Page 1

© 2015 G+F Verlags- und Beratungs- GmbH

SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT Betriebssystemsicherheit

IT-Sicherheitsgesetz

Datenschutz Cloud Computing Industrie 4.0

IT-Sicherheit Produkthaftung im digitalen Zeitalter

Netzwerksicherheit Datensicherheit

Internet der Dinge

Identitätssicherheit Desktop und Mobile Devices

IT-Compliance

Initiiert von:

www.digitalize-your-business.de


Machen Sie den digiBusiness-Check

... und finden Sie mit diesem Schnelltest in 10–15 Minuten heraus, wo Sie in Sachen „Digitalisierung“ stehen!

www.digibusiness-check.de


SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT

Impressum Redaktion: Jürgen Bürkel (jb) v. i. S. d. P. Autoren: Jana Behr (jab), Andreas R. Fischer (afi) Vertrieb: Heiko Fischer (Leitung), Elke Lankers Verlagsanschrift: G+F Verlags- und Beratungs- GmbH Kapellenstraße 47, 76596 Forbach, Telefon: (0 72 20) 2 13, Telefax: (0 72 20) 2 15, info@gf-vb.de, www.gf-vb.de Geschäftsführer: Andreas R. Fischer Produktion: Strattack GmbH, www.strattack.de Bildnachweis: Alle Bildrechte liegen bei den jeweiligen Eigentümern Rechtshinweis: Dieses eBook einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für die ganze oder teilweise Vervielfältigung, Bearbeitung, Übersetzung, Mikroverfilmung sowie die Einspeicherung oder Verarbeitung in elektronische Medien, elektronische Systeme oder elektronische Netzwerke. Alle Angaben, trotz sorgfältiger redaktioneller Bearbeitung, ohne Gewähr. Fremdbeiträge geben nicht unbedingt die Meinung der Redaktion wieder. Wir weisen darauf hin, dass hier verwendete Soft- und Hardwarebezeich­nungen und Markennamen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.

© 2015 G+F Verlags- und Beratungs- GmbH

ISBN 978-3941038-19-6


4

Einleitung

Vernunft ist die beste Verteidigung Was macht IT-Sicherheit in der digitalen Welt aus? Welche Konsequenzen ergeben sich für den Know-how- und Datenschutz, die Netzwerksicherheit, die IT-Compliance, etc. ? Sicher, eine solide Basisverteidigung in Form von Firewall, Antivirussoftware und Intrusion Prevention als Schutz vor Hackerangriffen ist weiterhin von Bedeutung. Jedes digital agierende Unternehmen benötigt zusätzlich IT-Sicherheitslösungen, die nicht nur bereits bekannte beziehungsweise erkannte Gefahren abwehren, sondern sich auch neuen Bedrohungslagen vorausschauend entgegenstellen. Die Sicherheitstechnologie von morgen muss deshalb bereits heute die Fähigkeit besitzen, das Netzwerk, den Anwender, die Anwendungen, Datenbanken, Netzwerk- und Endgeräte umfassend und zuverlässig zu schützen. Die Implementierung dieser erfordert deshalb die laufende „Aufrüstung“ der Schutzmechanismen. Nicht zu vergessen: Die Verantwortung für die IT-Sicherheit liegt auch bei den Menschen, die mit digitalen Werkzeugen umgehen, sich in digitalen Räumen bewegen.

Gemeint ist das Bewusstsein für den vernünftigen Einsatz dieser Werkzeuge. Also: Nicht jede App kritiklos installieren, nicht jeden Link ungeprüft klicken, auf die Aktualität von Betriebssystemen und Sicherheitslösungen achten - und vor allem bewusst mit Daten und Know-how umgehen. Wir beleuchten und erklären in diesem eBook die IT-Sicherheit in Zeiten der Digitalisierung aus den unterschiedlichsten Blickwinkeln in einem jeweils eigenen Kapitel, ohne uns in technischen Details zu verlieren. Um Ihnen genügend Lesewert zu geben, enthält jedes der Kapitel eigene Mehrwerte in Form von Hintergrundwissen, Übersichten, Praxisbeispielen und Praxistipps für den IT-Sicherheitsalltag im Unternehmen. Und last, but not least, kommen auch unsere Digitalisierungsbeschleuniger mit ihren Sichtweisen und Lösungsvorschlägen zu Wort. Wir wünschen Ihnen viel Freude bei der Lektüre und natürlich inspirierende Momente! Ihr Jürgen Bürkel Chefredaktion

SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Inhalt

5

Einleitung: Vernunft ist die beste Verteidigung4 IT-Sicherheit in der digitalen Welt7 Chancen und Herausforderungen für mittelständische Unternehmen

8

Neue Aspekte der IT-Sicherheitsstrategie

17

Mit der Security Connected-Strategie von Intel Security unbekannten Angriffsarten trotzen

22

Was sich in der IT-Sicherheit ändern muss!

24

Präventiv ist das neue Reaktiv!

25

Worauf mittelständische Unternehmen in punkto Cybersicherheit achten sollten

32

Social Engineering-Angriff(e)34 IT-Sicherheit hängt von Menschen ab

35

Prüfstein der Informationssicherheit – Zertifizierung auf der Basis von IT-Grundschutz

42

E-Mail-Sicherheit – (K)ein wunder Punkt des deutschen Mittelstands

44

Wirksamer Schutz ohne Leistungseinbußen

46

Netzwerksicherheit contra Tempo im Geschäft – Die Schildkröte ist out!

47

End-to-End-Sicherheit mit Fortinet – innovativ, leistungsstark und unkompliziert 54 Identitätssicherheit und Privatspäre56 Die Verantwortung von Unternehmen wächst

57

Sicherheit und Benutzbarkeit der IT müssen im Gleichgewicht sein

62

EINLEITUNG


6

IT-Sicherheit von Smartphone & Co.64 Wie Office, Mobile Business und Prozesssteuerung sicher verschmelzen

65

12 Punkte-Checkliste: So vernetzen Sie Prozesse und Unternehmensbereiche sicher

69

„Digitalisierte IT“ reagiert, bevor die Milch sauer wird

71

Next-Generation Enduser Protection – Bessere Geräte- und Datensicherheit durch Innovation und Integration

72

Trusted Cloud Computing74 IT-Sicherheit und Cloud Computing – untrennbar verbunden

75

Auf einen Blick: Welche Cloud ist für mein Unternehmen geeignet?

80

IT-Sicherheit in der Cloud ist Pflicht und Chance zugleich!

83

Cyber Defence Center − starke Allianzen gegen Cyber-Angriffe 

84

IT-Security als Führungsaufgabe – weil zu viel auf dem Spiel steht! 

86

Geschäftsleitung entscheidet über den Einsatz von flexibel buchbaren IT-Services

86

Internet der Dinge (IoT): Maximale Sicherheit ist Pflicht88 Vom Drucksensor über die Drohne zur Smart Factory – Security comes first!

89

IoT-Handlungsempfehlungen94 ProfitBricks garantiert die Einhaltung des BDSG 

96

Cloud Computing: Sind Daten in Deutschland wirklich sicherer?

96

IT-Compliance versus blindem „Regelvollzug“ 

98

IT-Compliance, Verantwortlichkeiten und Haftung – IT-Sicherheits-Strategien sind wichtiger als blinder „Regelvollzug“ 

99

SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

IT-Sicherheit in der digitalen Welt

IT SICHERHEIT IN DER DIGITALEN WELT

7


8

Chancen und Herausforderungen für mittelständische Unternehmen

(jab) Die fortschreitende Digitalisierung eröffnet kleinen, ­mittleren und mittelständischen Unternehmen zuvor nie da gewesene Chancen in Bezug auf die Gestaltung effizienter Arbeits- und Geschäftsprozesse in Produktion, Kundenakquise und -bindung oder bei der Neu- und Weiterentwicklung von Geschäftsmodellen.

Konkrete Chancen sind � innovative Produkte durch digitale Services, stabile Qualität, Selbstüberwachung etc., � direktere Kundenkommunikation durch soziale Netzwerke, � digitales Kundenfeedback online und in Kundenforen, � digitale Dienstleistungen wie „How-to-Anleitungen” etc. (B2B und B2C), � stärkere Individualisierung von Produkten und Dienstleistungen, � vereinfachte Beschaffungs- und Informationsprozesse wie eCommerce, Paketverfolgung, Lieferstatus, Fertigungsstatus, � Einbindung von externen Geschäftspartnern, Mitarbeitern und Kunden in Entwicklungsprozesse bis hinein in die Produktion. Vor allem erlauben die modernen Technologien, geschäftliche Prozesse ortsunabhängig zu steuern. Unternehmen profitieren von diesen erweiterten Aktionsmöglichkeiten sowohl ihrer Mitarbeiter als auch ihrer Kunden durch direktere Wege, kürzere Reaktionszeiten, individuellere Dienstleistungen und größere Kundennähe.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Vernetzung ist der Schlüsselfaktor

9

Der ausschlaggebende Vorteil der Digitalisierung ist neben der umfassenderen Erzeugung und Nutzung von Daten deren umfassende Vernetzung. Dabei werden die Daten in Kontext gesetzt, verknüpft, intelligent ausgewertet und in sinnvoller Form zur Verfügung gestellt. Das Geheimnis erfolgreicher Digitalisierung ist also vor allem die konsequente nahtlose Verknüpfung der vielfältigen Schnittstellen. So stellten die bislang üblichen IT-Inseln ein notwendiges Übel dar, da sie nur singuläre Zwecke erfüllten und nicht das komplette Potenzial der verfügbaren Informationen ausnutzten. Dafür lässt sich heute zum Beispiel der Facebook-Kanal mit der Produktion verbinden: Der Kunde kann in Echtzeit Wünsche äußern, die automatisiert erfüllt werden. Allerdings wachsen mit den Vorteilen und dem Nutzen der Digitalisierung auch die Herausforderungen in Sachen IT-Sicherheit.

Zukunftsszenarien und Themen der Digitalisierung Big Data Cloud Computing digitales Handwerk

digitaler Handel digitales Büro digitaler Betrieb virtuelle Kooperationen mobiles

Arbeiten

Online Marketing eRecruiting Stammdatenmanagement

Medienbruchfreiheit eBusiness-Standards

Schnittstellen Softwareauswahl User

Experience

interdisziplinäre Zusammenarbeit

IT SICHERHEIT IN DER DIGITALEN WELT


10

Verantwortung für Daten, Know-how und IT-Verfügbarkeit wächst mit der Digitalisierung Mit der Digitalisierung wächst auch die konkrete Verantwortung der IT-Benut­ zer, zum Beispiel für E-Mail-Identitäten und deren Schutz vor Missbrauch. Aber: Obwohl die Digitalisierung von Allem stark zunimmt, halten die notwendigen Sicherheitsmaßnahmen nicht Schritt. Im Gegenteil: Gemessen an der gestiegenen Relevanz und Verbreitung von IT sind die Sicherheitsaktivitäten der Unternehmen und anderer Organisationen teilweise sogar rückläufig. Das ergab unter anderem eine aktuelle Studie der Initiative Deutschland sicher im Netz (DsiN). So nahmen zum Beispiel die Sicherheitsvorkehrungen bezüglich des E-Mail-Verkehrs um sieben auf 43 Prozent ab. Jedes vierte Unternehmen ergreife gar keine Maßnahmen und versende seine E-Mails gänzlich ohne Verschlüsselung.

Das kleine 1 x 1 der IT-Sicherheit � Grundschutz mit aktuellen Virenscannern und Firewalls sowie regelmäßigen Software-Updates � Software zur Erkennung von IT-Angriffen (Intrusion Detection) einsetzen � Systeme regelmäßig auf Schwachstellen überprüfen (Penetrationstests) � Zugangssteuerung und Festlegung von Zugriffsrechten für bestimmte Gruppen von Mitarbeitern (Quelle: BITKOM) Auch den „Unsicherheitsfaktor” Mensch hätten nur wenige Betriebe auf dem Schirm. 28 Prozent ergreifen demnach überhaupt keine Maßnahmen in Richtung Mitarbeiter. Lediglich 28 Prozent der befragten Firmen verfügen über dokumentierte Sicherheitsrichtlinien.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Insgesamt seien die Sicherheitsmaßnahmen in den meisten Betrieben kaum aufeinander abgestimmt. Dabei könnte schon ein bewusster Umgang mit IT-Sicherheit die Gefahr von IT-Stillstand, Datenklau, Datenmanipulation und Know-how-Diebstahl um bis zu 80 Prozent reduzieren – ohne auch nur einen Euro in ein „Mehr“ an Sicherheitslösungen investieren zu müssen. Ein interessantes Beispiel aus der jüngsten Vergangenheit: Die ehemalige US-Außenministerin Hillary Clinton hat – wie sie selbst zugegeben hat – aus „Bequemlichkeit“ einen privaten Mailserver benutzt, um sowohl dienstliche als auch private E-Mails zu versenden und zu empfangen. Dass ihr „Dienstherr“ das zugelassen und sie selbst nicht die Notwendigkeit der Trennung gesehen hat ist doppeltes Versagen. Denn erstens wurde die in diesem Fall eigentlich geforderte lückenlose Dokumentation des Nachrichtenverkehrs unterlaufen, denn sie hat tausende „privater“ Mails gelöscht. Und zweitens hat ihr Chef die Hoheit über die in seinem Auftrag abgewickelte Kommunikation aus der Hand gegeben, obwohl es dafür explizit eingerichtete Systeme gab – und somit unnachvollziehbar gemacht. Wie gut die Verschlüsselung wirklich funktioniert hat, darüber lässt sich nur spekulieren.

IT-Sicherheit darf kein Flaschenhals werden Big Data, Mobile Business, Virtualisierung, Cloud Computing und Social Networking gewinnen im Rahmen der Digitalisierung an Bedeutung. Parallel mit dieser Entwicklung wächst aber auch der Bedarf an IT-Sicherheit an den Schnittstellen und im Unternehmens-Netzwerk. Andererseits sind Themen wie Durchsatz, Latenz und New Session Rate wichtige Faktoren, wenn es darum geht, die Performance von Rechenzentren und Netzwerke hoch zu halten. Insbesondere in Bezug auf mobile Anwendungen zeigt sich, wie sich die Anforderungen an ein modernes Netzwerk verändert haben. Denn mobile Endgeräte erzeugen heute viel mehr neue Sessions und Datenströme in kürzerer Zeit. Daraus ergeben sich weitreichende Konsequenzen für die IT-Sicherheit, denn Know-how- und Datenschutz sowie die IT-Compliance dürfen die Leistungsfähigkeit und damit die Geschwindigkeit des Geschäfts nicht beeinträchtigen. IT SICHERHEIT IN DER DIGITALEN WELT

11


12

Das verlangt von der IT-Sicherheit beziehungsweise von den in ihrem Umfeld zum Einsatz kommenden Lösungen Performance – Hochgeschwindigkeits-Firewalls mit hohem Durchsatz und geringer Reaktionszeit (Latenz) sind die Lösung. Segmentierung –Firewall-Lösungen müssen sowohl physische als auch virtuelle Segmentierung in Private- und Public-Cloud-Umgebungen unterstützen zu können. Vereinfachung – Ein „Zero-Trust-Modell“ ist gefragt, das auf vielfältigen Sicherheitsfunktionen beruht und dennoch hohe Geschwindigkeit beim „Abprüfen“ aller eingestellten Faktoren bietet. Umfassende Kontrolle – Der Nachweis von Sicherheit, die kontinuierliche Verbesserung der Schutzmaßnahmen und die Einhaltung von ComplianceRegularien unterschiedlichster Art muss sichergestellt und dementsprechend kontrolliert werden können. Diese Entwicklung betrifft nicht nur Konzerne und große Industriebetriebe, sondern auch kleine, mittlere und mittelständische Unternehmen. Um ihre Wettbewerbsfähigkeit aufrechtzuerhalten, müssen daher auch sie aktuelle ITSicherheitstechnologien zum Einsatz bringen. Hier spielt zum Beispiel auch die Anbindung, Integration und der Schutz von „Nebenstellen“ des Unternehmensnetzwerks, wie beispielsweise externe Lager, Baustellenbüros, Filialen oder Niederlassungen, eine bedeutende Rolle. Deshalb gibt es in Bezug auf den Einsatz von IT-Sicherheitslösungen für die oben genannten Unternehmen eine besondere Anforderung: Diese Lösungen müssen sowohl für die IT-Verantwortlichen als auch für deren IT-Partner, da diese meist eher IT-Allrounder statt Sicherheitsspezialisten sind, einfach handhabbar sein.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Daraus resultierende Vorteile für Unternehmen sind unter anderem: � Kontinuität des Geschäfts � Erfüllung der IT-Compliance � Verfügbarkeit der Anwendungen � Effizienz des Netzwerks � Kostenoptimierung

Digitaler Wandel und technische Entwicklungen Nach Angaben der Unternehmensberatung Deloitte arbeiten mittelständische Unternehmen meist in integrierten, unternehmensübergreifenden Wert­ schöpfungsketten, die sich durch enge Verbindungen von Unternehmen, Kunden und Lieferanten auszeichnen. Im Kontext der Digitalisierung gelte es, diese mit einer digitalen Wertschöp­ fungskette zu erweitern. Vor allem die zunehmende Prozessorientierung und die damit erforderliche Transparenz über die gesamte Wertschöpfungskette hinweg hätten eine Zunahme der Digitalisierung zur Folge. In Bezug auf diesen unternehmerischen Kulturwandel, der sich über alle Abteilungen hinweg zieht, ist es wichtig, primäre Unternehmensaktivitäten und unterstützende Aktivitäten zu unterscheiden und vor allem die Schnittstellen auszumachen, die aktiv gesteuert werden müssen. Um zudem einerseits die aus der Digitalisierung resultierenden strategischen Anforderungen zielgerichtet umzusetzen, andererseits aber auch aktiv Chancen zu nutzen, benötigen Unternehmen nicht nur Know-how und Erfahrung, sondern auch im Umgang mit Digitalisierung geschulte Mitarbeiter.

Digi-Tools ab sofort scharf geschaltet Interessant ist auch, dass keines der bislang genannten IT-Themen wirklich neu ist. Was aber neu ist: Sie kommen in Form vernetzter Tools zur Produktivitätssteigerung systematisch zum Einsatz, und werden so sinnvoll umsetzbar.

IT SICHERHEIT IN DER DIGITALEN WELT

13


14

Dabei geht es vor allem um Integration. Wie schon erwähnt, finden sich in Unternehmen bislang eher heterogene IT-Inseln als eine homogene IT-Welt. Um Systeme miteinander zu integrieren, sollte in Zukunft auf plattformübergreifende Anwendungen, geräteagnostische Betriebssysteme, auf die Verknüpfung und Vernetzung unterschiedlichster Applikationen sowie die Integration der wichtigsten Funktionen gesetzt werden. Diesbezüglich zwei wichtige Trends: Laut Microsoft muss zum Beispiel der Einstieg in das Internet of Things (IoT) kein „disruptive event” sein. Oftmals kann mit den Systemen gestartet werden, die schon da sind: beispielsweise Geräte in der Produktionsstätte oder im Verkauf sowie bestehende Software und Services. Sie lassen sich relativ einfach um sinnvolle Komponenten wie Machine Learning- und Cloud-Lösungen ergänzen, um daraus effiziente Lösungen zu schaffen. Auch Big Data ist nicht neu: Viele Entscheider in Unternehmen und Organisationen wissen aber nicht, wie sie davon optimal profitieren können, wie sie eine Strategie für Big Data entwickeln. Dafür braucht es eine neue „Datenkultur”, in deren Rahmen Mitarbeiter auf Daten zugreifen und sie verwerten, um informationsbasierte Geschäftsentscheidungen treffen zu können. Klar ist: Der digitale Wandel macht es erforderlich, bewährte Erfolgskonzepte auf den Prüfstand zu stellen und neue Strategien zu entwickeln. Das gilt auch für die IT-Sicherheitsstrategie.

Was wir schützen wollen, halten wir von Gefahren fern Was tun wir mit Dingen, die wir beschützen wollen? Wir schließen sie ein und lassen nur kontrollierten Zugang zu. Auf die IT übertragen sprechen wir von einer Kapselung – zum Beispiel durch Firewalls. Allerdings besteht dabei die Gefahr, dass die Performance des Netzwerks unter extremen Sicherheitseinschränkungen leidet. Was in Bezug auf das Schützen von realen Wertgegenständen sinnvoll erscheint, muss hinsichtlich des „elektronischen Betriebskapitals“ nicht die einzige Alternative sein.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Eine heute sinnvolle Art des digitalen Schutzes wäre zum Beispiel eine auf den konkreten Sicherheitsbedarf angepasste Mischung aus Sicherheitslösungen aus einer Hand, die aufeinander abgestimmt sind, daher eine gute Leistungsfähigkeit zulassen und Tools, die im Fall von Cyberangriffen Alarm auslösen und für sofortige Gegenmaßnahmen sorgen. Cloud Computing – sicher in Deutschland? Eine 2014 veröffentlichte Umfrage durch KPMG und BITKOM veranschaulicht das „Unvertrauen“ in die Cloud: 13 Prozent der beteiligten Unternehmen in Deutschland haben konkret geplante Cloud-Projekte zurückgestellt. Weitere 11 Prozent haben sogar bereits bestehende Cloud-Lösungen aufgegeben. Der Rückzug in die klassischen, intern betriebenen Rechenzentren erscheint auf den ersten Blick eine logische Konsequenz zu sein. Doch auch wirtschaftlich ist dies keine sinnvolle Alternative. Dafür gibt es mehrere Gründe: Aus Unternehmenssicht definiert sich Cloud Computing vorrangig dadurch, dass nichts gekauft, installiert und sich auch niemand um die Technik dahinter kümmern muss. So liegen die Aufgaben der IT-Mitarbeiter nicht mehr primär darin, Systeme zu installieren. Die internen IT-Ressourcen werden stattdessen auf strategische Entwicklungsprojekte und die Prozessoptimierung gerichtet. Hinzu kommt, dass die Alternative nur wenigen Unternehmen möglich ist. Was aber könnte hier eine sinnvolle Option sein? Zum Beispiel eine sogenannte Compliance Cloud. Deutsche IT-Dienstleister haben reagiert und entwickeln derzeit Cloud-Computing-Angebote, die ein deutlich verbessertes Datenschutzniveau haben sollen. Sie bieten Vorschriftskonformität bezüglich Bundesdatenschutzgesetz und Abgabenordnung. Initiativen wie Trusted Cloud vom Bundeswirtschaftsministerium, Cloud for Europe oder Eurocloud_Eco streben an, hierfür Grundlagen zu legen. Dies sind Beispiele, die zeigen, wie dynamisch der IT-Markt auf den Sicherheits­ bedarf mittelständischer Unternehmen reagiert.

IT SICHERHEIT IN DER DIGITALEN WELT

15


16

Initiative Cloud Services Made in Germany Unter dem Namen „Cloud Services Made in Germany“ hat sich eine Reihe von Cloud-Dienstleistern zusammengeschlossen, um sichere, den deutschen Gesetzen entsprechende Cloud-Dienste anzubieten. Die Aufnahmekriterien für die Initiative Cloud Services Made in Germany sind: � Das Unternehmen des Cloud Service-Betreibers wurde in Deutschland gegründet und hat dort seinen Hauptsitz. � Das Unternehmen schließt mit seinen Cloud Service-Kunden Verträge mit Service Level Agreements (SLA) nach deutschem Recht. � Der Gerichtsstand für alle vertraglichen und juristischen Angelegenheiten liegt in Deutschland. � Das Unternehmen stellt für Kundenanfragen einen lokal ansässigen, deutschsprachigen Service und Support zur Verfügung. Weitere Info: www.cloud-services-made-in-germany.de

Eine-Welt-Lösung, anstatt Inselkoller Ein weiterer wichtiger Ansatz ist, mithilfe einer ganzheitlichen, umfassenden Sicherheitslösung alle Systeme auf einmal zu schützen. So sichert das „Unified Threat Management“ (UTM) ein Netzwerk wesentlich effizienter als mehrere voneinander unabhängige Stand-alone-Systeme. Bei UTM reicht eine Managementkonsole für die Überwachung aller IT-Sicherheits-Funktionen. Für alle Unternehmen wäre dies eine Alternative, mit der sie künftigen Sicherheitsbedrohungen wirkungsvoll begegnen und – durch die Reduzierung der Komplexität – gleichzeitig Kosten minimieren können.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Neue Aspekte der IT-Sicherheitsstrategie (jab) Gerade im Zuge der Digitalisierung gibt es zahlreiche zusätzliche Bereiche, die in jeder IT-Sicherheitsstrategie relevant sein sollten. Hier die wichtigsten:

� Aufgrund dessen, dass sich die Datenbestände heute viel schneller ändern als früher, werden Back-ups nicht mehr von Hand gemacht. Eine automatische, intelligente Echtzeitsicherung und der Schutz der Sicherungsdatenströme stellen eine Herausforderung an die IT-SicherheitsLösungen dar. � Ein weiteres wichtiges Stichwort ist die Verfügbarkeit. Neben dem wirtschaftlichen Aspekt geht es hier zum Beispiel auch um den Einfluss auf das Kreditrating, also die Bewertung des Unternehmens von Finanzpartnern – Stichwort Basel I-III. Die Herausforderung ist hier, Daten und Anwendungen verfügbar zu halten, um das Geschäft und seine Prozesse zu gewährleisten, sie aber gleichzeitig effizient zu schützen. � Big Data wird als die nächste große Chance in Vertrieb und Marketing gehandelt. So groß die Vorteile auch sind, ist dieser Bereich extrem sensibel. Denn es werden persönliche Daten mit Wissen verknüpft, was ein hohes Maß an Datenschutz und -sicherheit erfordert. � Mobile Business und das Internet der Dinge lassen den Datenverkehr stark anwachsen. In Endgeräten-Datenströmen verstecken sich gerne ungebetene Gäste aus dem Cyberraum. � Virtualisierung ist heute Standard in Rechenzentren. Die Herausforderung: die automatisierten, schnellen Vorgänge in der virtualisierten ITUmgebung zu überwachen.

IT SICHERHEIT IN DER DIGITALEN WELT

17


18

� Cloud Computing, also die Bereitstellung von IT-Diensten wie Hardware, Software oder Plattformen durch Fremdanbieter über das Internet, fordert eine dedizierte Auseinandersatzung mit der Dienstleistung. Wie sieht konkret das Einsatzszenario aus? Welche Anforderungen muss der Anbieter erfüllen? � Mit Software Defined Networking (SDN) wird proprietäre Netzwerk-Hardware obsolet. Diese frei konfigurierbare und flexible Netzwerkinfrastruktur gilt als einer der nächsten Paradigmenwechsel in Rechenzentren. Da dadurch noch mehr Software ins Spiel kommt, muss dies in der Sicherheitsstrategie berücksichtigt werden.

Fazit: Sicherheit strategisch sichern Neben weiteren Studien zeigt, wie schon erwähnt, der aktuelle DsiN „Sicherheitsmonitor“ auf, wie sehr ein umfassender Handlungsbedarf im Mittelstand besteht, insbesondere bei kleinen Betrieben. Ganzheitliche IT-Sicherheitskonzepte, sensibilisierte und geschulte Mitarbeiter sowie moderne Sicherheitstechnologien sind selten vorhanden. Was kann also getan werden, um die Situation zu verbessern? Oft setzen IT-Abteilungen noch immer auf strenge Kontrollverfahren, um das IT-Sicherheitsniveau zu erhöhen. Das führt dann zu Konflikten mit den Anwendern, erhöhten Kosten und ineffzienter Bürokratie. Alles unreflektiert einzumauern, wie es früher der Fall war, ist also kontraproduktiv und teuer. Nun könnte man andererseits sagen: „Wer sich in die Gefahr begibt, der kommt darin um!“ Das wäre aber deutlich zu kurz gedacht. Schließlich gibt es auch IT-SecurityLösungen, die sich parallel zu den Gefahren „draußen“ entwickeln und präventiv gegen die längst professionellen „Neuentwicklungen“ der Cyberkriminellen wirken – also bevor etwas passiert. IT-Security gehört heute in Profihände. Renommierte Hersteller und Rechenzentrumsbetreiber gewährleisten nicht nur Zugriffssicherheit, sondern auch Ausfallsicherheit, Datenkonsistenz und Sicherheit gegen Datenverlust. Dabei kommt es darauf an, Daten und Know-how gezielt und in Abstufung ihrer BeIT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

deutung zu schützen beziehungsweise Gefahren zu analysieren, zu bewerten und gezielt zu bekämpfen. Nur so können Unternehmen bei den schnellen Veränderungen auf dem Laufenden bleiben und jederzeit den passenden Schutz erhalten. Dabei ist zu beachten, dass es kein Patentrezept für IT-Sicherheitsstrategien gibt. Jeder Ansatz muss individuell auf das Unternehmen zugeschnitten sein. So kann bei dem einen Unternehmen eine ganzheitliche Sicherheitslösung sinnvoll sein, beim anderen bietet sich aber besser ein dezentrierter Ansatz an.

Sicher ist: 100-prozentige Sicherheit gibt es nicht und wird es nie geben. Um wenigstens fast auf die 100 Prozent zu kommen, stehen die Anbieter in der Verantwortung: Sie sollten Lösungen anbieten, die die Sicherheit der Daten vor unbefugten Zugriffen und die Einhaltung von Datenschutz bestmöglich gewährleisten. Auf der anderen Seite haben Unternehmen und Nutzer eine nicht delegierbare Verantwortung für ihre IT-Sicherheit und ihren Datenschutz.

IT SICHERHEIT IN DER DIGITALEN WELT

19


20

Resiliente IT – Der „neue“ Plan B für die Sicherheit (jab) Resilienz bedeutet die Toleranz eines Systems gegenüber Störungen, also Funktionieren trotz „widriger Umstände“. In der IT heißt das beispielsweise Unempfindlichkeit gegenüber Angriffen, die das Ziel haben, Zugriff auf Daten oder Prozesse innerhalb der IT zu bekommen.

Egal, ob brachiale Überlastungsangriffe auf Websites oder ausgeklügelte Strategien, mit denen vonseiten der Cyberkriminalität versucht wird, die „Festung“ von innerhalb der „Burgmauern“ zu nehmen, egal, ob versehentliches Abschalten oder technisch bedingter Stromausfall: Eine IT, die auf Störungen jedweder Art weitestgehend automatisiert mit einem „Plan B“ statt mit Ausfall reagieren kann, hat das Prädikat „resilient“ verdient. Bis vor ein paar Jahren hat man dies versucht, mit Redundanz zu erreichen, Beispiel Spiegelung von Festplatten, Server in Reserve etc. Damit wollte man die Verfügbarkeit der IT „sichern“ und tut das auch heute noch. Das ist aber teuer und frisst die Vorteile der Zentralisierung im Serverraum und der Prozessunterstützung und Automatisierung zumindest teilweise wieder auf. Warum ist das wichtig? In einer bereits heute entstehenden IT-Welt, die nicht auf den Besitz von Hardwarekomponenten und Software-Lizenzen setzt, sondern auf den Bezug von IT als Dienstleistung aus dem Internet, werden sich die zentralisierten Modelle weitgehend auflösen, haben dies auch bereits getan. IT-Verantwortliche in den Unternehmen, aber auch bei ihren IT-Dienstleistern, müssen nun neue Lösungswege entwickeln, um IT-Services intern und extern zuverlässig – das heißt nachvollziehbar, wiederholbar, sicher und mit hoher Verfügbarkeit – anbieten zu können.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Das bedeutet zum Beispiel, dass virtuelle Maschinen, Daten und Programme verteilt über vernetzte Rechenzentren (die nicht unbedingt im Unternehmensbesitz stehen) im Zugriff sind und somit robuster laufen können und schwerer angreifbar sind.

Für wen ist das wichtig? Profitieren können von der Resilienz von IT-Systemen Anwender – durch mobilen, hochverfügbaren und schnellen Zugriff auf ITund Kommunikationsdienste, Unternehmen – durch Zuverlässigkeit und professionelle Security in Bezug auf die von ihnen benötigten IT-Dienste und damit verbundene Risikominderung beziehungsweise Reputationssteigerung sowie die Kalkulierbarkeit von IT durch leistungsbezogene Abrechnung, IT-Dienstleister – durch ein Geschäftsmodell, das in Zeiten der Digitalisierung Wachstum verspricht.

Ausblick Über mehrere Standorte verteilte und daher mit hoher Resilienz arbeitende IT benötigt ein professionelles Management. Es gilt dabei, sich ändernde Vernetzungskosten, geforderte Latenzen, benötigte Bandbreiten, optimale Rechenpower, minimierte Energiekosten und natürlich auch die Zuverlässigkeit der Energieversorgung im Blick und vor allem im Griff zu behalten. Nur so wird IT sowohl für den IT-Dienstleister als auch für den Anwender sinnvoll nutzbar und kann darüber hinaus selbst zum Koordinator zwischen den Geschäftsprozessen und den in Abhängigkeit der Aufgaben und Workloads jeweils optimalen Betriebspunkte ihrer selbst werden. Das Management einer solchen IT erfordert Spezialisten, die in der Lage sind, die Optimierung von Kosten und Resilienz in Einklang zu bekommen. Zur Bedeutung von IT-Resilienz für die Wirtschaft und ihre Beziehung zum Thema Finanzierung lesen Sie hier mehr: http://creditreform-magazin.de/tag/resilienz/

IT SICHERHEIT IN DER DIGITALEN WELT

21


22

Mit der Security Connected-Strategie von Intel Security unbekannten Angriffsarten trotzen Egal ob Medienagentur, Res-

oder drei Ebenen: eine erste Vertei-

taurant, Rechtsanwaltskanzlei

digungslinie am Internet-Gateway

oder andere kleine bis mittlere

sowie eine zweite Ebene an jedem

Unternehmen (KMU), Schutzmaß-

Desktop-System oder Server. In vie-

nahmen für Endgeräte sollen kos-

len Fällen fehlt die Koordination der

tengünstig, unkompliziert und

Verteidigungsebenen und -vektoren,

ohne die Hilfe von IT-Experten

sodass jede Komponente ebenso

einzurichten sein.

hochentwickelt sein muss wie die abzuwehrenden Bedrohungen.

„Den Sicherheitsbedrohungen ist die Größe einer Organisation völlig gleich.

Dieser Ansatz ist angesichts heu-

Deshalb wird es für KMUs, deren Mit-

tiger dynamischer Bedrohungen

arbeiter mehrere Geräte nutzen, immer

mit vektorübergreifenden gezielten

wichtiger, die besten verfügbaren Si-

Angriffen, hochentwickelten Ver-

cherheitslösungen einzusetzen“, erklärt

schleierungstechniken und Zero-Day-

Sascha Plathen, Director Channel Sa-

Exploits nicht mehr erfolgreich.

les Central Europe bei Intel Security. Heutige Schutzsysteme müssen „Die KMU-Produkte von Intel Security

beständig lernen und die Sicherheits-

bieten Unternehmen den erforderlichen

maßnahmen anpassen können. Für

Schutz und die Möglichkeit, sich auf

umfassenden Bedrohungsschutz

den Ausbau ihres Geschäfts zu konzen-

benötigen Sie die richtigen Ebenen

trieren, ohne sich um dessen Sicherheit

innerhalb der einzelnen Ressourcen

sorgen zu müssen.“

und innerhalb Ihrer Infrastruktur, und diese Ebenen müssen in Echtzeit

Die meisten Unternehmen verlassen

zusammenarbeiten sowie aktuelle

sich bei der Abwehr hochentwickel-

Informationen austauschen. Als Sys-

ter Bedrohungen vor allem auf zwei

tem aufeinander abgestimmter Sys-

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

23

Sascha Plathen ist Director Channel Sales Central Europe bei McAfee. Er ist seit 16 Jahren Sales- und ChannelExperte in der IT-Security. Er begann seine Laufbahn bei McAfee im Jahr 2007 als Channel Account Manager teme müssen Ihre Schutzlösungen

und übernahm dort ab 2013 die Ver-

Daten austauschen und dynamische

antwortung für den Partnervertrieb in

Prozesse überwachen, um die Erken-

Central Europe.

nung, Eindämmung und Behebung zu beschleunigen. Mit der Security-Connected-Strategie, einem innovativen Ansatz für Hardware-unterstützte Sicherheitslösungen und einem Global-Threat-Intelligence-Netzwerk bietet Intel Security die Bereitstellung von proaktiven, bewährten Sicherheitslösungen, die

McAfee is now part of Intel Security.

Systeme, Netzwerke und mobile Ge-

Intel Security

räte im geschäftlichen und privaten

Web: http://www.mcafee.com/de

Umfeld weltweit schützen.

E-Mail: smb_channel@mcafee.com

IT SICHERHEIT IN DER DIGITALEN WELT


24

Was sich in der

IT-Sicherheit muss! ändern

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Präventiv ist das neue Reaktiv!

(jab) Netzwerke werden – auch durch die Digitalisierung – immer komplexer. Diese Entwicklung lässt auch kleine, mittlere und mittelständische Unternehmen nicht außen vor. Das wird zum Beispiel deutlich, wenn man sich die wachsende Vernetzung zwischen Industrie und Zulieferern (Stichwort Industrie 4.0) vor Augen führt.

Für diese Veränderungen gibt es IT-Sicherheitslösungen, die nicht mehr reaktiv, sondern präventiv auch gegen die längst professionellen „Neuentwicklungen“ der Cyberkriminellen wirken – also bevor etwas passiert. Das bedeutet konkret: Um die Wettbewerbsfähigkeit eines Unternehmens zu gewährleisten, bedarf es Top-Sicherheitstechnologien. � Diese Lösungen müssen sowohl für die IT-Verantwortlichen als auch für deren IT-Partner einfach handhabbar sein. �

Die Anbindung, Integration und insbesondere der Schutz von „Nebenstellen“ des Unternehmensnetzwerks, wie beispielsweise externe Lager von Logistikunternehmen, Baustellenbüros von Bauunternehmen, Filialen von Einzelhändlern oder Niederlassungen von Dienstleistern, spielen eine bedeutende Rolle. Dies gilt sowohl daten- als auch sicherheitstechnisch, da in diesen Außenstellen oft keine IT-Kompetenz vorhanden ist.

PRÄVENTIV IST DAS NEUE REAKTIV!

25


26

� Die anfallenden vertraulichen Daten müssen dabei vollständig vor unbefugtem Zugriff und Manipulation geschützt werden. � Die Mobilität der einzelnen Mitarbeiter, ihrer Endgeräte und Daten, beispielsweise im Vertrieb oder auf Montage, trägt ihren Teil zur steigenden Komplexität von Netzwerken bei. Das Marktforschungsinstitut Gigaom Research (www.gigaom.com) hat unter dem Titel „Mobile Security and Incident Readiness: Preparing for Threats“ aktuell eine Studie veröffentlicht, die die damit zusammenhängende wachsende Komplexität mobiler Sicherheit aufzeigt. Dabei werden insbesondere die Grenzen von präventiven, richtlinienbezogenen Lösungen verdeutlicht. Diese seien oftmals nicht in der Lage, mobile Sicherheitsvorfälle zu erkennen, bei denen Abwehrtechnologien umgangen werden. Hinzu kommt der Kostenaspekt: Transparenz ist gefragt, und die Frage lautet nicht nur: „Was kostet mich die Lösung jetzt?“ Es muss auch klar darstellbar sein, wie sich die Kosten für eine umfassende, professionelle Sicherheits­ lösung in den nächsten Jahren entwickeln wird. Wer in diesem Kontext eine umfassende Security-Lösung – zum Beispiel per USB-Stick und Mausklick – ohne die Hilfe eines IT-Spezialisten vor Ort „ausrollen“ kann, schafft sich erhebliche Vorteile in Sachen Datenschutz und Datensicherheit.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Herkömmliche Ausfallszenarien Grundsätzlich können die Gefahren-Set-ups in zwei Gruppen eingeteilt ­werden – in interne und externe. Interne Risikoquellen sind zum Beispiel: �

Brände im Rechenzentrum

� Stromausfälle � Serverplattencrash durch Überlastung � Falsche Nutzung von Software �

Nichterkennung von Schadsoftware durch fehlende Schulung der Mitarbeiter

Externe Gefahrenquellen sind zum Beispiel: � Viren � Kurz- oder langfristige Angriffe auf einzelne Systeme oder das gesamte Netzwerk �

Diebstahl von Hardware

Diese kurze Auswahl zeigt schnell, wie viele Szenarien im Zusammenhang mit der IT-Sicherheit betrachtet werden müssen.

„Neue“ Ausfallszenarien Im Gegensatz zu den Sicherheitsrisiken, die sich intern ergeben und deren Bewältigung jedenfalls ein Stück weit in der Hand des Unternehmens bzw. der IT-Abteilung liegen, also zum Beispiel durch unterberechungsfreie Stromversorgung (USV), ausreichenden Brandschutz oder auch eine umfassende Schulung der Mitarbeiter, sind zielgerichtete externe CyberAngriffe schwerer in den Griff zu bekommen. Cyberkriminelle verbessern ihre Methoden kontinuierlich. In dem Tempo, in dem neue Software entwickelt wird, werden auch entsprechende Schadprogramme geschaffen.

PRÄVENTIV IST DAS NEUE REAKTIV!

27


28

Ein kurzer Überblick über die derzeit gefährlichsten und fortschrittlichsten Angriffe aufs Unternehmensnetzwerk: � E-Mails – Nach wie vor kann ein einfacher Klick auf einen Link oder einen Anhang in einer E-Mail ein ganzes Netzwerk ausschalten, im Hintergrund ein Schadprogramm auslösen oder über eine infizierte Webseite eine Schadsoftware installieren. Über sogenanntes „Social Data Mining“ schicken die Angreifer auch E-Mails, die scheinbar von Freunden oder Kollegen kommen. � Hochentwickelte Langzeitbedrohungen, sogenannte Advanced Persistent Threats (APT) – Sie sind darauf ausgerichtet, IT-Systeme über eine längere Zeit zu manipulieren. Angegriffen werden IT-Steuerungsmechanismen und Kommunikationskanäle, über die auf wertvolle Daten, Know-how und Betriebsgeheimnisse zugegriffen werden kann. � Distributed Denial of Service (DDoS)-Angriffe – Sie sind die ältesten Bedrohungen aus dem Cyberraum. Vor allem Anwendungen werden über diesen Weg angegriffen. Bekannt sind Massenangriffe mit denen beispielsweise Webserver und Webshops lahm gelegt werden. � Angriffe auf SCADA-Systeme – SCADA-Systeme und -Netzwerke (SCADA = Supervisory Control and Data Acquisition) sind für die Überwachung und Steuerung von Industrie- und Infrastrukturanlagen sehr wichtig. Die Angriffe finden in Form von direkter Installationen von Schadsoftware oder über Hacker statt.

Mit der IT-Sicherheits-Roadmap auf Nummer sicher Die IT-Sicherheit richtig anzugehen, besonders im Kontext der Digitalisierung, ist ein zentrales Thema – vor allem für den Mittelstand. Was tatsächlich für die eigene unternehmensinterne IT-Sicherheit notwendig ist, lässt sich anhand einer IT-Sicherheits-Roadmap festmachen, die den Weg von der Bedarfsanalyse bis zur konkreten Umsetzung vorzeichnet:

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Um ein effektives Sicherheitskonzept zu entwickeln, gilt es sich im ersten Schritt alle wichtigen Geschäftsprozesse anzusehen. Insbesondere sollte ein Augenmerk auf diejenigen gelegt werden, die digital ablaufen: � Telefonie � E-Mail-Versand � Kundendatenbanken
 � Websites
 � Online-Shops
 � Computergestützte Produktionssteuerung
 � Computergestützte Dienstleistung � usw. Das heißt: Checken, (über)prüfen oder analysieren, inwieweit diese Prozesse die einzelnen Unternehmensbereiche beeinflussen. Das kann via Befragungen erfolgen, eventuell mit Unterstützung externer Spezialisten oder durch komplettes Outsourcing dieser Aufgabenstellung. Im nächsten Schritt ist es möglicherweise sinnvoll, eine „Taskforce Sicherheit“ in der IT-Abteilung ins Leben zu rufen, falls diese aus mehreren Mitarbeitern besteht. Aber auch die Unterstützung der Mitarbeiter aus den einzelnen Bereichen kann in Bezug auf die Geschäftsprozessanalyse Vorteile bringen. Dabei sollte sich zunächst auf die Bereiche im Unternehmen konzentriert werden, die den größten Handlungsbedarf haben. Der Fokus wird dabei auf die Arbeitsabläufe, welche die Kunden und das Geschäftsmodell betreffen, gelegt (s. auch den nächsten Abschnitt). Am Ende steht die Umsetzung der IT-Sicherheits-Roadmap mit dem Einsatz individueller Sicherheitsmaßnahmen für jeden Geschäftsprozess nach Relevanz sortiert. Im Übrigen sind laufende Maßnahmen für die Wirksamkeit des Sicherheitskonzepts wichtig. So sollte ein Prozess definiert werden, der regelmäßig Veränderungen analysiert und deren Auswirkungen auf die Verfügbarkeit der Prozesse sowie auf die IT-Sicherheit dokumentiert. PRÄVENTIV IST DAS NEUE REAKTIV!

29


30

Handlungsempfehlungen IT-Security 2.0

(jab) Mit der Komplexität der Digitalisierung nimmt die der ITSicher­heit zu. Auch wenn die Firewall eine erste Hemmschwelle ist: Die neuartigen Gefahren erfordern Sicherheitslösungen, die weit über deren Fähigkeiten hinausgehen. Vor allem aber müssen alle Einzellösungen miteinander integriert werden, um einen Rund-um-Schutz für Netzwerk, Anwender und Anwendungen zu bieten.

Daher folgende Empfehlungen zur Vorgehensweise: � Stellen Sie eine IT-Sicherheits-Taskforce zusammen! � Finden Sie heraus, wo Ihre IT-Sicherheitsschwachstellen sind, eventuell mit Unterstützung eines Dienstleisters. � Checken Sie, inwieweit Ihre bisherige IT-Sicherheits-Struktur den Herausforderungen noch entspricht, ansonsten lösen Sie sie durch moderne Sicherheitskomponenten ab! � Installieren Sie eine sog. Security-Suite, die alle wichtigen grundlegenden Sicherheits-Elemente integriert. � Stellen Sie sicher, dass die Schutzmechanismen regelmäßig und kurzfristig aktualisiert werden, falls zum Beispiel eine Schwachstelle bekannt sein sollte! � Machen Sie einen Kosten-Check, inwieweit die aktuelle Infrastruktur wirtschaftlich ist oder konsolidiert werden muss! � Schützen Sie Ihren E-Mail-Ein- und Ausgang und installieren Sie eine ausfallsichere Anti-Spam-Lösung!

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

� Im Zuge von Mobile Business ist es wichtig, dass der Schutz aller Endgeräte garantiert ist. � Entscheiden Sie sich für Unified Threat Management, um die Lösungen zentral zu steuern! � Verschlüsseln Sie unternehmenskritische Daten!

Prüfe, wer sich bindet:

Fragen an den externen Dienstleister  Wie kann die Anfälligkeit meiner IT gegenüber unbefugtem Zugriff von außen vermindert werden?  Welche Konsequenzen sollten wir aus den Veröffentlichungen von Edward Snowden über die Aktivitäten der NSA und zahlreicher anderer Organisationen ziehen, um die digitale Souveränität unseres Unternehmens sowie unserer Mitarbeiter, Geschäftspartner und Kunden gewährleisten zu können?  Können wir uns darauf verlassen, nicht in Cyberwar-Aktivitäten zwischen Staaten und Ideologien hineingezogen zu werden?  Wird in unserem Unternehmen der Notwendigkeit von Aufklärung, Bewusstseinsbildung und Investition in wirksame Abwehrmaßnahmen die ihr zukommende Bedeutung zugemessen?  Welche Technologien benötigen wir konkret, um jene Einfallstore geschlossen zu halten, die herkömmliche Lösungen nicht explizit (er) kennen?  Wie sieht es mit der Kosten-Nutzen-Relation aus?

PRÄVENTIV IST DAS NEUE REAKTIV!

31


32

Worauf mittelständische Unternehmen in punkto Cybersicherheit achten sollten schäden kosten bares Geld. Laut

Wie können sich Firmen vor solchen Angriffen schützen?

einer Studie von Kaspersky Lab

Basisschutz bieten professionel-

betragen die Kosten, die ein

le Lösungen wie unsere flexibel

deutsches mittelständisches

einsetzbare und skalierbare Unter-

Unternehmen in Folge eines

nehmenslösung Kaspersky Endpoint

Cyberangriffs berappen muss,

Security for Business [1]. Damit

durchschnittlich 41.000 Euro.

schützen und verwalten Unterneh-

Cyberattacken und ihre Folge-

men alle Bereiche ihrer IT-InfraHolger Suhl, General Manager

struktur – auch mobile Geräte wie

DACH bei Kaspersky Lab, weiß

Smartphones oder Tablets. Gegen

um die größten Cybergefahren

DDoS-Angriffe schützt die Spezial-

und gibt in diesem Interview ein

lösung Kaspersky DDOS Protection

paar praktische Tipps für die

[2].

Sicherheit der eigenen Unterneh-

Herr Suhl, was sind gegenwärtig die drei größten Bedrohungen für die Unternehmens-IT?

Stichwort DDoS-Angriffe. Vor allem Firmen, die von einem Online-Dienst abhängig sind, sollten sich davor schützen, richtig?

Eine Kaspersky-Studie hat ergeben,

Exakt. Bei DDoS-Angriffen wird die

dass Spam, Schadprogramme und

Erreichbarkeit einer Webseite ge-

Phishing die drei größten Bedrohun-

fährdet, indem Unternehmensserver

gen für deutsche Unternehmen sind.

mit unzähligen sinnlosen Anfragen

Zudem haben die befragten Firmen

so lange überlastet werden, bis

mit dem Diebstahl mobiler Geräte,

der Dienst eingeschränkt ist oder

Hacking-Angriffen und DDoS-Atta-

zusammenbricht. Fällt eine Webseite

cken (Distributed Denial of Service)

längerfristig aus, kann das für viele

zu kämpfen.

Unternehmen gravierende finanzi-

mens-IT.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

33

elle und reputationsschädigende Folgen haben. Gerade wenn man von einem funktionierenden OnlineDienst, wie zum Beispiel einem Online-Shop, abhängig ist.

Sollten Unternehmen ihre Online-Dienste speziell sichern? Von Web-Diensten abhängige Firmen sollten präventiv agieren. Moderne Schutzlösungen bieten einen wirtschaftlichen DDoS-Schutzschild, der die Netzinfrastruktur eines Unternehmens abschirmen, aufkommende Angriffe erkennen und

Holger Suhl ist General Manager DACH bei

gegebenenfalls eindämmen kann.

Kaspersky Lab. Er verantwortet seit Mai 2013

Zudem sollten Firmen im Falle einer

als General Manager DACH bei Kaspersky

DDoS-Attacke das betroffene System

Lab die Geschäfte im Heimanwender- und

sofort abschotten und den Provider

Unternehmensbereich für Deutschland,

kontaktieren.

Österreich und die Schweiz.

[1] http://www.kaspersky.com/ de/business-security [2] http://www.kaspersky.com/ de/business-security/ddosprotection

Kaspersky Labs GmbH Despag-Straße 3 D-85055 Ingolstadt Telefon: +49-(0)841-981 89 0 Telefax: +49-(0)841-981 89 100 Internet: www.kaspersky.de E-Mail: info@kaspersky.de

PRÄVENTIV IST DAS NEUE REAKTIV!


34

Social Engineering-

Angriff(e)

Login

Password

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

IT-Sicherheit hängt von Menschen ab

(jb) Bei der Digitalisierung geht es auch darum, bestehende Kompetenzen im Unternehmen mit den neuen Werten und Erfolgsmodellen der digitalen Welt zu verbinden. Jede Beeinträchtigung dieses Zieles kann im konkreten Fall immense Kosten verursachen – für das einzelne Unternehmen genauso wie für die gesamte Wirtschaft.

IT-Sicherheit – also Datensicherheit, Datenschutz, Netzwerksicherheit und IT-Verfügbarkeit – muss daher zum Ziel haben, eine möglichst hohe Stabilität zu schaffen. Diese ist in erster Linie von einer systematischen Vorgehensweise abhängig. Auch die Implementierung einzelner technischer Maßnahmen beruht auf dieser Systematik – allerdings erst im zweiten Schritt.

IT-Sicherheit – Was ist das genau? � Vertraulichkeit – Nur dafür autorisierte Personen dürfen im Rahmen ihrer Aufgaben und Berechtigungen bestimmte Daten erzeugen, lesen beziehungsweise verändern. � Verfügbarkeit – Anwendungen und Daten müssen kontrolliert und nachvollziehbar innerhalb bestimmter Zeiten aufrufbar und bearbeitbar sein, um einen geregelten Geschäftsbetrieb zu gewährleisten. � Integrität – Die Veränderung vorhandener Informationen muss in Bezug auf die bearbeitende Person(en) und den Zeitpunkt in einer lückenlosen Historie nachvollziehbar sein.

SOCIAL ENGINEERING-ANGRIFF(E)

35


36

� Authentizität – Personen und Daten müssen hinsichtlich ihrer „Echtheit“ überprüfbar sein. � Zurechenbarkeit – Anhand von Protokollen muss nach vollziehbar sein, wer wann welche Handlungen durchgeführt hat. � Rechtsverbindlichkeit – Digitale Signaturen gewährleisten, dass elektronisch geschlossene Verträge juristisch gültig sind. Die IT-Sicherheit wird auch immer wichtiger, da es neben technischen und menschlichen Fehlern ständig neue und vermehrt aktive Angriffe von gut organisierten Cyberkriminellen auf digitale „Quellen“ gibt mit dem Ziel: � Systemausfälle zu provozieren, � Ressourcen unerlaubt bzw. illegal zu nutzen, � Inhalte zu verändern, � Unternehmen und deren Projekte zu sabotieren, � Informationen und Know-how auszuspionieren, � Daten und Informationen zu stehlen, um damit betrügerisch tätig zu werden. Das Bewusstsein für die tatsächlich vorhandene Bedrohungslage muss daher im Unternehmen auf allen Ebenen vorhanden sein. Die „Gegenseite“ arbeitet in der Regel gezielt mithilfe von kriminellen IT-Experten und großen finanziellen Interessen. Sie setzt nicht nur auf Technologie, sondern im Vorfeld oft auch auf „Social Engineering“ – also den menschlichen Faktor. Und sie ist gierig auf das wertvollste Gut eines Unternehmens: das Know-how. Der erste Schritt zum Angriff erfolgt häufig durch die Hintertür des „Social Engineering“, also des Ausnutzens von Informationen über Personen in der Kommunikation. Hier kann beispielsweise eine durch den Spam-Filter gerutschte E-Mail mit einer persönlichen, inhaltlich relevanten Ansprache oder ein verschenkter USB-Stick Interesse wecken und besondere Bedürfnisse, private oder berufliche Interessen oder Finanzthemen des Adressaten an die Oberfläche spülen. IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Sie können im zweiten Schritt zum „Handshake“ – sprich verhängnisvollen Mausklick, Besuch einer Website oder der Benutzung eines vorbereiteten Speichermediums – führen, über die dann die Infektion mit Schadsoftware erfolgt – in der Regel unbemerkt. Die Abwehr beziehungsweise Entdeckung solcher ausgeklügelter Angriffe und „Maulwurftätigkeiten“ beruht – neben der Awareness von Mitarbeitern auf allen Unternehmensebenen – seitens der IT-Security auf dem Einsatz von Sicherheitstools und Prozessen, die in Sachen Professionalität und Aktualität sowie Mitteln und Methoden der Angreifer in nichts nachstehen. Es geht dabei nicht nur um die technische Herausforderung, sondern in erster Linie um den konkreten Nutzen dieser Maßnahmen aus der Sicht des Geschäfts. Dazu gehören beispielsweise: � Schutz vor direkten und indirekten finanziellen Schäden für das Unternehmen � Know-how-Schutz � Integrität von Daten und Wissen �

Schutz vor straf- und zivilrechtlichen Konsequenzen auf Entscheiderebene

� Compliance als Imagefaktor Häufig wird versucht, im IT-Bereich Einsparungen durchzusetzen. Die Anfälligkeit der IT gegenüber kriminellen Übergriffen kann aber steigen, wenn am falschen Ende gespart wird. Hinzu kommt die Tatsache, dass es mitunter eben am Bewusstsein für die Notwendigkeit einer verlässlichen IT-Security über den bloßen AV-Schutz hinaus fehlt. Dem ist durch Aufklärung, Bewusstseinsbildung und Investition in wirksame Abwehrmaßnahmen proaktiv entgegenzuwirken.

SOCIAL ENGINEERING-ANGRIFF(E)

37


38

IT-Sicherheit – welche Bedrohungen gibt es? höhere Gewalt – Feuer, Wasser, Sturm, Erdbeben Fehlbedienung – versehentliches Löschen, Verlust von mobilen Endgeräten Viren, Trojaner, Würmer – verursachen IT-Stillstand, verlangsamen die Arbeit, löschen oder verändern Daten Spoofing – Vortäuschen einer Identität, zum Beispiel einer Website oder eines E-Mail-Abseners Phishing – der Versuch, über gefälschte Webseiten, E-Mails oder andere digitale Kommunikation an persönliche Daten – wie zum Beispiel Bankzugangsdaten – einer Person oder Organisation zu kommen, um diese dann unrechtmäßig zu benutzen Denial-of-Service-Attacken – Die gezielte Überlastung eines Servers im Internet mit einer hohen Anzahl von Anfragen – Beispiel Webshop, Website oder Mailserver – mit dem Ziel, ihn für eine gewisse Zeit unerreichbar zu machen. Social-Engineering-Angriff – Der Versuch, durch direkte Beeinflussung jemanden zur Herausgabe von Informationen oder zu sonstigen Aktivitäten zu veranlassen.

Was gilt es konkret zu verhindern? Systemausfälle, Informationsverluste, Know-how-Verluste bzw. Daten­ diebstahl können neben der technischen Implikation vielfältige Konsequenzen für ein Unternehmen haben, die es zu verhindern gilt. Beispiele sind: � Die Bonitätsbewertung kann sich verschlechtern – Das kann akut zu Finanzierungsproblemen führen und im Extremfall das Überleben eines Unternehmens gefährden. � Die Reputation kann beschädigt werden – Im Rahmen von Gesetzesvorhaben droht möglicherweise eine Veröffentlichungspflicht, wenn ein Unternehmen Opfer von Cyber-Angriffen wurde. IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

� Regressansprüche von geschädigten Personen und Geschäftspartnern können entstehen – Wenn aufgrund eines Datendiebstahls zum Beispiel Kreditkartendaten von Webshop-Kunden illegal benutzt wurden, kann dies zu Schadensersatzforderungen führen.

IT-Sicherheitsstrategie – Tipps für eine strukturierte Vorgehensweise Um den Überblick zu behalten und um IT-Sicherheitsstrukturen und Vorgehensweisen gezielt (weiter-) entwickeln zu können, bedarf es einer einfachen aber strukturierten Vorgehensweise, um bestehende Sicherheitssysteme kontinuierlich an die „Umwelt“ anzupassen beziehungsweise um die Unternehmens-IT und alle mit ihr zusammenhängenden Geschäftsabläufe gegen die Ziele von Cyberkriminalität zu wappnen. Eine wichtige Rolle spielt die Übertragung von Vorgehensweisen aus der herkömmlichen IT-Sicherheit auf Bereiche des Kerngeschäfts – und vor allem die Sensibilisierung der Mitarbeiter. Stellen Sie sich daher folgende Fragen: Was muss geschützt werden und welche Bedeutung hat das zu schützende Objekt für mein Unternehmen? Handlungsempfehlung: Gehen Sie davon dass es in Ihrem Unternehmen unterschiedliche „Schwachstellen“ menschlicher, organisatorischer, aber auch technischer Natur gibt. Finden Sie heraus, wo diese liegen und ob sie sensible Daten, Systeme, Produkte, Kommunikationsinhalte, Geschäftsabläufe oder Know-how betreffen. Das ist übrigens Chefsache – natürlich gemeinsam mit Mitarbeitern und IT-Verantwortlichen! Welche konkreten Gefahren gibt es? Handlungsempfehlung: Entwickeln Sie unterschiedliche konkrete „WorstCase-Szeanarien“ – vom Stromausfall über den Hackerangriff oder die Infektion mit Schadsoftware bis zum unerlaubten „andocken“ fremder Hardware und prüfen Sie, welche Gegenmaßnahme es bereits gibt und ob diese ausreichen. SOCIAL ENGINEERING-ANGRIFF(E)

39


40

Welches Ereignis kann welche Einschränkungen des Geschäfts­ betriebs oder Schäden hervorrufen? Handlungsempfehlung: Finden Sie aufgrund der Schadensszenarien heraus, wie hoch die jeweils möglichen Schäden zu beziffern sind, wie schnell diese beseitigt werden können – und ob es dagegen in Ihrem Unternehmen eine Versicherung gibt. Welche IT-Sicherheitsrisiken haben im Fall der Fälle welchen „Impact“? Handlungsempfehlung: Alles ist relativ, auch die Wahrscheinlichkeit von IT-Sicherheitsvorfällen. Und: Eine 10prozentige Sicherheit gibt es auch in der IT nicht! Also finden Sie heraus, mit welchen „Lücken“ Sie leben können, wo möglicherweise die Kosten höher als der Nutzen sind und richten Sie auch danach Ihr IT-Sicherheitskonzept aus. definiert. Sind die Mitarbeiter über die wichtigsten Aspekte der Cybersecurity informiert? Handlungsempfehlung: IT-Sicherheit fängt in de Köpfen an. Verankern Sie das Bewusstsein dafür bei sich und ihren Mitarbeitern so fest im täglichen Umgang mit der IT wie den Blick nach links und rechts, wenn Sie eine Straße überquert – selbst wenn die Ampel „Grün“ zeigt.

Fazit Unternehmer müssen sich in Zeiten der Digitalisierung noch intensiver mit dem Thema IT-Sicherheit befassen. Dabei verschiebt sich der Schwerpunkt von rein technischen Abwehrmaßnahmen auf strategische Betrachtungen mit der Konsequenz, dass es mehr den je darauf ankommt, die richtigen Entscheidungen zu treffen.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Folgende Fragen sind daher von Bedeutung: � Was sind in Ihrem Unternehmen die Erfolgsfaktoren beim Management von Informationssicherheit? � Wie kann der Sicherheitsprozess von Ihnen und Ihrem Team gesteuert und überwacht werden? � Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt? � Wie werden Sicherheitsmaßnahmen ausgewählt und ein Sicherheitskonzept erstellt? � Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden? Es kommt neben dem hier beschriebenen strategischen IT-Sicherheitsansatz natürlich auch darauf an, professionelle und intelligente IT-Sicherheitslösungen in Form von Software, Hardware oder Appliances einzusetzen. Diese sollten auch mit den nötigen Erweiterungen ausgestattet bzw. ergänzt werden, um auch nicht konkret bekannte Bedrohungen identifizieren, isolieren und analysieren zu können1. Und das, ohne die Netzwerkleistung oder die Arbeit zu beeinträchtigen – schließlich darf IT-Sicherheit kein Flaschenhals sein, der Ihr Geschäft behindert!

1

Lesen Sie hierzu mehr im Beitrag „Netzwerksicherheit contra Tempo im Ge-

schäft – Die Schildkröte ist out!“ auf Seite 47 SOCIAL ENGINEERING-ANGRIFF(E)

41


42

Prüfstein der Informationssicherheit – Zertifizierung auf der Basis von IT-Grundschutz (jb) IT-Sicherheit ist mehr als eine technische Lösung für die Infra­struktur: Da die IT in vielen Unternehmen bereits alle ­Geschäftsprozesse unterstützt, muss ihre Sicherheit ganzheitlich betrachtet bzw. gemanagt werden. Die Chance: Unternehmen können beispielsweise mit einer ISO-27001-Zertifizierung gegenüber Kunden und Partnern die Sicherheit und Qualität ihrer IT-basierten Geschäftsprozesse dokumentieren.

Banken erwarten beispielsweise von Unternehmen, dass sie unter anderem IT-Ausfallrisiken und somit Kreditrisiken minimieren. Wer dem nicht entspricht, gefährdet möglicherweise seine Liquidität – oder bezahlt mit hohen Zinsen dafür. Aber auch das Finanzamt erwartet, dass die Unternehmensdaten im gesetzlich vorgeschriebenen Aufbewahrungszeitraum zur Verfügung stehen. Entsprechend der Grundsätze ordnungsgemäßer Buchführung bei IT-gestützter Rechnungslegung (GoBS) müssen eine Reihe von Kriterien bei der Erfassung, Verarbeitung, Ausgabe, Sicherung und Aufbewahrung der rechnungsrelevanten Daten erfüllt werden. In der Praxis heißt das für Unternehmen, dass sie beispielsweise die Grundsätze zum geregelten Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) bei künftigen Anschaffungen berücksichtigen, die Einsatzmöglichkeiten eines Archivierungskonzepts prüfen, ein Datensicherungskonzept erstellen oder prüfen und eine Nachvollziehbarkeit der Prüfung, beispielsweise durch Drittsysteme, sicherstellen müssen.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Das BSI zertifiziert nach eigenen Angaben „das Zusammenspiel von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Umsetzung von Geschäftsprozessen und Fachaufgaben dienen.“ Diese Zertifizierung umfasst die Prüfung des Managementsystems für Informationssicherheit und die Prüfung der konkreten Sicherheitsmaßnahmen auf Basis von IT-Grundschutz. Weitere Informationen: www.bsi.de

SOCIAL ENGINEERING-ANGRIFF(E)

43


44

E-Mail-Sicherheit – (K)ein wunder Punkt des deutschen Mittelstands

„E-Mail-Sicherheit ist der wunde

Die Herausforderungen an Ver-

Punkt des deutschen Mittelstands.

traulichkeit und Datenschutz in der

Über die Hälfte aller deutschen

E-Mail-Kommunikation können und

Unternehmen hat 2014 ihre E-Mails

müssen deshalb mit einfach hand-

ohne jegliche Sicherheitsmaßnah-

habbaren Lösungen und Mechanis-

men versendet – und das in Zeiten

men in den Griff bekommen werden.

zunehmender Digitalisierung und grassierender Wirtschaftsspionage.

Die eigenen Mitarbeiter nicht mit zusätzlichen Aufgaben oder tech-

Dabei ist und bleibt auf absehbare

nischen Aspekten zu belasten, ist

Zeit die E-Mail das wichtigste Kom-

dabei ein wichtiger Punkt. Denn nur,

munikationsmedium: 109 Milliar-

wenn der Spagat zwischen Sicher-

den geschäftliche E-Mails werden

heit, Wirtschaftlichkeit und sinnvol-

weltweit täglich nach Angaben

lem Einsatz gelingt, wird eine Lösung

der Radicati Group gesendet und

zur E-Mail-Verschlüsselung sich im

empfangen, Tendenz steigend. Ihre

täglichen Betrieb behaupten.

Inhalte: Präsentationen, Verträge, Geschäftsberichte, Rechnungen –

Gefragt ist ein zentraler, empfän-

allesamt hochsensible und vertrau-

gerunabhängiger Ansatz, wie ihn

liche Geschäftsdaten, die, offenbar

beispielsweise GROUP Business

zumindest in Deutschland, zum

Software mit ihrer Server-basierten

Großteil im Klartext im World Wide

E-Mail-Management-Lösung iQ.Suite

Web unterwegs sind.

bietet. Die klassischen schlüssel- und zertifikatsbasierenden

Nun sind die gängigen Verschlüsse-

Verfahren werden im B2B-Bereich

lungsverfahren mit ihrem aufwän-

unterstützt, jedoch finden sämtliche

digen Zertifikats- und Schlüssel-

Ver- und Entschlüsselungsprozesse

management komplex. Der Einsatz

auf dem Mail-Server statt.

gestaltet sich deshalb oft schwierig. IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

45 Andreas Richter ist EVP Marketing & Product Management bei GBS und verantwortet die weltweite Marketingund Produktstrategie. In seiner Arbeit verknüpft er umfassende Marketing-Expertise mit einem breiten ITKnow-how in Bereichen wie IT-Sicherheit, E-Mail-Management, Collaboration, Social Business, SaaS, Compliance und Mobility.

Die Mitarbeiter bekommen davon nichts mit; sie senden und empfangen ihre E-Mails wie gewohnt. Und auch im B2C-Umfeld gibt es dank Möglichkeiten, die E-Mail-Kommuni-

GROUP Business Software AG

kation abzusichern. Daher ist nicht

Ottostrasse 4

die Frage, ob Unternehmen ihre

D-76227 Karlsruhe

elektronische Kommunikation absi-

Germany

webbasierter Verfahren, intuitive

chern sollten, sondern warum sie es längst noch nicht umgesetzt haben.“

Tel.: +49 721 4901-0 Fax: +49 721 4901-199 http://www.gbs.com info@de.gbs.com

SOCIAL ENGINEERING-ANGRIFF(E)


46

Schutz

Wirksamer ohne

Leistungseinbußen Login

Password

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Netzwerksicherheit contra Tempo im Geschäft – Die Schildkröte ist out!

(jab) Wir befinden uns im Kontext der Digitalisierung nicht nur in Bezug auf die IT-Nutzung im Wandel. Auch in der ITSicherheit vollzieht sich ein Paradigmenwechsel. Firewalls und Antivirus-Programme alleine reichen im Zusammenhang mit der Digitalisierung der Unternehmen längst nicht mehr aus.

Alles kann gehackt werden, jede Anwendung, jedes Gerät. Schnell ist mal ein Link geteilt oder eine Schadsoftware auf einer Website durch einen Klick aktiviert. So das aktuelle Szenario. Potenziell geht es aber nicht darum, wo Vertrauen aufhört und Misstrauen anfängt.

Unflexibler Panzer oder intelligente Abwehr? Eine spannende Metapher für IT-Security hat das IT-Sicherheitsmagazin IT SecCity gefunden: Es erklärt IT-Sicherheit mit einer Schildkröte: Ihr Panzer schützte lange Zeit vor Angriffen, dabei wären die nötigen Öffnungen zur Außenwelt klein genug, um geschützt zu sein. In den 2000er Jahren hätte dann die reptilienhafte Security Probleme bekommen: Die Frequenz der Angriffe stieg exponentiell, die Zahl der verwendeten Komponenten wurde unübersichtlich und spätestens mit der Erfindung des iPhones hätten die User angefangen, aktiv Löcher von innen in den Panzer zu bohren. Für jede Firewall oder interne Richtlinie, die im Weg gestanden hätte, suchten sie kreative Wege, diese zu umgehen.

WIRKSAMER SCHUTZ OHNE LEISTUNGSEINBUSSEN

47


48

Die Frage ist: Was ist der richtige Weg, um mit dieser Situation umzugehen? Ist „Zero Trust“ die Lösung? Erstmalig wurde der Ansatz unter dem Motto „Vertrauen ist gut, Kontrolle ist besser” von Forrester Research genannt. Dabei genießt keiner mehr einen Vertrauensvorschuss – ganz gleich, ob Anwender, Systeme oder Applikationen. Was passiert aber, wenn sich die Schildkröte, um im Bild zu bleiben, ganz in ihren Panzer zurückzieht? Es geht gar nichts mehr. Die Frage ist also: Wie können Systeme gleichzeitig den heutigen Ansprüchen an die Performance moderner Digitalisierung und den entsprechenden Sicherheitsbedürfnissen genügen? Oder anders: Wie kann die Schildkröte trotz zahlreicher Löcher im Panzer eine neue Schutzhülle überstreifen, die sie zum einen schützt, aber sie gleichzeitig trotzdem nicht in der Beweglichkeit einschränkt? Im Gegensatz zum Zero-Trust-Ansatz könnte ein anderer die intelligente Performance von eingesetzten IT-Sicherheitslösungen sein. Deshalb möchten wir Ihnen in nachfolgend einige intelligente Ansätze vorstellen, wie CyberGefahren innovativ und mit Feingefühl begegnet werden kann, ohne die Leistungsfähigkeit und Geschwindigkeit des Netzwerks einzuschränken.

Intelligenter Security-Ansatz Nummer 1 Gemeinsam stark gegen Dauergefahren Insbesondere so genannte Advanced Persistent Threats (APT), also hochspezifische Langzeitbedrohungen, die in den letzten Jahren auffallend zugenommen haben, zeigen anschaulich, welcher Sicherheitsanspruch an moderne IT-Security gestellt wird. APTs sind taktisch intelligent eingefädelt. Versteckt auf Websites mit einem Klick befreit, oder innerhalb einer E-Mail verschickt, arbeitet Schadsoftware so lange wie möglich im Hintergrund, bis ein System vollständig kontaminiert ist oder aber über einen langen Zeitraum wichtige Daten

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

gehackt wurden. Die Analysten von Gartner gehen sogar soweit, in diesem Zusammenhang IT-Bedrohung als Dauerzustand zu sehen. Was also tun, wenn das System ständig und immer unter „Beschuss“ steht? Auch hier bietet es sich an, intelligent vorzugehen, anstatt den Kopf in den Sand zu stecken. Vor allem geht es um die intelligente Kombination von Hardware-Komponenten und extra darauf abgestimmter Software, so genannten Appliances. Fazit: Ganz nach dem Motto „Angriff ist die beste Verteidigung“ kann der Komplexität moderner Cyber-Angriffe, die aus mehreren Elementen, wie etwa Social Engineering, Links auf virus-belastete Seiten und/oder ständig neuer Schadsoftware bestehen, nur mit gleichen Taktiken begegnet werden: Eine gute Abwehr muss mit intelligenten Kontrollvorkehrungen und einem regelmäßigen Reporting einhergehen.

Intelligenter Security-Ansatz Nummer 2 Software Defined Networks für mehr Verfügbarkeit, Transparenz und Kontrolle Neben der Performance der Systeme, die bei Zero-Trust-Lösungen erheblich beeinträchtigt werden, stellt sich auch die Frage, wie Verfügbarkeit und Sicherheit optimal miteinander vereinbar sind. Dieser Herausforderung stellen sich unter anderem so genannte Software Defined Networks (SDN). Dabei werden bestimmte Hardwareelemente durch Software ersetzt. Das vereinfacht nicht nur die gesamte Netzwerkarchitektur, es erhöht auch die Verfügbarkeit, Transparenz und Kontrollierbarkeit des gesamten Systems und ist zudem einfacher steuerbar. Vor allem sind Dienste, Daten und auch Applikationen im SDN viel zuverlässiger zu nutzen als in gewohnten Netzumgebungen. Neben der besse-

WIRKSAMER SCHUTZ OHNE LEISTUNGSEINBUSSEN

49


50

ren Steuerbarkeit punktet SDN auch mit einer sehr guten Protokollierbarkeit, was wiederum auf die Sicherheit einzahlt. Apropos Sicherheit: Die Dokumentierbarkeit kann gerade für mittelständische Unternehmen zum ausschlaggebendem Wettbewerbsvorteil werden. Denn im Zuge immer härterer Anforderungen an Compliance und Sicherheit bieten SDN bei der Auftragsvergabe vielleicht den ausschlaggebenden Aspekt in der Auftragserteilung. Fazit: Virtuelle Router, Firewalls, VPN-Gateways und Load Balancer sorgen nicht nur technisch für Flexibilität. Sie minimieren auch die „Schrauberei“ der IT: Wird die virtuelle Instanz nicht mehr benötigt, ist sie mit wenigen Klicks wieder entfernt.

Intelligenter Security-Ansatz Nummer 3 Hyperscaling für schnellere Reaktionszeiten Die rasante Zunahme an Daten, Webinhalten und Software, insbesondere Apps, stellen große Herausforderungen für Rechenzentren dar. Die Crux dabei: Es fallen Unmengen an einfachen Rechen-Aufgaben an, die eigentlich nur eine geringe Rechenleistung benötigen, zum Beispiel die Bereitstellung von Software oder Daten. Die Folge: Die bisherigen Rackserver-Strukturen sind völlig überdimensioniert und werden schon in naher Zukunft nicht mehr bezahlbar sein. Der Hyperscaling-Ansatz zeichnet sich durch effiziente Skalierung Rechenkapazität in verteilten Rechenzentren aus. Der Aufbau besteht aus eher einfachen Server-Systemen, die um ein Vielfaches günstiger sind, sollte eine Komponente ausfallen. Fazit: Für App-Anbieter, App-Betreiber, Online-Handelsunternehmen, IT-Dienstleister und Cloud-Anbieter bieten sich durch Hyperscaling unter anderem folgende Vorteile:

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

� Durch die skalierte Anwendung und Speicherung in mehreren Rechenzentren bzw. Servern sinkt die Gefahr vor Angriffen und Ausfällen, da diese jederzeit auch umverteilt werden können. � Zugriffszeiten für Apps werden durch die Standortverteilung optimiert. 
 � Durch den modularen Aufbau der Infrastruktur lassen sich Einzelkomponenten schneller und kostengünstiger austauschen als komplette Server. � Da einfachste Komponenten zum Einsatz kommen, sinken die Kosten.

Intelligenter Security-Ansatz Nummer 4 Cloud Computing „Made in Germany“ Wir wissen: Coud Computing und deutscher Mittelstand wollten bisher nicht wirklich zusammenkommen. Aber auch mittelständische Unternehmen werden in Zukunft nicht mehr darum herumkommen, Software-as-aService- und Cloud-Angebote zu nutzen, vor allem, um Kosten zu sparen. Wie aber findet ein Unternehmen die richtige und vor allem eine sichere Cloud-Lösung für sich? Auf den Webseiten des Cloud Ecosystems oder von German Cloud finden sich zahlreiche praktische Tipps, worauf man bei der Cloud-Wahl achten sollte: www.cloudecosystem.org und www.germancloud.de. Fazit: Noch gibt es keine standardisierten Gütesiegel. Zertifizierungen des Cloud Ecosystems, wie „Trust in Cloud” oder „German Cloud” streben aber diesen Weg an. Sie geben dem Kunden Orientierung und liefern eine wertvolle Antwort zum Ort der Datenhaltung, dem Service des Anbieters und weiteren Qualitätsstandards. Seriöse Anbieter sind offen: in ihrer Ansprache, bei Fragen zur Datenhaltung und Verfügbarkeit ihres Cloud-Services. Tipp: Dieses kurze informative und auch unterhaltsame Video fasst die Vorteile von Cloud Computing „Made in Germany” zusammen: https://youtu.be/5SUOO2ukhr8

WIRKSAMER SCHUTZ OHNE LEISTUNGSEINBUSSEN

51


52

Intelligenter Security-Ansatz Nummer 5 Cyber Defense Center Jetzt mal eine gute Nachricht: Sie sind nicht allein im Kampf gegen CyberKriminelle! Cyber Defence Center (CDC) sind die Antwort von Netzwerkbetreibern, wie beispielsweise der Deutschen Telekom, Komponenten- und Softwareherstellern sowie Anbietern von Sicherheitslösungen auf die Bedrohungen, die heute im World Wide Web lauern. In den CDC werden Informationen zu Angriffsszenarien zusammengetragen und untersucht. Sie decken potenzielle Lücken im Netz auf, warnen und geben Hilfestellung, wie möglichen Bedrohungsszenarien begegnet werden kann. CDCs teilen ihr Wissen oft weltweit miteinander. Wichtig sind diese Informationen für Behörden, wissenschaftliche Institutionen, Banken, Hosting Provider und Unternehmen sowie für Anbieter von IT- Security-Lösungen. Der Nutzen kommt somit nicht nur großen, sondern auch kleinen Unternehmen und Organisationen zugute. Fazit: Cyber Defence Center schaffen größtmöglichen Schutz, da sie Prophylaxe betreiben. So muss nicht nur erst im „Verteidigungsfall“ reagiert werden. Größte Herausforderung: Mit dem rasanten Fortschritt der Netzinfrastrukturtechnologien und der gleichzeitigen Diversifizierung des kriminellen Bedrohungspotenzials Schritt zu halten. Tipp: Ein Beispiel dafür, wie ein Cyber Defence Center arbeitet, finden Sie hier: http://security.t-systems.de/loesungen/enterprise-cyber-security

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Zusammenfassendes Fazit Wie schon zu Anfang festgestellt wurde: Auch wenn die Gefahren aus dem Netz sekündlich zunehmen und sich kein Unternehmen mehr in Sicherheit wiegen darf – in Angststarre zu verfallen, ist keine Lösung. Genauso wenig, wie sich vor der Außenwelt zuzumauern. Im Hinblick auf Performance und Durchsatz, die heutige Digitalisierung von Unternehmen fordert, gibt es in punkto IT-Sicherheit nur eine Wahl: den intelligenten und fein auf die Bedürfnisse des Unternehmens abgestimmten Einsatz von Sicherheitslösungen, in einer Kombination von Hard- und Software-Komponenten. Und nicht vergessen: Die Schulung und Sensibilisierung der Mitarbeiter gehört mindestens genauso dazu wie die Auswahl effizienter Technologie.

WIRKSAMER SCHUTZ OHNE LEISTUNGSEINBUSSEN

53


54

End-to-End-Sicherheit mit Fortinet – innovativ, leistungsstark und unkompliziert Die Mission von Fortinet lautet: Innovativste, sicherste und leistungsstärkste Netzwerk-Sicherheitsplattformen bieten und IT-Infrastruktur vereinfachen. Wir sind ein führender globaler Anbieter von Netzwerk-Sicherheitslösungen für Carrier, Rechenzentren, Unternehmen und verteilte Niederlassungen. Durch ständige Innovation unserer speziell angepassten Hardwaresysteme, Netzwerksoftware, Verwaltungsmöglichkeiten und Sicherheitsforschung haben wir einen großen, schnell wachsenden und hochzufriedenen Kundenstamm. Wir sehen drei wesentliche Herausforderungen, mit denen Unternehmen heute konfrontiert sind, wenn es um die Verfügbarkeit von IT-Diensten, Datensicherheit und Know-how-Schutz geht: Sicherheit: der Kampf gegen moderne Bedrohungen • Die hoch entwickelten Bedrohungen unserer Zeit verursachen mehr Schaden als je zuvor. • Die meisten Anbieter verlagern wichtige Aspekte der Bekämpfung nach außen oder bieten sie überhaupt nicht an. • Unternehmen müssen Lösungen Stück für Stück entwickeln.

Leistung: Sicherheit wird zum Bremsklotz • Die Netzwerkbandbreite muss wegen der wachsenden Anzahl an angeschlossenen Geräten, Datenvolumen, Virtualisierung, Cloud-Speicherung und SaaSAnwendungen alle 18 Monate verdoppelt werden. • Netzwerk-Sicherheitslösungen, die nicht schnell genug weiterentwickelt werden, werden zum Schwachpunkt und bremsen wichtigen Datenverkehr und damit Unternehmensprozesse. Komplexität: Sicherheit ist zu komplex geworden • Im Lauf der Zeit haben Unternehmen viele verschiedene punktuelle Lösungen gegen immer neue Bedrohungen eingesetzt. • Zentrale, Filiale, Rechenzentrum und Cloud nutzen unterschiedliche Plattformen. • Viele Verwaltungskonsolen, uneinheitliche Regelungen und Funktionen sowie verschiedene UpdateZyklen führen zu langsamer und unzuverlässiger Reaktion auf neue Bedrohungen.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

55

Fortinet setzt dem eine Auswahl von Lösungen entgegen, die allen Unternehmen den richtigen Schutz mit deutlich weniger Komplexität bieten:

Hochleistungs-Lösungen Die branchenführenden HochleistungsSicherheitsplattformen von Fortinet bieten eine Next Generation Firewall (NGFW) mit außerordentlichem Datendurchsatz, äußerst niedriger Latenzzeit und Multi-Vektor-Schutz.

Mittlere Lösungen

Security-Experte Jörg von der

Mit unseren bewährten HochleistungsSicherheitsplattformen finden Sie die richtige Balance zwischen Leistung und Preis für Ihre Anforderungen.

Heydt ist Channel Director

Einstiegslösungen Sie benötigen umfassenden Unternehmensschutz für Ihre kleinsten Niederlassungen, Vertretungen, Ausrüstung am Kundenstandort und Einzelhandelsnetzwerke? FortiGate-Appliances bieten den Vorteil, dass sie WLAN bereitstellen und Access-Points integrieren können, so dass Sie Ihren gesamten Traffic mit und ohne Kabel überwachen und steuern können.

Germany bei Fortinet Deutschland.

End-to-End-Security wird mit FortinetProdukten unkompliziert und kostengünstig realisierbar – in einzelnen, überschaubaren Projekt-Etappen, oder durch eine vollständige Migration mit vielen auf umfangreiche Rollouts abgestimmten Tools.

Service Unsere Kundensupportorganisation bietet weltweiten Techniksupport für alle Fortinet-Produkte mit Supportmitarbeitern in Amerika, Europa (auch Deutschland), dem Nahen Osten und Asien. FortiCare-Support bietet Dienstleistungen für Unternehmen jeder Größe.

Fortinet GmbH 60323 Frankfurt Feldbergstrasse 35 Tel. 069 310 192-0 Sales-germany@fortinet.com www.fortinet.com

WIRKSAMER SCHUTZ OHNE LEISTUNGSEINBUSSEN


56

Identitätssicherheit und Privatspäre Login

Password

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Die Verantwortung von Unternehmen wächst

(jb) Präsentieren und vernetzen, Kontakte knüpfen und Informationen austauschen, mit Kunden und Geschäftspartnern kommunizieren: Soziale Netzwerke, Blogs und Foren sind digitale Räume, die zunächst einmal im Prinzip jedem jederzeit offen stehen und von überall betreten werden können.

Welche Informationen Sie wem zur Verfügung stellen und mit wem Sie sich in welcher Form austauschen, liegt allerdings in Ihrer Verantwortung – egal ob Sie privat oder geschäftlich in „digitalen Räumen“ unterwegs sind. Um aber im Sinn des Daten- und Identitätsschutzes auch rechtlich auf der sicheren Seite zu bleiben sollten Sie darauf achten, dass Sie, aber auch Ihre Mitarbeiter, einige Regeln im Blick haben:

Gehen Sie in sozialen Netzwerken vorsichtig mit Informationen um! Austausch und Interaktion sind die Basis eines jeden Sozialen Netzwerks. Wer geschäftliche Informationen ins Netz stellt, muss allerdings auch damit rechnen, dass diese von anderen „benutzt“ werden. So können sich nicht nur Kunden und Geschäftspartner ein Bild von Ihnen und Ihrem Unternehmen machen. Beispielsweise stoßen bei zu lockeren Privatsphäre-Einstellungen Außenstehende möglicherweise auf interne Informationen, die sie nichts angehen.

IDENTITÄTSSICHERHEIT UND PRIVATSPHÄRE

57


58

Schützen Sie Ihre Identität – und die Ihres Unternehmens! Identitätsdiebstahl wird nicht nur direkt für den unbefugten Zugang zu Portalen, Netzwerken oder Bankkonten benutzt. Auch lukrativ ist in diesem Bereich der Cyberkriminalität der Diebstahl und anschließende Verkauf der Identitäten an Profis, die damit das richtig „dicke“ Geschäft machen. Bedenken Sie: Wenn die Identitäten von Menschen, die Ihr Unternehmen nach außen repräsentieren, kompromittiert sind, dann gilt das auch für die „Identität“ Ihres Unternehmens! Überlegen Sie daher genau, wem Sie Zugang zu welchen Daten gewähren und bedenken Sie: Das Internet vergisst nichts – auch wenn immer mehr Suchmaschinen mittlerweile unter bestimmten Voraussetzungen Inhalte löschen müssen!

Das Internet vergisst nicht! Haben Sie der Öffentlichkeit erst einmal sensible Informationen über das Internet zugänglich gemacht, können diese dennoch auch Jahre später noch an anderer Stelle auftauchen. Dazu gehören auch Konversationen aus Chats und Foren, beispielsweise mit Kunden, die sich mit Ihnen bzw. mit Ihren Mitarbeitern in öffentlichen Bereichen über Qualitätsfragen ausgetauscht haben. Es empfiehlt sich, einen Social-Media-Codex für die Mitarbeiter zu entwickeln, in dem klare Verhaltens- beziehungsweise Kommunikationsregeln aufgestellt werden.

Laden Sie nur rechtlich legitimierte Inhalte ins Internet! Sie sollten Texte, Bilder und Videos nur dann im Internet für Ihre Zwecke einsetzen, wenn Sie � die Rechte dafür besitzen, �

die Inhalte selbst erstellt haben,

die Daten keine Geschäftsgeheimnisse enthalten.

Fotos und Videos, auf denen Dritte gezeigt werden, dürfen nur mit der Zustimmung der gezeigten Personen verwendet werden. Auch personenbezogene Daten wie E-Mail, Adressen, Geburtsdatum etc. dürfen nur mit vorlieIT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

gender Zustimmung ins Internet geladen oder weitergegeben werden. Wählen Sie ein sicheres Passwort! Ein leicht zu merkendes Passwort ist leicht zu knacken! Ein sicheres Passwort sollte wenigstens 15 Zeichen lang sein und aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen bestehen. Verwenden Sie für jeden Zugang zu einem Portal, Shop oder Netzwerk ein anderes Passwort und wechseln Sie dieses regelmäßig.

Verschlüsseln Sie Ihre Kommunikation Digitale Kommunikation über das Internet erfolgt in Datenpaketen, die auf ihrer Reise zahlreiche Server wie „Bahnhöfe“ passieren, von denen aus sie bis zum Ziel weitergeleitet werden. Sind diese Datenpakete unverschlüsselt unterwegs, kann ihr Inhalt von technisch versierten Menschen mit Zugriff auf diese Server wie eine Postkarte gelesen werden. Sie sollten also zum Beispiel Ihre E-Mails verschlüsselt versenden. Ihr E-Mail-Dienstleister gibt Ihnen sicher die Informationen, wie Sie dies tun können. Dasselbe gilt für Datenverbindungen, auch hier wird der Datenstrom in Pakete gepackt, die theoretisch „eingesehen“ werden können. Eine sichere Möglichkeit, Datenverbindungen aufzubauen, ist ein Virtuelles Privates Netzwerk (VPN), das eine sichere Übertragung von Daten und Sprache ermöglicht. Aktualisieren Sie Ihre Betriebssysteme! Betriebssysteme wie Microsoft Windows, Android, Apple iOS etc. werden von den jeweiligen Herstellern laufend technisch weiterentwickelt – auch um möglicherweise in diesen Systemen enthaltene Schwachstellen zu schließen. Sie sollten deshalb darauf achten, dass die auf Ihren PCs, Smartphones, Tablets und anderen Geräten eingesetzte Version auf dem aktuellen Stand ist, Halten Sie Ihre Sicherheitssoftware auf dem neuesten Stand! Halten Sie neben Ihrer IT-Sicherheitslösung auch Ihr Betriebssystem immer auf dem neuesten Stand ist. So können Sie sich vor Phishing-Betrügern und dem Download von Schadprogrammen schützen. Extrem wichtig ist natürlich auch das Bewusstsein aller, dass es solche Betrugsversuche gibt. Daher nicht auf Links oder Dateianhängen in Nachrichten klicken, wenn diese nickt IDENTITÄTSSICHERHEIT UND PRIVATSPHÄRE

59


60

absolut als sicher einzustufen und von der eigenen Sicherheitssoftware untersucht worden sind.

Vorsicht bei Vernetzungsangeboten von Unbekannten! Das Vortäuschen einer falschen Identität ist im Internet einfach zu bewerkstelligen. Hier braucht Ihnen Ihr Gegenüber nicht in die Augen zu schauen. Prüfen Sie daher Vernetzungsangebote Ihnen unbekannter Personen oder Organisationen gründlich. So behalten Sie die Kontrolle darüber, wer was sehen und Kontakt zu Ihnen und Ihren Mitarbeitern aufnehmen darf.

Fazit Die Sicherheit der eigenen Identität und die Wahrung der Privatsphäre sind schon immer wichtige Aspekte im Umgang mit Menschen und Organisationen gewesen. Das ist im Internet, bei der digitalen Kommunikation und Interaktion nicht anders. Wenn Sie die oben genannten Tipps und Regeln beachten, kommen Sie Ihrer diesbezüglichen Verantwortung nach und wenden Schaden von sich und Ihrem Unternehmen ab.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


SO KÖNNEN SIE IHRE DIGITALEN KOMPETENZEN UND FÄHIGKEITEN (WEITER-)ENTWICKELN! 1

Inspirieren lassen 2

Erfahrungen austauschen

3

Hintergrundwissen 4

Selbsteinschätzung 5

Experten finden 6

Lösungen

www.digitalize-your-business.de


62

Sicherheit und Benutzbarkeit der IT müssen im Gleichgewicht sein

Der Deutsche

Und daraus entstehen nach meiner

Marcel Mock ist

Meinung Herausforderungen, gera-

Mitgründer und

de in Bezug auf Sicherheit.

Chief Technical des Schweizer

An welche Technologien denken Sie?

Sicherheitsspezi-

Nehmen Sie E-Mail: wird von jedem

alisten totemo. In

genutzt, dient der Übertragung

dieser Funktion

wichtiger Geschäftsinformationen,

verantwortet

ist aber sicherheitstechnisch ein

Officer (CTO)

er die Technologie- und Produkt-

Albtraum, da sie im Prinzip von je-

Strategie und berät Unternehmen.

dem gelesen werden kann. Oder das

Die Herausforderungen, die er

File Transfer-Protokoll (FTP): Nicht

durch den digitalen Wandel für den

nur können die damit übertragenen

Mittelstand sieht, erläutert er in

Dateien problemlos abgefangen wer-

diesem Kurzinterview.

den, zudem werden die Passwörter auch noch im Klartext übertragen! Eine weitere Herausforderung bei

Herr Mock, welche besonderen Herausforderungen entstehen durch die Digitalisierung?

FTP ist darüber hinaus die Benutzerfreundlichkeit, und die ist wiederum ein wichtiger Aspekt der Sicherheit.

Digitalisierung ist ja aktuell ein Schlagwort, aber es handelt sich

Erklären Sie das bitte genauer.

doch um einen seit Jahrzehnten

Nur wenn eine sichere IT-Lösung

fortschreitenden Prozess. So sind

einfach in der Nutzung ist, wird

interessanterweise noch einige Tech-

sie auch wirklich genutzt. Ist sie

nologien sehr verbreitet, die eigent-

zu kompliziert oder schränkt den

lich aus den 1970ern stammen und

User zu stark in seinen gewohnten

sich seitdem wenig verändert haben.

Arbeitsabläufen ein, sucht dieser

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

sich andere, meist weniger sichere

Bundesdatenschutzgesetz, die bei

Lösungen. Und gerade bei mittel-

der Übertragung persönlicher Daten

ständischen Unternehmen müssen

einzuhalten sind.

Mitarbeiter in der Regel ein breiteres Aufgabenfeld abdecken als in einem

Was empfehlen Sie konkret?

Großunternehmen. Da ist beson-

Unternehmen sollten darauf achten,

ders wichtig, dass die Lösungen so

dass die eingesetzten Lösungen den

einfach und intuitiv wie möglich sind

aktuellen Erfordernissen entspre-

und sich nahtlos in die Arbeitspro-

chen, das heißt, den Spagat zwi-

zesse integrieren lassen.

schen größtmöglicher Sicherheit auf der einen und guter Benutzbarkeit

Seit Snowden wird vielfach über die Bedrohungen durch NSA & Co. berichtet. Glauben Sie, dass es wirklich eine realistische Sicherheitsgefahr für den Mittelstand gibt?

auf der anderen Seite meistern. In

Die Snowden-Enthüllungen haben

Lösung, die alle File Transfers sicher,

nicht nur gezeigt, dass Überwachung

automatisiert und zentral abwickelt.

Bezug auf die erwähnten Technologien E-Mail und FTP empfehle ich die konsequente Verschlüsselung aller E-Mails und die Ablösung von FTP durch eine einfach zu nutzende

im großen Stil möglich ist, sondern auch tatsächlich stattfindet. Das muss nicht heißen, dass die NSA jedes Unternehmen in Deutschland in Echtzeit überwacht, aber die Ausnutzung von Sicherheitslücken ist nicht nur Geheimdiensten vorbehalten. Und im deutschen Mittelstand gibt es sehr viele Unternehmen, die Weltmarktführer in ihrem Bereich sind. Da gilt es das geistige Eigentum

totemo ag

als wichtigstes Kapital zu schützen.

Freihofstr. 2

Oder eben zu verhindern, dass der

CH-8700 Küsnacht / Schweiz

Wettbewerb von Angebotskonditio-

Internet: www.totemo.com

nen Wind bekommt. Darüber hinaus

E-Mail: info@totemo.com

gibt es natürlich Vorgaben wie das

Telefon: +41 44 914 99 00

IDENTITÄTSSICHERHEIT UND PRIVATSPHÄRE

63


64

IT-Sicherheit von Smartphone & Co.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Wie Office, Mobile Business und Prozesssteuerung sicher verschmelzen (jb) Die Grenzen lösen sich auf: Arbeit entkoppelt sich in vielen Branchen und Berufen vom Arbeitsplatz. Die umfassende und unkomplizierte Vernetzung von Menschen, Smartphones, Tablets, Notebooks und Home Offices über immer einfacher verfügbare schnelle Internetverbindungen schafft die Begehrlichkeit nach effizienteren Arbeitsabläufen – bei Unternehmenslenkern genau so wie bei den Mitarbeitern.

Die IT-Sicherheit hält mit dieser Entwicklung in vielen Unternehmen leider nicht Schritt. Sie bleibt oft in der alten Welt gefangen: Im Büro-PC, im Unternehmensnetzwerk, und reicht bestenfalls noch ins Notebook hinein. Was aber ist mit den wirklich mobilen „Devices“, den dafür verfügbaren Apps, den darauf laufenden Betriebssystemen, den für die digitale Vernetzung benutzten Mobilfunknetzen, den verlockenden öffentlichen Hotspots, etc.? Ergo: Auch Smartphones und Co. müssen vor Hacking, Viren, Würmern, Trojanern, Spam-Mails etc. geschützt werden. Und weil das in vielen Fällen – oft aus Unwissenheit oder mangelnder technischer Kompetenz – vernachlässigt wird, reibt sich jeder Datendieb die Hände. Eine geeignete, vom Unternehmen ausgehende und gesteuerte Strategie zur Verschlüsselung von Daten und Verbindungen, zur Aktualisierung von Betriebes- und Sicherheitssystemen sowie zur Authentifizierung der Benutzer ist deshalb dringend erforderlich.

IDENTITÄTSSICHERHEIT UND PRIVATSPHÄRE

65


66

Gehen Sie in sozialen Netzwerken vorsichtig mit Informationen um! Austausch und Interaktion sind die Basis eines jeden Sozialen Netzwerks. Wer geschäftliche Informationen ins Netz stellt, muss allerdings auch damit rechnen, dass diese von anderen „benutzt“ werden. So können sich nicht nur Kunden und Geschäftspartner ein Bild von Ihnen und Ihrem Unternehmen machen. Beispielsweise stoßen bei zu lockeren Privatsphäre-Einstellungen Außenstehende möglicherweise auf interne Informationen, die sie nichts angehen.

So hebt die digitale Vernetzung Grenzen auf Das Internet ist für alles da – Die Telekommunikation wird in absehbarer Zeit nur noch auf dem Internet Protocol aufsetzen und Voice over IP (VoIP) wird zunehmend den Massenmarkt erreichen. Verbindungen, Daten und Prozesssteuerung werden mobil – Die Unterscheidung zwischen Festnetz und Mobilfunknetz ist seit UMTS und seit LTE sowieso praktisch aufgehoben. Alle relevanten IT-Dienste und Medieninhalte sind für jedermann (fast) ohne örtliche oder zeitliche Begrenzung verfügbar. Personal Devices sorgen für Zugriff – Smartphones und Tablets sind PCs fast ebenbürtig, die Bedienung erfolgt einfacher und intuitiver als je zuvor. Die Geräte sind ständig online, der Benutzer kann damit – die geeignete App und den Zugang zum Internet vorausgesetzt – Dienste und Geschäftsabläufe auch mobil steuern – sei es in der Fabrikhalle oder von unterwegs. Die Always-On-Verbindung setzt sich durch – Mit den (nahezu) flächendeckend vorhandenen Netzen, Flatrates und hochleistungsfähigen mobilen Endgeräten kann jedermann jederzeit im Internet sein.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Die Dienste verschmelzen – Die Digitalisierung schafft neue Geschäftsmodelle, stellt bisherige Strukturen und Trennungen auf den Kopf. So unterschiedlich wie Geräte, Inhalte, Verbindungen und Software werden immer öfter aus einer Hand angeboten. Das Geschäft wird unmittelbarer – Mithilfe von Technologien wie Mobile Internet Banking oder Near Field Communication (NFC) werden der Einkauf und das Bezahlen von Waren und Dienstleistungen mehr und mehr über Smartphones und Tablets abgewickelt. Die Arbeit wird „mobilisiert“ – Schon heute ist die Geschäftswelt in vielen Branchen von virtueller Teamarbeit durchzogen. Der sichere Zugriff auf professionelle, an den Bedarf der Unternehmen angepassten Anwendungen aus der Cloud wird eine Selbstverständlichkeit.

Diese muss sowohl den Anforderungen an eine sinnvolle IT-Sicherheitsstrategie im Sinne der Erwartungen der Mitarbeiter gerecht werden, die nicht auf den Komfort und die Flexibilität ihrer mobilen Arbeitsgeräte verzichten sollen. Sie sollte folgende Eigenschaften aufweisen: Kompromisslos – Alle mobilen Endgeräte sind mit Nutzerkennungen und Passwörtern zu schützen. Entsprechende technische Vorkehrungen machen die Passworteingabe für den Benutzer unumgänglich und schaffen so einen ersten Schutz im Fall des Diebstahls oder Verlusts. Mit dem Fernlöschen von Daten und der Sperrung gehackter Geräte ist bereits ein guter Schutz der Daten und Identitäten auf dem Gerät erreicht. Bewusst – Die Mitarbeiter müssen geschult und für das Thema IT-Sicherheit sensibilisiert werden. Sie müssen wissen, dass bestimmte Aktivitäten die „Arbeit“ von Hackern und Datendieben erleichtern. Entsprechend darf es nicht erlaubt (oder möglich) sein, öffentliches WLAN ohne VPN zu benutzen. Dass IDENTITÄTSSICHERHEIT UND PRIVATSPHÄRE

67


68

Links und angehängten Dateien in Mails von Unbekannten nicht angeklickt werden, muss selbstverständlich sein. Up-to-date – Die Aktualität von Betriebssystemen muss auf mobilen Endgeräten so selbstverständlich sein wie auf PCs oder in Netzwerken. Der ITVerantwortliche muss daher sicherstellen, dass alle in der Arbeit benutzten Geräte immer mit den neuesten Updates ausgestattet sind. Verschlüsselt – Es macht Sinn, alle Daten zu verschlüsseln. Bei der Leistungsfähigkeit heutiger Technik ist das auch kein Problem und verbessert die Sicherheit erheblich, da Außenstehende keinen Zugriff auf gespeicherte Inhalte und Identitäten bekommen. Eindeutig – Die digitale Identität stellt klar, wer wann auf welche Daten und Dienste zugreift beziehungsweise zugreifen darf. Daher spielt in einem ganzheitlichen Sicherheitskonzept das Identity and Access Management (IAM), eine wichtige Rolle, denn es hilft dem IT-Verantwortlichen, Daten, Identitäten und Know-how des Unternehmens zu schützen. Geordnet – Wenn Mitarbeiter mobile Geräte auch für private Zwecke benutzen dürfen oder ihre privaten Smartphones und Tablets für berufliche Zwecke einsetzen, dann muss mit Hilfe von Sicherheits-Containern eine Trennung privater und Unternehmensdaten sichergestellt werden. Das ist auf unternehmenseigenen Geräten einfacher als auf privaten. Ganzheitlich – Wenn der Einsatz mobiler Geräte sicher erfolgen soll, ­müssen diese in eine umfassende IT-Sicherheitsstrategie eingebunden sein. Technisch ist das kein Problem. Man muss es nur umsetzen wollen. Fazit Wenn Sie die in diesem Beitrag beschriebenen Maßnahmen ergreifen, werden die oben genannten Datendiebe sich schon wesentlich schwerer tun, an Ihre Daten und an Ihr Know-how zu kommen.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

12 Punkte-Checkliste So vernetzen Sie Prozesse und Unternehmensbereiche sicher

1. Machen Sie eine Aufstellung der digital zu vernetzenden Bereiche Ihres Unternehmens 2. Bewerten Sie Prozesse und Unternehmenswerte danach, wie kritisch sie für Ihr Geschäft sind. 3. Analysieren Sie konkrete und potenzielle Ausfall – und Störungsrisiken für jeden Prozess und Unternehmensbereich. 4. Bewerten Sie Ihre bestehenden IT-Systeme mit Blick auf Gefährdungspotenzial und mögliche Beeinträchtigungen von Prozessen und Geschäft bei Störungen. 5. Entwickeln Sie aufgrund der gesammelten Informationen und darauf aufbauenden Erkenntnissen eine für Ihr Unternehmen passende IT-, Geschäfts- und Prozess-Sicherheitsstrategie. 6. Reduzieren Sie die Komplexität bestehender eigner, heterogener IT-Systeme durch standardisierte Infrastrukturkomponenten oder ersetzen Sie diese mit professionellen, vertraglich hinterlegten Diensten aus der Cloud. 7.

Binden Sie mobile Mitarbeiter und deren Smartphones, Tablets oder Home Office in ein Mobile Device Management ein.

8. Trennen Sie Privates und Geschäftliches auf allen Geräten, die bei Ihnen und Ihren Mitarbeitern zum Einsatz kommen.

IDENTITÄTSSICHERHEIT UND PRIVATSPHÄRE

69


70

9. Sorgen Sie dafür, dass klare, auf Rollen basierte Zugriffsberechtigungen und Service-Level für alle Mitarbeiter und Geräte eingerichtet und laufend überwacht werden. 10. Arbeiten Sie mit einem professionellen IT-Sicherheits-Dienstleister zusammen, der mit Ihnen gemeinsam ein auf den Bedarf Ihres Unternehmens abgestimmtes Frühwarnsystem als „Security as a Service“ einrichtet. 11. Tauschen Sie sich zu akuten Gefährdungsszenarien mit Experten Ihres IT-Sicherheitsdienstleisters, aber auch mit Geschäftspartnern aus, um Wissen und Bewusstsein für Risiken zu schärfen. 12. Sorgen Sie bei sich und Ihren Mitarbeitern für ein hohes Bewusstsein dafür, dass in der digitalen Welt Werte und Zugänge mindestens genau so zu schützen sind wie in der analogen.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

„Digitalisierte IT“ reagiert, bevor die Milch sauer wird

71

Die Vernetzung der Produktion macht das Geschäft schneller und in Echtzeit steuerbar. Was aber, wenn – zum Beispiel durch einen technischen Defekt oder einen Virenbefall – Teile der IT oder digitalisierten Produktionsanlagen zum Stillstand kommen? Die Antizipation möglicher Szenarien und ein darauf aufsetzender guter Plan können sowohl IT- und somit auch produktionsseitig für mehr Sicherheit sorgen, wie

Copyright: EM Fotografie, Augsburg

das folgende Beispiel aus der Lebensmittelbranche zeigt: „Wir haben eine Lösung für ein extrem schnelles Desaster-Recovery unserer SAP-Systeme gesucht, um Produktionsausfälle durch IT-Störungen möglichst auszuschließen. Unser Ziel ist es, im schlimmsten aller Fälle unsere IT so schnell wie möglich wieder verfügbar zu haben. Ohne zeit- und arbeitsintensives Restore“, sagt Ingo Bachmann, IT-Bereichsleiter bei der bayerischen Molkerei Zott SE. Die Verfügbarkeit der IT und – falls doch eine Störung auftritt – die Geschwindigkeit bei der Wiederherstellung der Systeme spielt in allen Unternehmen, deren Produktion von der IT abhängt, natürlich eine enorme Rolle. In einer Molkerei ist Rohmilch der empfindliche Stoff, aus dem Produkte wie Milch, Joghurt und Käse entstehen. Unterbrechungen im Betrieb sind hier nicht vorgesehen – schon aufgrund der Verderblichkeit des „Rohstoffs“. Lesen Sie mehr hierzu: http://digitalize-your-business.de/hochverfuegbar-und-blitzschnelldigitalisierte-reagiert-bevor-die-milch-sauer-wird/

IDENTITÄTSSICHERHEIT UND PRIVATSPHÄRE


72

Next-Generation Enduser Protection –

Bessere Geräte- und Datensicherheit durch Innovation und Integration

Endpoints sind nicht mehr das,

Mit Next-Generation

Endu-

was sie mal waren. Sie sind nicht

ser Protection verbessert

mehr ausschließlich auf Win-

Sophos den Schutz für Endbenutzer-

dows-Workstations beschränkt,

geräte und -daten durch die Integra-

die innerhalb der Netzwerk-

tion innovativer Endpoint-, Mobile-

grenze betrieben werden und

und Verschlüsselungstechnologien.

auf Server zugreifen, die sich ebenfalls im Netzwerk befinden.

Stellen Sie sich ein System vor, das

Stattdessen werden Unterneh-

Daten zu verdächtigen Ereignissen

men mit einer Fülle unterschied-

von allen Geräten sammelt, ein

licher Workstations und mobiler

kompromittiertes System durch

Geräte konfrontiert, die überall

Korrelation dieser Daten erkennt,

genutzt werden und regelmäßig

den Administrator benachrichtigt,

Daten im Netzwerk, in der Cloud

das System (und den Zugriff des

und auf den Geräten selbst ab-

Systems auf sensible Netzwerk- und

rufen.

Cloud­daten) vorübergehend sperrt und die erkannte Bedrohung entfernt – alles komplett automatisch. Genau das wird mit Next-Generation Enduser Protection möglich.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

73

Mit Next-Generation

End­ user Protection ändern wir

Durch eine systemübergreifende Abwehr, Erkennung und Beseitigung von Bedrohungen können sich

unsere Herangehensweise an das

Unternehmen sicher sein, dass sie

Thema Sicherheit grundlegend.

weitaus weniger Infektionen und

Herkömmliche Antivirus-Lösungen

damit ein deutlich geringeres Risiko

beschränken sich darauf, die Ausfüh-

von Datenpannen und sonstigen

rung infizierter Dateien auf Com-

Sicherheitsvorfällen haben werden.

putern zu unterbinden. Wird eine infizierte Datei dennoch ausgeführt, kann der Angreifer Schaden anrichten oder Daten stehlen, ohne erkannt zu werden. Wir hingegen überprüfen nicht nur, ob eine Datei infiziert ist, sondern auch, ob der Computer Verhaltensweisen zeigt, die darauf hindeuten, dass das System angegriffen wird

Sophos GmbH

oder bereits kompromittiert wurde.

Gustav-Stresemann-Ring 1

Entdecken wir etwas, können wir

D-65189 Wiesbaden

unsere gesamte Technologie darauf verwenden, die Bedrohung zu stop-

Tel.: +49 (0) 611 5858-0

pen und zu entfernen.

Fax: +49 (0) 611 5858-1040 E-Mail: info@sophos.de Internet: www.sophos.de

IDENTITÄTSSICHERHEIT UND PRIVATSPHÄRE


74

Cloud Computing

Trusted

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

IT-Sicherheit und Cloud Computing – untrennbar verbunden

(jab) Cloud Computing ist unbestritten einer der wichtigsten Umbrüche in der Informations- und Kommunikationstechnologie. Die Schwelle vom Trend zur gelebten Praxis ist längst überschritten.

Jedes Unternehmen kann unabhängig von Branche und Größe von Cloud Computing profitieren. Zum einen durch das gezielte Auslagern von IT-Ressourcen und IT-Prozessen in das Rechenzentrum eines oder mehrerer Dienstleister, aber auch direkt durch Verbesserungen im Tagesgeschäft, die sie mit den eigenen Möglichkeiten des IT-Einsatzes nicht erreichen könnten.

IT-Komplexität den Profis überlassen Mit der Nutzung von Cloud-Computing-Angeboten professioneller und vertrauenswürdiger Anbieter ergibt sich die Möglichkeit, Speicherkapazitäten, Rechenleistung und Anwendungen als Dienst über das Internet zu beziehen. Es herrschen noch immer Zweifel darüber, ob das Rechenzentrum eines Cloud-Anbieters den Compliance-Auflagen entspricht, denen Unternehmen selbst unterliegen. Auch der Verlust über die Kontrolle der eigenen Firmendaten und die Verfügbarkeit der Dienste bereiten vielen Unternehmen Sorge. Diese Bedenken sind unbegründet, wenn man sich mit einem bewährten, professionellen Dienstleister zusammentut und die Aufgaben, Kosten, Verfahren zu Verfügbarkeit, Datenverarbeitung, Datenspeicherung, Datenschutz, TRUSTED CLOUD COMPUTING

75


76

Datensicherheit sowie die Datenherausgabe bei Vertragsende vertraglich festlegt. Hinzu kommt die Tatsache, dass Cloud-Dienstleister Profis in Sachen IT sind und modernste Technologien sowohl für den Betrieb als auch für den Schutz ihrer Infrastrukturen, Anwendungen und Verbindungen nutzen. Sie erheben in der Regel den Anspruch, dass ihre IT zu 99,999 Prozent verfügbar ist. Ein Wert, den eine „normale“ Unternehmens-IT nicht erreicht. Für KMU bedeutet diese Zuverlässigkeit, auch den eigenen Kunden Mehrwerte wie Termintreue und Qualitätsgarantien versprechen zu können.

Keine unbegründete Angst vor Spionen Wer nun an die von Herrn Snowden offengelegten Abhörpraktiken denkt und um sein Know-how, die Sicherheit seiner Daten oder die Verfügbarkeit der bestellten Cloud-Services fürchtet, sollte Folgendes beachten: Professionelle und vertrauenswürdige Cloud-Anbieter sichern – wenn Sie das wünschen – vertraglich und nach deutschem Recht bestimmte Eigenschaften der angebotenen Leistungen zu. �

Beispielsweise die Speicherung der Daten auf Servern innerhalb von Deutschland – ohne den Umweg über ausländische „Stationen“.

Oder die Sicherheit der Datenverbindungen gegen unbefugtes ­„mithören“.

� Oder die Verfügbarkeit der Services zu 99,999 Prozent. � Oder die Zertifizierung der angebotenen Infrastrukturen und Dienst­ leistungen, zum Beispiel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Und das ist in den meisten Fällen mehr als ein kleineres Unternehmen mit seiner eigenen IT leisten kann.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Cloud Computing = bedarfsgerecht und flexibel Cloud Computing ist kein von Technologie, sondern ein von Geschäfts­ interessen getriebenes Thema. Es wird eine tatsächlich die bedarfsgerechte und flexible Nutzung von IT möglich, bei der zwischen Cloud-Anbieter und Kunden nach Funktionsumfang, Nutzungsdauer und Anzahl der Nutzer abgerechnet werden kann. Der Kunde definiert also – ohne einen Gedanken an informationstechnolo­ gische Hintergründe verschwenden zu müssen – seinen IT-Bedarf und seinen Anspruch an die Qualität der benötigten IT. Der Cloud-Dienstleister stellt die erforderlichen Lösungen entsprechend zur Verfügung. Das sorgt – neben der vertraglich vereinbarten Sicherheit – für Effizienz in der IT-Nutzung und für Transparenz auf der IT-Kostenseite. Die wichtigsten Einsatzbereiche von Cloud Computing in kleinen und mittleren Unternehmen (KMU) ohne eigene IT-Abteilung sind: � Infrastructure as a Service (IaaS) – direkter Zugriff auf einzelne ­virtuelle Ressourcen wie Speicher, Server, Netzwerkkomponenten über das Internet � Software as a Service (SaaS) – Nutzung von Software-Anwendungen jeglicher Art über das Internet Es geht dabei nicht um Schwarz-Weiß-Malerei nach dem Motto „Alles oder Nichts“. Die Aufgabenverteilung zwischen Cloud Computing und unternehmenseigener IT ergibt sich aus einer Bedarfsanalyse. Dabei ist herauszufinden, welche Dienste wie und wann sowohl rechtlich als auch technisch sicher von einem Cloud-Dienstleister wirtschaftlich sinnvoll bezogen werden können und welche von der eigenen IT zu erbringen sind. Diese Aufgabenverteilung ist auch nicht statisch festzuschreiben, sondern in regelmäßigen Intervallen beziehungsweise im Rahmen der Geschäftsdynamik immer wieder neu zu ermitteln und am konkreten Bedarf auszurichten.

TRUSTED CLOUD COMPUTING

77


78

Cloud Computing – Nutzen und Sicherheit Beweggründe, die ein Unternehmen veranlassen sollten, über die Nutzung von Cloud-Computing-Angeboten nachzudenken, sind beispielsweise ein Mangel an internem, IT-erfahrenem Personal, um bestimmte Dienste selbst anbieten zu können, ein Mangel an Kostentransparenz in der IT und die Anforderung, über die gezielte Auslagerung von IT-Aufgaben Kosten zu vermeiden oder zu deckeln und – ganz wichtig – vor allem die Effizienz im Geschäft zu steigern. Die Vorteile, die sich daraus entwickeln können, sind unter anderem: � IT-Kosten lassen sich durch vertragliche Regelungen eindeutig kalkulieren �

IT-Investitionen werden verringert

� IT-Know-how muss nicht teuer intern bereitgestellt werden �

IT-Anforderungen des Unternehmens bestimmen die einzukaufende IT-Qualität

IT-Bereitstellungszeiten verkürzen sich

� IT-Anpassungen sind sehr viel schneller realisierbar als im Eigenbetrieb Das alles verhilft Unternehmen zu �

besseren Geschäftsabläufen,

� flexiblerer Planung sowohl in der IT als auch im Business, � mehr Geschwindigkeit beim Aufsetzen, Standardisieren und Automatisieren von Geschäftsabläufen, �

erhöhter Qualität von angebotenen Produkten und Dienstleistungen, zufriedeneren Kunden.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Fazit Wichtig bei der Nutzung von IT ist immer, dass die Lösungen zuverlässig und schnell abrufbar sind, dass die möglicherweise entstehenden Kosten vor der ersten Nutzung geklärt sind und dass die für das Unternehmen geltenden Regeln für Datenverarbeitung und Datenspeicherung gemäß allen vertraglichen und gesetzlichen Bestimmungen abgebildet werden. Cloud Computing verlagert die Erfüllung dieser hohen Anforderungen aus kleinen, mittleren und mittelständischen Unternehmen aus technischer Sicht an die IT-Profis – also an den Cloud-Partner. Unter diesen Vorzeichen können KMU bei intelligenter Cloud-Nutzung je nach Anforderung ihrer Branche in Themen wie Forschung und Entwicklung, Kalkulation und Angebotserstellung, Produktionsplanung, Ressourcenplanung, beschleunigte Vermarktung von Produkten etc. deutlich intensiver und mit wesentlich weniger technischen Risikofaktoren als mit einer klassischen, nur auf eigener Infrastruktur und eigenen Lizenzen basierenden IT einsteigen.

TRUSTED CLOUD COMPUTING

79


80

Welche Cloud ist für mein Unternehmen geeignet?

(jb) Bevor ein Unternehmen in das Thema Cloud einsteigt, sollte es die Ansprüche an die IT in Bezug auf Leistungsfähigkeit, Verfügbarkeit und Sicherheit genau definieren. Jedes Unternehmen hat auch seine eigenen Verpflichtungen und Anforderungen in Sachen IT-Einsatz, die mit in die Bewertung einfließen müssen. Daraus ergeben sich unterschiedlich Sichtweisen auf die Bewertung und Nutzung von Cloud-ComputingAngeboten.

Es wird wahrscheinlich immer so sein, dass ein flexibler Mix aus eigener IT und Cloud Computing, der sich je nach Geschäftsanforderung ergibt, das Optimum darstellt. Im Idealfall erfolgt die Anpassung automatisiert und ohne dass die Nutzer etwas davon bemerken. Wie das jeweils genau umzusetzen ist, muss im Einzelfall mit dem Cloud-Partner geklärt werden. Auf keinen Fall sollte man beim Anbieter des Internetzugangs sparen, denn eine leistungsfähige und zuverlässige Internetanbindung ist Voraussetzung dafür, dass die Cloud-Computing-Lösung jederzeit genutzt werden kann.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

81

Private Cloud IT-Provider oder interne IT-Abteilungen stellen unterschiedlichste Anwendungen auf einer virtualisierten Plattform in der Regel gegen Entgelt beziehungsweise kostenstellenbezogene Abrechnung zur Verfügung. Private Clouds werden bei hoher Kontrolle von Ressourcen, Services und Daten zugangsbeschränkt betrieben. Durch individuellere Vereinbarung zu Qualität, Verfügbarkeit und Sicherheit sind Private Clouds für Geschäftskunden besonders gut geeignet. Beispiele für die Nutzung von Private-Cloud-Diensten: � Nutzung von Software per SaaS (Software as a Service, Softwaremiete) �

Speicherung eigener Daten auf gemieteter Speicherkapazität mit Online-Zugriff

� Installation eigener Software auf gemietetem Server mit Online-Zugriff � Nutzung externer Service-Angebote (Versionsmanagement, Managed Services für Arbeitsplatz-IT) � Betrieb eigener Hard- und Software (Server, Storage, Businesssoftware) beim Dienstleister mit Online-Zugriff � Kombination mit Managed Services für Server, Storage, Businesssoftware und Arbeitsplatz-IT nach Bedarf

TRUSTED CLOUD COMPUTING


82

Hybrid Cloud Kombiniert Leistungen aus Public Clouds mit schützenswerten Daten und zuverlässigen Anwendungen aus Private Clouds. Dabei integrieren Provider die Ressourcen und Services nicht nur technisch, sondern auch mit Blick auf die Anforderungen und Verpflichtungen ihrer Kunden im Hinblick auf Datenschutz, Datensicherheit und IT-Verfügbarkeit. Beispiele für die Nutzung von Hybrid Cloud: � Geschützter gemeinsamer Zugriff (VPN) und Nutzung von auf der Dienstleisterhardware hinterlegten Informationen und Auftragsdaten, beispielsweise durch Architekten und Bauherren � Komplettbetrieb der eigenen IT-Infrastruktur inklusive Software beim Dienstleister für den Kunden mit geschütztem Zugriff für bestimmte Nutzergruppen, Managed Services bei Bedarf �

dediziertes eigenes Online-Konferenzsystem (Bild und Ton) mit Zugang für Geschäftspartner

� Online-Zugriff auf Daten im eigenen Netzwerk � Online-Zugriff auf Software im eigenen Netzwerk

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

IT-Sicherheit in der Cloud ist Pflicht und Chance zugleich!

(jb) IT-Sicherheit im Unternehmen tangiert alle Maßnahmen zur Verringerung des Gefährdungspotenzials für IT-Anwendungen und -Systeme. Alle mit dem Gefährdungspotenzial in Zusammenhang stehenden Schutzmaßnahmen, wie die Entwicklung von Sicherheitskonzepten, die Vergabe von Zugriffsberechtigungen, die Schulung der Mitarbeiter, bauliche und organisatorische Vorkehrungen und die Implementierung von Sicherheitsstandards, sind Aspekte, die beachtet werden müssen. Der – wenn auch nur zeitweise oder teilweise – Ausfall der Unternehmens-IT durch physische Einwirkung wie Wasser, Feuer, unbefugten Hardwarezugriff oder Einflüsse wie Schadprogramme (Viren, Trojaner), Datendiebstahl, Instabilität des Netzwerks etc. kann zu erheblichen realen Schäden führen. Diese können sich direkt, zum Beispiel durch Stillstand in der Produktion, und indirekt, zum Beispiel durch gestörte Geschäftspartnerbeziehungen wegen Termin- oder Informationsverlust, auswirken. Den Schaden hat dabei nicht nur das Unternehmen selbst: Die verantwortlichen Entscheidungsträger können im Zweifel zivil- und strafrechtlich herangezogen werden.

Externes Know-how nutzen Viele mittelständische Unternehmen haben den ganzen Umfang der Bedeutung von IT-Sicherheit noch nicht richtig erkannt beziehungsweise verfügen nicht über das Know-how, das zur Umsetzung eines wirksamen IT-Sicherheits-Konzepts nötig ist. In diesem Fall könnte die Zusammenarbeit mit einem externen Partner zur Erstellung und Umsetzung eines solchen Konzepts dem Schutz der Daten, der Verfügbarkeit der Unternehmens-IT für das Tagesgeschäft und somit zur Rechtssicherheit der Verantwortlichen dienen sowie gleichzeitig zur Erhöhung des Unternehmenswertes beitragen. TRUSTED CLOUD COMPUTING

83


84

Cyber Defence Center − starke Allianzen gegen Cyber-Angriffe

(jb) Cyber Defence Center (CDC) sind die gemeinsame Antwort von Netzwerkbetreibern wie beispielsweise der Deutschen Telekom, Komponenten- und Softwareherstellern und Anbietern von Sicherheitslösungen auf die hoch entwickelten Bedrohungen, denen heutige und künftige IT-Systeme ausgesetzt sind.

In den CDC führen Sicherheitsexperten Informationen zu Angriffsszenarien zusammen und untersuchen, welche Unternehmenswerte wie viel Schutz brauchen und an welchen Stellen im Netzwerk potenzielle Lücken bestehen oder wo möglicherweise bereits Angriffe oder zumindest Versuche ausgeführt wurden. Diese Analyse hilft, Motive, Methoden und Werkzeuge der Angreifer herauszufinden und sowohl die Systeme der Netzanbieter als auch die Systeme der Kundenunternehmen strategisch auf Szenarien vorzubereiten, bevor sie tatsächlich entstehen.

Warum wichtig? Die Gefahr von Cyber-Angriffen steigt mit dem Digitalisierungsgrad – ganz einfach, weil es mehr zu „holen“ gibt. Cyber Defence Center schaffen dabei größtmöglichen Schutz, da sie Prophylaxe betreiben und nicht erst im „Verteidigungsfall“ auf einen Gegner stoßen, dem sie möglicherweise nicht gewachsen sind.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Größte Herausforderung: mit dem rasanten Fortschritt der Netzinfrastrukturtechnologien und der gleichzeitigen Diversifizierung des kriminellen Bedrohungspotenzials Schritt zu halten. Zum Beispiel kann der Diebstahl der digitalen Identität die Plünderung des Kontos und somit den finanziellen GAU bedeuten – egal ob Privatperson oder Unternehmen.

Für wen relevant? Die Cyber-Emergency-Response-Teams in den CDC teilen ihr Wissen oft weltweit miteinander. Wichtig sind diese Informationen für Behörden, wissenschaftliche Institutionen, Banken, Hosting Provider und Unternehmen sowie für Anbieter von IT-Sicherheitslösungen. Der Nutzen kommt somit nicht nur großen, sondern auch kleinen Unternehmen und Organisationen zugute. Beispiel Identitätsschutz: Bankdienste werden heute bereits häufig über eine digitale Identität bereitgestellt.

Ausblick In Zukunft wird es immer mehr Allianzen von öffentlichen Organisationen, Netzanbietern, IT-Herstellern und Wirtschaftsunternehmen in der Verteidigung gegen Cyber-Attacken geben. Das von der Europäischen Union geförderte Advanced Cyber Defence Center (ACDC) besteht aus 28 Partnern aus 14 europäischen Ländern besteht.

TRUSTED CLOUD COMPUTING

85


86

IT-Security als Führungsaufgabe – weil zu viel auf dem Spiel steht!

Geschäftsleitung entscheidet über den Einsatz von flexibel buchbaren IT-Services Mit flexibel buchbaren IT-Dienstleistungen zu transparenten Kosten – also „Managed Services“ – ist das IT-Systemhaus CEMA AG Spezialisten für Informationstechnologie mittelständischen Firmen schon seit Jahrzehnten ein zuverlässiger Partner, wenn es darum geht, leistungsstarke IT-Infrastrukturen zu gestalten und das Wertschöpfungspotenzial ihrer IT-Infrastruktur stetig und wirtschaftlich urbar zu machen. So auch im Bereich IT-Sicherheit. Es ist ein finanzieller und personeller Kraftakt, die nötigen Fachkräfte vorzuhalten sowie den Aufbau und die Instandhaltung der IT-Sicherheitsinfrastruktur selbst zu schultern. Doch steht für Firmen zu viel auf dem Spiel, als dass Sicherheit verzichtbar wäre: vom Knowhow-Verlust und Imageschaden, wenn vertrauliche Daten von Kunden oder Geschäftspartnern in falsche Hände gelangen, bis zur persönlichen Haftung der Geschäftsführung, wenn das eigene Unternehmen fahrlässig zur Virenschleuder wird. Die Einfallstore für diese Risiken sind hoch. Denn vernetztes Arbeiten, unverschlüsselte E-Mails oder Apps, die Mitarbeiter vom Web herunterladen, ebnen den Weg für Datenspione und

schädliche Inhalte ins Firmennetzwerk – und gefährden so die wirtschaftliche Existenz. Managed IT-Security: Effektive ITSicherheit, die top-aktuell gehalten wird, zuverlässig funktioniert und sich betriebswirtschaftlich rechnet. Durch Auslagern der Aufgaben an ausgewiesene Experten erhalten Unternehmen so viel Sicherheit wie nötig ist, um das Firmen-Know-how, Anwendungen und Daten zuverlässig zu schützen. Die CEMA-Services werden aus einem mehrfach zertifizierten HochsicherheitsRechenzentrum in Deutschland gemäß den Standards der ITIL erbracht. Klar definierte IT-Security-Leistungen zu pauschalen Preisen machen die Kosten für den IT-Betrieb planbarer und ersparen teure Investitionen in Hard- und Software sowie den Aufbau von stets aktuellem Spezialwissen. Weitere Vorteile sind:  Gesteigerte Performance der IT und das proaktive Vermeiden von Störfällen erhöhen die Gesamtproduktivität.  Durch die Entlastung der IT-Mitarbeiter von Routineaufgaben können sich diese stärker auf wertschöp-

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

fende Aufgaben wie die Unterstützung der Geschäftsprozesse und den dafür notwendigen Ausbau der IT-Infrastruktur konzentrieren. Das Einhalten von rechtlichen und Datenschutzvorgaben reduziert das Haftungsrisiko von Entscheidungsträgern. Alle Daten und Services laufen ausschließlich über Server in Deutschland, die Technologie kommt von deutschen und europäischen Anbietern. Das unterbindet den Zugriff von Nachrichtendiensten und Datenspionen durch die Hintertür. Weltweit höchste Sicherheitsstandards werden realisiert. Automatische Aktualisierung der Sicherheits-Einstellungen und Anpassungen an neue Bedrohungslagen

Wir sprechen „Mittelständisch“ und konzipieren gemeinsam mit Kunden eine IT-Sicherheitslösung, die dem tatsächlichen Bedarf entspricht. Ein fester, persönlicher Ansprechpartner kümmert sich bei Fragen oder Problemen um eine sofortige Lösung. Unser bundesweites Netz von 10 Standorten schafft Kundennähe. Die CEMA gewährleistet, dass die Lösungen immer auf dem neuesten Stand sind. Folgende Services stehen zur Wahl:     

Sicherheit mobiler Endgeräte Server Monitoring Online-Datensicherung Spam- und Virenfilter Firewall Management

TRUSTED CLOUD COMPUTING

87

Frank Breier Geschäftsführer CEMA GmbH Spezialisten für IT Services

CEMA GmbH Spezialisten für IT Services Harrlachweg 5 D-68163 Mannheim Tel.: +49 621 3398 – 400 ITSC@cema.de www.cema.de


88

Internet der Dinge (IoT): Maximale Sicherheit ist Pflicht

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Vom Drucksensor über die Drohne zur Smart Factory – Security comes first! (jab) Autos, die selbst fahren, Kühlschränke, die selbst einkaufen und Produktionsstraßen auf denen sich Einzelteile selbst mitteilen, wie sie miteinander verbaut werden – Szenarien, die sich für manchen noch immer ein wenig futuristisch anhören, aber es schon nicht mehr sind.

Mittlerweile sind intelligente Maschinen, Lagersysteme, Betriebsmittel sowie auch intelligente Produkte weltweit miteinander vernetzt und schicken oder empfangen Daten von mobilen Applikationen und Cloud-Services. Die Ansätze reichen von der Vernetzung von Produktionsstätten unter Nutzung von Cloud-Plattformen bis hin zu von der Natur inspirierten Kommunikationsverfahren, die zum Beispiel nach Vorbild eines Ameisenstaats bei Unterbrechungen in der Kommunikation selbstständig neue Pfade in den Produktionsprozessen finden. Dabei zahlen vor allem drei Trends auf diese Entwicklung ein: 1. die globale Verbreitung vernetzter Geräte 2. ein rasantes Wachstum bei plattformunabhängigen Anwendungen 3. reife Netzwerktechnologien, mit denen sich quasi unendlich viele verteilter Geräte billig und einfach verknüpfen lassen So visionär sich das wirtschaftliche und alltägliche IoT-Potenzial auch vor uns entfaltet, es hat auch viele Haken: Um die Visionen von flexibler und standortübergreifender Produktion oder millionenfach vernetzter IoT-Endgeräte umzusetzen, müssen die Software-Architekturen offene und standardisierte TRUSTED CLOUD COMPUTING

89


90

Schnittstellen anbieten. Dabei sollten diese offenen Software-Architekturen nicht nur einfach zu warten und gleichzeitig effizient, sondern auch sicher sein. Für Inessa Seifert, die innerhalb der Begleitforschung des Technologieprogramms „Autonomik für Industrie 4.0“ des Bundesministeriums für Wirtschaft und Energie für das Thema IT-Sicherheit zuständig ist, lautet die Formel zur Lösung dieses Problems ganz klar: „Je flexibler die Kommunikation zwischen den vernetzten Systemen und cyber-physischen Komponenten innerhalb der Architekturen, umso höher die Anforderungen an die IT-Sicherheit, die sich unmittelbar auf die funktionale Sicherheit der autonomen Systeme auswirkt“. Vor allem werden ganzheitliche Security-Ansätze benötigt, um das schnell wachsende Internet der Dinge zu adressieren. Denn bildlich gesprochen, öffnet Industrie 4.0 die Türen zu den Fabriken, zu den Unternehmen und theoretisch auch zu jedem Privathaushalt. Deshalb ist es so wichtig, die Manipulation und Sabotage aller vernetzten IoT-Systeme zu verhindern. Denn Smart Factories und auch das alltägliche IoT werden nur dann realisiert und angenommen, wenn sie wirtschaftlich umsetzbar sind und das Knowhow, geistiges Eigentum sowie auch persönliche Daten zuverlässig geschützt werden.

Kurzes 1 x 1 der IoT-IT-Sicherheit Das IT-Marktforschungsunternehmen Gartner definiert das Internet der Dinge als das Netzwerk aus physischen Objekten, die integrierte Technologie enthalten, um mit ihrem internen Zustand oder der äußeren Umgebung zu kommunizieren und zu interagieren oder diese zu messen. Die Technologie bietet enorme Marktchancen. Das Marktforschungsunternehmen Gartner beispielsweise nimmt an, dass die Hersteller von IoT-Produkten und -Dienstleistungen im Jahr 2020 mehr als 300 Milliarden US-Dollar umsetzen werden. Die Größe des IoT wird zum selben Zeitpunkt auf etwa 26 Milliarden vernetzte Systeme geschätzt. IDC prognostiziert, der weltweite Markt für IoT-Lösungen werde von 1,9 Milliarden US-Dollar im Jahr 2013 auf 7,1 Milliarden US-Dollar im Jahr 2020 wachsen. „Das Internet der Dinge und Dienste ist ein strategisch wichtiger Markt. Er wird schnell wachsen und sowohl die Einnahmen IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

als auch die Kosteneffizienz stärken”, sagt Forschungschef Peter Sondergaard von Gartner voraus.

Warum ist das Internet of Things so leicht knackbar? IoT-Geräte sind sehr vielfältig. Sie bestehen aus zahlreichen Modulen und verbreiteten Softwarebibliotheken, meistens mit offenem Quellcode (Open Source). Häufig nutzen sie auch relativ neue Protokolle wie Universal Plugn-Play (UPnP), die fehlerhafter sind als ältere, besser etablierte Protokolle. Zudem bauen die meisten IoT-Hersteller ihre Systeme nicht unter Sicherheitsgesichtspunkten, weshalb sie keine ausreichenden Reaktionsmechanismen gegen Angriffe besitzen. Oft ist ein IoT-Device deshalb das Einfallstor für einen nachfolgenden Angriff auf das interne Netzwerk.

Was muss geschützt werden? In erster Linie müssen, vor allem vor dem Hintergrund des Datenschutzes, persönliche Daten von Kunden und Mitarbeitern geschützt werden, wie zum Beispiel Gehaltsinformationen, Vermögensangaben, Such- oder Kaufhistorie und alle weiteren vertraulichen Daten, zudem natürlich Unternehmensdaten und Know-how.

Welche Herausforderungen stellen sich an die IoT-Sicherheit? Im Zusammenhang mit Sicherheit darf das Internet der Dinge nicht mit dem konventionellem Internet verglichen werden, warnt auch Bret Hartman, Chief Technology Officer von Cisco, in einem Interview mit der ecommercetimes. Denn, wo das konventionelle Internet weltweit miteinander verbindet, handele es sich beim Internet der Dinge eher um geschlossene Netzwerke. Da sich diese je nach Geräten und Bedürfnissen unterscheiden, seien auch die Sicherheitslösungen unterschiedlich. Diese Vielfalt der IoT-Geräte vergrößert auch laut der Studie von HewlettPackard (HP) mit dem Titel „Internet of Things Research“ von 2014 die Angriffsfläche. In dem Bericht wurden die Sicherheitsuntersuchungen der Top-Ten-Verbraucher-Geräte zur Verfügung gestellt und auf unglaublich viele gefundene Schwachstellen hingewiesen. Um ein paar Defizite zu nennen: TRUSTED CLOUD COMPUTING

91


92

keine Transport-Verschlüsselung, unsichere Web-Schnittstellen, Autorisierungs- und Software-Schutz-Probleme, sowie Datenschutz-Bedenken. Die HP-Studie zeigte, dass selbst einfache Security-Prinzipien, die seit vielen Jahren gepredigt werden, bei der Produktentwicklung nicht bedacht werden, dazu gehören zum Beispiel sogar starke Passwörter. Fakt ist: Die derzeitigen Security-Modelle für PCs und Smartphones lassen sich nicht auf IoT-Geräte übertragen. Das liegt vor allem daran, dass die meisten bezüglich ihrer Prozessor- und Storage-Kapazität limitiert sind. Allerdings ist das gewohnte Security-Modell, wie die regelmäßige Installation von Updates, das Einspielen von Security-Patches, das Installieren und Aktualisieren von Antiviren-Software und das Konfigurieren von Firewalls nicht praktikabel. Deshalb ist die Entwicklung von neuen Standards speziell für das Internet of Things unerlässlich. Derzeit beschäftigen sich einige Gruppen mit IoT-Standards. Dazu gehören Industrial Internet Consortium, Thread, AllJoyn und das Open Interconnect Consortium. Letzteres wurde im Juli 2014 von Broadcom, Dell, Intel, Samsung und anderen Firmen gegründet.

Wie kommt es zu der aktuellen mangelhaften IoT-Security? Zwei Gründe sind laut Studie ausschlaggebend: Jeder will so schnell wie möglich neue Geräte auf den Markt bringen. Außerdem mussten sich die Entwickler herkömmlicher Embedded-Systeme aus Bereichen wie der Herstellung oder dem Transport keine Gedanken über Security-Kontrollmechanismen machen. Denn ursprünglich waren diese Systeme von IP-Netzwerken isoliert. Im Falle von Industrie 4.0 wird die Ausschreibung für eine neue Maschine gewöhnlich vom Anlagenbauer betreut. Für ihn ist natürlich vor allem wichtig, dass die Maschine, die geforderte Aufgabe erfüllt. Oftmals ist die Sicherheitsfrage mit einer Firewall und Intrusion Prevention System abgearbeitet. Dass solche Maßnahmen bei Netzattacken oder Trojaner gar nichts bewirken, ist IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

nicht bekannt. Zusammengefasst wird deutlich, dass hier ein erheblicher Qualifizierungsbedarf besteht.

Wie kann IoT-Security verbessert werden? In Zusammenhang mit dem Internet der Dinge stellen sich zahlreiche Fragen bezüglich der IT-Sicherheit, die beantwortet werden müssen: Wie können Geschäftsgeheimnisse und geistiges Eigentum geschützt werden? Wie werden Datenschutz und Vertraulichkeit gewahrt? Wie sicher ist die Kommunikation zwischen Geräten bzw. Komponenten? Und wie können Hackerangriffe frühzeitig erkannt und möglicher Schaden abgewendet werden? In erster Linie müssen Unternehmen ihre IoT-Kontaktpunkte identifizieren, auch wenn dies – aufgrund der Natur der Sache – sehr viele sind. Denn jeder Kontaktpunkt kann Cyberkriminellen den Zugriff auf das eigene System bieten. Deshalb ist es so wichtig, alle Schwachstellen im Auge zu haben.

Fazit Datensicherheit ist ausschlaggebend für den Erfolg neuer IoT-Geschäftsmodelle, da sie für die Verfügbarkeit und Zuverlässigkeit von Produktion und Dienstleistungen verantwortlich ist. Nur mit intelligenten Lösungen, zielführenden Richtlinien und klug agierender IT-Abteilung können Unternehmen Wege finden, wie sie IoT-Sicherheit in den Griff bekommen. Quellen: http://www.elektroniknet.de/automation/sonstiges/artikel/116949/ http://it2industry.blog.messe-muenchen.de/2014/10/17/it-sicherheitim-internet-der-dinge/ http://www.bigdata-insider.de/recht-sicherheit/articles/476336/ http://www.cebit.de/de/news-trends/trends/it-security/artikel-2015/ in-abrahams-schoss.xhtml http://www.searchsecurity.de/meinung/Internet-der-Dinge-Was-zutun-ist-um-IoT-Security-Realitaet-werden-zu-lassen

TRUSTED CLOUD COMPUTING

93


94

IoT-Handlungsempfehlungen

(jab) Während neue Standards, Security-Modelle und sichere Geräte gerade erst entwickelt werden, können Sie schon heute die nachfolgenden Empfehlungen beachten, um die Sicherheit in IoT-Geräten bzw. -Szenarien zu optimieren:

� Schließen Sie IoT-Geräte in das Risiko-Management und in die Monitoring-Strategien mit ein. �

Machen Sie sich beim Internet der Dinge die gleichen Security-Methoden zunutze, mit denen Sie auch Netzwerke und mobile Geräte beschützen.

Erstellen Sie ein Betriebsmittel-Inventar aller Geräte und ein segmentiertes Netzwerk, das von einer Firewall geschützt ist und von einem IPS (Intrusion Prevention System) überwacht wird.

� Aktivieren Sie so viel Endpunkt-Security wie möglich. Ändern Sie dafür die Standard-Einstellungen und erschaffen Sie starke Passwörter. � Führen Sie bei neuen Geräten aktive Scans durch. �

Erstellen Sie eine Patching-Strategie für IoT-Geräte.

Benutzen Mitarbeiter Verbraucher-IoT-Geräte, sollten Sie verfügbare Security-Funktionen wie zum Beispiel Verschlüsselung aktivieren, die Standard-Einstellungen ändern und starke Passwörter kreieren.

� Achten Sie bei der Beschaffung neuer IoT-Geräte darauf, auf Produkte mit ausreichenden Sicherheitsstandards zu setzen. (Quelle: http://www.searchsecurity.de/meinung/Internet-der-DingeWas-zu-tun-ist-um-IoT-Security-Realitaet-werden-zu-lassen)

IT-SICHERHEIT FÜR DEN DIGITALISIERUNG MITTELSTAND IN PRAKTISCH DER DIGITALEN GESTALTEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Digitalisierung von A–Z

DIE AGILEN UND WENDIGEN ENTSCHEIDER SIND IM VORTEIL! Die digitale Transformation kann als Zentrifugalkraft mit weitreichenden Folgen für jedes Unternehmen wirken. Einzig Tempo und Ausmaß variieren!

In unserem eBook „Digitalisierung von A-Z“ beschäftigen wir uns mit den unterschiedlichsten Aspekten der Digitalisierung bzw. deren Auswirkung(en) auf Unternehmen. Die Themen basieren u. a. auf Vorträgen, Diskussionen und Interviews mit Experten, die im Rahmen der CeBIT-Mittelstandslounge 2015 stattgefunden haben. Hier ein erster Überblick in Form von Hangout-Aufzeichnungen: http://digitalize-your-business.de/ hangouts-live-ungeschminkt-undungeschnitten/

Ab Juni 2015 zum kostenlosen Download unter

www.digitalize-your-business.de/hintergrundwissen


96

ProfitBricks garantiert die Einhaltung des BDSG

Cloud Computing: Sind Daten in Deutschland wirklich sicherer?

Mittelständische Unternehmen

eines Dienstleisters oder auf einem

sind zu Recht skeptisch, wenn es

PC im Unternehmen liegen.

darum geht, ihre Daten und Anwendungen einem Cloud-Dienst-

Den Unternehmen stellt sich nun die

leister anzuvertrauen. Wie sicher

Frage, unter welchen Bedingungen

sind die Daten dort und welchen

sie sich auf das BDSG berufen kön-

Gesetzen ist der Dienstleister

nen. Gilt es auch, wenn der Dienst-

unterworfen? Es gibt zahlreiche

leister seinen Hauptsitz beispielswei-

klar geregelte Vorgaben, nach

se in den USA hat? Oder wann ist es

denen Dienstleister bewertet

ratsam, seine Daten und Applikatio-

werden können.

nen einem deutschen Dienstleister wie ProfitBricks anzuvertrauen?

Das Bundesdatenschutzgesetz

die Vereinbarung zwischen Kunde

Amerikanische Anbieter versprechen mehr, als sie halten können

und Dienstleister inhaltlich auszuse-

Cloud-Service-Anbieter, die ihren

hen hat, damit Daten vor dem Zugriff

Geschäftssitz in den USA oder

Dritter geschützt sind. Zwar hat der

anderswo außerhalb Europas haben,

Staat darüber hinaus hoheitliche

sind weder den Europäischen noch

Rechte, doch dürfen die deutschen

den deutschen Gesetzen unterwor-

Behörden nur in bestimmten Einzel-

fen. Sie unterliegen den Zugriffs-

fällen Zugriff auf die Daten verlan-

rechten der amerikanischen (oder

gen, z. B. dann, wenn eine Straftat

den entsprechend zuständigen)

vorliegt. Dabei ist es ganz egal, ob

Aufsichtsbehörden. Wichtig zu wis-

die anvisierten Daten in der Cloud

sen: Das trifft auch dann zu, wenn

(BDSG) ist eines der sichersten weltweit. So regelt es beispielsweise, wie

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

das betreffende Rechenzentrum in

Weitere Information zum Thema:

Deutschland oder einem anderen

https://www.profitbricks.de/

EU-Staat steht. Dass einige ameri-

datenschutz

kanische Anbieter derzeit Rechenzentren in Deutschland eröffnen,

Checkliste für die Wahl eines geeig-

nützt dem Datenschutz also nichts.

neten Cloud-Dienstleisters: https://www.profitbricks.de/

Was Unternehmen tun können

datenschutz/checkliste-datenschutz

ProfitBricks muss per Gesetz als deutscher Infrastructure-as-aService-Anbieter die Einhaltung des strengen BDSG garantieren. Damit sind ProfitBricks-Kunden rechtlich auf der sicheren Seite. Kunden können darauf bestehen, dass ihre Daten in einem Rechenzentrum in Deutschland verarbeitet werden. So sind sie sicher vor einem Zugriff von ausländischen Behörden, der dem deutschen Datenschutz widersprechen würde.

ProfitBricks GmbH Greifswalder Str. 207 D – 10405 Berlin Tel.: +49 30 577 008 430 Fax: +49 30 577 008 598 E-Mail: info@profitbricks.com Internet: www.profitbricks.de TRUSTED CLOUD COMPUTING

97


98

IT-Compliance

versus blindem

„Regelvollzug“

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

IT-Compliance, Verantwortlichkeiten und Haftung – IT-SicherheitsStrategien sind wichtiger als blinder „Regelvollzug“ (jab) Die Regel- und Rechtskonformität der Unternehmens-IT sollte mit zu den Hauptanliegen bei der Erstellung einer sich an der Unternehmensstrategie ausrichtenden IT-Strategie gehören! Warum? Unternehmensverantwortliche stehen im Innen- und im Außenverhältnis in der Pflicht, wenn es um die Verfügbarkeit von IT, um Datenschutz und Datensicherheit geht.

Das gleiche gilt für die Erfüllung gesetzlicher Anforderungen im Zusammenhang mit elektronischen Dokumenten: Bei einer Aufbewahrungspflicht von bis zu 10 Jahren müssen Vollständigkeit, ordnungsgemäße Organisation und technische Hilfsmittel sowohl für die Einsicht als auch für den Nachweis der Echtheit und Unverfälschtheit dieser Dokumente garantiert werden.

Management- und IT-Verantwortung verschmelzen Hinter dem Begriff Compliance verbirgt sich die Gesamtheit aller Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Leitung und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Darüber hinaus soll natürlich auch die Konformität mit gesellschaftlichen Wertvorstellungen und branchenbezogenen Richtlinien gewährleistet werden. Aber was hat das mit Informations- und Kommunikationstechnologie zu tun? Der Begriff Compliance im ursprünglichen Sinn ist auf das ganze Unternehmen zu übertragen und als Anforderung daher nichts neues. Was immer IT-COMPLIANCE VERSUS BLINDEM „REGELVOLLZUG“

99


100

mehr in den Fokus rückt, sind zum Teil umfangreiche Gesetze, Regeln und Vorschriften, die mit dem IT-Einsatz in den Unternehmen zu tun haben.

Compliance und IT Der Einsatz von IT ist also längst nicht mehr Sache alleine der Unternehmen und der Unternehmer beziehungsweise der intern dafür Verantwortlichen. Der Gesetzgeber hat ein engmaschiges Regelwerk zum Umgang mit den eigenen, aber auch mit fremden Daten entwickelt. Dazu gehören beispielsweise Aufbewahrungspflichten, Auskunftsrechte, Schutz vor unbefugtem Zugriff und Schutz vor Weitergabe an Dritte, Fristen und Verfahren zur Archivierung und zum Zugriff elektronischer Dokumente. Verantwortlich für die Einhaltung der Regeln und Verpflichtungen so wie für die Konsequenzen bei Nichteinhaltung sind die Verantwortlichen eines Unternehmens, also die Unternehmer selbst oder die Entscheider, wie zum Beispiel Geschäftsführer, Prokuristen und IT-Verantwortliche, in deren Aufgabenbereich die IT-Sicherheit fällt. Das ist nicht anders als im operativen oder kaufmännischen Teil des Unternehmens.

IT-Compliance als Chance In vielen Unternehmen werden die externen Compliance-Anforderungen, die sich auf die Datenhaltung, Datenkommunikation und Datensicherheit beziehen, noch immer als lästige und nur mit gewaltigem Aufwand zu bewältigende Aufgabe betrachtet. Vielfach sind die Anforderungen auch nicht im nötigen Umfang bekannt, was negative Folgen für den Unternehmer und das Unternehmen haben kann. Beide Haltungen zum Thema IT-Compliance sind aus unternehmerischer Sicht mehr als riskant. Unternehmen dagegen, die sich ernsthaft der Herausforderung stellen, können bei bewusster Wahl von IT-Sicherheitsstandards gezielt und pragmatisch Risiken minimieren. Schließlich beinhalten die gesetzlichen IT-ComplianceAnforderungen strenge Kontrollmechanismen, die das Management eines Unternehmens genau so nutzen kann, um das Unternehmen transparent zu machen. Ganz „nebenbei“ entsteht so auch eine Basis für die schnelle Anpassung an kommende, von außen geforderte Standards. IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Die Bedeutung von Standards Die Sicherheit in der Informations- und Kommunikationstechnik gehört in den wenigsten mittelständischen Unternehmen zur Kernkompetenz. Dennoch ist den Verantwortlichen in Management und IT dringend geraten, sich entweder selbst oder mit Unterstützung des IT-Partners um folgende Fragen zu kümmern: �

Welche Sicherheitsstandards gibt es?

Welcher Sicherheitsstandard ist im Unternehmen notwendig oder sinnvoll?

� Wie wird dieser implementiert? �

Wer ist dafür verantwortlich?

Die Auswahl von Sicherheitsstandards gehört zu den Grundlagen der IT-Strategie eines Unternehmens-Strategie. Sie kann daher nicht nur aus Gründen der Compliance-Anforderungen erfolgen. Sie muss im Sinne der Wertschöpfung von IT dem Unternehmen auch einen Nutzen bringen, indem sie tatsächlich die Sicherheit erhöht und Risiken minimiert! Daher gilt es bei der Entwicklung einer IT-Compliance-Strategie genau zu klären, in welchen Bereichen vom Unternehmen Compliance gefordert wird, welche Gesetze gelten und wie sie umzusetzen sind. Einzubeziehen sind weiterhin bestehende und zu erwartende Kundenvorgaben sowie Marktzwänge und eventuelle Haftungsrisiken, die es entsprechend abzusichern gilt.

Vorsprung durch ganzheitlichen Ansatz Unternehmen, die sich über die sie betreffenden IT-Compliance-Anforderungen genau informieren und diese zielgerichtet und nutzenorientiert im Rahmen einer IT-Strategie erfüllen, treffen bessere Entscheidungen auf einer sichereren Basis. Hinzu kommen aufgrund des strukturierten Vorgehens und der oft schnelleren und genaueren Kommunikation Vorteile, wie ein besseres Verhältnis zu Behörden so wie zu Auditoren und Geschäftspartnern.

IT-COMPLIANCE VERSUS BLINDEM „REGELVOLLZUG“

101


102

Bei der Erfüllung von Compliance-Anforderungen sollte für Unternehmen also nicht die Umsetzung technischer Anforderungen im Vordergrund stehen. Was zählt ist die Tatsache, dass IT-Compliance eng mit allen Bereichen eines Unternehmens verbunden ist.

Praxisbeispiel: Datenschutzbeauftragter Datenschutz ist für jedes Unternehmen von existenzieller Bedeutung. Globalisierung, Mobilität und moderne Kommunikationstechnologien stellen an diesen unternehmenskritischen Bereich große Anforderungen. Auf der anderen Seite bedrohen Aktivitäten von Hackern, Sabotage, Diebstahl und Unfälle die Sicherheit. Im Rahmen der Digitalisierung vereinfachten sich Erfassung, Haltung, Weitergabe und Analyse von Daten spektakulär. Technische Entwicklungen wie erschließen laufend neue Möglichkeiten der Datennutzung für Produktion, Kommunikation, Geschäftsfeldentwicklung etc.. Vor allem das Interesse an personenbezogenen Informationen, aber auch an unternehmenskritischen Daten, nimmt stetig zu. Vor allem durch die weltweite Vernetzung, insbesondere durch das Internet, steigen die Gefahren hinsichtlich des Schutzes von Daten. Eine konkrete IT-Compliance-Anforderung des Gesetzgebers ist daher der Datenschutz. Das Bundesdatenschutzgesetz (BDSG) verlangt in diesem Zusammenhang von Unternehmen, dass ein betrieblicher Datenschutzbeauftragter bestellt wird, wenn mehr als neun Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei muss jeder Mitarbeiter, der die Daten von Kunden, Interessenten, Lieferanten oder Mitarbeitern bearbeitet, mit eingerechnet werden. Wird in einem Unternehmen die Bestellung eines Datenschutzbeauftragten versäumt, dann kann dies eine Ordnungswidrigkeit sein und ein empfindliches Bußgeld nach sich ziehen.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Angesichts dieser juristischen und möglicherweise existenziellen Relevanz kann es deshalb sinnvoll sein, die Aufgabe des betrieblichen Datenschutzbeauftragten an einen externen Dienstleister mit entsprechender Fachkenntnis, Erfahrung und den zugehörigen Referenzen zu vergeben. Der zu beauftragende Dienstleister sollte zur Erfüllung dieser anspruchsvollen Aufgaben seine Fachkenntnis und Zuverlässigkeit ausdrücklich erklären. In den Dienstleistungsvertrag sollte außerdem aufgenommen werden, dass er auf dem Gebiet des Datenschutzes weisungsfrei ist und ein unmittelbares Vortragsrecht gegenüber der Geschäftsführung bzw. dem Vorstand hat. Von Vorteil ist es auch, den voraussichtlichen Zeitaufwand im Geschäftsbesorgungsvertrag zu fixieren, um die Kosten in einem bestimmten Rahmen zu halten.

Praxisbeispiel: E-Mail-Archivierung Die Verwaltung des heutigen E-Mail-Verkehrs eines Unternehmens ist in Übereinstimmung mit den handels- und steuerrechtlichen Vorschriften zu verwalten so aufzubewahren, dass sie im Streitfall vor Gericht als Beweismittel Bestand haben. Ein externer Archivierungsservice kann Unternehmen von den Kosten, dem Aufwand und dem Verbrauch an Speicherplatz, die mit einer internen E-MailArchivierung einhergehen, teilweise entlasten. Einfach zu bedienende Suchund Wiederherstellungsfunktionen, Möglichkeiten zur Definition von Richtlinien sowie Überwachungs- und Analysetools sind Leistungen, die gerade in kleinen bis mittelständischen Unternehmen aus eigener Kraft nur schwer bereitzustellen sind, erleichtern die Erfüllung der Anforderungen. Hinzu kommen die von externen Dienstleistern in der Regel zusätzlich angebotenen Services wie beispielsweise Anti-Spam, Anti-Virus und Web Security. Unternehmen können bei Auslagerung dieser Archivierungsaufgaben also auch davon profitieren, dass sie alle Messaging- und Sicherheits-Services integriert von einem Anbieter bereitgestellt bekommen. Das sorgt für Transparenz und Kalkulierbarkeit der Kosten.

IT-COMPLIANCE VERSUS BLINDEM „REGELVOLLZUG“

103


104

Fazit Die Digitalisierung erlaubt ein hohes Maß an Flexibilität, eine effiziente Arbeitsweise und öffnet Türen zu neuen Geschäftswelten. Sie erfordert aber auch entsprechende Sicherheitsvorkehrungen, um den Erfolg gewährleisten zu können. Egal, ob Fremdzugriff und Datenmissbrauch, technische Störungen wie Computerviren und Softwareprobleme oder schlicht Elementarereignisse wie Überschwemmung, Brand und Erdbeben: Daten sind das elektronische Betriebskapital und nur eine optimale Sicherheitsstrategie kann ein Unternehmen vor bösen Überraschungen bewahren.

IT-SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


WWW.DIGITALIZE-YOUR-BUSINESS.DE

Index A Advanced Cyber Defence Center (ACDC) 85 Advanced Persistent Threats (APT) 28, 48 AllJoyn 92 Always-On-Verbindung 66 Android 59 Anti-Spam 103 Anti-Spam-Lösung 30 Anti-Virus 103 Antivirus-Lösungen 73 App-Anbieter 50 App-Betreiber 50 Apple iOS 59 Archivierungsservice 103 Ausfallsicherheit 18 Authentizität 36 B B2B 8 B2C 8, 45 Bachmann, Ingo 71 Back-up 17 Basel I-III 17 Baustellenbüros 25 Bauunternehmen 25 Bedarfsanalyse 77 Behr, Jana 3 Big Data 11, 17 BITKOM 15 Bonitätsbewertung 38 Broadcom 92 Bundesdatenschutzgesetz 63 Bundesdatenschutzgesetz (BDSG) 96, 102 Bundesministerium für Wirtschaft und Energie 90 Bürkel, Jürgen 3 C CEMA GmbH Spezialisten für IT Services 87 Cisco 91

INDEX

105 Cloud 69 Cloud-Anbieter 50 Cloud Computing 11, 75, 96 Cloud Computing, 18 Cloud Computing „Made in Germany“ 51 Clouddaten 72 Cloud-Dienstleister 96 Cloud for Europe 15 Cloud-Partner 79 Cloud Services Made in Germany 16 Cloud-Speicherung 54 Compliance 37, 75, 99 Compliance Cloud 15 Cyberangriffe 15 Cyber-Angriffe 27, 38 Cyber Defence Center (CDC) 84 Cyber Defense Center 52 Cyber-Emergency-Response-Team 85 Cybergefahren 32 Cyberkriminalität 20, 58 Cyberkriminelle 27 Cybersecurity 40 Cybersicherheit 32 Cyberwar 31 D Datendiebstahl 39 Datenklau 11 Datenkonsistenz 18 Datenmanipulation 11 Datenschutz 35, 75 Datenschutzbeauftragter 102 Datensicherheit 35 Datenspeicherung 75 Datenverarbeitung 75 DDoS-Attacken (Distributed Denial of Service) 32 Dell 92 Denial-of-Service-Attacken 38 Denial of Service (DDoS) 28

Desaster-Recovery 71 Digitale Signaturen 36 Drohne 89 E eCommerce 8 Einzelhändler 25 E-Mail-Archivierung 103 E-Mail-Kommunikation 44 Endpoints 72 End-to-End-Sicherheit 54 Enduser Protection 72 Eurocloud_Eco 15 Europäische Union 85 F Fehlbedienung 38 File Transfer-Protokoll (FTP) 62 Firewall 12, 30 Firewall Management 87 Fischer, Andreas R. 4 Flatrate 66 Fortinet GmbH 55 G GDPdU 42 German Cloud 51 Gigaom Research 26 Global-Threat-Intelligence-Netzwerk 23 GoBS 42 GROUP Business Software AG 45 H Hackerangriff 39 Hacking 65 Hacking-Angriffe 32 Handshake 37 Hartman, Bret 91 Hewlett-Packard (HP) 91 höhere Gewalt 38 Home Office 65 Hybrid Cloud 82 Hyperscaling 50

I Identitätssicherheit 56 Identity and Access Management (IAM) 68 Industrial Internet Consortium 92 Industrie 4.0 25 Informationssicherheit 42 Informations- und Kommunikationstechnologie 99 Informationsverlust 38 Infrastructure as a Service (IaaS) 77 Integrität 35, 37 Intel 92 Intel Security 23 Internet der Dinge (IoT) 88 Internet-Gateway 22 Internet of Things (IoT) 14 Intrusion Detection 10 IoT-Security 92 iPhone 47 IPS (Intrusion Prevention System) 94 ISO-27001 42 IT-Ausfallrisiken 42 IT-Compliance 11, 13 IT-Compliance-Anforderungen 100 IT-Dienstleister 20, 50 IT-Grundschutz 42 IT-Kompetenz 25 IT-Security 18, 30 IT-Services 20 IT-Sicherheit 27 IT-Sicherheitsansatz 41 IT-Sicherheitslösung 12 IT-Sicherheitslösungen 41 IT-Sicherheits-Roadmap 28 IT-Sicherheitsschwachstellen 30 IT-Sicherheitsstrategie 19 IT-Sicherheitsstrukturen 39


106

IT-Sicherheits-Taskforce 30 IT-Sicherheitstechnologie 12 IT-Stillstand 11 IT-Verantwortliche 12, 20 IT-Verfügbarkeit 10 K Kaspersky Labs GmbH 33 KMU 22 Know-how-Diebstahl 11 Know-how-Schutz 37, 54 Kosten-Nutzen-Relation 31 Kostentransparenz 78 KPMG 15 Kulturwandel 13 L Latenz 12 Logistikunternehmen 25 LTE 66

O öffentliches WLAN 67 Online-Datensicherung 87 Online-Handelsunternehmen 50 Online-Konferenzsystem 82 Online-Shop 33 Open Interconnect Consortium 92 P Paradigmenwechsel 47 Penetrationstest 10 Phishing 38 Plathen, Sascha 23 Private Cloud 12, 81 Private-Cloud-Dienste 81 Privatspäre 56 Privatsphäre-Einstellungen 57 ProfitBricks GmbH 97 Public Cloud 12 R

Machine Learning 14 Managed Services 81, 82, 86 Medienagentur 22 Microsoft 14 Microsoft Windows 59 Mobile Business 11, 17 Mobile Device Management 69 mobile Devices 65 Mobile Internet Banking 67 Mock, Marcel 62

Radicati Group 44 Rechenzentren 21 Rechenzentrum 97 Rechtsanwaltskanzlei 22 Rechtskonformität 99 Rechtsverbindlichkeit 36 Regressansprüche 39 Reputation 38 Resiliente IT 20 Resilienz 20 Restaurant 22 Richter, Andreas 45 Risiko-Management 94 Rund-um-Schutz 30

N

S

M

Near Field Communication (NFC) 67 Netzwerksicherheit 35, 47 Notebook 65 NSA 31, 63

SaaS 54 SaaS (Software as a Service, Softwaremiete) 81 Sabotage 102 Samsung 92 SAP-System 71 SCADA = Supervisory

Control and Data Acquisition 28 Schadprogramme 32 Schadsoftware 27, 47 Security 47 Security as a Service 70 Security ConnectedStrategie 22 Security-Lösung 26 Security-Suite 30 Seifert, Inessa 90 Sensibilisierung 53 Server Monitoring 87 Serverplattencrash 27 Service Level Agreements (SLA) 16 Sicherheitsrichtlinien 10 Sicherheitstechnologien 25 Smart Factory 89 Smartphone , 32 Snowden, Edward 31 Social-EngineeringAngriff 38 Social EngineeringAngriff(e) 34 Social-Media-Codex 58 Social Networking 11 Software as a Service (SaaS) 77 Software Defined Networking (SDN) 18 Software Defined Networks (SDN) 49 Sophos GmbH 73 Spam 32 Spam- und Virenfilter 87 Spoofing 38 Stand-alone-System 16 Stromausfälle 27 Suhl, Holger 33 Systemausfälle 36, 38

Trusted Cloud Computing 74 Trust in Cloud 51

T

Zero-Day-Exploit 22 Zero Trust 48 Zero-Trust-Modell 12 Zott SE 71 Zugangssteuerung 10 Zurechenbarkeit 36

Tablet 65 T-Grundschutz 43 Thread 92 totemo ag 63 Trojaner 38, 65 Trojaner) 83 Trusted Cloud 15

U UMTS 66 Unified Threat Management“ (UTM) 16 Universal Plug-n-Play (UPnP) 91 unterberechungsfreie Stromversorgung (USV) 27 V Verfügbarkeit 17, 35 Vernetzung 9 Vernetzungsangebote 60 Verschlüsselung 59, 63 Verschlüsselungsverfahren 44 Versionsmanagement 81 Vertraulichkeit 35 Viren 27, 38, 65, 83 Virtualisierung 11, 17, 54 Virtuelle Router 50 Virtuelles Privates Netzwerk (VPN) 59 Voice over IP (VoIP) 66 von der Heydt, Jörg 55 VPN 67, 82 VPN-Gateways 50 W Web Security 103 Wertschöpfungskette 13 WLAN 55 Worst-Case-Szeanarien 39 Würmer 38, 65 Z

SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT


Wir sind der Meinung:

DIGITALISIERUNG IST KEIN HEXENWERK! Es braucht notwendiges Hintergrundwissen, das wir Ihnen mit unserer eBook-Reihe rund um das Thema Digitalisierung vermitteln möchten.

Inhalte dieses eBooks: •

Branchenbetrachtung

Konkrete Tipps auf Basis der Branchenbetrachtung

Handlungsempfehlungen

Weitblick: 4 Thesen

7 Fragen und 7 Anworten

Internetbasierte „Werkzeuge“

sowie Statements und Lösungen von IT-Unternehmen, die sich als Digitalsierungsbeschleuniger verstehen und Sie bei Ihrer Digitalisierungsplanung unterstützen können.

Zum kostenlosen Download unter

www.digitalize-your-business.de/hintergrundwissen


SICHERHEIT FÜR DEN MITTELSTAND IN DER DIGITALEN WELT

Inhalt auf einen Blick: •

IT-Sicherheit in der digitalen Welt

Was sich in der IT-Sicherheit ändern muss!

Social Engineering-Angriff(e)

Wirksamer Schutz ohne Leistungseinbußen

Identitätssicherheit und Privatsphäre

IT-Sicherheit von Smartphones & Co.

Trusted Cloud Computing

Internet der Dinge (IoT): Maximale Sicherheit ist Pflicht

IT-Compliance versus blindem „Regelvollzug“

ISBN 978-3941038-19-6

www.gf-vb.de

Sicherheit für den Mittelstand in der digitalen Welt  

Was macht IT-Sicherheit in der digitalen Welt aus? Welche Konsequenzen ergeben sich für den Know-how- und Datenschutz, die Netzwerksicherhei...

Read more
Read more
Similar to
Popular now
Just for you