[datensicherheit.de, 03.04.2026] Alexander Ingelheim, CEO und Mitgründer von Proliance, warnt in seiner aktuellen Stellungnahme vor wachsenden Risiken von „KI-Washing“ bei automatisierten Zertifizierungen. Er führt aus, warum der vermeintlich bequeme, KI-gestützte „Shortcut zur Compliance“ für Unternehmen schnell zur rechtlichen und intransparenten Falle werden kann, wenn nämlich Geschwindigkeit echte Prüftiefe ersetzt: „Kaum ein Versprechen klingt so verlockend wie das, nie wieder mühsam Nachweise zusammentragen, Richtlinien formulieren und Auditoren zuarbeiten zu müssen. KI-gestützte ,Compliance’-Plattformen werben genau damit, schneller zum Zertifikat bei weniger Aufwand und automatisierter Nachweisführung.“ Doch aktuelle Fälle zeigten Schattenseiten solcher Versprechen auf.

Foto: Proliance

Alexander Ingelheim nimmt kritisch Stellung zu KI-gestützten „Compliance“-Plattformen

„KI-Washing“ für Unternehmen könnte sich zu großem Problem ausweiten

So sorgt in den USA demnach aktuell ein Fall für Aufsehen, in dem eine als KI-gestützt vermarktete Plattform offenbar Audit-Nachweise vorausgefüllt, Prüfberichte vor der eigentlichen unabhängigen Prüfung erstellt und die Grenze zwischen Prüfer und Geprüftem systematisch verwischt haben soll.

• Investoren distanzierten sich öffentlich, Kunden stünden vor der Frage, „ob ihre Zertifizierungen überhaupt belastbar sind“. Was nach einem Einzelfall aussehe, verweise auf ein strukturelles Problem: „Wenn Geschwindigkeit zum alleinigen Qualitätsmerkmal wird, leidet die Substanz!“

Dieses Phänomen habe einen Namen: „KI-Washing“. Die US-Börsenaufsicht SEC habe 2024 erstmals Strafen wegen irreführender KI-Aussagen verhängt, das Justizministerium Strafverfahren eingeleitet. In der EU adressiere der „AI Act“ künftig genau solche irreführenden Darstellungen.

EU-Unternehmen benötigen Gewissheit, wo ihre personenbezogenen Daten liegen und wer nach welchen Regeln darauf zugreift

Für den europäischen Markt komme eine weitere Dimension hinzu. Unternehmen, die personenbezogene Daten verarbeiten oder „Compliance“-Nachweise führen, brauchten Gewissheit darüber, wo ihre Daten liegen und wer nach welchen Regeln darauf zugreift. „Eine Plattform, die verspricht, DSGVO-Konformität automatisch herzustellen, aber selbst intransparent agiert, erzeugt ein Paradox, das Aufsichtsbehörden zunehmend kritisch sehen“, so Ingelheim.

• Verantwortungsvoller KI-Einsatz in der „Compliance“ lasse sich an klaren Kriterien festmachen: „Der Mensch bleibt am Steuer und trifft die Entscheidungen, während der Datenzugriff eng abgesteckt bleibt. Die eingesetzte Technologie ist nachvollziehbar, wobei europäische Open-Source-Modelle hier einen Transparenzvorteil gegenüber geschlossenen Systemen bieten. Und sensible ,Compliance’-Daten gehören zu europäischen ,Cloud’-Anbietern, im eigenen Rechtsraum.“

„Compliance“ existiere, um Vertrauen in der Wirtschaft sicherzustellen: „Wer in diesem Feld arbeitet, bekommt genau eine Chance, dieses Vertrauen zu rechtfertigen. Diese Chance verdient Sorgfalt, Sachverstand und echte Prüftiefe!“ Ingelheims Fazit: „Sie auf einen ,Shortcut’ zu reduzieren, der auf Preis und Aufwand optimiert, gefährdet am Ende genau das, was ,Compliance’ leisten soll.“

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

proliance
Alexander Ingelheim – Co-Founder & CEO

datensicherheit.de, 25.03.2026
Den Fortschritt im Blick, Cyberangreifer im Windschatten: Wie Unternehmen Governance, Risk & Compliance (GRC) mit KI harmonisieren / Künstliche Intelligenz entwickelt sich zunehmend zu einem entscheidungsrelevanten Faktor mit unmittelbaren Auswirkungen auf Risikoexposition, Haftung und regulatorische Anforderungen. Systeme treffen automatisierte Entscheidungen, priorisieren Risiken, analysieren Anomalien oder steuern Prozesse in Echtzeit.

datensicherheit.de, 27.01.2026
Strategische Prioritäten für Unternehmen 2026: Informationssicherheit, Compliance und Datenschutz / Datenschutz, Informationssicherheit und „Compliance“ stehen für Unternehmen 2026 nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren

[datensicherheit.de, 04.11.2025] Kaspersky meldet, dass ein aktuelles eigenes Security-Audit aufzeigt, wie Angreifer durch die Ausnutzung einer „Zero Day“-Schwachstelle in einer Anwendung eines Auftragnehmers die vollständige Kontrolle über das Telematiksystem eines Fahrzeugs hätten erlangen können – „inklusive potenzieller Manipulation sicherheitsrelevanter Funktionen wie Gangwechsel oder Motorabschaltung“. Diese Untersuchung offenbart demnach schwerwiegende Schwachstellen sowohl in der Infrastruktur des Herstellers als auch im vernetzten Fahrzeug selbst und verdeutlicht den dringenden Handlungsbedarf der Automobilindustrie, Cybersicherheits-Maßnahmen zu stärken und Drittsysteme besser abzusichern. Die Ergebnisse dieses Audits seien auf dem diesjährigen „Security Analyst Summit“ (SAS) vorgestellt worden.

Kontrolle über das Telematik-System des Fahrzeuges

Durch die Ausnutzung einer „Zero Day“-Schwachstelle in einer öffentlich zugänglichen Anwendung eines Auftragnehmers sei es Kaspersky-Experten gelungen, die Kontrolle über das Telematik-System des Fahrzeuges zu erlangen.

• Damit hätten Angreifer beispielsweise während der Fahrt Gangwechsel erzwingen oder den Motor abstellen können, was die Sicherheit von Fahrern und Beifahrern gefährden würde.

Das Audit verdeutliche gravierende Cybersicherheitsrisiken in der Automobilindustrie und unterstreicht die dringende Notwendigkeit, Schutzmaßnahmen deutlich zu verstärken.

Telematik ermöglicht Erfassung, Übertragung, Analyse und Nutzung zahlreicher Daten

„Das Security-Audit wurde remote durchgeführt und umfasste sowohl die öffentlich zugänglichen Dienste des Herstellers als auch die Infrastruktur des Auftragnehmers.“ Dabei hätten die Kaspersky-Experten mehrere ungeschützte Web-Dienste identifiziert. „Über eine bislang unbekannte SQL-Injection-Schwachstelle in der Wiki-Anwendung – einer webbasierten Plattform zur gemeinsamen Erstellung und Verwaltung von Inhalten – gelang es ihnen, eine Liste von Nutzerkonten des Auftragnehmers inklusive Passwort-Hashes zu extrahieren.“

• Aufgrund schwacher Passwortrichtlinien hätten einige dieser Passwörter erraten werden können. „Dadurch erhielten die Experten Zugriff auf das Issue-Tracking-System des Auftragnehmers, ein Tool zur Verwaltung und Nachverfolgung von Aufgaben, Fehlern und Projekten.“ Dieses System habe sensible Konfigurationsdaten der Telematik-Infrastruktur des Herstellers enthalten – „darunter eine Datei mit gehashten Passwörtern von Nutzern eines Fahrzeugtelematik-Servers“.

In modernen Fahrzeugen ermögliche Telematik die Erfassung, Übertragung, Analyse und Nutzung zahlreicher Daten – etwa zu Geschwindigkeit oder Geolokalisierung – und bilde somit eine zentrale Schnittstelle für vernetzte Fahrzeugsysteme.

Schwachstellen: Modifizierte Firmware könnte auf Telematik-Steuergerät (TCU) hochladen werden

Auf der Seite des vernetzten Fahrzeugs hätten die Kaspersky-Experten eine falsch konfigurierte Firewall entdeckt, „die interne Server ungeschützt ließ“. Mithilfe eines zuvor erlangten Servicekonto-Passworts hätten sie Zugriff auf das Dateisystem des Servers erhalten und dort die Zugangsdaten eines weiteren Auftragnehmers gefunden. Dadurch sei es ihnen gelungen, die volle Kontrolle über die Telematik-Infrastruktur zu übernehmen.

• „Im Zuge des Audits stießen sie zudem auf einen Firmware-Update-Befehl, mit dem sich modifizierte Firmware auf das Telematik-Steuergerät (TCU) hochladen ließ.“ So hätten sie Zugriff auf den CAN-Bus (Controller Area Network) des Fahrzeugs erhalten – das zentrale Kommunikationssystem, welches verschiedene Komponenten wie Motorsteuerung und Sensoren miteinander verbinde.

„Anschließend konnten weitere Systeme, darunter die Motorsteuerung, angesprochen werden.“ Dies hätte potenziell die Manipulation zahlreicher sicherheitsrelevanter Fahrzeugfunktionen ermöglicht und die Sicherheit von Fahrer und Beifahrer ernsthaft gefährdet.

Bedrohung der Telematik durch Sicherheitslücken auf Basis in der Automobilindustrie weit verbreiteter Probleme

„Die Sicherheitslücken resultieren aus Problemen, die in der Automobilindustrie weit verbreitet sind: Öffentlich zugängliche Webdienste, schwache Passwörter, fehlende Zwei-Faktor-Authentifizierung und unverschlüsselte Speicherung sensibler Daten“, kommentiert Artem Zinenko, „Head of Kaspersky ICS CERT Vulnerability Research and Assessment“.

• Er warnt: „Das Audit zeigt, wie bereits eine einzelne Schwachstelle in der Infrastruktur eines Auftragnehmers zu einer vollständigen Kompromittierung sämtlicher vernetzter Fahrzeuge führen kann!“

Die Automobilindustrie müsse robuste Cybersicherheitspraktiken priorisieren – insbesondere in Systemen von Drittanbietern –, um Fahrer zu schützen und das Vertrauen in vernetzte Fahrzeugtechnologien zu bewahren.

Kaspersky gibt Empfehlungen zur Absicherung von Telematik-„Ökosystemen“

Für Dienstleister:

1. Den Internetzugriff auf Webdienste ausschließlich über ein VPN erlauben!
2. Dienste von Unternehmensnetzen isolieren, um ungewollten Zugriff zu verhindern!
3. Strikte Passwortrichtlinien durchsetzen, eine Zwei-Faktor-Authentifizierung (2FA) implementieren und sensible Daten verschlüsseln!
4. Logging in ein SIEM (Security Information and Event Management) integrieren, um sicherheitsrelevante Ereignisse in Echtzeit zu überwachen!

Für Hersteller:

1. Den Zugriff auf die Telematik-Plattform aus dem Fahrzeugnetzsegment beschränken!
2. Positivlisten für Netzwerkinteraktionen verwenden, um nur autorisierte Verbindungen zuzulassen!
3. Die Passwort-Authentifizierung bei „Secure Shell“ deaktivieren und Dienste mit minimalen Rechten betreiben!
4. Die Befehlsauthentizität in Telematik-Steuereinheiten sicherstellen und diese Maßnahmen mit der Integration in ein SIEM kombinieren!

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

Linkedin
Artem Zinenko – Senior Software Engineer

[SAS25]
Kaspersky SecurityAnalyst summit / Khao Lak, Thailand 26-29 October 2025

datensicherheit.de, 07.09.2025
Autonomes Fahren Made in Germany – Deutschland könnte Vorreiter bei hochautomatisierten Fahrzeugen werden / TÜV Rheinland sieht deutsche Automobilindustrie insbesondere bei Sicherheit und Zuverlässigkeit Autonomer Fahrzeuge in aussichtsreicher Startposition

datensicherheit.de, 10.06.2025
SIEM: Ingenieure sollten Cyberbedrohungen stets einen Schritt voraus sein / In der heutigen „hypervernetzten Welt“ sind nun auch Ingenieurbüros zu lukrativen Zielen geworden – die jüngsten Angriffe auf Unternehmen wie IMI und Smiths Group sollten als Warnung verstanden werden

datensicherheit.de, 15.06.2022
Autonome Fahrzeuge: Höhere Sicherheit von der KI als von menschlichen Fahrern gefordert / Der TÜV-Verband e.V. zu seiner Verbraucherstudie 2021 über Sicherheit und KI

[datensicherheit.de, 02.02.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum nächsten „Awareness“-Web-Seminar mit dem Titel „Penetrationstest oder technisches Audit: Wo ist der Unterschied und was ist wann sinnvoll?“ ein. „Penetrationstests und technische Audits sind zentrale Bausteine der IT-Sicherheit – doch was unterscheidet sie, und wann ist welche Methode sinnvoll?“ Dieser Vortrag soll die Unterschiede beleuchten, Einsatzmöglichkeiten aufzeigen und praktische Entscheidungshilfen liefern:

Abbildung: it’s.BB

Dieser it’s.BB-Vortrag soll Unterschiede beleuchten, Einsatzmöglichkeiten aufzeigen und praktische Entscheidungshilfen liefern

Web-Seminar des it’s.BB e.V. am 12. Februar 2025 via „MS Teams“-Plattform

Das Web-Seminar wird wieder in Zusammenarbeit mit der IHK Berlin organisiert.

„Penetrationstest oder technisches Audit: Wo ist der Unterschied und was ist wann sinnvoll?“
Mittwoch, 12. Februar 2025, von 16.00 bis 17.00 Uhr
Online-Veranstaltung auf Basis der „MS Teams“-Plattform
Teilnahme kostenlos, Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
– Anna Borodenko, Referentin für „Digitalisierung und Cybersicherheit“, IHK Berlin
– Alina Strybko, Netzwerkmanagerin it’s.BB e.V.
– Anna Hartig, Senior Consultant HiSolutions AG

16.10-16.45 Uhr
Einleitung: „Warum sind Sicherheitsprüfungen unerlässlich?“
Definitionen: „Was ist ein Penetrationstest? Was ist ein technisches Audit?“
Unterschiede im Detail: „Zielsetzung, Methodik und Ergebnisse“
Einsatzgebiete: „Wann ist welcher Ansatz sinnvoll?“
Praxisbeispiele: „Erfolgreiche Anwendung von Penetrationstests und technischen Audits“
– Anna Hartig, HiSolutions AG

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Zur Online-Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Mittwoch, 12. Februar / Penetrationstest oder technisches Audit / Wo ist der Unterschied und was ist wann sinnvoll?

Von unserem Gastautor Andrew Silberman, Direktor Produktmarketing bei Omada

[datensicherheit.de, 10.03.2023] Für Arbeitnehmer ein schlechter Ersteindruck, für Arbeitgeber ein Horrorszenario: Der erste Tag im Büro, aber nichts funktioniert. Der Firmenlaptop fährt hoch, aber der Zugriff wird beim ersten Anmeldeversuch verweigert. Als das Problem behoben ist, kommt die nächste Fehlermeldung: kein Zugriff auf den Firmenserver. Dasselbe gilt für den E-Mail-Posteingang und die Zeiterfassung. Ein erfolgreiches Onboarding sieht anders aus.

Andrew Silberman, Direktor Produktmarketing bei Omada, Bild: Omada

Schwierige Beantragung von Zugriffrechten

Um Zugang zu erhalten, müsste diese Person den Zugriff auf jede einzelne Ressource, auf die sie stößt, manuell beantragen, aber es können Stunden, Tage und Wochen vergehen, bis diese Person vollen Zugriff auf alles erhält, was sie braucht, um ein produktives Mitglied der Belegschaft zu sein. Auch für den Vorgesetzten kann es mühsam sein, all diese Zugriffe zu genehmigen und sich zu vergewissern, dass das neue Teammitglied alles hat, was es braucht. Auf der anderen Seite können auch neue Risiken entstehen, wenn ein Vorgesetzter Genehmigungen absegnet, die zu übermäßig vielen Freigaben führen können. Dies ist weder effizient noch sicher. Aber es gibt einen besseren Weg. Denn solche Prozesse können vollständig automatisiert werden, während Unternehmen gegen Cyberangriffe gewappnet sind und die Lösung hierfür heißt Identity Lifecycle Management (ILM).

Automatisiertes Onboarding durch vordefinierte Rollensätze

Im Idealfall werden Zugriffsrechte zugewiesen und gewährt, bevor sich ein neuer Mitarbeiter, ein externer Auftragnehmer, eine ausgelagerte IT-Abteilung usw. an seinem ersten Tag überhaupt bei den Unternehmensressourcen anmeldet. Dies ist die Grundlage für die Arbeit von ILM. Das Grundprinzip besteht darin, alle Zugriffsrechte automatisch zuzuweisen, sobald die Arbeit beginnt, aber auch zu regeln und sicherzustellen, dass die Person nicht mehr Zugriffsrechte anhäuft, als sie für ihre Produktivität benötigt. Im IT-Kontext spricht man hier auch von „Geburtsrechten“, die bei der Erstellung der Identität vergeben werden. Dazu gehören der Zugang zum E-Mail-Posteingang oder zu den Leistungen des Unternehmens, die Zeiterfassung und Anwendungen (wie Microsoft 365) für die tägliche Arbeit.

Umgekehrt werden bei einem internen Stellenwechsel oder beim Ausscheiden aus dem Unternehmen alle nicht mehr benötigten Berechtigungen (im Falle des Ausscheidens eines Mitarbeiters wären das alle) ohne manuellen Aufwand für das IT- oder Sicherheitsteam entzogen. Der Zugriff kann auch an einen Manager oder Kollegen delegiert werden, wenn jemand aus einer Rolle ausscheidet, damit der Geschäftsbetrieb aufrechterhalten werden kann. Da ILM alle drei möglichen Szenarien eines Positionswechsels innerhalb eines Unternehmens – Eintritt, Wechsel, Austritt – berücksichtigt, wird es auch als Joiner-Mover-Leaver-System bezeichnet.

Um ILM zu verstehen, ist es wichtig, zwischen Identitäten und Rollen zu unterscheiden. Eine Rolle ist ein zuvor definierter Satz von Privilegien und Berechtigungen, die entlang der verschiedenen Stellen, Abteilungen, Teams usw. in einer Organisation festgelegt werden. Eine Identität ist die Summe der verschiedenen Rollen, die eine Person innerhalb einer Organisation einnimmt. Die Identität umfasst jedoch auch Standardinformationen wie Name, Geburtstag, Adresse, Steuernummer usw. Nehmen wir zur Veranschaulichung einen Vertriebsmitarbeiter: Wenn ein neuer Mitarbeiter diese Stelle besetzt, wird ein ILM-System diese Person automatisch mit Zugriffsrechten auf alle Ressourcen ausstatten, auf die ein Vertriebsmitarbeiter typischerweise zugreifen muss, wie z. B. das CRM, Mailinglisten, Interessenteninformationen und mehr. Oft ist eine Aufgabe jedoch komplexer, als sie in einer Rolle zusammengefasst werden kann. Aus diesem Grund können Rollen kombiniert werden: Wenn ein Vertriebsmitarbeiter beispielsweise auch mit dem Marketingteam zusammenarbeitet, um ein Video mit Kundenreferenzen zu erstellen, muss er sowohl mit dem Presseteam als auch mit dem Videoproduktionsteam zusammenarbeiten und benötigt möglicherweise Zugriff auf die Dateien und Projekte, an denen sie in ihren jeweiligen Rollen beteiligt sind.

Es wird deutlich, dass ILM Teil der wichtigsten Aspekte des Zugangsmanagements ist: Access Management (AM), das Multi-Faktor-Authentifizierung und Single Sign-On ermöglicht, und Identity Governance and Administration (IGA) – die Verwaltung und Konfiguration des Zugangs.

ILM hilft bei Audits und verhindert finanzielle Einbußen aufgrund von Zugangsproblemen

So schnell wie Zugriffsrechte vergeben werden, müssen sie aber auch wieder entzogen werden können, denn wie alle Lösungen aus dem Bereich des Access- und Identity-Managements dienen sie nicht nur der Rationalisierung der Arbeitsprozesse von IT- und Sicherheitsspezialisten, sondern auch der Einhaltung von Compliance-Anforderungen und Gesetzen. So ist das nachweisliche Entfernen von Zugängen, wenn sie nicht mehr benötigt werden, ein Schlüssel, um Audits unbeschadet zu überstehen. Die denkbaren Verstöße sind dabei vielfältig: Ein Mitarbeiter verlässt das Unternehmen, kann aber theoretisch noch auf seinen Firmenlaptop, sein E-Mail-Postfach oder seine Kundendaten zugreifen.

Jedes inaktive Konto, das noch über sensible Zugriffsrechte verfügt, wird als verwaistes Konto bezeichnet und ist aus Sicht der Compliance ein No-Go. Diese Konten können Hackern als Steigbügel in das Unternehmensnetzwerk dienen, da sie oft unter dem Radar der Sicherheitsteams fliegen, die den Zugang von Personen, die nicht mehr im Unternehmen arbeiten, nicht mehr überwachen. Einmal gekapert, haben die Täter die gleichen Zugriffsrechte wie der ehemalige Mitarbeiter und können sich seitlich im Netzwerk bewegen, bis sie ihr gewünschtes Ziel erreichen. Eine ILM-Lösung hebt die Inhaberschaft solcher Konten automatisch auf oder weist sie neu zu, dezimiert damit die Gefahrenquelle und erfüllt gleichzeitig die bestehende Nachweispflicht: Denn die Zuweisung und der Entzug von Rechten müssen dokumentiert und begründet werden und bei Audits auf Nachfrage von Prüfern nachgewiesen werden.

Eine ILM-Lösung verhindert auch Produktivitätseinbußen. Denken Sie beispielsweise an einen Leiharbeiter, der 1.000 Euro pro Woche verdient, aber eine Woche lang keinen Zugriff auf E-Mails, Software und Anwendungen hat. Auch die Kostenfaktoren von Legacy-Lösungen sollten nicht unterschätzt werden. Einige Unternehmen ohne automatisiertes ILM arbeiten immer noch mit Excel-Tabellen oder komplexen, selbst entwickelten Lösungen, in denen gewährte und entzogene Zugriffsrechte manuell eingegeben werden. Eine haarsträubende Lösung, die unübersichtlich ist und sich auf den (leider fehlerhaften) Faktor Mensch verlässt. Eine unregelmäßig gepflegte Tabelle kann für ein Unternehmen bereits schwerwiegende Sicherheitsmängel bedeuten, die dazu führen, dass Mitarbeiter entweder zu viele Berechtigungen erhalten, was zu Sicherheitsrisiken führt, oder zu wenige, was Produktivitätsverluste bedeutet. Eine ILM-Lösung hingegen entlastet nicht nur die Administratoren, sondern kann mithilfe von Analysen und KI auch anzeigen, wenn jemand eine Berechtigung über einen längeren Zeitraum nicht genutzt hat, und diesen Zugriff dann widerrufen. Darüber hinaus kann es den Zugang von Mitarbeitern, die in Elternzeit gehen oder vorübergehend ihren Arbeitsplatz verlassen, automatisch deaktivieren, während der Zugang einer anderen Person zugewiesen wird, und ihn bei deren Rückkehr wieder reaktivieren.

Die rechte Hand der Compliance

Identity Lifecycle Management schlägt somit mehrere Fliegen mit einer Klappe: Es macht die manuelle Pflege von Zugriffsrechten überflüssig, schließt den menschlichen Faktor in der Zugriffsverwaltung aus und verteilt die Rechte automatisch an zuvor definierte Rollen und Kontexte. Gleichzeitig ist diese Lösung die rechte Hand der Compliance und eine unverzichtbare Unterstützung bei Audits. Sie spart Transaktionskosten, schließt Einfallstore über verwaiste Benutzerkonten und verhindert Verluste durch zugangsbezogene Betriebsstörungen.

Weitere Informationen zum Thema:

datensicherheit.de, 02.06.2019
One Identity-Umfrage: IAM-Praktiken schwierig umzusetzen

Von unserem Gastautor Terry Ray, CTO von Imperva

[datensicherheit.de, 25.07.2018] Der 25. Mai kam und ging. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) ist jetzt verbindlich. Die ersten Klagen im Zusammenhang mit der DSGVO wurden bereits eingereicht. Und die Welt dreht sich trotzdem weiter.

Die DSGVO dürfte das weitreichendste und komplexeste Datenschutz-Regelwerk sein, das die Welt je gesehen hat. Das hat folgende Gründe:

• Die DSGVO stellt enorm hohe Sicherheits- und Datenschutzanforderungen an Unternehmen, die personenbezogene Daten besitzen. Dabei spielt es keine Rolle, ob ein Unternehmen diese Daten durch Dritte verarbeiten lässt oder nicht.
• Bei Verletzungen der Vorschriften sieht die DSGVO schwindelerregende Höchststrafen vor. In manchen Fällen könnten diese bis zu 20.000.000 Euro oder 4 % des Jahresumsatzes des zuwiderhandelnden Unternehmens betragen, je nachdem, welcher Betrag höher ist.
• Wenn es um personenbezogene Daten von Bürgern in der EU geht, ist die DSGVO de facto eine globale Verordnung, mithilfe derer die EU ihre Vorstellungen von Datenschutz nahezu weltweit verbreitet.

In Zeiten, in denen regelmäßig spektakuläre Datenpannen Schlagzeilen machen, haben indessen viele Führungskräfte und IT-Administratoren Sorge, dass ihre Unternehmen außerstande sein könnten, die DSGVO einzuhalten.

Bild: Imperva

Terry Ray, CTO von Imperva

Die schlechte Nachricht ist, dass sie wahrscheinlich recht haben. Meine persönliche Prognose lautet, dass neun von zehn Unternehmen ihren ersten DSGVO-Audit nicht bestehen – und dass viele auch bei den nachfolgenden Audits durchfallen werden.

Die gute Nachricht ist, dass sie wahrscheinlich recht haben. Wenn nämlich so große Teile der Welt nicht in der Lage sind, den strengsten Interpretationen der DSGVO gerecht zu werden (am 25. Mail reagierten viele große US-Websites auf die DSGVO damit, dass sie EU-Besucher einfach blockierten), werden die Datenschutzbehörden der EU-Mitgliedsstaaten ihr Vorgehen in der Praxis daran anpassen müssen. Solange sich in einem Unternehmen kein Datendiebstahl oder ein ähnlicher Vorfall ereignet hat, ist es äußerst unwahrscheinlich, dass die Datenschutzbehörden mit voller Härte und Strafgewalt zuschlagen, nur weil die DSGVO-Compliance Lücken aufweist. Zwar werden sich kleinere Delinquenten, bei denen es zu keinem Datenmissbrauch gekommen ist, zweifellos auf Abmahnungen und/oder geringere Geldbußen einstellen müssen, doch darf man davon ausgehen, dass sich die Datenschutzbehörden (wie alle Regulierungsbehörden) auf die Jagd nach den größten, nachlässigsten, glücklosesten und politisch unbeliebtesten Missetätern konzentrieren werden.

Der DSGVO davonlaufen

In den ersten Jahren der DSGVO dürften die meisten Unternehmen keine allzu großen Schwierigkeiten hinsichtlich Compliance-Problemen bekommen, sofern sie nicht (a) mehrmals mit den gleichen Verstößen auffallen, (b) fahrlässiges Verhalten an den Tag legen oder (c) Opfer eines Datenmissbrauchs werden. Denn die Regulierer halten es ein wenig wie die Hacker: Sie konzentrieren sich zunächst sich zuerst die „einfachen Ziele“.

Zum Beispiel schreibt die DSGVO eine sehr grundlegende Datenhygiene vor: Die Unternehmen, die der Verordnung unterliegen, müssen wissen, welche DSGVO-relevanten Daten sie wo gespeichert haben, sie müssen diese Daten klassifizieren sowie überwachen und schützen. In vielen großen und mittleren Unternehmen mangelt es allerdings schon an diesen „Basics“ der Datenhygiene. Wenn Konzern X sicher weiß, dass er DSGVO-relevante Daten auf, sagen wir mal, 10 Prozent seiner Server speichert und zugänglich macht, dann dürfte er mit diesem dokumentierten Wissen der Konkurrenz in puncto Compliance also schon ein gutes Stück voraus sein.

Wahrscheinlich ist jedoch, dass irgendwann ein externer Prüfer feststellt, dass es zwar von Vorteil ist, dass das Unternehmen auf diesen 10 Prozent ihrer Server DSGVO-relevante Daten speichert, hier allerdings der Nachweis fehlt, dass auf den anderen 90 Prozent ihrer Server keine DSGVO-relevanten Daten liegen.

Datenschutz erfordert spezifische Übersichtsdaten

Was den sicheren Entwicklungszyklus (SDLC) angeht, haben sensible Daten ein Talent, an Orte zu gelangen, an denen sie nichts verloren haben. IT-Administratoren verbringen oft viel Zeit damit, sich auf das zu fokussieren, was sie wissen – und kümmern sich viel zu wenig um das, was sie nicht wissen. Schon viel zu viele gravierende Datendiebstähle sind möglich geworden, weil Angreifer Speicherorte mit sensiblen Daten aufspürten, dessen sich das betreffende Unternehmen nicht bewusst war – weswegen es auch keine angemessenen Maßnahmen getroffen hatte, um die Daten zu schützen, zu verfremden oder Bedrohungen anderweitig zu entschärfen.

Einem Prüfer einfach 75.000 Seiten mit Datenbankabfragen in die Hand zu geben, wird nicht ausreichen, denn kein Prüfer der Welt kann hiermit etwas anfangen. Stattdessen benötigt ein Unternehmen spezifischere, detailliertere und gezieltere Überblicksdaten, die zeigen, wer wann mit welchen Dateiservern oder Datenbanken zu tun hatte. Und was noch wichtiger ist: Aus diesen Überblicksdaten muss hervorgehen, worauf genau zugegriffen wurde.

Dies wird die große Cybersecurity-Lernkurve werden, welche die DSGVO mit sich bringt. Derzeit kursieren so viele Worst-Case-Compliance-Szenarien (kein Datenschutz, keine Datenverfremdung, Produktionsdaten überall), dass Unternehmen es wohl ohne allzu große Mühe vermeiden können, im – sagen wir mal – ersten bis dritten Jahr der DSGVO auf die Fahndungslisten der Datenschutzbehörden zu geraten. Nur werden es viele weiterhin daran fehlen lassen, Best Practices für Datenschutz und Datenhygiene zu befolgen und Vorschriften umfassend einzuhalten.

DSGVO: Eine Datenschutz-Nebelkerze

Dies ist der Grund, warum die DSGVO in gewisser Weise fast keinen Unterschied macht. Unternehmen, die auf der Suche nach Datenschutzlösungen sind, erkundigen sich bei den Anbietern häufig, ob diese (und deren Kunden) mit irgendeinem bestimmten Regelwerk konform sind. Das ist zwar eine berechtigte Frage, allerdings gilt hier für Unternehmen zu bedenken, dass es im Grunde nicht entscheidend ist, um welche spezifische Vorschrift es sich handelt und ob der Betrieb Kunden hat, die diese Vorschrift einhalten, oder nicht. Der Grund dafür ist, dass die Vorschriften – allesamt – relativ ähnlich sind. Der zentrale Grundsatz absolut jeder existierenden Datenschutzvorschrift lautet:

Sie müssen wissen, wer auf bestimmte Informationen wann, wo und wie (und in welchem Umfang) zugreift.

Sicherlich gibt es verschiedene Arten von Daten und Vorschriften mit jeweils unterschiedlichen Anforderungen an die Berichterstattung und Nachverfolgung. Doch entweder kann Ihnen ein Anbieter helfen, den obigen zentralen Grundsatz zu befolgen – oder eben nicht.

Der größte Haken an der DSGVO – und der Auslöser für die Panik bei zahlreichen Unternehmen – besteht darin, dass es um ein so breites Spektrum an Daten geht und sehr viele Abteilungen betroffen sein können, ganz gleich in welchem Sektor oder Wirtschaftszweig. Schließlich reden wir hier von Kundendaten, die praktisch überall zu finden sein können.

Das wirft für Unternehmen, die DSGVO-konform werden wollen, zwei schwierige Fragen auf: Erstens: Wie können wir alle unsere Daten und die Zugriffe darauf überprüfen? Ist das überhaupt machbar? Und Zweitens: Wenn es derzeit nicht machbar ist, alle unsere Daten und die Zugriffe darauf zu überprüfen, wie können wir unsere Daten dann so konsolidieren, dass sie prüfbar werden?

Die einzige mögliche Lösung wird hier oft darin bestehen, gründlich zu ermitteln, (a) wer welche DSGVO-relevanten Daten benötigt, und (b) wie man diese Daten entsprechend zentralisieren kann. Dies sollten Unternehmen jedoch ohnehin tun.

Derzeit sind die meisten Unternehmen von einer guten Datenschutz-Hygiene allerdings weit entfernt. Eine kürzlich veröffentlichte Untersuchung des Ponemon Institute ergab, dass 76 % der teilnehmenden Unternehmen weltweit über keinen formalen und konsequent angewandten Incident-Response-Plan für Cybersicherheit verfügen. Und gleichzeitig haben die Unternehmen nach wie vor Probleme, personenbezogene Daten zu identifizieren, zu finden und zu schützen.

Man denke nur an PCI-DSS – einen recht geradlinigen Datenschutzstandard, der die Art von Daten, die er schützt, sehr genau ausführt und eng begrenzt. Der Datendiebstahl bei TJX zwischen 2005 und 2006 – damals die größte Datenpanne aller Zeiten – fand statt, nachdem bereits mehrmals festgestellt worden war, dass TJX PCI-DSS nicht einhielt. Die Nachwirkungen dieses Vorfalls wurden noch verschlimmert durch das Wunschdenken des CIOs im Hinblick auf die PCI-DSS-Compliance. Und bis zum heutigen Tag gibt es immer noch Unternehmen, die ihre PCI-DSS-Audits nicht bestehen – obwohl PCI-DSS vor mehr als 13 Jahren eingeführt wurde.

Wie also könnten wir etwas anderes erwarten, als dass sich die Geschichte bei der DSGVO – der mit Abstand umfassendsten und komplexesten Datenschutzvorschrift, die es je gab – wiederholen wird?

Dies sollte allerdings nicht falsch verstanden werden: Es ist kaum davon auszugehen, dass die DSGVO nicht durchgesetzt werden wird. Jedoch sollten Unternehmen in der Lage sein, dem DSGVO-Sturm ein paar Jahre lang zu trotzen, sofern sie sich zuallererst insgesamt um DSGVO-Compliance bemühen. Im zweiten Schritt sollten Betriebe anfangen, ausnahmslos alle ihre Daten angemessen zu verfolgen und zu klassifizieren. Im dritten und letzten Schritt sollten sämtliche Zugriffe auf personenbezogene Daten so überwacht werden, dass sie den Prüfern Rede und Antwort stehen können und im Falle einer Datenschutzverletzung schnell die nötigen Informationen zur Krisenbewältigung zur Hand haben. All dies mit dem Ziel, langfristig auch erweiterten behördlichen Kontrollen standhalten zu können.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

datensicherheit.de, 31.03.2016
Imperva Hacker Intelligence Initiative Report: Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen

[datensicherheit.de, 15.04.2017] Viele Unternehmen und Institutionen haben sich häufig eher schleppend als begeistert der Sicherheit ihrer Office-IT gewidmet – nicht selten mussten erst gravierende Datensicherheitsverletzungen „Überzeugungsarbeit“ leisten, um die Notwendigkeit einzusehen und Mittel freizusetzen. Ähnlich wie mit der Zunahme der Digitalisierung und Vernetzung noch vor Jahren multimediale, spielerische Attitüden zur Informations- und Kommunikationstechnologie in Büros und bei Privatanwendern Einzug hielten (und Sicherheitsaspekte dabei gerne kleingeschrieben wurden), haben die neuen technischen Möglichkeiten zur vorschnellen Befolgung eines Hypes dann auch in industriellen Anwendungen geführt: In Medienberichten und Vorträgen auf IT-Sicherheitstagungen wird immer wieder auf die berühmt-berüchtigte Suchmaschine „Shodan“ eingegangen, mit welcher u.a. das Auffinden zumeist ungeschützter, mit dem Internet verbundener Geräte und Computersysteme möglich ist – und geradezu eine Einladung für maliziöse Hacker ist. Die industrielle IT-Sicherheit wird zu einem Qualitätsmerkmal und einer zentralen Herausforderung:
Es ist höchste Zeit, mit der Hinwendung der Wirtschaft zur Industrie 4.0 mehrstufige Sicherheitskonzepte zu entwickeln, um die Chancen dieses epochalen Wandels erfolgreich nutzen zu können.

Industrie im Visier destruktiver Absichten

Mit der Verlagerung der industriellen Wertschöpfung in durch Vernetzung geschaffene temporäre oder auch dauerhafte digitalisierte Kooperationsstrukturen ist das Eine sicher: Kriminalität, Sabotage und andere destruktive Machenschaften werden diese verstärkt ins Visier nehmen!
Malware-Attacken, als Beispiel sei hier nur „Stuxnet“ genannt, treffen die automatisierte Industrie und vernetzte Infrastrukturen. Angreifern wird es bisher leider noch zu oft sehr leicht gemacht, Malware über USB-Schnittstellen, das unternehmenseigene Intranet oder das Internet einzuschleusen. Solche Schwachstellen stellen eine große, gar existenzielle Gefahr dar.

Bestandsaufnahme aller Schwachstellen zur Ableitung von Maßnahmen

Waren vor allem kleine und mittlere Unternehmen (KMU) schon oft überfordert, sich selbst der IT-Sicherheit im Büro zu widmen, dürfte die industrielle Ebene kaum noch ohne Hilfe externer Experten zu schützen und zu sichern sein. Yokogawa z.B. verweist auf die Richtlinie ISA99 (Industrial Automation and Control Systems Security) als Grundlage der Gestaltung von Abwehrmaßnahmen gegen Angriffe. Dazu gehören demnach auch Berechtigungskonzepte und sichere Anmeldeverfahren.
Eine detaillierte Analyse der Sicherheit vor Ort sei indes immer notwendig: Im Rahmen einer Bestandsaufnahme müssten Schnittstellen und deren Offenheit sowie weitere Schwachstellen identifiziert und abgebildet werden. Im Kontext eines solchen Audits sollten auch Interviews beim Kunden mit dem Ziel einer umfassenden Risikoanalyse durchgeführt werden, um im Ergebnis einen Realisierungsplan für Sicherheitsmaßnahmen abzuleiten. Eine einfache Sicherheitsmaßnahme könnte z.B. eine regelmäßige und systematische Einspielung von Sicherheitsupdates für die jeweilige Industrieanlage oder eine vorzeitige Verriegelung der USB-Ports sein.

Mehrstufiges Sicherheitskonzept für Automatisierungssysteme

Yokogawa rät zu einem Sicherheitskonzept auf vier Ebenen:

1. Physische Sicherheit und Netzwerksicherheit (z.B. Zugangsbeschränkungen bzw. -überwachung für Computer- und Schalträume, Firewall zwischen Leitsystem-Bus und anderen Netzwerken wie z.B. Büro- oder Drahtlosnetzen, VPN-Zugänge)
2. Sicherheit von Servern und Applikationssoftware (z.B. Whitelisting, Antiviren-Software und Systempflege wie Updates, Upgrades und Patches)
3. Sicherungs- und Wiederherstellungsoptionen (z.B. automatisches Erstellen von Backups, Backupverwaltung)
4. Lebenszyklus-Management (Anpassung der Sicherungs- und Schutzmaßnahmen an den aktuellen Stand der Technik und die spezifische Bedrohungslage)

Gestützt auf ein solches Konzept sowie auf die Aufmerksamkeit und Achtsamkeit der Mitarbeiter ließen sich industrielle Anlagen zuverlässig vor Spionage und Sabotage schützen.

Sicheres Management gewaltiger Datenmengen

Die Zunahme an Sensorik und Aktorik sowie der Einsatz „smarter“ Maschinen führt zu einem gewaltigen Anwachsen der Datenmengen im „Industrial Internet of Things“ – diese müssen gesammelt, analysiert und wieder bereitgestellt und somit auch geschützt und gesichert werden. In Wertschöpfungsnetzwerken fallen unzählige Daten u.U. an verschiedenen Produktionsstandorten an – diese sollten zusammengeführt werden, um die Produktion und die Datensicherheit effektiver und effizienter zu gestalten.
Eine solche Zusammenführung, Analyse und Bereitstellung von Daten in Form einer Servicedienstleitung wird in der Branche als „Data as a Service“ (DaaS) bezeichnet. Dazu werden in einer Cloud Daten aus den verschiedensten Systemen, d.h. Anlagen, Geräten bzw. Maschinen, zusammengeführt, ausgewertet und aktiviert. DaaS umfasst somit mehr als nur die Bereitstellung des Servers zur Speicherung der Daten – es gilt, die anfallenden Daten zu überprüfen, zu sortieren, ggf. zu löschen bzw. zu sichern, diese nach Bedarf neu anzuordnen und einfach abrufbar zur Verfügung zu stellen. Für diese Aufgabe sollte ein verlässlicher externer Dienstleister, dem alle Netzwerkpartner vertrauen können, beauftragt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 10.10.2016
Cluster Industrie 4.0 zu Gast bei datensicherheit.de auf der „it-sa 2016“

[datensicherheit.de, 09.01.2017] Die Vorbereitungen für den Start der neuen EU-Datenschutz-Grundverordnung (DS-GVO) laufen bereits auf Hochtouren, denn am 25. Mai 2018 treten die Neuerungen für alle Unternehmen in Europa verpflichtend in Kraft. IT-Sicherheitsexperten der PSW GROUP erarbeiten hierzu nach eigenen Angaben gemeinsam mit „hochkarätigen Netzwerkpartnern“ Audit- und Zertifizierungskonzepte.

Zunehmender Dokumentationsaufwand für Unternehmen

„Unser Ziel ist es, unseren Kunden Möglichkeiten an die Hand zu geben, ihren Workflow an die anstehende EU-Datenschutz-Grundverordnung auszurichten und sie rechtssicher agieren zu lassen“, erläutert Christian Heutger, Geschäftsführer der PSW GROUP.
Die Komplexität der EU-DSGVO verlange nach Experten, welche die Gesetze, aber auch Risiken und Chancen von Daten und Datenschutz kennen.
Sicher sei, so Heutger, dass die DS-GVO „richtig kompliziert“ und der Dokumentationsaufwand für Unternehmen „immens“ steigen werde – nicht zuletzt deshalb, weil Unternehmen künftig „über alles Rechenschaft abzulegen haben“.

Unternehmen in der Bringschuld

„Für die Praxis bedeutet es, dass Unternehmen künftig nach dem ,Belege deine Unschuld‘-Prinzip agieren müssen“, so Heutger. Unternehmen seien grundsätzlich in der „Bringschuld“ – wer seine Schutzmaßnahmen künftig nicht transparent belegen kann, müsse mit „existenzbedrohenden Bußgeldern“ rechnen.
Das gelte auch für Unternehmen, die den Datenschutz ab Mai 2018 wissentlich oder unwissentlich vernachlässigen. Die Verbraucherseite werde „immens gestärkt“. Betroffene könnten immaterielle Schadenersatzansprüche geltend machen, deren Höhe im Ermessen des Gerichts liege. Heutger: „Für Unternehmen bedeutet es im Klartext, dass jeder Datenschutz-Fehler so teuer werden kann, dass die unternehmerische Existenz daran hängt.“

Auch Vorteile für Werbetreibende

Aber nicht nur die Verbraucherrechte würden gestärkt, sondern auch die Möglichkeiten für Unternehmen, Werbung zu machen. So heiße es in der DS-GVO, dass „die Verarbeitung personenbezogener Daten […] zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden [kann]“ – ein solches „berechtigtes Interesse“ liege vor, wenn Unternehmen Produkte, Waren oder Dienstleistungen bekannter machen und/oder verkaufen möchten, sagt Heutger.
Damit dürften die Möglichkeiten zu werben vielfältiger werden. Allerdings könne ein Verbraucher sein Widerspruchsrecht in Anspruch nehmen. Dann überwiege das „schutzwürdige Interesse“ des Einzelnen – dieses sorge dafür, dass Werbemaßnahmen in jedweder Form unzulässig seien.

Informations-Sicherheits-Analyse empfohlen

„Aufgrund dieser Komplexität und der Tatsache, dass jedes Unternehmen in Europa ganz individuell ist, ist eine Informationssicherheitsanalyse deshalb fast schon Pflicht“, bekräftigt Heutger.
Als Netzwerkpartner des Bayerischen IT-Sicherheitscluster e.V. sei die PSW GROUP bereits jetzt in der Lage, die „ISA+“-Informations-Sicherheits-Analyse anbieten zu können. Diese Analyse sei entwickelt und standardisiert worden, um Bedarf bezüglich der Informationssicherheit in Unternehmen feststellen zu können.
„Als akkreditierter ,ISA+‘-Informations-Sicherheits-Analyse-Berater identifizieren wir Stärken und Schwächen in der IT-Infrastruktur gezielt. Unsere Handlungsempfehlungen zeigen auf, wie Unternehmen ihre Informationssicherheit steigern können.“ Die Analyse tangiere den Datenschutz und inkludiere zahlreiche datenschutzrelevante Punkte, die aufzeigten, inwieweit jedes einzelne Unternehmen bereits fit für die DS-GVO-Ära ist.

© PSW Group

Christian Heutger: Informationssicherheitsanalyse fast schon Pflicht!

Audit- und Zertifizierungskonzepte zur EU-DSGVO

Zudem arbeitet die PSW GROUP nach eigenen Angaben gemeinsam mit anderen Mitgliedern des Vereins, darunter Firmen der IT-Wirtschaft, Hochschulen, Forschungs- sowie Weiterbildungseinrichtungen und Juristen, an Zielen in den Schwerpunktthemen IT-Sicherheit und „Functional Safety“.
Vertreter der PSW GROUP treffen sich demnach zu diesem Zweck derzeit regelmäßig mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), um Audit- und Zertifizierungskonzepte zur EU-DSGVO zu erarbeiten.

Weitere Informationen zum Thema:

datensicherheit.de, 19.10.2016
EU-DSGVO: Neue EU-Datenschutzregeln ab 2018

[datensicherheit.de, 02.06.2016]  In Fulda wird das Aussehen der Autos der Zukunft geplant. Als spezialisierter Dienstleister für die Entwicklung von modernen Produktionslösungen in der Automobilindustrie 2010 gestartet, konnte sich das Unternehmen über die Jahre hinweg weiter entwickeln und ein fundiertes Know-how in der Anlagenentwicklung erarbeiten. Automobilbauer beauftragen das 60 Mitarbeiter umfassende Ingenieurbüro mit der Planung, Ausschreibung von Projekten und Beratung von Karosserie-Anlagenbauern, um CAD-Daten in Fahrzeugteile für die Produktion zu verwandeln. Alle Mitarbeiter wurden dafür in den Werkzeugen, Methoden und Prozessen des digitalen Engineerings geschult. „Bis aus Daten echte Bauteile werden, vergeht viel Entwicklungszeit. Wir begleiten und gestalten für unsere Auftraggeber den gesamten Prozess von der Entwurfsphase für die erste Anlage auf dem Papier bis hin zur Produktion. Am Ende muss die Anlage so funktionieren, dass in 60 Sekunden ein Auto produziert wird“, erklärt Daniel Auerbach, Geschäftsführender Gesellschafter bei der A&S Engineering und Gründer zusammen mit dem geschäftsführenden Gesellschafter Wolfgang Sieckel.

Bild: A+S Engineering

Das Thema Sicherheit spielt hier eine große Rolle, denn dem Unternehmen werden Prototypen-Daten anvertraut, aus denen die Fahrzeuge für die Zukunft entwickelt werden. Die Entwicklungsinformationen sind ihrer Zeit zwischen vier und fünf Jahre voraus und dadurch hochinteressant für die Konkurrenz. Damit diese geschäftskritischen Daten überhaupt von einem Server auf den anderen übertragen werden können, haben die Auftraggeber der Karosserie-Experten bereits hochsichere Zugänge geschaffen, auf die nur mit entsprechenden Berechtigungen zugegriffen werden kann. Doch nicht nur die Übertragungsleitung wird entsprechend dem Wert der Informationen abgesichert.

Auditierung für Dienstleister und Zulieferer

Seit 2015 hat einer der größten Auftraggeber aus der Automobilbranche darüber hinaus auch eine Auditierung aller Dienstleister eingeführt, um die Sicherheit der Daten über das eigene Netzwerk hinaus zu garantieren. Von dieser Änderung war auch die A&S Engineering betroffen. Neben einem Alarmsystem zum Schutz vor Einbrechern, einer Technologie zur Festplatten-Verschlüsselung sowie Maßnahmen zur Erhöhung der Server-Sicherheit stand dabei auch die Absicherung des täglichen Authentifizierungsprozesses und des Fernzugriffs auf der Anforderungsliste. Dieser Zugriff sollte über einen zweiten Faktor erfolgen. „Es gab zwei K.O.-Kriterien für das Audit: die Alarmanlage und die Zwei-Faktor Authentifizierung“, erinnert sich Auerbach. „Unsere Auftraggeber müssen dafür sorgen, dass nicht nur die Fahrzeuge sicher sind, sondern auch die Informationen geheim bleiben, die für die Entwicklung notwendig sind. Hier leisten wir natürlich gerne unseren Beitrag und sind uns außerdem bewusst, dass auch wir ins Visier von Cyber-Kriminellen geraten können.“ Darüber hinaus bringt das neue IT-Sicherheitsgesetz Unruhe in die Branche und immer mehr Unternehmen suchen nach Möglichkeiten, sensible Informationen vor fremden Zugriffen zu schützen.

Authentifizierung mit dem eigenen Smartphone

Um diese Anforderung zu erfüllen, sucht das Unternehmen nach einer sicheren aber auch praktikablen Lösung. „Als Know-how und Geheimnisträger ist es natürlich für uns wichtig, nicht nur die geforderten Standards einzuhalten, sondern uns darüber hinaus auch als vertrauensvoller Ansprechpartner zu präsentieren. Allerdings wollten wir die Komplexität möglichst geringhalten. Unsere Mitarbeiter müssen schnell und sicher auf unser Netzwerk und die dort liegenden Daten zugreifen. Deshalb haben wir uns über unsere interne IT-Abteilung und unseren Ansprechpartner bei der Bucher Netzwerke in Weingarten über die im Markt verfügbaren Lösungen zur Zwei-Faktor Authentifizierung informiert“, sagt Auerbach. Interessant war eine Lösung, die im Zusammenspiel mit dem Smartphone des Mitarbeiters für eine sichere Authentifizierung sorgt: SecurAccess von SecurEnvoy.

Verschlüsselung und geteilte Übertragung für mehr Sicherheit

Die Zwei-Faktor Authentifizierung funktioniert über eine App, die sogenannte SoftToken App. Über diese für iOS und Android, Windows Phone und Blackberry erhältliche App wird ein alle 30 Sekunden wechselnder, sechsstelliger Passcode generiert, der wiederum auf dem PC oder Laptop zur Anmeldung am Netzwerk genutzt wird. Der Server überprüft bei der Anmeldung die Gültigkeit des eingegebenen Passcodes für diesen Benutzer und diesen Zeitpunkt. Die Daten selbst werden auf dem Server der Fuldaer Ingenieure verschlüsselt abgelegt, wobei die hochsichere 256-bit AES Verschlüsselung eingesetzt wird, um auch im Fall eines kompromittierten Netzwerks für die Sicherheit der Daten in alle Richtungen hin sorgen zu können. Auerbach erläutert die Installation aus seiner Sicht: „Die Einrichtung war sehr einfach: Wir mussten nur die passende App herunterladen, dann am SecurAccess Sicherheits-Server anmelden und einen QRCode mit der Handy-Kamera abscannen. Schon hatten wir die Einrichtung geschafft und bekamen einen Passcode auf dem Smartphone angezeigt, mit dem wir uns mit PC oder Laptop am Firmennetzwerk einloggen konnten.“
Bei der Einrichtung mittels QR Code wird der erste Teil des Benutzer-individuellen Schlüssels („Seed Record“) vom Server auf das Smartphone übertragen, ohne dass dafür eine Netzwerkverbindung nötig ist. Im zweiten Schritt erzeugt das Smartphone den zweiten Teil des Schlüssels, den der Benutzer dann in Form eines acht-Zeichen langen Wertes auf der Registrierungsseite eingibt. Mit diesem einmaligen Vorgang stellt der Hersteller sicher, dass auch nur dieses eine Gerät gültige Passcodes generieren kann. Eine Doppelregistrierung oder Übertragung des Schlüssels z.B. mittels eines Backups des Telefonspeichers wird durch diese „Split-Seed-Technologie“ wirksam unterbunden.

Überzeugende und kurze Testphase sorgt für erfolgreiches Audit

Nach der Installation einer Test-Lizenz und einer Testphase, in der beide Geschäftsführer die App auf ihren Smartphones selbst ausprobierten, war klar, dass wir die richtige Lösung gefunden hatten. Nun musste nur noch mit dem Auditor geklärt werden, ob die Zwei-Faktor Authentifizierung auch dem entspricht, was der Auftrag gebende Automobilkonzern in seinen Richtlinien definiert hatte. Als schnellster Weg stellte sich die Übermittlung der Spezifikation heraus, die an den Auditor übersendet wurde und der nach einem Telefonat mit der Geschäftsführung seine Zustimmung zum Einsatz der Lösung erteilte. Die Geschäftsleitung entschied sich dann dazu, gleich für alle Mitarbeiter Lizenzen der Zwei-Faktor Authentifizierung anzuschaffen. „Es macht für uns keinen Sinn, die Lösung nur für den einen Kunden einzusetzen. Deshalb haben wir uns entschieden, die Authentifizierung für alle unsere Login-Prozesse einzuführen“, sagt Auerbach. Inzwischen nutzen alle Mitarbeiter – egal mit in welcher Funktion – die Zwei-Faktor Authentifizierung. Dass sie dafür das eigene Smartphone nutzen können und nicht noch ein weiteres externes Gerät mit sich herumtragen müssen, hat für eine schnelle Akzeptanz gesorgt. Sollte einer der Mitarbeiter Probleme bei der Anmeldung haben, gibt es noch zwei weitere Möglichkeiten zur erfolgreichen Authentifizierung: Ein sogenannter Voice-CallBack sowie eine Übertragung des Passcodes per E-Mail. Diese beiden Optionen dienen im Einzelfall für den schnellen Zugang zum Netzwerk auch ohne Smartphone App.

Skalierung möglich

„Bei SecurEnvoy gab es die Lösungen im Bundle zu 50 Lizenzen. Wir wollen in Zukunft weiterwachsen und weitere Mitarbeiter einstellen. Diese Mitarbeiter brauchen dann natürlich auch eine Lizenz, um sich auf unserem Server anzumelden. Daher ist es nur logisch, dass wir dann gleich Lizenzen im Haus haben und nicht jedes Mal wieder neue anfordern müssen “, führt Auerbach aus. Die Investition in mehr Sicherheit war für A&S Engineering eine Investition in die Zukunft, denn immer mehr Auftraggeber fordern durch das neue IT-Sicherheitsgesetz eine Auditierung an. „Dass wir hier schon vorgesorgt haben, ist auf jeden Fall ein gutes Gefühl“, schließt Auerbach.

Von unseren Gastautoren Robert Kuhlig und Thomas Neeff

[datensicherheit.de, 17.02.2014] Im IT-Dienstleistungsbereich ist die vollständige oder teilweise Vergabe von Dienstleistungen üblich. Unternehmen versprechen sich davon eine Konzentration auf ihre Kernkompetenzen, indem sie einzelne Elemente der IT-Wertschöpfungskette – beispielsweise den Rechenzentrumsbetrieb oder ganze Services wie z.B. die Rechnungsarchivierung – an spezialisierte Dienstleister vergeben. Auch Kostenvorteile werden als Grund für solche Auftragsvergaben angeführt.

Kann man Verantwortung auslagern?

In Bezug auf die Verantwortung für das Handeln der jeweiligen Dienstleister ist die Meinung weit verbreitet, dass der Dienstleister neben der operativen Durchführung der Dienstleistung auch vollumfänglich die Verantwortung vor allem für die Sicherheit der Informationen hinsichtlich der ausgelagerten Dienstleistung übernimmt. Dies trifft jedoch nicht zu; grundsätzlich verbleibt die Verantwortung für die Datenverarbeitung immer beim Auftraggeber, denn Verantwortung kann nicht ausgelagert werden. Begründungen und Argumente hierfür finden sich in praktisch allen regulatorischen und gesetzlichen Vorgaben (einige Beispiele: Bundesdatenschutzgesetzt für die Verarbeitung personenbezogene Daten, Kreditwesengesetz für die Auslagerung im Banken- und Finanzdienstleistungsumfeld,  Regularien der US-amerikanischen FDA (Food & Drug Administration)), in denen auf die Auslagerung von IT-Dienstleistungen Bezug genommen wird.

Praxistipp: Lassen Sie sich bereits bei der Auftragsvergabe ein regelmäßiges Recht zur Auditierung der Abläufe beim Dienstleister schriftlich zusichern und definieren Sie Kriterien, nach denen in regelmäßigen Abständen (zeitliche Komponente) und bei außerordentlichen Ereignissen (z.B. Service Level Verletzungen, Security Incidents, Veränderung der Services) Überprüfungen durch Audits durchgeführt werden sollen.

Rechtfertigung für einen Lieferantaudit

Grundsätzlich obliegt es daher dem Auftraggeber einer Dienstleistung, sich regelmäßig in angemessenen Abständen, bei Bedarf und mittels entsprechender Vorgehensweisen – zum Beispiel mittels eines risikobasierten Ansatzes – von der Ordnungsmäßigkeit (so wie vereinbart) der Abläufe beim Dienstleister zu überzeugen. Das kann mittels qualifizierter Nachweise von Dritten erfolgen, indem beispielsweise eine sach- und fachkundige Partei Überprüfungs-Audits beim Dienstleister durchführt. Solchen Audits liegt oft ein konkreter Anlass zu Grunde, wobei grundsätzlich in einschlägigen Normen wie der IT Service Management-Norm ISO20000 oder auch der IT Security Management Normenreihe ISO27000 eine solche regelmäßige Überprüfung gefordert wird. Die Erfüllung dieser Forderung sichert nicht nur die Qualität und Sicherheit der eingekauften IT-Dienstleistung, sondern hilft auch, das Verhältnis zwischen Kunde und Lieferant langfristig zu erhalten und auf ein für beide Parteien akzeptiertes Niveau zu heben.

Vorgehen beim Audit

Im Rahmen eines Lieferanten-Audits erfolgen Prüfungshandlungen üblicherweise sowohl auf Seiten des Auftraggebers als auch beim Auftragnehmer einer IT-Dienstleistung. Auf Seiten des Auftraggebers wird mindestens überprüft, welche Vorgaben (Lieferanten Policy) für die Aussteuerung des Lieferantenverhältnisses vorhanden sind und ob beispielsweise die IT-Sicherheitsvorgaben für Lieferanten den eigenen Vorschriften entsprechen. Bei der Überprüfung des Lieferanten, die den Hauptumfang der Prüfungshandlungen darstellt, dreht sich die Untersuchung schwerpunktmäßig um die Frage, ob die Vereinbarungen hinsichtlich der Dienstgüte (Service Level – SL) eingehalten werden. Dabei wird im Bereich IT-Sicherheit meist intensiver geprüft als in den anderen Disziplinen. Ebenso ist es möglich, besondere Schwerpunkte aus branchenspezifischen Anforderungen und spezielle in den SLA vereinbarte Aspekte mit in die Analyse einzubeziehen.

Was wird nach einem Audit geliefert?

Die Untersuchungsergebnisse werden in einem Audit Report festgehalten. Dieses Dokument zeigt nicht nur die beim Audit gemachten Beobachtungen auf, sondern gibt auch konkrete Empfehlungen anhand eines priorisierten Maßnahmenkataloges , wie und in welcher Reihenfolge die identifizierten Punkte einer Lösung zugeführt werden müssen. Auf Basis dieser Dokumente können Auftraggeber und Dienstleister gemeinsam die Abarbeitung der Themen planen, welche dann im Rahmen von Nachbetrachtungen erneut überprüft werden.

Praxistipp: Ein qualifizierter Audit Report stellt einen angemessenen Nachweis dar, mit dem sich die Verantwortung des Auftraggebers (auslagerndes Unternehmen) für die Datenverarbeitung gegenüber Dritten nachweisen lässt. Insbesondere im Fall von Uneinigkeiten zwischen den Parteien und etwaigen folgenden Auseinandersetzungen hinsichtlich des Auftragsgegenstands ist ein solches Dokument ein hilfreiches Beweisstück von erheblicher Aussagekraft.

Ist ein Lieferanten Audit rentabel?

Meist ergibt sich durch ein solches extern durchgeführtes Lieferanten-Audit ein erhebliches Verbesserungspotential in der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer. Darüber hinaus liegen die Vorteile auch kostenseitig auf der Hand: Die Ausgaben für eine solche externe Auditierung sind, verglichen mit dem Wert eines IT-Dienstleistungsvertrags, meist sehr gering. In der Mehrzahl der Fälle ergibt sich aus einem solchen Audit ein erhebliches Kostensenkungspotential, weil

1. Entweder festgestellt wird, dass eine vertraglich zugesicherte Leistung nicht oder nicht in der vereinbarten Dienstgüte geliefert wird und daher Rückforderungen möglich sind oder
2. ein Leistungsumfang bezogen wird, der gar nicht notwendig ist – (Teil)Kündigung möglich je nach Vertragslaufzeit bzw. Umwidmung

Fazit:

Auf Basis des Ergebnisberichts lassen sich kurz-, mittel- und langfristige  Optimierungsmaßnahmen hinsichtlich der Gestaltung der Lieferantenbeziehung aufsetzen. Als positiver Effekt lässt sich eine steigende Servicequalität bei sinkenden Kosten beobachten.
Praxistipp: Steuern Sie Ihre externen Dienstleister auch unterjährig, indem Sie regelmäßige Service Review Meetings durchführen und aktiv die Beziehung zum Dienstleister gestalten. Im Rahmen solcher Service Review Meetings sollten die vereinbarten Service Level Agreements besprochen und Kennzahlen der Betrachtungsperiode gemeinsam besprochen werden. Auch der Status der bereits vereinbarten Verbesserungsmaßnahmen sollte Gegenstand des Meetings sein

Die Autoren:

© mITSM

Robert Kuhlig

Robert Kuhlig ist Gründer und Geschäftsführer des mITSM Munich Institute for IT Service Management und Experte auf den Gebieten IT Service- und Security Management.

© mITSM

Thomas Neeff ist IT Management-Experte und beschäftigt sich seit mehreren Jahren mit den Themen IT Service Management, Security Management und Datenschutz.

Das mITSM bietet Schulungen in ITIL, ISO27000, ISO20000 und COBIT an und berät Firmen in allen Fragen rund um Service- und Security Management. Zum Leistungsumfang gehört auch die Durchführung aller Arten von IT-Audits, sowohl intern bei Kunden als auch bei deren Dienstleistern.

Weitere Informationen zum Thema:

mITSM MUNICH INSTITUTE FOR IT SERVICE MANAGEMENT
Lieferantenaudit bei IT Dienstleistern

[datensicherheit.de, 29.06.2012] Im Bundestag wurde am 28. Juni 2012 über die „Stiftung Datenschutz“ beraten. Unions- und FDP-Fraktion hatten sich auf einen Satzungsentwurf geeinigt und forderten die Bundesregierung auf, die Stiftung im Herbst 2012 zu errichten. Diese Stiftung hat den Zweck, die Belange des Datenschutzes zu fördern, unter anderem durch die Entwicklung eines Datenschutzaudits sowie die Prüfung von Produkten und Dienstleistungen auf ihre Datenschutzfreundlichkeit.
Der Schutz persönlicher Daten im Internet sei eine Kernaufgabe von Politik und Wirtschaft, betont BITKOM-Präsident Kempf. Vor diesem Hintergrund spreche sich BITKOM weiterhin mit Nachdruck für die Errichtung der „Stiftung Datenschutz“ aus. Diese könne den Informationsstand der Verbraucher bei diesem wichtigen Thema weiter fördern und solle für Transparenz sorgen. Sie könne Vorschläge für ein modernes Datenschutzrecht machen sowie einheitliche Kriterien für einen freiwilligen Datenschutz-Check für Angebote aus der Wirtschaft entwickeln. Damit könnten Unternehmen ausgewiesen werden, die den Kunden einen besonders guten Datenschutz bieten, so Professor Kempf. Seitens der Wirtschaft würden sie die Entwicklung der Stiftung konstruktiv
begleiten und unterstützen.

Weitere Informationen zum Thema:

Deutscher Bundestag
Koalition: Stiftungsgeschäft zu Errichtung der Stiftung Datenschutz bis Oktober vornehmen