[datensicherheit.de, 25.04.2016] NTT Com Security weist auf die hohen Risiken einer veralteten Architektur der IT-Sicherheit bei vielen „Connected Cars“ hin. Diese mache es Angreifern viel zu leicht, Fahrzeuge zu manipulieren oder gar zu kapern.

Visionen mit wenig Beachtung der IT- Sicherheit

„Connected Cars“ werden laut NTT Com Security nicht nur das Autofahren und den Umgang mit Fahrzeugen ganz neu definieren, sondern nach Einschätzung der Analysten von McKinsey auch zum Auslöser einer fundamentalen Neuordnung des weltweiten Automobilmarkts. Mittlerweile seien alle großen Automobilhersteller in entsprechenden Initiativen aktiv.
Umso erstaunlicher sei es, wie wenig Beachtung oftmals dabei das Thema IT- Sicherheit finde, welches doch eigentlich „ein zentraler Punkt bei der ständigen Verbindung von Fahrzeugen mit dem Internet“ sein sollte, betont NTT Com Security.

Enorme Schäden durch Manipulationen möglich

René Bader, „Practice Manager Secure Application“ bei NTT Com Security: „Heute werden in Fahrzeugen zahlreiche IT-Systeme verbaut, die über das Internet kommunizieren, zum Beispiel zum Übermitteln von Telemetriedaten an den Hersteller, zum Updaten von Navigationsinformationen oder auch für E-Mails und Videostreams“.
Heutige Fahrzeuge verfügten zum Teil über mehr als 100 Steuergeräte und hätten eine Vielzahl an SIM-Karten fest verbaut, die die Kommunikation mit dem Web für unterschiedliche Aufgaben sicherstellten. Über all diese Systeme sei ein „Connected Car“ aber auch extrem verletzlich. Angreifer könnten mehr oder weniger kritische Telemetriedaten abgreifen, beispielsweise über das individuelle Fahrverhalten oder über Fahrziele.
„Wenn nicht von Anfang an eine strikte Trennung der internen Systeme eingeplant wurde, können sie aber auf diese Weise auch direkt die Fahrzeugsysteme manipulieren“, warnt Bader. Dabei könnten sie nicht bloß die Klimaanlage steuern, sondern zum Beispiel auch in Fahrsicherheitssysteme eingreifen. Es liege auf der Hand, dass man „damit einen enormen Schaden anrichten“ könne.

Auf dem Stand damaliger IT-Sicherheitsarchitekturen stehengeblieben

Die Hersteller setzten zwar seit den 1980er-Jahren konsequent auf digitale Fahrzeugsysteme, dabei seien viele Hersteller jedoch auf dem Stand der damaligen IT-Sicherheitsarchitekturen stehengeblieben.
So sei beispielsweise in einigen Systemen weder eine Authentifizierung der Zugriffe noch eine Validierung der übermittelten Daten vorgesehen. Für die Anforderungen moderner Fahrzeuge, die ständig mit einer offenen Infrastruktur kommunizierten, sei diese Architektur „natürlich nie gedacht“ gewesen, erklärt Bader.
Es zeige sich immer mehr, dass viele Systeme völlig überfordert seien. In ihrem aktuellen Zustand stelle die IT-Architektur ein systembedingtes Risiko dar, das sich nicht einfach durch Nachbesserungen an der einen oder anderen Stelle ausschalten lasse.

IT-Sicherheit als Basisbaustein der Fahrzeugentwicklung

Was nach Ansicht des NTT-Com-Security-Experten oft fehlt, ist „eine konsistente Architektur, die von vornherein über die entsprechenden Sicherheits-Layer verfügt, also eine Architektur, in der IT-Sicherheit ein Basisbaustein der Fahrzeugentwicklung ist“.
Neue Player auf dem Automobilmarkt wie Tesla hätten es hierbei einfacher – sie könnten ein Fahrzeug mit entsprechender Architektur von Grund auf und ohne Altlasten neu konzipieren – und dabei auch die Anforderungen an die Sicherheit berücksichtigen.

Permanente Erweiterung der digitalen Architektur auch auf deutscher Seite

Mit ganz vorne dabei seien vor allem aber die etablierten deutschen Hersteller. Sie nähmen das Thema Sicherheit traditionell sehr ernst und hätten das konsequent auch auf die digitalen Fahrzeugsysteme ausgeweitet. Nach den verheerenden Presseberichten über einfache Angriffsmethoden auf US-amerikanische Fahrzeuge werde die Informationssicherheit als Wettbewerbsvorteil gesehen.
Dennoch würden auch sie um eine permanente Erweiterung ihrer digitalen Architektur nicht herumkommen, betont Bader. Als erster Schritt wäre dafür ein verbindlicher, herstellerübergreifender Standard notwendig. „NTT Com Security arbeitet hier bereits an Lösungen und Architekturvorgaben, die gemeinsam mit den Herstellern und Zulieferern entwickelt werden. Hier muss jedoch dringend weitergearbeitet werden, wenn das Connected Car nicht hinsichtlich der IT-Sicherheit gegen die Wand fahren soll.“

Weitere Informationen zum Thema:

McKinsey & Company
Internet im Auto wird Marktgewichte in der Industrie massiv verändern

[datensicherheit.de, 09.04.2016] Dass Unternehmen gänzlich vor Sicherheitsverletzungen fällen gefeit sein könnten, ist ein Trugschluss, denn eine 100-prozentige Absicherung kann es nicht geben. Jedes Unternehmen sollte sich dieser Tatsache stellen und auf Störungen vorbereitet sein, empfiehlt NTT Com Security in einer aktuellen Stellungnahme.

Detaillierte „Incident-Response-Strategie“ erforderlich

Klar sei, so NTT Com Security, dass die Abwehr eines Angriffs nicht erst beim Sicherheitsvorfall selbst beginnen sollte – schon im Vorfeld sollte eine Abwehrstrategie etabliert sein.
Eine solche „Incident-Response-Strategie“ müsse detaillierte Vorgehensweisen und Maßnahmen bei der Behandlung von Sicherheitsvorfällen beinhalten. Konkret sollten hierzu beispielsweise Verantwortlichkeiten festgelegt, Aufgaben definiert, Schadensfälle klassifiziert oder Kommunikationsmaßnahmen – auch im Hinblick auf die zentralen Ansprechstellen für Cybercrime der Bundesländer oder Strafverfolgungsbehörden – geregelt werden.
Welche Maßnahmen ein Unternehmen im Ernstfall ergreifen sollte, stellt NTT Com Security in der Stellungnahme beispielhaft in fünf Handlungsschritten dar.

1. Schritt: Identifizierung des Vorfalls
   Zunächst müssten die Verantwortlichen feststellen, um welchen Vorfall es sich genau handelt. Zur Analyse könnten zum Beispiel Log-Files – auch aus SIEM (Security Information and Event Management)-Systemen – herangezogen werden. Zudem müssten sie ermitteln, welche Zielsysteme betroffen sind, welchen aktuellen Status der Angriff hat und inwieweit bereits das gesamte Unternehmensnetzwerk kompromittiert ist.
   Neben der Erkennung und Erfassung von Sicherheitsvorfällen beinhalte dieser Schritt auch die Bewertung der Attacke und ihrer Relevanz für unternehmenskritische Systeme und Daten. Nur auf Basis einer solchen detaillierten Analyse könne ein Unternehmen zielgerichtete Abwehrmaßnahmen ergreifen.
2. Schritt: Eindämmung des Angriffs
   Abhängig vom Angriffsszenario seien hierzu unterschiedliche Maßnahmen denkbar – vom Abschalten einzelner Systeme über das Abtrennen bestimmter Netzwerkbereiche bis hin zu einem vollständigen Kappen aller Internetverbindungen.
   Um weitere Angriffe abzuwehren, sei zudem oft ein sofortiges Patchen der Systeme angezeigt. Natürlich müsse die IT bei der Eindämmung der Auswirkungen von Sicherheitsvorfällen auch immer die „Business Continuity“ berücksichtigen.
3.  Schritt: Schadensbeseitigung und Wiederherstellung
   Dabei müsse die IT alle Systeme, die potenziell betroffen sind, detailliert untersuchen. Dies betreffe Betriebssysteme, Applikationen und Konfigurationsdateien ebenso wie alle Anwenderdateien.
   Zur Überprüfung eigneten sich nur Sicherheitstools, die auf neuestem Stand sind, wie etwa aktuelle Antivirenlösungen. Bei Datenverlust müsse die IT entsprechende Recovery-Maßnahmen ergreifen.
4. Schritt: Wiederaufnahme des Normalbetriebs
   Die Wiederaufnahme des Normalbetriebs könne beispielsweise mit der sukzessiven Zuschaltung aller abgeschalteten Subsysteme erfolgen. Vor der Wiederinbetriebnahme müssten jedoch auf jeden Fall umfassende Testläufe erfolgen, in denen der reibungslose Systembetrieb überprüft wird – zum Beispiel mittels Anwendungsfunktionstests.
5. Schritt: Dokumentation und Maßnahmeneinleitung
   Der letzte Schritt, den nach Erfahrungen von NTT Com Security die meisten Unternehmen vernachlässigten, betreffe die Aspekte Dokumentation beziehungsweise Reporting und Maßnahmeneinleitung.
   Ein Report müsse eine klare Bestandsaufnahme des vergangenen Vorfalls enthalten sowie eine detaillierte Bewertung der ergriffenen Aktivitäten. So sollte zum Beispiel konkret spezifiziert werden, was gut und was weniger gut gelaufen ist, welche Kosten entstanden sind und in welchen Bereichen sich ein deutlicher Handlungsbedarf herauskristallisiert hat.
   Auf dieser Basis könne ein Unternehmen dann entsprechende Veränderungen initiieren und Maßnahmen einleiten, um einen gleichartig gelagerten Sicherheitsvorfall künftig zuverlässig auszuschließen.

Ein etabliertes „Incident-Response“-Verfahren sei angesichts der aktuellen Sicherheitsbedrohungen für ein Unternehmen heute unerlässlich. Doch auch wenn es vorhanden ist, zeige ihre Erfahrung, dass die Notfallpläne nicht regelmäßig überprüft und getestet würden, sagt Patrick Schraut, „Director Consulting & GRC“ bei NTT Com Security in Ismaning. Dies führe dazu, dass im Gefahrenfall oft Unsicherheit herrsche und eine verzögerte Reaktion einen ungewollten Datenabfluss ermögliche. Mit ihren fünf Schritten beim „Incident-Handling“ wollten sie Unternehmen eine Hilfestellung geben, wie sie im Schadenfall agieren sollten, um aktuelle und künftige Auswirkungen soweit wie möglich zu minimieren.

[datensicherheit.de, 24.03.2016] Laut dem aktuellen „Risk:Value-Report“ von NTT Com Security befürchtet mehr als die Hälfte aller befragten Entscheidungsträger in deutschen Unternehmen eine Verletzung der Datensicherheit im eigenen Hause. Die Untersuchung basiere auf einer globalen Umfrage unter 1.000 Führungskräften in Deutschland, Frankreich, Großbritannien, Norwegen, Schweden, der Schweiz und den USA, die vom Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Com Security Ende 2015 durchgeführt worden sei.

51% rechnen damit, Opfer zu werden

Zentrales Ergebnis des „Risk:Value-Reports“ sei, dass 51 Prozent der befragten deutschen Unternehmen damit rechneten, künftig Opfer einer Sicherheitsverletzung zu werden. Nur elf Prozent seien der Meinung, dass sie dies komplett ausschließen könnten. Nach Schätzung der Befragten beliefen sich die Kosten für die Wiederherstellung der durch eine Sicherheitsverletzung verlorenen Daten im Schnitt auf über 600.000 Euro.
Die kalkulierten Kosten setzten sich vor allem zusammen aus Anwaltskosten (21%), Entschädigungszahlungen an Kunden (16%), Drittkosten (16%), Strafzahlungen und Compliance-Kosten (14%) sowie PR- und Kommunikationskosten (14%). Nicht berücksichtigt seien die Verluste, die aus dem Imageschaden oder entgangenen Umsätzen resultierten. Allein den Umsatzverlust taxierten die Unternehmen auf zwölf Prozent. Für die vollständige Behebung des entstandenen Schadens rechneten die befragten Unternehmen mit einem Zeitraum von rund zwölf Wochen.

70% erkennen Informationssicherheit als essenziell an

Ein weiteres wichtiges Ergebnis der Studie sei, dass 70 Prozent der Befragten dem Thema Informationssicherheit eine essenzielle Bedeutung für ihr Unternehmen einräumten. Zudem bestätige ein Fünftel (21%), dass unzureichende Datensicherheit dabei die größte Gefahr darstelle. Diese Ergebnisse stünden aber im Widerspruch zu einer anderen zentralen Erkenntnis aus dem Report. Nur elf Prozent des IT-Budgets würden von den Unternehmen überhaupt für Informationssicherheit aufgewendet, erklärt Kai Grunwitz, „Senior Vice President DACH“ von NTT Com Security.
Grunwitz: „Unserer Meinung nach ist hier dringend ein Umdenken erforderlich. Die Bedrohungslage wird sich nicht abschwächen, sondern im Gegenteil weiter deutlich verschärfen. Man muss sich nur die Vielzahl aktueller Ransomware- oder DDoS-Attacken vor Augen halten.“

Datendiebstahl mit gravierenden Auswirkungen

Dass ein Datendiebstahl im Rahmen einer Sicherheitsverletzung gravierende Auswirkungen habe, werde von der Mehrheit der Befragten eindeutig bejaht. Als zentrale Folgen würden der Verlust des Kundenvertrauens (70%), die Beeinträchtigung der Reputation (60%) und der finanzielle Schäden (44%) genannt.
Angesichts dieser gravierenden Auswirkungen sollten Unternehmen der IT-Sicherheit heute höchste Priorität einräumen, fordert Grunwitz. Wenn man bedenke, dass nur 18 Prozent der befragten Unternehmen in Deutschland alle Daten als „komplett sicher“ einstuften, sei der Handlungsbedarf mehr als offensichtlich. Unternehmen müssten erkennen, dass sie heute nur mit einer umfassenden und durchgängigen „Cyber-Defense-Strategie“ alle Attacken erfolgreich abwehren könnten.

Weitere Informationen zum Thema:

NTT Communications – NTT Com Security
Risk:Value 2016 herunterladen

[datensicherheit.de, 05.03.2014] NTT Com Security, eine weltweit tätige Gesellschaft für Informationssicherheit und Risikomanagement, gibt die Ernennung von John Theobald als Global Chief Information Security Officer (CISO) bekannt. Die Position wurde neu geschaffen. Von NTT Com Security’s Niederlassung in London wird er direkt mit dem Vorstand zusammenarbeiten.

John Theobald verfügt über 25 Jahre Erfahrung im Aufbau von Sicherheitsteams und als Leiter von Transformationsprogrammen im Bereich Informationssicherheit. Zuvor war er in leitenden Positionen bei Bupa und RBS tätig. Als Global Head of Information Risk bei der Barclays Bank baute er ein globales Team auf und half der Bank, neue Wege zu finden, um Informationssicherheits- und Risikomanagement-Themen intern aufzuarbeiten und zu kommunizieren.

Zuletzt war er leitender Berater im britischen Unternehmensbereich Informationssicherheit bei der NTT Com Security. Für diesen Unternehmensbereich, der unter der Marke WideAngle Managed-Security-Services sowie Beratungs-und Technologie-Dienstleistungen bietet, baute Theobald ein Portfolio von globalen Blue Chip-Kunden auf, darunter Jaguar Land Rover. Für Jaguar Land Rover übernahm er auch die Rolle eines Interim-CISO’s.

„Die Rolle des CISO’s ist heute wichtiger denn je“, erläutert John Theobald. „Sicherheit ist nicht mehr nur ein IT-Problem, sondern eine geschäftskritische Angelegenheit, die auf höchster Unternehmensebene behandelt werden muss. Unseren globalen Kunden empfehlen wir, dass die Rolle des CISO’s eine Business-Rolle ist und nicht eine IT-Rolle. Sie erfordert ganz andere Führungsqualitäten und Kommunikationsfähigkeiten. Es geht darum, die Auswirkungen auf das Unternehmen in Bezug auf das Informationsrisiko, nicht nur das operationelle Risiko, zu verstehen. Zudem muss ein CISO in der Lage sein, mit allen Unternehmensebenen zu kommunizieren.“

© NTT Com Security 2014

John Theobald: Zum Global CISO von NTT Com Security ernannt

Als Global CISO wird John Theobald die Informationssicherheitsagenda der NTT Com Security vor dem Hintergrund der sich ständig verändernden Internetbedrohungen vorantreiben. IT-Bedrohungen werden immer komplexer und Unternehmen sehen sich wachsenden Risiken ausgesetzt. NTT Com Security ist in einer einzigartigen Position, um Kunden beim Management und der Sicherung ihres Unternehmens zu unterstützen. In seiner Rolle wird er sowohl Unternehmen der NTT-Gruppe beraten als auch Kunden der NTT Com Security.

Tetsuo Someya, Chief Business Development Officer und Chief Governance Officer der NTT Com Security, kommentiert: „Wir freuen uns, John Theobald in diese neue Position zu berufen. Als Informationssicherheits- und Risikomanagementspezialist erkennen wir die Bedeutung einer solchen leitenden Rolle in unserem eigenen Unternehmen und wie sich diese auf unsere Kunden auswirkt. Die Ernennung von John Theobald bekräftigt zudem, wie wichtig uns die eigene IT-Sicherheit ist.“

[datensicherheit.de, 20.02.2014] NTT Com Security, eine weltweit tätige Gesellschaft für Informationssicherheit und Risikomanagement, und Palo Alto Networks® (NYSE: PANW), Anbieter im Bereich Enterprise Security, verkündeten heute die Unterzeichnung eines international gültigen Vertrag über Managed Security Services. Im Rahmen dieser Vereinbarung wird NTT Com Security (ehemals Integralis) ihr Know-how in den Bereichen Implementierungs-, Integrations- und Managed Security Services rund um die Sicherheitsplattform von Palo Alto Networks zur Verfügung stellen.

Die Vereinbarung erweitert die bisherigen globale Zusammenarbeit beider Unternehmen mit NTT Com Security als Managed Services Provider (MSP) und Palo Alto Networks als Anbieter von NextGeneration Firewalls und dem gebündelten Know-how, das aus der bisherigen Zusammenarbeit erwachsen ist.

Weitere Infromationen zum Thema:

datensicherheit.de, 03.02.2014
NTT Com Security: Expansion in Deutschland

[datensicherheit.de, 03.02.2014] NTT Com Security (früher Integralis), ein weltweit tätiges Unternehmen für Informationssicherheit und Risikomanagement, hat in Deutschland zwei neue Büros eröffnet. Damit spiegelt NTT Com Security die großen Wachstumsmöglichkeiten im deutschen Markt  wieder  und baut seine weltweite Geschäftsaktivität weiter aus.

An den neuen Standorten Berlin und Frankfurt bietet NTT Com Security ein umfassendes Serviceangebot unter der Unternehmensmarke WideAngle, einschließlich verwalteter Sicherheitsdienste, Beratung und Technology Integration Services. Nahe an vielen bestehenden Kunden und Interessenten des öffentlichen Sektors und des Finanzdienstmarktes von NTT ComSecurity unterstützen die neuen Niederlassungen die deutsche Zentrale des Unternehmens in Ismaning.

© NTT Com Security

Hauptstadt-Büro der NTT Security in Berlin am Sachsendamm

Frank Brandenburg, Senior VicePresident Central Europe NTT Com Security, sagt: „Wir möchten sowohl international als auch national weiter wachsen. Ein starker Fokus auf bestimmte Branchen, wie dem wachsenden Finanzdienstleistungsmarkt und dem öffentlichen Sektor, sowie die Nähe zum Kunden sind die Kernpunkte unserer Expansionsstrategie. Wir werden dahin gehen, wo der Kunde uns braucht!“

2013 wurde das Unternehmen zur weiteren Expansion seiner Sicherheits- und Risikomanagement-Ressourcen von Integralis in NTT Com Security umfirmiert, um so weltweit Kunden zu betreuen und die Stärke der Identität von NTT im globalen Markt zu nutzen. Mit 800 Mitarbeitern hat das Unternehmen weltweit mehr als 8.000 Kunden und agiert in den EMEA-Staaten, den USA und in der APAC-Region.

Der jüngste Erfolg des Unternehmens und das momentane Wachstum spiegeln nach Angaben es Unternehmens den laufenden Übergang zu verwalteten High-End-Services und professioneller Dienstleistung und Beratung wieder, die entsprechend der sich ändernden Marktbedingungen und den weltweiten Geschäftstreibern unter der Marke WideAngle erbracht werden.