Eric Waltert beschreibt Analogie zur Gesundheit und Fitness von Profisportlern

[datensicherheit.de, 10.02.2022] Ob Ransomware-Angriffe, sonstige Malware oder auch Anwenderfehler – die Risiken, kritische Firmendaten zu verlieren, sind vielfältig. „Umso wichtiger ist es, sich einen Überblick über alle gespeicherten Informationen zu verschaffen und einen umfassenden ,Recovery‘-Plan für den Ernstfall parat zu haben“, rät daher Eric Waltert, „Regional VP DACH“ bei Veritas Technologies, in seiner aktuellen Stellungnahme. Ein Unternehmen sollte laut Waltert dabei wie ein Profisportler vorgehen, der sich auf einen Wettkampf vorbereitet.

Foto: Veritas

Eric Waltert: Risiken, kritische Firmendaten zu verlieren, sind vielfältig…

Arbeiten im Home-Office als Herausforderung für die Datensicherheit

„Viele Firmen stehen unter erheblichen Druck, wenn es um ihre Daten und deren Schutz geht. In einer aktuellen Studie von Trend Micro äußerten sich mehr als 83 Prozent der Teilnehmer besorgt über die Zunahme von Ransomware-Angriffen“, so Waltert. Neben dem Risiko, dass Hacker Unternehmensdaten exfiltrierten und verschlüsselten, bestehe aber auch die Gefahr, dass Informationen durch Anwendungsfehler der Mitarbeiter verloren gingen.

Waltert warnt: „Und dieses Risiko ist seit der ,Pandemie‘ deutlich gestiegen, da die Firmen verstärkt ,Cloud‘-Lösungen implementiert haben, um ihre Daten für alle Mitarbeiter auch im Home-Office verfügbar zu machen.“ Ob das Inventur-System, welches mit großen saisonalen Schwankungen umgehen müsse, oder die Quartalsabrechnung: Unternehmen sollten immer einen umfassenden Überblick über die zugrunde liegenden Daten haben: „Wie groß ist ihr Fußabdruck? Wie schnell lassen sie sich migrieren? Wie alt sind bestimmte Informationen und werden sie überhaupt noch benötigt?“

Daten nach Verlust schnell wiederherstellen können

Zudem sollten Unternehmen in der Lage sein, ihre Daten nach einem Verlust schnell wiederherzustellen. Dazu müssten sie diese zunächst umfänglich bewerten. „Auf dieser Grundlage lässt sich anschließend ein Plan erstellen, welche Informationen wie geschützt und gespeichert werden sollen. Dabei empfiehlt sich die Vorgehensweise eines Spitzensportlers, der seinen Trainingsplan auf Basis seiner vorherigen Leistungen sowie Faktoren wie Gewicht, Größe, Alter, Herzfrequenz und Ernährung erstellt, seine Ergebnisse regelmäßig misst und die Planung entsprechend anpasst“, erläutert Waltert.

Ähnlich sollten Unternehmen ihre Daten anhand von Alter und Speicherorten sowie im Hinblick auf Datenschutz und -sicherheit immer wieder überprüfen und ihre Datenstrategie darauf ausrichten. Allerdings fehle vielerorts ein umfassender Überblick über die Firmendaten. Untersuchungen von Veritas zufolge handele es sich bei 66 Prozent aller von deutschen Unternehmen gespeicherten digitalen Informationen um „Dark Data“, deren Inhalt nicht bekannt sei.

Datensicherheit: Den Ernstfall proben!

Statistisch werde ein Profi-Sportler bei 100 Wettkämpfen 1,38-mal verletzt und müsse pausieren. Diese Erholungsphase sei bereits in sein Trainingsprogramm eingerechnet, hänge aber auch davon ab, „wie schwer die Verletzung ist“. Ähnlich verhalte es sich mit Cyber-Angriffen: „Ein Unternehmen fällt im Schnitt 1,87 Ransomware-Attacken zum Opfer. Statistisch gesehen, ist der Ernstfall also unvermeidbar.“ Deshalb müssten sich Firmen darauf vorbereiten – etwa durch regelmäßige Testläufe, bei denen der Prozess der Datensicherheit geprobt wird.

Nicht selten würden dabei große Lücken ersichtlich: „Oft sind Unternehmen schockiert, wenn sie bei einem Test ihres ,Recovery‘-Plans feststellen, wie viele Daten fehlen. Daher ist es wichtig, ähnlich wie im Profi-Sport, das ‚Training‘ immer wieder anzupassen, um eventuelle Lücken zu schließen“, betont Waltert. Durch regelmäßige Testläufe ließen sich auch unerwartete Probleme bei der Datensicherung aufdecken. Denn eine Maßnahme, die in einem Bereich für Verbesserungen sorge, könne in anderen zu Einschränkungen führen. Daher komme es auf eine genaue Überwachung der Daten an: „Veränderungen an Daten sind das beste Frühwarnsystem dafür, dass etwas nicht in Ordnung ist. Ransomware-Angriffe zum Beispiel lösen einen Verschlüsselungsprozess aus, der die Daten verändert. Je schneller das betroffene Unternehmen solche Abweichungen erkennt, desto rascher kann es reagieren und die Auswirkungen des Angriffs minimieren“, führt Waltert aus und unterstreicht: „Eine umfassende Datenschutz- und Datenmanagement-Plattform sowie die richtigen Richtlinien helfen dabei, das Unternehmensnetzwerk von ,Dark Data‘ und Archivdaten zu entlasten.“

Einheitliche Datenverwaltung dringend empfohlen

Angesichts der hohen Wahrscheinlichkeit einem Ransomware-Angriff zum Opfer zu fallen, bräuchten Unternehmen einen umfassenden „Recovery“-Plan – ähnlich wie ein Spitzensportler nach einer Verletzung: „Welche Daten wurden gestohlen? Welche Informationen müssen wiederhergestellt werden, um kritische Geschäftsfunktionen zum Laufen zu bringen? Und wie viel Zeit bleibt noch, um einen größeren Schaden abzuwenden?“

Allerdings sei es nicht immer einfach herauszufinden, welche Daten entwendet wurden, da diese an vielen unterschiedlichen Orten gespeichert seien – auf verschiedenen Endgeräten, virtuellen Maschinen, in „Clouds“ und in „Containern“. Waltert: „Und all diese Systeme arbeiten wieder mit unterschiedlichen Berechtigungen und Vorschriften.“

Verantwortlichen Kontrolle über Daten und Systeme zurückgeben!

Zudem sei es nicht immer offensichtlich, in welcher Reihenfolge die Daten wiederhergestellt werden sollten. So würden häufig Abhängigkeiten zwischen verschiedenen Datensätzen und Systemen übersehen. Mit einer einheitlichen Verwaltung der Daten und einer umfassenden Strategie für ihren Schutz und ihre Wiederherstellung im Ernstfall erhalte die IT-Abteilung einen genauen Überblick über alle digitalen Informationen im Unternehmen.

Auf dieser Basis könne sie beurteilen, „welche Datensätze betroffen sind und wie sie sich wiederherstellen lassen“. Waltert abschließender Kommentar: „Wichtig ist dabei, dass sich der ,Recovery‘-Plan auf eine Plattform stützt, die alle Daten abdeckt, und zwar unabhängig davon, wo sie sich befinden – am ,Edge‘, im ,Core‘ oder in der ,Cloud‘. Das vereinfacht die Wiederherstellung und gibt den Verantwortlichen die Kontrolle über ihre Daten und Systeme zurück.“

Weitere Informationen zum Thema:

datensicherheit.de, 20.07.2021
KRITIS im Visier: Hacker-Angriffe auf das Allgemeinwohl

TREND MICRO, 03.02.2022
Studie von Trend Micro: Mehr Engagement auf Vorstandsebene zur Eindämmung von Cyberrisiken nötig / Befragung zeigt weit verbreitete Sorge über Bedrohung durch Ransomware

VERITAS
Ransomware Protection / Ensure resilience with a proactive, multi-layered approach

Von unserem Gastautor Markus Schäfer, Product Manager Cloud & Mobile bei Matrix42

[datensicherheit.de, 03.10.2018] Der Multi-Cloud-Ansatz setzt sich zunehmend durch. Der Weg in die Multi-Cloud muss jedoch begleitet werden von einem Umdenken bei der Planung von IT-Budgets. Andernfalls können die Vorteile der Multi-Cloud nicht optimal ausgeschöpft werden.

Bis 2019 wird der Anteil der Unternehmen, die einen Multi-Cloud-Ansatz verfolgen, auf 70 Prozent steigen – prognostiziert die Gartner Studie „Market Trends: Multi-Cloud Usage Will Drive Cloud Management Platform Growth“ [1]. Hauptgrund für diese Entwicklung ist die höhere Flexibilität, die die Multi-Cloud bietet. Sie eröffnet Unternehmen die Möglichkeit, sich für die jeweils optimale Lösung zu entscheiden. Denn es gibt keine Cloud-Lösung, die sich für alle Anforderungen eines Unternehmens eignet. In der Multi-Cloud können mehrere Cloud-Dienste in einer gemeinsamen Cloud zusammengefasst werden. Kombinierbar sind sowohl mehrere öffentliche Cloud-Lösungen als auch eine Private Cloud mit Public-Cloud-Modellen. Dennoch erscheint dem Anwender die Kombination aus mehreren Cloud-Diensten und –Plattformen wie eine einzige große Cloud.

Die Flexibilität der IT ist unverzichtbar für Unternehmen, die ihre Geschäftsmodelle und -prozesse digitalisieren. Denn von der IT wird erwartet, dass sie den Wandel agil, flexibel und kosteneffizient mitgestaltet. Dazu gehört, dass sie in der Lage ist, rasch auf Änderungen zu reagieren, Services bei Bedarf flexibel skalieren zu können, Innovationen zu unterstützen, Unternehmensprozesse zu optimieren und dafür zu sorgen, dass die Anforderungen in den Bereichen Sicherheit, Compliance und Datenschutz erfüllt sind.

Herausforderung: Budget-Flexibilität

Neben den zahlreichen organisatorischen und technischen Herausforderungen, die mit der Umsetzung eines Multi-Cloud-Ansatzes einhergehen, ist das Budget-Modell ein nicht zu unterschätzender Hemmschuh in vielen Unternehmen. Traditionellerweise wird das IT-Budget für Investitionen (Capex) und operative Ausgaben (Opex) geplant. In der Vergangenheit war stets eine Erhöhung der Investitionskosten notwendig, wenn Veränderungen in der IT anstanden. Die IT-Ausstattung, z. B. Server und Software, wurde gekauft, die Kosten dafür über Jahre hinweg abgeschrieben. Dagegen wurde das Budget für die Betriebskosten zumeist gering gehalten, wenn nicht sogar jährlich gekürzt. In der Cloud-Welt ändert sich das grundlegend. Denn Cloud-Kosten sind Opex-Kosten.

Wechsel der Budget-Modelle

Während sich die IT-Abteilungen den Anforderungen der Digitalisierung anpassen, wurden die Budget-Modelle in den meisten Unternehmen bislang noch nicht überarbeitet. Strategische Modernisierung benötigt aber flexible Budgets und einen Shift hin zu mehr Opex. Für viele IT-Verantwortliche stellt dies einen Drahtseilakt dar. Denn eine Verringerung des Investitionsbudgets soll nicht mit einer Kürzung des Gesamtbudgets einhergehen. Ziel ist es vielmehr, eine kosteneffizientere IT zu schaffen, ohne dass regelmäßig umfangreiche Investitionen in Capex zur Aktualisierung von Tools und Systemen erforderlich sind. Nur mit einem ausreichenden Opex-Budget kann die IT die Erwartungen an sie auch hinreichend erfüllen.

Step-by-step und gut orchestriert

Kein Unternehmen wird sein Budget-Modell von heute auf morgen komplett umkrempeln. Gelingen kann der Wechsel des Budgetansatzes dennoch, wenn z. B. Jahr für Jahr ein bestimmter Prozentsatz des Capex-Budgets dem Opex-Budget hinzugefügt wird. Notwendig sind aber eine gute Planung und eine umfassende Orchestrierung der Multi-Cloud. Denn mit der Budget-Bereitstellung und –flexibilisierung geht logischerweise auch weiterhin die Erwartung einher, dass dieses Budget effizient von der IT eingesetzt wird. Das heißt, die Verantwortlichen müssen auch die Nachteile der Multi-Cloud im Griff haben:

• Steigende Komplexität und höherer Verwaltungsaufwand durch die höhere Anzahl an Anbietern
• Höhere Fehleranfälligkeit durch die steigende Anzahl an Schnittstellen
• Kein einheitlicher Datenschutz- und Sicherheitsansatz, weil die verschiedenen Anbieter in der Regel unterschiedliche Konzepte anwenden
• Schwierigkeiten bei der Einhaltung von Lizenzbestimmungen, da verschiedene Anbieter unterschiedliche Lizenzmodelle haben

Unterstützung durch Multi-Cloud-Experten

Um den Dschungel aus Lösungen, Lizenzmodellen und Sicherheitskonzepten erfolgreich managen zu können, ist eine 360-Grad-Sicht auf die Multi-Cloud notwendig. Immer mehr Unternehmen entscheiden sich daher für Anbieter wie Matrix42, die mehrere aufeinander abgestimmte Lösungen anbieten und gleichzeitig die Möglichkeit eröffnen, andere Cloud-Lösungen sowie die Private Cloud einzubinden und die volle Kontrolle über das gesamte System zu gewährleisten.

Die Multi-Cloud eröffnet viele Möglichkeiten, bringt aber auch zahlreiche Herausforderungen mit sich. Professionelle Beratung und Begleitung hilft, die Vorteile der Multi-Cloud optimal ausschöpfen zu können.

[1] https://www.gartner.com/doc/reprints?id=1-4KKGOTA&ct=171115&st=sb%3fsrc=so_5703fb3d92c20&cid=70134000001M5td

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2018
Cloud Security Alliance eröffnet europäischen Hauptquartier in Berlin

datensicherheit.de, 16.09.2018
Europas Unternehmen mit Nachholbedarf im Bereich Cloudsicherheit

datensicherheit.de, 29.08.2018
DDoS-Angreifer nutzen verstärkt Cloud-Dienste

datensicherheit.de, 29.06.2018
Cloud: Security und Performance in Fokus

datensicherheit.de, 17.07.2018
NIFIS: Cloud-Anbieter haften künftig für den Datenschutz ihrer Kunden

[datensicherheit.de, 23.08.2017] Das Seminar „Konzeption und Planung höchstverfügbarer Data Center“ der SIMEDIA Akademie hat mit bisher 27 durchgeführten Veranstaltungen eine Tradition unter den RZ-Seminaren – das nächste Seminar findet am 12. und 13. September 2017 in Hamburg statt.

Grundlage des Seminars ist ein Sicherheitsleitfaden bzw. eine Mustergliederung zur Sicherstellung der Höchstverfügbarkeit in Rechenzentren. Darin steckt ein Erfahrungsschatz aus der Planung von weit über 600 hochverfügbaren Rechenzentren. Hochkarätige und herstellerunabhängige Experten demonstrieren anhand zahlreicher Praxisbeispiele mit aktuellen Lösungen, wie das Ziel Höchstverfügbarkeit erreicht werden kann.
In einem optionalen Planungsworkshop am 14. September 2017 erarbeiten die Teilnehmer mit den Dozenten ein baulich-technisches Anforderungsprofil für Rechenzentren oder IT-Flächen.

Nähere Informationen zum Fachseminar erhalten Sie bei der SIMEDIA Akademie GmbH, Bonn, Tel. +49 228 – 96293-70, Fax +49 228 – 96293-90, E-Mail: info [at] simedia [dot] de oder Internet https://www.simedia.de.

Von unserem Gastautor Dominique Meurisse, COO bei WALLIX

[datensicherheit.de, 08.12.2016] Viele Organisationen schlagen sich mit der riesigen Menge an IT-Securitylösungen herum – Anbieter, Berater und Analysten liefern eine Vielzahl von Ideen. Insbesondere kleine und mittelständische Unternehmen (KMU) haben oftmals nicht die Zeit und die Ressourcen, eine Vielzahl von Produkten und Werkzeugen (Tools) zu prüfen und zu bewerten.

Einerseits haben Organisationen nur begrenzte Planungszeit und bereits vorhandene Sicherheitstechnologie, die beim Einkauf neuer Lösungen bedacht werden muss. Auf der anderen Seite erzeugt die neue Bedrohungslandschaft einen gewissen Veränderungsdruck – passen sich Unternehmen nicht an, laufen sie Gefahr, Opfer eines Cyberangriffs zu werden, denn die in Organisationen vorhandenen klassischen Systeme haben sich als unzureichend erwiesen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt drei grundsätzliche Wege für den Aufbau einer Sicherheitsarchitektur:

• Grundlegende Sicherheitsmechanismen für alle Geschäftsprozesse und Unternehmensressourcen in einer Institution, um so die größten Risiken zu minimieren. Detailliertere Schritte können später folgen – der Fokus liegt auf der Einbindung aller Bereiche in ein breitgefächertes Sicherheitskonzept
• Wichtigste Sicherheits- und Schutzfunktionen, Ausgangspunkte sind hier die kritischsten Assets. Verglichen mit dem ersten Punkt liegt hier der Fokus mehr auf der Tiefe als auf der Breite der Schutzmaßnahmen. Nicht alle Prozesse sein gleich wichtig und deshalb sollten flexible Sicherheitsmaßnahmen in Erwägung gezogen werden. Hochkritische Bereiche wie beispielsweise Adminzugänge werden strenger geschützt als ausrangierte IT, die demnächst verschrottet werden soll
• Für einige Branchen gibt der „BSI-Grundschutz“ präzisere Empfehlungen mit Standardmaßnahmen. Der aktuelle BSI-Standard 100-2 enthält jetzt Details zum Schutz industrieller Steuerungssysteme (Industrial Control Systems, ICS).

Das Thema IT-Sicherheit ist nicht neu – hat sich aber stark verändert

In vielen Organisationen wurden bereits grundlegende Sicherheitsmechanismen eingeführt. Auch ist das Bewusstsein von CISOs und ISOS in Hinblick auf die Frage, welches die kritischsten Assets in einer Organisation sind, sehr hoch; das Hauptproblem ist das praktische Management der Sicherheitsverfahren – IT-Strategien mussten so oft angepasst werden oder sind so kompliziert geworden, dass sie nicht mehr effizient sind. Beispielsweise ist nicht sicher, wer eigentlich Zugriff auf kritische Daten hat – oftmals sind Nutzerkonten einfach verloren gegangen oder in Vergessenheit geraten.

Malware und Cyberbedrohungen sind intelligenter geworden, und in Reaktion darauf schuf der Markt mehr Sicherheitsinstrumente für unterschiedliche Szenarien. Gleichzeitig steigt die Anzahl an Geräten, die auch noch heterogener werden. Durch BYOD, IoT, Cloud-Migration und andere Innovationen wurden neue Angriffsvektoren erschlossen – was wiederum dediziertere Einzellösungen in den Firmen zur Folge hat.

Das führte zu einer noch größeren Bedrohung – nämlich zu überlasteten IT-Administratoren. Die Anzahl an Angriffen, Bedrohungen und Sicherheitstools steigt, doch die Arbeitsstunden, die in IT-Abteilungen in Sicherheitsmaßnahmen investiert werden, folgen diesem Anstieg nicht – oder einfach gesagt: IT-Abteilungen verwenden immer mehr Zeit auf die Einführung und Anpassung von Sicherheitsinstrumenten und haben weniger Zeit für die eigentlichen Management-Aufgaben.

Jede neue Lösung zieht voraussichtlich Sicherheitswarnungen und Nutzerbeschwerden nach sich. Ein strategisches Konzept muss also das richtige Schutzniveau mit einer nutzerfreundlichen Anwendung kombinieren. Gleichzeitig muss es in die Alltagsroutine von IT-Verantwortlichen passen und die Erfüllung von Normen und Vorschriften gewährleisten. Es sollte Mitarbeitern die effizienteste Technik für ihre Aufgaben bieten und gleichzeitig die Gefahr von Datenlecks, Cyber-Angriffen und Compliance-Verstößen verringern.

Die Toleranz von Mitarbeitern ist begrenzt: Eine Befragung von 400 IT-Administratoren zeigt, dass 74 Prozent des Personals in IT-Abteilungen durchaus in der Lage sind, Sicherheitsmaßnahmen ganz leicht zu umgehen. Erscheint eines der vielen Sicherheitsinstrumente lästig, wird es wahrscheinlich nicht eingesetzt. Nicht nur die Angestellten einer Organisation könnten zu einem Sicherheitsrisiko führe, auch externe Mitarbeiterinnen und Mitarbeiter sollten in ein Schutzkonzept miteinbezogen werden.

Nach einer von PWC durchgeführten Studie setzen 82 Prozent der Unternehmen eine Form von externen Anbietern ein und lagern Geschäftsaufgaben aus – so auch den Zugriff auf ihre Netzwerke. 90 Prozent aller Organisationen geben auch zu, im letzten Jahr irgendeine Art von Vorfall erlitten zu haben. Überraschend ist die Tatsache, dass 48 Prozent der Verstöße auf menschliches Versagen zurückzuführen sind und 17 Prozent durch absichtlichen Systemmissbrauch durch Menschen verursacht werden.

Privileged Access Management zur Verbesserung und Sicherung von IT-Umgebungen

Fehlverhalten und Fehler im Umgang mit privilegierten Konten können Organisationen schweren Schaden zufügen. IT-Abteilungen haben jedoch nicht die Personalressourcen, alle Aktionen zu verwalten, insbesondere, wenn sie von Dritten eingesetzt werden.

Das Mikromanagement eines jeden einzelnen Nutzers ist zeitaufwendig und unwirtschaftlich.Privileged Access Management (PAM) ist ein eleganter Weg, allen drei BSI-Empfehlungen zu folgen. Detaillierte Maßnahmen für alle Nutzerkonten gewährleisten eine Sicherheitsgrundlage und umfassen Onboarding von Anwendungen, Wartung und Offboarding von Accounts.

Um den gesamten Lebenszyklus abzudecken, muss mit der Erstintegration in das System begonnen werden, alle Änderungen während der Nutzungsdauer mit aufgenommen und das System zum Schluss nach seiner Stilllegung entfernt werden.

Darüber hinaus kann PAM die Workflows der Nutzer einzeln prüfen und sehen, ob ihre Aktionen legitim sind. Zugriffsrechte sollten in Zeit und Tiefe beschränkt sein, so dass Administratoren bestimmte Aktionen innerhalb eines zeitlich festgelegten Zugriffsfensters planen können. Das ermöglicht die Planung von Aktivitäten und die gleichzeitige Sicherstellung des Schutzes.

Für äußerst kritische Accounts mit Zugriff auf wichtige Assets kann ein höheres Schutzniveau eingestellt werden. Wenn solche Accounts geteilt werden, kann Live-Überwachung oder die Zwei-Mann-Regel verbindlich vorgeschrieben werden. Moderne PAM-Lösungen funktionieren agentenlos und sind dabei leicht umzusetzen. IT-Abteilungen können sich so auf die wesentlichen Fragen fokussieren und die wichtigsten Accounts mit erweiterten Zugriffsrechten ermitteln.

Zurzeit sind einige wenige PAM-Lösungen erhältlich, die für den europäischen Markt entwickelt wurden und an künftige Richtlinien angepasst werden können. Allgemeine Standards, wie ISO 27001 oder der BSI-Grundschutz, sind aktuelle Beispiele, aber sie sind nur eine Orientierung und höchstwahrscheinlich werden neue Vorschriften folgen. In jedem Fall bieten PAM-Lösungen einen einzigartigen Weg zu effizienter IT-Sicherheit und Compliance.

Fazit

Das BSI liefert zwar strategische Empfehlungen für die IT-Sicherheit, Organisationen müssen jedoch noch ihre eigenen Best Practices definieren, um die Sicherheit und Effizienz in ihren IT-Abteilungen zu steigern. Viele Anbieter haben ihre Büros außerhalb Europas und entwickeln ihre Produkte für ein spezielles Top-Thema. Die Produkte sind innovativ, passen aber nicht in die Sicherheitsarchitektur – was auch für das Personal gilt, das die Tools nutzt und integriert.

Das führt zu Sicherheitsrisiken, denn IT-Administratoren haben mit zu vielen Sicherheitstools zu kämpfen. Sicherheit ist zu einer zeitaufwendigen Angelegenheit geworden, die immer weniger Zeit für tatsächliche Administrationsaufgaben lässt. Insbesondere KMUs brauchen bisweilen passende Basistools, um die Effizienz und Sicherheit zu verbessern, und keine teuren Threat Intelligence der nächsten Generation, die dazu führt, dass Nutzer zu Umgehungslösungen greifen. Größere Sicherheitsbudgets sind nicht erforderlich, doch die zur Verfügung stehenden Budgets sollten sinnvoll eingesetzt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2016
Komplexität von IT-Infrastrukturen

[datensicherheit.de, 06.05.2016] Dass das Internet der Dinge ein thematischer Schwerpunkt der weltgrößten Industriemesse in Hannover 2016 war, verwundert kaum, denn die vielfältigen Möglichkeiten dieser Technologie kündigen die „vierte Welle der Industriellen Revolution“ an. Zahlreiche Branchen nutzen bereits Teilaspekte für Automatisierung, Datenaustausch und Produktion. Die Ziele sind dabei eine Verbesserung der Prozesstransparenz, betrieblichen Effizienz, Reaktionszeiten, Flexibilität in der Produktion und letztlich der Wirtschaftlichkeit von Unternehmen. Laut einer aktuellen Stellungnahme von Palo Alto Networks erfährt im Zuge dieser Entwicklung auch das Thema IT-Sicherheit mehr Aufmerksamkeit.

IIoT-Technologien werden alltäglich

Früher seien IIoT-Technologien als zu riskant oder zu kostspielig für die Betriebstechnik-Umgebung angesehen worden – der globale Wettbewerb und der Reifegrad dieser Technologien indes hätten sie jedoch an die Spitze der Modernisierung der industriellen Steuerungssysteme katapultiert, so Thorsten Henning, „Senior Systems Engineering Manager Central & Eastern Europe“ bei Palo Alto Networks.
In vielen Fällen habe die Technologie bereits das Stadium von „Proof-of-Concepts“ und Pilotprogrammen durchlaufen und werde in den Produktivbetrieb integriert.

Potenzial von IioT-Architekturen ungestört entfalten

Das Potenzial von IIoT-Architekturen werde als überaus positiv angesehen. Bei aller Euphorie dürfe nicht vergessen werden, dss die Modernisierung dieser Systeme für Cyber-Kriminelle auch neue Schwachstellen eröffneten.
Henning unterstreicht, dass wenn IIoT-Systeme nicht richtig verwaltet werden, dies zu Datenlecks und finanziellem Verlust, aber auch zur Rufschädigung oder – schlimmer noch – im Falle von Kritischen Infrastrukturen auch zu Gefahren gar für die nationale Sicherheit führen kann.

Risikomanagement während der Erweiterung der verschiedenen Schnittstellen

Als größte Herausforderung dürfte sich das Risikomanagement während der Erweiterung der verschiedenen Schnittstellen in die Automatisierungsumgebung herausstellen. In der IIoT-Zukunft würden Unternehmen über das Internet mit Business-Netzwerken sowie geografisch verteilten Standorten und Fabriken verbunden sein. Dort kämen verschiedene IT-Sicherheitspraktiken zum Einsatz und es würden die Dienste verschiedener Drittanbieter-Partner sowie Support-Dienstleister und Cloud-Service-Provider in Anspruch genommen. Jede dieser Parteien könne einen potenziellen Dreh- und Angelpunkt für Angreifer darstellen.

Bei der Planung alle Sicherheitsrisiken erfassen

Da die produzierenden Unternehmen bereits die nächste Generation von Automatisierungsinfrastrukturen planten, müssten sie Cyber-Sicherheit in den Planungsprozess einbinden und dafür sorgen, alle Sicherheitsrisiken zu erfassen.
Die folgenden Aspekte sollten nach Meinung von Palo Alto Networks bei der IIoT- Infrastrukturplanung berücksichtigt werden:

1. Layer-7-Inspektionstechnologien zur Verbesserung der Sichtbarkeit insetzen
   Ein detaillierterer Einblick in Anwendungen, Benutzerinformationen und Inhalte ermöglicht es der IT, die reguläre Nutzung zu überwachen und Anomalien zu identifizieren.
2. Zero-Trust-Netzwerksegmentierung einrichten
   Erhebliche Verringerung der Anzahl von möglichen Angriffsvektoren und bessere Korrelation von Daten zu Anwendung, Benutzer und Bedrohung.
3. Moderne Tools zur Verhinderung von Zero-Day-Attacken einsetzen
   Tools, die Zero-Day-Bedrohungen sowohl auf Netzwerk- als auch Endpunktebene erkennen und verhindern können, sind unverzichtbar.
4. Sichere mobile und virtuelle Umgebungen
   Anwendungen begrenzen, die auf mobilen Geräten ausgeführt werden dürfen – diese sollten auch auf die richtige Konfiguration hin überprüft werden, bevor sie auf das Netzwerk zugreifen dürfen.
5. Integrierte Sicherheitsplattformen statt punktueller Lösungen einsetzen
   Sind in irgendeiner Form Schutzmaßnahmen implementiert, handelt es sich meist um punktuelle Lösungen, die nicht gut zusammenarbeiten – Next-Generation-Firewalls können dieses Problem lösen, indem sie alle erforderlichen Funktionen in einer zusammenhängenden Plattform konsolidieren.

Weitere Informationen zum Thema:

datensicherheit.de, 18.04.2016
Noch weitgehend nebulös: IoT-Sicherheit in der Automobilindustrie

[datensicherheit.de, 12.12.2011] Laut einer aktuellen Untersuchung unter Finanzverantwortlichen für IT-Investitionen in internationalen Unternehmen könnten rund 60 Prozent der Befragten nicht überblicken, wie sich Kürzungen des IT-Budgets auf die Geschäftsdurchführung und den Risikograd auswirken. Zudem seien es kaum vier Prozent der Befragten, die das IT-Budget aus der Business-Strategie des Unternehmens und einer IT-Portfolio-Analyse ableiteten. Über 90 Prozent der Befragten hätten eingeräumt, ihr IT-Budget stattdessen nach einem branchenüblichen Prozentsatz des Umsatzes oder einfach anhand eines angepassten Vorjahreswerts festzulegen.
Die Absicht der aktuellen Untersuchung sei es gewesen, herauszufinden, wie Verantwortliche für IT-Investitionen durch das Fehlen zuverlässiger Informationen betroffen sind. Die Ergebnisse machten deutlich, dass Entscheidungen zu IT-Investitionen selten auf verlässlichen Daten beruhten und dass Entscheidungsprozesse dadurch erheblich verlangsamt würden, wenn Informationen bei Bedarf nicht zur Verfügung stehen.
Folglich seien nur 30 Prozent der Finanzverantwortlichen der Meinung, dass ihre IT-Portfolios vollständig auf die aktuellen Geschäftsanforderungen ausgerichtet seien. Weniger als 14 Prozent seien der Ansicht, ihr IT-Portfolio sehr schnell an geänderte Geschäftsanforderungen anpassen zu können.
Diese Studie bestätige ihre Erfahrungen. Wenn die IT das Unternehmen unterstützen soll, müssten die relevanten Entscheidungen auf die übergeordnete Business-Strategie ausgerichtet werden. Zudem müssten verlässliche, aktuelle Daten verfügbar sein, die sämtliche IT-Portfolios berücksichtigen. Die Studie decke jedoch auf, dass die meisten Finanzverantwortlichen unter erschwerten Bedingungen arbeiten müssten, die zum Teil kontraproduktiv seien, so Erik Masing, „CEO“ und Mitgründer der alfabet AG. Business-IT-Management-Lösungen gäben Unternehmen umfassende Echtzeitdaten über ihre IT-Landschaft an die Hand. Das schließe geschäftliche und finanzielle Perspektiven mit ein – so dass die IT die Erwartungen bedienen und ihren Wertbeitrag leisten könne.
Die Umfrage wurde von IDG Business Research Service im August und September 2011 telefonisch durchgeführt und richtete sich mit zehn Fragen an „CFOs“ und Finanzverantwortliche in großen internationalen Unternehmen mit mehr als 1.000 Mitarbeitern. Sie wurde von der alfabet AG in Auftrag gegeben, einem nach eigenen Angaben führenden Softwareanbieter für strategische IT-Planung und Business-IT-Management.

[datensicherheit.de, 11.02.2011] Videoüberwachung hat sich in den Sicherheitskonzepten nahezu aller Unternehmen, Behörden und Institutionen zu einem unverzichtbaren Werkzeug entwickelt. Insbesondere der Einsatz IP-basierter Systeme ermöglicht eine Vielzahl von Schnittstellen und Einsatzmöglichkeiten zum Erreichen definierter Schutzziele. Das jährlich stattfindende „SIMEDIA-Forum Videoüberwachung“ bietet vom 12. bis 14. April 2011 in München wieder umfassende Fach- und Anwenderberichte, u. a. mit interessanten Lösungen zu folgenden Themen:

• Welchen Mehrwert bieten innovative Technologien, wie Wärmebildtechnik und Videosensorik, in Videoüberwachungssystemen?
• Wie garantiert eine herstellerneutrale Videoplanung den maximalen Anwendungsnutzen?
• Wie wird die Videoüberwachung gewinnbringend ins Gesamtsicherheitskonzept integriert?
• Welche Technologien werden morgen verfügbar sein – 3D-Video und ereignisbezogene Bildanalyse?

Der Planung von Videoüberwachungssystemen ist am 3. Veranstaltungstag ein optional buchbarer, ganztägiger Workshop gewidmet, der die Planung anhand von Fallbeispielen verdeutlicht – und aufzeigt, wie typische Planungsfehler vermieden werden.

Weitere Informationen zum Thema:

SIMEDIA
SIMEDIA-Forum mit Workshop »Planung von Videoüberwachungsanlagen«

[datensicherheit.de, 21.07.2010] Die Suche nach Rabatten und anderen Preisnachlässen hat sich für viele Menschen zum wahren Volkssport entwickelt. In Zeiten, in denen die Haushaltskassen eng geschnürt sind, sind Preisnachlässe bei Produkten des täglichen Bedarfs und außergewöhnlichen Investitionen gern gesehen. Längst haben diesen Trend auch die zahlreichen Händler erkannt. Regelmäßig setzen sie den „Rotstift“ bei den eigenen Angeboten an. Dabei wird längst nicht nur bei Restposten mit deutlichen Rabatten gespielt. Auch bei aktuellen Produkten wird immer öfter mit satten Preisnachlässen geworben. Fanden sich Kundenaktionen, die Preisnachlässe versprachen, einst vordergründig im klassischen Einzelhandel, haben sie sich heute zur klassischen Manier im Web entwickelt:
Immer mehr Onlineshops setzen auf Aktionen, bei denen sie einen Gutschein oder einen Rabattcode für Kunden anbieten. Gerade der Rabattcode hat sich zu einem beliebten Bestandteil von Aktionen entwickeln können. Durch ihn können Kunden bei Bestellungen im Web bares Geld sparen. Der Rabattcode kann sich auf einen Pauschalbetrag beziehen, kann aber auch einen bestimmten prozentualen Nachlass ermöglichen. Angeboten wird er für Neu- und Stammkunden gleichermaßen.
Seine Verwendung wird durch die Händler genauestens definiert. Meist kann ein Rabattcode nur einmal verwendet werden – aus diesem Grund ist er mit einer Nummer oder einer Buchstabenfolge ausgestattet, durch die die Händler prüfen können, ob der Rabattcode bereits von einem Kunden verwendet wurde. Die Verwendungsmöglichkeiten dieser Codes sind sehr verschieden und können sich sowohl nur auf einzelne Produkte als auch auf das gesamte Sortiment beziehen. Es gibt zudem Händler, die diesen nur für Neukunden bereithalten und auf diesem Weg versuchen potenzielle Kunden zum Kauf zu bewegen.