eine publikation des reflex Verlages zum thema
IT-Sicherheit
Cloud-Security mit Netz und doppeltem Boden Seite
6
Authentifizierung durch biometrische Systeme Seite
8
Besondere Sicherheit bei Mobile Devices
Seite
10
Sichere Dokumente gegen Cyberkriminalit채t
Seite
13
M채rz 2013
Eine Publikation des Reflex Verlages
IT-Sicherheit Eine Publikation der Reflex Verlag GmbH am 5. März 2013 in der Süddeutschen Zeitung. Der Reflex Verlag und die Süddeutsche Zeitung sind rechtlich getrennte und redaktionell unabhängige Unternehmen.
I n h a lt IT-Sicherheit ist alles So viel Schutz muss sein Mit Netz und doppeltem Boden So halten Daten Extrembedingungen stand Den Ausweis, bitte! Mobile Vielfalt abgesichert Eine Frage der Unternehmenskultur Deutsche Wolken äußerst wasserdicht Von Chips, Schlüsseln und digitalen Unterschriften Argusaugen aus der Ferne Immer was in der Hinterhand
4 5 6 7 8 10 11 12 13 14 15
I m p r e ss u m Projektmanager Moritz Duelli, moritz.duelli@reflex-media.net Redaktion Mike Paßmann, Julia Borchert, Nadine Effert, Tobias Lemser, Otmar Rheinhold, Lena Winther Produktion/Layout Ann-Kathrin Gallheber, annkathrin.gallheber@reflex-media.net Fotos Thinkstock / Getty Images Druck BVZ Berliner Zeitungsdruck GmbH Am Wasserwerk 11, 10365 Berlin Inhalte von Werbebeiträgen wie Unternehmens- und Produktpräsentationen, Interviews, Anzeigen sowie Gastbeiträgen geben die Meinung der beteiligten Unternehmen wieder. Die Redaktion ist für die Richtigkeit der Beiträge nicht verantwortlich. Die rechtliche Haftung liegt bei den jeweiligen Unternehmen. V.i.S.d.P. Redaktionelle Inhalte: Mike Paßmann, redaktion@reflex-media.net Anzeigenverkaufsleiter: Pit Grundmann, pit.grundmann@reflex-media.net Verleger: Laurens Müller, laurens.mueller@reflex-media.net Für weitere Informationen wenden Sie sich bitte an Sascha Bogatzki, sascha.bogatzki@reflex-media.net Reflex Verlag GmbH Hackescher Markt 2–3 D-10178 Berlin T 030 / 200 89 49-0 www.reflex-media.net Der Reflex Verlag hat sich auf themenbezogene Sonderveröffentlichungen in deutschen, niederländischen und Schweizer Tageszeitungen spezialisiert. Diese liegen unter anderem der Frankfurter Allgemeine Zeitung (F.A.Z.), dem Handelsblatt, dem Tagesspiegel und der Süddeutschen Zeitung bei. So kombiniert der Reflex Verlag den thematischen Fokus der Fachpublikationen mit der Reichweite der Tagespresse. Der Verlag zeichnet sich durch eine unabhängige Redaktion sowie die Trennung zwischen redaktionellen Artikeln und Kundenbeiträgen aus. Mehr Informationen unter www.reflex-media.net
Sicherheit – eine absolute Notwendigkeit S
icherheit hat Priorität – welcher IT-Verantwortliche, welcher CIO würde dem widersprechen? Schließlich gibt es in unserer Welt kaum mehr Bereiche, die nicht mehr von funktionierenden und vor allem sicheren ITProzessen abhängig sind. Die Folgen fehlender Sicherheit sind bekannt: Berichte von Hacker-Attacken auf Regierungen und Unternehmen finden sich regelmäßig in den Medien. Der Umgang mit Datenklau und Schadsoftware gehört zum Alltag in Unternehmen. Sicherheitsexperten schätzen, dass weltweit rund 85 Millionen gefälschte digitale Identitäten in Umlauf sind, mit denen krumme Geschäfte gedreht werden. Und Gefahr droht nicht nur der Wirtschaft: Auch die öffentliche Infrastruktur, Gesundheits- und Energieversorgung können durch Attacken auf die zugrundeliegenden IT-Strukturen lahmgelegt werden. Sicherheit hat also Priorität. Umso erstaunlicher die Ergebnisse einer aktuellen Studie. Die Nationale Initiative für Informations- und Internet-Sicherheit (NIFIS e.V.) befragte Fach- und Führungskräfte der deutschen Wirtschaft, wie ihre Unternehmen es mit der IT-Sicherheit hielten: Nicht so ernsthaft, wie sie es sollten, stellte sich dabei heraus. Auf sagenhafte 64 Prozent taxieren die Studienmacher den Anteil der befragten Firmen, der mit der IT-Sicherheit „nachlässig“ umgeht, und sie schreiben: „Das Thema IT-Sicherheit wird in den Führungsetagen der deutschen Wirtschaft nach wie vor stiefmütterlich behandelt.“ Nicht ganz so pessimistisch schätzt die Sache das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein. Sie attestieren zumindest dem Mittelstand ein Bewusstsein für die Bedeutung der IT-Sicherheit. Im technischen Bereich werde auch viel im Rahmen von Einzelmaßnahmen umgesetzt – Datensicherung etwa oder Netzwerkkontrollen. Wo es hapere, seien die Prozesse. So fehle es an übergreifenden Notfallplänen oder einem unternehmensweiten, standardisierten IT-Sicherheitsmanagement. Und oft müsse erst etwas passieren, bevor etwas passiert. Hier offenbart sich das Dilemma, vor dem IT-Verantwortliche heute stehen. Vielfach werden sie noch als eine Abteilung unter vielen gesehen. Dabei müssten sie eigentlich schon längst durchweg auf Augenhöhe und in zeitnahen Prozessen mit der Geschäftsleitung sprechen. Nicht umsonst wird ja schon das Jahrhundert des Chief Information Officer ausgerufen, so wichtig ist diese Funktion. Aber nicht, weil sämtliche geschäftskritische Prozesse auf IT beruhen. Darauf steuern wir schon seit gut zwei Jahrzehnten zu.
partner
Nein, die große Herausforderung, derer sich noch nicht alle Unternehmen und Organisationen bewusst sind, ist die vernetzte Welt, in der heute Wirtschaft stattfindet. Wer von „Netzwerkökonomie“ spricht, meint die enge Verzahnung von Lieferanten, Herstellern, Konkurrenten und Kunden – basierend auf dem Netz, der Cloud, dem guten alten Internet. Und das Netz ist schnell, es besteht aus vielen verschiedenen Plattformen und Geräten und es erzeugt unglaubliche Mengen an Daten. Wer hier mithalten will, braucht Sicherheitsarchitekturen, die wirklich das ganze Unternehmen einbeziehen, die mitwachsen, flexibel reagieren und die Vielfalt der heutigen IT-Welt bewältigen – inklusive zukünftiger Entwicklungen. Schon heute etwa spielen soziale Netzwerke eine entscheidende Rolle in der Geschäftswelt. Auch sie in Sicherheitskonzepte einzubinden, gehört zu den großen aktuellen Herausforderungen. Ganz zu schweigen von den Chancen, aber auch Gefahren, die der Gebrauch privater mobiler Geräte am Arbeitsplatz birgt. Grund für Pessimismus gibt es dennoch wenig. Die technischen Grundlagen sind vorhanden, Managementmodelle und Sicherheitsprotokolle bekannt. Längst schon gibt es internationale Standards und Zertifizierungsprozesse. Das Entscheidende ist: Die Verlagerung von Wirtschaft und öffentlicher Infrastruktur wird an Intensität weiter zunehmen. Irgendwann werden sichere IT-Strukturen von einer „Priorität“ zum Must-have für alle. Sicherheit ist absolute Notwendigkeit – und wird sich durchsetzen. Mike Paßmann Chefredakteur
Sponsoren
Das Papier der Publikation, die im aufgeführten Trägermedium erschienen ist, stammt aus verantwortungsvollen Quellen.
Anzeige
Strategischer Datenschutz mit privacyGUARD
Analyse, Kontrolle, Optimierung und Dokumentation Zuarbeit durch Dritte (z.B. HTML-/Excel-Ex- und Import) Auftragsdatenverarbeitung, Mitarbeitersensibilisierung etc. Mehrmandantenfähig Modularer Aufbau (Konzern-Modul, Web-Oberfläche, Mehrsprachgkeit etc.) privacyGUARD ermöglicht ein bereichsübergreifendes Datenschutz-Management: Ausgewählte Koordinatoren bis hin zur gesamten Belegschaft arbeiten dem Datenschutzbeauftragten zu - zeitsparend und ohne spezielle Systemkenntnisse.
ThyssenKrupp AG, DB Mobility Logistics AG, Henkel AG & Co. KGaA, Malteser Deutschland gGmbH, TÜV Informationstechnik GmbH.
Besuchen Sie uns auf der CeBIT: 05. - 09. März 2013, Messe Hannover, Halle 06, Stand F18 (NRW-Stand).
4
IT-Sicherheit Eine Publikation des Reflex Verlages
leitartikel
IT-Sicherheit ist alles Wer sein Unternehmen schützen will, muss vor allem für Sicherheit in der IT sorgen. Von Otmar Rheinhold
D
ie Bandbreite dessen, was IT-Sicherheit bedeutet, ist groß. Naheliegend, dabei etwa an die vertrauliche Behandlung von Kundendaten oder den Schutz vor Datenklau zu denken. Doch IT-Sicherheit umfasst viel mehr. Wer bringt schon Sprinkler-Anlagen im Rechenzentrum mit dem Thema in Verbindung? Letztlich gilt: IT-Sicherheit umfasst alles. Dennoch geht es in erster Linie um Daten, also um Inhalte. Wie schützen Firmen sie vor fremden Augen, wie verhindern sie Diebstahl und Missbrauch, welche infrastrukturellen Maßnahmen braucht es, damit Attacken keine Chancen haben? Zu Beginn des Computerzeitalters lautete die Frage tatsächlich vor allem, wer den Schlüssel zum Raum mit dem Großrechner hatte. Zugangskontrollen in Rechenzentren – und sie sind heute mehr denn je die Träger der weltweiten IT-Struktur – erinnern heute an Hochsicherheitstrakte oder Flughafenkontrollen. Darüber hinaus bedeutet ITSecurity hier aber auch Brandschutz, architektonische Maßnahmen gegen Erdbeben oder die kluge physische Verteilung redundanter Server.
Handlungsfeld Zugriffskontrolle
IT-Landschaften von Unternehmen sind heute Netzwerke mit Verbindungen in die ganze Welt – Stichwort Cloud Computing. Größte Bedeutung kommt deshalb Lösungen zugute, die den Zugriff auf die eigenen oder
gemietete Server überwachen und kontrollieren. Das stellt große He rausforderungen an die IT-Abteilung: Sie muss für die Einhaltung höchster technischer Sicherheitsstandards sorgen, etwa, was Verschlüsselungstechniken angeht – bezogen sowohl auf den Datenverkehr als auch auf die Speicherung von Daten. Darüber hinaus sind sichere Identifizierungs- und Authentifizierungsprozesse das A und O in einer IT-Welt, in der ständig von irgendwoher auf Server und Anwendungen zugegriffen wird. IT-Abteilungen sind heute regelrechte Sicherheitsabteilungen, die den kompletten Datenverkehr unter dem Aspekt der Gefahrenabwehr überwachen – nicht ohne Grund spricht man von „Security Intelligence“ in Anlehnung an Begriffe aus der klassischen Spionageabwehr. Dahinter steckt der Anspruch, jederzeit alles, was im ITNetzwerk geschieht, im Blick zu haben, mit bekannten Gefahren abzugleichen, über diese Informationen zu sammeln und in Sekundenbruchteilen eingreifen zu können. Nicht gerade leichter machen die Arbeit Phänomene wie „Bring Your Own Device“ (BYOD), also der Trend, dass Angestellte ihre eigenen, mobilen Geräte für die Arbeit nutzen. Mobile Security und das Management all dieser „Mobile Devices“ ist eines der Leitthemen der IT unserer Zeit. Was passiert, wenn das Smartphone des Vertriebschefs gestohlen wird? Wie verhindert man, dass Mitarbeiter unwissentlich sogenannte Malware auf
den Rechner downloaden, die dann die Datenbanken des Unternehmens anzapft?
Scheinbar harmlose USB-Sticks
Wobei klar ist – auch die Systeme im Unternehmen selbst und nicht zuletzt die kostbare Hardware benötigen Schutz. Auch auf nicht mobilen Desktoprechnern liegen wichtige Daten. Auch sie sind Einfallstore für schädliche Software – etwa über den auf der Messe kostenlos verteilten USB-Stick, auf dem sich ein Trojaner befindet. Und auch Desktoprechner sind mit dem Internet verbunden und entsprechend gefährdet. Zudem: Größere Geräte können ebenfalls schlicht und einfach gestohlen werden. Was passiert dann – und, besser noch: Wie kann das verhindert werden? Um noch einmal auf die Daten zu sprechen zu kommen: Nach wie vor
sind Unternehmen im eigenen und im gesetzlichen Interesse an Vorschriften im Umgang mit Daten gebunden. Gerade wer in großem Umfang Cloud-Angebote nutzt, muss deshalb besondere Vorsicht walten lassen. Seriöse Anbieter weisen entsprechende Zertifizierungen aus und haben klare Richtlinien und Protokolle, nach denen sie Sicherheit garantieren – Stichwort „Managed Security“. Und nur ein ganz praktisches Beispiel: Niemand solle sich auf Server verlassen, deren Standort unbekannt ist und deren Datenschutzgesetze nicht den unseren entsprechen. Last, not least: Sicherheitsmaßnahmen und Notfallpläne sollten eng auf die Gesamtheit aller Unternehmensprozesse zugeschnitten sein. Denn IT-Sicherheit ist eben vor allem eines: alles. n
interview Security-Jahr 2013
„Netzwerkangriffe werden immer raffinierter“
Christine Schönig, Technical Manager, Check Point Software Technologies GmbH
Frau Schönig, das IT-SecurityJahr 2012 liegt hinter uns. Ihr Resümee? Im vergangenen Jahr haben Netzwerkangriffe einen weiteren Peak erreicht. Nicht nur in der Quantität, sondern auch bezüglich der Qualität. Verschiedene Angriffsmechanismen wurden dabei kombiniert, wodurch die Attacken gezielter, komplexer und technisch anspruchsvoller geworden sind. Paradebeispiel hierfür ist der im November 2012 bekannt gewordene Angriff auf Coca-Cola.
dergrund steht die hier die Gefahr von Advanced Persistence Threads (APTs). Der Hightech-Schädling Flame machte es 2012 vor. Ein Vorbote für APT-Angriffe kann Social Engineering sein. Um an Personen zu gelangen, die im Unternehmen über InsiderWissen oder den Zugang zu sensiblen Datenbeständen verfügen, bedienen sich Hacker immer häufiger sozialer Netzwerke, auf denen oft zu viel preisgegeben wird. Eine Zunahme der Instrumentalisierung von Informationen geht damit Hand in Hand.
Vor welchen Gefahren gilt es sich konkret zu schützen? Generell wird sich 2013 die Methode der Kombination der Angriffstechnologien weiterentwickeln. Im Vor-
Welche Schutzmaßnahmen empfehlen Sie? Die Technik zum Schutz der IT muss immer auf dem aktuellsten Stand sein. Zudem sind Security-Maßnahmen
empfehlenswert, die wie ein Zahnrad ineinander laufen. Ein derartiges Security-Konzept kombiniert alle Sicherheitsmechanismen. Von der Firewall über das IPS-System verbunden mit aktuellen Signaturen bis hin zum Antiviren-Scanner. Darüber hinaus muss eine Sensibilisierung der Anwender für mögliche Gefahren stattfinden. Nicht selten verlassen sich Mitarbeiter auf die Technik und gehen sorglos mit ihrer Verantwortung für die Sicherheit im Unternehmen um. n
Anzeige www.checkpoint.com We Secure the Internet
Eine Publikation des Reflex Verlages
IT-Sicherheit 5
artikel Desktop-Security
So viel Schutz muss sein Worauf es bei der Abwehr von schädlichen Attacken ankommt. von Nadine Effert
L
ange bevor die Informationstechnologie ihren Siegeszug begann, stellte Joachim Ringelnatz fest: „Sicher ist, dass nichts sicher ist. Selbst das nicht.“ Laut Ergebnis der 2011er Studie zur „IT-Sicherheit kleiner und mittlerer Unternehmen in Deutschland“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind zwar gängige technische Lösungen wie Virenscanner und Firewalls flächendeckend im Einsatz, dennoch gaben 92 Prozent der befragten Unternehmen an, bereits Erfahrungen mit ITSicherheitsproblemen gesammelt zu haben – davon rund die Hälfte mit Malware.
Eine Frage des Betriebssystems
Auch wenn auf Anwendungsebene eine Vielzahl an ausgereiften Sicherheitsmechanismen vorhanden ist, scheitert die Sicherheit nicht selten aufgrund von Sicherheitslücken im darunter liegenden Betriebssystem. Wie sicher sind Windows, OS X und Linux? Das Argument „Beim Mac
Regelmäßige Updates minimieren das Sicherheitsrisiko.
gibt es keine Viren“ zieht beim Kauf des Betriebssystems aus dem Hause Apple. Schwerwiegende Angriffe auf Mac-Rechner sind bis dato nicht bekannt. Laut BSI gibt es dafür einen simplen Grund: „Der notwendige Aufwand für die Entwicklung ausgereifter Malware für Mac OS X steht momentan anscheinend noch in keinem Verhältnis zum erzielbaren Nutzen für den Angreifer.“ Ein Blick auf die Statistik beweist: Nur elf Prozent der deutschen Unternehmen arbeiten mit dem AppleBetriebssystem, dagegen 81 Prozent mit Windows – darunter 60 Prozent mit XP. Da Viren, Würmer, Trojaner & Co. fast ausnahmslos für Windows programmiert sind, schneiden auch freie Linux-Systeme beim Sicherheits-
Werbebeitrag
Interview
„Erfolgreich gegen Hacker“ Herr Hilbrand, Attacken auf Passwörter sind keine Seltenheit. Sind Firewall und geläufige Systeme zur Erkennung von Angriffen ausreichende Schutzmaßnahmen? Wie aktuell prominente Beispiele zeigen, bietet die Investition etwa in eine Unternehmensfirewall nicht unbedingt ausreichend Schutz vor Angreifern, die über Programme Tausende Kombinationen von Benutzernamen und Passwörtern pro Minute senden können. Fakt ist, dass Firewalls und ein Großteil der Intrusion Detection Systeme die – meist automatisierten – illegitimen Zugriffsversuche mit Benutzername und Passwort nicht herausfiltern und schon gar nicht abwehren. Auch deshalb, weil die meisten IDS-Systeme nicht in der Lage sind, den aus Sicherheitsgründen verschlüsselten Datenverkehr zu analysieren. Das „Intrusion Detection and Defense System“ (IDDS) aus dem Hause Cyberarms schließt diese Lücken durch eine proaktive Abwehr von Angriffen? Ja, das stimmt. Das IDDS läuft direkt auf dem Windows Server System, wodurch wesentlich mehr Informationen zur Verfügung stehen, um gezielt gegen Hacker-Angriffe vorzugehen.
check besser ab. Sicherheitslücken werden in der Regel in kürzester Zeit behoben. Zudem sind deren praktische Auswirkungen aufgrund des strikt eingehaltenen Sicherheitskonzepts vergleichweise gering, insbesondere auf Desktop-Rechnern. Und was bleibt Windows-Usern? Sichern, sichern, sichern.
Schutzschirm aufspannen
Selbst ausgeklügelte Sicherheitslösungen sind nicht in der Lage, alle Angriffe zu erkennen und abzuwehren. Ratsam ist der Einsatz einer Security Suite. Je nach Umfang enthält sie ein AntivirusProgramm, eine Firewall und andere Schutzsoftware wie Spam-/PhishingFilter oder Spyware-Schutz. Wer sich
Werbebeitrag
Durch Analyse der System-Meldungen der Serversoftware erkennt das IDDS sofort verdächtige Zugriffsversuche und sperrt durch Konfiguration der Windows Firewall die Verbindung von und zu dem Computer des potenziellen Angreifers. Nicht nur, dass ITExperten das IDDS längst als unverzichtbar erachten, könnte mit dessen flächendeckendem Einsatz auch das Betreiben illegaler Bot-Nets unterbunden werden. n
www.cyberarms.de
Unternehmenspräsentation
Einfach sicher
P
Maxemilian Hilbrand, Security Systems Core Developer, Cyberarms Ltd.
im Dschungel der zahlreichen Anbieter von Schutz-Software verloren fühlt, kann sich zumindest an zwei Fragen orientieren: Wie häufig stellt der Hersteller Signatur-Updates bereit? Und wie hoch ist die Erkennungsrate der Software? Virenschutz-Programm und dessen Viren-Signaturen erfordern – wie das Betriebsystem übrigens auch – regelmäßig Updates, damit der „Feind“ identifiziert werden kann. Nachteil: Neue, noch nicht registrierte Bedrohungen bleiben vom Virenscanner unerkannt. Deshalb schalten viele Hersteller eine heuristische Analyse hinzu. Diese erkennt Malware anhand allgemeiner gefasster Muster wieder, hat allerdings eine wesentlich niedrigere Trefferquote. n
rivate Smartphones und TabletComputer erobern die Arbeitsplätze, Berufswelt und Privatleben überschneiden sich immer stärker. Ein-Mann-Betriebe sind ebenso betroffen wie der Mittelstand: Unterschiedliche Softwareausstattung, mangelnde Kompatibilität und verschiedene Standards bringen die Sicherheit der Unternehmens-IT ins Wanken. Wie lassen sich wertvolle Betriebsgeheimnisse schützen? Wie organisiert man den sicheren Zugang zum Firmennetz angesichts einer zunehmend heterogenen Gerätelandschaft? Statt komplizierter Lösungen sind einfache und schlagkräftige Lösungen gefragt. Die „AVG Internet Security Business Edition“ sichert beispielsweise Server und PC in der Firma, AVG for Android das Smartphone und den Tablet-PC unterwegs. Sicher ins Netzwerk kommt der Anwender durch die revolutionäre ViPNet-Technologie, und das Back-up erledigen die Lösungen von Langmeier effizient. Wer lieber Daten sicher in die Cloud legt, kann mit HiCrypt gezielt bestimmen, wer Zugriff hat und wer nicht. Auf solche hochwertigen IT-Sicherheitslösungen für kleine und mittelständische Unternehmen hat sich der Value Added Distributor Jakobsoft-
ware spezialisiert. Die Lösungen reichen von der klassischen IT-Sicherheitssuite bis zu Managed Services. Jakobsoftware steht für fachliche Kompetenz, innovative Produkte und faire Preise mit individueller Beratung, zuverlässigem Service und einer vertrauensvollen Zusammenarbeit. n
www.jakobsoftware.de
6
IT-Sicherheit Eine Publikation des Reflex Verlages
artikel Cloud-Security
Mit Netz und doppeltem Boden Immer mehr Wertschöpfung findet im Netz, in der Cloud statt. Umso bedeutender ist die Frage nach Sicherheitslösungen. von Otmar Rheinhold
IT
– zumal im Business-Umfeld – war schon immer Netzwerk-IT. Und stets ging es dabei um Sicherheit. Wer heute von Network- oder Cloud-Security spricht, der meint auch Maßnahmen, die den Zugang zu Servern oder den Einblick in sensible Daten regeln. Nach deren Vorhandensein sollten professionelle Nutzer von Cloud-Diensten auf jeden Fall fragen. In unserer netzbasierten Wirtschaft geht es immer öfter darum, mit Kunden, Partnern oder gar der Konkurrenz Daten auszutauschen. Immer mehr Wirtschaftszweige verlagern ihre Geschäftsprozesse ins Netz. Nicht zuletzt deshalb rücken sichere Mechanismen zur Identifizierung, Authentifizierung und Autorisierung in den Fokus der Netzwerksicherheit. Im Kern geht es darum, dass Betreiber von Clouds und anderen Serverangeboten stets das Vorhandensein der neuesten Technologien vorweisen können, um Zugriffe sicher zu machen. Wer sich an einem Server anmeldet,
muss sich eindeutig „ausweisen“ können, das System muss ihn eindeutig als zugriffsberechtigt erkennen können und schließlich muss geklärt sein, was welcher Anwender jeweils „darf“. Dass dahinter nicht nur Software steckt, sondern auch klare Regeln etwa zur Passwortverwaltung, ist klar. Noch sicherer fährt, wer zusätzlich zum Passwort auch noch ein sogenanntes Token einsetzt – das kann ein USB-Stick als Träger eines zusätzlichen Codes sein, der zur Anmeldung an ein Netzwerk dient. Davon abgesehen sollte selbstverständlich sein, dass sämtlicher Datenverkehr innerhalb des Netzwerkes nach den neuesten Techniken verschlüsselt ist. Besonders sensible Daten sollten zudem auch verschlüsselt gespeichert werden. Eine weitere unentbehrliche Maßnahme ist der Einsatz von Monitoringsoftware, die jeden Anmeldeversuch überwacht und bei offensichtlich bösen Absichten zum Beispiel die Ursprungs-IP sperrt – und sie für die Zukunft auf eine schwarze Liste setzt.
Werbebeitrag
Interview
Auch soziale Netzwerke bergen Gefahren
Auf solchen Listen basieren letztendlich auch sogenannte „Reputationsdienste“. Anbieter von Cloud-Lösungen suchen und sammeln im Netz Informationen über Malware, Bots und ähnliche Bedrohungen. Mit diesen Warninformationen füttern die Anbieter dann die Netzwerkssicherungssysteme. Das funktioniert auch für soziale Netzwerke. Der Zugang zu Facebook & Co ist für viele Firmen unumgänglich. Doch auch hier lauern Gefahren. Viele
Cloud-Anbieter scannen deshalb auch soziale Netzwerke und sperren den Zugriff auf gefährliche Accounts. Wie immer gilt auch hier: Der Mensch ist in diesem System oft die größte Gefahrenquelle. Es muss klar sein, dass mit Passwörtern sensibel umgegangen sein will, auch dem besten Freund oder dem Ehepartner gegenüber. Den größten Bedarf an Sicherheit gibt es eben nach wie vor im größten sozialen Netzwerk der Welt: dem ganz realen unserer direkten persönlichen Kontakte. n
Werbebeitrag
Interview
„Abhörschutz verlangt Komfort“
„Papier ist geduldig“
Muss Deutschland mit Abhörattacken rechnen? Definitiv. Schon allein der finanzielle Schaden für die deutsche Wirtschaft aufgrund von Abhörattacken wird ja inzwischen auf etwa 50 Milliarden Euro pro Jahr geschätzt. Abhörschutz fürs Smartphone wird einfach noch viel zu selten zum Thema gemacht.
Sind Cloud-Systeme besonders angreifbar? Eine Plattform, ohne die dazu erforderliche Architektur ist immer anfällig. Wichtig ist, ob ein Cloud-Provider seine Hausaufgaben bei den Upgrades regelmäßig erledigt. Wer den Umzug in die Cloud plant, muss einen ganzheitlichen Ansatz verfolgen.
Wie kann man sich gegen Lauschangriffe schützen? Möglichkeiten gibt es viele. Und ebenso viele scheitern an mangelnder Bedienfreundlichkeit. Keiner möchte schließlich gewohnten Smartphone-Komfort aufgeben. Um Gespräche, SMS, oder E-Mails vor dem Zugriff Dritter wirkungsvoll zu schützen, gilt also: Je einfacher ich etwas nutzen kann, desto eher werde ich es auch tun. Wirkungsvoller Abhörschutz verlangt demnach nach der Glückspille Komfort.
Was bedeutet das? Sicherheit muss zur Architektur gehören und der Kunde muss wissen, welche Prozesse und Dateien in die Cloud wandern sollen. Die Cloud Security Alliance (CSA) hat ein Kontrollset
Wie agiert der Bund gegen Abhörattacken? Bundesbehörden telefonieren schon seit 2009 mit abhörsicherer Technik, allen voran Kanzlerin Merkel. Regelmäßige Ausschreibungen garantieren außerdem stets den neusten Stand der Technik. Wir sind davon überzeugt, dass mit der neuen Secusmart-Lösung
Dr. Hans-Christoph Quelle, Gesellschafter-Geschäftsführer Secusmart GmbH
Secusuite for BlackBerry 10 Wirtschaft und Politik im Bereich Abhörschutz gleichziehen werden. Denn diese Lösung kombiniert erfolgreich Komfort und Sicherheit. Wie das genau geht, zeigen wir auf der CeBIT 2013 in Hannover in Halle 12, Stand B66. n
Weitere Informationen Secusmart GmbH www.secusmart.com
Richard Morrell, Cloud Evangelist & Architect
entwickelt, das jeder verwenden kann. Ein Unternehmen findet hier die geeigneten Tools und kann sie in seine Architektur einbauen. Die Kriterien können auch dem Cloud-Provider als Requirement-Liste vorgelegt werden. Red Hat ist einer der Sponsoren der CSA und mit Technologien wie SELinux und sVirt ganz weit vorn dabei. Red Hat hat verstanden, dass es um Management und Design der Sicherheitskataloge geht und entwickelt die dafür adäquaten Programme wie ManageIQ, die Risiken beherrschbar machen. Das heißt, dass das eigene Rechenzentrum keineswegs sicherer ist als Open-SourceCloudsysteme? Die Zertifikate der Rechenzentren bedeuten gar nichts und enthalten sogar Punkte wie Feuermelder und Türschlösser – das hat nichts mit der Cloud zu tun! Wir müssen Kunden die Werkzeuge an die Hand geben, damit sie qualifizierte Entscheidungen treffen können. Und ein Sicherheitszertifikat ist nicht mehr als ein Stück Papier. n
Eine Publikation des Reflex Verlages
IT-Sicherheit 7
artikel Hardwareschutz
So halten Daten Extrembedingungen stand Ob Brandschutz oder eine unterbrechungsfreie Stromversorgung: Schutzmaßnahmen sind das A und O in Rechenzentren. von Tobias Lemser
Angesichts steigender Strom-, aber auch Investitions- und Wartungskosten entscheiden sich immer mehr Unternehmen dazu, ihre Daten mittels Cloud-Services zu speichern. Grundvoraussetzung, damit diese immensen Datenvolumina sicher in den externen Rechenzentren aufbewahrt werden, ist allerdings ein umfassender Hardwareschutz. Datenverluste, ausgelöst etwa durch Brand, Wasserschäden oder auch Blitzeinschlag, können im schlimmsten Szenario für das Rechenzentrum selbst, aber auch für den Kunden das Aus bedeuten. Unerlässlich, um dem umfassenden Schutz sämtlicher Daten Rechnung zu tragen, ist ein ausgeklügeltes Kontinuitätsmanagement. Es erhöht die Ausfallsicherheit und bereitet die Institution auf Notfälle und Krisen adäquat vor. So können die wichtigsten Geschäftsprozesse bei einem Ausfall schnell wieder aufgenommen werden. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Un-
ternehmens auch bei einem größeren Schadensereignis zu sichern.
Wenn der Stromfluss unterbricht
Ist der Stromfluss auch nur wenige Millisekunden unterbrochen, besteht die Gefahr, dass wichtige Daten auf Servern oder Computern fehlerhaft verarbeitet werden oder sogar verloren gehen. Für diese Fälle vielerorts
besonders bewährt hat sich die unterbrechungsfreie Stromversorgung (USV). Fällt der Strom sogar ganz aus, ist die USV-Technik mithilfe von Akkumulatoren, Stromrichtern und elektronischen Regelungen imstande, die Stromversorgung solange aufrechtzuerhalten, bis ein geordnetes Herunterfahren der angeschlossenen Rechner möglich ist. Je nach Anforderung kann die Überbrückungszeit zwischen wenigen Sekunden und mehreren Stunden liegen. Darüber hinaus filtern USV-Geräte Störungen wie beispielsweise Spannungs- und Frequenzschwankungen heraus und stellen so eine fehlerfreie Stromversorgung sicher.
So hat Feuer keine Chance
Während Überspannungsschutzgeräte Computer und die angeschlossene Peripherietechnik vor Blitzeinschlagschäden bewahren, schützen Server-Safes vor Wasser, Rauchgasen und Brand. Entwickelt sich in einem Rechenzentrum Rauch, können hochsensible Rauchansaugsysteme mittels Sensoren diesen zuerst wahrneh-
men. Im Vergleich zu herkömmlichen Brandmeldern sind diese Systeme in der Lage, selbst bei schwierigen Umgebungsbedingungen, wie beispielsweise extremen Temperaturen, ungünstigen Luftströmungen oder Schmutz, besonders schnell und zuverlässig zu arbeiten. Damit es jedoch gar nicht erst so weit kommt, setzen immer mehr Rechenzentren auf eine spezielle Raumatmosphäre, indem sie die Sauerstoffkonzentration auf ein zur Atmung notwendiges Maß reduzieren. Auf diese Weise wird Bränden in Serverräumen der Nährboden entzogen. Basis hierfür ist die dauerhafte kontrollierte Stickstoffzufuhr, mittels derer die Entzündungsgrenzen unterschritten werden. n
Weitere Informationen Bundesverband Brandschutz-Fachbetriebe: www.bvbf-brandschutz.de Gesellschaft für Datenschutz und Datensicherheit: www.gdd.de
Gastbeitrag Brandschutz
Aktive Brandvermeidung setzt Maßstäbe Serverräume bergen eine hohe Brandgefahr. Dank Sauerstoffreduktion muss die IT nicht mehr stromlos geschaltet werden.
E
s ist für jede IT-Abteilung das Horrorszenario schlechthin: Es brennt im Serverraum und sämtliche Daten drohen vernichtet zu werden. Und die Gefahr, tatsächlich von einem Brand betroffen zu sein, ist nicht unerheblich. Vor allem Platinen, verschiedenste Kunststoffe und Kabelummante-
lungen, die in großer Anzahl in Serverräumen vorhanden sind, gehören zu den typischen brennbaren Stoffen in der IT. Ebenso risikobehaftet ist die Entzündungsenergie, die durch hohe Ströme ausgelöst wird. Sie entstehen vor allem durch Racksysteme mit steigendem kW-Energieverbrauch sowie unzählige darin verbaute elektrische Leitungen und Netzteile. Die dadurch bedingte hohe Energiedichte kann nicht nur Wärmestaus, sondern sogar Schwelbrände verursachen. Welche Brandgefahren in deutschen Betrieben von Elektrotechnikinstallationen ausgehen, verdeutlicht eine Betriebsprüfung durch VdS-Sachverständige im Jahr 2008: Dabei stellten sich Mängel bei Betriebsmitteln, Leiteranschlüssen und Verbindungen sowie bei Überlast- und Kurzschlussorganen als häufigste Brandursache heraus.
Bei Brand ohne Strom Ein Brandvermeidungssystem sorgt dafür, dass ein Feuer sich nicht entwickeln oder ausbreiten kann.
Entwickelt sich ein Brand im Serverraum, war es bislang unabdingbar, die komplette IT-Infrastruktur und Klimatechnik vollständig abzuschal-
ten – die bis dato einzige Alternative, dem Brandherd die Stützenergie zu entziehen und somit eine drohende Rückzündung zu vermeiden. Durch das Abschalten der Klimaanlage wurde eine herkömmliche Gaslöschanlage dabei unterstützt, die notwendige Löschkonzentration aufzubauen und über einen Zeitraum von zehn Minuten zu halten.
Aktive Brandvermeidung liegt im Trend
Da viele Betriebe aus wichtigen Gründen ihre IT nicht stromlos schalten wollen beziehungsweise dies auch nicht können, gewinnen aktive Brandvermeidungslösungen, die auch auf der CeBIT in Hannover zu sehen sein werden, zunehmend an Bedeutung. Das Besondere dieser technischen Innovation: Die Sauerstoffkonzentration wird unter kontrollierten Bedingungen so herabgesenkt und zeitlich unbegrenzt gehalten, dass ein Feuer sich nicht mehr entwickeln oder ausbreiten kann. Ist der Sauerstoffanteil in der Raumatmosphäre in einem bestimmten Maße reduziert, kann ein
Brand nicht mehr die Brandenergie beziehungsweise Hitze aufbringen, um sich zu einem größeren Feuer weiterzuentwickeln oder um benachbarte Materialien zu entzünden. Vorteil: Nicht nur das Abschalten der IT-Anlagen ist so nicht mehr zwingend notwendig, auch gewinnt der IT-Verantwortliche Zeit, die Lage zu inspizieren und wieder instandzusetzen. Fakt ist: Zwar kann das Nicht-Abschalten der IT und Klimatechnik bei einer Gaslöschung gelingen, allerdings besteht so immer das hohe Risiko des Totalausfalls durch Rückzündung. Für Unternehmen, die im Brandfall nicht stromlos schalten wollen oder können, bietet die aktive Brandvermeidung mittels Sauerstoffreduktion eine ideale Lösung. n Autor: Lars Schröder, Teamleiter Kommunikation / Werbung WAGNER Group GmbH
Anzeige
www.wagner.de/it
8
IT-Sicherheit Eine Publikation des Reflex Verlages
artikel Authentifizierung und Zugangskontrollen
Den Ausweis, bitte! Passwort, Security-Token oder genetischer Fingerabdruck – über die Möglichkeiten zur Authentifizierung und deren Sicherheit. Von Nadine Effert
J
eder Mensch hat eine Identität. Diese gilt es im Alltag oder in der Berufswelt ständig unter Beweis zu stellen. Sei es am Bankautomaten mit Karte und PIN, beim Betreten des Firmengebäudes mit dem Mitarbeiterausweis oder am Rechner mit der Eingabe eines Passwortes – überall muss man sich authentifizieren. Authentisch ist das, was echt ist – und in diesem Fall auch sicher. Aktuelle Schlagzeilen wie „Google testet Hardware-Authentifizierung“, „iPhone 5S soll Fingerabdrücke erkennen“ oder „Twitter plant Zwei-Faktor-Authentifizierung“ zeigen die Notwendigkeit für den Einsatz neuer Sicherheitstechniken bei der Authentifizierung.
Passwörter: Oftmals eine Scheinsicherheit
Eine Authentifizierung dient dem Nachweis, dass eine Person im Besitz bestimmter Rechte ist. Der Identitätsnachweis erfolgt dabei in Abhängigkeit von den jeweiligen Sicherheitsanforderungen. Oft genügt lediglich die Kenntnis eines Passwortes. Zum Beispiel beim Login auf einem Rechner. Der Umgang mit Passwörtern lässt bei IT-Sicherheitsexperten nicht selten die Haare zu Berge stehen. Lange und komplexe Kennwörter geraten schnell in Vergessenheit oder werden als „unbequem“ empfunden. Die Lösung: einfach etwas Simples nehmen – etwa „12345“, „abc“ oder „password“. Hacker lachen sich da ins Fäustchen. Laut aktueller Studie des Hasso-Plattner-Instituts in Potsdam sucht sich
fast jeder dritte Internetnutzer eine zu leichte Buchstaben- oder Zahlenkombination aus. Auch Kennwörter mit weniger als neun Zeichen werden in Rekordzeit durch moderne Hardware geknackt. Mit verheerenden Folgen: Über nicht ausreichend gesicherte Rechner können Datendiebe zum Beispiel in Firmennetzwerke eindringen oder auf Kosten anderer sich beim Online-Shopping austoben.
„Besitz und Wissen“
Trotz scheinbar sicherer Passwörter, ist eine echte Datensicherheit erst dann gegeben, wenn eine mehrstufige, komplexe Authentifizierung zum Einsatz kommt. Nach dem Prinzip „Besitz und Wissen“ kann eine 2-Faktor-Authentifizierung beispielsweise zertifikatbasiert mit Smartcard oder Token, erfolgen. Der Token wird über die USBSchnittstelle am PC angeschlossen und ist mit einem Smartcard-Chip ausgestattet, auf dem Schlüssel, Passwörter und digitale Zertifikate gespeichert sind. Ein mühsames Merken von komplexen Passwörtern fällt somit weg. Ohne Token gibt es keinen Zugriff. Um Missbrauch vorzubeugen, wird er in der Regel etwa mit einem PIN gesichert. Das Verfahren begegnet uns – auch ohne physischen Token – bereits im Alltag. Um etwa online einen Kauf zu tätigen, reicht bei einigen Anbietern die simple Ausweisung mit Benutzernamen und Passwort nicht mehr aus. Vor der Kaufabwicklung wird dem Käufer ein Code via Mail oder SMS zugeschickt, mit dem er die Aktion nochmals bestätigen muss.
Wenn der Körper zum Schlüssel wird
Als im Jahr 1983 „James Bond 007 – Sag niemals nie“ in den Kinos lief, in dem lediglich mithilfe einer Hornhauttransplantation der Zugriff auf gefährliche Nuklearsprengköpfe gewährleistet wurde, ahnte noch niemand, dass aus diesem Szenario bald Realität werden würde. Innovative Technologien haben es inzwischen möglich gemacht, Menschen anhand ihrer individuellen Körpermerkmale zu identifizieren. Ob beim Zutritt zu Gebäuden, beim Zugang zu Rechnern oder Informationstechnologien – biometrische Erkennungsverfahren sind im Kommen. „Zwar entsteht heute noch ein großer Anteil der Nachfrage durch hoheitliche Anwendungen, etwa beim biometrischen Reisepass. Jedoch setzen sich biometrische Systeme im privaten und geschäftlichen Leben weiter durch: Sie verbinden eine einfache Handhabung und Kosteneffizienz mit einem Höchstmaß an Sicherheit“, so Professor Dieter Kempf, Präsident des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (Bitkom). Zur biometrischen Identifikation und Verifikation eignen sich Fingerabdruck, Irismuster im Auge, Handvenenmuster oder die Gesichtsgeometrie. Die Vorgehensweise zur Erfassung der einzigartigen Charakteristika erfolgt nach folgendem Prinzip: Ausgangspunkt ist eine biometrische Messung, bei der das entsprechende Merkmal – zum Beispiel der genetische Fingerabdruck – mithilfe eines Sensors erfasst wird. Die gewonnenen Rohdaten werden
Prognose zum Zeitpunkt der Nutzung der Biometrie zum Identitätsnachweis in Prozent Was glauben Sie, ab wann Biometrie (z.B. Iris- oder Fingerabdruckscanner) flächendeckend zum Identitätsnachweis genutzt werden wird?
40
35 Wahrscheinlich nie
30
Später als 2030
25
20
2025 bis 2030
15 2020 bis 2024 10 2015 bis 2019 5 2010 bis 2014
0 Deutschland-Experten
Quelle: TNS Infratest, 2009
EU-Experten
USA-Experten
Weitere int. Experten
DNAdigital
digitalisiert, auf die zur Unterscheidung notwendigen Informationen reduziert und anschließend als künftiger Referenzdatensatz – auch Template genannt – angelegt. Wenn nun eine Person ihren Finger auf das Erkennungssystem legt, um etwa Zugang zum Gebäude oder Rechner zu erhalten, wird der gescannte Abdruck mit denen in der Datenbank gespeicherten Fingerabdrücken verglichen. Wenn die Zuordnung korrekt erfolgt, kann mit Verwendung dieses Merkmals somit sichergestellt werden, dass es sich bei der vorhandenen Person tatsächlich um die behauptete Identität handelt. Es ergeben sich also erhebliche Vorteile gegenüber einer Authentifizierung anhand des Prinzips „Besitz und Wissen“. Ähnlich funktionieren auch Unterschriftenerkennung, Stimmenerkennung oder das Erkennen des Tippverhaltens an einer Tastatur.
Forschung: Science Fiction lässt grüßen
Das „Institut für Visualisierung und Interaktive Systeme“ an der Universität Stuttgart hat im vergangenen Jahr neue Verfahren zur Authentifizierung vorgestellt, die zusammen mit der Universität Cambridge entwickelt worden sind. Eine Methode setzt dabei statt auf Passwörter auf Bilder, um sich zum Beispiel für eine Web-Anwendung anzumelden. Und das funktioniert so: Eine Webcam oder Augmented-Reality-Brille zeichnet dabei die Blickbewegungen des Anwenders auf, wenn dieser die Details eines Bildes in einer bestimmten Reihenfolge aufnimmt. Stimmt daraufhin die Blickabfolge überein, wird der Benutzer für den Zugriff auf das System autorisiert. Wenn es nach den Wissenschaftlern geht, soll diese Technik in spätestens fünf Jahren marktreif sein. Auch um die Sicherheit von Smartphones haben sich die Forscher Gedanken gemacht. Mit dieser Methode schreibt der Anwender seine Unterschrift mit einem Magneten in die Luft, um das Telefon zu entriegeln. Tests zeigten, dass selbst mit vier Kameras, die diese Bewegungen im Raum mehrdimensional aufzeichneten, es nicht möglich war, die Unterschrift zu kopieren. Sicherheit und Benutzbarkeit scheinen hier also durchaus vereinbar. Allerdings stellt Professor Albrecht Schmidt, Leiter der Forschungsgruppe, fest: „Die Grundvoraussetzung ist, dass der Mensch und seine Fähigkeiten in die Sicherheitsanalyse sowie in das Design einbezogen werden.“ Damit eine Technologie im Wettbewerb eine Chance hat, muss sie nicht nur Sicherheit gewährleisten, sondern auch von Seiten der Anwender akzeptiert werden. n
Werbebeitrag Produktpräsentation
Sicherheit, die unter die Haut geht O
b richtiger Fingerzeig, perfekter Augenaufschlag oder passendes Antlitz – seit einigen Jahren sind vermehrt biometrische Erkennungssys teme im Einsatz, um eine zuverlässige Identifizierung und Authentifizierung von Benutzern zu gewährleisten. Aus gutem Grund: Konventionelle Systeme können verwendete Passwörter oder PIN-Chipkarten nicht daraufhin prüfen, ob zum Beispiel die Person vor dem Bankautomaten trotz richtiger PIN-Eingabe auch der rechtmäßige Inhaber des Kontos ist. Weder verloren gehen noch gestohlen werden können hingegen Merkmale von Menschen, die sie einzigartig machen: etwa der Fingerabdruck. Doch was viele nicht wissen, 100 Prozent fälschungssicher ist er nicht. Ein fremder Fingerabdruck auf einem Wasserglas und eine Bas telanleitung für eine FingerabdruckAttrappe aus dem Internet – schon könnte so manche Technik von Dritten mit kriminellen Energien überlistet werden. Bisher unüberlistet ist ein biometrisches System aus dem Haus Fujitsu, bei dem Personen zur Identifikation einfach ihre Hand über einen Scanner schweben lassen.
Auf Venen ist Verlass – Hand drauf!
Das Geheimnis dahinter: Klinische Studien belegen, dass das Handflächenvenenmuster bei jeder Person unterschiedlich ist – selbst eineiige Zwillinge weisen unterschiedliche Muster auf. Da das Handflächenvenenmuster im Körper verborgen und somit extern nicht sichtbar ist, kann es weder gefälscht noch gestohlen werden. Das macht den Handvenen-Scan so außergewöhnlich sicher. Fujitsu hat dabei eine völlig neue Technologie entwickelt, die keine Berührung durch die Handfläche mit dem Erkennungsgerät zur Identifizierung benötigt: die PalmSecure Sensor Technologie. Übrigens erfüllt sie damit auch die strengen Hygieneanforderungen öffentlicher Multiuser-Umgebungen. Und wie funktioniert der PalmSecure?
PalmSecure: schnell, nutzerfreundlich und zuverlässig
Der nur wenige Zentimeter große Sensor scannt in Sekundenschnelle die Handfläche, indem er Infra-Rot-Licht emittiert, woraufhin das in den Venen zum Herzen zurückfließende sauerstoffarme Blut das Handvenenmuster für den Sensor sichtbar macht. Das Muster wird erkannt, verschlüsselt, auf einen Server übertragen und mit den bereits vorab in der Datenbank gespeicherten und ebenfalls verschlüsselten Mustern verglichen. Alternativ kann das Template auch auf einem lokalen Speichermedium (Smartcard) gespeichert und verglichen werden. Da der individuelle Venenverlauf sich zeit-
lebens nicht ändert, muss die Regis trierung des biometrischen Merkmals weder regelmäßig wiederholt noch nachkalibriert werden. Die Verschlüsselungsalgorithmen sind dabei so ausgeklügelt, dass selbst beim Diebstahl oder einer Kopie des gespeicherten Handflächenvenenmusters ein nicht autorisierter Zutritt oder Zugriff auf Systeme, Geräte oder Gebäude mittels Rückrechnung auf das ursprüngliche Muster nicht möglich ist. Neben dem biometrischen Merkmal wird zur hundertprozentigen Personenerkennung ein weiterer Faktor genutzt: Pin, Token oder Smartcard. Ein Beispiel aus der Praxis gefällig?
Die Anzahl registrierter Nutzer stieg
Mit der Marktreife der PalmSecure Technologie. Im Jahr 2005 kam der Sensor erstmalig in Geldautomaten der Mitsubishi Bank in Tokio zum Einsatz. Seitdem können Kunden in Verbindung mit der Kreditkarte, auf der zuvor das Handflächenvenenmuster als biometrisches Template im Chip gespeichert wurde, Geldtransaktionen durchführen. Nur wenn das gescannte Venenmuster mit dem auf der Kreditkarte gespeicherten Template übereinstimmt, erhält der Kunde Zugriff auf das Konto. Inzwischen verwenden im Umfeld „Financial Services“ bereits rund 10 Millionen registrierte Nutzer PalmSecure. Seit der Markteinführung vor rund acht Jahren befindet sich die venenbasierende Erkennung aus dem Hause Fujitsu auf Erfolgskurs. Über 20 Jahre Entwicklung & Forschung zahlen sich eben aus. Neben Kunden aus dem Bereich „Financial Services“, gibt es im Umfeld „Health Care“ eben-
falls zehn Millionen Nutzer, im Umfeld „Enterprise Security“ rund fünf Millionen. Bilanz: Aktuell verwenden über 25 Millionen Nutzer die PalmSecure Technologie zur Identifikation oder zur Verifikation in unterschiedlichen Bereichen und für unterschiedliche Applikationen – Tendenz steigend, wie das folgende Beispiel aus dem Bereich „Health Care“ zeigt.
Auch Patienten wird aus der Hand gelesen
Unter dem Projektnamen „True Patient Identification“ hat Fujitsu in der Türkei eine hochgradig fälschungssichere, und zugleich sehr effiziente Gesamtlösung auf nationaler Ebene für eine sichere Patientenerkennung, für ein effektives Medikamentenmanagement und für einen schlüssigen Abrechnungsprozess mittels biometrischer Authentifizierung realisiert. Versicherte authentifizieren sich in Arztpraxen oder Krankenhäusern über den Handvenenscanner sowie
über eine Tastatur mit der nationalen Versicherungsnummer. Beide sind an eine Steuerbox angeschlossen, die aus Fujitsu PC-Komponenten besteht. Das eingebaute Sicherheitsmodul überträgt die Daten zusammen mit Standortund Gerätedaten verschlüsselt zu einem biometrischen Applikations- und Datenbankserver in einem zentralen Rechenzentrum. Dort werden die Daten entschlüsselt, verglichen und geloggt. Stimmt alles, gibt der Server ein „Go“ an das Versicherungssystem und somit der Praxis oder dem Krankenhaus eine Freigabe zur Verrechung der Kosten. Die Automatisierung der Abrechnung von Leistungen verringert Fehlerquoten und beschleunigt den gesamten Abrechnungsprozess: Missbrauch ausgeschlossen. Bis 2016 wird die gesamte türkische Bevölkerung – sprich 74 Millionen Menschen – biometrisch mit PalmSecure registriert sein. PalmSecure ist vom BSI nach Common Criteria zertifiziert. n
Vorteile der PalmSecure Technologie ·· Altersunabhängige, hochindividuelle Venenstruktur ·· Im Körper verborgenes biometrisches Merkmal ·· Unempfindlich bei Verschmutzung, Feuchtigkeit, oberflächlichen Verletzungen der Handfläche ·· Nahezu hundertprozentige Anwenderabdeckung ·· Hochgradig präzise und fälschunggsicher ·· Ergonomische, einfache Handhabung
Die beschriebene Lösung finden Sie auf der CeBIT in Halle 2, Stand B52 und in Halle 7, Stand A28.
10
IT-Sicherheit Eine Publikation des Reflex Verlages
artikel Mobile Security
Mobile Vielfalt abgesichert Am Arbeitsplatz kommen immer mehr mobile Geräte zum Einsatz. Und das erfordert besondere Sicherheitskonzepte. Von Otmar Rheinhold
W
eltweit werden schon längst mehr Smartphones als PCs verkauft. Und damit stellt sich auch immer stärker die Sicherheitsfrage für mobile Endgeräte. Gerade für intensive Nutzer von Smartphones und Tablets empfiehlt es sich, Antivirensoftware für mobile Geräte zu nutzen. Sie schützt zum Beispiel vor Malware in Gestalt scheinbar harmloser kleiner Spiele. Einmal installiert rufen sie dann im Hintergrund teure SMS-Dienste auf oder erlauben die Fernsteuerung des Gerätes. Das ist schon für Privatnutzer teuer und gefährlich. Noch größere Bedeutung bekommt das Thema vor dem Hintergrund einer Entwicklung, die mittlerweile als „Bring Your Own Device“ (BYOD) bekannt ist. Dabei nutzen Firmenmitarbeiter ihre eigenen mobilen Geräte auch für die Arbeit. Das hat Vorteile. Die Mitarbeiter kennen die Geräte und Anwendungen, die IT spart Kosten für die Geräte. Zudem sind die Anwender schon längst die eigentli-
chen Treiber der IT-Entwicklung – BYOD sorgt also auch dafür, dass Firmen am Puls der Zeit bleiben, nicht zuletzt, weil etwa soziale Netzwerke die Grenzen zwischen privat und beruflich verwischen.
Sicherheitsrisiko nicht unterschätzen
Andererseits bedeutet BYOD mehr Aufwand in der Verwaltung all der verschiedenen Geräte. Und natürlich birgt diese Politik ein bedeutendes Sicherheitsrisiko. Plötzlich können berufliche E-Mails oder SMS über kompromittierte Geräte abgefangen werden. Von Malware ferngesteuerte Geräte gelangen an Daten aus dem Firmennetzwerk. Sie aktivieren sogar Mikrofon und Kamera und schneiden wichtige Sitzungen mit. Und was passiert, wenn das Gerät verloren geht oder gestohlen wird?
Werbebeitrag
Produktpräsentation
Die Herausforderung der Stunde heißt deshalb Mobile Device Management (MDM). Im Kern versteht man darunter die Verwaltung aller mobilen Geräte unter Sicherheitsaspekten. Zu MDM gehört zum Beispiel die Entwicklung und Durchsetzung einer strengen Passwort- und Verschlüsselungspolitik und die Einrichtung verschiedener Zugangslevel. Zentrale Aufgabe ist auch, bestimmte Anwendungen und Apps zu sperren. Es gibt
mittlerweile Systeme, die von einer zentralen Oberfläche aus sämtliche Geräte – egal, wo sie sich gerade befinden – aus der Ferne verwalten und steuern können. Sie überwachen zum Beispiel verdächtige Passworteingaben und verhindern die Installation unsicherer Apps. Und im Notfall – bei Diebstahl oder Verlust – können sie das Gerät aus der Ferne sperren (Remote Lock) beziehungsweise sensible Daten löschen (Remote Wipe).
Sensibilisierung von Mitarbeitern
Größter Risikofaktor ist aber immer noch der Mensch. MDM bedeutet deshalb auch die Sensibilisierung der Mitarbeiter in Fragen der Sicherheit. BYOD kann hier sogar helfen: Mit seinem eigenen Geräte geht man sorgsamer um als mit Firmeneigentum. Und eine gute Balance zwischen den erlaubten privaten und vorgeschriebenen geschäftlichen Nutzungsmöglichkeiten schließlich verhindert ein zu großes Kontrollgefühl. So ist beiden Seiten gedient – und die Sicherheit bleibt gewahrt. n
Werbebeitrag
Produktpräsentation
IT-Dienstleister haften
Software-Sicherheitslücken
Umfassende Haftpflichtversicherung sichert Existenz.
D
Besonderer Schutz für IT-Dienstleister: Die ITPolicen Haftpflicht komfort und kompakt von AXA.
W
er einen Schaden verursacht, muss ihn in der Regel übernehmen – das gilt auch für IT-Dienstleister. Der Versicherer AXA bietet mit gezielten Deckungserweiterungen seiner IT-Policen Haftpflicht komfort und kompakt jetzt noch umfassenderen Schutz. Mit der IT-Police Haftpflicht kompakt richtet sich AXA speziell an ITFreelancer und Start-ups mit einem Umsatz bis zu 500.000 Euro im Jahr. Neben einer günstigen Prämie zeichnet sie sich durch eine umfassende Deckung aus. Für größere IT-Dienstleister
wurde die IT-Police Haftpflicht komfort entwickelt. Sie kann individuell an die Risikosituation des Versicherten angepasst werden. Mit eingeschlossen ist jetzt die Versicherung von Kosten durch Rechtsverletzungen und von Folgeschäden bei mangelnder Erfüllung. So übernimmt AXA bei einer einstweiligen Verfügung oder bei Unterlassungsklagen auch Gerichts- und Anwaltskosten. Das ist besonders sinnvoll, wenn zum Beispiel eigene Inhalte ins Netz gestellt oder Zugänge zum Internet eingerichtet werden. Die Gefahr ist hierbei, dass Ansprüche aufgrund eines Verstoßes gegen das Urheberrecht oder anderer Rechte erhoben werden. Bei einer selbst- oder fremdverschuldeten Veröffentlichung von personenbezogenen Daten wurde der Versicherungsschutz ebenfalls erweitert: Im Falle eines Strafverfahrens übernimmt AXA jetzt auch die Verteidigungskosten, sofern Haftpflichtansprüche aus einem strafrechtlichen Verfahren resultieren können. n
Weitere Informationen www.AXA.de/IT-check
ie Gefahren, die durch Viren, Trojaner und Würmer entstehen, sind hinlänglich bekannt und im Bewusstsein der IT-Verantwortlichen längst angekommen. Dagegen wird das Gefahrenpotenzial durch ungeschlossene Sicherheitslücken der installierten Programme oft unterschätzt. Laut Microsoft werden täglich durchschnittlich 22 Sicherheitslücken bekannt – pro Jahr kommen so über 8.000 Schwachstellen zusammen. Diese Sicherheitslücken werden von Angreifern genutzt, um sogenannte Software-Exploits zu programmieren und damit die Systeme zu infiltrieren. Die Täter sind so in der Lage, sensible Firmendaten zu stehlen und Zugriff auf das Netzwerk zu erlangen. Unternehmen, die hier Schritt halten wollen, benötigen eine moderne Patch-Management-Lösung, durch die alle verfügbaren ProgrammUpdates umgehend auf allen Rechnern im Netzwerk installiert werden. Die ideale Kombination für eine effektive Abwehrstrategie sind hier IT-Sicherheitslösungen, die Virenschutz und Patch-Management vereinen. Genau hier setzt der deutsche IT-Security Hersteller G Data mit seiner CeBITNeuheit an: G Data PatchManagement. Das leistungsstarke Zusatzmodul kann mit allen Netzwerklösungen von G Data – AntiVirus, ClientSecurity und
G Data PatchManagement – die intelligente Lösung für Unternehmen.
EndpointProtection – kombiniert werden. Unter einer zentralen Oberfläche haben IT-Verantwortliche zukünftig alles im Griff. Der Einsatz einer zusätzlichen Patch-ManagementLösung entfällt – das spart Adminis trationskosten, ohne in puncto Netzwerksicherheit Kompromisse einzugehen. n
Weitere Informationen CeBIT 2013: G Data Software AG, Halle 12, Stand C41, www.gdata.de
Eine Publikation des Reflex Verlages
IT-Sicherheit 11
artikel Security Intelligence
Eine Frage der Unternehmenskultur Von einzelnen technischen Lösungen hin zur unternehmensweiten Sicherheitsstrategie. lücken verlagern sich zunehmend auf die Anwendungsebene und somit auf die Schwachstelle Mitarbeiter.
Von Nadine Effert
D
er Schutz unternehmenskritischer IT-Infrastrukturen gegen Angriffe auf Verfügbarkeit, Vertraulichkeit und Integrität muss im wirtschaftlichen Interesse des Unternehmens eine bedeutsame Rolle einnehmen. Um den Bedrohungen zu begegnen, darf Sicherheit im Unternehmen keine isolierte Komponente darstellen. Eine rein technische Betrachtung der ITSysteme gibt keinen Aufschluss über deren definitive Sicherheit. Zu berücksichtigen sind vielmehr auch rechtliche – Stichwort Compliance –, organisatorische und personelle Aspekte. Und zwar nicht allein von der IT-Abteilung. Die Verantwortung liegt in erster Linie in den Händen der Geschäftsleitung.
Sicherheit ganzheitlich betrachten
Zum Schutz der IT sind Prozesse und Verfahren notwendig, die jeden Mitarbeiter und jedes eingesetzte informationsverarbeitende System mit einbeziehen. Auf der Basis eines ganzheitlichen Sicherheitskonzeptes, das etwa auf der
Aufklärungsarbeit tut Not
Beim Thema Security Awareness existiert Nachholbedarf.
Festlegung der zu schützenden Unternehmenswerte und Prozesse sowie einer Risiko- und Schwachstellenanalyse fußt, gilt es entsprechende Maßnahmen zu evaluieren, die auch den gesetzlichen Bestimmungen und Regularien Rechnung tragen. IT-Sicherheit ist eine Daueraufgabe: Eine periodische Prüfung und gegebenenfalls Anpassung der Sicherheitsstrategie ist unerlässlich. Sie erfordert außerdem einen permanenten Dialog zwischen den maßgeblichen Akteuren und ein
kontinuierliches Feedback aus dem operativen Betrieb an die Geschäftsführung. Obwohl viele Unternehmen der IT-Sicherheit eine hohe Bedeutung zuschreiben, findet die notwendige Vernetzung des IT-Sicherheits-Managements, des operativen Teams und der Chefetage in vielen Unternehmen und Institutionen noch nicht ausreichend statt. Das kann neben Effizienzverlusten und steigenden Kosten im schlimmsten Fall zu schweren Sicherheitsvorfällen führen. Sicherheits-
Werbebeitrag
Neben der klassischen E-Mail birgt auch die Nutzung sozialer Netzwerke am Arbeitsplatz sowie der Trend zum „Bring Your Own Device“ neue Risiken. Viele Mitarbeiter nutzen ihr mobiles (privates) Gerät, ohne sich über das Thema Sicherheit überhaupt Gedanken zu machen. Was ist erlaubt? Was verboten? Welche gesetzlichen Vorschriften müssen beachtet werden? Klare Regeln müssen aufgestellt werden. Die Implementierung jedweder Strategie sollte Hand in Hand mit einer Sensibilisierung der Mitarbeiter für bestehende Gefahren gehen – (Anwender-) Richtlinien, Verpflichtungserklärungen und gezielte Schulungen tragen zur Minimierung des Sicherheitsrisikos bei. Fazit: IT-Sicherheit muss von jedem Glied im Unternehmen – vom Angestellten bis zum Chef – gelebt werden. Dann erst wird sie Teil der Unternehmenskultur. n
Interview
„Systemsicherheit muss Entwicklungskonzept sein“ Herr Dr. Mühlbauer, mit wel-
chen Herausforderungen werden IT-Systeme in Bezug auf das Thema Sicherheit konfrontiert? Moderne, komplexe IT-Lösungen bestehen aus vielen Einzelkomponenten, aus deren jeweiligen Sicherheitseigenschaften nicht automatisch auf die Sicherheit des Systems geschlossen werden kann. Die ergibt sich aus deren Zusammenwirken. Das Thema Sicherheit muss im Idealfall von Anfang an bei der Systemgestaltung über alle Komponenten hinweg Beachtung finden. Nur so lässt es sich auch wirtschaftlich in hoher Qualität implementieren. Systemsicherheit muss bei der Entwicklung ein integriertes Konzept sein. Hierfür haben Fachleute Ihres Verbands ein neues, unabhängiges Expertenzertifikat namens „TeleTrusT Engineer for System Security“ entwickelt. Für wen ist es interessant? Der T.E.S.S. richtet sich an Sicherheitsbeauftragte und Entwickler sowie Produkt- und Systemingenieure, die zum einen in ihrem Bereich dem Thema Sicherheit ein angemessenes Gewicht einräumen müssen und zum
anderen ihre Expertise auf dem Gebiet Informationssicherheit um eine entscheidende Qualitätskomponente im Bereich Entwicklung erweitern wollen. Das Zertifikat punktet dabei mit der universellen Einsetzbarkeit dieser Qualifikation – egal, ob es sich um Produkte, IT-Lösungen, IT-Services oder komplexe Großsysteme handelt. Der T.E.S.S. ist die spezialisierte Ergänzung des bereits etablierten Expertenzertifikates „TeleTrusT Information Security Professional“ (T.I.S.P.). Welchen konkreten Nutzen haben Absolventen von der T.E.S.S.-Zertifizierung? Inhaber des Zertifikats entsprechen den Interessen von Unternehmen und Institutionen an nachvollziehbaren, standardisierten Qualifikationsnachweisen. Es dient als Beweis dafür, dass das Konzept „Security by design“, also die integrierte Softwaresicherheit, auf die Entwicklung unterschiedlichster Systeme angewendet werden kann. Grundsätzlich geht es darum, Sicherheit als Anforderung in den Entwicklungsprozess aufzunehmen sowie ganzheitliche Sicherheitsmaßnahmen von der Initialisierung an zu berücksichtigen und umzusetzen. Das entspricht den Erkenntnissen aus
dem Qualitätsmanagement, Qualität gleich mit „einzubauen“ anstatt Mängel nachträglich zu beheben. Absolventen stellen unter Beweis, dass sie in der Lage sind, die Implementierung von Informationssicherheit von Beginn an angemessen und erfolgreich umzusetzen. Für Interessierte – wie läuft das Verfahren zum Erwerb des Zertifikats ab? Zur Vorbereitung auf die Prüfung finden Schulungen zum Thema „Security Engineering“ statt. Angeboten werden diese von secorvo Security Consulting und isits. Die Anwärter werden also beim Wissensaufbau unterstützt. Experten aus der Sicherheitsforschung und der Sicherheitspraxis vermitteln die entscheidenden Inhalte für die Entwicklungsarbeit unter Berücksichtigung des Prinzips „Security by design“. Die Prüfungen werden durch PersCert TÜV abgenommen. n
Dr. Holger Mühlbauer, Geschäftsführer TeleTrusT – Bundesverband IT-Sicherheit e.V.
12
IT-Sicherheit Eine Publikation des Reflex Verlages
artikel Datenschutz
Deutsche Wolken äußerst wasserdicht Hiesige Rechenzentren bieten Rechtssicherheit. Risiken birgt dagegen das Speichern von Daten außerhalb Europas.
von Tobias Lemser
Sie sparen Kosten, sind skalierbar und ortsunabhängig erreichbar: Immer mehr Unternehmen setzen auf Public Cloud-Services. Doch wie ist es um den Datenschutz in externen Rechenzentren bestellt? Um Datenverluste oder auch Einblicke Dritter zu vermeiden, ist es wichtig zu klären, wie etwa der Schutz der verarbeiteten Daten gesetzlich geregelt ist. Dies hängt vor allem davon ab, wo das entsprechende Datenmaterial verarbeitet wird. Da Cloud-Lösungen zumeist als
Auftragsdatenverarbeitung ausgestaltet sind, finden prinzipiell die gleichen Bestimmungen wie bisher beim klassischen Outsourcing Anwendung. Hierbei gelten insbesondere die Regeln des Paragrafen elf des Bundesdatenschutzgesetzes. Elementar darin ist der sogenannte Zehn-Punkte-Katalog. Werden die Daten hierzulande auf Servern abgelegt, findet der Zugriff im deutschen Rechtsraum statt. Auch wenn das Rechenzentrum in einem Land innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (EWR) liegt, ergeben
sich keine anderen Anforderungen als bei Cloud Computing innerhalb Deutschlands. Anders im außereuropäischen Ausland: Drittstaaten, wie etwa Indien oder die USA, können für keine eindeutige Rechtssicherheit sorgen. Um also kein Risiko einzugehen, raten Experten deutschen Unternehmen, Cloud-Anbieter mit einer Auftragsdatenverarbeitung in einer EU/EWRCloud zu wählen. Empfehlenswert sind vor allem Rechenzentren, die transparente Vereinbarungen, aber auch anerkannte Zertifikate vorweisen können.
Zudem punkten die Dienstleister, die eine physische Zugangskontrolle zum Rechenzentrum gewährleisten und mit einem Notfallplan gegen größere Havarien gewappnet sind. n
Weitere Informationen Gesellschaft für Datenschutz und Datensicherheit: www.gdd.de EuroCloud Deutschland_eco: www.eurocloud.de
Gastbeitrag IT und Datenschutz
IT-Sicherheit und Datenschutz zusammen denken
I
T-Sicherheit und Datenschutz stehen in Unternehmen häufig in einem Spannungsverhältnis. Die Video überwachung von Serverräumen oder Rechenzentren erhöht die Sicherheit, wirft aber datenschutzrechtliche Fragen auf. Das gleiche gilt für die Protokollierung von Anmeldeversuchen auf Servern oder die sichere Einbindung privater Smartphones in die IT-Umgebung von Organisationen – Stichwort Bring Your Own Device. Auf welche Daten darf die IT-Abteilung zugreifen, ohne sich dabei in einer datenschutzrechtlichen Grauzone zu bewegen? Belange des Datenschutzes sind auch betroffen, wenn IT-Lösungen einge-
setzt werden sollen, um Korruption und Betrug zu verhindern. Auch wenn die Verhinderung von Straftaten in sensiblen Bereichen des Unternehmens ein wichtiges Ziel ist: Längst nicht alles, was technisch möglich wäre, ist datenschutzrechtlich erlaubt. Deshalb müssen Maßnahmen der IT-Sicherheit und des Datenschutzes sehr eng aufeinander abgestimmt werden. Die Einhaltung der datenschutzrechtlichen Vorgaben obliegt im Wesentlichen dem betrieblichen Datenschutzbeauftragten. Er muss zum Beispiel wissen, wann Einwilligungen von Mitarbeitern und Kunden für die Verarbeitung ihrer Daten erforderlich sind oder wann eine
Cloud für Personaldaten in Betracht kommt. Angesichts der rasanten technischen Entwicklung und der gleichzeitig immer komplexer werdenden Gesetzeslage kommt dem Datenschutzbeauftragten eine zunehmend wichtige Rolle zu. Unternehmen sollten seine Position stärken und ihn – oder sie – mit den notwendigen Ressourcen ausstatten. Dazu gehört vor allem eine fundierte Ausbildung und permanente Fortbildung. n Anja Olsok, Geschäftsführerin der Bitkom Service GmbH
Werbebeitrag
Produktpräsentation
Sicherheit auf einen Blick und für jedes Endgerät
S
chutz und Verwaltung der IT wird für Unternehmen immer schwieriger, davon weiß jede IT-Abteilung ein Lied zu singen. Die Zahl der Malware-Angriffe steigt, immer mehr
Geschäftsprozesse finden in schlecht geschützten Netzen statt, die Hardwarebasis wird heterogener. Hinzu kommt die wachsende Zahl mobiler Geräte, die von den Mitarbeitern auch
privat genutzt werden, und nicht zuletzt deren Bedürfnis, sich beruflich in sozialen Netzwerken zu bewegen. Kurz: IT wird komplexer, schneller und zu einer Ansammlung isolierter Anforderungen. Diesen Herausforderungen kann nur mit einem konsolidierten Ansatz begegnet werden. Den bietet Kaspersky mit seiner jüngsten Lösung „Kaspersky Endpoint Security for Business“. Die Lösung bietet alles, was ein IT-Sicherheitssystem braucht: Schutz vor Malware, wirksame Verschlüsselung von Daten, eine systemübergreifende Kontrolle und Verwaltung von Webanwendungen und Apps, ein umfangreiches Mobile Device Management und Module zur Mobile Security. Kaspersky Endpoint Security for Business macht Schluss mit Einzellösungen und bie-
tet einen integrierten Rundumschutz. Entscheidend ist die zentrale Verwaltung. Mit einem Mausklick können sämtliche Einstellungen zentral ausgeführt werden, und mit einem Blick ist jederzeit der Zustand des Systems erfassbar. Kaspersky Endpoint Security for Business wurde komplett selbst entwickelt – das garantiert, dass alle Module perfekt miteinander arbeiten. Die Module können zudem einzeln lizensiert werden – von der ganz großen Lösung bis zum Basisschutz für kleine Unternehmen. Was bleibt, ist die einfache Anwendung – und das Versprechen, komplexer IT-Prozesse endlich Herr zu werden. n www.kaspersky.de/business-security
Eine Publikation des Reflex Verlages
IT-Sicherheit 13
artikel Dokumentensicherheit
Chips, Schlüssel und digitale Unterschriften Cyberkriminalität ist auf dem Vormarsch – aber die digitale Sicherheit ebenso. Von Lena Winther
D
as Thema Datensicherheit ist immer wieder eine Diskussion wert, vor allem in den Bereichen, in denen es um Transport vertraulicher Informationen geht. Cyberkriminelle werden immer gewiefter, auch Urkundenfälschung ist in den vergangenen Jahren auf dem Vormarsch. Umso ausgeklügelter sind die modernen Verfahren, mit denen die Sicherheit gewährleistet wird.
sowie eine Online-Signatur und die sogenannte elektronische IdentitätsFunktion (eID-Funktion) wählen. Die Online-Signatur macht es möglich, rechtsgültige Online-Unterschriften bei Behörden leisten zu können. Die eID-Funktion soll mehr Sicherheit bei Internettransaktionen bieten, insbesondere vor Phishing-Attacken von Hochstaplern schützen, die sich als Online-Händler ausgeben. Das ist einerseits mehr Transparenz bei den Daten – so die Kritiker. Andererseits sorgt der Personalausweis dafür, dass Daten nur in einem kontrollierten-
Der gesamte Bürger steckt im Chip
Das frappierendste Beispiel ist der biometrische Personalausweis, der seit 2010 im Kreditkartenformat ausgestellt wird und ein kleines Datensicherheits-Wunderwerk sein soll. Anders als beim altbekannten Vorgänger sind die Informationen sowie das Foto seines Besitzers nicht nur außen zu lesen, sondern auch auf einem RFID-Chip im Inneren. Wer sich noch mehr Schutz wünscht, kann auch noch zwei Fingerabdrücke abgeben
Anzeige
Raum ausgetauscht werden sowie für den Deal überflüssige Informationen eben geheim bleiben.
Geheime Botschaften – aber wie?
Informationen sicher von A nach B zu überbringen ist eine Herausforderung, die den Alltag bestimmt. Wie etwa bei elektronischer Post. Viele greifen beim E-Mail-Verkehr zu Mitteln, die es ermöglichen sollen, dass nur noch der Empfänger Zugriff bekommt. Praktisch ist dieser Anspruch aber gar nicht so leicht in die Tat umzusetzen. Programme wie Outlook oder
Thunderbird verschlüsseln auf Wunsch den Datenverkehr, jedoch nicht einzelne Mails. Außerdem besteht zwischen den verschiedenen E-MailProgrammen keine Kompatibilität. Wer also „sicher“ über Outlook senden möchte, tut dies nur, wenn der Empfänger die gleiche Technik verwendet. Die digitale Signatur ist eine weitere Möglichkeit, E-Mail-Korrespondenzen zu schützen. Sie verifiziert den Empfänger und stellt sicher, dass die Post bei ihm ankommt. Verschlüsselungen lohnen sich eher für Unternehmen, die sensible Informationen verschicken, während Privatnutzer dies eher selten brauchen und im Zweifelsfalls gut damit beraten sind, in einer separaten Datei den brisanten Inhalt mittels einer Verschlüsselungssoftware zu sichern. In Sachen Dokumentensicherheit wird also weiterhin auf die uralte Praxis der Verschlüsselung und kodierten Signatur gesetzt. Wie weit der Schutz gehen soll und wann er in die Freiheit des Einzelnen eingreift? Eine Debatte, die noch lange nicht zu Ende ist. n
Gastbeitrag Dokumentensicherheit
Beweiswerterhaltung: Warum?
A
i
nfre e t s o k
ufbewahrungsfristen von Dokumenten werden oft unterschätzt: zwischen drei und zehn Jahren ist zwar die Regel – was bei immer kürzer werdenden Innovationszyklen der IT nur dem ersten Augenschein nach ein überschaubarer Zeitrahmen ist – in manchen Fällen aber auch 30 bis hin zu über 100 Jahren. Die Beweissicherheit eines elektronischen Dokumentes über den gesamten Lebenszyklus hinweg sicherzustellen, stellt Unternehmen vor neue Herausforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aufgrund der zentralen Problematiken die Technische Richtlinie 03125 (TRESOR) veröffentlicht, deren Ziel es ist, sowohl für digitale Inhalte als auch deren Metadatensätze folgende Punkte über den gesamten Lebenszyklus zu gewährleisten: ·· Verfügbarkeit und Lesbarkeit, ·· Integrität (Unversehrtheit), ·· Beweiswerterhaltung von Signaturen und Zeitstempeln, Authentizität (daraus folgt auch die Nichtabstreitbarkeit) sowie Datenschutz, Datensicherheit und Vertraulichkeit. Hierfür sind über die Funktionalitäten von ECM und DMS hinaus zusätzliche technische Maßnahmen erforder-
lich, denn die TR-ESOR referenziert als adäquates Sicherungsmittel die qualifizierte elektronische Signatur, qualifizierte Zeitstempel sowie deren Erneuerung. Um auf der sicheren Seite – nicht nur heute und morgen sondern auch noch übermorgen – zu stehen, sollte eine Erweiterung der vorhandenen IT-Infrastruktur um eine TRESOR-konforme Lösung in Betracht gezogen werden. n Autor: Petra Waldmüller-Schantz, Head of PR & Events, Governikus GmbH & Co. KG
14
IT-Sicherheit Eine Publikation des Reflex Verlages
artikel Managed Security
Argusaugen aus der Ferne IT-Sicherheit ist längst zum Outsourcing-Thema geworden: Immer mehr Unternehmen vertrauen auf Managed Security Services. Von Lena Winther
Selber machen oder doch lieber aus der Hand geben? Eine Frage, die sich gerade im IT-Bereich immer wieder stellt, gehören doch IT-Prozesse in den wenigsten Fällen zum Kerngeschäft eines Unternehmens. In Zeiten von Spam und Hacking ist das eigentlich uralte Outsourcing-Thema heißer denn je, da sich viel Betriebe nicht imstande sehen, sich angesichts der rasant fortschreitenden Cyberkriminalität selbst gegen ungewollte Eindringlinge zu schützen. Managed Services ist ein bewährtes Modell, bei dem teilweise outgesourct wird, anstatt sich gleich kompletter Geschäftsprozesse zu entledigen. Flexible Zahlungsmodelle sowie natürlich ständiger Zugriff auf die Aktivitäten sorgen für noch mehr Transparenz.
MSS bringen Licht ins Chaos
Sicherheit gewinnt an Stellenwert und ist heute ein Outsourcing-Bereich wie jeder andere. Die sogenannten Managed Security Services (MSS) nehmen sich der Sache an. Ob Spam, Phishing
Anzeige
oder Malware-Angriffe – viele Unternehmen verzichten auf den Kampf gegen Windmühlen und übergeben die IT-Sicherheit den externen Profis. Der Vorteil ist, dass Unternehmensressourcen unberührt bleiben, ebenso die Bandbreite. Ein Trend, der seit der Finanzkrise stetig zunimmt, da er Kosten einspart und mit dem ständigen Wandel Schritt hält. Denn nicht nur die Cyberkriminellen werden immer kreativer in ihrem Bestreben, der Firmensoftware zu schaden. Auch die unternehmenseigenen Technologien sind andauernd Neuerungen unterworfen. Das hat zur Folge, dass auch die hausinternen IT-Experten alle Hände voll zu tun haben, sich in die schützenswerten Techniken einzuarbeiten. Insbesondere durch die steigende Nutzung von Software as a Service-Angeboten (SaaS) beziehungsweise auch über das eigene Rechenzentrum betriebene Private Clouds wächst auch der Aufwand, deren Sicherheit zu gewährleisten. Was das Angebot betrifft: Es gibt die verschiedensten MSS. Managed E-MailServices etwa leiten E-Mails über das
Rechenzentrum des Providers um und überprüfen sie auf Herz und Nieren.
Ende mit zeitraubenden Prozessen
Bei Mittelständlern ist das Überwachen kompletter Kundennetzwerke sehr beliebt. Dem Anbieter werden dazu sowohl Endgeräte als auch Server und Firewalls übertragen. Auch die sichere Desktop-Verwaltung ist gefragt, bei dem die Daten in virtualisierter Form in einem Rechenzentrum gewissermaßen aufbewahrt und so geschützt werden. Selbstverständlich kann der Kunde jederzeit auf personalisierte Desktops zugreifen – kommt dabei aber kein bisschen mit Anti-MalwareProgrammen oder Virenschutz in Berührung. Das sind alles Aufgaben von MSS. Ein weiterer Bereich ist das RemoteData-Back-up, welches die ständige Datensicherung automatisch im Hintergrund erlaubt. Somit fällt das lästige Zwischenspeichern weg. So nehmen Managed Security Services den Unternehmen die kleinteiligen Aufgaben ab – und die interne ITAbteilung kann aufatmen. n
Werbebeitrag
Interview
„Umfassende IT-Sicherheit“
Innovative USV Technologie
www.newavenergy.com
MADE
bis 5 Megawatt
Viele Firmen sind bezüglich IT-Sicherheit bereits sensibilisiert. Wie ermöglicht F5 Networks ganzheitliche Sicherheit? IT-Sicherheit steht seit Jahren ganz oben auf der Agenda von IT-Verantwortlichen. Unternehmen sehen sich, zusätzlich zu den traditionellen Netzwerk-Bedrohungen, immer häufiger mit Angriffen auf Anwendungen konfrontiert. Da die F5-Lösungen strategische Kontrollpunkte der Infrastruktur besetzen, sind sie ideal, um den Zugriff auf Anwendungen und Daten zu sichern und das unabhängig davon, welche Zugangsmethode oder welcher Gerätetyp eingesetzt wird. F5 bietet hochskalierbare und erweiterbare Lösungen, die nicht nur Sicherheit bieten, sondern auch hocheffizient sind und somit einen entscheidenden Wettbewerbsvorteil bieten.
Markus Härtner, Senior Director DACH für F5 Networks
Welche Vorteile bietet die F5-Lösung im Gegensatz zu sogenannten „Insel-Lösungen“? Mit dem BIG-IP Advanced Firewall Manager (AFM) erweitert F5 sein Portfolio an Sicherheitslösungen und bietet eine schnelle, skalierbare ApplicationDelivery-Firewall-Lösung an. Diese ermöglicht es auf einfache Weise, Traffic
Management, Applikations-Sicherheit sowie Zugriffs- und DNS-FirewallFunktionen auf einer intelligenten Service-Plattform zu kombinieren. Durch die Integration der Sicherheitsfunktionen mehrerer BIG-IP-Module in eine Gesamtlösung werden die Kosten für das Management reduziert und gleichzeitig hohe Leistung und Skalierbarkeit beibehalten. n
Eine Publikation des Reflex Verlages
IT-Sicherheit 15
artikel Daten Wiederherstellung
Immer was in der Hinterhand Wer ohne Back-up arbeitet, ist selber schuld. Denn nur so können im Ernstfall verlorene Daten zurückgeholt werden. von Otmar Rheinhold
D
ata Recovery, also die Wiederherstellung verloren gegangener Daten, steht aus guten Gründen ganz oben auf der Prioritätenliste von ITManagern. Physisch beschädigte Speichermedien müssen im Extremfall von Spezialfirmen in Reinräumen „Bit für Bit“ rekonstruiert werden, um etwa nach einem Brand oder einem Unfall wenigstens einen Teil der Daten retten zu können. Wurden Daten „nur“ mal aus Versehen gelöscht, können sie oft mithilfe von speziellen Softwarelösungen wieder hervorgezaubert werden: Gelöschte Daten werden vom System zunächst nämlich nur „ausgeblendet“. Entscheidend ist aber, es zum Verlust gar nicht erst kommen zu lassen. Sprich: Anwendungs- und System daten sollten grundsätzlich auf einem
Back-up-System gespiegelt werden. Eine verbreitete Strategie ist, zunächst eine Komplettsicherung anzufertigen. Danach werden nur noch veränderte
Softwarelösungen automatisieren die Datensicherung und stellen bei Verlust sofort die Sicherungskopie zur Verfügung Dateien gespeichert, abends zum Beispiel, oder auch permanent im Hintergrund. So stehen stets auch ältere Versionen von Dateien zur Verfügung. Als Speichermedium kommen für Unternehmen auch heute noch Bandlaufwerke infrage. Für Privatanwender, kleinere Firmen und wenn Daten im Ernstfall schnell zur Verfügung stehen müssen, empfehlen sich externe Festplatten. Wer zum Beispiel einen der sich stark verbreitenden NAS-Server nutzt, wird seine Daten in der Regel
Hauptvorteile des Cloud Computing für Back-up und Disaster Recovery aus Sicht deutscher IT-Anwender in Prozent 10
8
6
4
2
0
Zuverlässiger
nach einem der existierenden RAIDSysteme speichern. RAID-Systeme fassen nicht nur mehrere Festplatten zu einem Speicher zusammen, sie können
Höhere Qualität
Betriebskosten
Quelle: Acronis, 2011
zum Beispiel Daten auch grundsätzlich redundant, also „doppelt“ speichern. Wichtig sind Strukturen und Prozesse. Es muss klar sein, welche Daten auf
welche Weise und vor allem wo gespeichert werden. Besonders Wichtiges kann dann etwa auch noch auf einem dritten Datenträger gespeichert und an einem sicheren Ort aufbewahrt werden. Weniger Wichtiges wird immer öfters auch in der Cloud gespeichert. Es gibt zudem Softwarelösungen, die die Datensicherung automatisieren – und bei Verlust sofort eine ältere oder die Back-up-Version zur Verfügung stellt. Denn bei der Datensicherung sollte man nichts dem Zufall überlassen. n
Werbebeitrag
Produktpräsentation
TOP EVENT zur IT-Sicherheit Neu: Future Security Park in Halle 12.
D
ie CeBIT erweitert ihren Ausstellungsschwerpunkt „Security World“ und präsentiert vom 5. bis 9. März 2013 neben virtuellen Sicherheitslösungen erstmals Anwendungen zum physikalischen Schutz von Rechenzentren, öffentlichen Verwaltungen und Industriebetrieben. Der neue „Future Security Park“ in Halle zwölf zeigt neueste Kartentechnologien sowie Systeme zur Videoüberwachung, biometrischen und mechanischen Zutrittskontrolle, Fußbodensensorik und Lösungen zum Brand- und Feuerschutz. Die einzelnen Themenbereiche werden in einer Art Test-Parcours angeordnet, der von den Besuchern durchlaufen werden kann. „In Zeiten von Cloud-Anwendungen, BYOD und Social Business ist heute eine ganzheitliche Betrachtung des Themas Sicherheit für Unternehmen
und Organisationen von existenzieller Bedeutung. Verwundbare IT-Infrastrukturen, Telekommunikationsnetze, Anlagen und Gebäude können bei einem Systemausfall schnell zum Kollaps des gesamten Unternehmens führen. Die CeBIT bietet beste Möglichkeiten für eine Rundumberatung. Darüber hinaus können sich Besucher an den Ständen der führenden Sicherheits-Anbieter über die spezifischen Sicherheitsprodukte und Dienstleistungen informieren“, erklärt Frank Pörschmann, CeBITVorstand bei der Deutschen Messe AG. n
gastbeitrag IT-Sicherheit verbessern
IT-Sicherheitsvorfälle freiwillig und anonym melden
D
ie Nachrichten über HackerAngriffe auf bekannte OnlineDienste und die Warnungen vor Sicherheitslücken in gängiger Software reißen nicht ab. Die europäische ITSicherheitsbehörde ENISA warnt vor sogenannten Drive-by-Downloads als derzeit größte und am schnellsten wachsende Gefahr im Internet. Internetnutzer können sich völlig unbemerkt Schadsoftware einfangen, indem sie manipulierte Webseiten besuchen. Aber auch die bekannten Cyberwaffen wie Trojaner, PhishingAttacken oder Botnetze haben nichts von ihrer Gefährlichkeit eingebüßt.
Vor diesem Hintergrund ist es folgerichtig, dass die Sicherheitsbehörden in Berlin und Brüssel den Kampf gegen die Cyberkriminalität verstärken. Strittig ist, ob gesetzliche Meldepflichten für Unternehmen bei IT-Sicherheitsvorfällen gerechtfertigt sind. Aus Sicht der ITK-Branche sollten sich Meldepflichten auf kritische Infrastrukturen beschränken. Dazu zählen zum Beispiel Kommunikationsnetze, der Verkehr oder die Energieund Wasserversorgung. Angriffe auf diese Infrastrukturen bedeuten eine erhebliche Gefährdung der öffentlichen Sicherheit. Eine Ausweitung der
Meldepflichten auf andere Branchen halten wir dagegen für unverhältnismäßig. Sinnvoller ist ein Meldesystem, mit dem die Sicherheitsbehörden ein umfassendes Lagebild über aktuelle Gefahren erhalten und zügig Gegenmaßnahmen entwickeln können. Eine entsprechende Meldestelle (Allianz-fuer-Cybersicherheit.de) hat der Bitkom in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik bereits etabliert. Hier können Unternehmen freiwillig und anonym IT-Sicherheitsvorfälle melden – ohne jeden staatlichen Zwang. n
Autor: Prof. Dieter Kempf, BITKOM-Präsident
vom 013 .03.2 05.– 09
Entdecken Sie den Innovationstreiber für ID-Management. Wir glauben, dass sich komplexe Datensysteme und höchste Sicherheit nicht ausschließen. Als führender Systemanbieter im Hochsicherheitssegment stellen wir Ihnen daher ein umfassendes ID-Management zur Verfügung. Es reduziert z. B. Daten auf das Wesentliche, macht Kommunikationswege rundum sicher und ermöglicht, dass Sie und Ihre Kunden sich auch im Internet vertrauensvoll authentifizieren können. Erleben Sie ein System, das mehr ist als die Summe seiner Teile: www.bundesdruckerei.de
CeBIT
Stand
alle 7 C18/HParc)
(Public
Sector