das ist kein Wunder, schließlich ist das Sammeln, Verknüpfen und Auswerten von Daten im Rahmen der Kunden- und Geschäftsbeziehungen längst zur Regel geworden das Stichwort heißt Big Data. Dazu kommen die vielen Informationen, die 22

23 intern gesammelt, ausgewertet, gesichert und später im Archiv gespeichert werden. So bedeutet die immense Menge an gespeicherten Daten auch zusätzliche Gefahren für die Datensicherheit. Denn es ist ein Irrglaube, zu denken, dass beispielsweise Datendiebe oder Industriespione einzig und allein hinter brandneuen Informationen her sind. Das ist nicht der Fall, viele bereits im Firmenarchiv abgelegte Daten können aufschlussreiche Anhaltspunkte für Geschäftsgeheimnisse enthalten und dafür sorgen, dass Produkte und Dienstleistungen plagiiert oder nachvollzogen werden können. Daten, die das Ende ihres Lebenszyklus erreicht haben, müssen also unbedingt vernichtet werden, bevor der physikalische Speicherträger die Firma verlässt. Genauso verhält es sich bei Daten, die Persönlichkeitsrechte von Mitarbeitern, Kunden oder Partnern beinhalten. Nicht erst mit der Diskussion über die neue europäische Datenschutzgesetzgebung (GDPR), die Ende 2015 verabschiedet werden soll, sondern durch bereits vorhandene nationale Gesetze sind Firmen verpflichtet, persönliche Daten, die nicht mehr benötigt werden, zu löschen. Für Firmen sollte es deshalb ein integraler Teil ihres Datenmanagements sein, dafür zu sorgen und nachzuweisen, dass Datenlöschungen so durchgeführt werden, dass sowohl die Datensicherheit des Unternehmens als auch der Datenschutz gewährleistet ist. Je höher die Anzahl der eingesetzten Storages, Einzelrechner und anderer Speicher sowie der darauf abgelegten Dateien, desto größer ist natürlich auch der Aufwand bei vorgeschriebener Löschung und Reporting. Besonders für kleine und mittelständische Firmen ist dabei der Aufwand für das Löschmanagement das ein integraler Bestandteil eines Datenschutz- und Daten-Management-Prozesses sein sollte oftmals sehr hoch, da es unter Umständen dafür zu sorgen gilt, dass Nachweise für das sichere und dauerhafte Löschen nicht nur für komplette Festplatten oder Storages zu erstellen sind, sondern sogar für einzelne Dateien. Hosted-Erase-Lösung an. Über eine Web- Oberfläche können IT-Administratoren hier das gesamte Reporting, die Lizenzierung und die Analyse der Löschvorgänge bündeln und verwalten. Da eine solche Lösung nicht nur Festplatten sicher löschen kann, sondern auch LUNs oder mobile Geräte wie Smartphones oder Tablets, können die Speichermedien oder die Hardware anschließend weiterverwendet beziehungsweise veräußert werden. Bei magnetischen Speichermedien, bei denen sich der Verkauf oder die Weiternutzung nicht mehr lohnt, aber auch bei defekten Medien bleibt nur eine endgültige Löschung durch einen Entmagnetisierer, den Degausser. Dieser sorgt mittels eines starken Magnetfelds mindestens 9.500, idealerweise Gauß für eine vollständige Entmagnetisierung. Dabei werden auch sämtliche Servo- und Wartungsinformationen vernichtet, das Medium kann also anschließend nicht mehr weiterverwendet werden. Bei elektronischen Speichern auf FLASH-, NAND-Basis funktioniert diese Methode allerdings nicht. Bei diesen Massenspeichermedien sollte man daher nach Möglichkeit zunächst softwareseitig löschen und anschließend die Medien einem professionellen Entsorger geben, der sie dann in Kleinstteilchen zerschreddert. Egal, für welche sichere Methode man sich im Einzelfall entscheidet, und egal, ob man sich beruflich oder privat mit Datenlöschung befassen muss wichtig ist es auf jeden Fall, dass man anschließend überprüft, ob auch wirklich alle Daten auf dem Gerät oder Speichermedium restlos beseitig wurden. Erst dann sollte man es dem neuen Besitzer oder Käufer aushändigen oder versenden Produktanbieter:... Seite Seite 83 Berater/Dienstleister:... Seite Seite 90 Für Firmen, die regelmäßig nicht mehr benötigte oder abgelaufene Daten sicher löschen und die Löschprozesse dabei einfach verwalten möchten, bietet sich heutzutage zum Beispiel eine Cloud-basierte 23

24 Disaster Recovery Stefan Rabben, Dell Disaster Recovery braucht einen guten Plan Unglücksfälle in der IT sind nicht vorhersehbar die Wiederherstellung von Systemen und Daten sollte es aber sein. Für den Fall der Fälle benötigen Unternehmen einen tragfähigen Disaster-Recovery-Plan, mit dem sie nach einem IT-Notfall so schnell wie möglich wieder handlungsfähig sind. Bei der Ausarbeitung eines solchen Plans haben sich einige Best Practices bewährt. Notfälle in der IT können jedes Unternehmen treffen. Damit Systeme ausfallen oder Daten verloren gehen, braucht es auch gar keine dramatischen Ereignisse wie Naturkatastrophen oder Terroranschläge oft reichen schon unbeabsichtigte menschliche Fehler aus. Ein so simpler Vorgang wie ein Mitarbeiter, der an einem Kabel hängen bleibt, kann im Extremfall ein ganzes Storage-System lahmlegen. Darüber hinaus zählen heute auch Attacken von Cyber-Kriminellen, die zu Systemausfällen oder Datenverlust führen können, immer mehr zum Alltag von Unternehmen. Da mittlerweile praktisch jedes Unternehmen tief von IT durchdrungen und damit in hohem Maße von ihr abhängig ist, kann der Ausfall von Systemen schnell zu erheblichen Problemen führen. Sind die Mitarbeiter nicht mehr in der Lage, auf die Anwendungen oder Kommunikationssysteme zuzugreifen, die sie zur Erledigung ihrer täglichen Arbeit benötigen, ist da s Unternehmen nicht mehr handlungsfähig und das kann im schlimmsten Fall sogar seine Existenz gefährden. Die Aufgabe von Disaster Recovery ist es deshalb, beim Eintreten eines IT-Notfalls die betroffenen Daten und Systeme wiederherzustellen und schnellstmöglich die Wiederaufnahme der Geschäftstätigkeit zu gewährleisten. Da dafür nicht zwangsläufig alle Daten und Systeme erforderlich sind, muss eine Disaster-Recovery-Strategie sie nach ihrer Wichtigkeit kategorisieren und mit Hilfe entsprechender Backup- und Speicher- Techniken absichern. Die richtigen Technologien allein reichen aber nicht aus. Um schnellstmöglich wieder handlungsfähig zu sein, brauchen Unternehmen auch einen Disaster-Recovery- 24

25 Plan, der festlegt, was genau im Fall der Fälle zu tun ist. Bei der Ausarbeitung eines solchen Plans haben sich folgende Best Practices bewährt: Alle Stakeholder involvieren. In die Ausarbeitung des Plans müssen Schlüsselverantwortliche aus sämtlichen Abteilungen einbezogen sein. Sie müssen definieren, wo im Notfall ihre Prioritäten liegen, und den Disaster-Recovery-Plan am Ende absegnen. Die Strategie dokumentieren. Es sollte unbedingt eine dokumentierte Strategie vorliegen, wie das Unternehmen wieder handlungsfähig gemacht werden kann. Dieses Dokument sollte gezielt für die Personen geschrieben werden, die es anwenden müssen. Viele Unternehmen bevorzugen hier Dokumente, die auch für Laien verständlich sind. Das ist aber der falsche Ansatz. Für Disaster Recovery werden IT-Spezialisten mit umfassendem Troubleshooting-Know-how benötigt und nicht Personen, die einfach einer Reihe statischer Instruktionen folgen. Einen breiten Zugang zum Recovery-Plan sicherstellen. Häufig kennt nur eine einzige Person im Unternehmen die komplette Strategie. Ist diese Person im Notfall nicht verfügbar, kann sich das bitter rächen. Außerdem darf nicht vergessen werden, den Recovery-Plan so zu speichern, dass er auch bei Systemausfällen garantiert noch zugänglich ist. Idealerweise wird er deshalb an mehreren unterschiedlichen Orten vorgehalten. Die Abwesenheit von Teammitgliedern einplanen. Kommt es zu einem Unglücksfall in der IT, haben wichtige Personen vielleicht gerade Urlaub, sind auf Geschäftsreise oder krank. Deshalb sollte der Disaster-Recovery-Plan so gestaltet sein, dass seine Ausführung nicht auf die Anwesenheit sämtlicher Teammitglieder angewiesen ist. So viel wie möglich automatisieren. Der Recovery-Prozess sollte, wo immer er es zulässt, automatisiert sein. Dadurch wird das Risiko menschlicher Fehler minimiert. Außerdem kann der Prozess umso schneller ablaufen, je weniger manuelle Schritte er enthält. Den Plan durchspielen. Wird der Recovery- Plan regelmäßig durchexerziert, lassen sich dadurch Schwächen finden und beseitigen. Das Einüben der Abläufe sorgt außerdem dafür, dass der Plan im Notfall schneller und gezielter umgesetzt werden kann. Jeder, der im Plan eine bestimmte Rolle zugewiesen bekommt, sollte an diesen Übungen teilnehmen. Einen Verantwortlichen für den Startknopf festlegen. Es muss im Unternehmen einen Verantwortlichen auf Geschäftsführungsebene geben, der die Entscheidungshoheit darüber hat, ob der Disaster-Recovery- Prozess eingeleitet werden soll oder nicht. Den Plan regelmäßig aktualisieren. Die periodische Überprüfung des Plans ist von entscheidender Bedeutung für seinen Erfolg. Schlüsselpersonen des Plans könnten beispielsweise das Unternehmen verlassen, die IT könnte auf eine neue Hardware oder ein neues Betriebssystem migrieren oder das Unternehmen übernimmt vielleicht ein anderes. Deshalb muss der Plan zu jeder Zeit den Status quo reflektieren; nur dann kann er auch funktionieren. Einen Kommunikationsplan etablieren. Mindestens genauso entscheidend für ein erfolgreiches Disaster Recovery ist eine effektive Kommunikation. Die IT-Verantwortlichen müssen sich nicht nur untereinander austauschen, um die Systeme wieder zum Laufen zu bringen, sondern auch Status-Updates an das Management und die User kommunizieren. Nur so lassen sich Panik und ständig wiederkehrende Fragen verhindern, die den Recovery-Prozess verlangsamen. Da -Systeme und Voice-over-IP-Anlagen in aller Regel auf dem eigenen Netzwerk und internen Systemen basieren, sollte dafür der Einsatz einer externen Kommunikationsmethode eingeplant werden. Ob menschliches Versagen, Hacker-Angriff oder andere Ursachen: Unternehmen können nie wissen, welcher IT-Unglücksfall auf sie zukommt. Sie sollten aber immer davon ausgehen, dass einer davon früher oder später eintreten wird. Mit dem richtigen Disaster-Recovery-Plan sind sie für alle Eventualitäten gerüstet. Produktanbieter:... Seite Seite Seite Seite 82 Berater/Dienstleister:... Seite Seite Seite 95 25

26 -Sicherheit Marcel Mock, totemo Warum -Sicherheit nur durch Verschlüsselung zu erreichen ist -Sicherheit umfasst alle Maßnahmen zum Schutz vor Angriffen, die über den Kommunikationsweg erfolgen. Darunter fallen unterschiedliche Sicherheitstechnologien, entsprechend der Vielfalt der Bedrohungen. Neben den klassischen Lösungen wie Anti-Virus, Firewall und Data Loss Prevention (DLP) ist vor allem die sichere Ende-zu-Ende-Verschlüsselung ein wichtiger Hebel, um die elektronisch verschickten Informationen vor unberechtigten Zugriffen zu schützen wie bei einem gut versiegelten Brief. Zu den Standard-Technologien für die E- Mail-Sicherheit gehört die Firewall. Sie überwacht den Netzwerkverkehr sowie alle Verbindungsversuche und entscheidet anhand von verschiedenen Filtern, ob eine durchgelassen wird oder nicht. Die Firewall kann im Sinne einer Lastverteilung auch entscheiden, welche Nachrichten prioritär und welche nachrangig verarbeitet werden. So lässt sich sicherstellen, dass auch bei starker Auslastung der -Infrastruktur geschäftsrelevante Nachrichten jederzeit sofort zugestellt werden. Anti-Spam- und Anti-Virus-Lösungen schützen vor unerwünschten Mails, etwa lästigen Werbesendungen oder solchen, die Viren und Trojaner ins Unternehmen einschleusen. Sie erkennen in der Regel auch Phishing- Attacken, die Mitarbeiter auf gefälschte Webseiten umleiten sollen, um Passwörter und andere Daten abzugreifen. Anti-Spamund Anti-Virus-Lösungen kontrollieren also den Zufluss von Informationen. Als Ergän- 26

27 zung dazu schützen Data-Loss-Prevention- Lösungen vor dem Abfluss wichtiger Informationen über , durch den dem Unternehmen ein Schaden entsteht. Transport- oder Inhaltsverschlüsselung? Eine umfassende -Sicherheitsstrategie kommt nicht ohne Verschlüsselung aus. Hier gilt es, zwei sich ergänzende Verschlüsselungsmöglichkeiten zu betrachten: Zum einen gibt es die Verschlüsselung des Transportweges mit dem kryptographischen Protokoll SSL (Secure Sockets Layer) oder dessen Nachfolger TLS (Transport Layer Security). Der Vorteil liegt darin, dass ihr Einsatz Hacker am Zugriff auf die Kommunikation und an der Überwachung von Internetverbindungen hindert. Zudem werden keinerlei Daten der Nachricht offengelegt auch nicht die Metadaten, also der Name von Absender und Empfänger, Betreff und Zeit des Versands. Bei der Inhaltsverschlüsselung dagegen erscheinen die Metadaten unverschlüsselt. Die reine Transportverschlüsselung hat allerdings einen entscheidenden Nachteil: s wandern zwischen dem Server ihres eigenen -Providers und den Servern der Kommunikationspartner hin und her und passieren dabei verschiedene SMTP- Hops, also Abschnitte des Simple Mail Transfer Protocol. Mit TLS ist die nur bis zum nächsten Hop, also nur auf einer bestimmten Etappe, geschützt. Selbst innerhalb des eigenen Firmennetzwerkes auf dem Weg vom Gerät des Versenders bis zum Mailserver ist eine TLS-verschlüsselte Nachricht nicht vor neugierigen Blicken geschützt, Stichwort Insider Threat. Darüber hinaus nehmen s auch firmenintern meist nicht den direkten Übertragungsweg, sondern passieren weitere Server, damit Sicherheitsmaßnahmen wie Anti-Virus-Kontrollen oder DLP-Checks durchgeführt werden können. Daher sollten Unternehmen als probate Schutzmaßnahme zusätzlich auf eine Inhaltsverschlüsselung nach den Standards PGP oder S/MIME setzen. Damit können s selbst dann nicht gelesen werden, wenn der Übertragungskanal kompromittiert wurde. Ende-zu-Ende-Verschlüsselung schafft Sicherheit Die Inhaltsverschlüsselung ist damit die Basis der sogenannten Ende-zu-Ende-Verschlüsselung. Die Daten bleiben auf dem gesamten Weg vom Absender bis zum Empfänger verschlüsselt. Unabhängig von Provider und Verbindungsart funktioniert dies auch in ungesicherten Netzen: Wer auch immer Verbindungen anzapft und Daten abgreift, bekommt nur Datenmüll zu sehen. Das gilt für die Kommunikation zwischen stationären Arbeitsgeräten ebenso wie für mobile Endgeräte. Dennoch zeigt sich für alle Verschlüsselungslösungen, dass die technischen Möglichkeiten und die praktische Anwendung auseinanderklaffen. Denn laut einer repräsentativen Umfrage des Hightech- Verbands Bitkom ist in den meisten Unternehmen der verschlüsselte Versand von s immer noch die große Ausnahme. Demnach können 65 Prozent der Berufstätigen ihre dienstlichen s nicht verschlüsselt versenden. 19 Prozent der Befragten haben zwar die technischen Voraussetzungen, setzen die Lösungen aber nicht ein. Lediglich 16 Prozent verschlüsselt laut der Bitkom-Studie ihre beruflichen s wenigstens hin und wieder. Experten halten selbst diese Einschätzung für optimistisch. All-in-one- oder Pure-Play-Vendor-Lösung Viele Technologien zum -Schutz gehen Hand in Hand und werden daher in einer Lösung kombiniert. Zum Beispiel sind in vielen Verschlüsselungs-Gateways auch bereits DLP-Funktionen integriert. Es gibt für jede einzelne Technologie aber auch sogenannte Pure Play Vendors, die sich rein auf eine Funktion spezialisieren. Für welches Szenario sich ein Unternehmen entscheidet, ist von seinen individuellen Gegebenheiten und auch von der übergeordneten IT-Sicherheitsstrategie abhängig. In jedem Fall ist es sinnvoll, darauf zu achten, dass die verschiedenen Lösungen miteinander interagieren. Dies lässt sich am besten durch die Verknüpfung über Standardschnittstellen lösen. Denn nur die Kombination der verschiedenen Technologien stellt sicher, dass das Unternehmen für alle möglichen Angriffsvektoren gewappnet ist. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 93 Berater/Dienstleister:... Seite Seite Seite Seite Seite 88 27

28 Firewall-Systeme Felix Blank, gateprotect GmbH Firewall-Systeme im Wandel der Zeit State of the Art mit Zukunftsblick Seit Ende der 80er-Jahre die Entwicklung der ersten Generation von Firewalls begann, haben sich parallel mit der Ausweitung der Internetnutzung und der Etablierung des Web 2.0 die Anforderungen an IT-Sicherheit für Unternehmen und Privathaushalte rasant weiterentwickelt. Um sich den aktuellen Entwicklungen und Trends der Cybersecurity über Firewall-Systeme anzunähern, lohnt der Blick in die Geschichte der virtuellen Brandmauern. Als Früh- oder Vorgeschichte der heutigen Firewall-Technologie können simple IP-Filter mittels /etc/hosts.allow- Dateien genannt werden. Ende der 80er-Jahre begann die Entwicklung der ersten Generation der Firewalls, die Pakete zwischen Netzwerken überprüften und sowohl IP-Adressen als auch Ports analysieren konnten. Oftmals führten in dieser Phase der Firewall-Technologie zu restriktiv gesetzte Regelwerke noch zu einer starken Verlangsamung des Arbeitsflusses. Dabei inspizierten die damaligen Paketfilter-Firewalls lediglich die ersten drei Layer des OSI (Open Systems Interconnection)- Referenzmodells (ein Jahr, nachdem der erste Computerwurm Morris sein Unwesen trieb) 28

29 schließlich stellten die Experten der AT&T Bell Laboratories die zweite Firewall-Generation vor, welche durch die Stateful Packet Inspection jedem Paket eine aktive Verbindung zuordnete und so bis auf Layer vier vordrang. Die dynamische Firewall-Technik konnte hierdurch den Initiator einer Verbindung erkennen und somit eine halbdurchlässige (vergleichbar mit einer semipermeablen Membran) Filterregel erstellen. Die dritte Firewall-Generation wurde Mitte der 90er-Jahre eingeführt kam die erste transparente Application Level Firewall (auch Proxy-Firewall) auf den Markt, welche nun bestimmte Applikationen und Protokolle (unter anderem FTP, DNS oder HTTP) verstehen konnte. Nicht nur die Verkehrsdaten wurden von nun an untersucht, sondern auch die Inhalte der Pakete. Der Datenverkehr konzentriert sich zunehmend auf zwei TCP-Ports: das Surfen auf Websites, der -Versand, Chat, Webradio, Video-Streaming und sogar Computerspiele laufen von den verfügbaren TCP- und UDP-Ports fast nur noch über Port 80 (HTTP) und über Port 443 (HTTPS). Das hat gravierende Auswirkungen auf die Netzwerksicherheit: Eine Firewall, die nur Ports filtert, ist bei dieser Entwicklung kaum noch effektiv. Die Entscheidung, Port 80 und 443 zu öffnen oder zu blockieren, ist schnell getroffen. Danach kann die Firewall die Nutzung dieser Ports nicht weiter einschränken. Daraufhin entwickelten die Technikanalysten von Gartner 2009 den Basisbegriff der Next Generation Firewall. Diese modernen Firewalls enthalten neben Intrusion-Prevention-Systemen und User Identity Integration, vor allem Deep- Packet-Inspection-Filter (DPI), wodurch sie Datenpakete bis auf Layer sieben untersuchen können. Ein DPI-Modul für Firewalls besteht im Normalfall aus einer Software, die Protokolle klassifiziert. Dabei funktionieren DPI- Module ähnlich wie Antiviren-Software. Sie arbeiten mit einer Art Scan-Engine : Für jedes zu erkennende Netzwerkprotokoll gibt es genau angepasste Signaturen. Die Scan-Engine vergleicht dann sämtliche Pakete mit den verschiedenen Protokollsignaturen. Erkennt sie eine Übereinstimmung, gilt das Paket als klassifiziert und wird an weitere Programme, wie zum Beispiel einen Applikationsfilter, weitergegeben. Für alle Systeme, die DPI nutzen, ist es daher essentiell, dass die Protokollsignaturen jederzeit auf dem aktuellsten Stand sind. Nur so können sie effizient arbeiten. Die große Herausforderung liegt in der häufigen Veränderung proprietärer Protokolle. Etablierte Protokolle wie HTTP oder DNS ändern sich sehr selten. Bei der Änderung proprietärer Protokolle muss sofort ein Signatur-Update stattfinden oder das Protokoll entzieht sich jeglicher Kontrolle. Die Next Generation Firewall mit der Deep Packet Inspection ist ein sehr wichtiger Schritt, um sich den aktuellen Bedrohungen des Datenverkehrs effizient zu stellen. Doch gerade um mit der aktuellen Bedrohungslage Schritt zu halten, ist es nötig, auch die zukünftigen Trends im Blick zu behalten: Erstens werden die genutzten Bandbreiten zukünftig rapide ansteigen, was die Firewall schnell zu einem Bottleneck werden lässt. Hier kann eine Stream-Scan- Engine (auch in einem UTM-Produkt) die mögliche Bandbreite einer Firewall extrem vergrößern. Zweitens wird sich das Internet zunehmend auf die Protokolle HTTP und HTTPS konsolidieren. Gerade hier wird noch einmal die Notwendigkeit einer DPI-Engine mit einem Detektor und einem Decoder mehr als deutlich. Drittens wird das Internet zunehmend durch verschlüsselte Kommunikationsprozesse bestimmt werden, die durch SSL-Interception in Echtzeit (zum Beispiel als Teil einer Stream-Scan-Engine) weiterhin der Kontrolle einer Firewall unterstehen. Die Firewall der Zukunft muss also neben den typischen Firewall-Funktionen über eine Single-Pass-Engine die nötige Bandbreite und Geschwindigkeit herstellen, über die Deep Packet Inspection die klassische Portfilterung auf Layer drei bzw. vier um eine Untersuchung der Applikationsebene auf Layer sieben erweitern und ganz nebenbei weiterhin elementare Funktionen wie ein Unified Threat Management für jede Unternehmensgröße bieten. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 91 Berater/Dienstleister:... Seite Seite Seite Seite 94 29

30 Internet der Dinge/Industrie 4.0 Erwan Smits, Atos Deutschland Angriffsziel: Operation Technology Industrie 4.0 liefert neue Zukunftschancen für Deutschland als führenden Industriestandort. Immer mehr Systeme in der Produktion sind untereinander vernetzt und mit dem Internet verbunden. Die Schattenseite: Operation-Technology-Systeme (OT-Systeme) also die Sensoren, Geräte und Software, die die physische Wertschöpfung und die Fertigungsprozesse unterstützen werden immer häufiger Ziele von Cyber-Angriffen. Angriffe. Eine spezielle Sicherheitsarchitektur für Industrie 4.0 kann dem einen Riegel vorschieben. Bei dieser Konzeption stehen Sicherheitselemente auf den drei Ebenen Technologie, Anwendungen und Geschäftsprozesse im Fokus. Technologie Der Tatort war das Büronetz eines deutschen Stahlwerks (Quelle: BSI- Lagebericht 2014): Die Angreifer hatten sich mittels personalisierter Phishing-Mails in das Netz gehackt und arbeiteten sich systematisch bis auf die Produktionsebene vor. Dort legten sie Steuerungskomponenten lahm, mit dem Ergebnis, dass sich ein Hochofen nicht mehr geregelt herunterfahren ließ. Die Anlage wurde massiv beschädigt. Beispiele wie dieses zeigen: Industrieunternehmen geraten ins Visier gezielter Auf der Technologie-Ebene kommen verschiedene Lösungen zum Einsatz, die die Systeme, Applikationen und Business-Prozesse absichern. Die Komponenten Identity Management, Trustcenter und Public Key Infastructure (PKI) sowie ein Access Management sorgen dafür, dass Personen sich mittels starker Authentisierung und Single-Sign-On auf verschiedenen Systemen (beispielsweise Supervisory Control and Data Acquisition, kurz SCADA) oder Applikationen (etwa Manufacturing Execution System, kurz MES) sicher einloggen können. 30

31 Wichtig ist, dass IT und OT strikt getrennt sind, damit Schwachstellen in der IT keine Auswirkungen auf die Produktion haben, wie in dem oben genannten Stahlwerk-Beispiel. Diese Trennung von IT und OT wird im Rahmen der Sicherheitsarchitektur bereits auf der Infrastruktur-Ebene definiert. Unter dem Begriff Perimeter Protection sind Lösungen wie Gateways, Firewalls und Intrusion Prevention versammelt. Das Ziel ist es dabei, den Zugriff aus der IT auf die OT streng zu kontrollieren beziehungsweise zu unterbinden. Ferner wird auf diese Ebene ein Security Monitoring für die IT- und OT- Umgebung aufgebaut. Aggregierte Informationen aus diesen beiden Umgebungen werden in einem Cyber Security Dashboard visualisiert, wodurch ein Gesamtüberblick über die Cyber-Lage entsteht. Anwendungen Neben dem Einsatz einer starken Authentisierung und einer Single-Sign-On-Lösung ist es wichtig, die vertraulichen Daten etwa Maschinenparameter, Rezepturen, Konstruktionszeichnungen zu schützen. Hierfür empfehlen sich die Verschlüsselung der Daten- und Datenbanken sowie der Schutz vor Informationsabfluss mittels einer Data-Leakage-Prevention-Lösung. Geschäftsprozesse Oft fehlt im Unternehmen ein Überblick, welche kritischen Geschäftsprozesse von welchen IT-Systemen unterstützt werden, welche Informationen auf diesen Systemen gespeichert sind und welche Anwendungen auf diesen Systemen laufen. Das Unternehmen benötigt aber diese Informationen, um ein betriebliches Kontinuitätsmanagement (Business Continuity Planning) zu entwickeln. Die Bewertung der Bedeutung dieser Prozesse dient anschließend als Input für die Entwicklung eines Information-Security-Management- Systems (zum Beispiel nach ISO 27001) und für die Erstellung von Disaster-Recovery- Plänen. Dabei empfiehlt es sich, erst in der OT anzufangen und die Entwicklung sukzessive auf die IT auszuweiten. Ferner sollte die Reaktionsfähigkeit aktiv und reaktiv auf Cyber-Bedrohungen verbessert werden. Mithilfe von Cyber Threat Intelligence sammelt das Unternehmen aktiv Informationen über mögliche Angriffe auf die eigene IT-Infrastruktur. Damit kann es Maßnahmen einleiten, um Angriffe erfolgreich abzuwehren. Wenn ein Angriff unverhofft doch erfolgreich war, kann ein Computer Security Emergency Response Team dafür sorgen, dass adäquat auf Cyber- Angriffe reagiert wird. Abschließend ist es wichtig, regelmäßig Assessments auf allen Ebenen durchzuführen, damit das Unternehmen ein Bild über aktuelle Schwachstellen und Bedrohungen erhält und korrigierende Maßnahmen ergreifen kann. In diesen Bewertungen werden sowohl Prozesse (zum Beispiel ISO 27001) als auch die technische Sicherheit mittels Penetrationstests überprüft. Es muss also eine übergreifende Transparenz über alle Ebenen bezüglich möglicher und bestehender Schwachstellen und Bedrohungen hergestellt werden. Anschließend müssen die notwendigen Gegenmaßnahmen umgesetzt werden. Schließlich müssen bestehende Restrisiken bewusst vom Management akzeptiert werden. Erst am Ende dieses Prozesses ist die Industrie-4.0- Umgebung ausreichend abgesichert. Doch die Reise ist damit noch nicht beendet: Täglich werden neue Schwachstellen und Bedrohungen entdeckt, die die Systeme und Informationen in der OT-Umgebung kompromittieren können. Permanente Wachsamkeit und eine regelmäßige Überprüfung der Sicherheitssysteme sind also notwendig. Produktanbieter:... Seite Seite Seite Seite Seite 88 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite 94 31

32 Kritische Infrastrukturen Interview mit Frank Melber, Leiter Business Development Information Security bei TÜV Rheinland Risiken aktiv managen, Sicherheitslücken frühzeitig entdecken Energie- und Datennetze sind inzwischen komplett digital gesteuert. Mit dem immer höheren Vernetzungsgrad steigt die Verwundbarkeit der Anlagen durch gezielte komplexe Cyber-Attacken. Nicht zuletzt durch das IT-Sicherheitsgesetz stehen Betreiber kritischer Infrastrukturen (KRITIS) immer höheren regulatorischen Anforderungen gegenüber. Wo besteht Nachholbedarf in puncto Informationssicherheit? Wie können KRITIS- Unternehmen den Schaden im Ernstfall so schnell wie möglich begrenzen? Antworten von Frank Melber, Leiter Business Development Information Security bei TÜV Rheinland. IT-Sicherheit: Die Ansprüche an die Informationssicherheitsstandards innerhalb kritischer Infrastrukturen sind hoch. Worauf kommt es bei KRITIS besonders an? Für jedes Unternehmen gilt: IT-Systeme und IT-Prozesse sollten jederzeit verfügbar und ausfallsicher, Vertraulichkeit und Integrität von Daten überall und jederzeit gewahrt sein. Aufgrund ihrer Bedeutung für die allgemeine Versorgungssicherheit haben KRITIS-relevante Unternehmen aber eine besondere Verpflichtung, IT- Risiken systematisch zu managen, mögliche Schwachstellen in der IT so schnell wie möglich aufzudecken und Risiken sowie potenzielle Schäden und Folgekosten so weit wie möglich zu minimieren. Wie bewerten Sie die derzeitige IT-Sicherheitslage auf dem KRITIS-Sektor? Unserer Erfahrung nach sind Unternehmen kritischer Infrastrukturen nicht immer optimal geschützt. Das gilt aber auch für Unternehmen anderer Branchen. Oft 32

33 wird Informationssicherheit noch nicht systematisch gemanagt oder die technische Umgebung wird getrennt von der IT betrachtet, unter Umständen fehlt eine integrierte Sicherheitsstrategie völlig. Leider hatte Cyber Security aufgrund proprietärer IT-Strukturen zum Beispiel in der Energiewirtschaft lange nicht die Priorität, die angesichts der heutigen Vernetzung erforderlich ist. Das hat dazu geführt, dass notwendige Investitionen in Personal, Prozesse und Weiterbildung lange unterblieben sind oder nur das Notwendigste durchgeführt wurde. Weil sie aufgrund ihrer Bedeutung für die Allgemeinheit ohnehin zu den bevorzugten Angriffszielen gehören und ihre IT-Security-Abwehr nicht Schritt gehalten hat mit der aktuellen Bedrohungslage, sind diese Organisationen einem erhöhen Risiko gezielter komplexer Attacken ausgesetzt. Was sind typische Schwachstellen bei KRITIS-Unternehmen? Zu den potenziellen Einfallstoren für kriminelle oder staatliche Angriffe, die Services bis zum Totalausfall beeinträchtigen können, zählen unter anderem Infektionsvektoren wie das Besuchen präparierter und über Spearfishing- s adressierter Websites, die Mail-Infrastruktur im Zusammenhang mit maliziösen Attachments oder Schnittstellen zur Fernwartung (Fremddienstleister), ein seltenerer Weg ist die Kompromittierung über physische Wege, wie zum Beispiel per USB-Sticks. Wie wird sich die Bedrohungslage für KRITIS-Betreiber entwickeln? Unserer Erfahrung nach sind bereits sehr viele Unternehmen kompromittiert. Leider ist damit zu rechnen, dass die Zahl der Angriffe auf IT-Netzwerke von KRITIS weiter wächst und die Attacken immer komplexer werden. Klassische signaturabhängige Sicherheitslösungen, sprich herkömmliche Antiviren-Software, sind machtlos dagegen. Wer sensible Daten, Verfügbarkeit von Infrastruktur sowie geistiges Eigentum schützen will, muss diese selbst für Experten schwierig zu erkennenden Angriffe so früh wie möglich entdecken, unterbinden, verstehen und die Fortsetzung der Attacken verhindern. Was raten Sie Betreibern kritischer Infrastrukturen mit Blick auf das IT-Sicherheitsgesetz? Ein angemessenes Informationssicherheitsniveau im Unternehmen sollte in erster Linie nicht von der Verpflichtung getrieben sein, regulatorische Vorgaben zu erfüllen. Cyber Security ist heute eines der wichtigsten Themen im Risikomanagement von Unternehmen und Behörden, gleich welcher Branche. Deshalb sollten Organisationen die Sicherheit ihrer digitalen Werte im eigenen Interesse selbst und aktiv steuern. Dies geht am besten über die Einführung eines Informationssicherheits-Managementsystems (ISMS), zum Beispiel nach DIN ISO/ IEC und bei Bedarf in Verbindung mit definierten Branchenstandards, sowie durch die fokussierte Nutzung moderner technischer Lösungskomponenten. Noch sehen viele Firmen die Einführung eines ISMS als nicht verpflichtend an unabhängig davon empfehlen wir, sich mit der Einführung lieber heute als morgen auseinanderzusetzen. Ein angemessen konzipiertes ISMS erzeugt neben Aspekten der Compliance wesentliche Mehrwerte, wie Identifikation, Bewertung und Behandlung aktueller IT-Risiken bis hin zu einer wirtschaftlich sinnvollen Maßnahmenplanung. Wie sollte ein Unternehmen vorgehen, wenn es Störungen oder Anomalien feststellt, die sich nicht recht einordnen lassen? Holen Sie sich Unterstützung durch sachkundige Dritte, die in der Lage sind, einen gezielten komplexen Angriff zu erkennen, und wissen, welche Maßnahmen zur Abwehr umgesetzt werden sollten. Optimal ist eine Strategie aus proaktiven und reaktiven Maßnahmen... Genau. IT-Sicherheit ist eine iterative Aufgabe. Das bedeutet auch, sich regelmäßig zu vergewissern, ob das aktuelle Sicherheitsniveau noch ausreicht. Eine regelmäßige Bestandsanalyse zum Beispiel mittels eines Compromise Assessment ist grundsätzlich zu empfehlen. Nur so kann das Management die richtigen Entscheidungen treffen und auch seiner Sorgfaltspflicht im Sinne des Vorsorgegebots nachkommen. Es muss Transparenz darüber herrschen, welche Systeme und Wertschöpfungsprozesse im Unternehmen schützenswert sind, welche Angriffswege es gibt und wie sich diese effektiv absichern lassen. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite 91 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite 95 33

34 Kryptografi e Malte Pollmann, Utimaco Die Schlüsselfrage Neue technische Errungenschaften wie WhatsApp, Google Street View oder Anwendungen im Smart-Home-Umfeld kommen nicht nur rasant auf den Markt, sondern auch in unseren Alltag. Ganz selbstverständlich nutzen wir die Technologien und können uns häufig schon nach kurzer Zeit nicht mehr vorstellen, wie wir vorher ohne sie zurechtkommen konnten. Im Zentrum steht dabei die Kommunikation der Informationsaustausch zwischen Menschen, aber auch zwischen Mensch und Maschine oder Maschine und Maschine. Damit werden Daten zu einem immer wertvolleren Gut und genießen daher auch höchsten Schutz durch konsequente Verschlüsselung. Oder? Das weltweite Datenaufkommen wächst in einem unvorstellbaren Tempo. So erreicht die jährlich generierte digitale Datenmenge laut der Studie Das digitale Universum von EMC und IDC in diesem Jahr knapp Exabyte, im Jahr 2020 soll das generierte Volumen schon bei liegen. Zum Verständnis: Ein Exabyte umfasst eine Trillion, also Bytes, oder, anders ausgedrückt, eine Million Terabyte. Diese enormen Zahlen spiegeln wider, wie bedeutend digitale Informationen für uns sind und auch in Zukunft sein werden und welchen Stellenwert ihr Schutz einnehmen wird. Denn eines ist sicher: Zumindest ein Teil dieser Daten ist nicht nur für seine Urheber von großem Interesse. Kryptographie antik, aber nicht antiquiert Aus diesem Grund gewinnt mit der zunehmenden Digitalisierung der Schutz vor Cyber-Kriminellen, Geheimdiensten oder Industriespionen immens an Bedeutung. Ein probates Mittel dafür ist nach wie vor die Kryptographie auch wenn der Ursprung bereits in der Antike liegt. Schon Gaius Iulius Cäsar ließ alle Informationen an seine Generäle vor der Übergabe an seine Kuriere chiffrieren. Heute existieren natürlich weitaus komplexere und damit sicherere kryptographische Verfahren, um 34

35 Daten vor unberechtigten Zugriffen zu sichern. Wie die jüngere Geschichte zeigt, ist es selbst für Geheimdienste fast unmöglich, verschlüsselte Kommunikationsdaten auszuwerten. Dabei ist das Prinzip einfach: Beim Verschlüsseln werden Daten mathematisch umgewandelt. Dadurch ist die Information so stark verändert, dass ein unbefugter Dritter nur noch Code-Salat erhält und mit dem Inhalt nichts mehr anfangen kann. Für diesen Vorgang stehen unterschiedliche symmetrische und asymmetrische Verfahren zur Verfügung. Der Algorithmen- Katalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt auf, welche Stärke und Algorithmen sich für welche Anwendungen eignen. Eines jedoch haben alle Verfahren gemeinsam: Für die Anwendung der Verfahren ist ein geheimer Wert erforderlich, der Schlüssel. Ist dieser bekannt, lässt sich eine inverse Transaktion durchführen, um aus dem Code wieder die ursprünglichen Daten herzustellen. Auf das Wie kommt es an Genau hier liegt häufig eine Schwachstelle: Wird der Schlüssel falsch gewählt oder sogar in Teilen offengelegt, ist der Wert der Verschlüsselung fraglich. Man spricht dann von schwacher Kryptographie. Viele Angreifer kennen diese Schwachstelle und richten ihre Attacken gezielt darauf aus. Das Maß der Sicherheit hängt also zum einen von starken Algorithmen bei der Schlüsselgenerierung ab. Zum anderen spielen die Verwaltung sowie der Einsatz der Schlüssel eine wichtige Rolle. Das zeigte beispielsweise der BMW-Hack Anfang 2015, der aufgrund einer mittlerweile behobenen Schwachstelle zum Erfolg führte: Alle Fahrzeuge verwendeten die gleichen symmetrischen Schlüssel für die kryptographischen Funktionen. Hochsichere Krypto-Schlüssel basieren auf echten Zufallszahlen. Sie lassen sich nicht berechnen, da bei der Erzeugung kein festes, reproduzierbares Verfahren dahintersteht. Diese rein zufällige Zahlenfolge liefert ein starkes und solides Fundament, auf dem sich ein sicherer Prozess aufbauen lässt. Durch die Manipulation des Zufallszahlengenerators wurden bereits ganze in der Industrie zum Einsatz kommende Sicherheitssysteme kompromittiert. Genauso wichtig ist der Schutz der vorhandenen Schlüssel, also deren Verwaltung. Sie sollten auf keinen Fall ungesichert auf der Festplatte gespeichert sein, sondern in einem manipulationsgeschützten Bereich. Hier empfiehlt sich die Auslagerung der Schlüssel auf einen externen, physikalisch sicher verwahrten Datenträger. Das können beispielsweise Hardware-Verschlüsselungskomponenten sein, bei denen die Schlüssel vom Datenträger direkt codiert in die Verschlüsselungskomponente geladen werden und diese nie in Klartext verlassen. Zudem ist es wichtig, die Zugriffsrechte klar zu regeln und zu beschränken. Darüber hinaus gilt es darauf zu achten, dass kryptographische Schlüssel nur einem Einsatzzweck dienen. Denn nur so lässt sich sicherstellen, dass bei der Offenlegung eines Schlüssels nicht alle Verfahren betroffen sind. Außerdem kann es im Einzelfall erforderlich sein, Krypto-Schlüssel weiterzugeben. Und nicht zuletzt ist für die Umsetzung wichtig, eine entsprechende Security Policy im Unternehmen zu entwickeln und zu auditieren. Beachten Unternehmen all diese Punkte bei der Schlüsselverwaltung, haben sie eine solide Grundlage für die Absicherung der kritischen Informationen und Kundendaten geschaffen. Fazit Das Prinzip der Kryptographie ist ein wesentliches Element, um Daten zu schützen. Wichtig ist, bei der Schlüsselgenerierung und der -verwaltung die oben genannten Schwachstellen auszuschließen. Darum lohnt es sich, die eingesetzte Verschlüsselungslösung einmal ganz kritisch zu überprüfen. Denn, und auch das wusste bereits Gaius Iulius Caesar, Gewohnheit ist Meister über alle Dinge. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 93 Berater/Dienstleister:... Seite Seite 92 35

36 Malware-/Virenschutz Tony Anscombe, AVG Technologies Nur gemeinsam: Schwachstellen in mobilen Apps beheben Mobile Geräte sind für Cyber-Kriminelle ein interessantes Ziel, besonders wenn sie beruflich und privat genutzt werden. Als größtes Einfallstor für Schadsoftware galten daher bis vor einigen Jahren die gängigen App-Stores. Auf den dezentralen, offenen Distributions-Plattformen war es für Hacker oft ein Leichtes, ihre Malware hochzuladen und zu verbreiten. Doch die Betreiber wie Apple (App Store), Google (Play) und Microsoft (Windows Apps) haben reagiert. Sie verteilen die Anwendungen jetzt zentral und haben strenge Sicherheitsvorschriften und Kontrollen implementiert, um zu verhindern, dass Millionen von Usern infiziert werden. Schadhafte Apps im Store von Apple galten daher lange Zeit als undenkbar. Aber die Hacker haben nachgerüstet, wie die Android-Schwachstellen Stagefright 1 und Stagefright 2 zeigen. Und auch bei Apple konnte die Schadsoftware Xcode Ghost erst kürzlich die Sicherheitsschleu- sen überwinden. Ein häufiger Trick der Kriminellen: Sie nutzen nicht den direkten Weg durch die Sicherheitsvorkehrungen, sondern bedienen sich der Schwachstellen normaler Anwendungen. So laden sich Anwender die Sicherheitslücke zusammen mit einer Software, die eigentlich als sicher gilt, herunter. Lokale Datenspeicherung, App- Recycling und Datenübermittlung Doch wie greifen die Hacker so unbefugt auf Daten zu? Meist nutzen sie lokal gespeicherte Daten aus anderen Apps, die in der Regel nicht verschlüsselt sind. Dazu gehören beispielsweise Log-Files und Reports, die die Nutzung einer Anwendung dokumentieren. Auch Daten, die aus Performancegründen lokal zwischengespeichert sind, geraten ins Visier. Sogar Überreste von deinstallierten Apps können so noch nach Jahren ausgelesen werden. Beim Entfernen 36

37 von Anwendungen gilt es deshalb, darauf zu achten, dass auch gespeicherte Dateien wie Chroniken oder Caches gelöscht werden. Auch den Zeitdruck, unter dem App-Entwickler stehen, können sich Hacker oft zunutze machen. Um schneller voranzukommen, setzen die Programmierer meist auf fertige App-Komponenten von Drittanbietern, sogenannte Software Development Kits (SDKs). Leider werden diese Toolkits aus Zeit- und Budgetgründen oft ohne Update oder Schwachstellen-Prüfung übernommen, sodass bestehende Sicherheitslücken in jeder neuen App auftauchen. Dazu gehören beispielsweise Android WebView oder Dropbox Android SDK. Fast alle mobilen Apps empfangen und übermitteln Daten an Server sowie andere Endgeräte, etwa um Updates einzuspielen oder Lizenzen zu prüfen. Oft ist auch diese Datenkommunikation nicht verschlüsselt. Wenn Unternehmen also keinen Wert auf sichere Ende-zu-Ende-Verschlüsselung legen oder zulassen, dass private Geräte ohne passende Sicherheitsstrategie im Unternehmen genutzt werden, können Hacker auf diesem Weg an persönliche Daten gelangen. Dabei werden beispielsweise Passwörter oder Kreditkartennummern abgefangen und nicht an den Zielserver, sondern an den Angreifer umgeleitet. Dies ist besonders für Unternehmen ein großes Risiko, wenn es sich um geschäftskritische Daten handelt. Kommunikation zwischen Entwickler und App-Stores verbessern Schon bei der Entwicklung von Apps gibt es eine Reihe von Möglichkeiten, die Verbreitung von Schwachstellen einzudämmen. Es gilt, Software Development Kits und weitere Drittanbieter- Komponenten genau zu prüfen und ausschließlich Secure Code zu nutzen. Darüber hinaus sollten Sicherheitstests in den Qualitätssicherungsprozess integriert werden. Die Verwendung automatischer Scans hilft ebenfalls bei der frühzeitigen Entdeckung und Behebung von Sicherheitslücken. Auch sollten Entwickler unnötige Funktionen entfernen und die Verbreitung von Apps stoppen, die nicht mehr mit Updates versorgt werden. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite 91 Berater/Dienstleister:... Seite Seite Seite Seite Seite 94 Doch auch die Store-Anbieter müssen weitere Maßnahmen ergreifen, um die Verbreitung betroffener Applikationen zu unterbinden, etwa durch automatische Security-Scanner, die in einigen Stores bereits im Einsatz sind. Damit lassen sich anfällige Applikationen aufdecken. Zudem sollten die Schwachstellen der SDKs behoben werden unabhängig davon, ob die ursprüngliche Version noch unterstützt wird oder nicht. Denn die Komponenten werden meist noch in vielen anderen Applikationen genutzt. Nur so kann der Teufelskreis, der durch die über SDKs verbreiteten Schwachstellen entsteht, gestoppt werden. Zur Minimierung von Schwachstellen ist jedoch vor allem wichtig, die Kommunikation zwischen den App-Stores und den Entwicklern zu verbessern. So sollten Entwickler zum Beispiel umgehend informiert werden, wenn Schwachstellen in ihren Apps entdeckt werden, damit sie schnell handeln können. Nur gemeinsam und in enger Zusammenarbeit lassen sich die Schwachstellen langfristig schließen im Sinne der Anwender. 37

38 Managed Security Services François Tschachtli, AVG Business Hohe Sicherheit für kleine Unternehmen Jeden Tag wächst die Anzahl der Geräte, die sich mit dem Internet verbinden im privaten Umfeld wie auch in Unternehmen. Diese Entwicklung erweitert auch die Angriffsfläche für Cyber-Kriminelle. Längst sind nicht mehr nur Konzerne im Visier der Hacker auch kleine und mittlere Unternehmen (KMU) sind immer häufiger von heimtückischen Attacken betroffen. Daher gewinnt das Thema IT-Sicherheit auch bei den KMU an Bedeutung. Zugegeben, IT-Sicherheit ist eine ungeliebte Notwendigkeit. Sie verursacht Kosten, ist meist extrem komplex und aufwändig und kann die Produktivität durch strikte Vorgaben einschränken. Mit der zunehmenden Komplexität der IT allgemein steigt auch der Aufwand, der für die Absicherung der vielfältigen Technologien betrieben werden muss. Denn die Art, wie wir Informationen nutzen, hat sich in den vergangenen Jahren signifikant verändert: Lokale Client-Server-Netze wurden ergänzt durch zahlreiche neue Formfaktoren wie Smartphones und Tablets. Cloud Computing ist in den meisten Unternehmen heute eine etablierte Methode, um IT-Services ganz oder in Teilen zu beziehen. Zwar haben Malware-Schutz und Firewalls damit nicht ausgedient. Doch der orts- und zeitungebundene Zugriff auf die Unternehmensdaten erfordert einen deutlich höheren Schutzaufwand als bisher. Viele der KMU können diese Aufgaben sowohl personell als auch finanziell nicht aus eigener Kraft stemmen. Eine Alternative stellen Managed Security Services dar. Sie reduzieren nicht nur die Investitionskosten, sondern auch den Handling-Aufwand ganz deutlich. Den Betrieb und die Über- 38

39 wachung der Security-Lösung übernehmen spezialisierte IT-Dienstleister und Systemhäuser (Managed Service Provider, MSP). Die Lösung: IT-Administration aus der Ferne Um den hohen Sicherheitsanforderungen und gleichzeitig dem IT-Budget gerecht zu werden, können KMU die Services über eine Remote-Monitoring-und-Management (RMM)-Plattform beziehen. Dadurch entfallen komplexe und mühsame Installationen vor Ort. Außerdem können IT-Dienstleister die Systeme ihrer Kunden darüber komplett remote, also per Fernwartung, verwalten, überwachen und Risiken frühzeitig erkennen und beheben. Der Kunde zahlt nur für die tatsächliche Nutzung und erhöht seine Sicherheit mit Leistungen und Funktionen, die bisher zu kostenintensiv waren oder zu komplex für den Betrieb in Eigenregie. Zu diesen Funktionen zählen beispielsweise Single-Sign-On-Lösungen (SSO). Das Grundprinzip von SSO ist, dass jeder berechtigte Nutzer mit einem Master-Passwort von jedem Gerät aus auf alle Dienste zugreifen kann. Durch die Integration des SSO in ein RMM-Tool kann der IT-Dienstleister das Single-Sign-On seiner Kunden übersichtlich und zentral verwalten vorausgesetzt, die Lösung ist mandantenfähig. Das Verwenden einer Multifaktor-Authentifizierung bietet zusätzliche Sicherheit beim Zugriff auf Unternehmensdaten, denn der Nutzer authentifiziert sich in zwei Schritten: durch ein klassisches Passwort und anschließend beispielsweise durch ein Einmalpasswort, das er über , SMS oder Token erhält. Die Authentifizierung hängt somit von zwei Faktoren ab: etwas, das nur der User weiß, und etwas, das nur der User hat. So steigt nicht nur die Sicherheit, sondern der IT-Support wird ebenso entlastet: Die Anzahl der vergessenen Passwörter, die vom IT-Support zurückgesetzt werden müssen, sinkt, weil die Mitarbeiter sich nur noch ein Passwort statt mehrerer merken müssen. let, Smartphone und Laptop ist es schwer, eine für alle Geräte anwendbare Backup- Strategie einzuführen. Doch auch hierfür gibt es am Markt Services, die sich an die Anforderungen der Kunden anpassen lassen und remote betreut werden können. So können Unternehmen nicht nur die Endgeräte, sondern auch virtuelle Server mit einer Backup- und Disaster-Recovery-Lösung sichern. Dabei ist darauf zu achten, dass das Sicherungsziel frei wählbar ist die Cloud des Dienstleisters, eine vor Ort betriebene private Unternehmens-Cloud oder die eines Drittanbieters. Auch die Sicherung auf eine dedizierte Appliance sollte möglich sein. Wichtig ist zudem die Verschlüsselung der Daten vor ihrer Übertragung, um sie vor den Zugriffen unbefugter Dritter zu schützen. Fazit Managed Security Services mit einer klaren Ausrichtung auf einfache Administrierbarkeit durch den IT-Dienstleister oder Managed Service Provider bringen signifikante Vorteile mit sich und unterstützen Anwenderunternehmen und IT-Anbieter gleichermaßen. So können einerseits vor allem KMU von Lösungen und Funktionen profitieren, die sie bisher aus Kosten- und Effizienzgründen nicht einsetzen konnten. Andererseits haben spezialisierte Dienstleister die Chance, sich als Managed Service Provider zu profilieren, indem sie ihren Kunden nicht nur Produkte, sondern umfängliche Services anbieten und somit ihre Kundenbindung stärken. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite 88 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite Seite Seite 94 Backup auch für mobile Geräte Darüber hinaus stellen die Bereiche Backup und Disaster Recovery für viele Unternehmen eine große Herausforderung in Sachen IT-Sicherheit dar. Aufgrund der verschiedenen Betriebssysteme von Tab- 39

40 Mobile Device Management Armin Leinfelder, baramundi software AG Mobilität als Sicherheitsrisiko? s unterwegs auf dem Smartphone lesen und beantworten oder im Zug auf dem Tablet an einer Präsentation arbeiten das gehört für viele inzwischen zum ganz normalen Arbeitsalltag dazu. Der feste Arbeitsplatz im Büro hat zwar nicht ausgedient, mobile Geräte ergänzen jedoch immer öfter den PC. Während Mitarbeiter ob der neuen Flexibilität erfreut sind, stellt die Nutzung mobiler Geräte IT-Abteilungen vor neue Herausforderungen. Während Server und PCs automatisch der Kontrolle der IT unterstehen und fest eingebunden sind, zeichnet sich bei mobilen Geräten ein gänzlich anderes Bild. Nicht nur die verschiedenen Ansätze wie Bring Your Own Device (BYOD), Choose Your Own Device (CYOD) oder Corporate Owned Personally Enabled (COPE) bringen ihre jeweils eigenen Herausforderungen mit sich. So können mobile Geräte beispielsweise leichter unterwegs abhandenkommen, wodurch sensible Unternehmensdaten schnell in die falschen Hände geraten. Und auch die Anforderungen an das Management unterscheiden sich vom klassischen Client Management. Deshalb ist es unerlässlich, dass Unternehmen festlegen, wie mobile Geräte in die Sicherheitsstrategie des Unternehmens eingebunden werden können und müssen. Hilfe bietet dabei eine Lösung zum Mobile Device Management. 40

41 Neue Anforderungen an das Management Die Managementanforderungen von Mobilplattformen fallen grundsätzlich anders aus als die von Desktop-PCs. Erstens unterscheiden sich Betriebssysteme und Anwendungen für mobile Geräte stark von PC-Software. Zweitens wurden Smartphones und Tablets ursprünglich für Privatanwender entworfen und bieten daher nur eingeschränkte Verwaltungsmöglichkeiten. Die Entwicklung geht zwar hin zu immer umfassenderen Management-Möglichkeiten, aber noch immer ist der Nutzer in der Lage, viele Einstellungen selbst vornehmen. Somit kann das Unternehmen in erster Linie auf organisatorischer Ebene Richtlinien aufstellen, was der Mitarbeiter installieren darf und was nicht. Selbst wenn es technisch möglich ist, bestimmte Funktionen zu unterbinden, muss abgewogen werden, ob das auch sinnvoll ist. Gehen Unternehmen hier sehr restriktiv vor, kann das unter Umständen dazu führen, dass der Mitarbeiter das Gerät nicht nutzt, weil die Funktionalitäten zu stark eingeschränkt sind. Aus Sicherheitsgründen ist es deshalb auf diesen Plattformen umso wichtiger, zuverlässig zu erfassen, ob ein Gerät den Unternehmensanforderungen genügt. Fällt die automatisierte Compliance-Prüfung negativ aus, kann darauf reagiert werden sei es mit einer Aufforderung an den Nutzer, eine kritische App zu entfernen, sei es mit dem Entzug von Profilen, die Zugriff auf das Unternehmensnetzwerk gewähren, oder sogar mit dem vollständigen Löschen des Gerätes aus der Ferne. Konfiguration von Mobilgeräten: Plattformübergreifend statt aufwändig Vergleicht man die drei am weitesten verbreiteten Betriebssysteme für mobile Geräte ios, Android und Windows Phone, wird schnell klar, dass dieselben Parameter (Name, -Adresse, Domäne, Server, Verschlüsselung) an unterschiedlichen Stellen eingegeben werden müssen. Das bedeutet: Der Administrator muss sofern keine Lösung für das MDM eingesetzt wird die entsprechenden Eingabemasken auf allen Geräten kennen und jeweils bei der Konfiguration aufrufen und ausfüllen. Sind alle mobilen Geräte in einer MDM- Lösung erfasst, managt der Administrator alle Geräte plattformunabhängig über eine zentrale Oberfläche. Das verringert die Komplexität, spart Zeit und reduziert die Fehleranfälligkeit. Das sorgt für ein Mehr an Sicherheit. Richtig konfi guriert, allzeit geschützt So praktisch die kleinen mobilen Helfer sind, so schnell kann ein solches Gerät verloren gehen oder gestohlen werden. Vorkehrungen sind deshalb unerlässlich. Dazu gehören ein starkes Passwort oder eine automatische Sperre beim Ausschalten des Bildschirms sowie die Möglichkeit, das Gerät aus der Ferne zu löschen. Zudem muss der IT-Administrator die Geräte im laufenden Betrieb im Auge behalten, damit nicht versehentlich oder vorsätzlich wichtige Einstellungen vom Nutzer verändert werden denn häufig hat der Endanwender auf Mobilgeräten die vollen Administrationsrechte. Eine weitere Möglichkeit, um die Sicherheit zu erhöhen, ist die Nutzung von Unternehmenszertifikaten. Damit kann beispielsweise der Zugriff auf Exchange, WLAN oder VPN abgesichert werden. Sind geeignete Zertifikate auf den Mobilgeräten vorhanden, kann die IT-Abteilung steuern, dass nur diese Geräte Zugriff auf Systeme im Intranet/LAN erhalten. Nicht verwaltete Geräte werden dann per Unternehmensgateway ferngehalten. Einbindung in die Unternehmens-IT Der Einsatz mobiler Geräte ist nicht mehr aufzuhalten. Unternehmen müssen sich deshalb so schnell wie möglich damit auseinandersetzen, wie IT-Abteilungen die von Mitarbeitern geschäftlich genutzten mobilen Geräte ebenso sicher in die IT einbinden können wie PCs und Notebooks. Denn während PCs und Notebooks in der Regel der vollen Kontrolle der IT-Abteilung unterliegen, werden mobile Geräte häufig noch von Hand konfiguriert oder bleiben gänzlich dem Engagement und Know-how ihrer Benutzer überlassen. Besser ist es deshalb, auf ein professionelles Mobile Device Management zu setzen davon profitieren Mitarbeiter und Unternehmen. Produktanbieter:... Seite Seite 70 Berater/Dienstleister:... Seite Seite Seite 94 41

42 Rechenzentrumssicherheit Werner Metterhausen, BdSI e.v. Genormte Rechenzentren Noch nicht allerorts wahrgenommen und dementsprechend vielfach noch einfach ignoriert wird die europäische Rechenzentrumsnorm EN Seit zwei Jahren wird die auf mindestens 6 Teile angelegte Normenreihe zum Thema Einrichtungen und Infrastrukturen von Rechenzentren Stück für Stück veröffentlicht. Beginnend mit dem Teil Allgemeine Konzepte beschreibt die Reihe Vorgehensweisen, Vorgaben und Klassifizierungen zu den für Planung, Bau und Betrieb eines Rechenzentrums relevanten Themen und dokumentiert damit den anerkannten Stand der Technik. In all diesen Teilen der Norm wird der Fachmann wenig Neues entdecken. Spannend wird die erst in Teil 3 den Informationen für Management und Betrieb. Dort werden unter der Überschrift Betriebliche Prozesse Vorgaben für den Rechenzentrumsbetrieb gefordert, die ganz deutlich ihre Herkunft in der IT haben. Es mag auf den ersten Blick seltsam erscheinen, dass einem Nischenthema wie Planung und Betrieb von Rechenzentren eine ganze Normenreihe gewidmet wird. Die Motivation wird aber schnell klar, wenn man den Normungsauftrag betrachtet: Die 50600er-Reihe wurde von der Europäischen Kommission unter dem Ziel Standardisation in the field of ICT to enable efficient energy use in fixed and mobile information and communication networks beauftragt. Damit ist klar, dass nicht einzig das bislang für Rechenzentren maßgebliche Thema Verfügbarkeit im Mittelpunkt aller Betrachtungen steht, sondern ganz prominent der Energieeffizienz Aufmerksamkeit geschenkt wird. Diese Betrachtungsweise zeigt sich auch in den Klassifikationen, die nun für die Anforderungsdefinition und Bewertung von Rechenzentren in der Norm angeboten werden. Es gibt: 1. Verfügbarkeitsklassen 2. Schutzklassen 3. Niveaus für die Befähigung zur Energiee ffi z i e n z. Was zur Umsetzung bestimmter Schutzund Verfügbarkeitsklassen zu tun ist, beschreibt dann Teil 2 dieser Norm. Die EN befasst sich mit dem Thema Gebäudekonstruktion, die EN mit der Stromversorgung. Unter der beachtlich holprigen Übersetzung der EN , Regelung der Umgebungsbedingungen, verbirgt sich das Thema Klimatisierung, dazu kommen die Telekommunikationsverkabelung und die Sicherungssysteme, also Anlagen zur Überwachung und Alarmierung. Als Minimalset an betrieblichen Prozessen für den Betrieb eines Rechenzentrums werden in der EN gefordert: a. Betriebsmanagement Instandhaltung der Infrastruktur, Überwachung und Ereignismanagement; b. Vorfallmanagement Reaktionen auf ungeplante Ereignisse und Wiederherstellung des normalen Betriebszustands; c. Änderungsmanagement Aufnahme, Koordination, Genehmigung und Überwachung aller Änderungen; d. Konfigurationsmanagement Protokollierung und Überwachung von Konfigurationseinheiten; e. Kapazitätsmanagement Überwachung, Analyse, Berichterstattung und Verbesserung der Kapazität. Während die Beschreibung des Betriebsmanagements mit Begriffen wie Wartungs- 42

43 plan und Überwachung für Betreiber grober Technik noch vertraut klingen wird, sind die weiteren Managementprozesse eins zu eins aus dem IT-Servicemanagement entnommen, wie es in ITIL bzw. der ISO/IEC beschrieben ist: 1. Es muss den Prozess Configuration Management samt seiner Grundlage, dem CMS (Configuration Management System), geben. Darin werden die technischen Komponenten des Rechenzentrums (RZ), deren Konfiguration, Zusammenhänge und Abhängigkeiten dokumentiert. 2. Es muss den Prozess Change Management geben, um Änderungen zu planen und zu dokumentieren. Veränderungen an Technik und deren Konfiguration müssen (schriftlich) beantragt werden. Risiken des geplanten Change müssen bewertet werden und nach Genehmigung und Durchführung wird der Erfolg bewertet. 3. Es muss den Prozess Incident Management geben, um Ereignisse, die negativen Einfluss auf den Normalbetrieb haben, zu dokumentieren und zu bewerten. So kann man frühzeitig (neudeutsch: proaktiv) Änderungs- und Verbesserungsbedarf erkennen und passende Changes planen. So wie es vielerorts in der IT zu beobachten war, wird diese Einführung von ITIL Light zunächst für Einwände und Unverständnis sorgen. Die Verpflichtung, zu dokumentieren und Abläufe einzuhalten, bedeutet zunächst Mehrarbeit und ist das Ende einer Ich-weiß-Bescheid-und-mach-mal-eben - Kultur. Die Vorgaben der Norm fordern zudem eine IT-seitige Unterstützung der Betriebsprozesse, die heute sehr selten für die Betriebsmannschaft eines RZ zur Verfügung steht. Entsprechend ist dieser Teil der auch derjenige, der bereits einen sichtbaren Impuls in den Markt gegeben hat. Die Softwaregattung DCIM (Data Center Infrastructure Management) ist plötzlich allgegenwärtig und wird von verschiedensten Anbietern massiv beworben. Integriert in Lösungen, die bislang nur die IT ansprechen sollten, oder hervorgegangen aus einer Infrastrukturüberwachung, die plötzlich Komplettlösung für alle RZ-Probleme sein soll, tauchen DCIM-Lösungen auf. Sie alle verheißen, endlich Durchblick und Messbar- keit über alle Komponenten und Ablaufe im Rechenzentrum zu schaffen. Wenn Software-Werkzeuge zur Unterstützung des Service-Managements im Rechenzentrum betrachtet und bewertet werden, sei den RZ-Betreibern geraten, sich mit ihren Kollegen von der IT zusammenzusetzen, die bereits seit Jahr und Tag ITIL mehr oder weniger vollständig umsetzen. Deren Erfahrungen mit Softwaretools zur Prozessunterstützung lassen sich vermutlich eins zu eins übernehmen: Es ist mit ein wenig Misstrauen zu prüfen, ob Werkzeuge, die den IT-Betrieb ITIL-artig unterstützen, auch angemessen für den RZ-Betrieb sind. Es ist zu erwarten, dass eine vernünftige Umsetzung eines RZ-Service-Managements mit einfacheren Werkzeugen bewältigt werden kann als das reine IT-Service- Management. Eine Erfahrung aus der IT-Welt mit Komplettlösungen für das Service-Management von sehr großen und namhaften Anbietern ist, dass individuelle Anpassungen solcher Software oft nötig und selten preiswert sind. Bei der Suche nach schlanken Lösungen wird man oft in der Open-Source-Welt fündig. Open Source bedeutet nicht, dass man zum Selbermachen verurteilt ist. Zu allen etablierten Open Source Produkten gibt es Anbieter die gerne Bereitstellung und Support in beliebigem Umfang anbieten. Insgesamt verdient die EN Anerkennung. Sie erweitert den Blick in das Rechenzentrum um das bislang vernachlässigte Thema Betrieb. Ein dickes Lob verdient die Norm nebenbei bemerkt für einen Satz im Abschnitt Auslegungsgrundsätze für Verfügbarkeit. Neben Autonomie, Instandhaltbarkeit und Redundanz ist dort explizit das Kriterium der Schlichtheit angeführt: Schlichtheit der Einrichtungen und Infrastrukturen stellt eine verringerte Fehlerrate sicher. Wenn allein dieser Satz aus der Norm Beachtung in jeder Planung eines Rechenzentrums fände, dann ist sie bereits gut und wichtig. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite 91 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 95 43

44 Remote Access Elmar Török, Fachjournalist Sicher an jedem Ort Themen wie Cloud-Technologie und das Internet der Dinge bestimmen die Titelseiten. Doch Basis aller Dienste, die Rechenleistung dezentral anbieten oder nutzen, ist eine sichere Remote-Verbindung. Von robusten und nicht angreifbaren Remote-Ac cess-technologien wird in Zukunft die Sicherheit aller Informationen abhängen. Die Daten werden flügge. Während Informationen früher in erster Linie innerhalb der Grundstücksgrenzen von Firmen und Institutionen erzeugt und verarbeitet wurden, führen nun immer mehr Datenverbindungen hinaus aus dem geschützten LAN. Dazu gehören mobile Endgeräte ebenso wie Cloud-Dienste oder der aktuelle Internet der Dinge -Hype. Doch während diese Technologien an sich positiv sind, für Firmen und IT-Abteilungen gleichermaßen, sorgen sie zumindest bei den Administratoren für schlaflose Nächte. Cloud und Co. werden vor allem wegen der mit ihnen verbundenen Sicherheitsrisiken nicht als willkommene Arbeitserleichterung, sondern als Bedrohung gesehen. Einfach als fortschrittsfeindlich von der Hand weisen kann man die Befürchtungen nicht. Sobald Daten außerhalb des Unternehmens erzeugt und gespeichert werden, sind sie noch größeren Gefahren ausgesetzt, als schon innerhalb des Rechenzentrums drohen. Mobile Endgeräte können verloren gehen, die Daten müssen im Transit unkontrollierbare Strecken durch das Internet zurücklegen, und ob der Cloud- Anbieter seine Sicherheitsvorkehrungen so umsetzt, wie er eigentlich soll, kann keiner überprüfen. 44

45 Nicht nur, aber auch aufgrund dieser Entwicklungen kommt Remote Access eine extrem wichtige Rolle in den IT-Infrastrukturen der Zukunft zu. Remote Access ist nicht neu, der Begriff bezeichnet entweder den Zugang zu entfernten Systemen über eine Client- und eine Serverkomponente oder das transparente Verschlüsseln von Daten bei der Übertragung. Vor allem letztere Variante, in der Regel als Virtual Private Network (VPN) bezeichnet, ist ein wichtiger Bestandteil aktueller Sicherheitsstrategien. Doch seitdem sich die Daten aus den Firmenzentralen hinausbewegen oder schon außerhalb generiert werden, werden VPNs noch wichtiger. Bei mobilen Endgeräten geht diese Entwicklung relativ nahtlos voran. Ob ein Notebook über das VPN sicher mit der Firmenzentrale kommuniziert oder ein Tablet bzw. Smartphone, ist in erster Linie eine Frage der richtigen Client-Software. Eventuell müssen die VPN- Gateways höher skalieren, wenn es deutlich mehr mobile VPN-Anwender mit Smartphone und Tablet gibt. Die Technologien und Managementansätze sind allerdings bekannt und bewährt. Alle für einen und eines für alle Betrachtet man die Cloud, wird die Situation schon unklarer. Dass eine Cloud- Verbindung eine Form des Remote Access darstellt, steht außer Frage. Sowohl das Management der Cloud-Systeme durch die IT-Abteilung muss auf sicherem Weg passieren als auch die Übertragung der Daten selbst. Doch im Gegensatz zum mobilen Mitarbeiter, wo es zwar viele Teilnehmer, aber nur geringe Datenmengen pro Endgerät gibt, sind bei der Cloud die Verhältnisse umgekehrt. Wenige Datenverbindungen belegen massive Bandbreiten, die ein VPN- Gateway verkraften muss, ohne den Durchsatz einzuschränken und die Sicherheit zu vernachlässigen. Denn die Daten müssen zumindest beim Eingang in das Firmennetz auf schädliche Bestandteile untersucht werden. Das ist Schwerstarbeit für das VPN-Gateway und die damit verbundenen Sicherheitsgateways. Als wären diese Herausforderungen nicht schon genug, bekommen Administratoren durch die Cloud ein längst überwunden geglaubtes Problem wieder auf den Tisch, die Shadow-IT. So wurden früher Parallel- Infrastrukturen im Unternehmen bezeichnet, beispielsweise wenn ein Mitarbeiter gern per WLAN ins Netz wollte, die IT-Abteilung aber kein WLAN implementieren wollte. Dann wurde auf die Schnelle ein Access Point aus dem Baumarkt geholt, am Netz angeschlossen und der Mitarbeiter war zufrieden. Der Admin hatte allerdings nun, ohne es zu wissen, ein potenzielles Einfallstor für Angreifer im Netz. Die Cloud hat zu ähnlichen Schwierigkeiten geführt. Shadow-IT bedeutet in diesem Zusammenhang, dass Mitarbeiter und ganze Abteilungen den billigen oder kostenlosen Online-Speicher diverser Anbieter für Firmendaten nutzen. Abgesehen davon, dass die Angebote ein datenschutzrechtliches Problem aufwerfen, sind die Verbindungen zu diesen Speicherdiensten nicht professionell abgesichert. Auch hier kommt auf sicheren Remote Access in den nächsten Jahren eine Riesenaufgabe zu. Für ein sicheres Internet der Dinge Dass das Internet der Dinge oder Internet of Things (IoT) ebenfalls zu gigantischen Umwälzungen führen wird, ist hingegen klar. Es besteht aus Milliarden von kleinen und kleinsten miteinander vernetzten Geräten, die überall installiert sein können. Viele davon benötigen keinen besonderen Schutz, andere hingegen, deren Funktionen kritische Infrastrukturen betreffen, dürfen weder frei zugänglich sein, noch dürfen ihre Daten kompromittiert werden. Solche Geräte benötigen sicheren Remote Access sowohl für ihr Management als auch für die Datenübertragung. Die gesamte Branche sucht noch nach Wegen, die unfassbaren Mengen an Einzelgeräten skalierbar und mit vertretbarem Managementaufwand zu schützen. Denn hier liegt die besondere Herausforderung des Remote Access für das IoT. Es geht nicht um Datenmengen oder um Durchsätze, sondern um das sichere Management der zahllosen Verbindungen. Nur automatisierte Lösungen werden dazu in der Lage sein, die zudem die vielfältigen Betriebssysteme, Kommunikationsprotokolle und Formfaktoren der Clients bedienen können. Es gibt also viel zu tun für Remote Access, heute und erst recht in der Zukunft. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite 86 Berater/Dienstleister:... Seite Seite 70 45

46 Risikomanagement Christian Bohr, Controlware GmbH Der Weg zur IT-Risikolandkarte des Unternehmens Sind Sie sicher, dass Ihre Unternehmens-IT vor Angriffen optimal geschützt ist? Können Sie ausschließen, dass Ihre IT-Infrastruktur Schwachstellen hat, die eventuell ausgenutzt werden? Würden Sie Angriffe auf Ihre IT sicher erkennen? Wer diese Fragen für sich eindeutig beantworten will, merkt schnell die Wirksamkeit von IT-Security lässt sich kaum objektiv beurteilen. Tatsächlich gibt es in der IT keinen anderen Bereich, in dem der Nutzen einer Investition so schwer nachzuweisen ist. Grundsätzlich ist zu sagen, dass es sich bei Security Audits immer nur um Momentaufnahmen handelt, die Angriffsmuster sich jedoch permanent ändern und ständig komplexer werden. Investitionen in Security-Systeme geben oftmals nur scheinbare Sicherheit, da in der Regel die tatsächlichen Schwachstellen nicht ausreichend bekannt sind. Es wird davon ausgegangen, dass ca. 80 Prozent der Investitionen im Bereich IT- Security auf präventive Maßnahmen entfallen. Diese erfolgen mangels besseren Wissens häufig nach dem Gießkannenprinzip und sind damit wenig effizient. Geringere Investitionen an der richtigen Stelle wären wahrscheinlich deutlich wirksamer. Abhilfe schafft hier ein effektives IT-Risikomanagement. Wirkungsvolles IT-Risikomanagement zeichnet sich heute dadurch aus, kontinuierliche Prozesse zur Erkennung, Beseitigung und Verifizierung von IT-Risiken zu etablieren. Ziel ist es, eine tagesaktuelle Risikolandkarte der Unternehmens-IT zu erhalten. Diese schafft Transparenz und ist somit Basis für zielgerichtete und effiziente Maßnahmen zur Risikoreduzierung. Um ein vollständiges Bild über die Risiken zu erhalten, ist es notwendig, möglichst viele Informationsquellen zu nutzen. Zudem 46

47 sollten der Zustand (z. B. Patch Level) und das Verhalten (z. B. Datenverkehr) von IT- Systemen gleichermaßen berücksichtigt werden. Hierfür ist eine Kombination verschiedener Techniken sinnvoll. An erster Stelle steht sicherlich die Schwachstellenerkennung (Vulnerability Management), die eine aktuelle Übersicht der bekannten Schwachstellen liefert und damit als Basis für eine spätere Priorisierung der Risiken dient. Eine weitere Maßnahme ist das Security Incident & Event Management (SIEM), das durch Auswertung von Log-Daten weitere Hinweise auf kritische Vorgänge liefert. Darüber hinaus sollte eine Analyse des Netzwerk-Datenverkehrs Network Intrusion Detection (NIDS) erfolgen, um sowohl Signatur-basiert als auch Verhaltens-basiert kritische Aktivitäten wie Malware, Anomalien und andere Risiken im Netzwerkverkehr unmittelbar zu erkennen. Diese drei Technologien schaffen bereits eine gute Basis für eine umfassende Risikoerkennung, wobei eine optimale Integration dieser Technologien untereinander ein wichtiger Schlüssel für die fehlerfreie Bewertung und korrekte Priorisierung darstellt. So hat ein erkannter Angriff sicherlich eine erheblich höhere Priorität, wenn er eine tatsächlich vorhandene Schwachstelle ausnutzt, als wenn er Lücken adressiert, die bereits erfolgreich geschlossen wurden. Obwohl für jede der genannten Technologien diverse Produkte am Markt existieren, sind vollständig integrierte Lösungen noch recht selten. Produkte unterschiedlicher Anbieter über entsprechende Schnittstellen miteinander kommunizieren zu lassen, ist jedoch zeitaufwendig, pflegeintensiv und damit teuer. Dieser Umstand ist daher im Kostenvergleich zu berücksichtigen. Um den Bearbeitungsaufwand für die IT des Unternehmens überschaubar zu halten, sollten nur konsolidierte, geprüfte und priorisierte Risiken dargestellt werden. Hier trennt sich recht schnell die Spreu vom Weizen, da rein automatisiert arbeitende Systeme alleine nicht in der Lage sind, diesen Anspruch vollständig zu erfüllen. Es hat sich gezeigt, dass selbst die besten Korrelationsmechanismen immer noch Security Events in einer Größenordnung liefern, die für den Endkunden in der Praxis kaum zu bewältigen sind. Zudem stellt das Aussortieren von Fehlalarmen (False Positives) für den Anwender eine weitere, nicht leicht zu bewältigende Hürde dar, verfügt er doch gerade im Mittelstand in den seltensten Fällen über qualifiziertes Fachpersonal. Deshalb sollte eine professionelle Lösung neben einer mehrstufigen automatisierten Korrelation, die die festgestellten Events verschiedener Quellen in Beziehung setzt, auch eine abschließende manuelle Bewertung aller Security-Events durch ein Security Operating Center (SOC) beinhalten. Im Optimalfall lassen sich somit tatsächlich relevante, sofort umsetzbare und False- Positive-freie Security Incidents liefern. Diese Vorfälle können anschließend im Ticketsystem des Kunden den jeweiligen Fachabteilungen zur weiteren Bearbeitung zugeordnet werden. Alternativ bieten einige Lösungen ein eigenes Workflow Tool für die Handhabung von Security Incidents an. In keinem Fall sollten Incidents ohne erneute Verifikation geschlossen werden. Durch die Zuordnung von IT-Systemen oder IT-Diensten zu IT-Services (z. B. ERP, ) entsteht auf einfache Art und Weise eine IT-Risikolandkarte des Unternehmens. Abhängig von der Bedeutung des Service auf der einen Seite und des aktuellen Risikowerts auf der anderen Seite kann der jeweilige IT-Dienst oder alternativ der betroffene Geschäftsprozess in einem Diagramm dargestellt werden. Eine gute IT-Risikomanagement-Plattform liefert sowohl Anleitungen für den operativen Betrieb als auch Empfehlungen für strategische Entscheidungen. Die IT- Sicherheit in den Unternehmen erhöht sich somit kontinuierlich, da eine zielgerichtete und priorisierte Bearbeitung der relevanten Themen erfolgt und vorhandene Budgets effizient eingesetzt werden. Zudem schafft die Risikolandkarte die gewünschte Transparenz bis auf Geschäftsleitungsebene. In Form von Managed Services bleibt der Aufwand gegenüber dem Eigenbetrieb überschaubar, bei gleichzeitig sehr hoher Qualität der Risikoerkennung. Aus der gefühlten Sicherheit wird so ein aktuelles und verifiziertes Risikobild, das die IT-Sicherheitslage des Unternehmens objektiv abbildet! Produktanbieter:... Seite Seite Seite 88 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite 95 47

48 Security Awareness Daniel Wolf, Skyhigh Networks Sicherheitsrisiko Anwender Selten hat das Thema IT-Sicherheit so viel Aufmerksamkeit bekommen wie heute. Nahezu täglich berichten Medien über neue Würmer, Bugs oder Hacker-Angriffe und diese werden immer raffinierter. Um sich vor der wachsenden Bedrohung durch Cyber-Kriminelle zu schützen, können Unternehmen auf ein großes Angebot von technisch ausgereiften IT-Security-Lösungen zurückgreifen. Aber egal, wie viel sie in die Absicherung ihrer Systeme investieren, eine Schwachstelle bleibt: der Mensch. Oder mit anderen Worten: Jede Sicherheitstechnologie ist nur so stark, wie es die Anwender zulassen. Die Gründe für das Sicherheitsrisiko Mitarbeiter sind vielfältig: angefangen bei Unwissenheit über mangelndes Verständnis bis hin zu fehlendem Verantwortungsbewusstsein. Sogenannte Programme zur Security Awareness bestehen aus Informationskampagnen, internen Regeln und regelmäßigen Schulungen. Damit einher gehen meist Restriktionen und Verbote in Bezug auf die Nutzung potenziell gefährlicher Anwendungen. Sicherlich helfen diese Konzepte, das Verantwortungsund Problembewusstsein der Belegschaft zu schärfen. Andererseits sind die Mitarbeiter aus dem privaten Umfeld gewohnt, Dienste wie Dropbox, Skype oder Google Drive zu nutzen, und möchten auch am Arbeitsplatz nicht mehr darauf verzichten. Hinzu kommt, dass der moderne Mensch selbst entscheiden möchte, wann und wo er arbeitet und zwar mit dem Endgerät seiner Wahl. Cloud-Dienste tragen wesentlich dazu bei, dass diese moderne Arbeitsform 48

49 auch gelebt werden kann. Und spätestens wenn die Mitarbeiter unter Termindruck stehen und für ihre Aufgaben gewisse Werkzeuge benötigen, werden viele Sicherheitshinweise ignoriert. Nur das eigene konkrete Ergebnis zählt, die abstrakte Sorge um die Unternehmenssicherheit tritt dann in den Hintergrund. Produktivität versus Sicherheit Daher stehen IT-Verantwortliche regelmäßig vor dem Dilemma, Sicherheit mit der Mitarbeiterproduktivität in Einklang zu bringen. Denn mittlerweile bringen Mitarbeiter viele Cloud-Dienste in das Unternehmen, von denen die IT-Abteilung nichts weiß und gefährden so die Sicherheit. Eine Analyse von über Cloud-Diensten zeigt deutlich, dass sich nicht jeder dieser Services für den Einsatz in Unternehmen eignet. Der Begriff der Schatten-IT umschreibt dieses Problem, wenn Mitarbeiter Programme, Systeme und Anwendungen ohne das Wissen der IT-Abteilung einsetzen mit allen Risiken für die Sicherheit des Unternehmens. So entsprechen seit dem Safe-Harbor-Urteil des EuGH im Oktober 2015 nur noch rund 18 Prozent der Angebote den Datenschutzbestimmungen der EU speichern also die Daten in der EU oder in den wenigen Ländern, die aus EU-Sicht ein vergleichbares Datenschutzniveau haben. Viele Anbieter haben bereits Sicherheitsmaßnahmen in ihre Cloud-Dienste integriert, aber bei weitem nicht alle. Beispielsweise unterstützen nur etwa 15 Prozent der Cloud-Provider eine mehrstufige Authentifizierung und weniger als zehn Prozent speichern die Kundendaten verschlüsselt. Zudem werden einige Cloud-Dienste, die geschäftlichen Mehrwert bieten, von Schadprogrammen als Einfallstor für Datendiebstahl verwendet. Der Geist ist willig, aber das Fleisch ist schwach Vor diesem Hintergrund sollten effektive Maßnahmen zur Security Awareness mehr umfassen als nur interne Verhaltensrichtlinien. Denn angesichts der Popularität der Services ist es utopisch, zu glauben, dass sich die Cloud-Nutzung komplett blockieren ließe. Jeden Tag entstehen neue Cloud- Dienste und werden früher oder später von den Mitarbeitern ins Unternehmen getra- gen wie oben beschrieben aus zutiefst nachvollziehbaren Gründen. Eine optimale Lösung berücksichtigt diese menschlichen Schwächen und versucht diese mit technischen Möglichkeiten abzumildern. IT-Sicherheit muss einfach und benutzerfreundlich sein. Dadurch erhöht sich die Wahrscheinlichkeit, dass die einzelnen Maßnahmen von Security-Awareness- Kampagnen tatsächlich greifen. Schlechte Gewohnheiten auszumerzen und Verhaltensänderungen zu erwirken, ist mühsam und schwerfällig. Rückfälle können immer wieder auftreten. In dieser Situation sollten Unternehmen durch geeignete technische Maßnahmen ein zusätzliches Sicherheitsnetz aufspannen. IT-Verantwortliche benötigen daher Werkzeuge, mit denen sie die IT-Nutzung ihrer Mitarbeiter lückenlos im Blick haben natürlich anonymisiert, so dass die Privatsphäre nicht verletzt wird. So sollten beispielsweise hochriskante Cloud-Dienste sofort und konsequent gesperrt werden. Andere Services mit einem geringen Gefährdungspotenzial lassen sich jedoch als Unternehmensstandard freigeben. Falls Mitarbeiter beispielsweise einen anderen Storage-Dienst als den genehmigten verwenden wollen, kann eine Echtzeit-Nachricht auf die Vorteile des offiziellen Service hinweisen. So wird ein wichtiger Beitrag für die Unternehmenssicherheit geleistet, ohne die Handlungsfreiheit der Mitarbeiter einzuschränken. Kurzum: Security Awareness also ein erhöhtes Problembewusstsein der Belegschaft gehört zum Pflichtprogramm für Unternehmen. Dennoch sollten IT-Verantwortliche noch ein Ass im Ärmel behalten: nämlich Lösungen, die Sicherheit mit Benutzerfreundlichkeit kombinieren. So lassen sich auch menschliche Schwächen kompensieren. Produktanbieter:... Seite Seite Seite Seite Seite 80 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite Seite 95 49

50 Security Monitoring Harald Reisinger, RadarServices Tatsächliche statt nur fi ktive Risiken erkennen Die steigende Frequenz und Komplexität von Cyber-Angriffen und die Gefahr durch Advanced Persistent Threats (APTs) setzt Unternehmen aller Branchen zunehmend unter Druck. Der Aufbau eines möglichst hohen Abwehrschutzes durch Firewalls bietet längst keinen ausreichenden Schutz mehr: Einzelne Sicherheitsprodukte decken immer ganz bestimmte, sehr eng definierte Sicherheitsthemen ab. Angreifer konzentrieren sich aber gerade auf das Auffinden von neuen Sicherheitslücken bekannte und noch unbekannte, Fehler in Konfigurationen und andere Einfallstore. So laufen Unternehmen den immer komplexer werdenden Angriffsstrategien regelrecht hinterher. Der Fokus muss hin zu einer zeitnahen Erkennung von abnormalem Verhalten, Angriffen und aktuell bestehenden Schwachstellen, also dem kontinuierlichen IT Security Monitoring & Risk Detection, gelegt werden. Sind Unternehmen in der Lage, ihre IT-Landschaft kontinuierlich auf mögliche Einfallstore für Angriffe und auf Auffälligkeiten hin zu überprüfen, können sie blitzschnell und zielgerichtet auf tatsächliche Gefahren reagieren. Sie begrenzen so besonders effektiv einen möglichen Schaden und behalten gleichzeitig ihre Kosten für IT-Sicherheit am besten im Griff. Doch Security Monitoring ist nicht gleich Security Monitoring die Bewertung der Risiken von sicherheitsrelevanten Ereignissen für die IT und das Unternehmen ist essentiell. Wichtigste Voraussetzung dafür: IT Security Monitoring muss fortlaufend die gesamte IT-Infrastruktur des Unternehmens, von den physischen Verbindungen bis hinauf zu den Anwendungen, inspizieren, verdächtige Ereignisdaten registrieren, analysieren und bewerten. So funktional ausgerichtet müssen unter anderem Schwachstellen in Systemen und deren Konfigurationen aufgedeckt (Vulnerability Management and Assessment 50

51 VAS), Logs aus verschiedensten Quellen gesammelt, analysiert und korreliert (Security Information & Event Management SIEM), der Netzwerkverkehr intelligent analysiert (Advanced Cyber Intrusion Detection ACID) und eingehende s einem genauen Check unterzogen werden (Advanced Threat Detection AETD). Das Security Monitoring kommt Bedrohungen wie Advanced Persistent Threats (APTs) auf die Spur, indem es Malware nicht mehr nur anhand bestimmter Signaturen, also Muster, erkennt, sondern sie durch eine Analyse ihres Verhaltens ausmacht. Demzufolge sollte, zusätzlich zur konventionellen Inspektion, der Netzwerkverkehr verhaltensbasierend analysiert und eingehende -Anhänge durch den Einsatz von Sandbox-Technologien der neuesten Generation einer eingehenden Analyse unterzogen werden. Die Funktionalität der verhaltensbasierenden Analyse können Unternehmen nicht hoch genug einschätzen, wächst doch der Anteil der Malware, die nicht mehr anhand bestimmter Muster identifiziert werden kann, ständig. Eine verhaltensbasierende Erkennung und Analyse von Malware macht auch eine neue Generation von Korrelations- Algorithmen notwendig, die zusätzlich zu einer Correlation Engine innerhalb eines Erkennungsmoduls des Security Monitoring zum Einsatz kommen muss: die Advanced Correlation Engine mit modulübergreifender Korrelation. Sie unterscheidet mittels statistischer Modelle, rekursiver Methoden und selbstlernender Algorithmen zwischen normalem und abnormalem Verhalten. IT Risk Detection sollte diese breite Überwachungs- und Analysefunktionalität komplettieren. Die zuvor erfassten und analysierten Ereignisdaten mit Problemcharakter werden kontinuierlich rund um die Uhr analysiert. Um die potenziellen Folgen des Sicherheitsproblems bewerten zu können, wird die Wichtigkeit der einzelnen betroffenen IT-Infrastrukturkomponenten aus der Sicht des Unternehmens in die Bewertung miteinbezogen. Ein leistungsfähiges Risk-Detection-System geht noch weiter: Es integriert einen IT-Risk-Management-Workflow für eine objektive und nachvollziehbare Problembehebung bis hin zu einer finalen Überprüfung der tatsächlichen Beseitigung oder zumindest bis zur bestmöglichen Minimierung des Risikos. Und das System präsentiert auf Basis der IT-Infrastruktur des Unternehmens eine aktuelle, transparente und umfassende Gesamtsicht der IT- Risiken. Alle darin befindlichen Risiken sind durch ein Risk & Security Intelligence Team aufbereitet, mit Behebungshinweisen versehen und nach deren Kritikalität für das Unternehmen in einem übersichtlichen Information Cockpit dargestellt. Apropos Intelligence Team : Weil eine kontextbezogene Überwachung der gesamten IT-Infrastruktur mit einer Flut an Ereignissen verbunden ist, von denen in der Regel nur ein geringer Prozentsatz sicherheitskritisch ist, muss ein Unternehmen einen effizienten Weg finden, Informationen auf die tatsächlich sicherheitskritischen Ereignisse zu reduzieren, zu priorisieren und für eine sofortige Behebung aufzubereiten. Für viele Unternehmen stellt sich die Frage, ob sie das dafür notwendige hochspezialisierte Wissen selbst vorhalten oder stattdessen für diese umfassenden Sicherheitsleistungen einen kompetenten Dienstleister in die Pflicht nehmen sollten, der in diesem Fall auch den kompletten Werkzeugkasten stellt. Konzerne ebenso wie mittelständische Unternehmen sehen die großen langfristigen Investitionsrisiken kritisch, die die für Security Monitoring & Risk Detection erforderliche Hard- und Software sowie die ständig auf neue Angriffsformen weitergebildeten Experten mit sich bringen. Vor diesem Hintergrund empfiehlt es sich zu prüfen, Security Monitoring & Risk Detection als Service von einem spezialisierten Dienstleister zu beziehen. Das setzt allerdings voraus, dass das Leistungsportfolio wie beschrieben umfassend ist und der Dienstleister die notwendige, nachweisbare Kompetenz in diesem diffizilen Einsatzfeld mitbringt. Zudem muss gesichert sein, dass der Dienstleister seine Sicherheitsservices kontinuierlich und zeitnah den neuen Angriffsformen, Bedrohungs- und Risikoszenarien anpasst und den konkrete Service sowie die zur Umsetzung benötigten Werkzeuge aus seinem Portfolio auf das jeweilige Kundenunternehmen maßschneidert. Produktanbieter:... Seite Seite Seite Seite Seite Seite 88 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite 94 51

52 Sicherung mobiler Endgeräte Servet Gül, certgate GmbH Mobile Endgeräte: Sicherheit ohne Einschränkung geht das? Tablets und Smartphones nehmen bei den Mitarbeitern von Unternehmen immer häufiger die Rolle der zentralen Arbeitsgeräte ein. Die übliche Zugriffssicherung allein durch Kennwörter wird der Bedeutung der Geräte nicht mehr gerecht und ist überdies alles andere als benutzerfreundlich. Zwei-Faktor-Authentifizierung auf der Basis von Hardware-Elementen wie Tokens oder Micro-SD-Karten mildert die daraus resultierenden Risiken. In den letzten Jahren häuften sich die negativen Schlagzeilen in Sachen IT Security. Selbst Hollywood konnte sich der destruktiven Energie organisierter Hacker nicht mehr entziehen, und so hatte Sony Entertainment mit einem gewaltigen Eingriff in die vertrauliche Kommunikation zu kämpfen. Hilflos musste der Global Player zuschauen, wie Firmengeheimnisse scheibchenweise den Medien zugespielt wurden. Tatsache ist, dass bis zum heutigen Zeitpunkt das Thema IT-Sicherheit ein moving target ist. Eine Sicherheitsinfrastruktur ist immer nur so sicher wie das schwächste Glied der Kette, und das ist sehr häufig der Nutzer selbst. Sowohl Wirtschaftsunternehmen als auch Behörden investieren Rekordsummen in sichere Netzwerke, Gebäudestrukturen, Zutrittskontrollen, Schulungen, Compliance und Überwachungstechnologie. Diesen Investitionen stellen sich aber die rasanten Entwicklungen der modernen Kommunikation entgegen. Eine davon betrifft direkt die Ausstattung der Unternehmen mit mobilen Geräten. 52

53 Der Bring-Your-Own-Device-Trend bleibt Bring Your Own Device, kurz BYOD das Mitbringen und Nutzen privater Hardware am Arbeitsplatz wird weltweit als unumkehrbarer Trend eingeschätzt. Der Branchenverband BITKOM sieht in Deutschland die Entwicklung hin zur Nutzung privater Geräte am Arbeitsplatz stetig wachsen: 43 Prozent der ITK-Unternehmen erlauben ihren Mitarbeitern, eigene Geräte mit dem Firmennetzwerk zu verbinden. Die Motivation der Unternehmen ist dabei unterschiedlich: 81 Prozent erhoffen sich eine höhere Mitarbeiterzufriedenheit, 74 Prozent erwarten mehr Effizienz und etwa 40 Prozent wollen als moderner Arbeitgeber wahrgenommen werden. Junge, qualifizierte Arbeitnehmer spielen eine Schlüsselrolle in dieser Entwicklung. Um sie buhlen die Unternehmen, und die künftigen Mitarbeiter erwarten wiederum, die eigenen Endgeräte auch im Job einsetzen zu können. Denn wer privat Dienste wie Dropbox, Evernote und soziale Netzwerke wie Facebook und LinkedIn nutzt, will auch im beruflichen Umfeld nicht darauf verzichten. Seit Jahren weisen allerdings Datenschützer auf die Gefahren hin, die beim Anbinden von privaten IT-Endgeräten an die Arbeitgeber-Infrastruktur auftreten können. Die Sicherheitsrisiken sind gerade innerhalb der Zielgruppe der IT-affinen, mit moderner Kommunikation vertrauten Arbeitnehmer hoch, da diese Personen besonders häufig von privaten Geräten aus auf Arbeitsdaten zugreifen. Grundsätzlich entwickeln sich die Verkaufszahlen bei mobilen Computern immer mehr in Richtung Tablets, während der Einsatz von Standard-Notebook-PCs zurückgeht. Die Arbeitswelt wird mobil, die Arbeitgeber müssen mithalten, und die Sicherheit bleibt oft auf der Strecke. Im Rahmen der vom BSI durchgeführten Sicherheitsprüfungen zählen fehlende Schnittstellenkontrollen für mobile Datenträger und fehlende Verschlüsselung bei mobilen Endgeräten zu den am häufigsten auftretenden Sicherheitsmängeln. Das Bundesamt bestätigt in der Publikation Die Lage der IT-Sicherheit in Deutschland 2014, dass die Anzahl der Schadprogramme für mobile Endgeräte kontinuierlich ansteigt und dass mobile Geräte durch ihre Always-On -Eigenschaft neue Angriffsmöglichkeiten bieten. Die Passwort-Krux: Komfort versus Sicherheit Die Richtlinien für sichere Passwörter sind seit Jahren bekannt: Mindestens zwölf Zeichen sollte ein Kennwort lang sein, Großund Kleinbuchstaben sowie Sonderzeichen (?!%+ ) und Ziffern enthalten. Tabu sind Passwörter wie die Namen von Familienmitgliedern, Haustieren, der besten Freunde, des Lieblingsstars oder Geburtsdaten entsprechender Personen. Kennwörter sollten außerdem nicht in Wörterbüchern vorkommen und keine gängigen Varianten bekannter Begriffe oder Tastaturmuster darstellen. Hat ein Anwender all dies berücksichtigt, kann er maximal sechs Wochen beruhigt arbeiten. Spätestens dann allerdings muss er das Password schon wieder ändern, wobei natürlich kein Kennwort zweimal genutzt werden darf. Für Nutzer sind diese Richtlinien unbequem und werden daher selten konsistent eingehalten. Empfehlungen Sichere Alternativen und Ergänzungen zum Kennwort-Schutz sind allerdings schon seit langem bekannt. Eine der sicheren Technologien in diesem Bereich ist die Zwei- Faktor-Authentifizierung, mit deren Hilfe wertvolle Daten plattformübergreifend und manipulationssicher schon auf dem Übertragungsweg verschlüsselt werden können. In bestimmten Bereichen hat sich diese Technik bereits durchgesetzt: Niemand würde beispielweise ein Bankkonto mit Facebook-Anmeldedaten absichern. Bei der Zwei-Faktor-Authentifizierung wird dem Benutzer neben dem Passwort ein weiterer Faktor an die Hand gegeben. Zum Wissen, etwa der PIN, kommt Besitz hinzu, beispielsweise einer Chipkarte, eines Tokens, eines Secure-Sticks oder einer Micro-SD-Karte. Produktanbieter:... Seite Seite Seite Seite Seite Seite Seite Seite 93 Berater/Dienstleister:... Seite Seite 79 53

54 USV-Systeme Stefan Mutschler, IT-SICHERHEIT Konstant unter Strom Unterbrechungsfreie Stromversorgungen (USVs) gehören in jedem Rechenzentrum zum Standardaufbau eines Energiekonzepts. Natürlich soll das sicherstellen, dass auch im Falle eines zeitlich begrenzten Stromausfalls die IT und damit das Business weiterlaufen. Weitaus häufiger kümmern sich USVs jedoch um weniger offensichtliche, aber oft nicht minder fatale Störungen wie Schaltspitzen, Störspannungen und vieles mehr. Sie führen in der hochgezüchteten und sensiblen Informationstechnologie moderner Rechenzentren ansonsten schnell zu massiven Schäden und Ausfällen. Unterschiedliche Technologien bieten verschiedene Schutzklassen und dieser Tage immer wichtiger gehen mit unterschiedlichen Auswirkungen auf die Energiebilanz einher. W er den Schutz seiner IT-Systeme mittels USV plant, sollte sich im Vorfeld eingehend mit Lasten und Funktionen, die gegen Netzstörungen geschützt werden müssen, der Mindestleistung einer USV und der Überbrückungszeit bei Netzstörungen beschäftigen. Je nach Schutzbedarf kommen drei unterschiedliche Verfahren mit entsprechenden Klassifizierungen in der europäischen Normenwelt zum Einsatz: Online-, Offline- und Line-Interaktive- Technologie. Bei USVs der Rechenzentrumsklasse sind Line-Interactive- ("VI" gemäß Stufe 1 der Norm IEC 62040) und Online-Systeme ( VFI ) üblich. Bei der Line-Interactive-USV ist der DC/AC-Wechselrichter permanent mit dem Ausgang der USV-Anlage verbunden. Der typische Leistungsbereich einer Line-Interaktive-USV liegt bei zwei bis zehn kva. Eine Schwachstelle bilden die Relais- Schalter. Mechanische Teile verschleißen recht rasch und bilden schon nach wenigen Jahren Betriebsdauer ein Risiko. Die Relais schalten von Netz- auf Batteriebetrieb. Die gesamte Leistung muss plötzlich vom Batterie-Inverter übernommen werden. Das Doppelwandlerprinzip der Online-USV ist das gebräuchlichste Prinzip bei USV-Anlagen über 10 kva. Der Unterschied zwischen Online- und Standby-USV-Anlagen besteht darin, dass der primäre Weg der 54

55 Spannungsversorgung durch den Inverter läuft und nicht über das Netz. Das Doppelwandlerprinzip stellt eine fast ideale Ausgangsspannung zur Verfügung. Es schützt vor Schäden durch Stromausfälle, Spannungseinbrüche (Schwankungen), Spannungsstöße, Unterspannung, Überspannung, Blitzeinwirkungen, Schaltspitzen, Störspannungen, Frequenzänderungen und harmonischen Oberschwingungen. Größter Nachteil von Online-USVs ist ihr nach wie vor vergleichsweise hoher Eigenverbrauch. Die Toleranzklasse (Stufen 2 und 3 der Norm IEC ) gibt näheren Aufschluss über die Form der Spannungskurven. Der Optimalwert in Stufe 2 ist SS, der in Stufe 3 ist Wer Energie und damit verbundene Kosten sparen möchte, sollte dem Wirkungsgrad (Verhältnis der abgegebenen Nutzleistung zur aufgenommenen Leistung in Prozent) erhöhte Aufmerksamkeit schenken. Der Wert bietet jedoch nur einen Anhaltspunkt im Gefüge der Argumente, denn Dinge wie Filter und Ausgangstrenntransformatoren sind wichtig für Batterielebensdauer, Qualität der Ausgangsspannung und Zuverlässigkeit, vermindern aber den Wirkungsgrad. Gute Kompromisse sind heute bei Wirkungsgraden zwischen 92 und 95 möglich. Auf schlechtere Wirkungsgrade sollte man sich nur in Ausnahmefällen einlassen bei besseren Wirkungsgraden sollte man genauer hinschauen. In diesem Kontext stoßen mittlerweile auch die Mitte der 90er Jahre noch skeptisch betrachteten USV-Systeme mit Hocheffizienz-Technologie wieder auf zunehmendes Interesse. Die Hocheffizienz- Technologie je nach Hersteller auch als Eco-Mode oder Bypass-Modus bekannt ist ein zusätzlicher Betriebsmodus einer Online-USV-Anlage und wurde entwickelt, um die Wirkungsgradwerte dieser in heutigen Rechenzentren bevorzugt eingesetzten USV-Variante zu optimieren und so Energie einzusparen. Denn das hohe Maß an Sicherheit, das Online-USV-Systeme bieten, hat seinen Preis. Der kontinuierliche Gleich- und Wechselrichter-Einsatz erhöht die Verlustleistung der USV-Anlage. Zwar besitzen aktuelle Online-USV-Systeme der meisten Hersteller theoretisch noch immer einen Wirkungsgradwert von 93 bis 95 Prozent. Erreicht wird dieser Wert aber meist nur bei einer Auslastung des USV-Systems von mehr als 70 Prozent und diese kommt im Praxiseinsatz so gut wie nicht vor. Realistisch sind 20 bis 40 Prozent und hier bringen es aber selbst viele fortschrittliche Online-USV-Systeme nur noch auf Wirkungsgradwerte von 88 bis 93 Prozent. Die Hocheffizienz-Technologie setzt nun genau an dieser Schwachstelle an. Die Wandler werden nur bei Netzstörungen und während der Batterieladezeit zwischengeschaltet. Im Normalbetrieb wird die angeschlossene Last hingegen über eine statische Umgehung mit Netzstrom versorgt. Die effizientesten Geräte erreichen heute bei einer geringen Auslastung von nur 25 Prozent einen Wirkungsgradwert von 99 Prozent. Achillesferse des Hocheffizienz-Ansatzes war bisher die Umschaltzeit also jene Zeit, die das USV-System für den Übergang von Hocheffizienz- auf Doppelwandler- bzw. Batteriebetrieb benötigt. Um wirkliche Ausfallsicherheit zu garantieren, muss diese Zeit innerhalb der vom Information Technology Industry Council definierten ITIC-Kurve liegen. Dieser Anforderung wurden ältere Online-USV-Systeme mit Hocheffizienz- Technologie unabhängig von der Bauart nicht gerecht. Systeme mit elektronischem Wechsler kamen auf eine Umschaltzeit von 5 bis 30 Millisekunden, Systeme mit Relais benötigten sogar zwischen 40 und 500 Millisekunden. Beim Wechsel von Hocheffizienz- auf Doppelwandler- oder Batteriebetrieb konnte es deshalb im ungünstigsten Fall zum kompletten Ausfall der Netzteile kommen. Fortschritte in der Elektrotechnik machen es heute jedoch möglich, die ITIC- Vorgaben einzuhalten eine entsprechende Nachfrage beim Hersteller empfiehlt sich unbedingt. Als Energieträger haben sich neben den klassischen Batteriesystemen auch Brennstoffzellen einen Platz erobert, wenn auch nach wie vor nur in Nischenbereichen. Eine Brennstoffzelle wandelt chemische Energie direkt in elektrische Energie um, es gibt keinerlei thermische Umwandlungsprozesse. Sie kann sowohl anstelle von Batterien als auch anstelle von Notstromaggregaten (Dieselmotoren) zum Einsatz kommen. Brennstoffzellen eignen sich besonders, wenn konstante und hohe Leistungen gefordert werden, wenn lange und variable Überbrückungszeiten notwendig sind und wenn eine hohe Betriebsdauer gefragt ist. Produktanbieter:... Seite Seite 82 Berater/Dienstleister:... Seite Seite Seite 95 55

56 Web Application Security Dipl.-Inf. Max Ziegler, SKYTALE Online-Akademie für IT-Sicherheit App-solut sicher?!? Web-Applikationen sind die digitalen Eingangspforten der Kaufhäuser und Dienstleister im Internet. Die Kunden betreten die Online-Shops, Versicherungen und Banken über Eingabemasken und Login-Bereiche und wickeln dort ihre Geschäfte ab. Doch auch Hacker begehren Einlass und nehmen die Anwendungen genauer unter die Lupe. Die Erfahrung der vergangenen Jahre zeigt: Noch immer sichern nicht alle Seitenbetreiber ihre Web-Apps angemessen ab. Viele altbekannte Schwachstellen und Sicherheitslücken sind nach wie vor häufig präsent. aufgenommen? Die Antworten bleiben bis zur Veröffentlichung der offiziellen OWASP- Release-Version natürlich ungewiss, denn nur so viel ist sicher: Es mangelt nicht an Kandidaten, die Liste zu füllen. Und mit großer Wahrscheinlichkeit werden sich alte Bekannte wie sicherheitsrelevante Fehlkonfigurationen oder der Verlust der Vertraulichkeit sensibler Daten als Evergreen im Feld der Favoriten behaupten können. Es ist eine Hitliste der besonderen Art, die das Open Web Application Security Project (OWASP) seit 2003 regelmäßig veröffentlicht: die zehn häufigsten Sicherheitsrisiken von Web-Applikationen, die erhebliche Gefahren für Unternehmen und ihr Kerngeschäft bergen können. Auch die letzte Analyse aus dem Jahr basiert auf Datenerhebungen von Firmen, die sich auf Anwendungssicherheit spezialisiert haben. Die Daten umfassen mehr als Schwachstellen aus hunderten von Unternehmen. Voraussichtlich 2016 werden die Top-10-Themen vom OWASP neu aufgelegt und zusammen mit Einschätzungen zur Ausnutzbarkeit, Auffindbarkeit und den Auswirkungen gewichtet. Sicher ist nur, dass viele Web-Apps immer noch unsicher sind Werden die Injection Flaws ihre Spitzenposition auch im sechsten Jahr in Folge halten können? Wird es die Cross-Site Request Forgery (CSRF) derzeit auf Platz 8 auch 2016 wieder in die Hitliste schaffen? Welche Schwachstelle steigt auf, welche steigt ab und welche wird erstmals in die Top 10 Es sei die Frage gestattet: Warum ist das so, obwohl das Thema IT-Sicherheit in jüngster Vergangenheit an nie da gewesener Bedeutung gewonnen hat? Warum scheinen alle Appelle von Verbänden, Politik und Wirtschaft zu verhallen, die sicherheitsrelevanten Schwachstellen in den Griff zu bekommen? Wieso tun sich die Unternehmen so schwer damit, ihre digitalen Pforten und Portale adäquat zu sichern? In der realen Welt mangelt es schließlich auch nicht an Kaufhausdetektiven, Wachmännern, Überwachungskameras und Diebstahldetektoren, die lautstark alarmieren, sobald nicht bezahlte Ware durch die Hintertür verschwindet oder der Tresor geknackt wurde. 56

57 Den Gegner und seine Methoden kennen Möglicherweise spielt bei den Defiziten der IT-Sicherheit, die auch die Studie des Bitkom 2 aus dem Frühjahr 2015 attestiert hat, ein wichtiger Aspekt eine zentrale Rolle, der in der öffentlichen Diskussion zu wenig Beachtung findet: Die Mitarbeiter und IT-Verantwortlichen müssen schon bei der Entwicklung und Implementierung von Web-Applikationen wissen, welche Risiken drohen, wie Schwachstellen für zweifelhafte Machenschaften ausgenutzt werden können, wie die Angriffe auf die Server ablaufen, wie Hacker denken, handeln und welche Werkzeuge sie benutzen. Schließlich kann nur derjenige geeignete und projektspezifische Sicherheitsmaßnahmen entwickeln, der die Vorgehensweise und die Methoden der Angreifer im Detail kennt. Doch diese Sichtweise, auch die Perspektive der Gegner einzunehmen, ruft in unserer Gesellschaft und in den Unternehmen nicht selten Irritationen hervor. Denn schließlich stehen die Hacker zusammen mit Räubern, Banditen und Kriminellen in einer Ecke. Die eigenen Mitarbeiter als rechtschaffende Menschen sind aufgefordert, sich zu distanzieren von derlei Machenschaften und sich an die geltenden Gesetze rund um die Informationssicherheit zu halten. Diese Forderungen sind absolut berechtigt und durch die aktuelle Gesetzeslage gut begründet. Dennoch verkennt derjenige den Ernst der Lage, der annimmt, ein umfassender Schutz der Web-Applikation kann erreicht werden, auch ohne mögliche Angriffsszenarien durchzuspielen. Denn dass die Hacker zuschlagen und sich dabei vor allem auf die leichte Beute konzentrieren, steht nicht erst seit der Studie des Bitkom außer Frage. Vorsicht ist besser als Nachsicht Doch der Blick in die betriebliche Praxis in vielen Unternehmen zeigt: Die Web-Security fristet bei Entwicklung und Implementierung allzu oft ein Schattendasein, wenn diese nicht das eigentliche Kerngeschäft darstellt oder dieses stark gefährdet. Dann stehen meist Nutzerfreundlichkeit, Performance, Kompatibilität, Ressourcen- und Kosteneffizienz sowie Optik und Design im Vordergrund. Ohne Zweifel hat ein Entwicklerteam damit schon genügend Herausforderungen und Projektdruck zu meistern, sodass die Sicherheit schnell hinten ansteht. Indes wäre es dem gesamten Projekt und seinem Erfolg zuträglich, wenn jeder der Beteiligten auch den Blickwinkel der Hacker einnehmen könnte. Produktanbieter:... Seite Seite Seite Seite Seite Seite 76 Berater/Dienstleister:... Seite Seite Seite Seite Seite Seite Seite 94 Unter dieser Prämisse programmiert, wird ein Sicherheitsaudit durch unabhängige Experten und Spezialisten dann gute Arbeit bei der Applikation bescheinigen und nicht wie sonst vielfach üblich auf die vielfältigen Schwachstellen und den Nachbesserungsbedarf hinweisen. Denn ist der Quell-Code erst einmal geschrieben und das Serversystem konfiguriert, dann ist es meistens schwer, die Einfallstore effektiv und kostengünstig abzusichern

58 Zugriffskontrolle/NAC Stefan Mutschler, IT-SICHERHEIT Zugriffskontrolle in IT- Systemen Du darfst, was du bist Wer oder was darf wo was? Diese kurze, aber sehr abstrakte Frage beschreibt annähernd, was Zugriffskontrollsysteme (engl.: Ac cess Control Systems, kurz ACS) in einer IT-Umgebung leisten. In der Regel ist der Zugriff an eine Identität gebunden, die einer Person oder einem Ding (etwa einem automatisch angestoßenen Programm) zugeordnet werden kann. Diese Identität darf in einem Zielsystem wie etwa einem Netzwerk oder einer bestimmten Anwendung genau definierte Aktionen ausführen. Gelegentlich spielen für die Zugriffsrechte noch Dinge wie der aktuelle Aufenthaltsort oder die Uhrzeit eine Rolle. Aufhänger bleibt jedoch immer die Identität beziehungsweise die damit assoziierte Rolle, die somit den Kern jedes ACS bildet. Mit der Identität als Basis gehört zu einer passgenauen IT-Rechtevergabe zuallererst ein umfassendes Identity Management (IM). Dieses muss an geeignete Authentifizierungsverfahren, ein solides Management von Passwörtern und bewährte Methoden für die Bereitstellung von Services gekoppelt sein. Diverse Richtlinien wie etwa COBIT oder Sarbanes-Oxley verlangen zusätzlich eine Abbildung der organisatorischen Zugriffsberechtigungen in einem internen Kontrollsystem. Mit Single-Sign-On (SSO) gewähren Unternehmen ihren Mitarbeitern gerne den Komfort eines einzigen Passworts für alle Netzwerke und Applikationen. Im Hintergrund muss das IT-Management filigran dafür sorgen, dass jeder einzelne Mitarbeiter im eigenen Hause, beim Zulieferer, beim Partner etc. damit genau auf die Informationen zugreifen kann, die für seine Arbeit beziehungsweise Funktion relevant sind und nur auf diese. Bei zunehmend komplexeren IT-Infrastrukturen inklusive Virtualisierung erweist sich das Rechtema- 58

59 nagement in der IT oft als harter Brocken. Schon die Visualisierung der Berechtigungen etwa in MS Active Directory, Fileserver- Systemen (Microsoft, NetApp, EMC² etc.), SharePoint, Exchange, vsphere und weiteren Verzeichnissen ist in der Praxis bis heute nur lückenhaft gelöst. Und das ist nur ein kleiner Teil der Disziplin, die sich heute unter dem Oberbegriff Identity and Access Management (IAM) umfassend mit dem IT-Rechtemanagement in Unternehmen beschäftigt. Eine Vereinfachung bringt die Definition von Rollen, denen nach Bedarf bestimmte Identitäten/Gruppen zugeordnet werden können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Papier M einige Richtlinien für die Zugriffskontrolle zusammengestellt. Für die Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen empfiehlt das Papier, Standard-Rechteprofile für Personen aufgrund ihrer Funktionen und Aufgaben (Rollen) festzulegen. Die Benutzerrechte für Zugriffe auf Dateien und Programme müssten eben abhängig von der jeweiligen Rolle, dem Wissensbedarf und der Sensitivität der Daten definiert sein. Falls Rechte vergeben werden, die über den Standard hinausgehen, sollte dies begründet werden. Auch das Problem mit den privilegierten Accounts (zum Beispiel Administratoren) ist in dem BSI-Papier adressiert. Die Empfehlungen hier: den Kreis der privilegierten Benutzer möglichst einschränken, strikt nur tatsächlich benötigte Rechte vergeben und den privilegierten Account nur bei tatsächlichen Admin-Aufgaben nutzen. Der Zugriff auf IT-Systeme oder -Dienste müsse durch Identifikation und Authentifikation des zugreifenden Benutzers oder IT-Systems abgesichert werden. Beim Zugriff aus externen Netzen sollten laut BSI-Empfehlung starke Authentisierungsverfahren eingesetzt werden. Als angemessene Lösungen werden Verfahren genannt, die auf dem Einsatz von Einmalpasswörtern oder dem Besitz von Chipkarten basieren. Andere Quellen empfehlen biometrische Verfahren zur Identitätsfeststellung. Ist eine Identität sicher nachgewiesen, gilt es, die mit dieser Person verbundenen, an den konkreten Aufgaben und Funktionen orientierten Nutzerrechte zuverlässig zuzuweisen. Dafür eingesetzte IAM-Tools sollten Transparenz schaffen, vor unerlaubten Zugriffen auf Daten und Anwendungen schützen und interne Prozesse beschleunigen. Des Weiteren sollten sie Auskunft darüber geben, wer wann und zu welchem Zweck welche internen Daten und Anwendungen nutzt, und sicherstellen, dass Mitarbeiter nur die Zugriffe haben, die sie für ihre jeweilige Tätigkeit aktuell benötigen. In einigen Bereichen wie etwa dem Finanzwesen gewinnt durch Regelwerke wie das Kreditwesengesetz MaRisk (Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht für die Ausgestaltung des Risikomanagements in Kreditinstituten) das Thema Risikomanagement im Rahmen von Access Management massiv an Bedeutung. Mit Softwarelösungen für das Access Risk Management lässt sich das Risikomanagement von Zugangsberechtigungen über alle Phasen unterstützen von der Identifikation, Bewertung und Steuerung bis zur ständigen Kontrolle beziehungsweise zum Monitoring von Berechtigungsrisiken. Lange Zeit vernachlässigt, rückt die Zugriffskontrolle bei Web-Anwendungen immer mehr in den Mittelpunkt. Die Autorisierungskomponente sollte hier laut BSI alle verwalteten Ressourcen einer Web-Anwendung wie URLs, Dateien, Objektreferenzen, Geschäftsfunktionen, Anwendungsdaten, Konfigurationsdaten und Protokolldaten berücksichtigen. Dabei sollte die Zugriffskontrolle möglichst auf allen Ebenen einer Web-Anwendung umgesetzt werden, also neben der Web-Anwendung selbst etwa auch auf den Applikations- und Web-Servern sowie dem Betriebssystem. (auf Basis von Unterlagen des BSI und diverser Hersteller) Produktanbieter:... Seite Seite Seite Seite Seite 86 Berater/Dienstleister:... Seite Seite Seite Seite 84 59

60 Firmenporträt Acronis Germany GmbH Acronis setzt Standards für Data Protection der Neuen Generation. Mit seinen Lösungen für Backup, Disaster Recovery und sicheren Zugriff, basierend auf der AnyData Engine, und dem Vorsprung durch seine Imaging- Technologie bietet Acronis einfaches, umfassendes und sicheres Backup für Dateien, Applikationen und Betriebssystem in beliebiger Umgebung virtuell, physisch, Cloud oder mobil. Acronis wurde 2003 gegründet und schützt Daten von über 5 Millionen Nutzern und Unternehmen in über 145 Ländern. Die Produkte decken eine große Bandbreite von Funktionen ab, wie z.b. Migration, Klonen und Replizierung. Cloud-Services für Unternehmen Dieses Jahr hat Acronis zwei neue Cloud- Services in sein Portfolio aufgenommen, um geschäftskritische Unternehmensdaten aller Umgebungen vollständig Service-basiert sichern und wiederherstellen zu können: Acronis Backup Service und Acronis Disaster Recovery Service. Acronis Backup Service löst Anforderungen an Data Protection mit einem umfassenden und einfach zu verwaltenden Service, der Daten eines beliebigen Quellsystems sichern und auf einem beliebigen Zielsystem wiederherstellen kann. Der Service sichert physische und virtuelle Server und PCs sowohl auf lokalen Storage als auch in zuverlässige Acronis Datenzentren und ermöglicht es Ihnen, einzelne Dateien, Festplatten oder komplette Systeme einfach und schnell wiederherzustellen. Er lässt sich über eine einfach zu bedienende Weboberfläche so leicht verwalten, dass Ihr IT-Team entlastet wird und sich somit auf das Kerngeschäft Ihres Unternehmens konzentrieren kann. Acronis Disaster Recovery Service ist eine Komplettlösung für Business Continuity Ihrer IT-Umgebung, die Systeme auf eine lokale Appliance sichert und in ein Datenzentrum der Acronis Cloud repliziert. Der Service stellt Systeme während eines Ausfalls wieder her und startet sie innerhalb garantierter SLAs. Acronis Disaster Recovery Service kann Ihre Server oder komplette Datenzentren zuverlässig wiederherstellen und am Laufen halten, bis Ihre Originalumgebung wieder verfügbar ist, ohne dass Ihr Unternehmen in doppelte Systeme oder zusätzliche Mitarbeiter investieren muss. Acronis Disaster Recovery Service bietet unterschiedliche Wiederherstellungsoptionen (cold, warm, hot) und kombiniert die hohe Performance und kurze Wiederherstellungszeit einer lokalen Appliance mit den geringen Kosten sowie der Berechenbarkeit und Erreichbarkeit einer virtuellen Private Cloud. Einfacher und sicherer Zugriff auf Dateien sowie Sync & Share Acronis Access Advanced ist eine sichere Lösung für mobilen Zugriff auf Dateien sowie Sync & Share. Sie ermöglicht der IT die vollständige Kontrolle über Unternehmensinhalte, um für Sicherheit zu sorgen, Compliance einzuhalten und BYOD zu integrieren. Acronis Access Advanced basiert auf der Acronis AnyData Engine und ermöglicht Mitarbeitern die Nutzung beliebiger Geräte Desktop-Computer, Laptop, Tablet oder Smartphone, um sicher auf Unternehmensdaten zugreifen zu können, die sich auf Servern und damit verbundenen Laptops/Desktop-Computern befinden, sowie diese sicher für andere Mitarbeiter, Kunden, Partner und Lieferanten freigeben zu können. Acronis Backup und Acronis Backup Advanced, basierend auf der Acronis AnyData Engine Acronis Backup hat eine lange Tradition bei Acronis. Basierend auf der preisgekrönten Imaging-Technologie bieten die Lösungen rund um Acronis Backup und Acronis Backup Advanced maßgeschneiderte Backup- und Wiederherstellungslösungen für beliebige Systeme im Unternehmen: Windows Server, Linux Server, Workstation, virtuelle Maschinen und Applikationen. Damit können geschäftskritische Informationen gesichert, wiederhergestellt, verwaltet und darauf zugegriffen werden. Mit Acronis Backup Advanced können darüber hinaus erstklassige Einzellösungen jeweils für Ihre wichtigsten Aufgaben optimiert flexibel zu einer Gesamtlösung integriert werden, mit der alle Daten in beliebiger Umgebung und an jedem Ort geschützt sind. 60 Acronis Germany GmbH Landsbergerstr München Telefon: Fax: info@acronis.de Ansprechpartner: Tobias Motzet

61 Firmenporträt Für jede Anwendung die passende USV USV für NAS-Systeme und Router AEG Power Solutions bietet auf den Kundenbedarf abgestimmte Lösungen zum Schutz vor Netzstörungen und den dadurch verursachten Datenverlusten und kostspieligen Ausfallzeiten. Wir liefern USV-Geräte für den privaten Gebrauch, Kompakt-USVen als Standgeräte und zum Rackeinbau für kleine und mittlere IT-Systeme sowie Plug & Safe -parallelschaltfähige, modulare USV-Systeme für Rechenzentren und Industrie. In Büro- oder Heimumgebungen sind kleine Server und NAS-Systeme besonders von Datenverlust durch Stromausfälle betroffen. Auch Router als digitaler Knotenpunkt müssen durch eine unterbrechungsfreie Stromversorgung geschützt werden um den Zugriff auf Daten im Netzwerk sicher zu stellen. Die Protect B / NAS USV-Serie von AEG Power Solutions ist besonders für diesen Einsatzzweck optimiert und gewährleistet den Schutz und die Verfügbarkeit dieser wichtigen Geräte auch bei Stromausfällen. NAS-Systeme bieten z.b. den Vorteil Daten gegen Ausfall einzelner Datenträger zu schützen - mit einem Smart Home Konzept sogar das gesamte Haus zu überwachen. Viele Anwender vergessen den häufigsten Zwischenfall den Stromausfall. Statistisch gesehen kommt es viel häufiger zu Stromausfällen, als zum Ausfall eines Datenträgers oder zu Wohnungseinbrüchen. Die Folgen sind nicht weniger fatal. Darum sollte eine unterbrechungsfreie Stromversorgung (USV) Bestandteil eines jeden Sicherheitskonzeptes sein. Eine USV schützt teures Equipment gegen Überspannungen, die bei Gewittern auftreten und die empfindliche Elektronik schädigen können und gegen Stromausfälle, die zum Datenverlust führen können. Eine USV sichert die Datenübertragung und sorgt für zuverlässiges Herunterfahren der Geräte. Je nach Auslegung der USV kann sie sogar bis zu mehrere Stunden Stromausfall überbrücken, so dass mit einem Laptop oder Smartphone weiterhin auf die Daten zugegriffen werden kann. Dies ist besonders für Selbstständige und kleine Büros wichtig, um begonnene Arbeiten noch abzuschließen und zu speichern. Bei der Auswahl der richtigen USV ist es dabei wichtig, besonders die kritischsten Geräte abzusichern. So ist heute der Router ein zentrales Element im vernetzten Haus. Fällt dieser aus, können Geräte untereinander nicht mehr kommunizieren und sind daher abgeschnitten, auch wenn sie über interne Akkus verfügen. Daher sollten Sie auf eine ausreichende Leistung der USV und die Anzahl der Ausgänge achten. Die Protect B Serie von AEG Power Solutions bietet hier ein breites Spektrum an verschiedenen Varianten mit bis zu 6 USV-gestützten plus 2 extra nur gegen Überspannung gesicherten Ausgängen. Die Sensoren eines Smart Home Systems beispielsweise sind meistens mit kleinen Akkus ausgestattet, jedoch benötigt die Basisstation weiterhin Strom, da sie als zentraler Knoten die Kommunikation steuert. Bei einem Stromausfall kann diese beispielsweise mit einer USV noch immer eine SMS über Mobilfunknetz absetzen. Bei einem NAS System dagegen bedeutet ein Stromausfall meist auch sofortigen Datenverlust selbst bei kurzen Ausfällen. Da hier und besonders in einem RAID- Festplattenverbund ständig Schreib- und Lesezugriffe stattfinden, sind diese Daten besonders gefährdet. Kurze Stromaussetzer bringen dabei meist das ganze System zum Absturz mit der Folge beschädigter Daten oder dem Ausfall ganzer Datenträger. Im schlimmsten Fall wird der RAID-Verbund zerstört, so dass alle Daten nicht wiederherstellbar sind. Die neue Protect NAS wurde speziell für diesen Einsatzzweck optimiert. Neben der Absicherung gegen Datenverlust bietet sie genau die richtige Leistung für NAS-Systeme und verfügt über eine leistungsfähigere Batterie gegenüber anderen USV-Systemen so dass eine deutlich längere Überbrückungszeit erreicht wird. So wird das NAS-System nicht einfach heruntergefahren, sondern ermöglicht noch bis zu 90 Minuten lang den Zugriff auf die gespeicherten Daten. AEG Power Solutions GmbH Emil-Siepmann-Straße Warstein-Belecke Telefon +49 (2902) Fax +49 (2902) data-it@aegps.com Ansprechpartnerin: Frau Ute von Cranach 61

62 Firmenporträt IT-Security oder physische Sicherheit? Wirklich sicher geht nur im Doppelpack IT-Sicherheit und physische Sicherheit stehen sich im Unternehmen oft gegenüber wie zwei völlig unterschiedliche Disziplinen, die nichts miteinander zu tun haben. Dafür sorgen ja oft schon die unterschiedlichen Protagonisten der Fachabteilungen IT und Gebäudesicherheit. Die Realität sollte allerdings anders aussehen, denn wirkliche Sicherheit entsteht erst im Zusammenspiel. Montagmorgens: Der Techniker will gerade zum Kunden aufbrechen, eine Firewall-Konfiguration abschließen. Schon halb zur Bürotür raus, klingelt sein Telefon aus dem Termin wird nichts, denn die Firewall ist nicht mehr da. Offensichtlich war bei dem Kunden übers Wochenende eingebrochen worden. Die gesamte Technikfläche mit neusten Geräten war nur noch ein leerer Raum. Wie so etwas passieren konnte? Der Kunde hatte zwar alles Erdenkliche getan, um seine Server und sein Netzwerk aus IT-Sicht komplett abzusichern. Dass seine Technikfläche allerdings auch Fenster hatte, die Einbrecher ohne viel Mühe einschlagen konnten, hatte er bei dem Projekt offensichtlich übersehen. So konstruiert dieses Szenario auch klingen mag genau solche Arten unvorhergesehener Sicherheitsvorfälle gibt es leider viel häufiger als man erwarten würde AirITSystems GmbH

63 Physische Bedrohungen sind für Unternehmen genauso real und vor allem ähnlich gefährlich und kostenintensiv wie Cyberattacken. Angesichts aktueller Bundestags- APTs und immer neuer NSA-Skandale hat sich die Awareness in Sachen IT-Security bei den bundesdeutschen Unternehmen laut Expertenmeinungen zwar nachhaltig verbessert. Auf der anderen Seite gibt es in den wenigsten Unternehmen ein funktionierendes Informationssicherheitsmanagement (ISMS), das Aspekte aus beiden Welten vereint. Digitalisierung überträgt Gefahrenpotenziale Dabei ist es nicht einmal so, dass Unternehmen nicht beide Themen bewusst wären. In der Regel kümmert sich die IT-Abteilung um die IT-Sicherheit und das Sicherheitspersonal bzw. das Facility Management um physische Sicherheitseinrichtungen wie die Gebäudesicherheit. Das Problem ist eher das Zusammenspiel beider Instanzen. Die klassische Gewaltenteilung ist historisch gewachsen, die Expertenprofile unterscheiden sich aufgrund jahrzehntelanger Praxis. Auch aus technischer Sicht ist es nichts Neues: Die Evolution geht immer stärker hin zum Zusammenwachsen beider Bereiche. Das gilt vor allem für die Gebäudesicherheit. Ob Brandmeldeanlage, Klimasteuerung, Videoüberwachung oder Zutrittskontrolle in Zeiten von Smart Home und Smart Building sprechen alle diese Systeme IP. Genau diese Entwicklung führt dazu, dass abseits der IT-Abteilungen IT-Parallelwelten mit kritischen Systemen entstehen, von denen die IT-Verantwortlichen häufig wenig bis gar nichts wissen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind veraltete Patches eines der Hauptprobleme, die bei Penetrationstests und bei Audits durch die Behörde festgestellt wurden. Mit der Digitalisierung physischer Systeme und dem Trend zum Internet of Things steigt die Komplexität der Infrastruktur exponentiell an. Wenn Brandmeldeanlagen und Gebäudesteuerungen IP sprechen, sind sie heute häufig mit dem Internet verbunden. Damit sind sie automatisch allen Gefahren ausgesetzt, denen bisher lediglich IT-Systeme unterlagen. Gleichzeitig stoßen konventionelle IT-Sicherheitsmechanismen an ihre Grenzen. Universelle Lösungsansätze fehlen. Zusammenarbeit der Disziplinen ohne Alternative Angesichts der sicherheitstechnisch gestiegenen Herausforderungen ist die intensive Zusammenarbeit beider Bereiche im Sinne einer ganzheitlichen Sicherheitsstrategie für Unternehmen ohne Alternative. Standards wie die ISO für Informationssicherheit oder die Empfehlungen des BSI- Grundschutz-Kataloges integrieren längst organisatorische, technische und physische Sicherheitsaspekte. Erst das Zusammenspiel beider Bereiche führt zu einem für das Unternehmen sinnvollen Ergebnis. Das lässt sich 1:1 auf sehr viele Bereiche der Sicherheit anwenden, ganz gleich ob es sich um Notfallpläne, Konzepte für mobile Sicherheit oder den Schutz kritischer Geschäftsdaten handelt. Ein funktionierendes Zusammenspiel der Fachabteilungen ist denn auch eher eine Frage des Schnittstellenmanagements und der Organisation. Diese Rolle übernimmt beispielsweise ein Beauftragter für Informationssicherheit oder AirITSystems als externer Dienstleister. In dieser Instanz sorgen wir nicht nur für die Abstimmung zwischen den Fachabteilungen, sondern überwachen auch die Umsetzung der abgestimmten Maßnahmen nach zuvor definierten Regelwerken unterstützt durch ein ISMS. Heute sind Sicherheits-Allrounder gefragt wie AirITSystems Gerade Mittelständler sind häufig durch die Komplexität der Materie überfordert. Hier empfiehlt es sich, auf spezialisierte Dienstleister zurückzugreifen. Allerdings lohnt es sich, bei der Auswahl genau hinzuschauen, denn die meisten Anbieter decken nur Teilbereiche des notwendigen Portfolios ab. Beispielsweise haben Systemhäuser in der Regel gute Kenntnisse in technischer IT- Security, decken aber eher selten Beratung zur Sicherheitsorganisation ab. Consulting- Häuser punkten dagegen mit Konzeption und Beratung bei der Einführung einer Sicherheitsorganisation, verweisen bei der technischen Umsetzung allerdings bestenfalls auf Subunternehmer oder Hilfe bei Ausschreibungen. Gebäudetechniker wiederum können im Fall von tatsächlich erfolgten Cyberattacken wenig zur Schadensbehebung und IT-Forensik beitragen. Als ganzheitlicher Dienstleister erfüllt Air- ITSystems entscheidende Kriterien: Als Flughafendienstleister verfügen wir über jahrzehntelange, einschlägige Erfahrung mit allen Aspekten der Sicherheit. Aus dieser Arbeit heraus kennen wir alle Aspekte und Fragen, die Sicherheitsverantwortliche umtreiben. Wir genießen das Vertrauen sicherheitsfokussierter Branchen und Kunden, seien es Banken, Versicherungen oder Energieversorger. Flughafen-Business ist Komplexität pur, höchste Sicherheitsanforderungen und 24-Stunden-Betrieb. Dabei stehen Sicherheitsaspekte jederzeit im Fokus unseres Handelns sowohl physische Sicherheit als auch organisatorische. So unterliegen unsere Mitarbeiter strengen Sicherheitsüberprüfungen. Zahlreiche Zertifikate belegen unsere Expertise. Diese geben wir durch individuelle Beratung beispielsweise für den Aufbau eines ISMS oder die Zertifizierung nach ISO weiter. Rundum gut geschützt unser Portfolio im Überblick Gebäudesicherheit Zutrittskontrolle Videoüberwachungslösungen Alarmierungs- und Evakuierungskonzepte Brandmeldetechnik Gebäudesicherheitsmanagement Sprachalarmierungssysteme Informationssicherheit Sicherheitskonzepte nach ISO / IT-Grundschutz Notfall- und Krisenmanagement Security Awareness Sicherheits-Check IT-Sicherheit Mobile Security Managed Security Services Security Analytics IT-Forensik Netzwerktechnologien Rechenzentrumsbau Gebäudeautomation Collaboration Solutions Benkendorffstraße Langenhagen Tel Fax m.fi scher@airitsystems.de Ansprechnpartner: Markus Fischer 63

64 Firmenporträt Webseiten und Rechenzentren sichern, um Downtime-Risiken und Datendiebstahl zu vermeiden Akamai, der führende Anbieter von Content-Delivery-Network (CDN)-Services, schützt Unternehmen vor den größten und raffiniertesten Cyber-Angriffen und bewahrt sie vor der Gefahr von Ausfallzeiten und Datendiebstahl. Die Cloud-basierten Sicherheitslösungen von Akamai basieren auf der Akamai Intelligent Platform und bieten die nötige Skalierbarkeit, um auch den umfangreichsten Distributed-Denial-of-Service (DDoS)-Attacken und Angriffen auf Webanwendungen ohne Performance-Einbußen begegnen zu können. Akamai bewältigt täglich bis zu 30 Prozent des weltweiten Datenverkehrs im Web. Daher erkennt Akamai nicht nur, wie sich das normale Benutzerverhalten ändert, sondern kann auch sofort neue Angriffsvektoren ermitteln. Kona Site Shield Kona Site Shield verbirgt eine Webseite im öffentlichen Internet und sichert sie ab, indem sie aus dem für das Internet zugänglichen IP-Adressraum entfernt wird. Damit entsteht eine zusätzliche Sicherheitsschicht. Site Shield ergänzt die bestehende, den Ursprungsserver einer Site schützende Infrastruktur und verwendet dazu die innovative und leistungsstarke Beschleunigungstechnologie der Akamai Intelligent Platform. Kona Site Defender Kona Site Defender erweitert die Websicherheit über das Rechenzentrum hinaus und gewährleistet trotz immer neuer Angriffsformen eine hohe Performance und Verfügbarkeit der Webseiten. Die Lösung nutzt die Leistungsstärke der Akamai Intelligent Platform zum Aufspüren, Identifizieren und Entschärfen von DoS-, DDoS- sowie anderen Attacken auf die Applikationsschicht, bevor sie überhaupt wirksam werden können. Kona DDoS Defender Kona DDoS Defender bietet einen Managed DDoS Protection Service für geschäftskritische Webseiten und -anwendungen. Damit lassen sich selbst massive DDoS-Angriffe auf die Netzwerk- und Applikationsebene erfolgreich stoppen. Die Lösung bietet eine schnelle Abwehr dank der 24x7 Security Operations Center von Akamai. Fast DNS Fast DNS wehrt Angriffe auf die DNS- Infrastruktur von Unternehmen ab und sichert somit die generelle Erreichbarkeit von Webseiten. Es bietet eine primäre oder sekundäre DNS-Lösung mit verbesserter Reaktionsfähigkeit, 24x7-Verfügbarkeit und einer hohen Effizienz zur Abwehr der größten DDoS-Angriffe. Kona Client Reputation Akamai analysiert jeden Tag mehr als 20 Terabyte an Webverkehr, der von Hunderten von Millionen einzelner IP-Adressen stammt. Aus diesen Daten wird für jede erfasste IP-Adresse ein Reputationswert ermittelt, der die Vertrauenswürdigkeit einzelner IP-Adressen bewertet. Mit dem Kona Client Reputation Service können Akamai-Kunden automatisch schädliche Clients erkennen und blockieren, bevor diese angreifen. Prolexic Routed Prolexic Routed ist ein Managed DDoS Protection Service und verteidigt das gesamte Rechenzentrum gegen die komplexesten DoS- und DDoS-Angriffe. Prolexic Routed nutzt das Border Gateway Protocol (BGP), um den Netzwerk-Traffic eines Unternehmens zu Reinigungszwecken in eines der weltweit verteilten Akamai Scrubbing Center zu leiten. Hier wird nach potenziellen Angriffsvektoren gesucht, der bösartige Datenverkehr entfernt und legitimer Datenverkehr weitergeleitet. Prolexic bietet branchenweit führende Time-to-Mitigate Service Level Agreements (SLA). Prolexic Connect Prolexic Connect verfügt über dieselben Vorteile wie Prolexic Routed und bietet zusätzlich dazu eine direkte, physikalische Verbindung zu den Akamai-Scrubbing- Centern, die für eine hohe Bandbreite und vorhersagbare Latenz sorgt Akamai Technologies GmbH Parkring Garching bei München Telefon: contact-germany@akamai.com

65 Firmenporträt Client-Management Mit der baramundi Management Suite erhalten Anwender eine qualitativ hochwertige Software für die einfache und sichere Verwaltung Ihres IT-Unternehmensnetzwerks. Die Automatisierung der Prozesse, die während des gesamten Lifecycle eines Geräts anfallen, schafft die Voraussetzungen für effizientes IT-Management. Vorteile von Client-Management mit baramundi: Automatisierung zeitraubender Routineaufgaben Geringere Fehleranfälligkeit durch Standardisierung von Prozessen Kosteneffizientes IT-Management durch Automatisierung Einfache Bedienung durch intuitive Bedienoberfläche Übersicht über den Zustand des gesamten Netzwerks Einhaltung deutscher und europäischer Datenschutzvorschriften Entlastung der IT-Mitarbeiter durch Self- Service für Anwender Ganzheitlicher Ansatz für IT-Lifecycle- Management Rollenbasiertes Sicherheitsmodell Mobile-Device-Management Mit baramundi Mobile Devices werden mobile Endgeräte wie Tablets und Smartphones ebenso sicher, effizient und zuverlässig verwaltet und in die IT-Infrastruktur integriert wie PCs, Server und Notebooks. IT-Abteilungen sind verantwortlich, dass auf mobilen Geräten keine Anwendungen laufen, die die Sicherheit der IT gefährden und sollte ein Gerät verloren oder gestohlen werden, kann dieses über die Software problemlos aus der Ferne gelöscht werden. Die baramundi software AG ermöglicht Unternehmen und Organisationen das effiziente, sichere und plattformübergreifende Management von Arbeitsplatzumgebungen. Mehr als Kunden aller Branchen und Größen profitieren weltweit von der langjährigen Erfahrung und den ausgezeichneten Produkten des unabhängigen, deutschen Herstellers. Diese sind in der baramundi Management Suite nach einem ganzheitlichen, zukunftsorientierten Ansatz zusammengefasst: Client-Management, Mobile- Device-Management und Endpoint-Security erfolgen über eine gemeinsame Oberfläche, in einer einzigen Datenbank und nach einheitlichen Standards. Durch die Automatisierung von Routinearbeiten und eine umfassende Übersicht über den Zustand des Netzwerks sowie der Clients optimiert die baramundi Management Suite Prozesse des IT-Managements. Das Wichtigste in Kürze: Automatisierte Verwaltung mobiler Endgeräte mit Android, ios und Windows Phone Kompletter Lebenszyklus eines mobilen Gerätes vom Enrollment bis zum Remote Wipe abgedeckt Einfache Konfiguration mobiler Geräte mittels plattformübergreifender Benutzerprofile Verwaltung der Geräte auch außerhalb des Unternehmensnetzwerks Zuverlässiges Durchsetzen von Compliance-Regeln und Schutz für wertvolle Unternehmensdaten Integration privater Geräte von Mitarbeitern Einbindung in die bewährte, anwenderfreundliche Oberfläche der baramundi Management Suite Deutschsprachiger Support direkt vom Hersteller Endpoint-Security Mit baramundi Compliance Management scannen Administratoren Rechner und Server regelmäßig automatisiert auf Schwachstellen und unsichere Konfigurationen. Etwaige Sicherheitslücken werden übersichtlich auf einem Dashboard angezeigt, fehlende Updates und Patches können direkt über die baramundi Management Suite schnell verteilt werden das sorgt für mehr Sicherheit. Das Wichtigste in Kürze: Automatisierter Scan aller PCs und Server auf bekannte und dokumentierte Schwachstellen Automatisierte Prüfung der Konfigurationseinstellungen der Geräte Übersichtliche Darstellung in einem Dashboard Drill-Down-Möglichkeit nach Client oder Gefährdungspotential: Welche Rechner weisen die meisten Schwachstellen auf? Welche Lücken sind die gefährlichsten? Schnelles Schließen der Lücken direkt über die baramundi Management Suite Erhöht die Systemsicherheit baramundi software AG Beim Glaspalast Augsburg Telefon: +49 (821) Fax: +49 (821) info@baramundi.de Ansprechpartner: Nathalie Merkle 65

66 Firmenporträt Barracuda Networks: Kunden profi tieren von modernster Security- und Storage-Informationstechnologie Barracuda Networks entwickelt und bietet leistungsstarke und benutzerfreundliche Security- und Storage-Lösungen. Die Cloud-vernetzten Lösungen unterstützen Kunden dabei, Sicherheitsbedrohungen zu begegnen, die Leistungsfähigkeit des Unternehmensnetzwerks zu steigern, sowie Daten zu schützen und zu speichern. Alle Lösungen zielen darauf ab, den IT-Betrieb im Unternehmen zu vereinfachen und leisten damit einen Beitrag zur Steigerung des Return-on-Investments im Technologiebereich. Das Geschäftsmodell von Barracuda basiert auf den zentralen Werten Geschwindigkeit und Agilität, die sich wie ein roter Faden durch sämtliche Aspekte ziehen: Bei der Produktentwicklung, der Auslieferung und Bereitstellung der Lösungen und selbstverständlich der Beantwortung von Kundenanfragen. Seit der Gründung konnte der Security- und Storage-Spezialist mehr als Kunden in über 100 Ländern von der Qualität seiner Produkte überzeugen. Durch die Vernetzung der Security- und Storage-Lösungen mit der Cloud ermöglicht Barracuda kontinuierliche Software- Updates, Offsite-Redundanzen und verteilte Kapazitäten. Die Lösungen werden auf Abonnenten-Basis angeboten und sind als Cloud-vernetzte Hardware-Appliances, Virtual Appliances oder als reine Cloud- Lösungen verfügbar. Die Security-Produkte von Barracuda helfen, die Leistungsfähigkeit der kritischsten Punkte der IT-Infrastruktur zu schützen und zu optimieren. Dazu zählen -Server, Webanwendungen, Rechenzentren sowie das zentrale Netzwerk. Die Storage-Lösungen dienen zur Sicherung und Archivierung geschäftskritischer Daten und Compliance- Anforderungen. Datenwiederherstellung und Business Intelligence-Aufgaben lassen sich damit wirkungsvoll adressieren. Zudem erlauben diese Storage-Lösungen den sicheren und schnellen Zugriff sowie das Teilen, Synchronisieren und Signieren von Dateien mit internetfähigen Geräten. Sämtliche Lösungen lassen sich unabhängig von Größe und Bereitstellungstyp zentral über ein benutzerfreundliches Webinterface administrieren. Die Produkte von Barracuda sind eigens für IT-Professionals in Ressourcen-abhängigen Umgebungen konzipiert, die von aktuellen und künftigen IT- Trends profitieren möchten. Dazu gehören die rasant wachsende Bedeutung von Cloud Computing, der Trend zur Virtualisierung, die Verbreitung mobiler Geräte und die damit verbundene Datenexplosion. Kunden von Barracuda finden sich in allen Bereichen und Größenkategorien wieder: Kleine und mittlere Unternehmen zählen ebenso zum Kundenkreis, wie Regierungen, Bildungseinrichtungen bis hin zu Fortune 2000-Unternehmen. Barracuda versteht sich als anerkannter und vertrauenswürdiger IT-Partner seiner Kunden mit dem Bestreben, Kundenerfahrungen durch Vereinfachung zu optimieren. Angefangen vom Design der Produkte bis hin zum Vertriebsmodell, dem Kundensup Barracuda Networks

67 port, der Herstellung und Bereitstellung, ist das Unternehmen immer darauf bedacht, dass der Erwerb, die Installation, die Wartung und die Aktualisierung so einfach wie möglich durchführbar sind. Next-Generation Firewalls für hybride Netzwerke In Organisationen werden hunderte von Internetanwendungen einschließlich Office 365 und Salesforce ausgeführt. Hinzu kommen Unternehmensanwendungen auf Public Cloud-Plattformen wie Amazon Web Services (AWS) und Microsoft Azure. Mit der vermehrten Einführung von Software-asa-Service (SaaS), Virtualisierung und Public Cloud-Anwendungen hat sich die Rolle der Firewall vom reinen Sicherheitsinstrument zu einer Lösung gewandelt, die gleichzeitig auch die Leistung und die Verfügbarkeit des Netzwerks verbessert. Im Zuge dessen haben sich auch die Netzwerkarchitektur und der Datenverkehrsfluss innerhalb des Netzwerks verändert. Dies führt dazu, dass das Unternehmens-LAN (Local Area Network) die Quality of Service (QoS) geschäftskritischer Ressourcen nicht länger garantieren kann. Herkömmliche portbasierte Firewalls sind weder Application-Aware, noch lassen sich damit Richtlinien für die Verwendung von Applikationen erstellen. Selbst mit Application-Aware Next-Generation Firewalls können Sie Anwendungen meist nur zulassen und blockieren. Eine Regulierung, Priorisierung und Transparenz der Anwendungsnutzung ist damit nicht möglich. Die Next-Generation Firewall-Familie von Barracuda ist speziell auf die Optimierung des Datenverkehrsflusses in hybriden Netzwerk-Umgebungen ausgelegt. Sie ermöglicht die Bereitstellung eines intelligenten Netzwerks, das den Datenverkehr nicht nur schützt, sondern auch verbessert. Umfassende Schutz für kritische Applikationen Bei hunderten Zeilen von zu prüfenden Code und Sicherheitslücken, die häufig raffiniert und schwer zu finden sind, ist oft erst ein schwerer Zwischenfall das erste Zeichen dafür, dass bei einer Web-Applikation Probleme vorliegen. Seit 2008 hat die Barracuda Web Application Firewall tausende von Applikationen vor über 11 Milliarden Angriffen geschützt und ist somit die ideale Lösung für Organisationen, die Web-Applikationen gegen Datenpannen und Manipulation absichern möchten. Mit der Barracuda Web Application Firewall sind Administratoren nicht auf "Clean Code" oder die detaillierte Kenntnis der Funktionsweise einer Applikation angewiesen, um diese wirkungsvoll zu schützen. Organisationen können mit einer Barracuda Web Application Firewall als Hardware- oder Virtual Appliance, vor Ort oder in der Cloud bereitgestellt, für stabile Sicherheit sorgen. Optimiertes Backup mit integrierter Software, Appliance und Cloud für effi ziente Speicherung und schnelle Wiederherstellung Barracuda Backup ist eine vollständige, Cloud-integrierte Lösung für die Sicherung physischer und virtueller Umgebungen, zu der Software, Appliance und Offsite-Replizierung gehören. Barracuda Backup lässt sich problemlos bereitstellen und managen und bietet "unbegrenzten" Speicherplatz in der Cloud. Durch die große Bandbreite von unterstützten Umgebungen und die Integration von Copy File Sync & Share, können Organisationen zusammengesetzte Sicherungslösungen von mehreren Anbietern durch eine All-In-One Barracuda Backup- Appliance ersetzen. Barracuda Backup unterstützt die Replikation in eine weitere Barracuda-Appliance für die Sicherung von Private-Cloud-Daten oder die sichere Übertragung von Daten in die Barracuda Cloud. Aufbewahrung und Wiederherstellbarkeit der gesamten Kommunikation bei gleichzeitiger Reduktion des Speicherbedarfs. Der Barracuda Message Archiver eignet sich ideal für Organisationen, die den Speicherplatzbedarf für ihre s verringern und die Produktivität der Benutzer durch direkten mobilen oder Desktop-Zugriff auf alle jemals gesendeten oder empfangenen s steigern möchten. Auf Wunsch kann die Appliance mit der Barracuda Cloud verbunden werden und diese als zweite Ebene zur Speicherung der Information nutzen. Zusätzlich bietet der Barracuda Message Archiver eine leistungsstarke aber dennoch einfache Plattform für ediscovery und Compliance. Telefon: +49(0) Fax: +49(0)

68 Firmenporträt Profil CARMAO GmbH: Die CARMAO ist Ihr Partner für Beratung, Dienstleistungen und Seminare rund um das Informationssicherheits- und Informationsrisiko-Management, die IT-Security und IT-Compliance sowie den Datenschutz. Ihre Erfolge verdienen Achtung, Ihre Werte verlangen Schutz! Unternehmenswerte sind das Kapital, das es zu schützen gilt und risikoorientiertes Informationsmanagement folgt daher dem Prinzip Vorsorge statt Nachsorge. Dabei stellt sich die Frage: Wie können Informationen ganzheitlich auf einem hohen Niveau geschützt werden? Sowohl die Einhaltung regulatorischer und gesetzlicher Anforderungen (Compliance) als auch die Ausrichtung an den betrieblichen Erfordernissen und die kontinuierliche Optimierung stehen hier im Mittelpunkt. Einzelmaßnahmen im Umfeld der IT-Sicherheit führen nicht zum gewünschten Ziel, wenn man diese nicht effizient und wirksam koordiniert. Erst ein Management der Informationssicherheit (z.b. nach ISO 27001) versetzt das Unternehmen in die Lage, Unternehmenswerte ganz gleich, welcher Art angemessen zu bewahren und zu schützen. Zum Kundenstamm der CARMAO zählen renommierte Unternehmen aus unterschiedlichen Branchen wie Banken/ Finanzdienstleistungen, Gesundheitswesen, Handel, Industrie, Logistik/Transport, Maschinen- und Anlagenbau, Medien/Verlage sowie Organisationen der Öffentlichen Verwaltung. Kompetenzen und Leistungen Unsere Kompetenzen: Informationssicherheit, Informations-Risikomanagement, Business Continuity und Notfallmanagement, Identitäts- und Berechtigungsmanagement, Compliance inkl. Datenschutzmanagement, Sicherheitskultur. Unsere Leistungen, die wir aus Beratung, Dienstleistung und Know-how-Transfer kombinieren, sind: Analysen und Audits, Controls und Policies, Monitoring und Controlling, Management und Managementsysteme, Projekte und Managed Services. Beispiele: Vorbereitung ISO Zertifi - zierung, Informationssicherheitskonzept, Unterstützung für Audit Readiness und Resolution, Zusammenführung verschiedener Managementsysteme (ISO 27001, ISO 9001, ISO 20000, etc.) zur Steigerung der Effizienz und Aufwandsreduktion. Unsere CARMAO Expert Services unterstützen Sie beim Finden von praxiserfahrenen Experten und Projektmanagern für Ihre Projekte CARMAO GmbH Walderdorffer Hof/Fahrgasse Limburg Telefon: Fax: kontakt@carmao.de

69 Firmenporträt Die geschäftliche Nutzung von Smartphones und Tablets ist längst Alltag besonders bei Führungskräften und im Außendienst sind die mobilen Geräte für die Kommunikation unentbehrlich geworden. Notgedrungen werden mobile Endgeräte so zu Geheimnisträgern, auf denen unternehmenskritische Informationen empfangen, gespeichert, bearbeitet und gesendet werden. Das betrifft sowohl Kontaktdaten, s und Termine als auch Dokumente und Datenbanken der verschiedensten Art. certgate GmbH - Security to go. Anywhere. Somit ist es offensichtlich, dass Smartphones ebensolcher Sicherheitsmaßnahmen bedürfen, wie sie für Arbeitsplatzrechner seit langem selbstverständlich sind. Dass im Netzwerk erprobte Technologien sich nicht 1:1 auf mobile Geräte übertragen lassen, liegt in der Natur der Sache: Eine klassische Firewall um ein mobiles Kommunikationsgerät ziehen zu wollen ist ein absurdes Unterfangen. Andererseits erfordert die Einbindung von mobilen Endgeräten in bestehende Sicherheits-Infrastrukturen den Rückgriff auf bewährte Sicherheitstechnologien und deren Anpassung auf die Erfordernisse des mobilen Arbeitens. Das ist auch der Ansatzpunkt der certgate- Lösungen, die auf der Technologie einer Smartcard aufbauen. Smartcards sind mit einem speziellen Chip in der Lage, eine Reihe kryptografischer Funktionen auszuführen, wie sie bei der Authentisierung eines Benutzers oder beim Verschlüsseln von Nachrichten und Dateien erforderlich sind. Um diese Funktionalität auch auf handlichen mobilen Geräte nutzen zu können hat certgate eine Smartcard in Form einer microsd-karte entwickelt und die erforderliche Software zur Einbindung der sog. cgcard in zahlreiche mobile Betriebssysteme geschaffen. Als vom Gerät unabhängiger sicherer Hardwarefaktor kann die cgcard betriebssystemunabhängig in fast allen Smartphones und Tablets eingesetzt werden. Die von certgate entwickelten Schnittstellen verbinden die cgcard - immer abhängig von den Möglichkeiten des jeweiligen Betriebssystems - mit verschiedensten Sicherheits-Anwendungen. Die Spanne reicht dabei von einer sicheren 2-Faktor- Authentisierung am Gerät, über die Verschlüsselung von Nachrichten und Daten bis zur kompletten Banking-Anwendung. Diese Anwendungen greifen auf die Fähigkeiten der cgcard zum hochsicheren Speichern und Verwalten von Zertifikaten und Schlüsseln sowie zum Generieren von Zufallszahlen und digitalen Schlüsseln zurück. Die certgate-technologie bietet Unternehmen und Organisationen die Möglichkeit, bestehende Sicherheitsrichtlinien auch auf mobilen Endgeräten anzuwenden. Gemäß der Sicherheits-Anforderungen des Unternehmens oder der Behörde können mobile Geräte und die Kommunikation gegen potentielle Bedrohungen abgesichert und Risiken vom Unternehmen abgewendet werden. Die certgate-technologie ermöglicht den risikolosen Einsatz handelsüblicher Endgeräte auch in sensiblen Bereichen. Das erweitert die geschäftlichen Möglichkeiten und steigert die Effizienz der mobil eingesetzten Mitarbeiter. Es stärkt gleichzeitig die Compliance sowie die Sicherheit des Unternehmens gegenüber Industriespionage und Datenverlusten. certgate GmbH Merianstraße Nürnberg Telefon +49 (911) Fax +49 (911) mail@certgate.com Ansprechpartner: Servet Gül 69

70 Firmenporträt Controlware GmbH Als einer der führenden deutschen Systemintegratoren und Managed Service Provider konzipiert und realisiert Controlware seit 35 Jahren innovative, durchgängige und praxisorientierte IT-Sicherheitslösungen. Als Systemintegrator bringt Controlware in jedes Projekt neben hoher IT-Security- Kompetenz auch profundes, themenübergreifendes Know-how aus den übrigen Teildisziplinen der Informationstechnologie ein. Unsere Kunden können sich somit jederzeit auf eine nahtlose Integration der IT-Security in ihre bestehenden Netzwerk-, Application-Delivery-, Unified-Communications-, Data-Center- und IT-Management- Infrastrukturen und Prozesse verlassen. Controlware steht für die erprobte strategische, taktische und operative Betrachtung aller sicherheitsrelevanten Themen und bietet Kunden ein breites, herstellerneutrales Lösungs- und Service-Portfolio. Unser Angebot reicht von der Planung über die Umsetzung bis hin zum Betrieb heterogener, ganzheitlicher IT-Security-Infrastrukturen. Die Controlware Experten verfügen über langjährige Projekt- und Umsetzungserfahrung in allen Themenfeldern der Informationssicherheit sowohl in klassischen IT- Security-Bereichen wie Firewalling, Content Security und Authentisierung als auch in Wachstumssegmenten wie SIEM, Identity- & Access-Management und Application Control. Allein im Firewall-Bereich betreuen wir mehrere Hundert zufriedene Kunden. Controlware weist Unternehmen proaktiv auf neue Themen und Bedrohungen hin und implementiert tragfähige, zukunftssichere Abwehrstrategien. Wir bieten Firmen jeder Größe individualisierte Managed Security Services und unterstützen sie mit ausgereiften Lösungen bei der Abwehr von Advanced Persistent Threats, der Absicherung mobiler Endgeräte, dem Schutz virtueller Umgebungen und sicherem Cloud Computing. Partnerschaften mit Marktführern und Newcomern Controlware arbeitet mit allen führenden IT-Security-Herstellern zusammen und gehört in deren deutschen Partnernetzen jeweils zu den Top-Integratoren. Ergänzend zu diesem Best-of-Breed-Portfolio kooperieren wir in allen Teilsegmenten der IT- Security mit ausgewählten, innovativen Newcomern. Auf diese Weise können wir unsere Kunden je nach Einsatzszenario und Zielsetzung stets herstellerneutral zur jeweils besten Lösung beraten. ISO zertifi ziertes CSC Controlware gehört zu den deutschlandweit führenden Anbietern von Managed Security Services. Das ISO z e r t i fi - zierte Customer Service Center (CSC) in Dietzenbach ist eines der modernsten und sichersten in Deutschland. Das Portfolio reicht von der Übernahme definierter Aufgaben, Dienste oder Prozesse bis hin zum Outsourcing des gesamten IT-Betriebes mit garantierter Service-Qualität und festen SLAs. Die Controlware Gruppe steht für Knowhow, Erfahrung, Innovation und Qualität: Rund 600 Mitarbeiter betreuen Banken, Industrieunternehmen, Forschungseinrichtungen, die öffentliche Hand und mittelständische Betriebe. In der DACH-Region verfügt Controlware mit 15 Standorten über ein flächendeckendes Vertriebs- und Servicenetz und hat seine Präsenz in Österreich in den letzten Jahren kontinuierlich mit den Standorten Wien, Graz und Innsbruck ausgebaut. Zu den Tochterunternehmen der Controlware Gruppe zählen die Controlware GmbH, die ExperTeach GmbH, eines der größten deutschen Weiterbildungsunternehmen, sowie die Networkers AG und die Productware GmbH. 70 Controlware GmbH Waldstraße Dietzenbach Telefon: / Fax: / info@controlware.de Ansprechpartner: Stefanie Zender, Presse- und Öffentlichkeitsarbeit

71 Firmenporträt Wir bilden Sie! Als Fachinformationsdienstleister besteht DATAKONTEXT bereits seit über 35 Jahren am Markt. Neben den Themengebieten Personalarbeit und Entgeltabrechnung ist das Unternehmen vorwiegend im Bereich Datenschutz und IT-Sicherheit unterwegs. Hier zählt DATAKONTEXT seit jeher zu den Marktführern. Begonnen hat alles im Jahr 1977: Damals wurde DATAKONTEXT von den Initiatoren des Bundesdatenschutzgesetzes gegründet. Von Anbeginn an war das Unternehmen Partner und Sprachrohr der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD) und ist bis heute der führende Know-how-Vermittler im Bereich Datenschutz. Bereits seit 2008 ist die DATAKONTEXT GmbH ein Unternehmen des Süddeutschen Verlages und gehört somit zu einer der führenden Mediengruppen in Deutschland. Getreu dem Slogan Kompetenz aus einer Hand werden zu den Themenfeldern Datenschutz und IT-Sicherheit Fachbücher, Fachzeitschriften und Weiterbildungsveranstaltungen (Seminare, Fachforen, Zertifizierungen, Arbeitsgemeinschaften, Ausbildungsgänge) sowie unterneh-mensindividuelle Beratungsleistungen von DATAKONTEXT angeboten. Die guten Verbindungen des Unternehmens sind dabei von hohem Nutzen: DATAKONTEXT verfügt über intensive Kontakte zu den Ministerien, Behörden und Spitzenverbänden von 71

72 Wirtschaft und Verwaltung. Genau solche Informationsnetzwerke sind sehr wichtig, garantieren sie doch einen fortwährenden aktuellen Wissenstransfer über den Stand neuer Gesetze, Verwaltungsanweisungen, aktueller Rechtsprechung und deren praktische Umsetzung. Wissen, das DATAKON- TEXT mit seinem vielseitigen Repertoire an Produkten gerne an seine Kunden weitergibt: Die Fachzeitschriften Mit der IT-SICHERHEIT, der Fachzeitschrift für Informationssicherheit und Compliance, informiert DATAKONTEXT praxisnah und aktuell über technische Security-Entwicklungen, gesetzliche Anforderungen, Neuerungen und akute IT-Gefahren. Das Magazin bündelt das Wissen rund um Trendthemen wie Cloud Computing und Mobile Security ebenso wie zu Fragen der Netzwerk- bzw. Prozesssicherheit, dem IT-Security-Management, Compliance- Anforderungen und dem IT-Recht. Für aktuelle Informationen zwischen den einzelnen Ausgaben sorgt der kostenlose digitale Infodienst IT-SICHERHEIT News. Die Fachzeitschrift RDV Recht der Datenverarbeitung informiert sechsmal jährlich über rechtspolitische Entwicklungen im nationalen und internationalen Datenschutzbereich. Neben den Fachbeiträgen namhafter Experten und Juristen, die sich praxisgerecht an der jeweils aktuellen Rechtsentwicklung und Rechtsprechung orientieren, bietet die RDV einen Rechtsprechungsteil mit Auszügen aus wegbe- reitenden, wichtigen Urteilen sowie Berichte und Informationen aus der EU, der Gesetzgebung, dem Bundestag und den Ländern. Die Fachzeitschrift wird von der GDD redaktionell betreut und mit herausgegeben. Gleichzeitig ist sie die offizielle Mitgliedszeitschrift des Verbandes. Seit November 2013 verfügt die RDV über einen eigenen Web-Auftritt und bildet unter aktuelle Neuigkeiten im Themenfeld Datenschutz ab. Die Veranstaltungen Seminare, Fachforen, Zertifizierungen und Arbeitsgemeinschaften DATAKONTEXT ermöglicht seinen Kunden eine fundierte Weiterbildung im Bereich Datenschutz und darüber hinaus auch eine Ausbildung zum zertifizierten Datenschutzbeauftragten. Die Themen der Veranstaltungen sind vielfältig, ob nun zum Beschäftigtendatenschutz, dem Datenschutzmanagement oder dem technisch-organisatorischen Datenschutz. Einer der bedeutendsten und traditionsreichsten deutschen Datenschutzkongresse ist die Datenschutzfachtagung, kurz DAFTA genannt. Die von der GDD und DATAKON- TEXT organisierte Fachtagung zieht jährlich rund 350 hochrangige Datenschutzbeauftragte bzw. Fach- und Führungskräfte aus dem Bereich Datenschutz und Datensicherheit an, die sich einen umfassenden Überblick über alle für die Praxis relevanten Themen des Datenschutzes und der Informationssicherheit verschaffen wollen. Die Tools DATAKONTEXT unterstützt den betrieblichen Datenschutzbeauftragten mit verschiedenen Software-Tools bei der täglichen innerbetrieblichen Datenschutzorganisation. Für ein transparentes Datenschutzniveau sorgt beispielsweise das Praktiker-Tool Datenschutzaudit nach BSI Grundschutz. Die neue Version 2.1 des Tools enthält einerseits die Aktualisierungen des Bausteins 1.5 durch das BSI, andererseits wurden die Erfahrungen und Rückmeldungen aus vielen Präsentationen der Vorversion in die neue Version eingearbeitet. Trotz des erweiterten Funktionsumfangs ist das Tool, wie sein erfolgreicher Vorgänger, weiterhin einfach 72 DATAKONTEXT GmbH

73 zu handhaben und jetzt noch vielfältiger einsetzbar. Auch zum viel diskutierten Thema Datenverlust geben wir den Datenschützern ein praktisches Tool an die Hand: unser Online Produkt Projektbox 42a BDSG. Ein gutes Krisenmanagement ist bei meldepflichtigen Datenverlusten das A und O. Wichtig ist es, bereits im Vorfeld eines solchen Datenverlustes die nötigen organisatorischen Schritte einzuleiten und alle internen Player einzubinden. Die Online-Projektbox zum 42 a BDSG bietet den Projektbeteiligten einen schnellen, grafikbasierten Zugang zu wichtigen Informationen. Über eine Grafik, in der die organisatorischen Zusammenhänge vor und nach einem Datenverlust darstellt sind, gelangt man durch einfaches Klicken auf die eigene Projektfunktion (DSB, Geschäftsführung, Notfallteam, etc.) nutzerfreundlich zur entsprechenden Rolle im Team. Hier werden die jeweiligen Aufgaben erläutert und die Umsetzung mit geeigneten Mustern, Checklisten und weiteren Hilfestellungen vereinfacht. Publikationen und Merkblätter Als Handlungshilfen beim Einsatz von Intranet und Internet, und Telefon, Big Data und Social Media bieten wir das DATAKONTEXT-Handbuch Datenschutz am Arbeitsplatz an. Diese Praxishilfe stellt die datenschutzrechtlichen Regelungen im Arbeitsverhältnis dar und bietet Tipps für die Umsetzung im Unternehmen. Themen wie zum Beispiel Persönlichkeitsschutz im Arbeitsverhältnis, GPS-Ortung, offene/ verdeckte Videoüberwachung und Mitarbeiterdaten im Internet werden diskutiert und Lösungen aufgezeigt. Anfang 2016 erscheint zudem der Titel Praxisfälle Datenschutzrecht in der zweiten Auflage. Dieses Übungsbuch enthält 30 Praxisfälle zum Datenschutzrecht mit Lösungsskizzen für die Beurteilung eines datenschutzrechtlichen Sachverhalts. Jeder Praxisfall wird in fünf Schritten vom Fragesatz bis zum Antwortsatz beurteilt. In die Neuauflage wurden sechs neue Fälle aufgenommen, die 24 Fälle der ersten Auflage wurden um aktuelle Urteile und weitere Praxistipps ergänzt. Bei unseren sogenannten DATAKONTEXT Merkblättern geht es darum, Mitarbeiter in Unternehmen und Behörden für ein bestimmtes Thema zu sensibilisieren und sie mit den dazugehörigen Anforderungen vertraut zu machen. Ob zu den Themen Datenschutz, Social Media im Unternehmen oder Datenschutz im Krankenhaus unsere Mitarbeiterbroschüren verfolgen stets den Ansatz, komplexe Materie anschaulich und didaktisch durchdacht zu vermitteln. Alle Merkblätter sind in gedruckter und digitaler Form verfügbar. Augustinusstraße 9d Frechen Telefon: +49 (2234) Fax: +49 (2234) fachverlag@datakontext.com 73

74 Firmenporträt Sicherheit auf allen Ebenen Sicherheit wird mehr und mehr zu dem zentralen Thema der IT. In einer Welt von Cyber-Kriminalität, Identitätsdiebstahl und Datenmissbrauch muss sich jedes Unternehmen damit befassen. Wer es unterlässt, geht hohe Risiken ein, die nicht nur beträchtliche Kosten nach sich ziehen können, sondern unter Umständen sogar den Bestand eines Unternehmens gefährden. Neue Entwicklungen wie das Internet der Dinge oder die zunehmende Verbreitung mobiler Systeme haben die Lage noch verschärft, und eine Entwarnung ist nicht in Sicht. Dell engagiert sich daher seit Jahren im Bereich Sicherheit und stellt seinen Kunden ein umfassendes Portfolio mit effektiven und skalierbaren Lösungen und Services zur Verfügung, mit denen die Anwender für aktuelle und künftige Anforderungen gerüstet sind. Der Security-Ansatz von Dell basiert auf den drei Grundprinzipien Einfachheit, Effizienz und Konnektivität. Dabei werden alle unterschiedlichen Aspekte der IT-Sicherheit innerhalb eines Unternehmens in einem integrierten Konzept berücksichtigt, so dass die Verantwortlichen ständig alle sicherheitsrelevanten Informationen vorliegen haben. Die Sicherheitslösungen von Dell schützen Unternehmen aller Größenordnungen vor Cyber-Bedrohungen: Identitäts- und Zugriffsverwaltung Unternehmen können den Zugriff auf Systeme und Daten umfassend und durchgängig steuern und kontrollieren und somit für sicheren und trotzdem benutzerfreundlichen Zugang sorgen. Die Lösungen regeln die Verwendung privilegierter Konten, verwalten Identitäten und überwachen im Rahmen gesetzlicher Bestimmungen auch die Benutzeraktivitäten. Netzwerksicherheit Die Sicherheits-Lösungen von Dell SonicWALL mit den skalierbaren Next- Generation Firewalls schützen Unternehmen vor Angriffen auf ihre Netze, ohne Kompromisse bei der Netzwerkleistung einzugehen. Der Dell SonicWALL Analyzer sorgt wiederum für vollständige Transparenz der Netzwerk-Infrastruktur und liefert umfassende Berichte zur Analyse von Bandbreiten, Bedrohungen oder Anwendungsdatenverkehr. -Sicherheit Von den leistungsfähigen Dell- SonicWALL- -Security-Systemen bis zum Anti-Spam-Service von Sonic- Wall bietet Dell gehostete und lokale Lösungen für den Schutz des -Verkehrs. Damit können sich Unternehmen wirksam vor Bedrohungen im ein- und ausgehenden -Verkehr schützen. Sicherer mobiler Zugriff Mit skalierbaren Lösungen für den sicheren Mobilzugriff können Unternehmen den Zugriff auf geschäftskritische Ressourcen von nahezu jedem Endpunkt aus ermöglichen. Die SonicWALL Mobile Connect App und Secure Remote Access Appliances bieten SSL-VPN-Zugriff für Benutzer von Desktop-PCs, Notebooks, Tablet-PCs und Smartphones für kleine Organisationen ebenso wie für Konzerne. Endgerätesicherheit Dell schützt PCs, Server, Tablet-PCs mit Dell Kace und Dell Mobile Device Management vor einer Vielzahl von Bedrohungen. So bietet die KACE K1000 Systems Management Appliance eine leistungsfähige, vollständig integrierte und standortunabhängige Lösung für die Systemverwaltung von PCs, Servern, Macs, Chromebooks, Smartphones, Tablet-PCs, Druckern und Netzwerkkomponenten. Die Dell-Lösungen übernehmen die zentrale Verwaltung von Endgerätesicherheit und Compliance. Benutzer können dabei ohne Beeinträchtigung mit den gewohnten Tools arbeiten Data Protection Die Dell-Lösungen für Data Protection schützen Server, Daten und Anwendungen physisch, virtuell und in der Cloud. Mit AppAssure, NetVault, vranger sowie den DR- und DL-Appliances lassen sich schnell und einfach optimierte Datensicherungen zur Vermeidung von Ausfallzeiten für Unternehmen jeder Größe erstellen. Dell SecureWorks bietet darüber hinaus Managed Security Services sowie Services für Security & Risk Consulting, Incident Response und Threat Intelligence. Dell Software GmbH Im Mediapark 4e Köln Telefon: Fax: gateprotect GmbH

75 Fachwissen Datenschutz aktuell kompetent schnell Aktuelle Fachliteratur Sensibilisieren Sie Ihre Mitarbeiter Gola/Wronka Handbuch Arbeitnehmerdatenschutz Rechtsfragen und Handlungshilfen für die betriebliche Praxis 6. überarbeitete und erweiterte Auflage Seiten Hardcover 17 x 24 cm 119,99 ISBN GDD e.v. Merkblatt Datenschutz 27. bearbeitete Auflage Seiten broschiert 21 x 21 cm Staffelpreise (siehe ISBN (Inhalt in Farbe) ISBN (Inhalt in Schwarz-Weiß) Auch digital, in englischer Sprache und als firmenindividueller Sonderdruck erhältlich! Gola/Reif Praxisfälle Datenschutzrecht Juristische Sachverhalte Schritt für Schritt prüfen, bewerten und lösen 2. Auflage 2016 ca. 180 Seiten Hardcover 17 x 24 cm ca. 39,99 ISBN Einfach anschaulich vielseitig Das Merkblatt sensibilisiert Ihre Mitarbeiter für das Thema Datenschutz und macht sie mit den zugehörigen Anforderungen im Unternehmen vertraut. Grundlagen, Bedeutung und Notwendigkeit des Datenschutzes Ideal für alle Mitarbeiter Aktueller Rechtstand Durch farbige Schaubilder anschaulich illustriert Leicht verständlich geschrieben Das ganze Unternehmen ist verantwortlich! Selbstkontrolle durch den Datenschutzbeauftragten Peter Gola Datenschutz am Arbeitsplatz Rechtsfragen und Handlungshilfen beim Einsatz von Intranet, Internet, , Telefon, Big Data und Social Media 5. überarbeitete und erweiterte Auflage Seiten Hardcover 17 x 24 cm 59,99 ISBN Inklusive E-Book Geschäftsführung trägt die Verantwortung für den Datenschutz nach innen und nach außen Musterseite Führungskraft Umsetzung und Kontrolle der Einhaltung gesetzlicher und interner betrieblicher Regelungen Einschaltung vor Einführung oder Änderung datenschutzrelevanter Geschäftsprozesse Information bei Kenntnis von Missbrauch, Verlust oder Manipulation Erteilung von Arbeitsanweisungen und Befugnissen, Unterstützung bei der Durchführung und Sensibilisierung für die Bedeutung des Datenschutzes Beratung Beratung Beratung Mitarbeiter Schutz personenbezogener Daten vor unbefugtem Zugriff und unzulässiger Weitergabe Datenschutz- beauftragter Der betriebliche Datenschutzbeauftragte hat die Aufgabe, auf die Einhaltung des Datenschutzrechts hinzuwirken. Er berät die Geschäftsführung und die Mitarbeiter und steht bei Fragen zum datenschutzgerechten Umgang mit personenbezogenen Daten zur Verfügung. Er unterliegt der Verschwie- genheitspfl icht und hat das Recht, sich in Zweifelsfällen an die Datenschutz-Aufsichtsbehörde zu wenden. In Unternehmen mit mehr als neun Personen, die personenbezogene Daten automatisiert verarbeiten, muss ein Datenschutzbeauftragter bestellt werden. Wenn kein Datenschutzbeauftragter zu bestellen ist, nimmt weitgehend die Geschäftsführung dessen Aufgaben wahr. Gibt es im Unternehmen eine Mitarbeitervertretung, kontrolliert auch diese die Einhaltung des Datenschutzes im Hinblick auf Mitarbeiterdaten. Bei Fragen zum Thema Datenschutz bzw. Datensicherheit oder in Zweifelsfällen wenden Sie sich bitte an Ihren betrieblichen Beauftragten für den Datenschutz. Jetzt kostenloses Muster-Merkblatt bestellen: 02234/ Wissen entspannt! 75

76 Firmenporträt Fortinet GmbH Historie Fortinet wurde im Jahre 2000 von Ken und Michael Xie gegründet mit der Vision, Echtzeit-Sicherheitslösungen für Netzwerke zu entwickeln. Bereits 2002 wurden die ersten Produkte der bis heute überaus erfolgreichen FortiGate- Serie auf den Markt gebracht. Heute betreut Fortinet weltweit weit über Kunden mit ca Mitarbeitern und ca Vertriebspartnern. Fortinet wird von führenden Marktanalysten wie Gartner als Unternehmen mit dem höchstem Potenzial angesehen und kann sich seit vielen Jahren als Nr. 1 im UTM-Security-Markt bezeichnen (Quelle: IDC). Portfolio Fortinet entwickelt Multi-Threat-, Next Generation-Firewall und UTM-Sicherheitssysteme für Unternehmen aller Größenordnungen, Rechenzentrumsbetreiber, Carrier und Service-Provider. Die Lösungen beinhalten Sicherheits-Module wie Firewall, VPN (IPsec und SSL), Antivirus, Intrusion Prevention, URL-Filter, Applikationskontrolle, Bandbreitenmanagement, Data Loss Pre- vention, WAN-Optimierung, Anti-Spyware, Anti-Spam, Device- und OS-Erkennung uvm. Mit dieser Kombination aus verschiedenen Engines, die äußerst flexibel in beliebiger Kombination, einzeln oder auch virtualisiert implementiert werden können, schützen die Appliances vor bekannten Bedrohungen ebenso wie vor bisher nicht analysierten, versteckten Angriffen. Speziell entwickelte ASICs (anwendungsspezifische Prozessoren) beschleunigen gezielt einzelne Prozesse und garantieren so Security in Echtzeit. Alle FortiGate Appliances basieren auf dem leistungsfähigen und spezialisierten Security-Betriebssystem FortiOS, einer Fortinet-eigenen Entwicklung. Dieses Betriebssystem ist modular und somit kontinuierlich und im Rahmen normaler Software-Updates erweiterbar. Neben den FortiGate Appliances bietet Fortinet auch -AntiSpam/Anti- 76 Fortinet GmbH

77 Virus-Lösungen (FortiMail), Endpoint- Security (FortiClient), voll integriertes zentralisiertes Management, Erfassung und Reporting (FortiManager und Forti- Analyzer). FortiDB ist für die Datenbanksicherheit verantwortlich und mit FortiWeb werden Webapplikationen und Webserver effizient geschützt. Mit FortiAuthenticator besteht die Möglichkeit der zentralen 2-Faktor-Authentifizierung, FortiScan bietet Vulnerability und Patch Management und unterstützt Unternehmen beim Erfüllen von Compliancevorgaben. ForitADC und FortiCache optimieren die Lastverteilung über Webserver und in Content Delivery Netzwerken (CDN). Flexible und hochsichere WLAN-Umgebungen können mit den Thin Access Points FortiAP und den in die FortiGate Serie integrierten WLAN-Controllern realisiert werden. FortiDDoS bietet HighPerformance-ApplicationLayer Abwehr von DDoS-Angriffen, FortiDNS schützt unternehmenseigenen DNS-Server effektiv vor Manipulationen durch Dritte. FortiGuard Subscription Dienste werden von einem weltweit operierenden Team aus Security- Spezialisten entwickelt und aktualisiert und gewährleisten, dass Updates als Reaktion auf aktuelle und künftige Sicherheitsbedrohungen in Echtzeit zur Verfügung stehen. Das Konzept Die Flexibilität der verschiedenen Fortinet- Lösungen und der ausschließliche Fokus auf IT-Sicherheit ermöglichen Unternehmen aller Größenordnungen die Implementierung durchgängiger, höchst leistungsfähiger und kostenoptimierter Security-Infrastrukturen. Ende-zu-Ende-Security wird mit Fortinet-Produkten unkompliziert und kostengünstig realisierbar in einzelnen, überschaubaren Projekt-Etappen, oder durch eine vollständige Migration mit vielen auf umfangreiche Rollouts abgestimmten Tools. Das Schaubild verdeutlicht die unterschiedlichen Einsatzmöglichkeiten, die von hochkomplexen Rechenzentren mit oder ohne Managed Services über kleine und große Unternehmens-Filialen, Home- Office-Absicherung, Mobile Security bis hin zu Remote-Access- Lösungen, Mail-Absicherung und Schutz von Web-Anwendungen reichen, um nur einige wenige zu nennen. FortiGate Fortinet bietet mit der Produktfamilie FortiGate eine ganze Palette von mehrfach ausgezeichneten Appliances für den Schutz von Netzwerken und Applikationen. Die FortiGate Systeme schützen Daten zuverlässig und in Echtzeit vor Netzwerk- und Content-basierenden Bedrohungen. Hier spielen die von Fortinet entwickelten ASIC Prozessoren eine entscheidende Rolle, die die vielfältigen Dienste und Sicherheitsfunktionen der FortiGate-Appliances enorm beschleunigen. Somit lassen sich Bedrohungen durch Viren, Würmer, Exploits, Spyware oder neuartigen sog. Blended Threats, also Kombinationen aus den genannten Angriffsmustern, effektiv bekämpfen und das in Echtzeit! Weitere Funktionen wie umfangreiche und komfortable Applikationskontrolle, URL-Filter, IPSec- und SSL-VPN, Bandbreitenmanagement, WLAN-Controller, integrierte 2-Faktor-Authentifizierung und selbstverständlich eine marktführende Firewall sind fest integrierter Bestandteil aller FortiGate Appliances. Bedrohungsszenarien richten sich nicht nach Unternehmensgrößen, und so bieten alle FortiGate Appliances nahezu denselben Funktionsumfang und dieselbe Bedienung per grafischer Oberfläche oder CLI (Command Line Interface). Die Userunabhängige Lizenzierung aller Module vereinfacht das Netzwerk-Design, ermöglicht Kostentransparenz und den flexiblen Einsatz der Produkte. Auch kleinere Unternehmen profitieren so von Fortinets Erfahrung aus Großprojekten und können so bei sehr gutem Preis-Leistungsverhältnis mit einem hervorragenden Schutz bei außergewöhnlicher Flexibilität Ihre Netzwerke und Daten absichern. FortiGate Funktionen: Firewall VPN IPS/IDP Applikationskontrolle AntiVirus URL-Filter Device & OS Erkennung (BYOD) Client Reputation Schwachstellenmanagement Network Access Control (NAC) WLAN Controller 2-Faktor-Authentifizierung Virtualisierung Voice over IP IPv6-Security Industrie 4.0 Sicherheit Data Leakage Protection Bandbreitenmanagement Layer2&3-Routing WAN-Optimierung SSL Inspection Cloud Security Mobile Security Feldbergstr Frankfurt Telefon: Fax: Ansprechpartner: Doreen Forbrich 77

78 Firmenporträt Elektronische Datenträger physisch vernichten Bei der Entsorgung von digitalen Datenträgern ist Vorsicht geboten, denn unzählige vertrauliche Daten sind auf unseren Computern, USB-Sticks, CDs und DVDs etc. gespeichert. Doch was passiert mit diesen Speichermedien am Ende ihres Lebens? Das Unternehmen HSM GmbH + Co. KG bietet mit dem mechanischen Festplattenvernichter HSM Powerline HDS 150 die perfekte Lösung. Durch das Schreddern der Festplatten wird ausgeschlossen, dass der Datenträger jemals wieder korrekt zusammengebaut werden kann. Mittels Schneidwellen aus schwerem Stahl werden die Festplatten zerquetscht und zerkleinert ein Vorgang ähnlich dem Schreddern von Papier. Die Vorteile eines guten Festplattenvernichters sind neben seiner hundertprozentigen Effektivität die direkte Überprüfbarkeit der Ergebnisse. Nach nur wenigen Sekunden ist das Schreddern der Festplatte abgeschlossen und das Ergebnis ist auf einen Blick sichtbar. Gerade in immer technischer werdenden Zeiten ist es wichtig, eine Möglichkeit zu haben, vertrauliche Daten vor fremden Händen abzuschotten. Denn Festplatten mit Passwörtern, Zeichnungen oder wichtigen Protokollen bergen immer eine potenzielle Gefahr. Selbst wenn diese Dokumente nicht mehr genutzt werden oder überholt sind, dürfen sie häufig nicht in andere Hände gelangen. Für große Unternehmen beispielsweise ist die Nutzung eines Festplattenvernichters daher unverzichtbar. Wer große Mengen von Festplatten zu löschen hat oder die Festplattenvernichtung als Dienstleistung anbieten möchte, kommt nicht darum herum, einen Festplattenvernichter zu kaufen. Das Bundesamt für Datensicherheit spricht sogar Empfehlungen aus, wie Daten sicher vernichtet werden können und bei Festplatten gilt die Devise ausbauen und physisch zerstören. Der kompakte Festplattenvernichter HSM Powerline HDS 150 vernichtet digitale Datenträger in kleinste Streifen und macht eine Wiederherstellung unmöglich sicher, wirtschaftlich und datenschutzkonform. Er benötigt lediglich einen Wechselstrom- Anschluss (230 V), ist mobil auf Rollen fahrbar und eignet sich dadurch auch für die dezentrale Vernichtung von Datenträgern. Die manuelle Eingabe der Datenträger, bis zu 210 Stück pro Stunde, erfolgt in einer komfortablen Arbeitshöhe. Der Auffangbehälter kann zur Entleerung einfach herausgenommen werden. Die Schneidwellen aus gehärtetem Vollstahl zerteilen die zu zerstörenden Datenträger in ca. 40 mm breite Streifen, was nach der DIN den Sicherheitsstufen T-1, E-2 und H-3 entspricht. Der kraftvolle und energieeffiziente Antrieb ermöglicht dauerhaften Betrieb, bei einer geringen Geräuschentwicklung von 57 Dezibel im Leerlauf. Der frequenzgeregelte Direktantrieb erreicht dabei die aktuell höchste Energieeffizienzklasse IE3 und erfüllt bereits heute die ab 2017 geltenden Anforderungen der EU-Verordnungen. Dank der intelligenten Steuerung lassen sich über das Bedienpanel unterschiedliche Funktionsmodi auswählen, damit sich Drehzahl und Drehmoment den Anforderungen der jeweils zu vernichtenden Datenträger anpassen. Der Festplattenvernichter verfügt zusätzlich über einen Energiesparmodus, der den Antrieb und das Display nach fünf Minuten des Nichtgebrauchs abschaltet. Ein Tastendruck auf das Bedienpanel genügt, um das Gerät wieder betriebsbereit zu schalten. Ein weiterer positiver Nebeneffekt bringt der wartungsarme Festplattenvernichter von HSM mit sich, die zerschredderten Festplatten können wieder dem Recyclingkreislauf zugeführt werden. Der Festplattenvernichter HSM Powerline HDS 150 hat einen integrierten Betriebsstunden- und Medienzähler, der mittels Display die Informationen zur Verfügung stellt. Angezeigt werden nicht nur die Dauer der Betriebsstunden sondern auch die Anzahl der vernichteten Festplatten sowie die Anzahl an Behälterleerungen. 78 HSM GmbH + Co. KG Austraße Frickingen Telefon +49 (7554) Fax +49 (7554) info@hsm.eu

79 Firmenporträt Das Institut für Internet- Sicherheit if(is) Seit der offiziellen Eröffnung im Mai 2005 ist das Institut schnell zu einer der bedeutendsten Kompetenzen für Internet-Sicherheit herangewachsen. Rund 50 Mitarbeiter sind aktuell in neun Forschungsbereiche des Instituts involviert. Zusätzlich zählen auch alle Studierenden des institutseigenen Masterstudiengangs Internet-Sicherheit dazu. Ziel des Teams ist es, einen Mehrwert an Vertrauenswürdigkeit und Sicherheit im Internet herzustellen. Forschungsschwerpunkte am Institut für Internet-Sicherheit if(is) Internet-Kennzahlensystem (IKS) Internet-Frühwarnsystem Botnetz-Erkennung Mobile Security Vertrauenswürdige IT-Systeme Moderne Identifikations- und Authentifikationssysteme Vertrauensdienste (Signatur- und Bezahldienste, ) Websicherheit Security for Smart Grid, Smart Car, Smart Traffic, Smart Home Neben den Forschungs- und Lehr tätigkeiten kooperiert das Institut für Internet-Sicherheit mit zahlreichen Größen aus der ITund Internet-Branche. Die Projektpartner schätzen die Expertise und Innovationen des jungen Forscherteams. Zu den Dienstleistungen gehören: IT-Sicherheitsschulungen/ Live-Hacking-Shows Das Institut für Internet-Sicherheit if(is) ist eine innovative, unabhängige und wissenschaftliche Einrichtung der Westfälischen Hochschule. Neben der Forschung und Entwicklung ist das if(is) ein kreativer Dienstleister auf dem Gebiet der Internet-Sicherheit. Auch die anwendungsbe zogene Lehre im einzigartigen Masterstudiengang Internet-Sicherheit ist eine wichtige Aufgabe dieser Einrichtung. Open-ID-Provider PGP-Zertifizierungsinstanz Entwicklung von Studien/ Konzepten Prototypenentwicklung Benchmarking Umfragen Fachartikel Penetrationstests Jüngstes Ergebnis der Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die neue und kostenfreie Sicherheits-App securitynews vom Institut für Internet- Sicherheit, erhältlich im Apple App Store, bei Google Play und im Windows Store. Mit securitynews erhalten Sie automatisch und kostenlos die neuesten Hinweise zu Sicherheitsupdates direkt auf Ihr Smartphone oder Tablet. Zudem gibt Ihnen securitynews ein aktuelles Bild über die Sicherheits- und Schwachstellenlage, so wie sie von unterschiedlichen IT-Sicherheitsexperten eingeschätzt wird. Die integrierte BSI-Schwachstellenampel zeigt beispielsweise Anzahl und Schwere offener Schwachstellen in der gängigsten Standardsoftware. Der kostenfreie Sicherheitsservice ist auch als -Dienst für PC und Mac erhältlich. Weitere Infos zu securitynews unter: Weitere Infos über das if(is) unter: www. internet-sicherheit.de. Der Marktplatz IT-Sicherheit ( ist eine nicht-kom merzielle Plattform des Instituts für Internet-Sicherheit, die sich an Privatanwender und Unternehmer richtet. Sie bietet, neben zahlreichen Sicherheitstipps, die größte Jobbörse der Bran che, hunderte Veranstaltungen und ein großes Branchenverzeichnis für Sicherheitsanbieter und -produkte. Institut für Internet-Sicherheit Neidenburger Straße Gelsenkirchen Telefon: / Fax: / offi ce@internet-sicherheit.de Ansprechpartner: Annette Böning 79

80 Firmenporträt Infoblox Germany GmbH Historie Infoblox ist ein Technologieunternehmen mit Sitz in Santa Clara, Kalifornien und beschäftigt über 700 Mitarbeiter. Mehr als Unternehmen aus nahezu allen Branchen gehören zu den Kunden. Die Lösungen umfassen physische und virtuelle Appliances für DDI-Dienste (DNS, DHCP und IP Address Management), DNS-Security, Netzwerk-Automatisierung, sowie Cloud und Virtualisierung. Infoblox ist laut IDC Marktführer für DDI mit 50 Prozent Marktanteil und der einzige Anbieter unter den Top Vier, der in den letzten drei Jahren Marktanteile hinzugewinnen konnte. Gartner empfiehlt: Unternehmen, die DDI einsetzen wollen, sollten Infoblox in die enge Auswahl nehmen. Portfolio Infoblox stellt kritische Netzwerkdienste bereit. Diese Dienste sichern die DNS-Infrastruktur ab, automatisieren Cloud Deployments und tragen dazu bei, dass die Netzwerke von Unternehmen und Service Providern weltweit verfügbarer sind. Infoblox ( ist Marktführer im Bereich DDI (DNS, DHCP und IP Address Management) und verringert Risiken und Komplexität des Netzwerkbetriebs. Die Virtualisierung von Rechenzentren ist momentan eines der wichtigsten IT-Unternehmensprojekte. Kosten, Verfügbarkeit und Flexibilität treiben die Umstellung voran. Während die Provisionierung und Verwaltung virtueller Server heute derart weit entwickelt ist, dass ein neuer Server innerhalb von Sekunden bereitgestellt werden kann, benötigt die damit zusammenhängende Netzwerk-Infrastruktur noch immer ein manuelles Eingreifen und individuelle Skripte. Besonders die Zuweisung von IP- Adressen, das Updaten der DNS-Einträge und die Inventarisierung etwa von virtuellen Maschinen werden im Netzwerk-Kontext in Unternehmen oft noch von Hand erledigt. Dabei ist eine automatisierte und robuste DDI-Infrastruktur unerlässlich für erfolgreiche virtualisierte Strukturen. Neben der Virtualisierung spielen die Themen IT-Security und Cybercrime eine immer wichtigere Rolle. Allein im vergangenen Jahr sind Infrastruktur-Angriffe auf das Domain Name System (DNS) um 216 Prozent gestiegen. Damit ist ein kritischer Punkt der Unternehmens-Infrastruktur zunehmend exponiert doch die meisten Firmen ignorieren die Tatsache, dass ihr DNS einer steigenden Gefährdung ausgesetzt ist und über DNS-Security-Maßnahmen nachgedacht werden sollte. Infoblox adressiert unter anderem diese beiden Themenschwerpunkte. Infoblox Appliances stellen eine Plattform für zuverlässige, skalierbare, automatisierte und sichere Netzwerke dar. Infoblox bietet physische und virtuelle Appliances, die sich un- 80 Infoblox Germany GmbH

81 ter anderem mit VMware, Cisco AXP und Riverbed RSP Appliances, sowie mit Amazon Web Services implementieren lassen. Die patentierte Infoblox Grid-Technologie verwandelt eine Gruppe von Appliances in eine einfach zu verwaltende Infrastruktur für Netzwerk-Basisdienste. Schwachstellen (Single Point of Failure) werden eliminiert, die Verfügbarkeit der Netzwerkdienste erhöht und alltägliche Routineaufgaben wie beispielsweise Code Updates werden automatisiert. Die gesamte Netzwerkverwaltung wird also intuitiver und schneller, da Unternehmen auf herstellerspezifische Verwaltungslösungen verzichten können. Neben DDI-Funktionen wird auch der Bereich GSLB (Global Server Load Balancing) abgedeckt. Dank Infoblox DNS Traffic Control wird der Datenverkehr je nach Server, Integrität, Verfügbarkeit und Standort intelligent gesteuert. Netzwerk-Administratoren können auch eigene Regeln für das Load Balancing vorgeben, die auf Faktoren wie Verhältnis, Round-Robin-Verteilung oder Netzwerk-Topologie basieren. Die DDI-Lösungen von Infoblox sind auch als virtuelle Appliance für Amazon Web Services erhältlich. Sie ermöglichen eine einheitliche DNS-Verwaltung und IP-Provisionierung in AWS, sowie in Private Clouds und traditionellen Netzwerken. Dies beschleunigt die Provisionierung neuer Workloads in AWS EC2 erheblich, da manuelle Handoffs zwischen Cloud- und Netzwerk- Teams wegfallen. Das Konzept Traditionelle Netzwerke benötigen manuelle Eingriffe, sind fragil und verwundbar. Infoblox sorgt dafür, dass die essenziellen Dienste des modernen Netzwerks, wie DNS, DHCP und IP Address Management, automatisiert, robust und hochperformant werden. Unternehmen und Service Provider weltweit nutzen Infoblox, um ihre Netzwerke effizient zu verwalten und mit Nutzern und Endgeräten zu verknüpfen. So können Kosten reduziert und Sicherheit, Verfügbarkeit sowie Genauigkeit verbessert werden. Im Gegensatz zu konventionellen Ansätzen handelt Infoblox beim Sicherheitskonzept nach folgender Philosophie: Explizit Dienste zulassen und jeglichen nicht notwendigen Dienst unterbinden. Diese defensive Herangehensweise führt zu einer Hardware-Plattform, die von Natur aus abgesichert ist. Berechtigungen können nur dann hinzugefügt werden, wenn die IT dies gestattet. Infoblox-Appliances haben derzeit dutzende DNS-Security-Funktionen, die sie zu den robustesten und sichersten Geräten in der Branche machen. Produktfokus Infoblox Secure DNS Die Secure DNS-Lösung von Infoblox umfasst Internal DNS Security, External DNS Security, sowie die DNS Firewall und den zur DNS Firewall gehörenden FireEye-Adapter. Die Lösungen für das interne und externe DNS ermöglichen unter anderem eine wirksame Verteidigung gegen eine breite Masse von DNS-Attacken wie DNS DDoS, NXDOMAIN, Exploits und DNS Hijacking indem der externe Traffic analysiert und eine mögliche Bedrohung direkt identifiziert wird. Die DNS-Infrastruktur reagiert somit nur noch auf legitime Anfragen. Unternehmen können zudem auf Patches verzichten: Die Infoblox Threat Adapt- Technologie hält sich und die Unternehmensverteidigung automatisch auf dem neusten Stand, noch während sich neue Gefahren herausbilden. Die Verbindung der DNS Firewall mit einer Appliance der FireEye NX-Serie und dem FireEye Multi-Vector Virtual Execution (MVX)-Modul kombiniert die Leistung der FireEye APT-Erkennung mit dem DNS- Schutz inklusive Fingerprinting -Methoden von Infoblox mit dem Ziel, die Kommunikation von APT-Malware zu erkennen, zu unterbrechen und infizierte Geräte zu lokalisieren, die versuchen, auf bösartige Domains zuzugreifen. Kommunikationswege zu Command-and-Control-Sites sowie Botnetzen werden unterbrochen, die Exfiltration von Daten wird verhindert. Dies ist die erste und einzige Lösung auf dem Markt, die leistungsstarke Steuerung auf DNS-Ebene bei von FireEye erkannten APT- Ereignissen bietet. Schutz gegen Volumetrische Attacken * DNS Reflection * DrDoS-Attacken * DNS Amplification * TCP/UDP/ICMP Flooding * NXDOMAIN Low-Volume Stealth * Slow Drip Attacks * Domain Lockup / Phantom Domain Exploits * DNS-basierte Exploits * DNS Cache Poisoning * Protocol Anomalies * Reconnaissance * DNS Hijacking Malware * Advanced Persistent Threat * C&Cs / Botnetze Produkte DNS-Schutz * Internal DNS Security * External DNS Security * DNS Firewall * DNS Firewall - FireEye Adapter Netzwerkdienste * Infoblox DDI * DNS Traffic Control * Network Insight * IPAM for Microsoft * IPAM Express * Infoblox Reporting * Infoblox Grid Hybrid Cloud / Virtualisierung * Infoblox DDI for AWS * Cloud Network Automation * VMware Cloud Adapter * OpenStack Cloud Adapter * Microsoft Cloud Adapter Netzwerk-Automatisierung ung * Infoblox NetMRI * Automation Change Manager The Squaire 12 / Am Flughafen Frankfurt Telefon 069/ Fax 069/ sales-emeacentral@infoblox.com 81

82 Firmenporträt iqsol GmbH sorgt für Sicherheit auf allen Ebenen Bedrohungen für die IT gehen von Cyberkriminellen ebenso aus wie von unachtsamen Mitarbeitern und sogar der Umwelt. Die österreichische iqsol GmbH, unabhängiger Hersteller von IT-Security-Lösungen, hat daher ein Produktportfolio geschaffen, das in Unternehmen, Behörden und Organisationen den Schutz auf mehreren Ebenen und gegen verschieden geartete Gefahren erhöht auch als Managed-Security-Service. Log-Analyse als Basis einer guten Überwachung Eine Renaissance erlebt aktuell das Log- Management, das eben nicht nur einfach Logs verwalten und analysieren, sondern diese auch revisionssicher gemäß Compliance- Richtlinien archivieren können sollte. Wer einen Schritt weiter geht, der sucht sogar nach der Möglichkeit, kritische Vorfälle an Servern und Systemen durch Korrelierung und Alarmierung zuverlässiger aufdecken und künftig verhindern zu können. Stichwort: Security-Information- und Event-Management (SIEM). iqsol deckt mit der LogApp sowohl das einfache Log-Management als auch SIEM vollständig ab. Mit dem Zusatzmodul HoneyApp, welche drei HoneyPot-Systeme umfasst, werden Trojaner und Botnetze angelockt und so bisher unbekannte Gefahren im Netz identifiziert. Alarmierung erlaubt das schnelle Eingreifen Apropos Alarmierung: Gibt es auf Servern, Netzwerkgeräten oder in Applikationen Vorkommnisse, die dort nicht sein sollten, muss der zuständige Administrator umgehend informiert werden. Nur so kann er eingreifen und Schlimmeres verhindern. Der Alert-Messaging- Server (AMS) von iqsol überträgt daher Informationen und Meldungen aus IT-Systemen nachvollziehbar auf mobile Geräte und erreicht Admins im Notfall jederzeit. Dank stetiger Weiterentwicklung kommt der AMS heute auch in Anwendungsfällen wie der sogenannten Enterprise Notification zum Einsatz, wenn im Brandfall oder im Rahmen von Übungen nicht mehr nur Administratoren, sondern per Massen-SMS-Versand die gesamte Belegschaft informiert wird. IT-Shutdown und -Wiederanlauf im Krisenfall Brände, Blitzeinschläge oder plötzliche Stromausfälle können Systeme und Daten vernichten und Geld sowie Image kosten. Sogenannte Blackouts sind aufgrund verschiedener Beispiele aus der Wirtschaft in aller Munde: VW-Produktionsstätten fielen aus, das belgische Rechenzentrum von Google musste einen Datenverlust eingestehen und das bei höchsten Sicherheitsvorkehrungen. Mitarbeiter, die ihren Dienst nicht mehr tun können, Daten, die Dieben auf dem Serviertablett präsentiert werden schlimmer kann es für Unternehmen kaum kommen. Mit der PowerApp hat iqsol eine USV-Power-Management- Appliance entwickelt, die im Krisenfall eingreift. Dabei werden kritische Infrastrukturen geschützt, indem Server, Systeme und Applikationen auf Basis des USV-Sta tus bzw. abhängig von Umgebungssensoren automatisiert herunter- und wieder hochgefahren werden. Ebenfalls können Daten in ein zweites Rechenzentrum verschoben und Notfälle durch die Simulation des Shutdown-Szenarios geprobt werden. Durch die Zusatz-Appliance PowerNode sind dabei auch kleinere Außenstellen auf der sicheren Seite, da auch Umweltsensoren eingebunden werden können. Sicherheit auslagern und höchsten Schutz genießen Die Lösungen der iqsol GmbH sind deutschlandweit bei namhaften Distributoren, Resellern und OEM-Partnern erhältlich. Sie bieten auch die Integration sowie Training, Support und Wartung. Ebenfalls stehen Partner in der Schweiz, in Österreich sowie in der Slowakei, in Tschechien und Slowenien zur Seite. Um eine noch bessere Verfügbarkeit anbieten zu können, wurde zudem eine Kooperation mit der pegasus IT GmbH eingegangen, die als Managed- Security-Service- Provider Betrieb und Verwaltung von PowerApp, AMS und LogApp mit 24x7-Verfügbarkeit bietet. 82 iqsol GmbH Oed Oed-Oehling Österreich Telefon / Ansprechpartner: Jürgen Kolb

83 Firmenporträt Der MAXXeGUARD Schredder die ultimative Lösung für die Festplattenvernichtung! Der MAXXeGUARD wurde speziell entwickelt, um die drei grundlegenden Vernichtungskriterien zu erfüllen, die da sind: Erfüllung der höchsten Sicherheitsstandards. Vorgesehen für den Einsatz im Büroumfeld, um das Risiko des Transports Ihrer sensiblen Daten außerhalb Ihrer Räumlichkeiten zu umgehen. Echte Nachverfolgbarkeit der Vernichtung: Der MAXXeGUARD Schredder kann so ausgestattet werden, dass er einen (maschinell erstellten) Vernichtungsbericht liefert. In den vergangenen Jahren war eine Zunahme der Datenschutzregelungen zu beobachten. Ein Trend, der sich zweifellos fortsetzen wird. Zusammen mit der höheren Datendichte stellt dies jede Organisation vor die Herausforderung, digitale Datenträger sachgemäß zu entsorgen. Was wiederum bedeutet, dass die Entsorgungskosten nicht mehr ganz so einfach zu berechnen sind. Schließlich sollte man nun auch die Kosten potentieller Datenschutzverstöße und die (finanziellen) Konsequenzen der Schädigung des eigenen Ansehens berücksichtigen (die sich auf Millionenbeträge summieren könnten). Der MAXXeGUARD Schredder wurde 2011 erstmals vorgestellt. Er ist anders als jeder andere Schredder auf dem Markt Seine Schnittlänge ist regulierbar, er ist leise, er läuft mit 220 V Einphasenspannung, und er wird allen bestehenden Sicherheitsstandards gerecht. Der MAXXeGUARD Schredder versetzt Ihre Organisation in die Lage, veränderten Standards und Regelungen vorzugreifen. Die einzigartige Fähigkeit, die Schnittlänge zwischen 70 und 1 mm zu regulieren, ermöglicht die Vernichtung sowohl von nicht vertraulichen als auch von vertraulichen Daten. Dank seines einzigartigen Klingendesigns wird ein Dreifachvorgang aus Komprimieren, Deformieren und Schneiden durchgeführt. Bei der sachgemäßen Vernichtung digitaler Datenträger müssen verschiedene Fragen berücksichtigt werden. Die wichtigste betrifft das erforderliche Sicherheitsniveau. Sind die zu vernichtenden Daten vertraulich oder nicht? Wenn die Daten vertraulich sind, sind Löschen und Entmagnetisieren als Vernichtungsmethoden sicher nicht zu empfehlen. Die physische Vernichtung ist der beste Weg, vorausgesetzt, dass bei der gewählten Vernichtungsmethode die für das Sicherheitsniveau der Daten angemessene Partikelgröße garantiert ist. Sicherheitsstandards wie EADMS und DIN geben Anleitung im Hinblick auf die für das jeweilige Sicherheitsniveau empfohlene Partikelgröße. Es ist wichtig, diese Standards genau zu prüfen, um zu sehen, welcher dem für Ihre Organisation erforderlichen Sicherheitsstandard entspricht. Ein Beispiel: Standard H5 in DIN verlangt für 90 % der Partikel eine Größe von weniger als 320 mm 2, erlaubt aber für 10 % eine Größe von bis zu 800 mm 2! Schon dadurch allein scheidet H5 als akzeptabler Standard für vertrauliche Daten aus. Der Vernichtungsnachweis ist ein wesentliches Element der Kontrollkette. Es ist wichtig zu wissen, dass die Datenträger tatsächlich vernichtet wurden und welcher Sicherheitsstandard dabei zur Anwendung kam. Wenn Sie einen externen Dienstleister beauftragen, ist es wichtig zu wissen, welchen Sicherheitsstandard dieser anwendet und ob es sich bei dem Vernichtungsnachweis, den Sie bekommen, nicht doch nur um eine Eingangsbestätigung handelt. Der MAXXeGUARD Schredder kann mit der einzigartigen Möglichkeit ausgestattet werden, für jedes geschredderte Objekt einen maschinell erstellten Bericht zu liefern, inklusive fotografischer Beweise aus dem Inneren des Geräts. Der Besitz eines eigenen MAXXeGUARD versetzt Sie in die Lage, ersetzte Datenträger sofort zu zerstören (was das Risiko des Verlusts während der Aufbewahrungszeit beseitigt), den Vernichtungszyklus im eigenen Haus durchzuführen (sodass Ihre Datenträger Ihre Räumlichkeiten nicht verlassen) und selbst den angemessenen Sicherheitsstandard festzulegen. Abgeschlossen wird der gesamte Prozess durch den maschinell erstellten Vernichtungsbericht. Keinerlei Zweifel, 100 %ige Sicherheit! MAXXeGUARD Data Safety BV Smedenweg DA Nieuw Vennep Telefon: info@maxxeguard.com 83

84 Firmenporträt Ihr Spezialist für Datenschutzmanagement, Informationssicherheit und IT & Business Die migosens GmbH mit Sitz in Mülheim an der Ruhr wurde 2005 gegründet und ist ein spezialisiertes Beratungsunternehmen in den Bereichen Datenschutzmanagement, Informationssicherheit und IT & Business. Darüber hinaus betreibt sie für diese Bereiche eine Fachakademie für kompetente und praxistaugliche Wissensvermittlung und Fortbildung. Imageverlust oder zu einem signifikanten finanziellen Schaden führen. Ein ISMS nach ISO hilft Ihnen, das Thema strukturiert und Risiko orientiert zu managen und ein angemessenes Informationssicherheitsniveau sicherzustellen. Unser Mehrwert für Sie ist, dass wir uns individuell auf Sie einstellen und unsere Erfahrung aus verschiedenen Branchen und Unternehmensgrößen für Sie maßgeschneidert einsetzen können. Dabei achten wir trotzdem auf eine effiziente Beratung durch den Rückgriff auf Standards und Best Practice Leitfäden. Wir bieten Ihnen alle Leistungen - von der Datenschutzberatung über die Informationssicherheit bis hin zur strategischen IT Managementberatung - aus einer Hand. Neben dem Business steht bei uns vor allem der Mensch im Mittelpunkt als Kunde, Mitarbeiter und Partner. Das spiegelt sich auch in unserem Engagement Wissen vermitteln wider, denn begleitend zu unseren Dienstleistungen bieten wir mit der migosens Akademie neben fachspezifischen Schulungen und offenen Seminaren auch individuelle Inhouse-Schulungen an. Langfristige Kooperationen mit unseren Kunden und Partnern sowie die aktive Mitarbeit in Fachverbänden (GDD, DGQ, GPM, Bitkom, etc.) sind für migosens sehr wichtig, denn hier vertreten wir auch die Interessen unserer Kunden. Datenschutzmanagement ist die Steuerung der Gesamtheit der datenschutzrechtlichen, -technischen und -organisatorischen Anforderungen an ein Unternehmen oder an einzelne Abteilungen. Mit dem idsms dem integrierten Datenschutz Management System bietet die migosens ein organisatorisches Framework zur Sicherstellung der datenschutzrechtlichen Anforderungen im Unternehmen. Der integrative Ansatz hilft dabei, Synergien zu nutzen und den Aufwand für alle Beteiligten zu reduzieren. Insbesondere die gleichzeitige Implementierung des idsms mit einem ISMS (Information Security Management System) bspw. gemäß ISO 27001s c h a ff t deutliche Mehrwerte für Ihr Unternehmen. Wir bei der migosens GmbH unterstützen und beraten Unternehmen bei der Umsetzung der datenschutzrechtlichen Anforderungen. Auf unserer Internetseite finden Sie einen Auszug unserer Referenzen. Informationssicherheitsmanagement mittels eines ISMS (engl. Information Security Management System) unterstützt Sie bedarfsgerecht und angemessen, um Ihre Unternehmensinformationen zu schützen. Informationen im Unternehmen sind heutzutage mit das wichtigste Kapital; ein Ausfall oder Diebstahl kann schnell zum Mit unserer Zertifizierungserfahrung als zugelassene TÜV-Auditoren unterstützen wir Sie in allen Phasen der Einführung und des Betriebs eines ISMS mit effizienten und praxisgerechten Lösungen. Darüber hinaus verfügen unsere Mitarbeiter auch über hervorragende Kenntnisse der Anforderungen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Unsere Mitarbeiter haben neben einem hohen Spezialisierungsgrad auch immer den Blick für das große Ganze und greifen in ihrer Arbeit auf jahrelange Erfahrung aus den verschiedensten Branchen und Kundenprojekten zurück. Sprechen Sie uns einfach an und lernen Sie uns kennen. Wir freuen uns auf Sie! Weitere Informationen über uns finden Sie auf und 84 migosens GmbH Dessauer Str Mülheim Telefon: Fax: office@migosens.de Ansprechpartner: Heiko Gossen

85 Arbeitnehmerdatenschutz aktuelles Recht Gola/Wronka Handbuch Arbeitnehmerdatenschutz Rechtsfragen und Handlungshilfen 6. überarbeitete und erweiterte Auflage Seiten Hardcover 17 x 24 cm 119,99 inklusive E-Book und zweier Webinare als Download ISBN Das Handbuch macht das komplexe Zusammenwirken arbeitsrechtlicher Bestimmungen mit den Normen des BDSG und weiteren datenschutzrechtlichen Geboten und Verboten überschaubar. Umfassende Verweise auf die aktuelle Rechtsprechung sowie Literaturhinweise sind in den Text eingearbeitet und leserfreundlich grafisch hervorgehoben. Zahlreiche Praxisbeispiele aus der Rechtsprechung, Betriebsvereinbarungen und Empfehlungen der Aufsichtsbehörden geben Hilfestellung zur Lösung konkreter Fragestellungen. Peter Gola Datenschutz am Arbeitsplatz Rechtsfragen und Handlungshilfen beim Einsatz von Intranet, Internet, , Telefon, Big Data, Social Media 5. überarbeitete und erweiterte Auflage 2014 ca. 270 Seiten, Hardcover, 17 x 24 cm ca. 59, inklusive E-Book als Download Diese Praxishilfe stellt die datenschutzrechtlichen Regelungen im Arbeitsverhältnis dar und bietet Tipps für die Umsetzung im Unternehmen. Themen wie z.b. Persönlichkeitsschutz im Arbeitsverhältnis, GPS-Ortung, offene / verdeckte Videoüberwachung und Mitarbeiterdaten im Internet werden diskutiert und Lösungen aufgezeigt. Neu aufgenommen wurden die Themen: Big Data für das Personalmanagement BYOD und mobile Arbeit DATAKONTEXT GmbH Tel / Fax 02234/ bestellung@datakontext.com 85

86 Firmenporträt Professionelle Remote-Access-VPN-Lösung mit hohem Rationalisierungspotenzial Abb. 1: VPN Client Suite einfach universell Mit Lösungen made in Germany auf Basis von NCPs Next Generation Network Access Technology gestaltet die NCP engineering GmbH aus Nürnberg den Fernzugriff auf Netze von Firmen, Institutionen und Behörden. Einfach und sicher ohne Hintertürchen zu den Spähprogrammen in- und ausländischer Geheimdienste und mit maximalem Schutz vor Datenkriminalität. Abb. 2: VPN-Box bietet Schutz für vertrauliche Dokumente Bereits seit 29 Jahren konzentriert sich der Remote-Access-Spezialist auf die Entwicklung von universell einsetzbaren Software- Komponenten für die Bereiche Mobile Computing, Teleworking, Filialvernetzung, M2M, Industrie 4.0 und Cloud Computing. Dabei orientiert sich NCP alleine an den Kundenwünschen nach Benutzerfreundlichkeit, Kompatibilität und Wirtschaftlichkeit aller Remote-Access-Komponenten in einem Virtual Private Network (VPN). Benefits Anwendernutzen im Vordergrund für alle VPN-Clients- und Server-Komponenten Wirtschaftlichkeit durch ein einmaliges, zentrales Remote Access Management Hohe Modularität und Skalierbarkeit aller Software-Komponenten Sicherheit made in Germany und BSIzugelassen Universell und wirtschaftlich Die NCP VPN-Lösungen lassen sich über das NCP Secure Enterprise Management zentral managen. Dies verringert den Administrationsaufwand, gleichzeitig profitieren die Kunden von niedrigen Betriebskosten. Benefits Automatisierter Massen-Rollout Zertifikats- und Lizenzmanagement Integrierte Zwei-Faktor-Authentifizierung Fluktuations- und Change Management per Klick Integrierter RADIUS-Server Überprüfung und Durchsetzung der Sicherheits-Policy im Corporate Network Hohe Skalierbarkeit Mandantenfähig Einfache Virtualisierung Einfacher Zugriff auf das Netzwerk Mit nur einem Klick greift der Benutzer auf das Firmennetz zu. Die VPN Client Software übernimmt automatisiert die Einwahl ins Internet, den Aufbau des VPN-Tunnels, die Auswahl des Übertragungsnetzes und die Auswahl der jeweils zutreffenden Firewall-Regel. Der Client ist kompatibel zu allen marktgängigen IPsec- VPN-Gateways und unterstützt die Betriebssysteme Windows 8/7/Vista/XP, OS X, Linux, Android sowie Windows Mobile. Sicheres Mobile Computing nach VS-NfD-Richtlinien Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich können ihren Mitarbeitern über die vom BSI zugelassene NCP Secure VPN GovNet Box flexiblen, hochsicheren Zugriff auf VS-NfD eingestufte Daten gewähren. Die VPN-Box ist ausgestattet mit einem kapazitiven PIN- Pad, einem Smart Card Reader sowie LAN/ WLAN und 3G. VPN out of the Cloud: Wolke 7 für Provider und Anwender Der Multi-Company Support (Mandantenfähigkeit) prädestiniert das Secure Enterprise Management für den Einsatz bei Managed Security Service Providern (MSSP) bzw. in Cloud-Umgebungen oder in Remote-Access-Strukturen, wo mehrere Firmen gemeinsam eine VPN-Plattform nutzen (VPN Sharing). Benefits Softwarebasierte, virtualisierbare VPN-Lösung Hohe Skalierbarkeit Mandantenfähigkeit Zentrales VPN-Management Single Point of Administration Leistungsstarkes Change Management Hoher Kompatibilitätsgrad End-to-Site-Sicherheit Zwei VPN-Technologien plus High Availability Services Als zentrale Plattform für den Fernzugriff aller Endgeräte mit Android, ios, Windows, Linux u.a. unterstützt der NCP Secure Enterprise VPN Server sowohl IPsec- als auch SSL-Technologie. High Availability Services sorgen für die Verfügbarkeit aller Systeme und deren gleichmäßige Auslastung. 86 NCP engineering GmbH Dombühler Str Nürnberg Telefon: 0911/ Fax: 0911/ info@ncp-e.com Ansprechpartner: Jürgen Hönig

87 Firmenporträt 8MAN schafft unternehmensinterne Sicherheit Nur ein sicherer Mitarbeiter ermöglicht ein sicheres Unternehmen Unternehmen haben es bisher versäumt, der potenziellen Schwachstelle Mensch richtig zu begegnen. Heute leiden sie deshalb unter gewachsenen und unübersichtlichen Datenstrukturen auf Servern, durch die Daten verloren gehen. Weiter haben oft ehemalige Mitarbeiter, auch nach ihrem Austritt aus der Firma, noch immer Zugriff auf Daten, wie zum Beispiel auf Umsatzzahlen oder Produktlisten. Auch die dynamische Personalpolitik, in der Mitarbeiter flexibel einsatzfähig sein müssen und von Abteilung zu Abteilung wandern, muss im Berechtigungsmanagement flexibel abgebildet werden. Datenjäger kennen den Angriffspunkt Mensch nur zu gut und nutzen ihn aktiv. Attacken auf Unternehmensdaten, die sich Eigenschaften von Menschen, wie Höflichkeit, Gutgläubigkeit oder Freundlichkeit zunutze machen, werden immer beliebter. Zu den Methoden gehören zum Beispiel Anrufe unter falschen Identitäten oder fingierte s. Sie führen schnell dazu, dass Mitarbeiter Passwörter oder aktuelle Interna preisgeben. Dieses sogenannte Social Engineering, hat sich in unserer digitalen Datensicherheit in Unternehmen ist spätestens seit Edward Snowden zu einem großen Thema und zu einem großen Geschäft geworden. Doch bei allen Versuchen und vielfältigen Angeboten, Informationen technisch zu sichern, wird eine gewaltige und unberechenbare Sicherheitslücke im Unternehmen oft vergessen: Der eigene Mitarbeiter. Welt längst zu einer erfolgreichen Variante des Diebstahls entwickelt neben weiteren, bisher eher unbekannten Bedrohungen, wie beispielsweise dem Advanced Persistent Threat (APT). 8MAN strukturiert, administriert und dokumentiert Eine Begrenzung des Datenzugriffs sowie klare und übersichtliche Zugangsstrukturen können Gefahren für die innere Datensicherheit dauerhaft minimieren. Die Berechtigungsmanagement Technologie 8MAN sorgt dafür, dass Datenstrukturen auf einen Blick sichtbar werden, und effizient verwaltet werden können. Hierfür ermöglicht 8MAN das Visualisieren und Analysieren, das Administrieren und Delegieren, das gesetzlich relevante Dokumentieren und Reporten aller Zugriffsrechte. 8MAN zeigt die Berechtigungen aller Nutzer im Active Directory und auf Fileservern sowie auf Exchange, SharePoint und vsphere an. Innerhalb weniger Stunden kann 8MAN in nahezu jede Microsoft Systemlandschaft und in vsphere implementiert werden. Damals, heute, morgen Die umfassenden Möglichkeiten der Technologie Made in Germany sind neu: Vor der 8MAN-Idee waren Lösungen für das Berechtigungsmanagement komplex, wenig transparent und ressourcenintensiv. Heute wird der Berechtigungs-Workflow in die Fachabteilungen delegiert. Das sorgt für enorme Erleichterung in den häufig ausgelasteten IT-Abteilungen. Damit das so bleibt, wird 8MAN immer weiter entwickelt und durch die Zusammenarbeit mit Technologiepartnern immer mehr zu einer Sicherheitsplattform ausgebaut. Gezielte Innovationen, große Nähe zum Kunden und eine verständliche Darstellung der Ergebnisse sind die wichtigsten Treiber für kontinuierliches Wachstum und Erfolg: Bisher realisierte das Team um Stephan Brack und Matthias Schulte-Huxel so mehr als 700 Kundenprojekte. Vertrieben wird die Lösung über ein ständig wachsendes Netzwerk von qualitativen Partnern. In Zukunft möchte der Marktführer im Berechtigungsmanagement weitere Unternehmensbereiche sowie Entwicklungen von Technologiepartnern in das Protected Networks Sicherheitskonzept mit einbeziehen und 8MAN mit weiteren Zielsystemen verbinden: für ein vollständig sicheres Unternehmen. Protected Networks GmbH Alt-Moabit Berlin Telefon: 030/ Fax: 030/ Ansprechpartnerin: Evelyn Seeger 87

88 Firmenporträt IT-Risikomanagement muss tagesaktuell sein. Systematik in der Bearbeitung millionenfacher sicherheitsrelevanter Daten, Exzellenz in der Risikoerkennung und ein klares Risikobild auf Knopfdruck sind zentrale Erfolgsfaktoren. Harald Reisinger, Geschäftsführer bei RadarServices Managed Security Services der nächsten Generation RadarServices ist Europas führender Anbieter für kontinuierliche und vorausschauende IT-Sicherheitsüberprüfung und IT-Risikoerkennung als Managed Service. Die Services kombinieren die automatisierte Erkennung von IT-Sicherheitsproblemen und -risiken mit der Analyse und Bewertung durch Experten. Daten verlassen dabei niemals das Kundenunternehmen. Für die Einrichtung, Konfiguration und den täglichen Betrieb sind keine zusätzlichen personellen oder finanziellen Ressourcen notwendig. Früh wissen, was passiert - die angebotenen Services IT Security Monitoring: IT-Sicherheit ist heute die Voraussetzung für nachhaltigen Unternehmenserfolg. Zum Schutz der Daten werden zahlreiche Maßnahmen getroffen. Durch die umfassende Vernetzung der IT-Systeme entstehen jedoch ständig neue Einfallstore für Angriffe von innen und außen. Ein kontinuierliches und zentrales IT Security Monitoring der IT-Infrastruktur und ihrer Komponenten ist unabdingbar. IT Security Monitoring von RadarServices überwacht laufend die gesamte IT- Infrastruktur und bewertet alle Ereignisdaten, sucht gezielt nach Schwachstellen in Systemen und deren Konfiguration, analysiert intelligent den Netzwerkverkehr und prüft Server auf Veränderungen sowie unerlaubte Software und unterzieht eingehende s einer genauen Prüfung. IT Risk Detection: Die Anforderungen an das Risikomanagement eines Unternehmens und der Anspruch des Managements an eine klare Nachvollziehbarkeit von Risiken und deren Behebung steigen laufend an. Ein punktuelles Risiko-Audit reicht längst nicht mehr aus. Unternehmen und Organisationen müssen über eine tagesaktuelle Sicht auf ihre Risiken verfügen, um in einem Umfeld von Unsicherheit und laufender Veränderung zu bestehen. IT Risk Detection von RadarServices erfasst, analysiert und bewertet kontinuierlich und rund um die Uhr Risiken in der IT-Infrastruktur und bezieht dabei die Wichtigkeit von IT-Infrastruktur- Komponenten mit ein, enthält klare Darstellungen über deren Auswirkungen auf die IT-Leistungserbringung (IT-Services) und leitet Risiken für Geschäftsprozesse ab, integriert einen IT-Risikomanagement Workflow zur nachvollziehbaren Bearbeitung der Risiken und präsentiert die IT-Risikogesamtsicht tagesaktuell, umfassend, transparent und auf Knopfdruck im Risk & Security Cockpit. Advanced Cyber Threat Detection: Cyber- Angriffe nutzen das Internet und als primäre Bedrohungsvektoren, um wichtige Systeme im Unternehmen zu gefährden und Daten zu stehlen. Dies gelingt durch neuartige Malware in Downloads oder E- Mails, die durch signaturbasierende Systeme allein nicht erkannt wird. Hinzu kommt das Risiko von Insider-Threats. All diese Gefahren müssen im gesamten Netzwerk erkannt und zentral ausgewertet werden. RadarServices verwendet im Rahmen der Advanced Cyber Threat Detection mehrere Systeme zur signatur- und verhaltensbasierenden Analyse von Netzwerkverkehr und Sandbox-Technologien der neuesten Generation zur Analyse aller eingehenden Attachments, 88 Radar Services

89 eine Advanced Correlation Engine, die auf Basis des Netzwerkverkehrs und Events mittels statistischer Modelle, rekursiver Methoden und selbstlernender Algorithmen zwischen normalem und abnormalem Verhalten unterscheidet sowie Muster erkennt und das Knowhow der Intelligence Mitarbeiter, welche alle Erkenntnisse analysieren, verifizieren und aggregieren. Cyber Security Log Management: Die Komplexität der Unternehmensnetzwerke wächst. Täglich entstehen Millionen oder sogar Milliarden von Events in Form von Logs, die zumeist dezentral gespeichert werden. Die Herausforderung besteht im Herausfiltern von relevanten Informationen zu Richtlinienverletzungen, gefährlichen Vorgängen, Bedrohungen und abnormalem Verhalten. RadarServices bietet mit dem Cyber Security Log Management eine kontextbezogene Überwachung der gesamten IT-Infrastruktur, auf Basis von gesammelten und mittels Advanced Correlation Engine in Echtzeit analysierten Log-Daten aus verschiedensten Quellen, mit dem Resultat einer Reduktion aller Events auf die tatsächlich relevanten Incidents und inklusive Priorisierung und Hinweisen zur sofortigen Behebung durch das Intelligence Team. Im Ergebnis stehen konsolidierte und verifizierte IT-Risiko- und Sicherheitsinformationen sofort für den Behebungsprozess zur Verfügung. False positives und false negatives wurden eliminiert. Jederzeit den Überblick behalten Die entscheidenden IT-Risiko- und Sicherheitsinformationen werden zentral im Risk & Security Cockpit präsentiert. Es beinhaltet Berichte und Statistiken in der gewünschten Detailtiefe: einen einseitigen Überblick für einen Vorstand oder Geschäftsführer oder eine Zusammenstellung aus dem weitreichenden Angebot an Berichten und Statistiken für IT-Teams. Echtzeit-Alarmierungen werden auf Basis von festgelegten Schwellwerten ausgelöst. RadarServices hat seinen Hauptsitz in Österreich und Büros in Deutschland, Polen, Russland und den Vereinigten Arabischen Emiraten. Kunden sind gelistete und nicht gelistete Unternehmen, u.a. Banken, Versicherungen, Logistik- und Industrieunternehmen, Betreiber kritischer Infrastrukturen, Behörden und staatliche Einrichtungen. RadarServices ist zu 100% im Eigentum europäischer Investoren aus der Privatwirtschaft. Ein Maximum an technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Daten, die RadarServices für seine Kunden analysiert, spiegelt die gelebte Verantwortung wider. IT-Security Monitoring und Risk Detection durch RadarServices bedeutet: Kontinuität. Risiken und Sicherheitsprobleme werden entdeckt sobald sie entstehen, nicht Tage, Wochen oder Monate später. Gesamtheit. Es werden zahlreiche Informationsquellen für sicherheitsrelevante Informationen einbezogen. Mit System an die entscheidenden Informationen Der mehrstufige Prozess umfasst die automatisierte IT-Sicherheitsüberwachung und Risikoerkennung rund um die Uhr: Korrelation, Cross-Korrelation und Aggregation von Ereignissen aus Security Information & Event Management (SIEM) und Logging, Advanced Cyber Intrusion Detection (ACID), Host-based Intrusion Detection System (HIDS), Vulnerability Management and Assessment (VAS), Software Compliance (SOCO) und Advanced Threat Detection (AETD). Die automatisiert erlangten Erkenntnisse werden dann vom Risk & Security Intelligence Team, unsere Experten für die Risiko- und Sicherheitsanalyse, in vorab definierten Intervallen bewertet. Top-Risiken werden immer sofort analysiert. IT-Security made in Europe Genauigkeit. Unsere Services sind auf die Bedürfnisse eines Kunden maßgeschneidert und liefern sofort anwendbare Risiko- und Sicherheitsinformationen. Aktualität. Unsere Risikobewertungen und Empfehlungen sind immer up-todate. Effizienz. Wir entlasten interne IT-Teams spürbar, sodass sie sich auf ihr Kerngeschäft konzentrieren können. Taunustor Frankfurt am Main Telefon: Fax: sales@radarservices.com Ansprechpartnerin: Dr. Isabell Claus 89

90 Rhenus dataserv Gmbh asset Recovery services und It-Remarketing durch die rasante technische entwicklung sind viele unternehmen und behörden heute in der Pflicht, ihre vorhandene It-Infrastruktur kontinuierlich anzupassen. doch was geschieht mit dem alten equipment, wenn PCs, notebooks, monitore, drucker, server oder mobilfunkgeräte erneuert und ausgetauscht werden sollen? Wer wir sind als teil der weltweit im Logistikbereich tätigen Rhenus se & Co.KG bietet die Rhenus dataserv Gmbh vielfältige dienstleistungen rund um die It-umstellungen. Wir sind Full-service-dienstleister für die Rücknahme und Wiedervermarktung von gebrauchter It-hardware und mobilfunkgeräten und sorgen dafür, dass altgeräte professionell für die Wiederverwendung aufbereitet werden. Rhenus dataserv GmbH Fakten und Zahlen Im asset Recovery -Geschäft seit 1993 (uk) bzw (d) Globale It- asset Recovery -Lösungen und It-Remarketing-services Im Jahr 2014: Geräte behandelt, tonnen Weee verwertet Geprüfte globale Partnerschaften It-unternehmen im top500-ranking des Gartner Global magic Quadrant Logistik Komfortable Abholung beim Kunden Weltweites Logistiknetzwerk Asset-Audit Bewertung des optischen und funktionalen Gerätezustands Löschung/Aufbereitung Unwiderrufliche Löschung DOD- & BSI-konform Wiedervermarktung Weltweiter Vertrieb Zusätzliche Budgets für den Kunden Entsorgung Vernichtung und Wiederverwertung defekter Komponenten Reporting & Zertifikate Lückenlose, revisionssichere Dokumentation aller Prozesse Bereitstellung auf Geräte- oder Projektebene Sie haben Fragen oder interessieren sich für unsere Dienstleistungen? Sprechen Sie uns an wir sind für Sie da! Rhenus dataserv Gmbh hohewardstraße herten deutschland telefon: +49 (0) Fax: +49 (0) Webseite:

91 Firmenporträt Rohde & Schwarz: Ausgezeichneter Abhörschutz für Netzwerke Rohde & Schwarz ist einer der international führenden Anbieter von IT-Verschlüsselungslösungen. Das Unternehmen entwickelt, produziert und vertreibt weltweit Verschlüsselungsprodukte und IT-Sicherheitslösungen für Unternehmen und Behörden. Zum Produktportfolio zählen Ethernet-Verschlüsseler für WANund Backbonenetze und Next-Generation Firewalls. Zur Produktpalette gehört zudem ein Kryptohörer, der Telefonate mit Android-Smartphone, iphone, Windows Phone und Blackberry abhörsicher verschlüsselt. SITLine ETH schützt Netzwerke und Investitionen Big Data und Cloud-Technologien sind ein wichtiger Erfolgsfaktor für Unternehmen. Die Chancen der Digitalisierung kann aber nur nutzen, wer auch die einhergehenden Risiken beherrscht. Für die digitale Infrastruktur hinter Cloud und Co. hat Rohde & Schwarz eine Sicherheitslösung entwickelt, die Datennetze und Rechenzentrums-Anbindungen abhörsicher verschlüsselt und dabei die Leistungsfähigkeit der Netze nicht einschränkt. Die Netzwerkverschlüsseler der R&S SITLine ETH-Serie von Rohde & Schwarz schützen Weitverkehrsnetze und Verbindungen zwischen Rechenzentren mithilfe modernster kryptografischer Methoden und Hochleistungstechnik vor Hacker-Angriffen. Der Vorteil: Geräte der SITLine ETH-Reihe ergänzen bestehende Netzwerke mit hochsicherer Hardware-Verschlüsselung und wachsen bei steigenden Leitungs-Bandbreiten einfach mit. Diese Skalierbarkeit sorgt für Zukunftssicherheit und schützt IT-Investitionen. Spitzentechnologie Made in Germany Mit nur 3µs Latenz für die Verschlüsselung ist das SITLine ETH ideal geeignet für RZ- Konsolidierung, Desktop- und Server-Virtualisierung, Storage Area Networks sowie Private Cloud-Szenarien. Ob Kupfer oder Glasfaser, 1 Gbit- oder 10 Gbit-Ethernet: IT- Verantwortliche können die für ihre derzeitigen Geschäftsanforderungen passende Lösung auswählen und den Durchsatz bei Bedarf erhöhen. Der Krypto-Durchsatz wird ohne Gerätetausch per Software-Upgrade angepasst auf bis zu 40 Gbit/s pro Gerät. Verschlusssachen sichern Behörden und Verwaltungen, die zunehmend mit wachsenden Datenmengen umgehen müssen, sind mit dem SITLine ETH bestens gerüstet: Die Netzwerk-Verschlüsseler der SITLine ETH-Reihe sind vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Verarbeitung von VS-NfD und NATO RESTRICTED eingestuften Daten zugelassen. Im Mai 2015 erhielt Rohde & Schwarz SIT für das SITLine ETH40G den Deutschen Rechenzentrumspreis in der Kategorie Rechenzentrums-IT und Netzwerk-Infrastruktur. Rohde & Schwarz SIT GmbH Am Studio Berlin Tel.: 030/ Fax: 030/ info.sit@rohde-schwarz.com Ansprechpartner: Christian Reschke 91

92 Firmenporträt Weiterbildung ist die beste Verteidigung SKYTALE, die Online Akademie für IT-Sicherheit, bietet innovative Online- Weiterbildungen. Das Kursprogramm richtet sich dabei an IT- Verantwortliche, IT-Sicherheitsbeauftragte, Entwickler und Administratoren. Die Online-Kurse von SKYTALE erweitern dabei Wissen, Fähigkeiten und sorgen für berufliche Zusatzqualifizierungen. Wie bewahren Sie Ihr Unternehmen vor Cyberangriffen, Wirtschaftsspionage, Sabotage oder Datendiebstahl? Können sich Ihre Kollegen, Mitarbeiter und IT-Spezialisten in die Denkweise der Hacker versetzen, um die kritischen Bereiche Ihrer Systeme effektiv gegen Angriffe zu schützen? Der Wechsel der Perspektive ist entscheidend, um die Methoden der Angreifer zu kennen, ihr Verhalten zu analysieren und wirkungsvolle Sicherheitsmaßnahmen zu entwickeln. Web, Networks und Systems Security Diese Erkenntnis bildet den Kern bei der SKYTALE Online Akademie für IT-Sicherheit und sie spiegelt sich in den Aufgaben und Lektionen der Kursmodule wider. Im Fokus stehen potenzielle Sicherheitslücken und Schwachstellen von Web-Applikationen und Netzwerken. Im berufsbegleitenden Kurs wird anschaulich erläutert, wie beispielsweise Injection Flaws, Cross-Site Scripting oder simple Konfigurationsfehler Hackern Tür und Tor zu den sensibelsten Unternehmensbereichen öffnen. Bei uns vereinfachen didaktisch und methodisch professionell aufbereitete Inhalte das Lernen und sorgen so für eine hohe, konstante Motivation der Teilnehmer. Im Online-Kurs Web Security erfahren Sie, wie Hacker konkret vorgehen, welche Angriffe sie gegen Web-Applikationen und Server führen und wie Sie sich effektiv schützen. Das Training erläutert die Grundlagen sowie Methoden, die Ihnen helfen, effizient Schwachstellen zu finden und zu bewerten. Wenn Sie zudem Ihre Systeme und Netze sicher gestalten und verstehen möchten, wie Angriffe auf IT-Infrastrukturen und einzelne Systeme ablaufen, dann bietet das Online-Training Networks & Systems Security einen professionellen Einblick in Penetrationstests, Netzwerk- und Client- Hacks. Damit lernen Sie auch die Sicherheit Ihrer Office-Infrastruktur aus einer neuen Perspektive kennen und können das Schutzniveau selbst bewerten. Training an simulierten Schwachstellen SKYTALE schult seine Teilnehmer an einer virtuellen Maschine, auf der ein fiktiver Online-Shop läuft. Die gezielt eingefügten Schwachstellen und Sicherheitslücken gilt es im Kursverlauf zu finden. Die einzelnen Kursmodule können berufsbegleitend, 24/7 im individuellen Tempo und mit einem Zertifikat abgeschlossen werden. Die SKYTALE Online Akademie für IT-Sicherheit ist eine Marke der Audiocation GmbH, die seit 2009 Web-Fortbildungen anbietet. Alle Akademieleiter und Dozenten verfügen über langjährige Branchenerfahrung und gelten in der Fachöffentlichkeit als anerkannte Experten. Davon profitieren die Teilnehmerinnen und Teilnehmer der Kurse, die sich direkt an die Dozenten wenden und bei Fragen auf ihre Hilfe und Unterstützung zählen können. Das Qualitätsmanagement der Audiocation GmbH ist zertifiziert nach DIN EN ISO Alle Kurse der Online-Akademie sind zugelassen von der Staatlichen Zentralstelle für Fernunterricht (ZFU) nach Fernunterrichtsschutzgesetz (FernUSG) und nach der Akkreditierungs- und Zulassungsverordnung Arbeitsförderung (AZAV). Kursteilnehmer können damit von Fördermaßnahmen öffentlicher Träger profitieren wie der Bundesagentur für Arbeit SKYTALE Online Akademie für IT-Sicherheit Lippertor Lippstadt Telefon: + 49 (0) info@skytale.academy Ansprechpartner: Dipl. Inf. Max Ziegler

93 Firmenporträt Securing data in motion Sichere -Kommunikation mit totemomail Gerade der -Verkehr erweist sich in punkto Datenschutz als Schwachstelle: Wer mitlesen will, kann dies ohne großen Aufwand tun. Der Einsatz einer verlässlichen -Verschlüsselungslösung für den Austausch von sensiblen Informationen ist deshalb für jedes Unternehmen wichtig. Die totemomail -Produktfamilie bietet beste Voraussetzungen für die Einhaltung von Compliance-Standards und deren Kontrolle durch Audits und ist auch für mobile Endgeräte optimiert. totemo bietet benutzerfreundliche, pragmatische und technologisch richtungsweisende Lösungen für Unternehmen und Behörden, die unternehmenskritische Informationen zuverlässig schützen und den steigenden Anforderungen zum Schutz der Privatsphäre beim Austausch von sensiblen Daten entsprechen wollen. Die unternehmensweite Onlinekommunikation mit Geschäftspartnern und Kunden bleibt vertraulich, zuverlässig und effizient unabhängig von Gerät und Ort. Unsere patentierte und FIPS validierte totemo-sicherheitsplattform ermöglicht eine schnelle und einfache Integration in jede bestehende IT- Infrastruktur. Seit 2001 sichern wir die elektronische Kommunikation unserer Kunden. Weltweit tätige Konzerne sowie KMU aus den unterschiedlichsten Branchen setzen auf unsere Lösungen, darunter ANDREAS STIHL AG & Co. KG, Evonik Industries AG und SCHUFA Holding AG. Das totemomail Encryption Gateway schützt Ihre -Kommunikation mit Kunden und Geschäftspartnern, während totemomail Internal Encryption den internen -Verkehr sichert. Gemeinsam ergeben sie die innovative und potente hybride Verschlüsselungslösung totemomail Hybrid Encryption. Sicherer Datenaustausch mit totemodata In den meisten Firmennetzen kursieren Daten völlig ungesichert. Denn die für die Übertragung von Dateien beliebten FTP- Server genügen modernen Sicherheitsstandards nicht. Auch -Anhänge werden immer größer ein weiterer unsicherer Verbreitungsweg von Unternehmensdaten. totemodata liefert eine einfache, branchenneutrale Lösung, die den sicheren Datentransfer von Mensch zu Mensch, Mensch zu System und System zu System gewährleistet und dabei Herkunft, Originalität, Vertraulichkeit sowie Integrität der Daten garantiert. totemodata ist plattformunabhängig, unterstützt sämtliche gängigen Übertragungsprotokolle und lässt sich einfach und schnell in jede bestehende IT-Infrastruktur integrieren. Die skalierbare Lösung ist für Unternehmen und Organisationen jeder Größe geeignet. Sicher mobil kommunizieren mit totemomobile Ein großer Anteil geschäftlicher Aktivitäten und Transaktionen wird heute auf Mobilgeräten abgewickelt. Umso wichtiger, dass dabei die Sicherheit nicht auf der Strecke bleibt. Die Lösungen von totemomobile sorgen dafür, dass Unternehmen auch bei der mobilen Kommunikation weder auf Sicherheit noch auf einfache Bedienbarkeit verzichten müssen. Große Dateien jeder Art können über Smartphone oder Tablet jederzeit empfangen und mit Kollegen ausgetauscht werden. Auch verschlüsselte Nachrichten können einfach und sicher von unterwegs gelesen und bearbeitet werden egal mit welchem mobilen Device. Unternehmen, die ihre mobile Kommunikation mit totemomobile schützen, sind damit ebenfalls bestens für BYOD-Strategien gerüstet. totemo ag Freihofstrasse 22 CH-8700 Küsnacht Telefon: Fax: Ansprechpartnerin: Diana Eisenberg 93

94 Firmenporträt Informationssicherheit Made in Germany Noch nie hat Informationstechnologie eine so bedeutende Rolle gespielt wie heute. Die IT verringert Distanzen und verbindet: Geräte, Anwendungen, Daten, Menschen. Innovationen wie Mobile Devices und Cloud Computing ermöglichen neue Business-Konzepte und werden zum Schlüsselfaktor für die Zukunfts- und Wettbewerbsfähigkeit von Unternehmen. Integrität und Vertraulichkeit ihrer digitalen Werte zu schützen, gehört in einer äußerst dynamischen, grenzübergreifenden IT-Entwicklung für Unternehmen, Öffentliche Verwaltung und Institutionen heute zu einer der größten Herausforderungen. Vor diesem Hintergrund liegen die Vorteile, sich von einem starken externen Partner beraten und unterstützen zu lassen, auf der Hand: Seit 2014 ist TÜV Rheinland der größte unabhängige Spezialist für Informationssicherheit am deutschen Markt. Neben der bundesweiten Präsenz bietet er ein internationales Netzwerk sowie die Stabilität und Zukunftssicherheit eines Global Players. In Deutschland decken rund 150 Spezialisten das komplette Spektrum der Informationssicherheit aus einer Hand ab, von der Strategie über Steuerung und Planung, Konzeption und Implementierung bis hin zum Betrieb oder Prüfung. Fachleute für Cyber Security unterstützen Unternehmen in der Konzeption und Implementierung von Sicherheitslösungen, im Support sowie im Betrieb. Mittleren und großen Kunden bietet TÜV Rheinland IT-Security-Lösungen sowie Implementierung und komplette Services an, bis hin zu umfassenden Managed Security Services wie dem neuen APT Defense Service gegen gezielte komplexe Angriffe. Dritte Säule ist die Überprüfung des Sicherheitsniveaus von IT-Lösungen und -Prozessen, vom Sicherheitsaudit bis hin zu technischen Prüfungen und Penetrationstests für Applikationen und Systeme. Die Zertifizierung von IT-Lösungen und -prozessen rundet das Portfolio ab. Auf dem Gebiet der Informationssicherheit betreut TÜV Rheinland Unternehmen in allen wichtigen Schlüsselbranchen, darunter die Finanzdienstleistung, Industrie, Logistik, Automotive sowie Handel, Versicherungen, Telekommunikation, Chemie und Pharma. Darüber hinaus profitieren Behörden des Bundes und der Länder von der exzellenten Technologie-Expertise und den Partnerschaften mit ausgewählten Marktführern: All diese Faktoren ermöglichen die Umsetzung standardisierter wie die Entwicklung individueller Lösungen in der Informationssicherheit Made in Germany. Im Vordergrund steht für TÜV Rheinland stets eine pragmatische wie compliancekonforme Umsetzung, die die spezifischen Interessen der gesamten Organisation berücksichtigt und gleichermaßen Mensch, Technik und Prozesse im Blick hat. Umfassendes Angebot für KRITIS Speziell Netzbetreibern, Energieerzeugern und Stadtwerken bietet TÜV Rheinland umfassende Leistungen in der Informationssicherheit verbunden mit jahrelanger Branchenexpertise: von der Beratung und Implementierung von Informationssicherheitsmanagementsystemen bis hin zum Business Continuity Management und IT- Risikomanagement. Für Unternehmen der Energiewirtschaft, die ermitteln möchten, wo in Bezug auf ihr aktuelles IT-Sicherheitsniveau Handlungsbedarf besteht, hat TÜV Rheinland gemeinsam mit Partnern einen Kriterienkatalog entwickelt. Mehr dazu unter www. tuv.com/kk-evu. Der Bereich Informationssicherheit ist Teil des globalen Geschäftsbereichs ICT & Business Solutions bei TÜV Rheinland, in dem das Unternehmen seine Kompetenzen rund um den digitalen Wandel gebündelt hat. Mehr als 600 Spezialisten für IT Services, Cyber Security und Telekommunikation begleiten Unternehmen und Öffentliche Hand mit Know-how und Erfahrung durch digitale Transformationsprozesse. Mehr über unsere Leistungen in der Informationssicherheit unter TÜV Rheinland i-sec GmbH Am Grauen Stein Köln Telefon: Ansprechpartnerin: Stefanie Ott

95 Firmenporträt Vordenker in Sachen Sicherheit Das Leitmotiv der VON ZUR MÜHLEN SCHE GmbH (VZM) formuliert ihr Gründer, Rainer von zur Mühlen, wie folgt: Wir verbinden Praxisnähe und Erfahrung mit Kreativität und Weitsicht zur Zufriedenheit unserer Kunden. Wer sich mit Sicherheit beschäftigt, muss bereits heute auch die Lösungen von morgen vorausdenken. Als Spezialist für das komplette Spektrum der Sicherheit seit mehr als 40 Jahren erwartet der Kunde von uns mehr als einwandfreie Arbeit: maßgeschneiderte Lösungen durch vernetztes Denken in komplexen, übergreifenden Zusammenhängen und unternehmerisches Denken, d.h. Wirtschaftlichkeit, Effektivität und Zielgenauigkeit. Das 1972 als Einmannunternehmen gegründete Unternehmen hat sich zu einer international agierenden Beratungs-, Planungs- und Ingenieurgesellschaft mit Tätigkeitsschwerpunkt in Europa entwickelt. Das Team aus nahezu ausnahmslos fest angestellten Spezialisten mit komplexem übergreifenden Expertenwissen Systemanalytiker, Organisatoren, Kaufleute, Informatiker, lizenzierte BSI-Auditoren, Architekten, Bauingenieure, Nachrichtenund Elektroingenieure, Haustechniker, Brandschutzsachverständige erbringt seine Leistungen vollständig neutral und unabhängig. VZM folgt ausschließlich der Prämisse, ein Höchstmaß an Zufriedenheit seiner Kunden durch Zielerreichung und Mehrwert zu erreichen und unterstreicht diesen Anspruch mit dem seit 2004 etablierten und zertifizierten Qualitätsmanagement. Zudem fließt das enorme Fachwissen in die Gremienarbeit der DKE-Ausschüsse zur RZ-Norm DIN sowie der Leitstellennorm DIN ein. Das Leistungsspektrum der VON ZUR MÜHLEN SCHE GmbH umfasst die Bereiche: Sicherheitsberatung von der Kurzkonsultation bis zum Großprojekt: Risikound Schwachstellenanalysen, Gutachten, Audits, Machbarkeitsstudien und Konzepte mit ökonomischen, technischen und organisatorischen Lösungsentwicklungen. Sicherheitsplanung von der Modernisierung bis zum Neubau: Grundlagenermittlung, Konzeption, Lastenhefte, Detailplanung, neutrale Ausschreibung, Begleitung von Ausführung und Abnahme, Qualitätssicherung z.b. für Leitstellen und Projekte in allen Sicherheitsgewerken. Rechenzentrumsplanung mit einem einzigartigen Know-how aus der Begleitung von ca. 600 RZ-Projekten: Planung, Beratung und Qualitätssicherung bei Neubau, Reengineering und Sanierung, Benchmarking, Healthchecks, Audits, Effizienz- und Verfügbarkeitsoptimierung, Vorbereitung von Zertifizierungen. Vorausschauendes unkonventionelles Denken zeichnet die Beratungsgesellschaft von Anbeginn aus: In der Rechenzentrumsplanung ist VZM Vorreiter der Trennung von grober und feiner Technik gewesen und hat schon Ende der 70er Jahre kleine Raumkonzepte propagiert als z.b. IBM noch Räume von m² baute. Prognostik ist daher ein selbstverständlicher Planungsbestandteil. Ein RZ von 1974 wurde 2006 das erste Mal erweitert, bis dahin wirkte unser Konzept der flexiblen Raumnutzung. Brandvermeidung vor Brandverhütung! Seit 1972 bestreitet VZM die Richtigkeit von Sprinklerung im RZ und forderte die direkte Branddetektion über den Rechnern (unsere Eigenlösungen mündeten in die heutigen risikoorientierten Feuerfrüherkennungssysteme). Heute plant VZM mit Rechenzentren, die bei richtiger Realisierung gar nicht mehr brennen können! Übrigens: Es hat bisher in keinem der von VZM betreuten RZs gebrannt. Das aktuell gefeierte Kaltgang-Warmgang- Prinzip wurde in VZM-Projekten schon 1990 realisiert auch bei weiteren RZ-Klimatisierungsansätzen folgten andere Planer und Hersteller. Der seit 1982 von VZM forcierte Wechsel von der Großklimatechnik zu raumorientierten Lösungen ist heute Standard. Schon Ende der 80er Jahre forderte das Beratungsunternehmen, statt der sternförmigen Verkabelung auf Stromschienenkonzepte oder alternative Verteilungen mit verringerten Risiken zu setzen. U.a. mit Modulsystemen zur Klima- und Rackoptimierung trägt VZM bereits seit der Energiekrise 1973 zur Steigerung der Energieeffizienz bei. Bei einem 2014 zu TÜViT TSI Level 4 geführtem Rechenzentrum wurde trotz hohem Redundanzniveau und einer nur ca. 60%igen Auslastung im Jahresdurchschnitt ein phänomenaler PUE-Wert von 1,5 erreicht. VON ZUR MÜHLEN SCHE GmbH Alte Heerstr Bonn Telefon: / Fax: / info@vzm.de Ansprechpartner: Peter Stürmann 95