[datensicherheit.de, 21.03.2017] Ein gemeinsames Thesenpapier vom Bundesverband IT-Sicherheit e.V. (TeleTrusT) und vom Bundesverband der IT-Anwender (VOICE) weist auf Defizite der IT-Sicherheit hin und bietet Handlungsempfehlungen.

Zum Auftakt der „CeBIT 2017“ übergeben

Zum Auftakt der „CeBIT 2017“ haben nach eigenen Angaben Vertreter von TeleTrusT und VOICE das gemeinsam erarbeitete „Manifest zur IT-Sicherheit“ an die Bundesregierung übergeben.
BMI-Staatssekretär Klaus Vitt, IT-Beauftragter der Bundesregierung, und Andreas Könen, Leiter der Stabsstelle „IT- und Cybersicherheit, sichere IT“ im BMI, haben demnach das Dokument im Beisein von BSI-Präsident Arne Schönbohm entgegengenommen.

Ergänzung der „Cyber-Sicherheitsstrategie für Deutschland“

Dieses von TeleTrusT- und VOICE-Experten ausgearbeitete und an die Politik adressierte Leitliniendokument soll Defizite und Probleme im IT-Security-Umfeld darstellen, die dringend behoben werden müssten. Das Manifest zeige, dass Unternehmen die Digitalisierung ernstnähmen und sich für sichere Lösungen einsetzten.
Die in dem Manifest formulierten Ziele und Absichten ergänzten die im November 2016 von der Bundesregierung beschlossene „Cyber-Sicherheitsstrategie für Deutschland“. Eine vertrauensvolle Zusammenarbeit und ein enger Austausch zwischen Staat und Wirtschaft seien unabdingbar, um die Cyber-Sicherheit in Deutschland dauerhaft auf hohem Niveau zu gewährleisten.

Gemeinsam sechs Thesen erarbeitet

TeleTrusT und VOICE hätten gemeinsam sechs Thesen erarbeitet, die jeweils spezifische „Gemeinsame Aufgaben“ innerhalb jeder These skizzierten, wie vorhandene Herausforderungen erfolgreich bewältigt werden könnten:

1. Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung.
2. Gemeinsam wirkungsvollere IT-Sicherheitslösungen nutzen.
3. Verschlüsselung und Vertrauen sind die digitalen Werkzeuge für Informationelle Selbstbestimmung.
4. „Security-by-Design“, „Privacy-by-Design“ und nachvollziehbare Qualitätssicherung sind unabdingbar.
5. Wir benötigen eigene Souveränität über unsere IT-Sicherheitsinfrastrukturen.
6. „Cyber War“, Cyber-Sabotage und Cyber-Spionage werden immer bedrohlicher.

Zugleich werde aufgezeigt, wie sich Defizite beheben lassen und eine angemessene Risikovorsorge in der IT erreicht werden kann.

Großer Nachholbedarf

Ausgangspunkt sei die Erkenntnis, „dass der Grad an IT-Sicherheit und Vertrauenswürdigkeit in Deutschland zur Zeit nicht ausreichend ist“. Es gebe keine Perimeter und es fehle allgemein an Wissen, Verständnis, Einschätzungskompetenz, Technologien und Vorgehensweisen. Viele IT-Produkte erreichten nicht den nötigen Reifegrad hinsichtlich IT-Sicherheit, um ein grundlegendes Maß an Vertrauenswürdigkeit zu etablieren.
„Wir müssen vom angebotsgetriebenen zum anforderungsgetriebenen IT-Sicherheitsmarkt gelangen. Dazu sollten die Anwenderunternehmen gemeinsam ihre Einkaufsmacht fair nutzen. Eine enge Zusammenarbeit zwischen den Herstellern und Anwendern ist nötig, um angemessene, wirkungsvolle, sichere und vertrauenswürdige IT-Lösungen in den operativen Einsatz zu bringen und umfangreiche und übergreifende IT-Konzepte erfolgreich umzusetzen“, erläutert Manifest-Mitherausgeber und TeleTrusT-Vorsitzender Prof. Dr. Norbert Pohlmann, dabei einen starken Hebel bei den Anwendern erkennend, mit dem sich mehr IT-Sicherheit erreichen lasse.
Der Vorsitzender des VOICE-Präsidiums, Dr. Thomas Endres, verstehe das Manifest als „wichtigen, sichtbaren Zwischenschritt im Dialog zwischen Anwendern, Anbietern, Politik und Wissenschaft“.

Weitere Informationen zum Thema:

VOICE Bundesverband der IT-Anwender e.V.
Manifest zur IT-Sicherheit

datensicherheit.de, 25.03.2014
CeBIT 2014: Check Point stellte Software-defined Protection vor

datensicherheit.de, 25.02.2014
CeBIT: Unternehmen bieten Einblick in IT-Berufe

[datensicherheit.de, 25.03.2014]  Im Rahmen der CeBIT 2014 traf die Redaktion von datensicherheit.de  mit Amnon Bar-Lev, Präsident von Check Point zusammen, der die neue Sicherheitsarchitektur Software-defined Protection (SDP) von Check Point dem Fachpublikum erstmals vorstellte. Dabei stellte er auch heraus, dass gerade auch „Sicherheit für kleine und mittelständische Unternehmen“ zur Abwehr von Advanced Persistent Threats (APT’s) durchaus möglich ist: „Die Bedrohungslandschaft ist sehr viel raffinierter geworden und gleichzeitig werden die IT-Umgebungen von Unternehmen immer komplexer. Unternehmen wollen zwar wissen wie sie ein höheres Sicherheitsniveau erreichen können, aber auf eine Art und Weise, die einfach zu managen und anzuwenden ist. SDP ist einfach und flexibel und kann Bedrohungsinformationen robust in Echtzeit-Schutz konvertieren.“

© Check Point

Amnon Bar-Lev, Präsident von Check Point

SDP war aus Sicht von Bar-Lev nötig geworden, weil sich die Bedrohungslage geändert hat: „Wir haben es mit drei Arten von Bedrohungen zu tun. Bedrohungen, von denen wir wissen, dass wir sie kennen. Bedrohungen, von denen wir wissen, dass wir sie nicht kennen. Und schließlich Bedrohungen, von denen wir nicht wissen, dass wir sie nicht kennen. Unsere innovative Threat Prevention erlaubt es uns, gerade diese ‚Bad Guys‘ zu identifizieren und durch Echtzeit-Sicherheitsupdates abzublocken.“

Diese Sicherheitsarchitektur basiert auf drei miteinander verbundenen Ebenen:

• Enforcement-,
• Kontroll- und
• Management-Ebene.

Die erste Ebene baut auf physischen, virtuellen und host-basierten Enforcement-Punkten auf, überwacht den Traffic und führt Gegenmaßnahmen gegen Angriffe durch. Eine Segmentierung des Netzwerks schützt die Sicherheitsinfrastruktur des Unternehmens im Fall einer Attacke auf eine einzelne Komponente des Netzwerks vor einer großflächigen Beschädigung. Die Segmentierung besteht aus vier zentralen Schritten: Zuerst werden „Atomic Segments“ (kleinteilige Segmente) mit den gleichen Schutz- und Policy-Charakteristiken definiert. Diese werden dann für einen modularen Schutz gruppiert und physikalische oder virtuelle Komponenten konsolidiert. Im letzten Schritt werden sogenannte „Trusted Channels“ etabliert, also vertrauenswürdige Kanäle, über die der Traffic und die Daten zwischen den einzelnen Segmenten hin und her fließen können.

Die Kontroll-Ebene des SDP hat dagegen die Aufgabe, konkrete Schutzmaßnahmen zu generieren und an die entsprechenden Enforcement-Punkte zu leiten. Als erstes werden dabei der Austausch zwischen Benutzern, Daten und Applikationen durch Access Control und Data Protection überwacht und alle Daten „at rest“ also im Ruhestand und „in motion“ also während des Austauschs geschützt. Nun kommt die Threat Prevention zum Einsatz, sie macht sich mit Hilfe der Threat-Intelligenz auf die Suche nach der bösartigen Schadsoftware und Schutzmaßnahmen ergreift.

Dritter und letzter Teil der SDP-Architektur ist die Management-Ebene. Sie ist die Schnittstelle des Systems und verbessert die Aktivitäten der einzelnen SDP-Ebenen sowie die Zusammenarbeit mit den jeweiligen IT-Sicherheitsverantwortlichen. Darüber hinaus soll die Management-Ebene als offen und modular ausgelegtes Tool ein hohes Maß an Effizienz und Dynamik garantieren.

Je nach Größe und Anforderungen des Unternehmens werden zusätzlich zu dieser Architektur die entsprechend passenden und benötigten Appliances und Blades von Check Point kombiniert. Für kleine und mittelständische Unternehmen gibt es seit letztem Jahr dann auch die 600 Appliance für Organisationen mit bis zu 100 Mitarbeitern. Durch die Einbindung der Appliance in die Sicherheitsarchitektur lässt sich die Sicherheitslösung nach den jeweiligen Anforderungen flexibel skalieren. Die Lösung hat sich bereits bei Niederlassungen im Ausland bewehrt und schützt damit auch das Netzwerk des Mutterunternehmens vor dem Einfall von Schadsoftware.

Weitere Informationen zum Thema:

datensicherheit.de, 03.03.2014
Software-defined Protection: Check Point führt neue Sicherheitsarchitektur ein

[datensicherheit.de, 10.03.2014] 50 Megabit pro Sekunde – das ist die Bandbreite, die nach der Breitbandstrategie des Bundes allen Haushalten in Deutschland bis 2018 flächendeckend zur Verfügung stehen soll. Regionen, die nicht mindestens eine Daten-Geschwindigkeit von zwei Mbit/s haben, möchte die Bundesregierung so schnell wie möglich erschließen. Unter dem Motto „Breitband unter neuer Verantwortung! Wie erreichen wir die Ziele für 2018?“ diskutierten am 10. März Vertreter aus Wirtschaft und Politik die Rahmenbedingungen und Potenziale des Breitbandausbaus und der intelligenten Netze in Deutschland auf der CeBIT-Konferenz der Deutschen Breitbandinitiative. Die Vorgaben der Breitbandstrategie sind aus Expertensicht noch zu schaffen. Doch auch nach Übergabe der Verantwortung an das Ressort Verkehr und digitale Infrastruktur gilt: Das gesteckte Ziel können Politik und Wirtschaft nur mit vereinten Kräften erreichen.

Digitale Spaltung überwinden

Die neue Bundesregierung definiert den flächendeckenden Breitbandausbau im Koalitionsvertrag als Schlüsselaufgabe im Sinne einer kommunikativen Daseinsvorsorge: „Das Internet und die digitalen Technologien sind heute unverzichtbar und Wachstumstreiber für unser Land. Damit jeder die Vorteile des schnellen Internets nutzen kann, wollen wir es bis 2018 flächendeckend in allen Teilen unseres Landes verfügbar machen.“ Es gelte, die digitale Spaltung zwischen den urbanen Ballungszentren und ländlichen Räumen zu überwinden. Der Anteil der Breitbandnutzer lag 2013 bei 58,3 Prozent. Die Zugänge zum Hochleistungsinternet sind innerhalb Deutschlands jedoch sehr ungleich verteilt, so die Ergebnisse des aktuellen D21-Digital-Index. Im Bundesvergleich ist Berlin mit 62,9 Prozent das Land mit dem höchsten Anteil an Breitbandnutzern. Insbesondere die ostdeutschen Flächenstaaten haben deutlichen Nachholbedarf: In Sachsen-Anhalt etwa liegt die Breitbandnutzung bei nur 48,9 Prozent. „Die Ergebnisse zeigen, dass dringend eine flächendeckende Versorgung der Bevölkerung mit Breitbandzugängen umgesetzt werden muss, wenn wir die digitale Spaltung innerhalb unserer Gesellschaft endlich überwinden wollen. Die Digitalisierung durchdringt immer mehr Bereiche unseres wirtschaftlichen und privaten Lebens. Ein Breitbandzugang ist kein Luxus, sondern ein entscheidender Standortfaktor für die Bevölkerung und die Wirtschaft“, betonte Hannes Schwaderer, Präsident der Initiative D21 und Geschäftsführer der Intel GmbH bei der Eröffnung der Konferenz.

Investitionsanreize schaffen

Die wichtigste Herausforderung für den weiteren Breitbandausbau ist es deshalb, mehr Anreize für die erforderlichen Investitionen zu schaffen. „Wir appellieren an die Politik, die im Koalitionsvertrag gesteckten Ziele zügig und mit vereinten Kräften umzusetzen. Insbesondere die Regulierung der Telekommunikationsmärkte muss schnellstmöglich so gestaltet werden, dass sich Investitionen im ländlichen Raum für IT- und Telekommunikationsunternehmen lohnen. Dafür ist ein geeigneter Technologie-Mix aus Glasfaser, Kupfer und Funk von zentraler Bedeutung. Diese Herausforderungen sind nur durch gemeinsame Anstrengungen von Wirtschaft und Politik zu meistern“, sagte Sigurd Schuster, Projektleiter der Deutschen Breitbandinitiative und Head of Technology Strategy and Operations bei Nokia Solutions and Networks in seinem Fazit.

Weitere Informationen zum Thema:

Deutsche Breitbandinitiative
www.breitbandinitiative.de

[datensicherheit.de, 06.03.2014] Einen Überblick über das Angebot von Cloud-Speicherdiensten hat kurz vor Beginn der CeBIT das Hasso-Plattner-Institut (HPI) vorgelegt. Die Potsdamer Informatikwissenschaftler verglichen etablierte Cloud Storage Provider wie Amazon S3, Google Cloud Storage, Microsoft Windows Azure BLOB Storage, HP Cloud Object Storage und Rackspace Cloud Files. Keiner dieser Anbieter könne pauschal als der für alle Einsatzmöglichkeiten am besten geeignete identifiziert werden, heißt es in dem Technischen Bericht Nr. 84 (ISBN 978-3-86956-274-2, Universitätsverlag Potsdam) des HPI. Die Wahl des Dienstes sei stark von dem Standort und den spezifischen Bedürfnissen des Nutzers abhängig. Die sichere Speicherung großer Mengen von Daten ist eines der Hauptthemen der Messe in Hannover.

In seinem Technischen Bericht macht das HPI unter anderem darauf aufmerksam, das bei keinem der Anbieter vertraglich geregelt sei, was im Fall der Insolvenz des Providers mit den Daten geschehe. In die HPI-Untersuchung war noch der Anbieter Nirvanix Public Cloud Storage einbezogen worden, der mit 99,999 Prozent die höchste Verfügbarkeit garantierte. Allerdings meldete Nirvanix im Herbst 2013 Insolvenz an.

Beim Aspekt Sicherheit weisen die Potsdamer Wissenschaftler darauf hin, dass Google und Rackspace im Gegensatz zu allen anderen untersuchten Anbietern nach Vertragsende keinen Zugriff auf die Daten erlauben und auch keine Verschlüsselung der Daten selbst anbieten.

Bild: HPI

Vergleich der größten Cloud Storage Provider

Die Kosten pro GB und Monat liegen nach dem Bericht bei den allermeisten Anbietern zwischen 0,04 und 0,09 US-Dollar, je nach Speicher-Menge und  -Standort. Bei der Untersuchung der Leistungsfähigkeit gab es nach Angaben des Instituts große Unterschiede bei den Zeiten für die Antwort auf eine Anfrage und für das Herunter- und Hochladen von Daten. Der 84-seitige Technische Bericht enthält dazu eine Reihe von Tabellen und Diagrammen. Das HPI hat die entsprechenden Untersuchungsreihen von November 2012 bis Juli 2013 durchgeführt.

Die ausgewählten Anbieter weisen alle eine eigene physikalische Infrastruktur auf. Diese Basic Storage Provider kommen für die Einsatzszenarien Primärspeicher, Backup, Archiv und Content Delivery in Frage. Die Kriterien, welche die HPI-Wissenschaftler bei der objektiven Gegenüberstellung anlegten, stammen aus den Bereichen Recht, Sicherheit, Verfügbarkeit, Kosten, Zertifikate, genutzte Standards, Zugriffsmöglichkeiten und Leistungsfähigkeit.

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2012
Microsoft-Studie: Datenschutz und Compliance entscheidende Faktoren für die Wahl des Cloud-Anbieters

[datensicherheit.de, 04.03.2014] Personenbezogene Daten sind in ausreichendem Maße vor Manipulation, Verlust und Zugriff Unbefugter zu schützen. Das schreibt das Bundesdatenschutzgesetz (BDSG) ausdrücklich vor. Was jedoch als „ausreichend“ zu verstehen ist, war bisher unklar und mehr oder weniger jedem selbst überlassen. Denn eine zertifizierte Lösung gab es bisher nicht. Darauf macht die DIGITTRADE GmbH anlässlich der diesjährigen CeBIT aufmerksam, die mit ihrem Top-Thema „Datability“ den Umgang mit Daten in den Fokus rückt. Der IT-Security-Spezialist aus Sachsen-Anhalt habe an diesem Missstand nun etwas geändert und biete nach eingenen Angaben mit seiner staatlich zertifizierten Hochsicherheitsfestplatte HS256S öffentlichen Stellen, Ärzte und Anwälte sowie allen Berufsgruppen, die personenbezogene Daten erheben und verarbeiten, erstmals Rechtssicherheit bei deren Aufbewahrung.

© DIGITRADE

DIGITRADE Hochsicherheitsfestplatte

Die HS256S – basierend auf IT Sicherheit made in Germany – ist das erste externe Speichermedium, das von staatlichen Datenschützern nach umfangreicher Prüfung mit den zertifizierenden „ULD-Datenschutzgütesiegel“ und „European Privacy Seal“ bedacht worden ist. „Dies gelang uns, da wir uns schon bei der Entwicklung der Hochsicherheitsfestplatte streng an den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert haben“, führt Manuela Gimbut, Geschäftsführerin bei DIGITTRADE, aus. Sie beschreiben die Kriterien, die ein mobiler Datenträger erfüllen muss, um sowohl mit dem BDSG als auch mit den EU-Datenschutzrichtlinien konform zu sein und entsprechend zertifiziert werden zu können.

Hierzu zählt insbesondere, dass vertraulichen Daten im Speicher auch bei Verlust der Festplatte nicht an 
unberechtigte Personen gelangen dürfen. Die Daten sollen zudem vor Manipulationen, logischen und physikalischen Angriffen geschützt sein, wobei diese Vertraulichkeit durch ein Zusammenspiel von effektiver Zugriffskontrolle
und ausreichender Verschlüsselung zu gewährleisten ist. Alle Sicherheitsfunktionen sollen außerdem vollständig innerhalb der Festplatte implementiert sein und die Verschlüsselung auf Hardwarebasis erfolgen sowie transparent im Hintergrund
verlaufen. Der Verschlüsselungsschlüssel sollte darüber hinaus sicher und möglichst extern gespeichert und vom Anwender selbst generiert, geändert und bei Bedarf zerstört werden können. „All diese Anforderungen erfüllt die DIGITTRADE HS256S und erhielt daher im März 2013 die entsprechenden Zertifizierungen“, so die DIGITTRADE-Geschäftsführerin.

Für Behörden, Unternehmen und Selbstständige gilt seitdem: Es ist nicht mehr ihnen selbst überlassen, wie sie einen „ausreichenden“ Datenschutz im Sinne des BDSG sicherstellen. Zumal ihnen die Empfehlung des staatlichen Unabhängigen Landeszentrums für Datenschutz (ULD) des Bundeslandes Schleswig-Holstein vorliegt. „Sollte es nun also zum Datenverlust kommen und es wurde nicht die staatlich empfohlene HS256S zur Speicherung verwendet, machen sich die betroffenen Behörden, Unternehmen oder Personen strafbar, da die Bestimmungen des BDSG trotz vorhandener, staatlich zertifizierter Lösung nicht hinreichend erfüllt wurden“, informiert Manuela Gimbut. Auf der CeBIT werden die IT-Security-Spezialisten den Fachbesuchern daher an ihrem Stand D46 in Halle 12 zu diesem Thema Rede und Antwort stehen und ihnen die HS256S, ihre Funktionsweise und Vorteile umfassend vorstellen.

Weitere Infiormationen zum Thema:

datensicherheit.de,  05.02.2014
RSA Conference 2014 in San Francisco

[datensicherheit.de, 25.02.2014] Schüler und Studienanfänger haben in diesem Jahr die Gelegenheit, sich auf der CeBIT aus erster Hand über Berufschancen in der BITKOM-Branche zu informieren. Interessierte können sich vom 10. bis 14. März auf der Messe ein eigenes Bild von den vielfältigen Aufgaben und Möglichkeiten in den Unternehmen machen und dabei an den Ständen direkt mit Personalverantwortlichen ins Gespräch kommen. Aussteller und Messeleitung stellen dafür kompetente Begleiter zur Verfügung. BITKOM kooperiert in diesem Rahmen erstmals mit dem Projekt Tec2You von Deutscher Messe und „Deutschland – Land der Ideen“. „Seit Jahren ist der Fachkräftemangel für die BITKOM-Unternehmen eines der größten Probleme. Die CeBIT ist eine hervorragende Gelegenheit, junge Menschen für spannende Tätigkeiten in unserer Wachstumsbranche zu begeistern“, sagt BITKOM-Präsident Prof. Dieter Kempf. „Was den Unternehmen Sorge bereitet, bedeutet für gut ausgebildete Berufseinsteiger hervorragende Jobchancen.“ Aktuell fehlen nach Berechnungen des BITKOM deutschlandweit 39.000 IT-Spezialisten.

Neben dem Messerundgang gibt es auf einer Aktionsfläche in Pavillon 11 für die Schülerinnen und Schüler zahlreiche Möglichkeiten, an neuen Technologien zu arbeiten. Dazu gehören unter anderem die Programmierung von Robotern und die Entwicklung einer eigenen App für Smartphones. Hinzu kommen Möglichkeiten, das eigene Wissen über den sicheren Umgang mit dem Internet zu testen. Diese Aktionen werden von „erlebe it“, der BITKOM-Nachwuchsinitiative für die ITK-Branche, zusammen mit Partnern wie der RWTH Aachen mit ihrem Projekt „go4IT“, dem Deutschen Jungforschernetzwerk, der Initiative ‚Deutschland sicher im Netz‘ und großen Unternehmen angeboten.

Die BITKOM-Initiative „erlebe it“ informiert seit fünf Jahren an Schulen unter anderem über Berufe in der ITK-Branche. An den Veranstaltungen nahmen bundesweit mehr als 14.000 Schüler an über 700 Schulen teil. Tec2You hat seit 2006 Erfahrungen mit Schüler- und Studentenbesuchen auf der Hannover Messe, seitdem sind auch Projekte auf anderen Messen wie CeMAT und Biotechnica hinzugekommen.

Interessierte Schulen können sich online unter www.erlebe-it.de/cebit2014-angebot_fuer_schulen.html für einen Besuch auf der CeBIT anmelden.

[datensicherheit.de, 03.04.2012] Im Nachgang zu Computermesse „CeBIT 2012“ weist die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) darauf hin, dass die deutsche Wirtschaft nach wie vor zu viele Sicherheitslücken in ihren IT-Systemen lasse. Laut einer aktuellen Umfrage unter 100 Fach- und Führungskräften aus der Wirtschaft handelten 64 Prozent der Unternehmen nachlässig, wenn es um die Abwehr von IT-Gefahren geht. Beinahe zwei Drittel hätten offenbar keine wirksamen Beschränkungen hinsichtlich der Nutzung externer Datenträger an Firmenrechnern oder beim Surfen im Internet, wundert sich der NIFIS-Vorsitzende, Rechtsanwalt Dr. Thomas Lapp, über die Umfrage-Ergebnisse. Gut die Hälfte der von NIFIS befragten Manager halte ein mangelndes Sicherheitsbewusstsein vor allem für eine Frage der Firmenkultur. Das Thema IT-Sicherheit werde in den Führungsetagen der deutschen Wirtschaft nach wie vor stiefmütterlich behandelt, meint die Mehrheit der Fach- und Führungskräfte. In vielen Firmen werde Sicherheit als ein einmaliges Ereignis verstanden, bemängelten knapp die Hälfte der Manager zu Recht, so Dr. Lapp. Es würden etwa nach einem Vorfall Investitionen in durchaus erheblichem Umfang vorgenommen, aber die dauerhafte Pflege und Wartung werde bei vielen Firmen sträflich vernachlässigt. Allerdings sei daran keineswegs die Führungsspitze alleine schuld – knapp ein Drittel der Fach- und Führungskräfte hielten ganz im Gegenteil die Mitarbeiter für das Hauptproblem, weil sie zu sorglos mit Sicherheitsbelangen umgingen. Damit machten es sich allerdings einige Führungskräfte zu einfach – wenn dem Thema Sicherheit genügend Beachtung geschenkt werde und es klare Organisationsrichtlinien, Schulungen etc. gebe, dann sollten die Mitarbeiter nicht das größte Problem sein, mahnt Dr. Lapp.
Über die Hälfte der Manager stuften „Cloud Computing“ als zusätzliches Sicherheitsrisiko ein. Dieses Ergebnis müsse man differenziert betrachten; für viele eher kleinere Unternehmen biete „Cloud Computing“ die Möglichkeit, Daten sicherer als zuvor zu lagern, für andere ergäben sich jedoch ganz neue Sicherheitsfragen daraus, ergänzt Dr. Lapp.

Weitere Informationen zum Thema:

NIFIS
Nationale Initiative für Informations- und Internet-Sicherheit

[datensicherheit.de, 11.03.2012] Die „CeBIT 2012“ stand unter dem Motto „Managing Trust“ – nach Angaben des Veranstalters sollte auf der weltweit als wichtigste Veranstaltung der digitalen Wirtschaft geltenden Messe das Thema „Vertrauen und Sicherheit in der digitalen Welt“ in den Mittelpunkt gerückt werden, denn diese seien ein gemeinsames Interesse von Staat, Wirtschaft und Verbrauchern. Der Veranstalter bezeichnet Vertrauen nicht als einen weichen Faktor, sondern als einen „wesentlicher Grundpfeiler wirtschaftlichen Handelns“, den es aufzubauen und zu festigen gelte…
Ohne Frage ein löbliches Ansinnen – ganz im Sinne eines ganzheitlichen Managements der Datensicherheit, das nicht allein auf Technik fokussiert, sondern eben auch Aspekte der Psychologie und Kultur umfasst. Gleichwohl ist und bleibt dieser Ansatz – ob nun bei der IT oder der noch papiergebundenen DV – ein Dauerthema, das auf jeder bedeutenden IT-Messe zu behandeln wäre. Wenn dieser Ansatz nun für die „CeBIT 2012“ als thematischer Schwerpunkt fungierte, hätte sich irgendwo ein Roter Faden auf dem riesigen Messegelände finden lassen müssen. Es mag ihn wohl gegeben haben – bei meinem Messerundgang am 8. März 2012 jedenfalls schien er sich weitgehend versteckt zu haben; dies mag auch an den Besuchermassen gelegen haben, die trotz der durch einen ÖPNV-Streik in Hannover erschwerten Anreise zum Gelände am späteren Vormittag die Hallen gut füllten.

So lag es nahe, den eigenen Fokus des Messebesuchs auf das gebündelte Sicherheits-Know-how in Halle 12 zu setzen – gemeinsam mit der Deutschen Messe AG hatte heise Events dort eine Neuauflage der „Security Plaza“ geboten, als den zentralen Anlaufpunkt zu Sicherheitsthemen. Auf rund 500 Quadratmetern präsentieren Aussteller der IT-Sicherheitsbranche Produkte und Dienstleistungen. Während beim Betreten der Halle 12 zunächst die „großzügige“ Aufteilung ins Auge fiel, die sich in großen Ruhezonen und auch in durch Raumteiler separierte „Freilaufzonen“ manifestierte – und Zweifel an der Bedeutung der IT- und Datensicherheit für die Gesamtmesse und diese Schwerpunkthalle aufkommen ließ –, schien das kompakte Angebot der „Security Plaza“ rege Nachfrage zu finden. Die Gänge und Stehplätze vor den Ständen waren jedenfalls gut gefüllt, wie auch das Auditorium im Vortragsbereich. Vielleicht ein weiterer Beweis, das Qualität sich nicht automatisch in Quantität widerspiegeln muss, wenn auch der diesjährige offizielle thematische Schwerpunkt der „CeBIT“ große Erwartungen geweckt hatte.

Die Themenvielfalt der Vorträge an diesem Tag beeindruckte – eben weil nicht allein nur technische Aspekte behandelt wurden. So lautete ein Vortragstitel „Wir zähmen das Berechtigungsmonster“, gehalten von Christian Zander von der protected-networks.com GmbH aus Berlin. Zwar bietet dieses Unternehmen eine eigene Softwarelösung für das Berechtigungsmanagement an, doch werden hierbei zunächst grundsätzliche Sicherheitsfragen in behördlichen und gewerblichen Institutionen angesprochen, die somit auch psychologische, kulturelle und nicht zuletzt rechtliche Aspekte berühren.

Foto: Dirk Pinnow

Christian Zander führt die Zähmung des „Berechtigungsmonsters“ vor.

In seiner Vorführung stellte Zander die Chefanfrage, wer z.B. alles Zugriff auf ein geheimes Projekt habe, an den Anfang und zeigte die im Prinzip – ab einem gewissen Umfang und der damit verbundenen Komplexität – unüberwindlichen Schwierigkeiten auf, eine vollständige Liste aller Nutzer mit ihren Zugriffsrechten auf die betriebliche IT zu erstellen.
Wer etwa allein auf den Active Directory, den Verzeichnisdienst von „Microsoft Windows Server“, angewiesen ist, steht vor einer wahren „Sisyphusarbeit“, denn die Namen der Nutzergruppen, wie auch deren Mitglieder, und die eingeräumten Rechte müssten händisch abgeschrieben werden. Die kaskadenhafte Verschachtelung von Gruppen und Untergruppen lässt kaum eine kurzfristige Erfassung zu.
Als er damals feststellen musste, dass es dafür noch keine brauchbare Softwarlösung gab, habe er sich motiviert gefühlt, etwas Besseres schaffen zu wollen, so Zander in seinem kurzweiligen, engagierten Vortrag. Ihm sei es darum gegangen, mit seinen Partnern IT- in Menschensprache zu übertragen, ja eine „Software für jedermann“ zu entwickeln, die innerhalb kürzester Frist eine revisionstaugliche Antwort auf die essentielle wie existenzielle Frage geben kann, wer in der betrieblichen IT worauf Zugriff hat.
Sodann zeigte er am Beispiel der Softwarelösung „8MAN“ aus dem Hause protected-networks.com, wie eine Antwort schnell und zuverlässig generiert sowie als Grundlage für Reports verwendet werden kann. Volltextsuchen werden ermöglicht, die Berechtigten sind mit ihren Zugriffsrechten einfach zu kopieren; auch automatisch erstellte regelmäßige Reports sind möglich. In diesen Reports werden auch die logisch und organisatorisch problematische „Gruppen-Rekursionen“ (Verschachtelungen, die zu unerwünschter Rechtevererbung führen) aufgeführt. Praktisch und für den Alltagsgebrauch dringend erforderlich erscheint auch die einfache Sortierungsmöglichkeit nach Nutzern und Rechten. „8MAN“ unterstütze vier organisatorische Aufgabenfelder – Information, Dokumentation, Administration sowie Delegierung. Es sei für den Admin leicht möglich, Rechte zu terminieren – etwa für temporär eingesetzte externe Mitarbeiter, Techniker von Wartungsfirmen bzw. Praktikanten. Auch beim Ausscheiden von Mitarbeitern müssten deren Rechte bekannt sein und widerrufen werden können – denn in der Praxis erbe nicht selten der Nachfolger von seinem Vorgänger sämtliche Zugriffsrechte, die unter Umständen in jahrzehntelanger Mitarbeit, gar in unterschiedlichen Abteilungen oder bei diversen Projekten, eingeräumt und nicht wieder entfernt wurden. Wer aber solche Rechtevielfalt erhalte, verspüre dann vielleicht auch kein Unrechtsbewusstsein, mal einen Einblick in Daten außerhalb des eigentlichen Aufgabengebietes zu nehmen, warnte Zander eindringlich. Diese Warnung muss wohl angekommen sein, jedenfalls bildeten sich am Stand der protected-networks.com GmbH nach diesen lebhaften wie aufrüttelnden Ausführungen zuweilen Warteschlangen.

Im Rahmen des „ZVEI IT-Security-Forums 2012“ unterrichtete Horst Flätgen, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), über die „Aktuelle Bedrohungslage“.
So benannte er die aktuellen „Top 6“ – Hacking von Weberservern, Drive-by-Downloads, Malware-Infiltration, DDoS mittels Botnetz, Identitätsdiebstahl durch Malware und schließlich z.T. auch schon mehrstufige Angriffe auf Sicherheitsinfrastrukten etwa durch den Trojaner „Duqu“, einen „Stuxnet“-Nachfolger.
Als Köder für Angriffe würden vermehrt individualisierte gefälschte E-Mails verwendet, für die Informationen aus Sozialen Netzwerken dienten. Die Akteure, d.h. Angreifer, ließen sich wie folgt klassifizieren: Hacker (Cracker), Staaten, Organisierte Kriminalität (OK) sowie oftmals politisch motivierter „Hacktivismus“. Beim OK werde der gefährliche Trend beobachtet, dass regelrechte „Trojaner-Baukästen“ bzw. Informationen über Schwachstellen via Webshops vertrieben würden – sogar mit einem 24-Stunden-Kundendienst. Diese Software und Informationen seien selbst von Laien einsetzbar, spezielle IT-Kenntnisse nicht erforderlich, warnte Flätgen. Da sich die betreffenden Server im Ausland befänden, sei auch das Entdeckungsrisiko gering.
Abschließend erläuterte er die Aufgaben des BSI, die quasi Teil eines Kreisprozesses seien, der die Beobachtung der Lage, die Reaktion auf Krisen, die Abgabe von Empfehlungen und die Koordination von Maßnahmen umfasse. Das BSI dürfe nach Erlangung von Erkenntnissen über Schachstellen ganz konkret vor bestimmten Produkten warnen. Da sich rund 80 Prozent der Angriffe durch Standard-Sicherheitsmaßnahmen abwehren ließen, habe das BSI kürzlich die „Schwachstellenampel“ online gestellt, um einen schnellen Überblick über aktuelle Schwachstellen in gängigen Softwareprodukten zu geben. In jeder komplexen neu herausgegebenen Software sei mit mindestens 2,5 Promille Fehlern („Bugs“) zu rechnen – bei mehreren Millionen Befehlszeilen gebe es also eine signifikante Anzahl von Schachstellen. Solche bisher offiziell nicht erkannten „Zero-Day-Exploits“ bei neuer Software würden gerne von Angreifern ausgenutzt.

Foto: Dirk Pinnow

Horst Flätgen: 86 Prozent der im Auftrag des BSI befragten Nutzer sind sich ihrer ureigenen IT-Sicherheitsverantwortung bewusst.

Immerhin sind sich laut Flätgen 86 Prozent der im Auftrag des BSI befragten Nutzer ihrer ureigenen Sicherheitsverantwortung bewusst. Dies ist immerhin eine Aussage, auf die aufgebaut werden kann – ist erst einmal die sonst so übliche „Suche nach Schuldigen“ überwunden und die Eigenverantwortung erkannt, kann den Datensicherheitsproblemen nüchtern und zielgerichtet begegnet werden.
Gleichwohl lassen auch Flätgens Ausführungen erahnen, dass auch in Zukunft mit einer Art „Rüstungswettlauf“ zwischen Anwendern und Cyber-Kriminellen zu rechnen ist – umso mehr als Informations- und Kommunikationstechnologie noch weiter unser Alltagsleben durchdringen wird, zunehmend Basis von Wertschöpfungsprozessen ist und Daten bedeutende immaterielle Vermögenswerte darstellen bzw. zur Verwaltung materiellen Vermögens dringend benötigt werden. Egal also, welchen thematischen Schwerpunkt die „CeBIT 2013ff“ haben wird – Daten- bzw. IT-Sicherheit bleibt das zentrale Thema. Deshalb verwundert es nicht, dass sich in den letzten Jahren mit der „it-sa“ in Nürnberg eine Fachmesse zur IT-Sicherheit erfolgreich herausgebildet hat, ist doch der Bedarf zur ständigen Auseinandersetzung mit dem Thema unausweichlich.

Weitere Informationen zum Thema:

CeBIT
Leitthema der CeBIT 2012 / CeBIT 2012 steht unter dem Leitthema „Managing Trust“

MittelstandsWiki
EVENT: CEBIT SECURITY PLAZA 2012, PROGRAMM / Das Programm am 8. März auf einen Blick

datensicherheit.de, 02.03.2012
BSI-Schwachstellenampel: Neuer Indikator für aktuelle IT-Sicherheitslage in Deutschland / Analyse und Bewertung von Schwachstellen in gängigen Softwareprodukten

datensicherheit.de, 10.01.2012
Datenschutz: Das einstige Nischenthema wird zum Grundpfeiler des Vertrauens / Angefangen vom Handwerksbetrieb bis hin zum internationalen Konzern

[datensicherheit.de, 07.03.2012] Die meisten Unternehmen sorgten sich um ihre IT-Sicherheit und Angriffe auf ihre IT-Systeme sehe mehr als die Hälfte (57 Prozent) aller Unternehmen als reale Gefahr, quer durch alle Branchen und Unternehmensgrößen. 40 Prozent hätten bereits konkrete Angriffe auf die IT oder vergleichbare Sicherheitsvorfälle erlebt – jedes zehnte Unternehmen sogar zehn Mal und häufiger. Doch fast jedes zweite Unternehmen (45 Prozent) habe nicht einmal einen Notfallplan für IT-Sicherheitsvorfälle:
Der BITKOM stützt diese Erkenntnisse auf eine von ihm beauftragte Umfrage unter 800 Unternehmen, die repräsentativ für die deutsche Wirtschaft sei. Es sei erschreckend, wie viele Unternehmen sich auf IT-Angriffe und Notfälle nur unzureichend vorbereitet hätten, so BITKOM-Präsident Prof. Dieter Kempf auf der „CeBIT 2012“ in Hannover. Ein Notfallplan sei oberste Pflicht, um die Folgen eines IT-Sicherheitsvorfalls minimieren zu können. Professor Kempf listet beispielsweise die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.
Immerhin würde nur jedes vierte Unternehmen die Zusammenarbeit mit Polizei und Staatsanwaltschaft vermeiden, wenn es von einem Hacker-Angriff oder einem IT-Sicherheitsleck betroffen wäre. Bei knapp drei Viertel sei die Bereitschaft zur Zusammenarbeit mit den Behörden dagegen nach eigenen Angaben hoch oder sehr hoch. Doch nach Erfahrungen des BITKOM scheuen noch immer zu viele betroffene Unternehmen den Gang zur Polizei oder zu einer anderen Institution. Sie hätten Angst vor dem Verlust von Image und Reputation, sollte bekannt werden, dass sie Opfer eines IT-Angriffs geworden sind. Um alle Beteiligten schützen zu können, bräuchten sie Informationen über konkrete, aktuelle IT-Angriffe, betont Professor Kempf. Es sollte zur Selbstverständlichkeit werden, die Behörden oder andere Stellen über IT-Sicherheitsvorfälle zu informieren und Erfahrungen auszutauschen. Unternehmen müssten auf freiwilliger Basis – und falls notwendig auch anonym – solche Vorfälle melden können. Ein aktuelles Lagebild helfe Staat und Wirtschaft, im Krisenfall schneller und adäquater reagieren zu können.
Lange Zeit galt IT-Sicherheit vor allem als Herausforderung für einzelne Unternehmen. Wer Opfer von Cyber-Kriminalität wurde, erlitt einen Schaden; die Auswirkungen waren für den Betroffenen mitunter dramatisch, aber sie waren in aller Regel begrenzt auf eine einzelne Organisation. Die Dimensionen haben sich jedoch durch die Digitalisierung zentraler Bereiche der Wirtschaft und des öffentlichen Lebens verändert. IT-Sicherheit habe heute eine makroökonomische, systemische Bedeutung gewonnen, sie sei zum Standortfaktor geworden, erläutert Professor Kempf. Sie werde künftig bei Investitionsentscheidungen die gleiche Bedeutung haben wie innere und äußere Sicherheit, wie ordnungspolitische oder rechtliche Planungssicherheit. Daher komme auch das diesjährige „CeBIT“-Motto „Managing Trust – Vertrauen und Sicherheit in der digitalen Welt“ zur richtigen Zeit. Höhere IT-Sicherheit koste Mühe und Geld, so Professor Kempf, doch liege darin auch eine Chance – Sicherheit und Datenschutz könnten weltweit zum Markenzeichen von „IT made in Germany“ werden.

[datensicherheit.de, 01.03.2012] Unter dem Motto „Continuous Protection. At Work. At Home.“ informiert KASPERSKY lab auf der „CeBIT 2012“ vom 6. bis zum 10. März in Halle 12 am Stand C65 über die neuesten Trends bei IT-Gefahren. Dabei ist der Messe-Samstag auf der weltgrößten Messe für digitale Industrie traditionell der Tag der Heimanwender, deshalb folgt KASPERSKY lab dieser Tradition und bietet am 10. März 2012 den Besuchern „Meet The Experts“:
Ein komplettes Supportteam werde sich den Fragen interessierter Endanwender widmen. Zudem zeigen die Produktexperten in Live-Demonstrationen das komplette Produktportfolio, unter anderem die neue Heimanwenderlösung „Kaspersky ONE Universal Security“, die plattformübergreifenden Schutz bieten soll.
Wer also schon immer einmal fragen wollte, welche Einstellungen bei der Sicherheitssoftware vorzunehmen sind, wo es überhaupt Sinn hat, selbst Einstellungen an den Heimanwenderprodukten vorzunehmen, oder wie man mit KASPERSKY-Produkten generell umgeht, sei am CeBIT-Samstag willkommen.

Weitere Informationen zum Thema:

KASPERSKY lab
Kaspersky Lab und Partner auf der CeBIT 2012 / 06.-10. März 2012