Analyse: Sicherheit #5 by Contentway

EINE UNABHÄNGIGE THEMENZEITUNG VON EUROPEAN MEDIA PARTNER

ANALYSE: SICHERHEIT MIT FOKUS AUF WIRTSCHAFTLICHE RISIKEN UND PRÄVENTION

NR 5 | JUNI 2017 ANALYSEBUSINESS.DE

Was sind die größten Lücken der Cybersicherheit und welche Schäden können durch eine Cyberversicherung abgedeckt werden? Die besten Experten der Branche liefern uns Antworten zu diesen Themen.

Seite 4 und 5

„Wir sind ständig damit beschäftigt, die Bedrohungslage im Cyberraum zu analysieren.“ Lesen Sie das Vorwort mit Prof. Dr. Udo Helmbrecht, ENISA‘s Executive Director. Seite 2

Lesen Sie mehr Artikel auf analysebusiness.de Lesen Sie weitere Artikel zum Thema digitale Sicherheit in Unternehmen auf analysebusiness.de

AKTUELLES

Schutz vor kriminellen Cyberangriffen

Die Angriffe durch Wirtschaftskriminelle werden immer gezielter. Jüngstes Beispiel: der Hackerangriff „Wanna Cry“, der weltweit Störungen und Schäden verursacht hat. Seite 12

INSPIRATION

Videoüberwachung schafft Sicherheit in Unternehmen

Die Nachfrage nach Sicherheitslösungen und Safety-Management wächst derzeit schnell, ist aber extrem komplex und erfordert – aufgrund der zunehmenden Digitalisierung – schnelle Innovationszyklen. Seite 14

MICHAEL KORBACHER

DIRECTOR GOOGLE CLOUD

„Sicherheitsfragen eines Unternehmens sind heutzutage Managementaufgabe“ Lesen Sie mehr auf Seite 8 Sonderpublikation in Die Welt am 16. Juni 2017

FIND OUT IF YOUR PRINTERS ARE VULNERABLE TO ATTACK. www.hp.com/thewolf

Eine unabhängige Themenzeitung von European Media Partner

VORWORT – ANALYSEBUSINESS.DE

UNSERE EMPFEHLUNGEN – ALLE ARTIKEL IN VOLLER LÄNGE AUF ANALYSEBUSINESS.DE Foto: Alexzeer - Fotolia

Präventionsarbeit und Spezialisierung Wirtschaftskriminalität, Spionage, Terrorismus, Cybercrime: Die Bedrohung für die Wirtschaft ist so konkret und vielfältig wie nie. Mit dem technologischen Fortschritt und den Veränderungen im internationalen Gefüge sind neue Risiken hinzugekommen.

Hoffnung auf mehr Sicherheit Im Januar 2016 sprachen sich laut ARD-Deutschlandtrend 82 Prozent der Befragten für mehr Überwachung per Kamera aus.

IT Sicherheit für Unternehmen Eine Studie (Estimating the global cost of cybercrime, McAfee, 2015) schätzt, dass die Schäden durch Cyberkriminalität mit 375 bis 575 Milliarden US-Dollar über dem Volumen des weltweiten Drogenhandels liegen. Doch was können Unternehmen tun, um Attacken abzuwenden?

ANNIKA EMPFIEHLT! Ich empfehle Ihnen das Expertenpanel auf Seite 4 und 5, welches über Risiken in der Cybersecurity aufklärt sowie darüber, wie man sich dagegen absichern kann. Annika Niemerski, Project Manager

Prof. Dr. Udo Helmbrecht ENISA’s Executive Director

„ENISA ist ständig damit beschäftigt, die Bedrohungslage im Cyberraum zu erfassen und zu analysieren.“

ENISA CYBER-BEDROHUNGSLAGE: DER DIGITALE WETTERBERICHT

er Cyberraum hat sich längst zu einer weiteren Dimension unseres Lebens entwickelt. Wichtige Lebensabläufe werden vermehrt in den Cyberraum verlegt. Etwa im Beruf, bei der Pflege sozialer Kontakte, bei der Kommunikation, sogar bei der Gesundheit ist die virtuelle Welt fester Bestandteil unserer Realität und somit der physischen Welt geworden. Durch die Vermischung physischer und virtueller Welten stellen sich für die Benutzer einige Fragen, die ihren Ursprung in den Lebenserfahrungen aus der realen Welt haben: kann die physische Welt von der Cyberwelt beeinflusst werden? Gibt es in der Cyberwelt Verhaltensweisen, die gefährlich sein können? Gibt es einen digitalen Wetterbericht – einen Lagebericht im Cyberraum? ENISA, die EU-Agentur zur Sicherheit in der Informationstechnologie, beschäftigt sich mit solchen und anderen Fragen zur Lage des Cyberraums. Eine wichtige Aktivität dazu beschäftigt sich mit der Lage der Bedrohungen: der digitalen Großwetterlage. Auch wenn es für Laien merkwürdig erscheint, ist dieses Vorgehen nicht ungewöhnlich in Ingenieurwissenschaften. Die Bedrohungs- und Risikolage ist ein fester Bestandteil zur Ermittlung geeigneter Schutzmaßnahmen. Man kennt das von der Automobilindustrie, von der Luftfahrt von der Seefahrt usw. Der permanenten Abschätzung von Gefährdungen und

Folgen Sie uns:

@europeanmediapartnerdeutschland

ihren Folgen ist der Stand der Technik zu verdanken, den wir beispielsweise im Automobilsektor erreicht haben. Eine ähnliche Vorgehensweise wird in der Cyberwelt verfolgt: ENISA – wie auch andere Organisationen weltweit – ist ständig damit beschäftigt, die Bedrohungslage im Cyberraum zu erfassen und zu analysieren. Daraus erfolgen einige Berichte, sowohl zweiwöchentlich als auch jährlich. Die zweiwöchentlichen Berichte befassen sich mit einzelnen Cyber-Ereignissen, die zeitnah erfolgt sind. Sie werden „Infonotes“ genannt und liefern eine kompakte Aufarbeitung mit Schlussfolgerungen. Der Jahresbericht zur weltweiten Bedrohungslage im Cyberraum ist eine Zusammenfassung der Top-15 wichtigsten Bedrohungen innerhalb eines Jahres und wird „ENISA Bedrohungslandschaft“ genannt. Die Arbeit von ENISA zum digitalen Wetterbericht basiert auf öffentlich verfügbaren Informationen zu den Ereignissen im Cyberraum. Man nimmt an, dass öffentlich verfügbare Informationen eine große Aussagekraft besitzen. Man geht davon aus, dass durch die Durchforstung des Internets über 90% der Ereignisse identifiziert werden können. Durch diese Arbeit hat ENISA bedeutenden Erfolg innerhalb aber auch außerhalb der Sicherheitscommunity erreicht und wird das Thema weiter verfolgen.

analysebusiness.de

Recyclen oder weiterreichen!

INHALT 4

Experten – Cybersicherheit

Experten – Cyberversicherungen

Gefahren der Cloud

Wirtschaftskriminalität

Titelstory – Michael Korbacher

Event – Messe it-sa

Versicherungen für Startups

Schutz vor Cyberangriffen

Videoüberwachung

ANALYSE: SICHERHEIT Project Manager: Annika Niemerski annika.niemerski@europeanmediapartner.com Geschäftsführer: Redaktionsleiter: Layout und Anzeigengestaltung: Lektorat: Titelbild: Distribution: Druck:

Kristoffer Andersson Mats Gylldorff Aileen Reese Nicole Bitkin Frank von Wieding Die Welt Gesamt, Juni 2017 Axel Springer SE

European Media Partner Deutschland GmbH Neuer Wall 59, DE-20354 Hamburg Tel.: +49 40 299 977 400 Email: info@europeanmediapartner.com www.europeanmediapartner.com

European Media Partner sind Spezialisten im Content-Marketing. Durch ein hochwertiges redaktionelles Umfeld und eine hohe Verbreitung schaffen wir eine optimale Medienpräsenz auf dem Markt. Wir helfen Unternehmen durch passgenaue Produkte ihre Zielgruppe treffsicher zu erreichen. ADVERTORIAL

IBS Schreiber sorgt für Sicherheit In den letzten 38 Jahren hat sich die IBS Schreiber GmbH zu einem führenden deutschen Prüfungsund Beratungsunternehmen im IT- und SAP-Umfeld entwickelt. „Prüfen mit Konzept“: So lautet das Motto des Prüfungsund Beratungsunternehmens IBS Schreiber aus Hamburg. Ob es um IT- und SAP-Sicherheit, Data Science oder GRC-Software geht: Das Unternehmen ist allen Belangen ein versierter und vertrauensvoller Ansprechpartner. „Wenn Datenschutz und Datensicherheit gewährleistet sein sollen, dann muss die IT-Sicherheit in Unternehmen und Behörden gesamtheitlich durch alle Schichten verfolgt werden. Trotzdem verbleibt ein Restrisiko, das es zu minimieren gilt“, sagt Geschäftsführer Thomas Tiede. Durch ein Audit ihrer IT-Systeme erhalten Kunden von IBS Schreiber eine detaillierte Bewertung des Sicherheitsniveaus ihrer Unternehmensdaten. So werden zum Beispiel Penetrationstests, Datenbank- und Applikationsprüfungen durchgeführt. Daraus leiten die Experten von IBS Schreiber individuelle Maßnahmenempfehlungen ab – damit Unternehmen so gut wie möglich gegen Datenverlust, Manipulation, Lizenzverstöße, Systemausfälle oder Sabotage gewappnet sind.

Mit der vollständigen Prüfung aller Risikoebenen sowie der Erstellung und Implementierung erforderlicher Sicherheits- und Berechtigungskonzepte unterstützt IBS Schreiber auch in allen Bereichen der SAP-Sicherheit. „Die komplexen SAP-Systeme erfordern Sicherheitskonzepte auf allen Ebenen: von der technischen Sicherheit bezüglich der Betriebssysteme und Datenbanken über Applikationssicherheit bezüglich des SAP-NetWeaver und der genutzten SAP-Komponenten bis hin zur Prozesssicherheit in den Geschäftsprozessen“, weiß Tiede – und warnt zugleich vor einer neuen Risikoebene, der SAP-eigenen Datenbank HANA, mit der Datenbank- und Applikationsebene verschmelzen. IBS Schreiber unterstützt ferner in allen Phasen von Data Science-Projekten. „Für die ordnungsgemäße Verwaltung und Prüfung der Daten ist ein hoher Standard zu definieren, umzusetzen und permanent zu prüfen“, sagt der zweite Geschäftsführer von IBS Schreiber, Sebastian Schreiber. Das Knowhow und die Praxiserfahrungen der Mitarbeiter fließen auch in die IBS-eigene Akademie ein. „Wir haben mittlerweile mehr als 110 Themen im Programm, führen aber auch Inhouse-Trainings und Konferenzen durch“, so Schreiber. Weitere Informationen: www.ibs-schreiber.de

Thomas Tiede Geschäftsführer IBS Schreiber

Sebastian Schreiber Geschäftsführer IBS Schreiber

Die Weltleitmesse für Sicherheit 25. – 28. September 2018, Essen

Video//Perimeter// Zutritt/Mechatronik/ Mechanik/Systeme//Cyber-Security/Wirtschaftsschutz// Dienstleistungen//Brand/Einbruch/Systeme//

z t! t E j E i S n Buch E

www.security-essen.de SE_AZ_allg_248x370_D_RZ.indd 1

12.06.17 10:38

Eine unabhängige Themenzeitung von European Media Partner

Foto: Anna Lischetzki Photographie

EXPERTENPANEL: CYBERSICHERHEIT – ANALYSEBUSINESS.DE

Foto: Deutsche Telekom AG

Mikko Hyppönen, Chief Research Officer F-Secure

Volker Wagner, Vorsitzender ASW Bundesverband

Dariush Ansari, Geschäftsleiter Network Box Deutschland GmbH

WO SIND BEI DER CYBERSICHERHEIT DIE GRÖSSTEN LÜCKEN?

Es gibt zwei grundlegende Ursachen für Sicherheitslücken. Das sind technische Probleme und das sind die Menschen. Technische Probleme können mit Updates der Software behoben werden. Es wird immer Schwachstellen geben, die Sicherheit eines Systems hängt davon ab, ob es immer auf dem neuesten Stand gehalten wird. Die Behebung der Probleme bei den Menschen heißen Bildung und Lernen und ein Interesse an der Lösung des Problems. In der Theorie klingt das einfach, in der Praxis ist es eher selten. Es gibt leider keinen Patch gegen Dummheit.

KANN DAS WIRTSCHAFTLICHE AUSWIRKUNGEN HABEN?

Firmen werden selten in Konkurs gehen, wenn sie gehackt werden. Allerdings werden oft die Vorstände gefeuert, wenn ihr Unternehmen angegriffen wurde. Die Cybersicherheit sollte in jedem größeren Unternehmen ein Top-Thema sein.

WIE SICHERN SICH DIE UNTERNEHMEN AM BESTEN AB?

Anstatt einen harten äußeren Kern zu bauen, sollten die Unternehmen davon ausgehen, dass es immer irgendwo eine Bruchstelle geben wird. Sie sollten sich darauf konzentrieren diese Bruchstelle schnell zu erkennen und dann darauf reagieren. Die „Resilience“ (Anpassungsfähigkeit) ist der Schlüssel.

In den letzten fünf Jahren wurden in der Wirtschaft, Wissenschaft und von staatlicher Seite große Anstrengungen unternommen, die Cybersicherheit zu verbessern. Die Bedrohungslage hat sich dennoch verschärft. Unter dem Stichwort „assume the breaches“ ist heute davon auszugehen, dass präventive Maßnahmen allein keinen hinreichenden Schutz bieten, sondern dass moderne Schutzkonzepte auch eine effiziente Detektion und professionelle Reaktion beinhalten, um die Wirkung von Angriffen zu minimieren.

KANN DAS WIRTSCHAFTLICHE AUSWIRKUNGEN HABEN?

Die Cyberbedrohung ist akut – alle gesellschaftlichen Gruppen in Deutschland sind betroffen. Spektakuläre Cyberangriffe der jüngsten Zeit bestätigen, dass Cyberangriffe zu den zentralen Bedrohungen der führenden Industrienationen gehören.

WIE SICHERN SICH DIE UNTERNEHMEN AM BESTEN AB?

Staat und Wirtschaft dürfen nicht nur auf IT-Sicherheit setzen. Der Faktor Mensch spielt weiterhin die entscheidende Schlüsselrolle. Die wachsenden Bedrohungen erfordern zudem eine stärkere Kooperation auf Seiten der Angegriffenen. Staat und Wirtschaft müssen daher noch enger zusammenarbeiten – die Initiative Wirtschaftsschutz bietet dazu einen guten Ansatz. Die Komplexität der Thematik Wirtschaftsschutz erfordert auch die Schaffung klarer Zuständigkeiten – auf Seiten der Wirtschaft und bei den Sicherheitsbehörden. Wir brauchen diese Wirtschaftsschutzbeauftragten in den Unternehmen und im öffentlichen Sektor!

Die größten Lücken liegen nach wie vor in der Sensibilisierung der Mitarbeiter. IT-Sicherheit wird immer noch als rein technisches Thema pauschalisiert und somit aus dem Verantwortungsbereich des Mitarbeiters in Richtung IT-Abteilung geschoben. In den meisten Fällen sind IT-Sicherheitsvorfälle auf Fahrlässigkeit zurückzuführen.

KANN DAS WIRTSCHAFTLICHE AUSWIRKUNGEN HABEN?

IT-Sicherheitsvorfälle haben natürlich immer negative wirtschaftliche Auswirkungen. Neben einem möglichen Stillstand der betroffenen Unternehmen bis zur Lösung des Problems, kann auch ein Reputationsschaden zu längerfristigen wirtschaftlichen Schäden führen. Auf der anderen Seite kann ein Investment in die IT-Sicherheit auch positiven Einfluss auf die Wirtschaftlichkeit eines Unternehmens haben, da man hier zeigt, dass man mit Daten verantwortungsvoll umgeht und sich somit unter Umständen sogar vom Wettbewerb abheben kann.

WIE SICHERN SICH DIE UNTERNEHMEN AM BESTEN AB?

Unternehmen müssen IT-Sicherheit als ganzheitlichen Prozess, unter Berücksichtigung mehrerer Faktoren im Unternehmen etablieren. Zu diesen Faktoren gehören neben Einführung technischer Maßnahmen wie einer Firewall, Anti-Viren-Programmen, Verschlüsselungstechnologien und Back-Up-Strategien, auch die nachhaltige Sensibilisierung von Mitarbeitern, sowie das Ausarbeiten gewisser Regeln für den Umgang mit der IT. Ebenfalls sinnvoll finde ich den Abschluss einer Cyber-Versicherung. ANZEIGE

Kontrolle über Daten selbst behalten Welche Rolle spielen Autorisierung, Identiizierung und Access-Management in den betrieblichen Prozessen? Identitätsverwaltung und -Berechtigung sind für jede Informationssicherheit -besonders in Verbindung mit Cloud Computing - ein guter Ansatz, um die Kontrolle zu behalten. Helfen können für den Anfang Cloud Access Security Brokers (CASBs), um Compliance und Kontrolle wiederzugewinnen. Hel Leider sind diese Themen technisch sehr anspruchsvoll und gehören gerade deshalb nicht in die Hände von IT Generalisten. Hier sollten sich die Unternehmen auf neue Prozesse einstellen und den Demingkreis (PDCA Zyklus) leben. Cloud Computing- Angebote auf europäischen Boden unter Beachtung von EU-DSGVO und diverser regionaler Regularien sind gut für eﬃziente betriebliche Prozesse. Wie können Datensicherheit und Datenschutz in einer global produzierenden Wirtschaft weltweit wirkungsvoll gewährleistet werden? Datenschutz und Datensicherheit sind die Garanten für den Schutz geistigen Eigentums. Wesentlicher Faktor, die Daten beim Transport (Data in Motion), beim Speichern auf den Massenspeicher (Data at Rest) und bei der Verarbeitung in Datenbanken (Data in Use) zu schützen, ist die Verschlüsselung. Zentrale Bedeutung erhält hier eine organisatorische Disziplin: die Schlüsselverwaltung. Volle Kontrolle über die Daten behält man nur, wenn man die Schlüssel keinem Dritten anvertraut. Gerne wird vergessen, dass es keine hundertprozentige Sicherheit gibt. Tipp: Vertrauen Sie ihren Admins und geben Sie Ihnen Raum für Weiterbildung und Angriﬀsübungen. Weiterer Hinweis: Verschlüsseln Sie „on Premises“ und in der Cloud. So besteht nur ein Handlungsstrang.

www.gronau-it-cloud-computing.de

Eine unabhängige Themenzeitung von European Media Partner

Foto: bernhard huber munich

ANALYSEBUSINESS.DE ANALYSEBUSINESS.DE – EXPERTENPANEL: CYBERVERSICHERUNGEN

Peter Henrique, Leiter des Bereichs Cyber-Versicherung HDI Global SE (HDI).

Ole Sieverding, Product Head Cyber & Data Risks Hiscox Insurance Company Ltd.

Carsten Wiesenthal, Leitung Firmen Haftpflicht Allianz-Versicherungs AG

WELCHE SCHÄDEN WERDEN DURCH EINE CYBERVERSICHERUNG ABGEDECKT?

Unternehmen können sich bei HDI sowohl gegen Schäden absichern, die sie selbst als Opfer eines Hackerangriffs erleiden – z.B. Betriebsunterbrechungen – als auch gegen Ansprüche, für die sie von Dritten haftbar gemacht werden. Zusätzlich stellen wir dem Versicherungsnehmer im Fall eines Cyber-Angriffs externe Spezialisten wie z. B. IT-Forensiker zur Seite. Diese Zusatzleistungen unterstützen das Krisenmanagement im Unternehmen und sind im Versicherungsfall ebenfalls gedeckt.

WANN UND FÜR WEN IST SIE SINNVOLL?

Generell für alle Unternehmen, deren Geschäftsmodelle abhängig von der IT sind. „WannaCry“ hat gezeigt, dass jeder Opfer werden kann, Hotels, die Bahn, Ministerien. Von zielgerichteten Angriffen, in denen es darum geht, an sensible Daten zu gelangen, sind in erster Linie größere Unternehmen betroffen. Doch die Angriffe von Wirtschaftskriminellen, die – sind gerade für kleinere Unternehmen eine Gefahr.

Eine Cyberversicherung ist für alle Unternehmen, die über eine IT-Infrastruktur verfügen oder Daten speichern oder verarbeiten, eine sinnvolle Ergänzung zu Sicherheitsmaßnahmen in der IT und Mitarbeiterschulungen. Unternehmen sichern mögliche Restrisiken ab. Das ist vor allem bei digital vernetzten Industrie-Anlagen wichtig. Dort besteht ein großes Risiko, dass Cyber-Kriminelle Daten stehlen oder manipulieren. Dadurch können sie in Produktionsabläufe eindringen, diese sabotieren oder sogar lahmlegen.

WORAUF SOLLTEN UNTERNEHMEN BEI DER WAHL DER VERSICHERUNG ACHTEN?

Schäden, die durch Schadprogramme wie Viren und Trojaner, Hackerangriffe oder Datenmissbrauch entstehen, sind versichert. Das bedeutet die Kostenübernahme und Unterstützung durch Krisenmanagement, IT-Forensik in der Cyber-Krise, die Wiederherstellung des Systems und der Daten, sowie Betriebsunterbrechungsschäden. Die Haftpflicht deckt zudem Ansprüche Dritter ab, die durch den Schaden betroffen sind.

WORAUF SOLLTEN UNTERNEHMEN BEI DER WAHL DER VERSICHERUNG ACHTEN?

Cyberrisiken sind komplex. Unternehmen sollten deshalb auf Erfahrung setzen und für ihren Cyberschutz einen Industrieversicherer wählen, der über langjährige Expertise verfügt. Bei international aktiven Unternehmen ist es außerdem wichtig, einen Versicherer zu wählen, der über ein internationales Netzwerk verfügt.

Im Fokus sollten drei Bereiche stehen: Wie ist der Prozess der Schadenbearbeitung aufgebaut, welche Krisenberatung steht dahinter? Dann die Frage, ob es Zusatzleistungen gibt. Hiscox bietet etwa ein CyberTraining für Mitarbeiter zur Prävention von Schadenfällen und einen Cyber-Krisenplan an. Zudem muss man sich sehr genau das Bedingungswerk ansehen und prüfen, welche Ausschlüsse und Obliegenheiten es gibt. Eine Cyberversicherung ist kein „Schrankdokument“, sondern aktiver Teil des Risikomanagements.

Versichert sind beispielsweise Haftpflichtschäden Dritter, wenn etwa deren vertraulichen Daten betroffen sind, Eigenschäden, die durch eine Betriebsunterbrechung, die Wiederherstellung des Systems und seine Sicherung entstehen, sowie Kosten, die durch verpflichtende behördliche Verfahren verursacht werden. Besonders wichtig sind der Allianz Serviceleistungen wie eine 24-Stunden-Hotline mit Zugriff auf IT- oder Rechtsexperten.

WANN UND FÜR WEN IST SIE SINNVOLL?

Für jeden. Unsere jährliche Kundenbefragung zeigt, dass Unternehmen einen Cyberangriff zu den größten Risiken zählen. In unserer zunehmend vernetzten Welt kann die Existenz einer kleinen Fachfirma, die durch Phishing um ihre Geschäftsgeheimnisse gebracht wird, ebenso bedroht sein, wie die eines großen Konzerns bei einem gezielten Angriff. Gerade die kleinen Unternehmen ohne eigene IT-Experten profitieren von unserem Beratungsservice.

WORAUF SOLLTEN UNTERNEHMEN BEI DER WAHL DER VERSICHERUNG ACHTEN? Die Entwicklung in diesem Bereich ist unglaublich dynamisch und wenig transparent. Es ist wichtig, für den Risikotransfer einen Partner zu haben, der über ein Netzwerk von Experten verfügt, bedarfsgerechte Lösungskonzepte erstellt und umfassend berät. So bieten wir auch Risikoassessments an, um mit Unternehmen zu erarbeiten, wo ihre Herausforderungen liegen, und sie entsprechend zu sensibilisieren. ANZEIGE

Die Experten für Die Experten für versiegelte Cloud Technologien

versiegelte Cloud Technologien

Unsere Lösungen heben Cloud Computing auf ein neues Sicherheitsniveau:

Niemand außer dem Nutzer selbst kann auf seine Daten zugreifen und NIEMAND weiß, mit wem die Nutzer Informationen austauschen.

Ein Daten-Zugriff im Cloud-Rechenzentrum ist während der Datenspeicherung UND –verarbeitung technisch ausgeschlossen!

Durchbruch für sensible Anwendungen im juristischen, medizinischen und öffentlichen Bereich Nutzen Sie die Vorteile der Sealed Cloud beim Dateitransfer mit iDGARD.de

Eine unabhängige Themenzeitung von European Media Partner

EINBLICK – ANALYSEBUSINESS.DE

WENN DIE GEFAHR AUS DER WOLKE KOMMT Foto: 2015 Th.Rafalzyk

Eine Cloud ist praktisch für Unternehmen, denn alle Mitarbeiter können darauf zugreifen. Aber Vorsicht: In der Daten-Wolke lauern Sicherheitslücken.

Die Daten für ein Projekt immer

dabei haben, neues Material für alle sichtbar von überall selbst bereitstellen können – so sieht sie aus, die schöne neue digitale Welt. Daten-Clouds, die per Internet abrufbar sind, können auch bei kleinen und mittelständischen Unternehmen (KMU) für echte Arbeitserleichterungen sorgen. Aber die schöne neue Welt birgt auch Gefahren. Denn die Daten-Wolke kann ein Einfallstor für Cyber-Kriminelle werden, wenn die notwendigen Sicherheitsstandards nicht beachtet sind. Gerade die Furcht vor möglichen Sicherheitslücken ist ein Grund, warum kleine und mittelständische Unternehmer in Deutschland noch recht zurückhaltend sind. „Wir haben festgestellt, dass sich der Mittelstand zunehmend mit dem Thema Cloud befasst. Doch nur jedes vierte Unternehmen setzt in der Praxis auch auf die Cloud“, sagt Thomas Kremer, Vorstandsvorsitzender von „Deutschland sicher im Netz“ (DsiN). Die Organisation ist eine gemeinnützige und produktunabhängige Plattform zur Aufklä-

Unternehmen wie auch den Mitarbeitern des Cloud-Anbieters gelebt werden“, fordert Kremer. Geradezu sträflich wirkt da, dass immer noch nur ein Bruchteil ihre Kommunikation oder Daten systematisch verschlüsselt. Kein Unternehmen sollte dem Glauben anhängen, es sei zu klein und damit zu uninteressant für Cyber-Kriminelle. Eine neue Herausforderung an

„Sichere Cloud-Lösungen müssen von den Mitarbeitern in Unternehmen wie auch den Mitarbeitern des Cloud-Anbieters gelebt werden“,Thomas Kremer, Vorstandsvorsitzender von „Deutschland sicher im Netz“ (DsiN).

rung des Mittelstandes über die Gefahren, die sich aus der Digitalisierung ergeben. Das Ziel ist es nicht, KMU davon abzuhalten, die Vorteile zu nutzen – sondern sich so zu verhalten, dass es beim Nutzen bleibt und keinen Schaden gibt. Kremer rät jedem mittelständi-

schen Unternehmen, sich mit den Grundfragen der Cloud auseinanderzusetzen, bevor es sich eine einrichtet. Er rät vor allem, beim Thema Sicherheit, Zuverlässigkeit und Datenschutz auf Zertifizierungen zu achten. „Vertrauenswürdige Anbieter arbeiten nach anerkannten Standards wie ISO-, TÜV-, VdSoder Eurocloud-Standard“. Eine

gute Informationsquelle bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wichtig sei zudem eine ganzheitliche Sicherheitsstrategie, damit die Cloud nicht zur Gefahrenquelle wird. Eine aktuelle Studie von DsiN-Mitglied Bitkom zeige aber, dass zwei von drei Unternehmen über keinerlei Strategie verfügen. Kremer: „Aber auch die sichersten Cloud-Anbieter helfen nicht, wenn im Unternehmen Innentäter aktiv werden können und beispielsweise Passwörter frei zugänglich sind.“ Ebenso ist es unerlässlich, dass die Mitarbeiter die Passwörter auf ihren Mobilgeräten sichern. „Sichere Cloud-Lösungen müssen von den Mitarbeitern in

die Sicherheit stellt das Internet der Dinge dar. Auch vernetzte Geräte erleichtern die Arbeit der Unternehmen im Alltag sehr. Aber sie sind in den allermeisten Fällen vom Hersteller überhaupt nicht auf Sicherheit geprüft. So können Geräte wie Kameras oder Mikrofone leicht von Unbefugten gekapert werden. Insgesamt gilt: Die schöne neue Welt der Digitalisierung bringt viele Vorteile. Aber damit sie nicht zum Albtraum wird, bedarf es intensiver Sicherheitsvorkehrungen. Text: Armin Fuhrer

FAKTEN Ein relativ neuer Trend bei der Cybersicherheit ist Erpressungssoftware. Damit werden Daten nicht entwendet, sondern von den Tätern verschlüsselt und erst nach der Zahlung eines Lösegeldes wieder freigegeben. Experten wie Thomas Kremer vom DsiN raten, solchen Forderungen nicht nachzugeben.

USSTEN SIE SCHON, DASS INNERHALB DER EUROPÄISCHEN UNION AM 25. MAI 2018 EINE NEUE DATENSCHUTZRICHTLINIE IN KRAFT TRITT? Foto: blende11.photo - stock.adobe.com

Ziel ist es, den Datenschutz EU-weit zu vereinheitlichen, mehr Rechte für Einzelpersonen beziehungsweise Verbraucher zu schaffen und Unternehmen zu mehr Transparenz und Kundenschutz zu zwingen. Die EU-Datenschutz-Grundvorordnung (EU-DSGVO), wie sie offiziell heißt, versammelt Vorschriften zum Schutz natürlicher Personen und der Nutzung personenbezogener Daten. Daher hat sie Auswirkungen auf alle Unternehmen, die innerhalb der EU Waren und Dienstleistungen anbieten und die Daten ihrer Kunden oder Ansprechpartner speichern. Unternehmen sollten überprüfen, welche Konsequenzen sich für sie aus der Regelung ergeben. Denn ein Verstoß kann extrem teuer werden – bis zu vier Prozent des global erwirtschafteten Umsatzes, höchstens 20 Millionen Euro, kann das Bußgeld betragen. Betroffen von der neuen EU-Regelung sind alle Unternehmen, die auf dem EU-Markt tätig sind. Es ist dabei unerheblich, ob ihr Firmensitz sich innerhalb oder außerhalb der EU befindet. DIE DATENSCHUTZRICHTLINIE FINDET SICH IM WORTLAUT UNTER: ANALYSEBUSINESS.DE

ADVERTORIAL

Elektronisches Signieren leichtgemacht Radikal einfach und bequem: Mit der WebApp „Signature“ können auch IT-Laien problemlos Dokumente elektronisch signieren – ohne lästiges Ausdrucken. Verschicken und Empfangen von Dokumenten im pdf-Format per Email gehört heute längst zum Alltag von Unternehmen, Behörden und Privatpersonen. Nur wenn es an das Signieren digitaler Dokumente geht, wird es für viele noch immer kompliziert. Doch das muss gar nicht sein, denn Rempartec bietet mit „Signature“ seit kurzem eine völlig neue und sehr einfache Möglichkeit, Dokumente qualiﬁziert elektronisch zu signieren. Bislang läuft das Verfahren in vielen Büros noch so ab: Man druckt ein Dokument aus, unterschreibt es per Hand, scannt es dann ein, speichert es wieder

ab und verschickt es anschließend an den Empfänger. Das kostet Zeit, und Zeit ist oftmals Geld. Viele Nutzer scheuen aber die Möglichkeit, ohne diesen lästigen Umweg ein Dokument zu signieren – vor allem, weil sie glauben, sie bräuchten dazu ITKenntnisse und müssten vorher umständlich Programme installieren. „Signature“ von Rempartec verzichtet auf solche Hürden. Es ist die wahrscheinlich bequemste und einfachste Lösung für die qualifizierte elektrische Signatur, die den rechtlichen Vorgaben in Deutschland, in der Europäischen Union und darüber hinaus im Europäischen Wirtschaftsraum entspricht und zudem sehr sicher ist. Ein weiterer Vorteil: Anders als beim Ausdrucken und anschließendem Scannen verliert das Dokument nicht an Qualität. Um „Signature“ zu nutzen, muss man sich nicht erst in die Geheimnisse von qualifizierten elektronischen Signaturen einarbeiten, bevor man loslegen kann. Die Benutzeroberfläche ist so einfach gestaltet, dass sie für jeden Nutzer leicht zu bedienen ist.

Man öffnet den Browser, zieht das PDF-Dokument ins Fenster und klickt einmal, um das Dokument zu signieren. Danach lädt man es per Klick herunter und kann es wieder in den eigenen Workflow eingliedern. Fertig! Verfügbar als Dienstleistung, als virtuelle Maschine oder als leiser, stromsparender Server, funktioniert „Signature“ nicht nur auf dem PC und Laptop, sondern auch auf dem Tablett und dem Smartphone – der Nutzer kann also auch unterwegs ganz bequem ein Dokument signieren und verschicken. „Signature“ spart Zeit und Geld und schont die Umwelt und die Nerven, denn Abläufe werden beschleunigt und auf überflüssiges Ausdrucken zahlreicher Dokumente kann zukünftig verzichtet werden.

Kontakt: Kalman Cinkler +49 170 76 330 56 kc@rempartec.com

Eine unabhängige Themenzeitung von European Media Partner

ANALYSEBUSINESS.DE ANALYSEBUSINESS.DE – FOKUS

FÜR DIE SICHERHEIT KANN MAN VIEL TUN Foto: Andrey Popov - Fotolia

Wirtschaftskriminalität, Spionage, Terrorismus, Cybercrime: Die Bedrohung für die Wirtschaft ist so konkret und vielfältig wie nie. Mit dem technologischen Fortschritt und den Veränderungen im internationalen Gefüge sind neue Risiken hinzugekommen.

Zu den Megatrends, die die Sicherheit der deutschen Wirtschaft beeinflussen, zählt Professor Timo Kob vom ASW-Bundesverband in erster Linie all das, was man heute unter Industrie 4.0 versteht. „Da werden teilweise Infrastrukturen an das Internet angebunden, die originär nicht hierfür vorgesehen waren und deren nachträglicher Schutz daher sehr anspruchsvoll zu realisieren ist“, weiß Kob. Die anderen Megatrends haben scheinbar nichts mit Cybersecurity zu tun, wirken sich aber dennoch darauf aus. „Zum einen haben wir

„Um sich vor Wirtschaftsspionage zu schützen, müssen Unternehmen den Täter im Voraus identifizieren.“ das Phänomen der zerfallenden Staaten und zum anderen das Wiederaufflammen politischer Konflikte“, so der Sicherheitsexperte. Dass unsere kritischen Infrastrukturen noch nicht ernsthaft getroffen wurden, liegt für ihn vor allem an der Tatsache, dass die Tätermotivation bisher nicht groß genug war. Seriöse Studien kommen zu

dem Schluss, dass mehr als die Hälfte der Unternehmen sich als Opfer von Cyberangriffen und Spionage bezeichnen. Buchstäblich kann es also jeden

der Angreifer, man dürfe nur nicht zu den leichtesten Opfern gehören.

Um sich vor Wirtschaftsspionage zu schützen, gelte es, den Täter im Voraus zu identifizieren. Dabei solle man nicht immer gleich an Geheimdienste, sondern auch an den Konkurrenten um die Ecke denken. Darüber hinaus sei es wichtig, sich klarzumachen, was denn die wirklich schützenswerten Güter sind. Kob: „Die sogenannten Kronjuwelen wie Forschungsergebnisse, Ausschreibungsunterlagen oder Informationen über Produktneuheiten machen vielleicht ein bis fünf Prozent der im Unternehmen vorhandenen Informationen aus. Der Rest ist entweder kein exklusives Wissen oder auch auf anderen Wegen aus offenen Quellen zu ermitteln.“ Wenn man die wirklich sensiblen Informationen identifiziert habe, sei der Schutzaufwand meist tragbar. Zudem komme man nicht umhin, alle Angriffswege zu bedenken. Denn was nützt die beste Mail-Verschlüsselung, wenn die Daten im Papierkorb für die Putzfrau zugänglich sind? Wirtschaft und Staat haben

Timo Kob ist Stellvertretender Vorstandsvorsitzender des ASW-Bundesverbandes, Vorstand der HiSolutions AG und Professor für Cybersecurity und Wirtschaftsschutz an der FH Campus Wien. Der ASW Bundesverband befasst sich mit sämtlichen Bedrohungen für Unternehmen – von Wirtschaftskriminalität und Spionage über Terrorismus und Extremismus bis hin zu Cybercrime.

„Das ‚Hidden‘ in ‚Hidden Champions‘ gilt nicht gegenüber CyberAngreifern.“ treffen, unabhängig von der Unternehmensgröße. „Wir sind in Deutschland so stolz auf unseren Mittelstand und die ‚Hid-

den Champions‘. Dummerweise glauben viele Mittelständler, dass dieses ‚Hidden‘ auch gegenüber Angreifern gilt. Leider haben die Täter diese Unternehmen aber sehr wohl auf dem Radar“, warnt Kob. Nach seiner Erfahrung lassen sich über 90 Prozent aller Angriffe dadurch vermeiden, dass Updates und Patches zeitnah und konsequent eingespielt werden. Zudem sei es wichtig, sich gezielt auf den richtigen Umgang mit Attacken vorzubereiten: Am Ende müsse man nicht besser sein als

„Was nützt die beste MailVerschlüsselung, wenn die Daten im Papierkorb für die Putzfrau zugänglich sind?“

gemeinsam erkannt, dass Nachholbedarf besteht und agieren deutlich umfangreicher. So wurde gemeinsam von den zuständigen Behörden BfV, BSI, BKA und BND unter Leitung des Bundesinnenministeriums sowie den Wirtschaftsverbänden BDI, DIHK, BDSW und dem ASW-Bundesverband die Initiative Wirtschaftsschutz (www.wirtschaftsschutz.info) aus der Taufe gehoben. Bei Cybersecurity in seiner Ge-

samtheit sind das BSI oder die vom BSI mitinitiierte Allianz für Cybersicherheit sehr aktiv. Zudem leistet der ASW durch eigene Kompetenzcenter und Veröffentlichungen Unterstützung. Und schließlich gibt es noch Beratungsunternehmen, die ganz individuell Hilfe leisten. Text: Chan Sidki-Lundius

Eine unabhängige Themenzeitung von European Media Partner

TITELSTORY – ANALYSEBUSINESS.DE

Foto: Frank von Wieding

SCHUTZ IM CYBERSPACE

ADVERTORIAL

Mehr Sicherheit mit cloudplan durch Punkt-zu-Punkt Technologie Private Clouds haben viele Vorteile. Vor allem schützen sie die Daten besser als Public Clouds, erklärt Frank Brügmann, CEO von cloudplan.

Was ist der Unterschied zwischen einer Public Cloud und einer Private Cloud? Bei einer Public Cloud behält der Anbieter des Service die Datenhoheit, während bei einer Private Cloud der Kunde die Datenhoheit innehat. Public Clouds speichern Ihre Daten oft unverschlüsselt und damit leicht angreifbar ab. Außerdem haben Geheimdienste oft Zugriﬀ. Und bei einer Private Cloud? Daten sollten bei einer Übertragung immer verschlüsselt sein und möglichst direkt zum Ziel übertragen werden, ohne dabei die Daten auf permanenten oder temporären Speichern zu lagern für die man keine Datenhoheit besitzt. Die Lösung ist eine verschlüsselte Punkt-zu-Punkt Verbindung (Peer-to-Peer) zwischen den Geräten, wie cloudplan sie anbietet. Das macht sie zu 100 Prozent sicher. Es werden keine Daten auf fremden Internetservern gespeichert. Welches sind die anderen Vorteile von cloudplan? cloudplan bietet eine Private Cloud Applikation der nächsten Generation, die PCs und Server in einem Unternehmen kostengünstig zu einem hoch verfügbaren Datenspeichernetz

verbindet. Unternehmen können ohne spezielles IT Know-how private Netzwerkspeicher aufbauen, Backups organisieren und Cloudspeicher einbinden. Alle Netzteilnehmer ﬁnden sich selbständig ohne weitere Konﬁguration und verbinden sich über sichere Punkt-zu-Punkt-Verbindungen direkt. Darüber hinaus kann der Kunde Speichereinheiten in der Cloud und lokale Speicher zusammen verwenden (hybride Cloud).

Bietet Ihre Lösung zusätzlich zur Sicherheit weitere Vorteile? Peer-to-Peer ist nicht nur sicherer, sondern auch bis zu 10 000-mal schneller als Public Clouds. Die Geräte/Nodes arbeiten mit eingebauter Intelligenz autark und suchen sich jeweils den schnellsten Übertragungsweg zum Zielgerät, zum Beispiel innerhalb eines lokalen Netzwerkes. Durch die verteilte Struktur steigt außerdem die Verfügbarkeit deutlich. Der Ausfall einer Komponente stoppt im Gegensatz zu Standardlösungen nicht das gesamte System, die Teilnehmergeräte suchen sich selbständig eine andere Datenquelle in der Privaten Cloud. Durch Hinzunahme von verschlüsseltem Cloudspeicher (hybride Cloud) sind Daten selbst bei Wegfall der Internet-Verbindung für externe Nutzer und Partner weiter nutzbar.

Weitere Infos zur Private Cloud und zum Peer-to-Peer-Datentransfer gibt es auf der Internetseite www.cloudplan.net

Frank Brügmann CEO von cloudplan

Eine unabhängige Themenzeitung von European Media Partner

ANALYSEBUSINESS.DE

„Wir schützen die Rechenzentren mit Technologien wie biometrischer Identifikation und Metalldetektion.“ Der Name Google steht wie kaum ein anderer für Digitalisierung und weltweite Vernetzung. Wie schützt sich der Branchenriese vor Angriffen aus dem Worldwide Web? Michael Korbacher, Director Google Cloud für den deutschsprachigen Raum, gibt Antworten. „Im Mittelpunkt des Sicherheitsmodells von Google steht unser sogenanntes Information Security Team, das sich aus weltweit führenden Fachleuten aus den Bereichen Data Information, Anwendungen und Netzwerksicherheit zusammensetzt“, erläutert Korbacher den Kern des Systems. „Dieses Team kümmert sich um die Pflege der Abwehrsysteme des Unternehmens, die Entwicklung von Sicherheitskontrollprozessen, den Aufund Ausbau unserer Sicherheitsinfrastruktur sowie die Umsetzung der Sicherheitsrichtlinien von Google.“ Auf das Konto der Experten gehen die Entdeckung der Heartbleed Sicherheitslücke ebenso wie die Einführung des Google Vulnerability Reward Program (VRP) und der Richtlinie „SSL als Standard“ bei GoogleProdukten. Cyberangriffe haben in den vergangenen Jahren

als Risiko für kleine wie große Unternehmen massiv an Bedeutung gewonnen. Jedes Unternehmen, das Informationstechnologien nutzt, ist der Gefahr eines Angriffs ausgesetzt und muss sich schützen. „Sicherheitsfragen eines Unternehmens sind heutzutage Managementaufgabe“, weiß Korbacher. „Diese Aufgabe beinhaltet auch die Auswahl der richtigen Tools für kollaboratives Arbeiten und Kommunikation.“ Basis müsse ein umfassendes Sicherheitskonzept sein, das auf die spezifischen Anforderungen des Unternehmens abgestimmt werde. „Oft besteht es nicht aus einer rein technischen Lösung, sondern umfasst auch die effiziente Schulung von Mitarbeitern.“

Der Mensch – das spiegelt auch die Strategie des Internetdienstleisters – ist der Schlüssel zur Cybersecurity: GoogleMitarbeiter werden laufend in Sicherheitsthemen geschult, verpflichten sich einem Kodex, der Kundendaten schützt und erhalten je nach Aufgabe zusätzliche Schulungen zu spezifischen Sicherheitsaspekten. „So arbeitet das Information Security Team beispielsweise neu eingestellte Ingenieure in Themen wie sichere Codierungsverfahren und Produktdesigns sowie automatische Tools für Schwachstellentests ein“, sagt Korbacher, der seit Anfang 2017 als Director Google Cloud DACH den Gesamtumsatz, die Entwicklung der Geschäftsstrategie und das Wachstum des Unternehmens in der Region verantwortet. Um sensible Daten technisch vor Zugriffen zu schützen, kann die externe Speicherung bei einem Anbieter eine empfehlenswerte Lösung sein, die sich gerade für kleine und mittlere Unternehmen anbietet: „In der Regel sind Cloud Provider besser gerüstet, hohe Sicherheitsstandards zu erfüllen, als es das einzelne Unternehmen für sich selbst tun kann.“ Bei der Auswahl einer Cloud empfehle es sich jedoch, einen sorgfältigen Blick auf die Sicherheitsstandards des Anbieters zu werfen und etwa zu prüfen, ob Zertifizierungen für dessen Qualität sprächen. „Google investierte in den vergangenen drei Jahren nahezu 30 Milliarden US-Dollar in seine Infrastruktur.“ Ein Teil davon floss dezidiert in den Schutz vor Cyberattacken. „Hier können Sie als Unternehmen, das nur einen Bruchteil für IT & Security ausgeben kann, von der Skalierung und den Sicherheitsstandards von Google profitieren.“ Google Cloud basiert auf einem durchgängi-

gen Sicherheitsmodell, vom Chip bis hin zum Rechenzentrum. „Unsere integrierte Herangehensweise ist über die verschiede-

nen Ebenen genau aufeinander abgestimmt: HardwareInfrastruktur, Service Deployment, Nutzeridentität, Speicherung, Internetkommunikation und Betriebssicherheit. Unsere Rechenzentren bieten physischen Schutz auf mehreren Ebenen. Sie sind nur ausgewählten GoogleMitarbeitern zugänglich und wir schützen die Räumlichkeiten mit Technologien wie biometrischer Identifikation, Metalldetektion, Kameras, Fahrzeugbarrieren sowie Einbruchserfassungssystemen.“ Zu Googles Sicherheitsarchitektur gehört auch eine individuell entwickelte Hardware, die von der physischen Sicherheit der Rechenzentren über das sichere Booten von Hardware und Software bis hin zur Betriebssicherheit alles abdeckt. „Google setzt beispielsweise auch den selbstentwickelten Sicherheitschip Titan ein, mit dem wir den rechtmäßigen Zugang auf Hardwareebene sicher identifizieren und authentifizieren können.“ Vom hohen Entwicklungsgrad der intern ange-

wandten Technologien profitieren auch die Kunden: „Die Lösungen, die wir bei Google nutzen, um durch optimale Zusammenarbeit die kontinuierliche Entwicklung von Innovationen zu fördern, können beispielsweise in Form unserer G Suite von Unternehmen jeglicher Größe und Branche genutzt werden.“

Text: Ulrike Christoforidis

FAKTEN Michael Korbacher • Der Diplom-Informatiker ist Director Google Cloud für Deutschland, Österreich und die Schweiz. • Er verantwortet den Gesamtumsatz, die Entwicklung der Geschäftsstrategie und das Wachstum des Unternehmens in der Region.

WEITERE INTERESSANTE INTERVIEWS ZUM THEMA AUF: ANALYSEBUSINESS.DE

CLOUDCOMPUTING UND DIE NEUE VERORDNUNG DS-GVO Der sperrige Name täuscht. Dahinter verbirgt sich ein Gesetz mit scharfen Zähnen. Die neue Datenschutzgrundverordnung (DS-GVO) wird ab dem 25. Mai 2018 gültig. Endlich erreicht eine Verordnung, dass Datenschutz vereinheitlicht und den Entwicklungen der modernen Informationstechnologie angepasst wird, findet Dr. Hubert Jäger, stellv. Vorsitzender für das Cloud-Computing bei der bitkom. „Bisher war das Datenschutzgesetz wie ein zahnloser Tiger. Mit der Änderung zur DS-GVO sind dem Tiger Zähne gewachsen, konkret – es gibt drastisch höhere Bußgelder und es können neben den Aufsichtsbehörden auch andere Organisationen wie zum Beispiel Verbraucherschützer abmahnen.“ Der europäische Gesetzgeber hat besonders im Bereich des Cloud-Computing den Datenschutz aufgewertet. In Clouds liegen oft sensible Daten, dort laufen Anwendungen, die das ganze öffentliche Leben betreffen, dort wickeln Krankenhäuser und Energieversorger ihre großen Datenströme ab. „Die DS-GVO fordert explizit eine Risikoanalyse, bei der untersucht wird, wie sensibel die verarbeiteten Daten sind. Beim Cloud-Computing gibt es mehr Angriffspunkte als bei anderen Systemen. Entsprechend müssen Maßnahmen ergriffen werden, die einen hohen Schutz der Daten gewährleisten“, erläutert Jäger. Auch wenn die DS-GVO das Schutzniveau in den EU-Ländern nicht vollständig wird harmonisieren können, so könnte sich auf diese Weise der Datenschutz in Europa dennoch zu einem Standortvorteil im globalen Wettbewerb entwickeln. ADVERTORIAL

Cybersicherheit betrifft das gesamte Unternehmen Gegen viele Angriffe von außen ist die IT der falsche Ansprechpartner – denn die Angriffe richten sich oft zielgenau gegen ahnungslose Mitarbeiter Der digitale Wandel bietet Unternehmen zwar jede Menge Vorteile, erhöht aber auch das Risiko, Opfer eines Angriffs zu werden. Beispiele aus der jüngsten Vergangenheit zeichnen ein erschreckendes Bild: erfolgreiche Angriffe auf Krankenhäuser in Großbritannien, auf die Informationsarchitektur der Deutschen Bahn im gesamten Bundesgebiet, auf Stromnetze, weltweite email accounts wie Yahoo mit Millionen Betroffenen und letztendlich sogar auf Autos, die auf der Autobahn wie von Geisterhand zum Halten gebracht werden. Je vernetzter wir leben und arbeiten, desto mehr Angriffspunkte können Hacker finden. Die Mitarbeiter der Loomans & Matz AG beschäftigen sich seit über 15 Jahren mit Cybersicherheit in Unternehmen. Denn Cybersicherheit endet nicht in der IT-Abteilung, sie beginnt dort und taucht danach tief in bestehende unternehmerische Prozesse ein, was umfassende Strategie- und Managementberatung erfordert. Viele Unternehmen der TOP Dax 100 haben diese Gefahr erkannt und gehören zu den Kunden von Prof. Dr. Dirk Loomans und Manuela Matz, anderen wird die Problematik gerade erst bewusst. „Unser Unternehmen hat sich darauf spezialisiert, diese Problematik ganzheitlich zu betrachten, denn die IT hat mit vielen

Angriffspunkten wenig zu tun“, sagt Prof. Dr. Dirk Loomans. „Deshalb sind wir dazu in der Lage, Unternehmen zu helfen und ein entsprechendes Sicherheitssystem aufzubauen, das nicht nur Vorfälle verhindert, sondern auch eine schlagkräftige Reaktion auf Vorfälle ermöglicht.“ Denn Geschäftsführung wie auch Mitarbeiter müssen verstehen, wo eigentlich die vielen, neuen Brücken zwischen IT und Produktionswelt entstehen. Im Falle eines unerwünschten Angriffs wird es immer wichtiger, diesen schnell zu erkennen und vor allem zu beheben. Damit diese cyber resilience, diese Stabilitäts- und Regenerierungskraft hoch ist, muss sich die Unternehmensführung über die Komplexität seines eigenen Netzes im Klaren sein – und eine offene Nachfrage- und Fehlerkultur pflegen. Versuchen Mitarbeiter aus Angst, einen eingefangenen Virus beispielsweise einer phishing mail, zu vertuschen, kann der Schaden um ein Vielfaches steigen. Unternehmen müssen die ab Mai 2018 geltenden EU-Datenschutzgrundverordnung berücksichtigen, sie benötigen eine passgenaue Sicherheitsarchitektur, um vor Cyberangriffen geschützt zu sein. Die Gefahren des mobilen Arbeitens und des Iot werden größtenteils erkannt und abgewehrt, doch auch die eigenen Mitarbeiter werden schnell zu Handlangern krimineller Angreifer, ohne es zu merken – indem sie auf fake mails vermeintlicher Kunden oder Kollegen hereinfallen und damit weite Teile des Unternehmens lahm legen.

Eine unabhängige Themenzeitung von European Media Partner

AKTUELLES – ANALYSEBUSINESS.DE

IT-SICHERHEITSFACHMESSE WÄCHST WEITER Die letzte it-sa hat ihre führende Rolle als Informationsplattform für IT-Sicherheitsexperten eindrucksvoll unterstrichen. Erstmals weit über 10.000 Besucher und 489 Aussteller aus Europa, den Vereinigten Staaten von Amerika und aus Asien belegten zuletzt die gewachsene Bedeutung der internationalen Fachmesse. „Das Ergebnis der it-sa 2016 zeigt, dass sich die it-sa als größte Messe für IT-Security in Europa etabliert hat und eine feste Größe für die international ausgerichtete IT-Sicherheitswirtschaft ist“, resümierte Frank Venjakob, Executive Director it-sa NürnbergMesse, nach drei Messetagen. Jetzt dauert es nicht mehr lange bis zur nächsten Ausgabe der mit Hochspannung erwarteten Fachmesse. Diese soll den Startpunkt für den weiteren Ausbau der Veranstaltung bilden: „Dieser Schritt ist konsequent, um die ungebrochene Nachfrage zu bedienen und die it-sa gemeinsam mit dem Fachbeirat und den Branchenvertretern weiterzuentwickeln“, erklärt Frank Venjakob. Um der hohen Nachfrage in- und

ausländischer IT-Sicherheitsanbieter nachzukommen, empfängt die it-sa 2017 die Messebesucher erstmals in zwei Messehallen auf dem Gelände des Messezentrums Nürnberg, und zwar in den Hallen 9 und 10. Dass diese Entscheidung der Veranstaltungsleitung richtig war, zeigt sich schon jetzt. Vier Monate vor der it-sa 2017 überstieg die gebuchte Ausstellungsfläche den Endstand der Vorveranstaltung in 2016 bereits um ein Drittel. Unverändert bleibt das erfolg-

reiche Konzept der Messe: Bis hin zum physischen Schutz für Rechenzentren deckt die it-sa

Foto: NürnbergMesse

Die nächste Ausgabe der it-sa findet vom 10. bis 12. Oktober 2017 statt.

CYBER-ANGRIFFE AUF SAP

Thomas Werth, Sicherheitsexperte für SAP-Systeme in Deutschland

Über Cyber-Attacken auf Unternehmen wurde in letzter Zeit viel berichtet. Oft ging es um Erpressungen und das Ausspähen von Daten. Über kriminelle Angriffe auf SAP-Systeme hört man kaum etwas, dabei können die so gefährlich sein, dass die Firma nach so einer Attacke nicht mehr am Markt ist. „Über die SAP-Systeme laufen eigentlich alle Prozesse in einem Geschäft, hier sind alle Daten von Personal über Buchhaltung und die Produktionsdaten gespeichert. Wenn da etwas länger ausfällt, kann es passieren, dass sich das Unternehmen nicht mehr davon erholt“, warnt der Sicherheitsexperte für SAP-Systeme in Deutschland, Thomas Werth. Vor zwei Jahren wurden die Datensätze von 25.000 US-Regierungsangestellten durch einen Angriff auf ein SAP-System gestohlen. Möglicherweise wurden diese Daten als Grundlage für Angriffe gegen die USA genutzt.

Frank Venjakob, Executive Director it-sa NürnbergMesse

das gesamte Spektrum aktueller IT-Security-Lösungen aus den Bereichen Hard- und Software, Forschung und Beratungsdienstleistungen sowie Services ab. Ausstellerbeiträge in den offenen Foren ergänzen das breite Informationsangebot um praxisnahe und praxisorientierte Wissensvermittlung und Branchen-Knowhow. Dazu kommen spannende Diskussionen zu aktuellen IT-Sicherheitsfragen. Übrigens: Mit dem Umzug in zwei

Hallen wird es vier statt bisher drei offene Foren geben. Thematisch deckt in beiden Hallen je ein Forum den Bereich „Management“ (Entscheider-orientiert) und „Technik“ (Anwender-orientiert) ab. Dadurch wird das Vortragsangebot noch einmal wachsen. Ein großes Thema auf der kom-

menden it-sa wird sein, wie sich Unternehmen und Organisationen vor den immer vielfältiger werdenden Sicherheitsbedrohungen, beispielsweise durch Erpressungssoftware, schützen können. Ein weiterer wichtiger Aspekt der aktuellen IT-Sicherheitsdiskussion, der sich auch auf der it-sa 2017 widerspiegeln dürfte, ist die EU-Daten-

schutz-Grundverordnung, mit der ab 2018 neue Regeln für den Schutz von personenbezogenen Daten im Unternehmen und höhere Strafen bei Verstößen gelten. Erweitert wird das Informations-

angebot durch internationale Gemeinschaftsstände: Ein Gemeinschaftsstand tschechischer Unternehmen zur it-sa 2017 ist bereits bestätigt worden, weitere sollen folgen.

Immer mehr Firmen und große Unternehmen wenden sich deswegen an den SAP-Spezialisten Thomas Werth. „Wir prüfen dann alles, von der Konfiguration über die ABAP-Programme und Berechtigungen bis hin zur Netzwerksicherheit, Patchlevel und checken das Betriebssystem. Wir blicken viel tiefer in das gesamte System als die üblichen manuellen Überprüfungen es leisten können.“ „Wichtig ist, dass die Manager, Geschäftsführer und Leiter von Behörden einsehen, wie wichtig das Thema ist und das dementsprechend auch als Priorität im eigenen Unternehmen behandeln“, fordert Thomas Werth.

ECHTES PLUS IM BÜRO-ALLTAG

Noch nicht bestätigt ist, wer die

Special Keynote halten wird. 2016 hat dies der Jurist und Datenschutzaktivist Maximilian Schrems übernommen. Er sprach am dritten Messetag über die Vorgaben der EU-Datenschutz-Grundverordnung für mehr Datenschutz durch IT-Sicherheitsmaßnahmen. 2015 schaltete sich der US-amerikanische Whistleblower und ehemalige CIA-Mitarbeiter Edward Snowden per Video zu. Text: Chan Sidki-Lundius

WEITERE ARTIKEL ZUM THEMA AUF: ANALYSEBUSINESS.DE

Dr. Kalman Cinkler, Geschäftsführer bei REMPARTEC GmbH

Was genau versteht man unter einer elektronischen Signatur? Eine elektronische Signatur ist eine kleinere Menge an Daten, die man an ein elektronisches Dokument anhängt, mit dem Ziel, eventuelle Änderungen anschließend erkennen zu können. Damit wird das Dokument fälschungssicher. Eine „qualifizierte elektronische Signatur“ weist zusätzlich nach, dass es sich wirklich um den Signierenden handelt.

Für wen eignen sich elektronische Signaturen besonders? Für jeden, der mit Dokumenten in elektronischer Form zu tun hat und diese auch unterzeichnet. Elektronische Signaturen beschleunigen Vorgänge, keine Information geht durch Scannen mehr verloren und es werden weder Drucker noch Papier benötigt.

Welche Regelungen gibt es für die Anerkennung der Signatur? Eine qualifizierte elektronische Signatur hat in Deutschland und in der EU den gleichen rechtlichen Stellenwert wie eine handschriftliche Unterschrift auf Papier. Seit Juni 2016 ist die EU-Verordnung „eIDAS“ in Kraft und regelt das Ökosystem um die elektronische Identifizierung und elektronische Transaktionen im EU-Binnenmarkt. Zudem ist eine elektronische Signatur „GoBD“-Konform. ANZEIGE

Eine unabhängige Themenzeitung von European Media Partner

ANALYSEBUSINESS.DE ANALYSEBUSINESS.DE – FOKUS 11

VERSICHERUNGEN FÜR START-UPS: UNVERZICHTBAR FÜR DEN ERFOLG? Foto: pressmaster - Fotolia

Bei einer Unternehmensgründung, gerade bei Startups, steht meistens die Idee oder eine technische Innovation im Vordergrund der Gründer. Zudem ist meist das Geld knapp oder wird in das Produkt gesteckt und weniger in die Unternehmenssicherung. Viele Gründer gehen davon aus, dass alles schon irgendwie gut gehen wird. Doch schnell können kleine Fehler durchaus große Folgen haben. Deshalb sind Versicherungen für Startups und Unternehmensgründungen nicht nur einfach „nice to have“, sondern ein unverzichtbarer Bestandteil der Unternehmensführung, auch wenn sie entsprechendes Geld kosten.

„In der virtuellen Welt tummeln sich viele Angreifer, die auch vor Startups nicht halt machen.“ Existenzbedrohend kann es werden,

wenn nicht nur Schäden beglichen werden müssen, sondern auch Schadenersatzansprüche drohen. Besonders für IT-Unternehmen und Gründern im Digitalbereich können hier schnell immense Schadensummen entstehen. In Zeiten von Echtzeit-Kommunikation ist schnell einmal ein Eintrag in sozialen Medien oder im unternehmenseigenen Blog getätigt, der nicht rechtskonform ist. Manchmal reicht schon ein übersehener Kommentar eines Dritten auf der eigenen Unternehmenswebsite, der gegen Persönlichkeitsrechte oder Urheberrechte verstößt. Auch gegen derartige Risiken kann man sich inzwischen absichern. Grundsätzlich gilt, dass die Absi-

cherung vom Unternehmenszweck abhängt. Schon beim Eintrag in das Handelsregister sollten sich Gründer deshalb Gedanken über die Absicherung machen. Unbestritten ist die Betriebshaft-

pflichtversicherung ein nicht wegzudenkender Teil eines sinn-

„Gründer sollten abgesehen vom Preis prüfen, welche Leistungsbestandteile einer Versicherung oder eines Versicherungspaketes auf die eigene Unternehmung passen.“ Auch Bedrohungen aus dem Netz

Versicherungen: ein wichtiges und beratungsintensives Thema.

vollen Versicherungspaketes. Die Haftpflichtdeckung bezieht sich übrigens nicht nur auf den Inhaber des Betriebes, auch alle Mitarbeiter sind mitversichert.

„Ohne Betriebshaftpflichtversicherung haftet der Startup Inhaber mit dem gesamten Kapital der Firma in voller Höhe.“ Sie deckt die Schadenansprüche Dritter ab, wenn durch betriebliche Maßnahmen Sachschäden entstehen oder Personen zu Schaden kommen. Wer glaubt, dass die private Haftpflicht schon einspringt, wenn ein Schaden entsteht, der irrt. Genau das ist nämlich nicht der Fall, denn diese

schließt gerade jeden beruflich verursachten Schaden aus. Und so kann schon das versehent-

lich umgeschüttete Wasserglas, das auf die Computertastatur oder die Planungsunterlagen des Kunden fällt, einen hohen Schaden auslösen, der über eine Betriebshaftpflichtversicherung abgedeckt ist. Darüber hinaus prüft die Versicherung auch unberechtigte Ansprüche gegenüber dem Versicherungsnehmer und wehrt diese ab. Ohne Betriebshaftpflichtversicherung haftet der Inhaber übrigens mit dem gesamten Kapital der Firma in voller Höhe. Das kann dann ganz schnell das Aus bedeuten, noch bevor das Unternehmen richtig Fahrt aufgenommen hat. Ähnlich wichtig ist die Berufshaft-

pflichtversicherung, die immer dann zum Tragen kommt, wenn Vermögensschäden abgedeckt werden müssen, die aus einem sogenannten Berufsversehen entstehen. Das können beispielsweise unbeabsichtigte Verletzungen von Geheimhaltungspflichten oder Folgeschäden bei Auftragsverzug sein, aber auch unbeabsichtigte Urheberrechtsverletzungen, Datenverluste oder auch Pro-

grammierfehler. Eine Berufshaftpflichtversicherung gleicht also immer dann Schäden aus, wenn fehlerhafte Dienstleistungen zu Vermögensschäden bei Dritten führen. Basiert das Geschäft einer Neu-

gründung auf viel elektronischem Equipment, sollten die Gründer zudem über eine Elektronikversicherung nachdenken. Ein Wasserschaden, ein Kurzschluss, ein kurzfristiger Stromausfall oder Netzschwankungen sind nicht so selten, wie man sich das gemeinhin vorstellt, und Elektronikequipment ist gegen solche Störungen höchst anfällig. Im Falle einer Beschädigung der IT-Ausstattung zahlt sich eine Elektronikversicherung schnell aus. Dabei sollte man sich erkundigen, ob in die Police möglicherweise gleich eine Datenträger- und eine Mehrkostenversicherung mit aufgenommen werden kann, die die Kosten für die Wiederherstellung von Programmen oder die Wiederschaffung- und Wiederherstellung von Daten und Programmen übernimmt und auch den entstandenen Mehrkostenaufwand wie Überstunden, eventuelle Mietkosten von Fremdgeräten etc. übernimmt.

werden immer realer. Viren, Trojaner, Würmer – in der virtuellen Welt tummeln sich viele Angreifer, die auch vor Start-ups nicht halt machen. Nahezu jedes Unternehmen verfügt heute über große Datenmengen, die Cyberkriminelle im Visier haben. Eine Cyber-Versicherung schützt vor den Folgen aus Hackerangriffen und unterstützt im Idealfall präventiv sowie mit einer 24/7 Krisenhotline im Verdachts- und Krisenfall. Darüber hinaus sollten Startups auch über die Übernahme von Kosten für rechtliche Streitigkeiten zumindest nachdenken. Wichtig beim Abschluss aller

Versicherungen ist es, nicht ausschließlich auf dem Preis zu achten. Vielmehr sollten Gründer prüfen, welche Leistungsbestandteile einer Versicherung oder eines Versicherungspaketes auf die eigene Unternehmung passen, was unbedingt abgedeckt werden muss und ob diese Anforderungen auch im angebotenen Tarif enthalten sind. Zudem sollte die Versicherungssumme ausreichend hoch sein. Text: Frank Tetzel