Fallstudie: Trend Micro IDC Multi-Client-Projekt IT-SECURITY IN DEUTSCHLAND 2013 Unternehmensdaten im Fokus von internetkriminellen
trend micro Fallstudie: PFS Informationen zum Kunden www.trendmicro.de Die 2002 aus dem Zusammenschluss mehrerer unabha ngiger Pensionskassenstiftungen hervorgegangene PFS verfu gt u ber zwei Kerndienstleistungs-bereiche: Allein mit einem monatlichen Bearbeitungsvolumen von u ber 20.000 Sala ren und einer Vielzahl an Unternehmensmandaten geho rt die PFS im Bereich HR und externer Lohnzahlungsverarbeitung zu den fu hrenden Anbietern der Schweiz. Nebst diesen Managed-Services stellt die Verwaltung (teil-) autonomer Pensionskassen der obligatorischen beruflichen Altersvorsorge, der so genannten 2. Sa ule, den anderen, wesentlichen Teil des Dienstleistungsangebotes der PFS dar. Die Koordination der Personaldienste, Pensionskassenexperten, IT-Experten, Vermo gensverwaltungen sowie der Stiftungsaufsicht nimmt nebst der administrativen und gescha ftsfu hrenden Ta tigkeiten der Pensionskassen den gro ßten Raum ein. Dabei versteht sich die PFS immer als Treuha nderin des Stiftungsrats und der Mitarbeitenden. Anforderungen des Kunden Bei der Handhabung perso nlicher Daten von etwa 26.000 Versicherten und Pensiona ren in 29 Vorsorgestiftungen mit knapp sieben Milliarden Schweizer Franken Anlagevermo gen sowie der termingerechten Erstellung von Lohn- und Gehaltsabrechnung einschließlich Sozialversicherungsabgaben fu r mehr als 20.000 SAP-Stammsa tze tra gt die PFS ein Ho chstmaß an Verantwortung bei der Einhaltung gesetzlicher Datenschutzvorgaben. Nebst der Compliance geltender Datenschutzgesetze, die die Anforderungen an Informationssicherheit, Verfu gbarkeit und Integrita t der Daten dezidiert vorgeben, muss die PFS zudem den unterschiedlichen Forderungen der Kunden bezu glich des physikalischen Speicherorts der jeweiligen Daten entsprechen. In einem ersten Schritt u berfu hrte das Schweizer Unternehmen 2010 daher die bestehende IT-Infrastruktur in eine VMware-basierte, virtuelle IT-Infrastruktur mit 25 virtuellen Servern und drei Hosts. Teile der bestehenden Sicherheitslo sung, etwa diverse Firewalls, wurden dabei u bernommen. Der resultierende Onboard- Virenschutz ist zwar gegeben, entspricht aber nicht den von uns formulierten Sicherheitsstandards, so Michael Flu ckiger, Leiter Basis IT/Vorsorge-Support der PFS. Der Einsatz einer vollumfa nglichen Antivirenlo sung gema ß klar definierter Anforderungen war folglich unumga nglich.
darstellung der Lösung Die vorhandene, agentenbasierte Lo sung entsprach nicht mehr den PFS-Anforderungen an eine Antivirenlo sung in einer virtuellen Umgebung zumal dabei auf jeder virtuellen Maschine eine Agentensoftware installiert sein mu sste und sich eine Umsetzung als ressourcen- und kostenintensiv erweisen wu rde. Neuere Lo sungen, die auf der Hypervisor-Ebene, dem so genannten Virtualisierungs- Layer, aufbauen, bedu rfen nur eines Virenschutzes pro physischem Host, um alle darauf betriebenen virtuellen Maschinen zuverla ssig zu schu tzen. Damit waren die Anforderungen klar definiert: Eine innovative, agentenlose Sicherheitslo sung fu r die VMware-basierte, virtualisierte IT-Infrastruktur war das Ziel der PFS. Aus Gru nden des Investitionsschutzes kam zudem nur eine Lo sung von einem der vier großen Anbieter in Frage. Nach eingehender Pru fung war klar, dass es zur agentenlosen Lo sung Deep Security von Trend Micro fu r uns keine Alternative gibt. Auch erfu llt diese Lo sung alle zusa tzlichen von uns artikulierten Anforderungen, erkla rt Michael Flu ckiger den Entscheid fu r die favorisierte Lo sung. Mit Deep Security bietet Trend Micro ihren Kunden eine ebenso fortschrittliche wie performante Sicherheitslo sung fu r Server in einem dynamischen Datenzentrum an ganz gleich, ob es sich dabei um physikalische oder virtuelle Server handelt. Dabei verbindet die Software die Erkennung und Abwehr von Eindringlingen, eine Firewall sowie die Integrita tsu berwachung und Protokollpru fung zu einem Software-Agenten. Dank dieser zentral verwalteten Lo sung ko nnen Unternehmen verda chtige Aktivita ten fru hzeitig erkennen und so rechtzeitig Maßnahmen zur Sicherung des Datenzentrums einleiten. Die Einfu hrung der neuen Sicherheitslo sung durch die Projektpartner Trend Micro, die schweizerische Axept AG und die PFS Pension Fund Services AG dauerte lediglich eine woche. Das agentenlose Konzept spart nicht nur, wie erwartet, personelle Ressourcen, es ist zudem auch deutlich leistungsfa higer als unser vorheriges Programm und schu tzt dabei gleichermaßen die virtuellen Maschinen sowie die restlichen, noch in unserer Infrastruktur verbliebenen physischen Maschinen, so die Einscha tzung seitens des Projektleiters Michael Flu ckiger. Auch die Ü bersichtlichkeit der Managementkonsole aufgrund der verschiedenen Ansichten sowie der Drilldown-Funktion hebt Flu ckiger hervor: Auf einen Blick la sst sich so der Zustand der gesamten Arbeitsumgebung erkennen. Nach all diesen positiven Erfahrungen hat sich die PFS den Aufbau einer vo llig agentenlosen Umgebung zum Ziel gesetzt. Den na chsten Schritt in diese Richtung wollen die Schweizer mit der Umstellung auf Virtual Desktops (70 Clients) machen und einmal mehr auf Deep Security als Antivirenschutz vertrauen. Allerdings beabsichtigt das Dienstleistungsunternehmen das Projekt dann eigensta ndig durchzufu hren: wir haben im ersten Projekt so viel Know-how von Trend Micro vermittelt bekommen, dass wir uns dieses Vorhaben ohne weiteres zutrauen, so Projektleiter Flu ckiger zuversichtlich.
INTERVIEW MIT Udo Schneider, Senior Manager PR Communications DACH, Trend Micro Anla sslich der Vorstellung der Ergebnisse der Studie IT-Security in Deutschland 2013 sprach IDC mit ITK-Anbietern, die Lo sungen und Dienstleistungen anbieten. Udo Schneider, Senior Manager PR Communications DACH bei Trend Micro, beantwortete unsere Fragen. UDO schneider IDC: IT-Sicherheit ist derzeit in aller Munde. Zu Recht? Und was sind die Ursachen dafür? Udo Schneider: Der Stellenwert von IT-Sicherheit bei IT-Verantwortlichen ist unvera ndert hoch. In der Wahrnehmung der Allgemeinheit nimmt der Stellenwert jedoch zu. Auf der einen Seite berichtet in letzter Zeit auch die Nicht-Fachpresse u ber Themen wie Stuxnet, Angriffe auf Industriesteueranlagen und die Festnahme der BKA-Trojaner-Bande in Spanien. Auf der anderen Seite ru cken aber auch Compliance-Themen (insb. deren moneta re Aspekte) im Zeichen der Finanzkrise immer mehr in den Vordergrund. IDC: Setzen sich Unternehmen Ihrer Meinung nach mit dem Thema IT-Sicherheit in erforderlichem Maße auseinander? Schneider: Leider muss man hier zwischen traditioneller Sicherheit und dem Schutz vor zielgerichteten Angriffen trennen. Beim klassischen Schutz gegen Spam, Phishing und Malware u.a. la sst heute kaum noch ein Unternehmen Lu cken zu. Dazu sind Lo sungen, Prozesse und auch Denkweisen seit Jahren erprobt und im Einsatz. Anders sieht es leider beim Schutz gegen zielgerichtete Angriffe aus. Hier herrscht leider immer noch die Meinung, dass man diesen mit den klassischen Methoden gewa hrleisten kann. Dass zielgerichtete Angriffe aber genau so konzipiert sind, dass sie von klassischen Lo sungen eben nicht erkannt werden, wird dabei außer Acht gelassen. Ein zielgerichteter Angriff erfordert eine darauf angepasste Verteidigung - an genau dieser hapert es jedoch ha ufig. IDC: Was raten Sie den Unternehmen, die jetzt konkrete Schritte zur Stärkung ihrer IT-Sicherheit gehen wollen? Schneider: 1. Bewusstsein schaffen: In den allermeisten Fa llen besteht der erste sichtbare Schritt bei zielgerichteten Angriffen darin, einen Bru ckenkopf innerhalb der Organisation zu schaffen. Dies findet i.d.r. über die Kompromittierung eines Mitarbeiters statt. Hier empfiehlt sich die Aufkla rung über zielgerichtete Angriffe fu r alle Mitarbeiter. Jeder kann fu r die Angreifer von Interesse sein. Und sei es auch nur als Bru ckenkopf, um dann von innen das eigentliche Ziel anzugehen. Zur Aufkla rung geho rt ferner die Sensibilisierung bzgl. sozialer Netzwerke. Jede dort publizierte Information (und sei sie auch rein privat) hilft dabei, ein Profil des Mitarbeiters zu erstellen. Diese Profile ko nnen dann benutzt werden, um beim Opfer einen thematischen Anknüpfungspunkt zu finden, der dann doch dazu verleitet, die E-Mail zu o ffnen, auf einen Link zu klicken usw.. Hier tut Aufkla rung dringend Not. Je weniger Informationen verfu gbar sind, umso weniger Angriffsfla che bietet man potentiellen Angreifern. 2. Auf den Ernstfall vorbereiten: Leider muss man davon ausgehen, dass Angreifer bei einem zielgerichteten Angriff erfolgreich sind. Es ist keine Frage des Ob, sondern eher des Wann. Auf diesen Ernstfall sollte man sich vorher in Ruhe vorbereiten. Wer ist zu informieren? Wie soll technisch vorgegangen werden? Wie ko nnen Spuren (rechtlich verwertbar) gesichert werden? Als erprobte Vorgehensweise kann man auf Szenarien aus der Risikoplanung zuru ckgreifen. In manchen Fa llen wurde durch eine panische Reaktion mehr Schaden angerichtet, als aufgrund der Situation notwendig gewesen wa re. Ein ku hler Kopf vor dem Ernstfall hilft also, im Falle des Falles, die Ruhe zu bewahren. 3. IT-Sicherheit vorbereiten: Zusa tzlich zum normalen Betrieb der IT-Sicherheit, der prima r aus Abwehr besteht, kommt eine forensische Komponente hinzu. Nur Informationen, die aufgezeichnet, verarbeitet und konsolidiert wurden, ko nnen im Nachhinein auch ausgewertet werden. Fa higkeiten wie die forensische Analyse treten hier im Vergleich zum IT-Betrieb in den Vordergrund. Diese Fa higkeiten, wie z.b. Verbindungsanalyse und Korrelation, sollten in ruhigen Zeiten ausgebildet werden, damit diese im Fall eines Angriffs zur Verfu gung stehen. Dazu za hlen auch das Wissen um externe Informationsquellen und Personen oder Communities.
Copyright Hinweis Die externe Vero ffentlichung von IDC Information und Daten dies umfasst alle IDC Daten und Aussagen, die fu r Werbezwecke, Presseerkla rungen oder anderweitige Publikation verwendet werden, setzt eine schriftliche Genehmigung des zusta ndigen IDC Vice Presidents oder des jeweiligen Country-Managers bzw. Gescha ftsfu hrers voraus. Ein Entwurf des zu vero ffentlichenden Textes muss der Anfrage beigelegt werden. IDC beha lt sich das Recht vor, eine externe Vero ffentlichung der Daten abzulehnen. Fu r weitere Informationen bezu glich dieser Vero ffentlichung kontaktieren Sie bitte: Katja Schmalen, Marketing Manager, +49 (0)69/905020 oder kschmalen@idc.com. Urheberrecht: IDC, 2013. Die Vervielfa ltigung dieses Dokuments ist ohne schriftliche Erlaubnis strengstens untersagt.
IDC Central Europe GmbH Hanauer Landstr. 135-137 60314 Frankfurt Germany T: +49 69 90502-0 F: +49 69 90502-100 E: info_ce@idc.com