Verlagsbeilage, Oktober 2016

Die Zeitschrift für Informations-Sicherheit

Schutz fürs Netz: Sicherheit durch Separierung

S. 18

Zugriffs-verwaltung:Wer darf was im Unternehmen?

S. 38

Industrieanlagensicherheit: Wenn sich das Fließband umdreht S. 14

special

it-sa 2016Trends, Produkte und Lösungen

Halle 12 · Stand 402

noris network AG • Thomas-Mann-Straße 16 - 20 • 90471 Nürnberg • T +49 911 9352-160 • F +49 911 9352-100 • vertrieb@noris.de • www.noris.de

INTERCONNECTED SITEAPPROVEDENERGY EFFICIENTDATA CENTER

SINGLE SITE

Sie suchen Premium-IT-Flächen im Großraum München?

■ 3 200 m2 modernste Premium-IT-Flächen ■ IT – Made in Germany, sicher, vielfach zertifi ziert ■ Preisgekrönt wirtschaftlich (Deutscher Rechenzentrumpreis) ■ Flexibel mit passgenauen IT-Services von noris network:von der puren Fläche über Managed Services bis hin zum kompletten Outsourcing

Jetzt zugreifen – bevor es andere tun.

noris network Rechenzentrum München Ost geht 12/2016 in Aschheim bei München in Betrieb

Jetzt IT-Flächen reservieren

3© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Editorial

Herzlich willkommen zur it-sa 2016!

Liebe Leserinnen und Leser der <kes>,wir alle profitieren von den Vorteilen einer vernetzten Welt: Globale Videokonferenzen sparen Zeit, Außendienstler greifen von überall auf aktuelle Produkt- und Preisinformationen zu und dem Friseur ums Eck bietet die Digitalisierung neue Möglichkeiten zur Kundenbindung.

Doch wo Licht ist, ist auch Schatten. Unternehmen und Organisationen stehen heute vor einer zusätz-lichen, großen Herausforderung: Sicherheit beginnt und endet schon lange nicht mehr am Werkstor.

Große wie kleine Unternehmen sind durch Cyber-kriminalität bedroht, quer durch alle Branchen. Wer hat heute keine Website, schickt keine E-Mails und ist nicht mobil auf dem Smartphone erreichbar? Die Einfallstore für Spionage oder digitale Erpressung sind vielfältig.

Dennoch: Über die Hälfte der Unternehmen wendet sich erst nach einem Sicherheitsvorfall an einen Anbieter von IT-Security-Lösungen. Dies ergab eine Ausstellerbe-fragung, durchgeführt im Vorfeld der it-sa 2016, der größten IT-Sicherheitsfachmesse Europas.

Seit ihrer Premiere 2009 hat sich die it-sa im Gleichschritt mit dem dynamischen Wachstum der IT-Sicherheitsbranche entwickelt. Die Beteiligung an der achten Ausgabe ist größer denn je: Mehr als 470 Anbieter von Produkten, Lösungen und Dienstleistungen zeigen vom 18. bis 20. Oktober im Messezentrum Nürnberg, wie sich Unterneh-men und Organisationen schützen können. IT-Sicherheitsexperten und Entscheider finden hier ein einzigartiges Informationsangebot.

Länderpavillons aus Israel und Frankreich, attraktive Sonderflächen und drei offene Foren mitten im Messegeschehen, dazu ein nochmals vielfältigeres Kongressprogramm – die it-sa bietet Technologien und Know-how für alle, die sich im digitalen Zeitalter beruflich mit dem Schutz von Unternehmenswerten befassen.

Ich lade Sie herzlich ein: Informieren auch Sie sich auf der it-sa, wie Sie Ihr Unternehmen vor Spionen und Erpressern schützen können.Nicht zuletzt die aktuellen Entwicklungen auf europäischer Ebene zeigen die Bedeutung von IT-Sicherheit auf. Ans Herz legen will ich Ihnen deshalb die Keynote am dritten Messetag: Der österreichische Jurist und Datenschutzaktivist Maximilian Schrems nimmt Stellung zur EU-Datenschutz-Grundverordnung.

Gemeinsam mit dem it-sa Team freue ich mich auf Ihren Besuch!

IhrePetra WolfMitglied der Geschäftsleitung, NürnbergMesse

4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Inhalt

Industrieanlagensicherheit:

Wenn sich das Fließband umdreht Seite 14

Hightech-Manufacturing:

ICS-Security zwischen Risikomanagement und Wertschöpfung Seite 16

Geschützte Netzinfrastruktur:

Sicherheit durch intelligente Separierung Seite 18

Starke Verschlüsselung in an- wendungskritischen Netzen Seite 20

Tablet als Datentresor Seite 22

Sicher ist sicher:

High-Tech für die Polizei-IT Seite 23

Network-Security-Scan als Managed Service

Sicherheitslücken erkennen und schließen Seite 26

Restrisiko vermeiden:

Daten auf mobilen Geräten sicher löschen Seite 28

SIEM, SOC, APT-Defense als Managed Service:

Quo vadis, Security-Monitoring? Seite 30

it-sa 2016:

Größer und vielfältiger Seite 5

Forenprogramm Seite 8

Hallenplan Seite 12

Impressum

GmbH

Augustinusstraße 9d, 50226 Frechen (DE)Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32redaktion@datakontext.com, www.datakontext.com

Geschäftsführer: Hans-Günter Böse, Dr. Karl Ulrich

Handelsregister: Amtsgericht Köln, HRB 82299

Bankverbindung: Landesbank München,IBAN: DE06 7005 0000 0004 3870 28

Alle Rechte vorbehalten, auch die des aus-zugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikrofilm und andere Ver-fahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen.

Zurzeit gültige Anzeigenpreisliste: Nr. 34 vom 02. Januar 2016

Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de

Media-Daten: Unsere Media-Daten finden Sie online auf www.kes.info/media/.

Vertrieb: Jürgen Weiß, weiss@datakontext.com, Tel.: +49 2334 98949-71, Fax: -32

Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler

Druck: KESSLER Druck + Medien GmbH & Co. KGMichael-Schäffer-Str. 1, 86399 Bobingen

Titelbild: NürnbergMesse, Heiko Stahl

Wie man sich auf Angriffe vorbereitet und ihnen begegnet:

Die rasante Rückkehr der Ransomware Seite 32

Kommunizierende IT-Sicherheitslösungen:

Next-Gen-Angriffe erfordern Next-Gen-Sicherheit Seite 36

Sichere Zugriffsverwaltung in Unternehmen:

Wer darf hier was? Seite 38

MATESO Password Safe Version 8:

Professionelles Passwortmanagement „Made in Germany“ Seite 40

Maßstab in puncto Sicherheit:

Innovationsfähig ohne Risiko dank PKI Seite 42

Cybersecurity:

VdS setzt Maßstäbe für den Mittelstand Seite 46

DocSetMinder

Cybersicherheit und betriebliches Kontinuitätsmanagement Seite 48

Tipps zum Brandschutz im RZ:

Gefahrenpotenzial Feuer Seite 50

DeviceLock DLP

Wie sich Datenströme im Unter- nehmen überwachen lassen Seite 52

Tests als Qualitätsmerkmal von Krypto-Software Seite 54

Sicherheitsverletzungen schneller erkennen und effizienter beheben:

Sechs Richtige im Sicherheitskonzept Seite 58

Vorteil für kleine und mittelständische Unternehmen:

IT-Schutz aus der Cloud Seite 62

Unified-Endpoint-Management-Lösungen

Endpoints im Unternehmen effizient schützen Seite 64

© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016 5

18. bis 20. Oktober

it-sa 2016: Größer und vielfältigerÜber 470 Aussteller präsentieren auf der it-sa vom 18. bis 20. Oktober IT-Sicherheitsprodukte

und -dienstleistungen. Länderpavillons aus Israel und Frankreich erweitern das Messeange-

bot, rund 230 Forenbeiträge vermitteln aktuelles Fachwissen. Die achte Ausgabe der it-sa im

Messezentrum Nürnberg ist damit größer denn je. Begleitend zur Fachmesse informieren

Lösungsanbieter, Verbände und Organisationen im Kongressprogramm Congress@it-sa.

Von Thomas Philipp Haas, NürnbergMesse

Alle Aussteller, ihre Produkte und die Hallenübersicht online:www.it-sa.de/aussteller-produkte

„Die it-sa bietet einen umfassenden Marktüber-blick und Fachwissen für IT-Sicherheitsverantwortliche aus allen Branchen“, erklärt Frank Venjakob, Executive Di-rector it-sa, NürnbergMesse. Dafür sorgen dieses Jahr mehr als 470 Aussteller, darunter viele Branchengrößen, aber auch zahlreiche spezialisierte kleine Firmen, Dienstleister und Beratungsunternehmen. Auf eigenen Sonderflächen präsentieren sich Startups und Anbieter aus dem Bereich Identity- und Access-Management. Data Center+ bündelt Aussteller für Rechenzentrumssicherheit und physische Schutzmaßnahmen und sorgt durch eine gesonderte Auszeichnung für Orientierung.

Diesmal präsentieren Unternehmen aus 19 Län-dern ihre IT-Sicherheitslösungen auf der Messe. Neben zahlreichen europäischen Firmen beteiligen sich Ausstel-

ler beispielsweise aus den USA, Taiwan oder Korea. Außerdem gibt es zwei Länderpavillons: Gemeinschaftsstände, auf denen sich Unternehmen aus Israel beziehungsweise Frankreich präsentieren. Insgesamt 17 Aussteller kommen aus Israel, der „Start-up-Nation“ mit einer ausgesprochen dynamischen IT-Sicherheitsszene. Aus Frankreich beteiligen sich in diesem Jahr zehn Firmen.

Beliebtes Nonstop-Vortragsprogramm

Eine Konstante im Rahmenprogramm der it-sa ist das beliebte Trio aus Forum Rot, Forum Blau und Auditorium. In rund 230 Kurzvorträgen und Diskussi-

6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Alle Informationen zum Rahmen- und Kongress-programm: www.it-sa.de/programm

Die App zur it-sa mit allen Ausstellern und Produkten:

www.it-sa.de/app

Letztes Jahr informierten sich über 9000 Experten und professionelle An-wender in Nürnberg über IT-Sicherheitslösungen und -dienstleistungen.

onen informieren Aussteller auf den Vortragsbühnen im Messegeschehen. Das Programm im Forum Rot dreht sich hauptsächlich um Strategie und Ausrichtung von IT-Sicherheitsmaßnahmen. Damit spricht es vor allem Ent-scheidungsträger an, die das IT-Sicherheitsmanagement verantworten. Themen sind unter anderem gesetzliche Vorgaben, Standards und Zertifizierung. Im Forum Blau stehen technische Aspekte im Mittelpunkt. Praxisnähe

wird hier großgeschrieben, beispiels-weise mit Beiträgen zur Planung sicherer Rechenzentren und Zu-trittskontrollsysteme, zu Industrie 4.0 oder sicherer Fernwartung. Das Auditorium komplettiert das Foren-

angebot als Bühne für Verbände und Institutionen. Zur Messeeröffnung spricht hier unter anderem Peter Batt, Lei-ter der Abteilung IT im Bundesministerium des Inneren. Zudem informiert beispielsweise ein TeleTrusT-Panel zu „Industrie 4.0 Security“ und das Bundesamt für Sicherheit in der Informationstechnik zum Umsetzungsstand beim IT-Sicherheitsgesetz. Präsentiert werden im Auditorium auch die Ergebnisse der <kes>/Microsoft-Sicherheits-

studie. An allen Messetagen und in allen Foren finden außerdem die beliebten Live-Hackings statt.

Ebenso bekannt aus den letzten Jahren ist der begleitende Congress@it-sa. Er bietet weiterführendes Fachwissen und Know-how für IT-Sicherheitsbeauftragte, Entscheider, Forscher und Behördenbedienstete. Letztere treffen sich in Nürnberg zur Jahrestagung der IT-Sicher-heitsbeauftragten in Ländern und Kommunen, die zum vierten Mal teilweise parallel zur Messe stattfindet. Auch der vom Bundesamt für Sicherheit in der Informations-technik ausgerichtete IT-Grundschutztag findet erneut zur it-sa statt. Neu unter dem Dach von Congress@it-sa ist die EICAR Conference. Die 24. Ausgabe der international renommierten Veranstaltung beginnt auch am Montag, dem 17. Oktober, und bringt IT-Sicherheitsforscher und -entwickler unter dem Motto „Vertrauenswürdigkeit von IT-Sicherheitslösungen“ zusammen. Zu den weiteren Themen im Kongressprogramm zählen rechtliche Aspekte wie die EU-Datenschutz-Grundverordnung oder Fachin-formationen beispielsweise zu SAP, Cloud und Privileged Account Security oder Identity und Access Management. In weiteren Veranstaltungen zeigen die Referenten Maß-nahmen für den Schutz der Unternehmens-IT auf und gehen der Frage nach, welche Sicherheitsstrategie derzeit die richtige ist.

Anlässlich der it-sa veranstaltet die Bayerische Staatsregierung einen Staatsempfang am Vorabend, der den Auftakt in die Messewoche bildet. Auch gibt der IT-Branchenverband Bitkom wieder ein „Executive Dinner“ für Vorstände und Geschäftsführer seiner Mitgliedsunter-nehmen sowie geladene Aussteller.

Keynote zur EU-Datenschutz-Grundverordnung

Die Keynote der diesjährigen it-sa spricht der ös-terreichische Jurist und Datenschutzaktivist Maximilian Schrems. Sein Thema: Die EU-Datenschutz-Grundverord-nung. „Mehr Datenschutz durch sichere IT-Strukturen?“, fragt Schrems, dessen Klage gegen Facebook vor dem Europäischen Gerichtshof zum Ende des Safe-Harbor-Abkommens mit den USA führte. Der Untertitel „Was die neuen EU-Regeln einfordern“ verspricht eine juristische Einschätzung und zeigt den Schwerpunkt seines Vortrags an: veränderte Anforderungen an technische und organi-satorische Maßnahmen und damit einhergehende Pflich-ten für IT-Sicherheitsbeauftragte. Maximilian Schrems spricht am dritten Messetag, dem 20. Oktober, um 12:30 Uhr im Auditorium. Im Anschluss beantwortet er Fragen der Zuhörer.

it-sa – auf einen Blick

18. – 20. Oktober 2016, Messezentrum Nürnberg

Öffnungszeiten (Fachmesse)Dienstag, Mittwoch 09:00 – 18:00 UhrDonnerstag 09:00 – 17:00 Uhr

EintrittTageskarte: EUR 28Dauerkarte: EUR 58

Im Eintrittspreis ist der it-sa Messekatalog „SecurityGuide“ enthalten. Der Katalog wird vor Ort ausgegeben.

Unternehmen, die nur ein kleines IT-Team haben oder das Management ihrer IT-Sicherheit auslagern möchten, erhalten mit Kaspersky Endpoint Security Cloud verlässlichen Schutz, der schnell implementiert und problemlos betrieben wird und ohne zusätzliche Hardwareinvestitionen funktioniert.

Verwalten Sie mit unserer Cloud-basierten Konsole die Sicherheit für mehrere Endpoints, Mobilgeräte und File-Server von überall aus per Fernzugri� .

VIEL SCHUTZ,WENIG VERWALTUNGKaspersky Endpoint Security Cloud. Sofort betriebsbereit

© 2016 Kaspersky Lab. Alle Rechte vorbehalten. Eingetragene Markenzeichen und Handelsmarken sind das Eigentum ihrer jeweiligen Rechtsinhaber.

Kaspersky Lab, Despag-Straße 3, 85055 Ingolstadt, Deutschland+49 841 981890, +49 841 98189 100; info@kaspersky.de

THE POWEROF PROTECTION

Mehr zu den Lösungen und Services vonKaspersky Lab erfahren Sie auf der it-sa 2016.

Wir freuen uns auf Ihren Besuch in Halle 12, Stand 416!

1577_kes_cloud_A4_it_sa_2016.indd 1 11.08.2016 16:59:52

© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> Special it-sa · Oktober 20158

09:15 Eröffnung der it-sa 2016BegrüßungPeter Ottmann, CEO, NürnbergMesse GroupWinfried Holz, Präsidiumsmitglied des Bitkom e.V.und CEO Atos Deutschland, Bitkom - Bundes-verband Informationswirtschaft, Telekommunikation und neue Medien e.V.Arne Schönbohm, Präsident des BSI, Bundesamt für Sicherheit in der Informationstechnik (BSI)EröffnungsansprachePeter Batt, Leiter der Abteilung IT im BMI, Bundesministerium des Inneren

10:30 Live-Hacking: So brechen digitale Angreifer in Ihre Systeme einSebastian Schreiber, Geschäftsführer, SySS GmbH

11:00 Zuverlässige IT-Sicherheit aus der Cloud – schnell, günstig und sofort einsatzbereitPeter Neumeier, Head of Channel Germany, Kaspersky Labs GmbH

11:15 Hightech-Manufacturing: ICS-Security in der Supply ChainAlexander Kühnlein, Product Manager, Airbus Defence and Space

11:30 Dem Remote Access Mitbewerb einen Schritt vorausBernd Kann, Vertriebsleiter Nord, NCP engineering GmbH

11:45 Are we at the dawn of mobile e-signatures? Haris Sethi, Sales Engineer, Thales Deutschland GmbH

12:00 Vortragsthema siehe: www.it-sa.de/de/eventsN.N., Riverbed GmbH

12:15 Ein neuer Ansatz für das Schwachstellen- und Patch ManagementThomas Todt, Sales Engineer DACH, APAC, MEA & Eastern Europe, Flexera Software LTD

12:30 Cybersicherheit aus Sicht des NachrichtendienstesMichael George, Leiter Cyber-Allianz-Zentrum Bayern, Bayerisches Landesamt für Verfassungs-schutz

13:00 Keynote: From Cache Contamination to Kaminsky to Root Zones - The evolution of DNS Security

Cricket Liu, Chief DNS Architect, Infoblox Inc.13:30 SAP Security Suite - Ein Überblick

Martin Müller, Customer Value Sales Security, SAP Deutschland SE & Co. KG13:45 IT & OT Security: Transparenz mit RAMI 4.0

Markus Bartsch, Business Development, TÜV Informationstechnik GmbH, TÜV NORD GROUP14:00 Ransomware hat als Geschäftsmodell ausgedient!?! Business E-Mail Compromise (BEC) gehört die Zukunft!

Udo Schneider, Security Evangelist Germany, TREND MICRO Deutschland GmbH14:15 Lagebericht zur Sicherheit: Ergebnisse der <kes>/Microsoft-Sicherheitsstudie

Norbert Luckhardt, Chefredakteur Zeitschrift <kes>, DATAKONTEXT GmbH14:45 Security Intelligence: Die Schlagkraft eines GRC nutzen

Thomas Mörwald, Senior Consultant, Information Security and Application Services, TÜV Rheinland i-sec GmbH

15:00 Managed Cyber Defense by TÜV RheinlandMartin Ruffertshöfer, Business Development Manager, TÜV Rheinland i-sec GmbH

15:15 Verleihung der it security Awards 2016Moderation: Ulrich Parthier, Herausgeber it security, IT Verlag für Informationstechnik GmbH

15:45 Rechtliche Managementverantwortung für Cybersecurity incidents im UnternehmenRechtsanwalt Dr. Christian Dressel, PwC - PricewaterhouseCoopers Legal AG

16:15 Panel-Diskussion: FIDO - Neue Wege der AuthentifizierungMalte Kahrs, CEO, MTRIX GmbHTeleTrusT e.V. und weitere Teilnehmer

17:00 Cyber Security-Zertifizierung nach IEC 62443 für Hersteller und System-IntegratorenRainer Arnold, Leiter Projektmanagement, TÜV SÜD AG

AUDITORIUM, MI 19.10.2016 09:30 Cyber-Sicherheit für die Wirtschaft

Jasmin Kreutz, Referent im Referat Cyber-Sicherheit für die Wirtschaft, Bundesamt für Sicher-heit in der Informationstechnik (BSI)

09:45 Cyber-VersicherungDirk Kalinowski, Kompetenzstelle Cyber, AXA Versicherung AG

10:00 DLP – Sinn und Zweck für FührungsebenenThomas Tuckow, Channel Sales Manager, DeviceLock Europe GmbH

10:15 So wenig wie möglich, so viel wie nötig: VdS 3473!Mark Semmler, Sicherheitsexperte und Projektleiter für die Erstellung der VdS 3473, VdS Schadenverhütung GmbH

10:30 Behavior is the new authenticationPéter Gyöngyösi, Product Manager of Blindspotter, BalaBit IT Security Deutschland GmbH

10:45 Jeep-Hack und Co. – den Angreifern auf der Spur Friedrich Raphael, Senior IT-Consultant, msg systems ag

11:00-12:00 TeleTrusT-Panel - Industrie 4.0 und IT-Sicherheit 11:00 Industrie 4.0 braucht „Digitale Souveränität“

Pamela Krosta-Hartl, Director Corporate Communications & Affairs, LANCOM Systems GmbH 11:15 Safety - Konvergenz Shop&Office-Floor – welche Rolle spielt die Verlässlichkeit /

Sicherheit der ITRamon Mörl, Geschäftsführer, itWatch GmbH

11:30 Wie kann Industrie 4.0 starten, wenn IT-Sicherheit 3.0 noch nicht gelöst ist?Dr.-Ing. Thomas Sinnwell, CEO Forschung und Entwicklung, consistec Engineering & Consulting GmbH

11:45 Industrie 4.0 und IT-Sicherheit - PodiumsdiskussionEric Schneider, Head of Solution Team & Business Development, exceet Secure Solutions AGDr.-Ing. Thomas Sinnwell, CEO Forschung und Entwicklung, consistec Engineering & Consulting GmbHRamon Mörl, Geschäftsführer, itWatch GmbHPamela Krosta-Hartl, Director Corporate Communications & Affairs, LANCOM Systems GmbH

12:00-13:00 DAVIT.de - Panel Lawyer meets IT 12:00 Die Umsetzung der Datenschutzgrundverordnung als wesentlicher Pfeiler der Unternehmens-Compliance

Dr. Christiane Bierekoven, Rechtsanwältin, Fachanwältin für IT-Recht, RA Rödl & Partner, Leite-rin IT Kompetenzcenter, DAVIT.de - Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltsverein (DAV) e.V

AUDITORIUM, DI 18.10.2016

Programmübersicht offene Foren auf der it-sa 2016

Aktuelle Programmänderungen und Ergänzungen: it-sa.de/foren

12:15 IT-Sicherheitsleistungen beauftragen und erbringenKarsten U. Bartels, LL.M., Rechtsanwalt, Partner, HK2 Rechtsanwälte

12:30 Meldepflichten bei Datenpannen heute und nach der DSGVOTimo Schutt, Rechtsanwalt & Fachanwalt für IT-Recht, Gründungspartner der IT- und Medien-kanzlei Schutt, Schutt, Waetke Rechtsanwälte

12:45 Voraussetzungen zulässiger Datenverarbeitung – die Erlaubnistatbestände der DSGVOAlexander von Chrzanowski, Rechtsanwalt und Fachanwalt für IT- und Arbeitsrecht, Rödl Global Rechtsanwaltsgesellschaft mbH

13:00 Initiative: Cybersecurity has to start at the topUwe Wagner, Managing Partner, German Silicon Valley Innovators, Inc.

13:30 Keynote: Securing Innovation in a Digital AgeGreg Day, Vice President and Regional Chief Security Officer EMEA, Palo Alto Networks GmbH

14:00 IX Secure: 360° Security mit Ixia LösungenErnst Hillerkus, Regional Sales Manager Germany, Ixia Technologies Europe Limited Zweignie-derlassung Deutschland

14:15 Life Beyond AV - Building an Endpoint Security Strategy for TomorrowN.N., SentinelOne

14:30-15:30 eco-Panel: Vulnerable Web-ApplicationsRoundtable mit: Peter Meyer, Leiter Cyber Security Services, eco - Verband der Internetwirtschaft e.V.David Jardin, Board-Member, CMS-Garden e.V.Patrick Ben Koetter, CEO, sys4 AGMarkus Schaffrin, Geschäftsbereichsleiter Mitglieder Service, eco - Verband der Internetwirt-schaft e.V.

15:30 Expertengespräch: Richtige IT-Sicherheit in KrankenhäusernDr. Stefan Bücken, IT-Sicherheitsbeauftragter, Medizinisches Zentrum für Informations- und Kommunikationstechnik (MIK) im Uni-Klinikum ErlangenHelmut Schlegel, Vorstand KH IT, IT-Leiter der Klinikgruppe Klinikum Nürnberg, Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter e.V., KH-ITWolf-Dietrich Lorenz, Chefredakteur Krankenhaus IT-Journal, Antares Computer Verlag GmbH

16:00 BSI IT-Grundschutz reloaded - so funktioniert es auch in der PraxisKnud Brandis, Sicherheitsexperte, PERSICON Consultancy GmbH

16:15 Aufbau eines Cyber Defense Centers – Make or Buy?Rüdiger Weyrauch, SE Director Central Europe, FireEye Germany GmbH

16:30 Warum sind wir alle so schlecht in IT-Security?Torsten Noack, Sales Development Manager CTM (Cyber Threat Management), Fox-IT Group B.V.

16:45 Cyber Security-Plattformen zur Gefahrenabwehr in kritischen NetzwerkinfrastrukturenMichael Frings, Senior Regional Manager - Government Sector, Central Europe, Mellanox Technologies, Inc.

AUDITORIUM, MI 20.10.201609:30 Aktueller Stand der Umsetzung des IT-Sicherheitsgesetzes aus Sicht des BSI

Sebastian Magnus, Regierungsrat - Schutz Kritischer Infrastrukturen / Grundsatz, Bundesamt für Sicherheit in der Informationstechnik (BSI)

09:45 Prinzipien vertrauenswürdiger IT-Informationsprozesse für hohe Compliance- und Vertraulichkeitsziele

Dipl. Ing. Jörg Kebbedies, Principal Beratung / Division Innere Sicherheit, secunet Security Networks AG

10:00 Datenschutzrechtliche Neuerungen der EU DatenschutzgrundverordnungSimone Heinz, Seniorberaterin Datenschutz, SIZ GmbH

10:15 TightGate-Pro - Abstand schafft SicherheitLars Lehmann, Leiter Vertrieb, m-privacy GmbH

10:30 Unser Weg in die Cloud – Erfahrungsbericht eines KundenFlorian Kröner, Leiter für IT-Systeme/Organisation, BSQ Bauspar AG

10:45 Datenaustausch in der digitalen Welt – Warum API Management eine Chance ist und keine Bürde

Philipp Schöne, Produktmanager IAM & API Management, Axway GmbH11:00 Trends auf dem DDoS Markt

Stefan Mardak, Senior Enterprise Security Architect, Akamai Technologies GmbHNiko Bender, CMO PlusServer GmbH

11:15 Cyber Defence für die ProduktionDr. Sebastian Schmerl, Solution Manager Cyber Defence for Production and IoT, Computacen-ter AG & Co. oHG

11:30 Was bedeutet die neue EU Datenschutz-Grundverordnung für Ihre IT-Sicherheit?Jens Freitag, Senior Security Specialist, Tenable Network Security GmbH

11:45 Keynote: Das IT Sicherheitsgesetz und seine Auswirkungen auf Web ApplikationenProf. Dr. Sachar Paulus, Universität MannheimMarc Bütikofer, CTO, Airlock by Ergon

12:15 Rödl & Partner - Die neue europäische Datenschutz GrundverordnungDr. Christiane Bierekoven, Rechtsanwältin, Fachanwältin für IT-Recht, RA Rödl & Partner, Leite-rin IT Kompetenzcenter, DAVIT.de - Arbeitsgemeinschaft Informationstechnologie im Deuschen Anwaltsverein (DAV) e.V

12:30 SPECIAL KEYNOTEMehr Datenschutz durch sichere IT-Strukturen? Was die neuen EU Regeln einfordernMaximilian Schrems, Jurist und Datenschutzaktivist

13:30 Threat Intelligence: from Knowledge to ActionsVeniamin Levtsov, VP Enterprise Business, Kaspersky Labs GmbH

13:45 Are you focused on the threats that matter?Ryan Franks, Senior Director Strategic Partners, NSS Labs, Inc.

14:00 Think Like a Hacker, React Like a CISOAvi Rose, Regional Business Director, Cynet

14:15 Secure your IT-infrastructure from DDoS attacks with network-based securityAllan Guillen, Product Development Manager, Level 3 Communications GmbH

14:30-15:00 IoT Telephony - sicher und vernetzt zusammenarbeiten für Industrie 4.0/IoTKurt Kammerer, CEO der regify GmbH, NIFIS - Nationalen Initiative für Informations- und Internetsicherheit e.V.

© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016 9© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> Special it-sa · Oktober 2015

Programmübersicht offene Foren auf der it-sa 2016

Aktuelle Programmänderungen und Ergänzungen: it-sa.de/foren

Forum Blau (Technik) DI 18.10.2016 Forum Rot (Management) DI 18.10.201610:30 CEO-Fraud & Co.: Wie Social Engineering ein Unternehmen bedroht

Bodo Meseke, Partner, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft10:45 Normen Mapping - Internal Controls und der Rest der Welt

Sascha Kreutziger, Senior Account Manager, HiScout GmbH11:00 Deutsche Unternehmen im Fadenkreuz - kenne Deinen Feind

Lars Klinghammer, Lead Consultant Remediation Services, Hewlett Packard Enterprise11:15 IAM aus der Cloud oder für die Cloud

Jan Johannsen, Sales Manager, IPG GmbH Deutschland11:30 Das IT-Sicherheitsgesetz – kritische Infrastrukturen im Zugzwang

Rainer Witzgall, Head of Sales, CenterTools Software SE11:45 ISMS – Beispiele erfolgreicher Umsetzung

Dr. Stefan Rummenhöller, Geschäftsführender Gesellschafter, r-tec IT Security GmbH12:00 Cybercrime und Cybersecurity - aktuelle Angriffsmuster und Gegenmaßnahmen

Dipl.-Phys. Helmut Brechtken, Associate Partner, Warth & Klein Grant Thornton AG Wirtschafts-prüfungsgesellschaft

12:15 Cloud und Things – Sicherheit für die neue ITWieland Alge, General Manager EMEA, Barracuda Networks AG Zweigniederlassung Deutschland

12:30 Zertifizierung von IT-StandardsAykut Bader, Geschäftsführer, FOX Certification GmbH

12:45 Sichere Datenräume mit Schadcode-frei „gewaschenen“ DatenRamon Mörl, Geschäftsführer, itWatch GmbH

13:00 Live Breaking-In: Industrial Security - Red Team OperationsThomas Hackner, CEO, HACKNER Security Intelligence GmbH

13:15 E-Mail-Sicherheit auf Knopfdruck. Geht doch!Stefan Cink, Produktmanager NoSpamProxy, Net at Work GmbH

13:30 Monitor your IT environment - with OP5/NagiosFredrik Akerström, Co-Founder/International Sales, op5 GmbH

13:45 IAM AutomationChristian Wawrzinek / Senior Engagement Manager, Efecte Germany GmbH

14:00 Warum “visibility” ein fester Bestandteil in Ihrer Security Strategie sein sollteArno Therburg, Director Enterprise Accounts, Netwrix Corporation

14:15 Network Access Control: die richtige Lösung zur Absicherung von NetzwerkumgebungenHorst Kuchelmeister, Area Sales Manager, Extreme Networks GmbH

14:30 Cybersecurity 4.0 – Schutz vor den Bedrohungen von heute und morgenMarkus Grathwohl, Account Manager Enterprise Sales, Kaspersky Labs

14:45 Informationssicherheit 2016 oder warum Verschlüsselung boomtArnim Simon, Regional Sales Director Germany, Gemalto Identity & Data Protection, Gemalto

15:00 Was tun bei Ransomware? Erste Schritte und Vorbeugung leicht erklärtThomas Uhlemann, ESET Security Specialist, ESET Deutschland GmbH

15:15 Ein Mal IT-Security zum Mitnehmen bitte!Muhamet Krivaqa, Product Owner, genua gmbh

15:30 Prozesse digitalisieren mit E-Mail-Verschlüsselung: Aktuelle Beispiele aus verschiedenen Branchen

Marcel Mock, CTO, totemo ag15:45 Cyber Security – der Brandschutz des 21. Jahrhunderts

Markus Edel, Leiter der Zertifizierungsstelle Managementsysteme, VdS Schadenverhütung GmbH16:00 Die eigene Hand als hochsicherer Schlüssel

Wolfgang Rackowitz, Account Manager, PCS Systemtechnik GmbH16:15 ISO27001 umsetzen und managen

Dr. Keye Moser, Leiter Sicherheitstechnologie, Fachgruppe Sicherheit / S-CERT / ITS-Produkte, SIZ GmbH

16:30 SOC (Security Operations Center) as a Service - Vorteile und Best PracticesHarald Reisinger, Geschäftsführer, RadarServices Smart IT-Security GmbH

16:45 Enterprise Mobility - Easy. Secure. ProductiveJörg Lupa, Account Manager, Cortado Mobile Solutions GmbH

17:00 Identity und Access Management im Zeitalter von Industrie 4.0 und Internet of ThingsGa-Lam Chang, Geschäftsführer, Senior Consultant, Peak Solution GmbH

17:15 Live Hacking: Wie arbeitet Ransomware und was kann ich dagegen tun?Jan-Tilo Kirchhoff, Country Manager, Compass Security Deutschland GmbH

Forum Rot (Management) MI 19.10.201609:30 Digitale Agenda der Unternehmen und Herausforderungen aus der Sicht der Cyber Sicherheit

Mirko Panev, Head Business Unit Cyber Security, TÜV SÜD AG09:45 Secure Surfing - geht das?

Oliver Wolf, Senior Business Development Manager Public, Avira GmbH & Co. KG10:00 Consumer IAM - Warum klassische IAM Lösungen oft nicht das richtige Mittel sind

Marc Bütikofer, CTO, Airlock by Ergon10:15 Social Engineering: Lehren aus der Geschichte

Rainer M. Richter, Sales Manager Channel, Central & Eastern Europe, Avecto Ltd.10:30 Was kosten eigentlich 2 Stunden Downtime? ROI-Berechnung und Auswahlkriterien für IT-Monitoring

Gabriel Fugli, Channel Sales Manager DACH, Paessler AG10:45 IT Compliance und IT-Outsourcing 2018

Christian Volkmer, Datenschutzbeauftrager, Projekt 29 GmbH & Co.KG11:00 Das IT-Sicherheitsgesetz – kritische Infrastrukturen im Zugzwang

Rainer Witzgall, Head of Sales, CenterTools Software SE11:15 UBA – Innovation für mehr Effizienz in der Cybersicherheit

Egon Kando, Regional Sales Director Central & Eastern Europe, Exabeam11:30 Who Moved My Network? Preparing for the Software Defined Era

Eric Wolf, Dach and Nordics Regional Director, AlgoSec11:45 Anforderungen an eine moderne PKI

Gerald Richter, Geschäftsführer, ECOS Technology GmbH12:00 Auch Hacker haben einen Business Case

Christoph Raab, Airbus Defence and Space12:15 SOC (Security Operations Center) as a Service - Vorteile und Best Practices

Harald Reisinger, Geschäftsführer, RadarServices Smart IT-Security GmbH12:30 SAM ist tot. Lang lebe Asset Management!

Christoph A. Harvey, Vorstand, DeskCenter Solutions AG

10:30 Sicher in der Cloud vor Anker gehen!Malte Pollmann, CEO, Utimaco IS GmbH

10:45 Schutz für alle Mitarbeiter, alle Anwendungen und BYOD mit einer Lösung!Jean Gillen, Account Executive DACH, Duo Security

11:00 Breaking the Attack ChainJustin Dolly, CISO, Malwarebytes Limited

11:15 Wie ermögliche ich einen sicheren digitalen Arbeitsplatz?Clamor Vehring, Account Executive, AirWatch by VMWare

11:30 Die SMS im Schlaglicht – müssen wir Authentifizierungsverfahren neu bewerten?Fabian Guter, Business Development Manager EMEA, SecurEnvoy Ltd

11:45 The Enterprise Immun System: Using Machine Learning to Detect „Unknown Unknown“ ThreatsSteve Soar, Commercial Director EMEA, Darktrace Ltd.

12:00 What is the state of software security?Nabil Bousselham, Security Architect, Veracode Limited

12:15 badWPAD a.k.a. „Je oller das Protokoll, je doller die Lücken“Udo Schneider, Security Evangelist Germany, TREND MICRO Deutschland GmbH

12:30 You cannot secure what you cannot seeJuergen Kirchmann, Regional Sales Director EMEA and Eastern Europe, Gigamon EMEA Office

12:45 Security aus der SteckdoseIbrahim Koese, Leiter Technical Solutions & Consulting, CSPI GmbH/CatoNetworks

13:00 Offsite Backup für zusätzlichen Ransomware-SchutzNicolas Pompl, Key Account, NovaStar Software & Consulting GmbH

13:15 Cybercrime & CyberwarRüdiger Trost, Pre Sales Manager, F-Secure GmbH

13:30 Cyber Defence Center – Mission, Aufgaben und typische ServicesDr. Sebastian Schmerl, Solution Manager Cyber Defence for Production and IoT, Computacen-ter AG & Co. oHG

13:45 Wirklich alles im Griff? Netzwerkinfrastruktur in Zeiten des Internets der DingeJochen Müdsam, Channel System Engineer, Aruba, a Hewlett Packard Enterprise Company

14:00 Ransomware - I don’t care! - Endpoints wirksam schützen!Dr. Norbert Schirmer, Business Unit Leiter Endpoint Security, Rohde & Schwarz Cybersecurity GmbH

14:15 Reduzierung des Missbrauchsrisikos bei Trace-Daten - Pseudonymisierung: Nur sehen, was man sehen muss

Dr. Patrick Michel, Senior Developer, consistec Engineering & Consulting GmbH14:30 Evolution of cyber-Attacks and successful prevention strategies

Dmitry Belyavskiy, INOVENTICA Group14:45 Threat Horizon

Mirco Rohr, Sales Engineer, Bitdefender GmbH15:00 Sicherheitsbetrachtung von SAP HANA

Konstantin Gork, Auditor & Consultant IT Security, CISA, IBS Schreiber GmbH15:15 Secure your mobile and cloud apps with IDaaS

Baldur Scherabon, Senior Presales Consultant, OneLogin Ltd15:30 Die Entwicklung der digitalen Identität

Alexander Kirchner, Entrust (Europe) Ltd.15:45 Schutz Ihrer unternehmenskritischen Daten und Applikationen - ob in der Cloud oder On-Premise

Martin Dombrowski, Principal Sales Engineer & Team Lead, Imperva16:00 The Next Thing in Next Gen: Sandstorm// Subtitle: APT und Zero-day-malware-prevention

Christoph Riese, Sophos GmbH16:15 Sind Sie bereit Phishing Angriffe zu analysieren?

Matthias Maier, Senior Product Marketing Manager, Splunk Services Germany GmbH16:30 Internal Segmentation Firewalling – Secure Core Routing

Robert Wislsperger, Systems Engineer SonicWALL/Dell Security16:45 Network Traffic? Not a Black Hole Anymore!

Tomáš Šárocký, Area Manager Western Europe, Flowmon Networks a.s.17:00 API Firewalling und Schutz von Web-APIs

Philipp Schöne, Produktmanager IAM & API Management, Axway GmbH17:15 HACKNER - Live Breaking-In: Industrial Security - Red Team Operations

Thomas Hackner, CEO, HACKNER Security Intelligence GmbH

Forum Blau (Technik) MI 19.10.201609:15 Live-Hacking: So kommen Sie Datendieben auf die Spur!

Frank Timmermann, if(is) - Institut für Internet-Sicherheit, Westfälische Hochschule09:45 Datenschleuse, Datenwäsche und sicherer Datenraum als vollständige daten- und nutzerzentrierte Vertrauenskette

Ramon Mörl, Geschäftsführer, itWatch GmbH10:00 Digitalisierung – ja, aber Sicher!

Roland Müller, Cisco Systems GmbH10:15 Der Anstieg von Malware: Malvertising & Ransomware

Helge Husemann, Account Manager DACH, Malwarebytes10:30 Mehr als nur Remote Access – Sichere Datenkommunikation im Umfeld Industrie 4.0

Jörg Hirschmann, CTO, NCP engineering GmbH10:45 SOC-Services – Die Cyber Defence Kommandobrücke für Ihr Unternehmen!

Andreas Mertz, Gründer und CEO, iT-CUBE SYSTEMS AG11:00 Vulnerability Management in der Cloud und virtualisierten Systemen

Lukas Grunwald, CTO / Greenbone Networks GmbH11:15 Was machen Sie denn hier drinnen? - Nichts vergessen beim Planen einer Zutrittskontrolle

Daniel Berning, PCS Systemtechnik GmbH11:30 Kollokation in einem TSI Level 3 zertifizierten Rechenzentrum

Michael Hausknecht, Key Account Manager, rockenstein AG11:45 SIEM – Security Vorfälle schnell sichtbar machen

Marek Stiefenhofer, Bereichsleiter IT Security Management und Analysen, r-tec IT Security GmbH12:00 Smart Cloud Identity Management

Ingo Schubert, Principal Solutions Architect, CISSP-ISSAP, RSA - The Security Division of EMC12:15 Firewalls für Cloud und Things – nicht ganz dieselben wie bisher

Wieland Alge, General Manager EMEA, Barracuda Networks AG Zweigniederlassung Deutsch-land

12:30 Physikalischer Schutz und hochsicherer VerbindungsaufbauHarry Schäfle, Head of Infrastructure Security, Fujitsu Technology Solutions GmbH

© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016© SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> Special it-sa · Oktober 201510

Programmübersicht offene Foren auf der it-sa 2016

Aktuelle Programmänderungen und Ergänzungen: it-sa.de/foren

12:45 What is the future of application security?Julian Totzek-Hallhuber, Security Architect, Veracode Limited

13:00 Sind Ihre Windows-Server gegen Ransomware geschützt?Roland Imme, Senior Technical Sales Engineer, Kaspersky Labs GmbH

13:15 Zugriffsberechtigungen schnell im GriffRené Leitz, Leiter Product Development daccord, G+H Systems

13:30 Discover hidden threats with User Behaviour Analytics (UBA)Felix Blanke, Sales Engineer EMEA, LogRhythm Germany GmbH

13:45 Modulares Identity Management - Mit Sicherheit agile ServicesMarkus Förster, Vorstand, OGiTiX Software AG

14:00 3 Verschlüsselungstechnologien für mehr Cloud SecurityStephan Lehmann, Lead Consultant Secure Information, Computacenter AG & Co. oHG

14:15 Kriterien für sichere FernwartungMatthias Ochs, Leiter Product Owner, genua gmbh

14:30 teamix - Penetration Testing im IoT - Logisches Denken statt HackingRobert Wortmann, GoTo Market Business Development Manager, teamix GmbH

14:45 Digitalisierung beherrschen - Netze mit unterschiedlichem Schutzbedarf sicher verbinden

Dr. Marc Lindlbauer, Leiter Abteilung – Entwicklung und Produkte, secunet Security Networks AG15:00 Secure-WiFi – umfassende Sicherheit und volle Kontrolle für Ihre WLAN Netze

Jonas Spieckermann, Senior Sales Engineer, WatchGuard Technologies, Inc.15:15 Cybercrime & Cyberwar

Rüdiger Trost, Pre Sales Manager, F-Secure GmbH15:30 Einfaches Benutzer- und Berechtigungsmanagement mit tenfold

Helmut Semmelmayer, Manager Solution Sales, certex Information Technology GmbH15:45 Die virtualisierte Firewall - Risiken und Chancen!

Dr. Hannes Riechmann, Senior Solution Architect, Rohde & Schwarz Cybersecurity GmbH16:00 Mit Nessus gegen Ransomware

Jens Freitag, Senior Security Specialist, Tenable Network Security GmbH16:15 Wieviel Bot hätten Sie denn gerne?

Stefan Mardak, Senior Enterprise Security Architect, Akamai Technologies GmbH16:30 Application Whitelisting: Sicherheit kann so einfach sein

Torsten Valentin, SecuLution GmbH16:45 Threat Horizon

Mirco Rohr, Sales Engineer, Bitdefender GmbH17:00 The Next Thing in Next Gen: Sandstorm// Subtitle: APT und Zero-day-malware-prevention

Michael Veit, Teamleiter Sales Engineer, Sophos GmbH17:15 Live-Hacking: So brechen digitale Angreifer in Ihre Systeme ein

Sebastian Schreiber, Geschäftsführer, SySS GmbH

Forum Blau (Technik) DO 20.10.201609:15 Live-Hacking: So brechen digitale Angreifer in Ihre Systeme ein

Sebastian Schreiber, Geschäftsführer, SySS GmbH09:45 Sichere Identitäten auf mobilen Geräten

Jan C. Wendenburg, CEO, certgate GmbH10:00 Sicherer Vendor-Access ohne VPN

Elmar Albinger, Sales Director DACH, Bomgar Germany GmbH10:15 Stark und sicher im Verbund

Michael Ibe, Senior Security Engineer, noris network AG10:30 Cryptography in Mobile Enterprise Communication

Phil Zimmerman, Co-founder & Chief Scientist, Silent Circle SA10:45 Kriminelle Clouds, Rogue-Routers und DDoS Deals im Darknet

Claudia Johnson, Senior Pre-sales Security Specialist, EMEA, Infoblox, Inc.11:00 Schwachstellen auf Windows-Systemen schnell erkennen und beheben

Martin Nix, Senior Consultant, baramundi software AG11:15 Schutz Ihrer unternehmenskritischen Daten und Applikationen - ob in der Cloud oder On-Premise

Martin Dombrowski, Principal Sales Engineer & Team Lead, Imperva11:30 Was passiert mit meinem Netz? Netzwerkmanagement & Analyse

Volker Kull, CTO, Bell Computer - Netzwerke GmbH11:45 Cyber-Attacken mit betrügerischen „Hochstapler-E-Mails“

Peter Lange, Presales Engineer Proofpoint, Proofpoint GmbH12:00 CASB, DCAP, PCS - Gefragt ist Endpoint Security der nächsten Generation

Thomas Reichert, VP Product Management, CenterTools Software SE12:15 Verteidigung von Netzwerken mittels Simulationsunterstützung

Ralf Kaschow, Head of ESG Cyber Training & Simulation Center, ESG Elektroniksystem- und Logistik-GmbH

12:30 Multi-Faktor-Authentifizierung: Herausforderungen, Technologien, LösungenMalte Kahrs, CEO, MTRIX GmbH

12:45 Vortragsthema siehe: www.it-sa.de/de/eventsSascha Merberg, Security Sales Engineer, Rapid7

13:00 10 Schritte Ihr Active Directory sicherer und einfacher zu verwaltenSusanne Haase, Senior Solutions Architect, One Identity/Dell Security

13:15 Wolke Sieben für E-Mails? – Sicherheitsaspekte bei cloud-basierter E-Mail-InfrastrukturHolger Schnitzler, Professional Services Consultant, totemo ag

13:30 Sicherheitslösungen rund um das Cloud-ThemaUlf Seifert, Senior Consultant, Softline Solutions GmbH

13:45 Cybercrime & CyberwarRüdiger Trost, Pre Sales Manager, F-Secure GmbH

14:00 Authentication 4.0 – Zertifikatsauthentifizierung für HOB AppsJoachim Gietl, Vertriebsleiter Central und Eastern Europe, HOB GmbH & Co. KG

14:15 Risikofaktor Enduser: so schützen Sie Anwender vor sich selbstBernhard Steiner, Presales Manager Central Europe, AppSense GmbH

14:30 ENGLISCH Automating Incident Response: Adopting a Continuous Response ModelJustin Harvey, Chief Security Officer, Fidelis Cybersecurity GmbH

14:45 DDoS: ...und es trifft Sie doch!Marcel Leitel, System Sales Engineer DACH / Corero Network Security

15:00 Raus aus der PKI Sackgasse - Data Centric Encryption macht echte end-to-end Security erst möglich

Rolf Wichter, 1rstmarkets GmbH und Peter Hansel, bizcon AG15:15 Detecting stealthy Web vulnerabilities automatically Ian Muscat, Product Communications

Ian Muscat, Product Communications Manager, Manager, Acunetix Ltd15:30 Live-Hacking: Datensammeln leicht gemacht!

Frank Timmermann, if(is) - Institut für Internet-Sicherheit, Westfälische Hochschule

12:45 ownCloud bei ZF Friedrichshafen AGThorsten Krause, Storage Support Specialist, ZF Friedrichshafen AG

13:00 Vertrauliche E-Mails in der Zeit nach der FirewallAndreas Nold, Chief Commercial Officer, Zertificon Solutions GmbH

13:15 Security Intelligence – Ihr Wettbewerbsvorteil in SecurityMatthias Maier, Senior Product Marketing Manager, Splunk Services Germany GmbH

13:30 Vom SIEM zur Erkennung von APTsHans-Peter Fischer, Partner, Security Consulting, KPMG AG Wirtschaftsprüfungsgesellschaft

13:45 Cyber-Angriff auf Ihr Unternehmen! Und was jetzt…?Andreas Fülöp, Sales Engineer, G DATA Software AG

14:00 Behalten Sie Ihre Kundennetzwerke im Auge mit einem einzigen IT-Tool für Managed ServicesThomas Hefner, Senior Sales Manager DACH, AVG Technologies Deutschland GmbH

14:15 Absicherung kritischer Infrastrukturen Mario Schwalm, Senior Systems Engineer/Presales ConsultantHEAT Software Deutschland GmbH

14:30 See – Control – Orchestrate: Passive Sichtbarkeit, IOT Security und Incident ResponseMarkus Auer, Regional Sales Director DACH, ForeScout Technologies

14:45 Informationssicherheit 2016 oder warum Verschlüsselung boomtArnim Simon, Regional Sales Director Germany, Gemalto Identity & Data Protection, Gemalto

15:00 7½ Tipps um Ihre Infrastruktur zu sichernDr. Christian Betz, CTO, CYPP GmbH

15:15 Der Endpoint ist meist der Startpoint eines AngriffsHenning Ermert, Senior Solution Architect, Nexthink GmbH

15:30 Vortragsthema siehe: www.it-sa.de/de/eventsPim van der Poel, Regional Manager DACH, Rapid7

15:45 Abwehr moderner Cybergefahren mit RSA Threat Detection and ResponseRalf Kaltenbach, Director DACH & Eastern Europe (Threat Detection and Response/NetWitness Suite), RSA, The Security Division of EMC

16:00 Toolbasiertes DatenzugriffsmanagementMarcus Westen, Business Development IAM, IT Security, ITConcepts Professional GmbH

16:15 Digitalisieren heißt exponieren – Wie die Authentisierung Schritt hältRené Konrad, Principal Product & Services, ti&m AG

16:30 Die SMS im Schlaglicht – müssen wir Authentifizierungsverfahren neu bewerten?Fabian Guter, Business Development Manager EMEA, SecurEnvoy Ltd

16:45 ISO27001 umsetzen und managenFrank Hensel, Leiter Sicherheitstechnologie, Fachgruppe Sicherheit / S-CERT / ITS-Produkte, SIZ GmbH

17:00 Sealed Cloud – Komfort und Sicherheit sind kein Widerspruch mehrDr.-Ing. Ralf Rieken, COO, iDGARD / Uniscon GmbH

17:15 Live-Hacking: Gezielte Spionageattacken auf IndustriesystemeSascha Herzog, Technischer Geschäftsführer, Strategie & Softwareentwicklung, NSIDE ATTACK LOGIC GmbH

Forum Rot (Management) DO 20.10.2016 09:30 Cyberbedrohungen unter Einbeziehung der Netzwerkarchitektur erfolgreicher bekämpfen

Jürgen Borsig, Cisco Systems GmbH09:45 Sicher mit SAP HANA? Methoden und Maßnahmen bei der Einführung der neuen SAP-Technologie

René Bader, Practice Manager, NTT Security (Germany) GmbH10:00 Cryptolocker & Co. – Zahlen Sie nicht am falschen Ende

Martin Zeitler, Senior Manager Systems Engineering, Palo Alto Networks GmbH10:15 Ungewollt ablaufende SSL Zertifikate - Eine Problematik auch in Ihrem Unternehmen?

Björn Baumann, Marketing & Produktmanagement, essendi it GmbHRamush Kuka, Product Owner, essendi it GmbH

10:30 How to streamline and integrate Security-, IT- and Business Operations?Wolfgang Kiener, Cyber Security Strategist, CSC Deutschland GmbH

10:45 A Real Success Story: How to Plan and Ensure Secure Wi-Fi Activity on Your Network – Easy and Reliably

Bartlomiej Cezak, Nord Anglia Education, customer of Xirrus Ltd.11:00 SAP Download Schnittstellen, die unbewachte Grenze!

Markus Nüsseler-Polke, Senior Security Consultant, SECUDE GmbH11:15 SOC-Services – Die Cyber Defence Kommandobrücke für Ihr Unternehmen!

Andreas Mertz, Gründer und CEO, iT-CUBE SYSTEMS AG11:30 Der beste Schutz gegen Ransomware

Stefan Dewenter, WatchGuard Technologies, Inc.11:45 Schutz vor Ransomware und Cyber-Angriffen von morgen – Sophos NextGen Endpoint Protection

Michael Veit, Teamleiter Sales Engineer, Sophos GmbH12:00 Migration der Berechtigungen auf SAP S/4HANA - Ist ein Rollen-Redesign erforderlich?

Johann Petschenka, Head of Global Sales, Xiting GmbH12:15 Gain Real-Time Visibility and Control on IoT Devices

Jan Hof, International Marketing Director, ForeScout Technologies12:30 Der Weg zu Industrie 4.0: Industrielle IT-Sicherheit

Sönke Schröder, Senior Product Marketing Manager, Giesecke & Devrient GmbH12:45 Unerhört sicher! - Schutz mobiler Business Apps bei maximaler Userfreiheit!

Stefan Gieseler, Senior Sales Manager, Rohde & Schwarz Cybersecurity GmbH13:00 Identity und Access Management im Zeitalter von Industrie 4.0 und Internet of Things

Ga-Lam Chang, Geschäftsführer, Senior Consultant, Peak Solution GmbH13:15 Automatische Erkennung von Cyber-Attacken in Echtzeit

Stefan Schweizer, Regional Sales Manager, VECTRA Networks13:30 Penetrationstests – Welchen Wert haben simulierte Angriffe

Jan-Tilo Kirchhoff, Country Manager, Compass Security Deutschland GmbH13:45 Was tun bei Ransomware? Erste Schritte und Vorbeugung leicht erklärt

Thomas Uhlemann, ESET Security Specialist, ESET Deutschland GmbH14:00 Threat Horizon

Mirco Rohr, Sales Engineer, Bitdefender GmbH14:15 Cybersecurity 4.0 – Schutz vor den Bedrohungen von heute und morgen

Markus Grathwohl, Account Manager Enterprise Sales, Kaspersky Labs GmbH14:30 Fortinet Security Fabric – Sicherheit ohne Kompromiss

Martin Hadersbeck, Senior Systems Engineer, Fortinet GmbH15:00 NSIDE ATTACK LOGIC - Live-Hacking: Das schwächste Glied - Social Engineering als Zugang zu Ihrer IT

Rainer Giedat, NSIDE ATTACK LOGIC GmbH

Next-Gen Enduser Protection Innovativer Schutz. Einfache Bedienung.

Mit neuen Technologien zur Advanced Threat Protection wird es einfacher als je zuvor, Ihr Unternehmen und Ihre Daten zu schützen. Egal, von wo aus Ihre Nutzer

arbeiten und was sie tun.

www.sophos.de/nextgen

Sophos Central Verwalten Sie Ihre Sicherheit zentral über eine intuitive, webbasierte Konsole.

12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

www.guh-systems.de

AM STAND 12.0-646

ERLEBEN SIE CONSULTING UND SOFTWARE IN EINER NEUEN DIMENSION!

• IT-INFRASTRUKTUR• IDENTITY & ACCESS MANAGEMENT• WEB SOLUTIONS

16645_G+H_AZ itsa_85x55mm_RZ.indd 1 12.09.16 13:50

AirWatch

ITConcepts

baramundisoftware

Rittal

HiScout

CyberArk

noris network

Netwrix

F5 Networks

Varonis

HOB

NCPengineering

Qualys

iT-CUBESYSTEMSCo

ntex

t

Stormshield

Devi

ceLo

ck Paessler

atsec

Bit-defender

PSW GROUPZertificonJakob-software

Bomgar

VALEO IT

VdSLevel 3

Commu-nications

Crypto-Tec teamix

DATAKOM

INFODAS MATESO

ISF

AlgoSec

Fraunhofer SIT

Akamai

GlobalSign

EgoSecure

Synopsys

Tenable

Aagon

TTKFATH

Cent

rify

Euro

pe

SWS

TÜV SÜD

IBS

ECOS

OPTIMAbit

M&H

ForeScout Technologies

Cisco Systems

Rapid 7GemaltoVeracode

Malwarebytes

CoSoSys

op5ESG

Phoenix Contact Fraunhofer

IOSB

ALSODeutschland

GRCG+H

tools4ever

secXtreme

CompumaticaCYBERBIT

EMKABeschlag-

teile

Network

netmon24

iDGARD Uniscon

Fraunhofer AISEC

PRIOR1

Net at WorkLoomans & Matz

RadarServices

TREND MICRO

Airbus

LANCOMSystems

SySS

Darktrace

essendi it

Bundesamt für

Sicherheit in der Informationstechnik(BSI)

Kensington

Gigamon EMEA Office

Regi

e

e-ito

TeleTrusT

MAXX

eGUARD

ConSecur

Cont

rolli

t

KPMG

Profitap

NEOX NETWORKS Infoblox

IABG

FOX

Certi

ficat

ion

DenyAll

HetznerOnline

Cortado

DIGITTRADE

Projekt

29

OGiTiX Software

eco - Verband der

Internet-wirtschaft

r-tec IT Systeme

Giegerich& Partner

SECU-

DRIVE

TÜV Rheinland

i-sec

Inoventica

OneLogin

itWatch

Regie

NSI

DE

SecuLution

SIZ

Efecte

proRZRechen-

zentrumsbau

BB

rockensteinAvira

PCS Systemtechnik

icerti

ficat

e

Fach-presse

ITVerlag

Altaro

Vasgard

SCHÄFER

Secusmart

RSA, THE SECURITY DIVISION OF

EMCCYREN

ti&mTÜV

AirIT

Syst

ems

ownC

loud

CSC

Xirrus

ESETDeutschland

SpaceNet

Duo Security

msg systems

FlowmonWarth & Klein

Anomali

genua

RB

Heise

Auditorium

OW

ASP

Antares

NSMC

Totemo

DeutscheTelekom

Fire

Eye

AppS

ense

PROFI

SerNet

utimaco IS

secunet Security Networks

dacoso

Airlock by Ergon

ICT Facilities

CateringFujitsu

Technology Solutions

Digi

tal

Guar

dian

Bitkom Sophos

1 & 1 Versatel

Forum Blau/ Blue forum

BVSW

Outpost24

ProjektleitungProject

management

Hakdefnet

PHYSECCronus

HACKNEResklusiv

e3 CSSSecomba bitinspect

grouptime Allegro PacketsSegusoft

IT-Seal

IT-TransfusionJoe Security

Auxiliumasoftnet

8com

Rohde &Schwarz

Cybersecurity

Open Systems

Arrow-

media

ADNDistribution

AdNovum Informatik

Bayerischer IT-Sicherheitscluster

Landesamt für

VerfassungsschutzBayernInnovativ

bayoonet

Beta Systems SoftwareDATARECOVERY

CenterToolsSoftware

certex

CHERRY

cirosec

Code42

Computa-center

ComstorWestcon

consistec

CON

TECH

NET

CSPICyber-Sicherheitsrat

Deutschland

SonicWALL

DeskCenter

ectacom

ET P BUSINESSFRANCE

Exclusive Networks Deutschland

ExtremeNetworks

F-Secure

G DATA Software

Imperva UK

indevis Infinigate Deutschland

KasperskyLabs

MTRIX

nrw.uniTS Horst Görtz

nstitut

ProSoftSoftware

ProtectedNetworks

ProteaNetworks

Secure-GUARD

Securepoint

sysobIT-Distribution

Splunk

The Israel export

institute

Wick HillKommunikationstechnik

VOQ

UZ

TESIS

PIN

NO

W

& PA

RTN

ER

Palo AltoNetworks

PMCS

qSkills

MAT

ERN

A

PRESENSE

PwCPersicon

Telonic

Tech Data

IQSol

BSI

SAP Deutschland

Forum RotRed forum

IAM-Area Peak Solution

IAM-AreaPeak Solution

Israeli Pavillon

French Pavillon

12.0-602

12.0-611

12.0-414

12.0-345

12.0-640

12.0-332

12.0-402

12.0-101

12.0-511

12.0-410

12.0-508

12.0-41312.0-429

12.0-31812.0-32612.0-328

12.0-325 12.0-313

12.0-214

12.0-108

12.0-207

12.0-21512.0-217

12.0-118

12.0-341

12.0-43712.0-439

12.0-216 12.0-210

12.0-324

12.0-444 12.0-440

12.0-537

12.0-121

12.0-430

12.0-505

12.0-510

12.0-433

12.0-625

12.0-223

12.0-435

12.0-352 12.0-350

12.0-528

12.0-623

12.0-331

12.0-340

12.0-622

12.0-539

12.0-122

12.0-517

12.0-520

12.0-60412.0-60812.0-612

12.0-334

12.0-442

12.0-54112.0-543

12.0-449 12.0-445

12.0-654 12.0-650 12.0-646

12.0-554

12.0-665

12.0-74212.0-744

12.0-473

12.0-458

12.0-620

12.0-119

12.0-462

12.0-342

12.0-20412.0-20612.0-218

12.0-310

12.0-531

12.0-629

12.0-346

12.0-460

12.0-542

12.0-736

12.0-556

12.0-447

12.0-573

12.0-641

12.0-371

12.0-566

12.0-657

12.0-423

12.0-557

12.0-307 12.0-305

12.0-544

12.0-757

12.0-563

12.0-626

12.0-373

12.0-632

12.0-477

12.0-561

12.0-335

12.0-344

12.0-660

12.0-377

12.0-655

12.0-652

12.0-653

12.0-301

12.0

-648

12.0-647

12.0-452

12.0-379

12.0-353

12.0-481

12.0-759

12.0-662

12.0-354

12.0

-669

12.0-230

12.0-479

12.0-574

12.0-356

12.0-415

12.0-64512.0-667

12.0-61812.0-634

12.0

-540

12.0

-417

12.0-575

12.0-123

12.0-424

12.0-568

12.0-756

12.0-323

12.0-11312.0-115

12.0-570

12.0-422

12.0-229

12.0-735

12.0-750

12.0

-227

12.0-475

12.0-749

12.0-431

12.0-338

12.0

-450

12.0

-765

12.0-768

12.0-339

12.0-308

12.0-636

12.0-351

12.0-124

12.0-77112.0-772 12.0-766

12.0

-767

12.0-446 12.0-426

12.0-770

12.0-579

12.0

-125

12.0-609

12.0-758

12.0-466

12.0-320

12.0-642

12.0-361

12.0-375

12.0-672

12.0-538

12.0-109

12.0-453

12.0-360

12.0-107

12.0-51212.0-546

12.0-408

12.0-532

12.0-630

12.0-411

12.0-762

12.0

-116

12.0-366

12.0-658

12.0

-438

12.0-212

12.0-355

12.0-461

12.0-52612.0-562

12.0-114

12.0-401

12.0-534

12.0-434

12.0-202

12.0-412

12.0-427 12.0-403

12.0-416

12.0-110

12.0-365

12.0-316

12.0-441

12.0-503

12.0-222

12.0-364

12.0-226

12.0-104

12.0-54812.0-504

12.0-436

12.0-51312.0-515

12.0-419

12.0-524

12.0-553

12.0-363

12.0-221

12.0-558

12.0-464

12.0-668

12.0-103

12.0-322

12.0-225

12.0-514

12.0-514a

EingangEntranceWest

EingangEntranceNord-West

IAM-Area

Startups@it-sa

DATAKONTEXT

12.0-624

13© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Hallenplan Stand September 2016

Bitdefender-AdBusiness-Virtual-A4-de_DE-qr.indd 1 13/05/16 12:58

Wir freuen uns auf Ihren Besuch auf der it-sa in Halle 12, Stand 108

Marktführer im Schwachstellen- und Compliance Management

Halle 12, Stand 429

AirWatch

ITConcepts

baramundisoftware

Rittal

HiScout

CyberArk

noris network

Netwrix

F5 Networks

Varonis

HOB

NCPengineering

Qualys

iT-CUBESYSTEMSCo

ntex

t

Stormshield

Devi

ceLo

ck Paessler

atsec

Bit-defender

PSW GROUPZertificonJakob-software

Bomgar

VALEO IT

VdSLevel 3

Commu-nications

Crypto-Tec teamix

DATAKOM

INFODAS MATESO

ISF

AlgoSec

Fraunhofer SIT

Akamai

GlobalSign

EgoSecure

Synopsys

Tenable

Aagon

TTKFATH

Cent

rify

Euro

pe

SWS

TÜV SÜD

IBS

ECOS

OPTIMAbit

M&H

ForeScout Technologies

Cisco Systems

Rapid 7GemaltoVeracode

Malwarebytes

CoSoSys

op5ESG

Phoenix Contact Fraunhofer

IOSB

ALSODeutschland

GRCG+H

tools4ever

secXtreme

CompumaticaCYBERBIT

EMKABeschlag-

teile

Network

netmon24

iDGARD Uniscon

Fraunhofer AISEC

PRIOR1

Net at WorkLoomans & Matz

RadarServices

TREND MICRO

Airbus

LANCOMSystems

SySS

Darktrace

essendi it

Bundesamt für

Sicherheit in der Informationstechnik(BSI)

Kensington

Gigamon EMEA Office

Regi

e

e-ito

TeleTrusT

MAXX

eGUARD

ConSecur

Cont

rolli

t

KPMG

Profitap

NEOX NETWORKS Infoblox

IABG

FOX

Certi

ficat

ion

DenyAll

HetznerOnline

Cortado

DIGITTRADE

Projekt

29

OGiTiX Software

eco - Verband der

Internet-wirtschaft

r-tec IT Systeme

Giegerich& Partner

SECU-

DRIVE

TÜV Rheinland

i-sec

Inoventica

OneLogin

itWatch

Regie

NSI

DE

SecuLution

SIZ

Efecte

proRZRechen-

zentrumsbau

BB

rockensteinAvira

PCS Systemtechnik

icerti

ficat

e

Fach-presse

ITVerlag

Altaro

Vasgard

SCHÄFER

Secusmart

RSA, THE SECURITY DIVISION OF

EMCCYREN

ti&mTÜV

AirIT

Syst

ems

ownC

loud

CSC

Xirrus

ESETDeutschland

SpaceNet

Duo Security

msg systems

FlowmonWarth & Klein

Anomali

genua

RB

Heise

Auditorium

OW

ASP

Antares

NSMC

Totemo

DeutscheTelekom

Fire

Eye

AppS

ense

PROFI

SerNet

utimaco IS

secunet Security Networks

dacoso

Airlock by Ergon

ICT Facilities

CateringFujitsu

Technology Solutions

Digi

tal

Guar

dian

Bitkom Sophos

1 & 1 Versatel

Forum Blau/ Blue forum

BVSW

Outpost24

ProjektleitungProject

management

Hakdefnet

PHYSECCronus

HACKNEResklusiv

e3 CSSSecomba bitinspect

grouptime Allegro PacketsSegusoft

IT-Seal

IT-TransfusionJoe Security

Auxiliumasoftnet

8com

Rohde &Schwarz

Cybersecurity

Open Systems

Arrow-

media

ADNDistribution

AdNovum Informatik

Bayerischer IT-Sicherheitscluster

Landesamt für

VerfassungsschutzBayernInnovativ

bayoonet

Beta Systems SoftwareDATARECOVERY

CenterToolsSoftware

certex

CHERRY

cirosec

Code42

Computa-center

ComstorWestcon

consistec

CON

TECH

NET

CSPICyber-Sicherheitsrat

Deutschland

SonicWALL

DeskCenter

ectacom

ET P BUSINESSFRANCE

Exclusive Networks Deutschland

ExtremeNetworks

F-Secure

G DATA Software

Imperva UK

indevis Infinigate Deutschland

KasperskyLabs

MTRIX

nrw.uniTS Horst Görtz

nstitut

ProSoftSoftware

ProtectedNetworks

ProteaNetworks

Secure-GUARD

Securepoint

sysobIT-Distribution

Splunk

The Israel export

institute

Wick HillKommunikationstechnik

VOQ

UZ

TESIS

PIN

NO

W

& PA

RTN

ER

Palo AltoNetworks

PMCS

qSkills

MAT

ERN

A

PRESENSE

PwCPersicon

Telonic

Tech Data

IQSol

BSI

SAP Deutschland

Forum RotRed forum

IAM-Area Peak Solution

IAM-AreaPeak Solution

Israeli Pavillon

French Pavillon

12.0-602

12.0-611

12.0-414

12.0-345

12.0-640

12.0-332

12.0-402

12.0-101

12.0-511

12.0-410

12.0-508

12.0-41312.0-429

12.0-31812.0-32612.0-328

12.0-325 12.0-313

12.0-214

12.0-108

12.0-207

12.0-21512.0-217

12.0-118

12.0-341

12.0-43712.0-439

12.0-216 12.0-210

12.0-324

12.0-444 12.0-440

12.0-537

12.0-121

12.0-430

12.0-505

12.0-510

12.0-433

12.0-625

12.0-223

12.0-435

12.0-352 12.0-350

12.0-528

12.0-623

12.0-331

12.0-340

12.0-622

12.0-539

12.0-122

12.0-517

12.0-520

12.0-60412.0-60812.0-612

12.0-334

12.0-442

12.0-54112.0-543

12.0-449 12.0-445

12.0-654 12.0-650 12.0-646

12.0-554

12.0-665

12.0-74212.0-744

12.0-473

12.0-458

12.0-620

12.0-119

12.0-462

12.0-342

12.0-20412.0-20612.0-218

12.0-310

12.0-531

12.0-629

12.0-346

12.0-460

12.0-542

12.0-736

12.0-556

12.0-447

12.0-573

12.0-641

12.0-371

12.0-566

12.0-657

12.0-423

12.0-557

12.0-307 12.0-305

12.0-544

12.0-757

12.0-563

12.0-626

12.0-373

12.0-632

12.0-477

12.0-561

12.0-335

12.0-344

12.0-660

12.0-377

12.0-655

12.0-652

12.0-653

12.0-301

12.0

-648

12.0-647

12.0-452

12.0-379

12.0-353

12.0-481

12.0-759

12.0-662

12.0-354

12.0

-669

12.0-230

12.0-479

12.0-574

12.0-356

12.0-415

12.0-64512.0-667

12.0-61812.0-634

12.0

-540

12.0

-417

12.0-575

12.0-123

12.0-424

12.0-568

12.0-756

12.0-323

12.0-11312.0-115

12.0-570

12.0-422

12.0-229

12.0-735

12.0-750

12.0

-227

12.0-475

12.0-749

12.0-431

12.0-338

12.0

-450

12.0

-765

12.0-768

12.0-339

12.0-308

12.0-636

12.0-351

12.0-124

12.0-77112.0-772 12.0-766

12.0

-767

12.0-446 12.0-426

12.0-770

12.0-579

12.0

-125

12.0-609

12.0-758

12.0-466

12.0-320

12.0-642

12.0-361

12.0-375

12.0-672

12.0-538

12.0-109

12.0-453

12.0-360

12.0-107

12.0-51212.0-546

12.0-408

12.0-532

12.0-630

12.0-411

12.0-762

12.0

-116

12.0-366

12.0-658

12.0

-438

12.0-212

12.0-355

12.0-461

12.0-52612.0-562

12.0-114

12.0-401

12.0-534

12.0-434

12.0-202

12.0-412

12.0-427 12.0-403

12.0-416

12.0-110

12.0-365

12.0-316

12.0-441

12.0-503

12.0-222

12.0-364

12.0-226

12.0-104

12.0-54812.0-504

12.0-436

12.0-51312.0-515

12.0-419

12.0-524

12.0-553

12.0-363

12.0-221

12.0-558

12.0-464

12.0-668

12.0-103

12.0-322

12.0-225

12.0-514

12.0-514a

EingangEntranceWest

EingangEntranceNord-West

IAM-Area

Startups@it-sa

DATAKONTEXT

12.0-624

Die <kes> finden Sie am Stand 624 – wir freuen uns auf Ihren Besuch.

14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Die stetig wachsende Digi-talisierung in der Industriebranche führt dazu, dass speicherprogram-mierbare Steuerungen (SPS bzw. PLC = Programmable Logic Controller) nicht mehr ausschließlich zum Öffnen und Schließen von analo-gen Stromkreisen genutzt werden. Stattdessen stellen sie mittlerweile komplexe Computersysteme mit einer Vielzahl von Services dar. Mit-hilfe des offenen Industrial-Ethernet-Standard PROFINET werden heutzu-tage die meisten Steueranlagen mit dem (lokalen) Netzwerk verbunden. Sie bieten unter anderem integrierte Web- und FTP-Funktionalitäten und die Möglichkeit der Fernwartung und Programmierung. Bereits mehrfach wurde jedoch bei verschiedenen Recherchen mit Erschrecken festge-stellt, wie viele, teils hoch kritische, Industrieanlagen mit dem Internet verbunden sind. Zugriffe auf pro-duktive Wasserwerke großer Städte und komplette Gebäudeautomati-sierungen sind oftmals problemlos möglich und zeigen deutlich, dass ein Eingriff in digitale Systeme be-drohliche Auswirkungen auf die reale Welt haben kann.

Das Problem der Industrie-Steuerung ist, dass es den historisch

Industrieanlagensicherheit

Wenn sich das Fließband um-drehtIndustrie 4.0 ist live, Security aber noch nicht. Die steigende Funktionalität und Vernetzung

eröffnet nicht nur den Betreibern von Industrieanlagen mehr Möglichkeiten und größere

Flexibilität, sondern bietet auch Eindringlingen mehr und mehr Angriffsvektoren zur Kompro-

mittierung und Manipulation. Dabei sind die Systeme zur Steuerung von Industrieanalagen

oft nur mangelhaft oder gar nicht geschützt. Hier sind nachhaltige Maßnahmen gefragt.

Von Dennis Detering, CSPi Deutschland

gewachsenen Kommunikationspro-tokollen größtenteils an Verschlüsse-lungs- und Autorisierungsmechanis-men fehlt. Sind solche Mechanismen vorhanden, entsprechen diese bei Weitem nicht dem aktuellen Stand der Technik und sind oftmals durch einfache Wege zu umgehen. Als Bei-spiel kann hier das Setzen eines Lese- und Schreibschutzes bei bestimmten SPS genannt werden. Aufgrund ver-alteter kryptografischer Algorithmen reicht das Abfangen eines einzelnen Autorisierungspaketes aus, um das gesetzte Passwort in kürzester Zeit zu berechnen. Ebenfalls wird das sichere Speichern der genutzten Projektdateien zur Konfiguration der Steueranlagen vernachlässigt, in denen sich, neben sensiblem pro-zessbezogenem Know-how, teilweise Hashs der verwendeten Passwörter befinden.

In den vergangenen Jahren sind Unternehmen verstärkt An-griffen auf Industrieanlagen zum Opfer gefallen und dennoch steigt das Sicherheitsbewusstsein für diese Systeme nur langsam an. Durch die gestiegene mediale Aufmerksamkeit, vor allem wegen des Stuxnet-Wurms im Jahre 2011 und der aktuellen Gefahr durch Ransomware, hat sich

die Umsetzung von Sicherheits-maßnahmen deutlich verbessert. Beispielsweise kritische Sicherheits-lücken werden deutlich schneller geschlossen als vor einigen Jahren. Jedoch verwehren ein fehlendes Patch- und Vulnerability-Manage-ment das zeitnahe Einspielen in die Anlagen. In den meisten Fällen wer-den Industrieanlagen rund um die Uhr betrieben und ein Abschalten der Anlage zum Aufspielen neuer Updates ist aus Kostengründen nur begrenzt möglich. Die hohen ver-ursachten Kosten bei eintretender Sabotage werden außer Acht gelas-sen und sind meist nicht einmal im Rahmen eines Risikomanagements kalkulatorisch erfasst.

Mehr Gefahren

Die Folgen sind immens. Durch die hohe Anpassbarkeit der industriellen Maschinen ist der Stillstand einer Anlage die kleinste Gefahr. Angenommen, ein Angrei-fer erlangt Zugriff auf die Steuerung eines Fertigungsroboters, so könnte er den Arm umprogrammieren, sodass er die umliegenden Systeme beschädigt oder zerstört. Alternativ könnte er die Produktionseinstel-lungen minimal verfälschen, sodass

15© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

ein Qualitätsverlust auftritt, der erst nach mehreren Monaten erkannt wird und dem Ruf des Unterneh-mens über eine lange Zeit schadet. Nicht zu vergleichen wäre dies mit den Schäden, die entstehen, wenn bei einer kritischen Infrastruktur (KRITIS) ein solcher Angriff durchge-führt wird. So könnte unter anderem der Druck von Wasser- oder Gaslei-tungen angepasst werden.

Das Beispiel der massiven Beschädigung eines Hochofens in einem deutschen Stahlwerk durch die Kompromittierung eines Office-PCs im Jahr 2014 zeigt zudem, dass die bestehende Gefahr durch ungeschützte SCADA-Umgebungen nicht zu unterschätzen ist. Feh-lende Netzwerksegmentierung und Überwachung eröffnen Angreifern die Möglichkeit, den Umweg über bestehende Netzwerke zu gehen und mit der Verwendung von weit verbreiteten Techniken, wie Spam-mails, präparierten USB-Geräten oder ähnlichem, Angriffe erfolgreich durchzuführen.

Mit der kontinuierlich fort-schreitenden Digitalisierung der Industrie müssen sich Unternehmen die Frage stellen, wie sie sich heute den stetig wachsenden Anforderun-gen zur Systemsicherheit neben der Betriebssicherheit (Safety) stellen. SCADA-Systeme können durch ak-tuelle Sicherheits-Technologie, wie Firewalls, Network Access Control (NAC), Application Control und Security-Information- and Event-Management (SIEM), geschützt wer-den. Auch Awareness-Schulungen der Mitarbeiter und regelmäßige Penetrationstests sollten Teil des Sicherheitskonzeptes sein, um einen umfassenden Schutz des Gesamtsy-stems gewährleisten zu können.

Wie soll man nun vorgehen?

Wenn noch nicht gesche-hen, muss das Thema IT-Sicherheit schnellstmöglich auf die thema-

tische Agenda der Geschäftsführung, um die nötige Aufmerksamkeit und Unterstützung zu bekommen. Schließlich müssen unternehmens-kritische Entscheidungen getroffen und in der Regel auch Investitionen getätigt werden. Zunächst gilt es, ein nachhaltiges Schutzsystem aus prä-ventiven und reaktiven Maßnahmen zu implementieren. Das wird je nach Branche und Größe des Unterneh-mens bereits der Fall sein – in diesem Fall sollte jedoch die Wirksamkeit kontinuierlich überprüft werden.

Beim Sicherheitskonzept sollte man auf internationale bzw. nationale Standards und Empfeh-lungen von nationalen Behörden be-ziehungsweise Industrieverbänden zurückgreifen, zum Beispiel:

BSI-Grundschutz und Pu-blikationen zu Cyber-Sicherheit in Industrieanlagen

Bundesverband der En-ergie- und Wasserwirtschaft e. V. (BDEW): Whitepaper „Anforde-rungen an sichere Steuerungs- und Telekommunikationssysteme“

IEC 62443: internationale Normenreihe für „Industrielle Kom-munikationsnetze – IT-Sicherheit für Netze und Systeme“

ISO 27001/2: internatio-naler Standard für den Aufbau und Betrieb eines Information-Security-Management-Systems (ISMS)

Insbesondere sollte man auf Basis des Standards ISO 27001/2 beziehungsweise mit BSI IT-Grund-schutz ein Sicherheitskonzept im-plementieren. Das Konzept sollte neben den organisatorischen und rechtlichen Aspekten auch die spezifischen technischen Aspekte berücksichtigen und in einer IT-Sicherheitsarchitektur manifestiert werden. Die Vorgehensweise ist durch die oben genannten Standards quasi vorgegeben:

Identifizierung der kri-tischen Assets und Risikoanalyse

Auswahl von Maßnahmen

und Erstellung eines Konzeptes in-klusive der IT-Sicherheitsarchitektur

Schulung und Sensibilisie-rung der Mitarbeiter

Implementierung der Schutzmaßnahmen

Überwachung der Wirk-samkeit und Korrektur bzw. Verbes-serung der Maßnahmen

Der letzte Punkt beinhaltet insbesondere die Erfassung der Si-cherheitslage des Unternehmens, um Angriffe zu erkennen und darauf zu reagieren. Das erfordert in der Regel die Einrichtung eines Security-Operation-Centers (SOC) für die kontinuierliche Überwachung und Reaktion auf Sicherheitsereignisse. Die Prüfung der Wirksamkeit der im-plementierten Maßnahmen und die Feststellung des Sicherheitsniveaus erfolgt durch wiederkehrende Audits und Sicherheitstests.

Bei diesen Maßnahmen kön-nen Unternehmen auch auf externe Dienstleister zurückgreifen. Der IT-Systemintegrator CSPi (vormals MODCOMP) unterstützt beispiels-wiese bei der Prüfung der implemen-tierten IT-Sicherheitsfunktionen und bei der Erstellung eines Sicherheits-konzeptes sowie dessen Umsetzung. CSPi hat in den 80er- und 90er-Jahren des letzten Jahrhunderts noch große Teile der Steuerungssoftware für die Raumfahrtindustrie und Industrie-anlagen selbst geschrieben und be-sitzt daher fundierte Kenntnisse über diese Prozesse und Anwendungen. Im Zusammenspiel mit modernen „IT Sicherheitslösungen“ kann der Anbieter somit Industrie 4.0 sicherer machen. n

CSPi GmbH auf der it-sa: Halle 12, Stand 212

16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Die Industrie insgesamt und im Speziellen die Hightech-Fertigung sieht sich bereits heute einem enormen Digitalisierungszwang ausgesetzt. Denn immer kürzere Produktzyklen machen die digitale Fabrik schon allein aufgrund ihres hohen Optimierungspotenzials für die immer komplexer werdenden Lieferketten zu einem der entschei-denden Zukunftsfaktoren. Zumal der Produktionsprozess eines Flugzeugs, Automobils oder die Herstellung eines Smartphones heute nicht mehr aus einer einzelnen Supply-Chain besteht, sondern vielmehr die Sum-me aus Hunderten von verzahnten, exakt aufeinander abgestimmten Wertschöpfungsprozessen und Fer-tigungsschritten darstellt. Unter diesen Vorzeichen auf Industrie 4.0 zu verzichten, hieße, hart erarbei-tete Technologievorsprünge preis-zugeben und damit langsam, aber sicher seine Marktrelevanz zu ver- lieren.

Auch wenn jeder Hersteller im Rahmen der digitalen Transfor-mation eigene Strategien entwickeln und umsetzen muss, so teilen alle Smart-Industry-Konzepte letztlich ein gemeinsames Paradigma: Die Fertigung der Zukunft ist datenge-trieben, vernetzt und transparent.

Hightech-Manufacturing:

ICS-Security zwischen Risiko-management und WertschöpfungWer künftig am Wertschöpfungspotenzial von Smart-Industry-Lösungen partizipieren möchte,

muss in puncto Sicherheit umdenken. Denn mit zunehmender Komplexität der Supply-Chain

steigen auch die potenziellen Risiken. Cybersecurity ist damit längst kein Selbstzweck mehr,

sondern eine der entscheidenden unternehmerischen Voraussetzungen für den Erhalt der

Wettbewerbsfähigkeit in Zeiten der digitalen Revolution.

Von Alexander Kühnlein, Airbus Defence and Space

Produktionsprozess, Materialfluss und ERP-Informationen verschmel-zen, gleichzeitig wächst die Anzahl von Echtzeitdatenströmen und Verbindungen exponentiell an – und damit auch die Zahl möglicher Sicherheitslücken. Schon jetzt zeigt sich, dass „klassische“ Sicherheits-konzepte, die hauptsächlich auf einer Trennung von Produktionssy-stemen und Office-IT beruhen, den Herausforderungen der digitalen Fabrik nicht mehr standhalten wer-den. Die Grenzen zwischen IT-Ebene und Produktionssystemen werden zunehmend verschwinden.

Gewachsene Strukturen werden zum Sicherheits-

problem

Als die moderne Automati-sierungstechnik ihren Anfang nahm, wurden Industriesysteme als isolierte Einheit betrachtet – Sicherheitsfunk-tionen wie Authentifizierungsme-chanismen, Passwortmanagement oder Zugriffsbeschränkungen waren demnach nicht notwendig. Für ein Produktions-Subsystem genügte es, per Zweidrahtleitung oder Funk an-geschlossen zu sein, denn praktische Vorteile wie Echtzeitfähigkeit und Zuverlässigkeit waren die entschei-denden.

Doch trotz der hohen Echt-zeitanforderungen ist das Zeitalter des Internets nicht spurlos an der Fertigungsebene vorbeigezogen. Einer der Haupttreiber war dabei die Bereitstellung von Fernzugängen. Technikern und Wartungspersonal sollte ein schneller Zugriff auf die Produktionssysteme ermöglicht werden, um Änderungen vorzuneh-men, den Status von Maschinen einzusehen oder wichtige Updates einzuspielen. Als Folge entstanden so organisch gewachsene Vernetzungs-strukturen mit einer heterogenen Ar-chitektur aus industriespezifischen Protokollen, lokalen Netzknoten mit Anbindung an die Office-IT und mehr oder weniger offenen Internet.

Vom Silo-Denken zum fachübergreifenden

Konsens

Bei Produktionsspezialisten und Automatisierern mag der Mix-and-Match-Zustand vieler Industrie-netze zunächst keine Bedenken aus-lösen. Angesichts der Entwicklung der vergangenen Jahre reichen diese Aspekte für sich allein jedoch nicht mehr aus. Denn nicht nur die Anzahl der IP-Verbindungen hat bereits stark zugenommen, sondern auch die Bedrohungslage selbst ist heute

17© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

eine völlig andere als vielleicht noch vor fünf Jahren. Inzwischen gibt es spezialisierte Suchmaschinen, die gezielt nach offenen Internetverbin-dungen mit produktionsspezifischen Protokollen suchen können.

Auch das ursprüngliche Silo-Denken zwischen IT-Verant-wortlichen und Produktionsleitern löst sich dank zunehmender Bericht-erstattung sowie standardisierter Sicherheitsrichtlinien (IEC 62443) mehr und mehr auf. Ein komplexer Hackerangriff oder ein auf Indus-trieanlagen spezialisierter Schädling gefährdet diese Zielsetzung. Schon ein einzelner Sicherheitsvorfall kann zu lang anhaltenden und sehr teuren Produktionsausfällen oder zur Offenlegung brisanter Betriebsge-heimnisse führen. ICS-Security wird deshalb schon längst nicht mehr als Hemmnis für die Fertigung gese-hen, sondern vielmehr als eine der entscheidenden Voraussetzungen für eine zuverlässige Produktions-planung. Erst ein interdisziplinärer Ansatz, bei dem die Sichtweisen von IT- und Produktionsspezialisten sinn-voll zusammengeführt werden, ist in der Lage, Echtzeitanforderungen und Sicherheitsmechanismen zu einem ausbalancierten Sicherheits-konzept zu verbinden. Dabei müssen auch IT-Security-Spezialisten ihre Sichtweisen überprüfen und gege-benenfalls einen nachhaltigen Per-spektivwechsel vornehmen, denn auch ein übertriebener Einsatz von IT-Security-Maßnahmen ist in der Feldebene nicht zielführend. Des-halb gilt gerade bei der Absicherung von Fertigungsumgebungen: „One-size-fits-all“-Lösungen sind meist fehl am Platze, entscheidend sind die individuellen Anforderungen des einzelnen Betreibers.

Risikobewertung führt zum zuverlässigen

Produktionsverbund

Für einen Security-Anbieter liegt die Herausforderung bei der Absicherung von Produktionsum-

gebungen deshalb vor allem darin, maßgeschneiderte Sicherheitskon-zepte zu finden, die sich technisch und organisatorisch nahtlos in die vorhandenen Fertigungsabläufe ein-betten lassen. Voraussetzung hierfür sind nicht nur theoretische Grund-lagenkenntnisse und ein gut ausge-bildetes Spezialistenteam, sondern auch ein hohes Maß an Praxiserfah-rung. Als eines der führenden Hoch-technologieunternehmen Europas blickt Airbus Defence and Space auf eine lange Tradition in der Fertigung von Hightech-Produkten mit hohem Schutzbedarf zurück.

Industrial Security ist, wie auch der digitale Wandel insgesamt, kein definierter Endzustand, son-dern ein kontinuierlicher Prozess. Ein grundlegender erster Schritt auf dem Weg zu einer validen ICS-Sicherheitsstrategie muss deshalb eine detaillierte Risikoanalyse sein. Diese Vorgehensweise empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Im ICS-Security-Kompendium des BSI heißt es hierzu: „Die Durchfüh-rung einer wiederkehrenden (re-gelmäßigen bzw. anlassbezogenen) Risikoanalyse wird als verpflichtend angesehen“. Im Rahmen seiner umfassenden Security-Services ent-wickelt Airbus Defence and Space ganzheitliche Sicherheitsstrategien, die exakt auf solch einer Analyse basieren. Zielsetzung ist dabei, in direkter Zusammenarbeit mit IT- und Produktionsteams des Betreibers die fünf Top-Risiken zu identifizieren und zu dokumentieren sowie prak-tikable Gegenmaßnahmen zu emp-fehlen. Die Zielsetzungen umfassen im Einzelnen:

den Aufbau von sicheren Remote-Zugängen für Wartung und Analyse

die Absicherung des Pro-duktionsverbundes sowie die Iso-lierung oder Überwachung von mit Schwachstellen behafteten Altsyste-men durch passive Security-Sensoren

die Sicherung von End-

points, Datenbanken und Servern (MES, HMI-Stationen, Notebooks und Mobilgeräten)

die sichere Nutzung von portablen Medien wie USB-Sticks oder CDs

Wissenstransfer und die Be-reitstellung einer Methodik für eine kontinuierliche Risikoanalyse

Fazit

Die Absicherung von Pro-duktionsanlagen ist gerade für Hochtechnologieunternehmen eine komplexe Herausforderung mit zuweilen hohem Kostenaufwand. Vor dem Hintergrund von Indus-trie 4.0 und Internet of Things (IoT) ist eine sicherheitstechnische Bestandsaufnahme jedoch unum-gänglich, um den digitalen Wandel auf eine solide Basis zu stellen. Ein Security-Assessment bietet dazu ei-nen sinnvollen Einstiegspunkt und ist der Grundstein für alle weiteren Handlungsempfehlungen sowie den Aufbau einer langfristigen Sicher-heitsstrategie. n

Airbus Defence and Space auf der it-sa: Halle 12, Stand 531

18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Vor der Digitalisierung waren kritische Netze schlicht getrennt – und damit aus Netzwerksicht opti-mal geschützt. Prozesse in Behörden waren papierbasiert und das Papier wurde sicher verwahrt und überge-ben. In kritischen Infrastrukturen gab es eigene Netze mit eigenen Protokol-len, ohne Verbindung zur Außenwelt, und die ersten Industrieroboter hat-ten keine Anbindung an das Internet, sondern lediglich eine direkt ange-schlossene Kontrollkonsole.

Diese Zeiten sind endgültig vorbei. Systeme sind miteinander vernetzt und basieren häufig auf gängigen Techniken wie dem Inter-netprotokoll. Das schafft schnelle Konnektivität, Effizienz und mög-liche Kostenersparnisse. Zusätzlich richtet sich der Aufbau von Netzen häufig nach so genannten führenden Systemen, beispielsweise einem ERP-System. Nahezu alle Systeme sind heutzutage miteinander verbunden und unterschiedliche Sicherheits-einstufungen zwischen Netzen und Systemen häufig kaum noch gege-ben, geschweige denn kontrollierbar. Bedeutet die Digitalisierung also eine Effizienzsteigerung auf Kosten der Sicherheit? Nicht zuletzt schreibt der Gesetzgeber mit dem IT-Sicherheits-gesetz ein angemessenes Niveau an Sicherheit vor.

Geschützte Netzinfrastruktur:

Sicherheit durch intelligente SeparierungDie Digitalisierung ist in vollem Gange: Der Staat bildet seine Prozesse digital ab, die Indus-

trie schafft durch digitale Vernetzung eine hohe Effizienzsteigerung, und kritische Infra-

strukturen werden durch IT-gestützte Systeme den Anforderungen gerecht, die beispielswei-

se im Energiemarkt durch die dezentrale Einspeisung entstehen. Digitalisierung bedeutet

Effizienz und Kompatibilität, führt aber auch zu einem enormen Anstieg der Bedrohung. Ist

es möglich, in diesem Spannungsfeld ein angemessenes Sicherheitsniveau zu erreichen?

Von Markus Linnemann, secunet Security Networks AG

Einfacher gesagt als getan?

Um den neuen Gefahren aktiv zu begegnen und das Ausnut-zen von Schwachstellen im System zu verhindern, ist eine Absicherung unter folgenden Gesichtspunkten sinnvoll:

Wer darf überhaupt ins Netzwerk und wer in welche Sicher-heitsdomäne?

Wer hat Zugang zu wel-chem System?

Wie werden die Zugriffs-rechte der Mitarbeiter, der Dienst-leister und die der automatisierten Datenkommunikation zwischen Maschinen geregelt?

Wie kann Sicherheit über verschiedene Sicherheitsdomänen hinweg – insbesondere solchen mit unterschiedlichen Sicherheitsein-stufungen – gewährleistet werden, ohne geschäftskritische Prozesse zu gefährden?

Zu diesen Fragen existieren bereits verschiedene Lösungsmodel-le, die aber oft nur in Form isolierter Einzellösungen umgesetzt werden. Doch das wird der Herausforderung nicht gerecht: Kleine Unzuläng-lichkeiten, häufig an komplexen Schnittstellen (Telearbeitsplätzen,

Remote-Zugriffen der Mitarbeiter, Fernwartungszugängen), schwächen dann das komplette System.

Sicherheit kann es immer nur dann geben, wenn der Strom der Informationen kontrollierbar ist und unterschiedliche Sicherheitsdomä-nen voneinander separiert werden. Technisch lässt es sich realisieren. Entscheidend ist dabei, die abzusi-chernde Infrastruktur ganzheitlich zu betrachten und entsprechende Sicherheitsdomänen festzulegen. Zudem ist es durchaus möglich, mit vorhandenen und komplementären Komponenten sukzessive Sicherheit zu etablieren, ohne ein neues Netz aufzubauen. secunet zeigt auf der it-sa 2016, wie ein solches Konzept die an sich widersprüchlichen Anforderungen der Netztrennung und Vernetzung gleichermaßen bedienen kann. Der Ansatz beruht auf dem intelligenten Einsatz von Separierungstechniken. Die Basis für die technische Umsetzung ist die organisatorische Strukturierung der jeweiligen Sicherheitsdomänen.

Starke Netzgrenzen trotz Vernetzung

In vielen Behörden und Unternehmen sind bestimmte An-wendungen und Systeme in Netzen

19© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

definiert, die als besonders schüt-zenswert gelten: in der öffentlichen Verwaltung zum Beispiel die Netze, die eingestufte Daten verarbeiten, in der Industrie die Netzwerke, die dem Betrieb eines Netzleitmanagement-systems dienen. In solchen Netz-bereichen müssen isolierte Sicher-heitsdomänen geschaffen werden. Kommunikationsverbindungen werden mittels VPN über eigene und öffentliche Netze gemanagt und lediglich authentifizierten und auto-risierten Kommunikationspartnern zugestanden – bei Bedarf auch zeit-lich begrenzt und protokollierbar.

Weiterhin sollte die Separie-rung nicht in der Netzinfrastruktur enden, sondern bis ins Endgerät hinein aufrechterhalten werden. Dazu bietet sich als Client die sowohl mobil als auch stationär einsetzbare SINA Workstation an, die unter ande-rem mit einer sicheren VPN-Techno-logie, Zwei-Faktor-Authentifizierung sowie verschlüsselter Datenablage ausgestattet ist. Sie ermöglicht es, mit mehreren Arbeitsplätzen, die verschiedenen Sicherheitsdomä-nen angehören und daher bisher physisch getrennt realisiert werden mussten, gleichzeitig auf einem Ge-rät zu arbeiten. Die Arbeitsplätze sind nachgewiesen sicher separiert. Der Anwender arbeitet dann mit mehre-ren so genannten Gastsystemen und kann E-Mail-Korrespondenz erledi-gen, im Internet surfen, vertrauliche Dokumente bearbeiten oder eine kritische Anlage bedienen, ohne die Trennung der Sicherheitsdomänen aufzuweichen.

Daten schleusen zwi-schen Netzen

Trotz aller Trennung muss jedoch in vielen Fällen ein Daten-austausch zwischen Domänen mit unterschiedlichem Schutzbedarf möglich sein. So müssen beispiels-weise Dokumente, die im Verlauf ihrer Bearbeitung einen höheren Geheimhaltungsgrad erfahren, in höher klassifizierte Sicherheitsdomä-

nen übermittelt werden können. Ein anderes Beispiel ist der in manchen Unternehmen bestehende Bedarf, aus der isolierten Sicherheitsdomä-ne zur Anlagensteuerung gezielt Betriebsparameter für die weitere Verarbeitung auszuführen. Dabei gilt grundsätzlich: Die Verbindung der Domänen stellt immer eine Gefahr für die höher klassifizierten Netze dar.

Für eine Kommunikation und zugleich klare Trennung zwi-schen Netzen wird ein sogenannter Konnektor benötigt, der auf logischer Ebene unterschiedlich klassifizierte Netzwerke entkoppelt. An den Netzgrenzen positioniert, nimmt er Daten aus dem Quellnetz auf, verar-beitet sie mithilfe seiner Transport- und Prüfdienste und stellt sie zur Ver-wertung im Zielnetz zur Verfügung. Zwischen VS-eingestuften Netzen in Behörden kann eine Datendiode für diese logische Entkopplung benutzt werden, die Übergriffe und Angriffe aus niedriger klassifizierten sowie Datenabfluss aus höher eingestuften Netzen verhindert. In industriellen Netzen können Konnektoren den Datenaustausch über entsprechende Regelwerke und Separierungstech-nologien bewerkstelligen.

Auch kommt kaum ein Arbeitsplatz ohne eine Verbindung zum Internet aus. Es gibt aber Tech-niken, die einen Internetzugriff aus

kritischen Netzen heraus ermögli-chen, ohne das Sicherheitsrisiko zu erhöhen. Auf dem ReCoBS-Prinzip aufbauende Systeme wie der secunet safe surfer ermöglichen den Internet-zugriff durch eine Terminalserver-Logik: Aus dem kritischen Netz heraus besteht keine direkte Verbin-dung zum Internet. Stattdessen wird lediglich ein Zugriff auf separierte so genannte Opfersysteme durch Bild- und Tonübertragung etabliert, auf denen isoliert die eigentlichen Surfsessions ausgeführt werden. So wird eine klare Netztrennung geschaffen, da die eigentliche Inter-netanwendung nicht im kritischen Netz ausgeführt wird.

Fazit

Unabhängig von Branche, Sektor, Industrie oder Staat sind die Herausforderungen an eine sichere Infrastruktur mit mehreren Sicherheitsdomänen in technischer Hinsicht meist sehr ähnlich. Die auf-gezeigten Architekturkomponenten sind nur ausgewählte Beispiele und können parallel und zusammen mit bereits vorhandenen Techniken ein-gesetzt werden. Der intelligente Mix aus vorhandener Technik und guter IT-Organisation schafft im Zuge der Digitalisierung Sicherheit. n

secunet auf der it-sa: Halle 12, Stand 636

Beispielaufbau einer sepa-rierten Netz-infrastruktur.

20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Zur Überwachung und Steu-erung der sensiblen Kommunikation in anwendungskritischen Netzen kommen bis heute vorwiegend langjährig genutzte PDH/SDH-Netze zum Einsatz. Auch wenn die Daten-übertragung in diesen Netzen nicht verschlüsselt erfolgt, bieten sie als ab-geschlossene Infrastrukturen kaum Möglichkeiten zur Manipulation.

Mit dem Aufkommen IP-basierter Applikationen entstand jedoch eine neue Situation. An Standorten, an denen langjährig genutzte PDH/SDH-Netze um IP-Lösungen erweitert oder gar schritt-weise ersetzt werden sollen, haben es die Betreiber anwendungskritischer Kommunikationsnetze mit neuen Herausforderungen zu tun: Sowohl die Bestands- als auch die neuen IP-basierten Systeme müssen in einem zukunftsfähigen IT-Sicher-heitskonzept berücksichtigt werden. Eine zentrale Rolle spielen dabei An-forderungen wie Ausfallsicherheit, Verfügbarkeit und Integrität der Netze, die frühzeitige Entdeckung von Angriffen, aber auch die Auto-risierung und Authentifizierung von Benutzern sowie die verschlüsselte Datenübertragung.

Da sich die Netzelemente paketbasierter Kommunikations-

Starke Verschlüsse-lung in anwendungs-kritischen NetzenIn den Mission-Critical-Kommunikationsnetzen von Stadt-

werken, regionalen und überregionalen Energieversorgern,

Eisenbahnen und Behörden haben Sicherheit und Verfügbar-

keit der Daten höchste Priorität. Mit der Verschlüsselungs-

lösung von KEYMILE lassen sich hochsensible Daten sicher

übertragen.

Von Rouven Floeter, KEYMILE

systeme über ihre IP-Adressen an-steuern lassen, gelten sie als potenzi-ell unsicher. Eine Lösung dafür bietet die verschlüsselte Datenübertragung zwischen Netzelementen. Dabei gilt es, zwei Aktivitäten zu unterschei-den: erstens die Verschlüsselung der zu übermittelnden Daten und zweitens die Erzeugung und der Austausch der Schlüssel. Zur Ver-schlüsselung der Daten stehen eta-blierte Verfahren wie AES bereit. Der entscheidende Punkt ist der sichere Schlüsseltransport.

Tatsächlich sichere Schlüssel generieren

Um wirklich sichere Schlüs- sel zu generieren, reichen die be-kannten mathematischen Verfahren zur Erzeugung von Zufallszahlen nicht aus. Bei der neuen Verschlüs-selungskarte SECU1 für die hybride Multi-Service-Zugangs- und Trans-portplattform XMC20 setzt KEY-MILE auf einen hardwarebasierten Quantenzufallsgenerator (Quan-tum-Random-Number-Generator – QRNG) des Schweizer Unterneh-mens ID Quantique. Der QRNG sorgt für höchste Sicherheit der erzeugten Schlüssel. Anstatt mathematischer kommen physikalische Methoden zum Einsatz, die sich die Eigenschaf-ten des Lichts zunutze machen, um

tatsächlich zufällige und hochsi-chere Schlüssel zu erzeugen.

SECU1 verschlüsselt in MPLS-TP-Transportnetzen Ende-zu-Ende und nativ den gesamten Netz-verkehr auf Layer-2. Im Vergleich zur Layer-3-Verschlüsselung von IPSec ergeben sich bedeutende Vorteile: Es gibt keinen Bandbreitenverlust durch Overhead und die Latenzzeit beträgt weniger als eine Mikrose-kunde, anstatt Millisekunden oder gar Sekunden. Damit ist auch die hohe Verfügbarkeit der Daten – eine der wichtigsten Anforderungen an Mission-Critical-Kommunikations-netze – erfüllt.

Unternehmen und Behör-den sind mit der XMC20-Plattform in der Lage, SDH/PDH-basierte und paketbasierte Netze sicher und ge-meinsam in einem Netzknoten zu betreiben. XMC20 ermöglicht einen lüfterlosen Betrieb, kann in rauen Umgebungsbedingungen eingesetzt werden und gewährleistet in Kom-bination mit der SECU1 eine zuver-lässige Verschlüsselung, ohne dass die hohe Verfügbarkeit in Mission-Critical-Kommunikationsnetzen darunter leidet. Durch eine zentrale und dezentrale Schlüsselerzeugung ist eine vertrauenswürdige und geschützte Verteilung der Schlüssel sichergestellt. Damit ist kein Single-Point-of-Failure vorhanden und alle vorhandenen XMC20-Knoten kommunizieren sicher miteinander.

KEYMILE entwickelt und produziert XMC20 in Deutschland sowie in der Schweiz. Die Systeme erfüllen die relevanten branchen-spezifischen Normen und genügen gleichzeitig den hohen Anforderun-gen von Betreibern anwendungskri-tischer Netze im Bezug auf hohe Ver-fügbarkeit und geringe Wartung. n

KEYMILE auf der it-sa: Halle 12, Stand 446

MOBILESECURITY

FILESECURITY

ENDPOINTSECURITY

MAILSECURITY

GATEWAYSECURITY

SECUREAUTHENTICATION

COLLABORATION

REMOTEADMINISTRATOR

PREMIUMSUPPORT

DESlock+DATENVERSCHLÜSSELUNG

VIRTUALMACHINE

ENDPOINTANTIVIRUS

2015

APPROVEDBusinessProduct

GUT (1,8)Im Test: 13 Sicherheitsprogrammefür Android HandysAusgabe 2/2016

16QO35

Getestete Version: ESET Mobile Security & Antivirus

ESET ist Testsieger

22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016<kes> Special zur it-sa 2016

Das neue SecuTABLET er-möglicht mobiles und vor allem si-cheres Arbeiten auf Android-Tablets. Durch die enge Zusammenarbeit zwischen Secusmart und Samsung entspricht das SecuTABLET der aktuellsten Hardware des Samsung Galaxy Tab S2, erweitert um die weltweit von Regierungen genutzte Secusmart-Lösung zum Schutz vor Spionage. Die gesamte Technologie wurde im Frühjahr 2016 auf der CeBIT durch das Bundesamt für Si-cherheit in der Informationstechnik (BSI) für die Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch (VS-NfD)“ vorläufig zugelassen. Der Rollout wurde kürz-lich gestartet.

SecuTABLET wird weltweit ausgerollt

Tablet als Datentresor Secusmart zeigt auf der it-sa den spionagesicheren Daten-

tresor für Behörden und Unternehmen: Das SecuTABLET

ist ab sofort erhältlich. Es basiert auf einem Samsung

Galaxy Tab S2.

Von Swenja Hintzen, Secusmart

BlackBerry Hub auf Android-Geräten

Damit steht erstmals auch auf einem Android-Gerät der für sei-ne zentralen Kommunkationsfunk-tionen bekannte BlackBerry Hub auf einem zugelassenen Gerät zur Verfü-gung. Der Nutzer kann jederzeit und ohne Wechsel der App an einer ein-zigen Stelle E-Mails, Textnachrichten oder BBM-Chats empfangen und beantworten. Direktnachrichten und Benachrichtigungen von Social-Networking-Konten können ebenso angezeigt und beantwortet werden. „Mit dem SecuTABLET treten wir in eine neue Phase ein. Erstmals verei-nen wir sichere Soft- und Hardware

unterschiedlicher Hersteller zu einer gemeinsamen Lösung. Die Zulassung durch das BSI bestätigt uns darin, Lösungen anzubieten, die höchste Sicherheit mit einfachster Bedien-barkeit verbinden und dabei stets auf aktueller Hardware verfügbar sind“, sagt Dr. Christoph Erdmann, Geschäftsführer von Secusmart.

Mobile Application Management

Das SecuTABLET nutzt – wie alle VS-NfD zugelassenen Lösungen von Secusmart – die Fähigkeiten der Secusmart Security Card. Diese sorgt für die sichere Verschlüsselung der mobilen Datenübertragung sowie aller auf dem Gerät gespeicherten Informationen. In Verbindung mit Samsungs Sicherheitsplattform Knox und dem Mobile Application Management (MAM) ermöglicht Se-cuTABLET die gleichzeitige Nutzung von dienstlichen Apps für sicheres mobiles Arbeiten sowie persönlicher Apps, wie Facebook und Twitter, unter Einhaltung der hohen Sicher-heitsanforderungen der deutschen Bundesbehörden.

„Das neue SecuTABLET ist ein weiterer Meilenstein mobiler Sicherheitslösungen von Secusmart, mit dem wir unseren Kunden zeitgemäßes mobiles Arbeiten auf Tablets ermöglichen. Besonders stolz sind wir, dass wir mit dieser neuen Lösung die hohen Sicher-heitsanforderungen des BSI erstmals auch auf Android-Geräten erfüllen können, ohne Abstriche beim Nut-zererlebnis machen zu müssen“, so Erdmann. n

Secusmart auf der it-sa: Halle 12, Stand 415

Das Secu-TABLET trennt

zwischen privaten und dienstlichen

Apps.

23© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Eines der größten Einfalls-tore für Cyberangriffe ist die Nutzung mobiler Endgeräte. Die Polizei ist sich dieser Gefahren bewusst und handelt entsprechend: Anstatt die Daten, die auf Streife benötigt werden, über ein Smartphone oder Tablet abzurufen, werden diese üblicherweise per Funk bei der Leitstelle abgefragt.

Der Grund: Die als Schutz bereitgestellten Sicherheitsmecha-nismen von herkömmlichen mobi-len Geräten reichen nicht aus, um sensible Daten vor Angreifern zu schützen. Vor allem gegen Bedro-hungen wie „Zero-Day-Exploits“ oder „Advanced Persistant Threats“ bieten die Schutzmechanismen von handelsüblichen mobilen Geräten keinen adäquaten Schutz.

Funkabfrage hat viele Nachteile

Die Abfrage per Funkgerät ist für die Streifenpolizisten jedoch zeitintensiv und oft auch ungenau. Ein Foto kann beispielsweise nur be-schrieben werden. Hinzu kommt ein erhebliches Sicherheitsrisiko für die Beamten, da sie sich von Verdächti-gen entfernen müssen, um ungestört zu telefonieren.

Seit August sind in Nie-dersachsen 500 spezielle Tablet-Computer der Rohde & Schwarz

Sicher ist sicher:

High-Tech für die Polizei-ITHerkömmliche Sicherheitsmechanismen und Antivirensoftware bieten Unternehmen heute

keinen adäquaten Schutz mehr gegen Hackerangriffe. Unternehmen und Behörden brau-

chen deshalb gänzlich neue Sicherheitskonzepte – vor allem für die Nutzung von Tablets,

Smartphones und Arbeitsplatz-PCs. Bei der Polizei Niedersachsen und Baden-Württemberg

sind solche Lösungen bereits in der Anwendung.

Von Peter Rost, Rohde & Schwarz Cybersecurity GmbH

Cybersecurity GmbH im Einsatz. Mit diesen so genannten „BizzTrust Tablets“ haben die Polizisten von überall sicheren Zugriff auf die Daten des Polizeiservers. Polizeikommissar Dennis Karp vom Polizeikommissa-riat Misburg, das zur Polizeidirektion Hannover gehört, über die Vorteile der neuen Tablets: „Wenn ich Bizz-Trust statt der Leitstelle nutze, sehe ich direkt ein Foto auf dem Tablet und kann es mit dem Aussehen meines Gegenübers abgleichen. Das ist eine enorme Arbeitserleichterung. Nicht zuletzt senkt die Nutzung von Bizz-Trust die Fehlerquote.“ Ein weiterer Vorteil: Mit BizzTrust kann man die Personalien direkt in der Nähe des Verdächtigen abgleichen. Das erhöht die Sicherheit der Beamten im Dienst.

Trennung in „Business“ und „Personal“

BizzTrust Tablets sind durch einen gehärteten Sicherheitskern mit besonders starken Sicherheitsmecha-nismen geschützt. Ein zusätzlicher Schutz entsteht dadurch, dass das Gerät in einen offenen („Personal“) und einen sicheren, geschäftlichen Bereich („Business“) getrennt ist. Alle Anwendungen und Daten sind auf diese Weise streng voneinander ge-trennt. Nutzer können deshalb nach Belieben eigene Apps verwenden, ohne dass diese auf sensitive Daten zugreifen können.

Die Trennung zwischen „Business“ und „Personal“ ermög-licht auch den sicheren Zugriff auf E-Mails, Kontakte, Kalender und das Intranet. Aus dem „Business“-Bereich wird dafür die Verbindung über einen sicheren VPN-Tunnel hergestellt. Auch der Zugriff auf externe Webseiten erfolgt im Busi-ness-Bereich über die Firewall, die gefährliche Inhalte ausfiltern kann. Die Nutzer der Polizei Niedersachsen haben so Zugriff auf das Intranet und alle Applikationen, die sie im Alltags-geschäft benötigen.

Enorme Zeitersparnis

Vor allem wenn es schnell gehen muss, ist BizzTrust eine große Hilfe. Polizeikommissar Thomas Fo-

BizzTrust-Tablets machen einen sicheren Zugriff auf den Polizeiserver möglich.

24 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

cke beschreibt dazu folgendes Szena-rio: „Wir haben eine routinemäßige Fahrerkontrolle durchgeführt. Ich hatte den Eindruck, dass der Fahrer unter Einfluss von Rauschmitteln stand. Beim Abgleichen der Perso-nalien mit BizzTrust habe ich sehen können, dass der Fahrer wegen Besitz von Rauschgift bereits vorbestraft war. So konnte ich direkt handeln.“

Für die Beamten bedeutet das Tablet auch eine enorme Zeiter-sparnis: Was früher handschriftlich notiert und am Abend im Büro ab-getippt werden musste, kann jetzt schon unterwegs eingegeben und hochgeladen werden. Alle dafür notwendigen Formulare stehen auf dem Gerät zur Verfügung. Der lästige

Papierkram nach Dienstschluss erüb-rigt sich damit.

Sicherer Internetzugang

Auch das Internet ist ein wesentliches Einfallstor für Cyberan-griffe auf Arbeitsplatz-PCs. Um sich bei Recherchen im Web zu schützen, setzte die Polizei Baden-Württem-berg bislang auf wenige einzelne, isolierte Arbeitsplätze. Dazu hatte sich die Polizeibehörde eine eigene Zugangstechnik auf Linux-Basis konstruiert.

Dieser isolierte Internetzu-gang der Polizei Baden-Württem-berg war keine ideale Lösung. Das Problem: „Der Browser war nicht

ausreichend leistungsfähig – eine Leistungssteigerung nicht möglich“, erläutert Heiner Thierjung, Mitarbei-ter im Präsidium Technik, Logistik und Service der Polizei die Situation. „Zudem gab es ständige Bandbreiten-probleme, eine schlechte Druckauf-bereitung und keine Upload-Funkti-on. Während wir in der realen Welt umfassend geschützt sind, waren wir online nahezu handlungsunfähig und ohne Rückendeckung.“

BitBox

Die Polizei Baden-Württem-bergs wurde mit der Sicherheitslö-sung „Browser in the Box“ fündig: Diese so genannte „BitBox“ des deut-schen IT-Sicherheitsunternehmens Rohde & Schwarz Cybersecurity bietet eine grundsätzliche Sicher-heit gegen externe Angreifer, da sie vom Intranet und dem Windows-Betriebssystem des Clients isoliert arbeitet.

Gesucht hatte man eine neue IT-Sicherheitslösung, die größt-möglichen Schutz der Daten mit einem umfassenden, anwender-freundlichen und leistungsstarken Internetzugang verbindet. Nötig war eine performante Lösung, die 5000 simultane Nutzer zulässt und sowohl

Unsere Kompetenz.

Ihr Nutzen.

Besuchen Sie uns: it-sa in Nürnberg18.–20.10.2016Halle 12.0, Stand 345

Anz_kes_5_2016_2x210x100.indd 1 13.09.16 09:16

Die Bitbox erzeugt einen virtuelle Hard-ware auf dem

PC, die wie eine Schutzmauer

agiert.

25© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

in der Stadt als auch auf dem Land einsetzbar ist. Nicht zuletzt sollte die Lösung auch für wenig technikaffine Anwender benutzbar sein.

Zunächst zog die Polizei Baden-Württemberg eine ReCOBS-Lösung (Remote Controlled Browser System) in Betracht. Deren Si-cherheitsarchitektur gewährleistete zwar den gewünschten Schutz. „Allerdings wurde schnell deutlich, dass eine zentralisierte Browser-Execution in einer separaten DMZ-basierten Terminalserverfarm die vorhandenen Ressourcen technisch überforderte“, so Sebastian Sieburg von der Landesoberbehörde IT Ba-den-Württemberg (BITBW). Zudem ist das Netzwerkaufkommen signi-fikant hoch, sodass die Bandbreite stark eingeschränkt würde.

Statt eines separaten PCs für den Webzugriff wird dagegen mit der BitBox ein virtueller PC mit eigenem, gehärtetem Gast-Betriebssystem auf dem Arbeitsplatz-Rechner erzeugt. So hat der Browser keinen direkten Zugriff auf die Hardware, sondern lediglich auf die virtuelle Hardware, die wie eine Schutzmauer agiert: Eindringende Viren, Trojaner & Co. bleiben in dieser Umgebung einge-schlossen und können sich nicht auf

dem Rechner des Anwenders oder im lokalen Netzwerk verbreiten. An-griffe auf das Windows Hostsystem laufen ins Leere.

Die „BitBox“ lässt sich mü-helos in den Arbeitsalltag der Poli-zeidienststellen integrieren und ist auch für wenig technikerfahrene An-wender leicht zu bedienen. Hat sich der Browser dann doch einmal einen Schadcode eingefangen, wird die virtuelle Browserumgebung einfach neu gestartet. Damit steht er sofort wieder virenfrei zur Verfügung. Auch das Herunterladen von Dateien und Speichern von Screenshots oder das Hochladen von Informationen ist mit der „BitBox“ möglich, denn die virtuelle Browserumgebung erlaubt die personenbezogene Freischaltung von Up- und Downloads.

„Security by Design“

Sowohl BizzTrust als auch der Browser in the Box beruhen auf dem Ansatz „Security by Design“. Die Datensicherheit wird bereits bei der Entwicklung in die von Laien benutzbaren Produkte integriert. Der Vorteil: Anstatt – wie dies Anti-virenprogramme tun – auf Angriffe zu reagieren, können solche Geräte Angreifer proaktiv abwehren. Das

heißt, sie verhindern von vornherein unberechtigten Zugriff auf sicher-heitsrelevante Apps und Daten. Die Lösungen lassen sich überall dort einsetzen, wo ein Schutz von mobil verfügbaren Informationen kritisch für das Geschäftsmodell ist. Das gilt für Behörden ebenso wie für Unter-nehmen. n

Rohde & Schwarz Cybersecurity auf der it-sa: Halle 12, Stand 642

Vom Micro Data Center über standardisierte Rechenzentren bis hin zu Cloud-Lösungen bietet Rittal die passende modulare Infrastruktur für jedes Unternehmensumfeld – ob Mittelstand oder Großkonzern.

IT-Lösungen, die heute schon an morgen denken.

Anz_kes_5_2016_2x210x100.indd 2 13.09.16 09:16

Die Polizei Niedersachsen hat auf Streife Zugriff auf das Intranet und auf alle Appli-kationen, die sie benötigt.

26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

IT-Angriffe sind sehr ver-schiedenartig: Es werden Daten oder Dienste bedroht, sie erfolgen von außen oder von innen, gezielt oder ungezielt. Eine moderne Sicher-heitsinfrastruktur für Rechenzentren ist daher mehrstufig aufgebaut. Mit der Leistungsfähigkeit und Schutzwirkung steigen jedoch die Anschaffungskosten und Betriebs-aufwände dieser Spezialsysteme: Bei Appliances und Diensten sind jährliche Lizenzkosten im sechsstel-ligen Euro-Bereich keine Seltenheit. Dazu kommen Kosten für Weiterbil-dung, Audits und Zertifizierungen. Und manche Maßnahmen, Beispiel DDos-Mitigation, können mit den Bandbreiten eines Unternehmens-netzes gar nicht realisiert werden – hier ist schon der Backbone eines ISP nötig.

Neben dem wirksamen Pe-rimeterschutz können Unterneh-men nun unter den Schutzschirm schlüpfen, den noris network über seine zertifizierten Hochsicher-heitsrechenzentren in Deutsch-land gespannt hat. Je nach Bedarf können unterschiedliche Managed IT-Security-Services genutzt wer-den: Botnet Interception, Firewalls,

noris network bietet Network-Security-Scan als Managed Service

Sicherheitslücken er-kennen und schließenManaged IT-Security-Services können dort helfen, wo perso-

nelle Kapazitäten, Know-how und IT-Ressourcen eines Unter-

nehmens nicht ausreichen, um Angriffen wirksam entgegen-

zutreten. IT-Dienstleister und Rechenzentrumsbetreiber noris

network bietet ein breites Portfolio abgestimmter Managed

IT-Security-Services und stellt auf der it-sa eine Neuheit vor:

den Network-Security-Scan.

Von Stefan Keller, noris network AG

Web-Application-Firewalls, DDoS-Mitigation und andere Services. Die Spezialsysteme werden von noris network rund um die Uhr mit ausge-bildeten Experten betrieben.

Neuer Service: Network-Security-Scan

Ergänzend zu diesen Services bietet das Unternehmen nun den Network-Security-Scan an. Es han-delt sich dabei um kontinuierlich wiederholte Vulnerability-Scans konfigurierbarer Tiefe – verbunden mit Analyse, Reporting und auf Wunsch auch Beratung über daraus abzuleitende Maßnahmen. Als tech-nische Plattform nutzt noris network dafür Appliances von Greenbone.

Die Besonderheit: Der Network-Security-Scan arbeitet präventiv, Sicherheitslücken und Schwachstel-len werden systematisch identifiziert und der Kunde kann – falls erfor-derlich auch mit Unterstützung der noris network Experten – konkrete Gegenmaßnahmen ergreifen und deren Wirksamkeit und Vollstän-digkeit durch den nächsten Scan verifizieren.

Der Network-Security-Scan kann von extern über zentrale Ap-pliances oder intern in der demilita-risierten Zone (DMZ) des Kunden mit einem Sensor erfolgen, der zentral verwaltet wird. Über das Security-Feed-Programm werden die Appli-ances laufend mit neuen Schwach-stellen und Sicherheits-Scans aktu-alisiert. In den Security-Feeds sind über 30 000 Schwachstellen- und Absicherungs-Scans enthalten. Mit dem Network-Security-Scan inner-halb von Firmennetzen werden die Durchsetzung von Sicherheitsricht-linien unterstützt, kontinuierlich neue Schwachstellen identifiziert und durchgeführte Maßnahmen dokumentiert.

IT und Geschäftsleitung erhalten neben IT-Sicherheit auch Rechtssicherheit. Die BSI-konforme Dokumentation bei noris network erleichtert Audits und den konkreten Nachweis, dass die IT-Sicherheit der Kunden permanent optimiert wird. n

noris network auf der it-sa: Halle 12, Stand 402

Vorträge der noris network AG auf der it-sa

19. Oktober, 10:45 Uhr, Forum RotIT Compliance und IT-Outsourcing 2018 – Die EU-Datenschutzgrund-verordnung: neue Vorgaben für Auftraggeber und IT-Outsourcer!Christian Volkmer, Projekt 29, Datenschutzbeauftragter noris network AG

20. Oktober, 10:15 Uhr, Forum BlauStark und sicher im Verbund – Wollten Sie schon immer mehr über das Thema Applikationskontrolle wissen?Michael Ibe, Senior Security Engineer, noris network AG

© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

CyberSecurityHochentwickelte Lösungen und Services zum Schutz vor gezielten Cyber-Angriffen.www.cybersecurity-airbusds.com

Besuchen Sie uns auf der it sa 2016

in Halle 12, Stand 531

28 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Neue Rechtsmittel fordern im Zuge von Big Data von Unterneh-men den Nachweis, beispielsweise personengebundene Informationen aus allen betrieblichen Datenbe-ständen zu löschen. Doch genau dieses Thema stellt Datenschutz- und IT-Verantwortliche in Firmen und Behörden bei Smartphones & Co. vor immer größere Herausforderungen. Das liegt nicht zuletzt an der heu-tigen (Über-)Lebensdauer von mobi-lem Zubehör, das in der Regel nach 24 Monaten außer Betrieb genommen wird. Der Gerätetausch ist in eini-gen Fällen einem Mitarbeiter- und Abteilungswechsel geschuldet, in anderen erfüllt er die Forderung von

Restrisiko vermeiden:

Daten auf mobilen Geräten sicher löschenDie Methoden zur sicheren Datenlöschung sind in vielen Unternehmen und bei der

öffentlichen Hand kaum definiert, geschweige denn in der Umsetzung begriffen. Auch

wenn wohlweislich alle personenbezogenen Daten auf einem ausgedienten, betriebs-

internen Smartphone oder Tablet gelöscht wurden, heißt das nicht, dass alle Spuren restlos

beseitigt sind. Denn manche Betriebssysteme erfordern mehr als das Zurücksetzen auf die

Werkseinstellungen, um Informationen hundertprozentig zu entfernen.

Von Markus Grüneberg, ESET

Nutzern nach dem aktuellsten und somit leistungsfähigeren Herstel-lermodell. Auf diese Weise werden oftmals noch voll funktionstüchtige Arbeitsmittel unnötigerweise vom Dienst entbunden. Angesichts ihres erfahrungsgemäß immer noch ho-hen Restwerts werden nicht mehr verwendete Smartphones und Ta-blets entweder an Dritte verkauft oder im Rahmen eines vergünstigten Vertrags an die Provider zurückgege-ben. Wird die Löschung von darauf bewusst und teilweise unbewusst gespeicherten Informationen nur oberflächlich vorgenommen, kön-nen wirtschaftlich verwertbare und vertrauliche Überbleibsel in fremde Hände gelangen.

Unabhängig vom Geräte-tausch oder Weiterverkauf sollte in Unternehmen und Behörden eindeutig festgelegt werden, wer was wann auf einem Smartphone oder Tablet sichern und herunterladen darf. In der Regel werden Passwörter zwar verschlüsselt oder als HASH-Werte durch das Betriebssystem ab-gespeichert. Doch lässt sich mit Ge-wissheit sagen, dass Anwendungen und Apps den gleichen Standard an den Tag legen? Bereits vor Inbetrieb-nahme gilt es, die Regeln für die Be-

reitstellung und Zurücknahme von Dienstgeräten klar zu fixieren. Wird das Smartphone beispielsweise auch privat genutzt oder umgekehrt ein persönliches Gerät beruflich verwen-det, führt dies zu weiteren Heraus-forderungen im Datenmanagement und bei der sicheren Löschung. Im er-sten Fall gilt, dass der Arbeitnehmer die Löschung aller Daten bestätigt. Im zweiten Fall sollten Geschäftsin-formationen keinesfalls von privaten Geräten abgerufen werden können. Sie müssen weiterhin unter der Kon-trolle des Eigentümers bleiben. Eine selektive, nachweisbare Löschung von unternehmensbezogenen Da-ten auf privaten Geräten ist nur mit Einsatz bestimmter Technologien realisierbar.

Welche Informationen

sind gespeichert? Die Masse an Daten auf

einem Gerät lässt sich nur schwer beziffern. Je nach Rechtevergabe an den Nutzer finden sich von Ge-schäftsunterlagen über Bilder, Videos und E-Mails bis hin zu Nachrichten und Kontakten auch unabsichtlich gespeicherte Informationen. Ist es dem Mitarbeiter überlassen, zusätz-liche E-Mail-Accounts anzulegen,

Schritte zum sicheren Lö-schen von Daten auf Tablets und Smartphones:1. Verschlüsselungsfunktion des Geräts nutzen2. SIM- oder SD-Karte aus dem Gerät entfernen3. Gerät auf Werkseinstellungen zurücksetzen4. Speicher zusätzlich komplett überschreiben5. Gerät wieder auf Werkseinstel-lungen zurücksetzen

29© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Anwendungen herunterzuladen oder weitere VPN-Netze hinzuzu-fügen, verwandelt sich das Gerät zum reinen Datendepot. Bedenkt man an dieser Stelle, dass es sich bei Smartphones und Tablets um mobi-le Mini-Computer mit integrierter Webcam, zugehörigem Mikrofon, Bewegungssensor und Ortungssy-stem handelt, kommen noch Aus-lagerungs- und temporäre Dateien sowie Browserhistorien und Bewe-gungsprofile auf den Datenberg. Installiert und verwendet der Nutzer darüber hinaus noch Wearables wie Fitness-Tracker, Gesundheits-Apps oder Fahrtenbuch-Anwendungen, hinterlässt er einen eindeutigen Fingerabdruck. Die Spurenbesei-tigung dieser personenbezogenen Rückverfolgungsdaten, gekoppelt mit wichtigen Unternehmens- und Kundeninformationen, bereiten Da-tenschutz- und IT-Verantwortlichen erhebliches Kopfzerbrechen.

Darf ein Beschäftigter sein privates Gerät beruflich nutzen, er-möglichen so genannte Application-Wrapping-Techniken die sichere Be-reitstellung von Business-Apps und Inhalten. Wie bei öffentlichen App-Stores werden die Anwendungen über ein betriebsinternes App-Portal jedem Mitarbeiter zur Verfügung gestellt und so kann er beispielsweise vorkonfigurierte E-Mail Clients, ge-schäftliche Dateibrowser und CRM-Tools herunterladen. Zuvor werden die Applikationen durch ein Sand-box-Verfahren in einem sicheren Datencontainer abgelegt (Wrap-ping). Er kann nur unter bestimmten Bedingungen geöffnet werden. Der Vorteil bei diesem Verfahren liegt im Umgang mit mobilen Daten und den persönlichen Ansprüchen der Mitar-beiter. Auf diese Weise dürfen zum Beispiel die unternehmensinternen Apps nur über ein bestimmtes Gate-way mit integriertem VPN kommu-nizieren. Dafür muss sich der Nutzer mit seinem Unternehmens-Account oder gegebenenfalls über eine Zwei-Faktor-Authentifizierung anmelden. Die zusätzlichen Sicherheitsopti-

onen der Anwendung sorgen neben der Zurverfügungstellung von Daten auch für eine Zugriffssperre. Durch die Abriegelung und Zurücknahme eines Zertifikats für die Bereitstellung befinden sich die Daten zwar noch auf dem privaten Gerät des Nutzers, ruhen allerdings in einem sicher verschlüsselten Container, auf den er nicht mehr zugreifen kann.

MDM sorgt für Kontrolle

Auf den ersten Blick scheint der Umgang mit betriebs- oder be-hördeneigenen Geräten einfacher, denn im Interesse des Nutzers und Datenschützers sollte sich ein Pot-pourri aus Geschäfts- und persön-lichen Daten gar nicht erst anhäufen oder problemlos und unwiderruflich zu entfernen sein. Über Mobile-Device-Management-(MDM)-Lö-sungen sind Admins in der Lage, vom Einkauf bis zur „Entsorgung“ die volle Kontrolle über die Gerä-tenutzung zu behalten. Vor Einsatz der Technologie gilt es, alle Apps auf Herz und Nieren zu prüfen und auch von Anfang an die Vorgaben des Datenschützers mit einzubeziehen und umzusetzen. Verarbeiten die Anwendungen am Ende tatsächlich nur jene Informationen, die sie laut Vereinbarung sollen? Hinzu kommt, dass sich durch MDM Zugangsdaten und Konfigurationen zentral verwal-ten, besser überwachen und steuern lassen. Ein weiteres Plus: Für das Zurücksetzen und Bereinigen der Ge-räte liefern MDM-Anbieter spezielle Software mit, die eine hundertpro-zentige und sichere Löschung von Daten gewährleisten.

Verschiedenen Foreneinträ-gen und Meldungen zufolge ließen sich aus defekten oder zurückgesetz-ten mobilen Geräten Informationen leicht wiederherstellen. Ein Grund mehr, weswegen Hersteller an ihren Methoden zur sicheren Datenentfer-nung gefeilt haben. Seither werden mit dem „Factory reset“ Daten und der Verschlüsselungsschlüssel des

Dateisystems gelöscht. Nach fo-rensischen Tests gilt das Verfahren für BlackBerry und iOS als relativ sicher – im Gegensatz zu Android, auf dem vermeintlich gelöschte In-formationen ohne großen Aufwand rekonstruiert werden konnten. Hatte der Nutzer nicht die Verschlüsselung seines Betriebssystems aktiviert, war es mit Datenrettungstools möglich, die Informationen wiederherzu-stellen. Wurde das Gerät vor dem Zurücksetzen auf die Werkseinstel-lungen verschlüsselt, ließen sich auch hier die Daten nicht wieder aufrufen. n

ESET auf der it-sa: Halle 12, Stand 424

30 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Angriffe auf IT-Systeme und Informationen von Unternehmen sind kein neues Phänomen – heute erfolgen sie jedoch immer häufiger, aggressiver und technisch ausgefeil-ter. Um sich zu schützen, müssen Unternehmen gezielte Maßnahmen dagegen ergreifen sowie technische und prozessuale Verkehrungen richtig miteinander kombinieren. Ein Teil der Gesamtstrategie im Bereich Cybersecurity sollte daher das Security-Monitoring sein. Dabei geht es um die Implementierung wirkungsvoller Mechanismen zur frühzeitigen Angriffserkennung, der entsprechenden Alarmierung von detektierten Sicherheitsvorfällen und um ein aussagefähiges Repor-ting.

Viele Unternehmen stellt jedoch die richtige Orchestrierung von passenden Maßnahmen, die Auswahl einer auf die eigenen Be-dürfnisse optimierten Strategie und die Definition von Maßnahmen vor Probleme. In der Praxis variiert deswegen auch häufig der Reifegrad eines funktionierenden SIEM in Verbindung mit einem optimal an-gebundenen SOC von Unternehmen zu Unternehmen sehr stark. Weitere Gründe hierfür sind beispielsweise die Komplexität von Informationen und Daten, die Unternehmensstruk-tur und auch die regulatorischen, organisatorischen oder gesetzlichen Anforderungen.

SIEM, SOC, APT-Defense als Managed Service:

Quo vadis, Security-Monitoring? Ein Security-Operations-Center (SOC) als operative „Feuerleitzentrale“ eines Security-

Information-and-Event-Management-(SIEM)-Systems ist eines der notwendigen

Elemente, wenn es um die effektive Überwachung der eigenen Systeme geht.

Von Hans-Peter Fischer, KPMG AG

Selber machen?

Einige Unternehmen planen und implementieren das Security-Monitoring durch ein Security-Operations-Center zur Erkennung von Advanced Persistent Threats (APT) selbst – mit allen verbundenen Kosten, zum Beispiel für Planung, Konzeption, Implementierung, Software, Mitarbeiter. Nicht zu ver-nachlässigen sind auch die Kosten für Schulungen, insbesondere für Mitarbeiter (Security-Analysten) in einem SOC.

Andere Unternehmen hin-gegen nehmen diesbezüglich die Dienste als Managed Service in Anspruch und schließen dafür ent-sprechende Dienstleisterverträge mit einem oder mehreren spezialisier-ten Unternehmen ab. Möglich ist auch eine Variante aus beiden, dies kann beispielsweise aufgrund von Sourcing-Strategien von Unterneh-men notwendig beziehungsweise in einer etwaigen Übergangsphase eines Sourcings unumgänglich sein.

Der Trend geht in letzter Zeit eher in Richtung Managed Service. Denn je nach Betriebs- und Betreibermodell können sie so alles aus einer Hand bekommen. Flexible Mechanismen und Prozesse zur kon-tinuierlichen Verbesserung der über-wachenden Einheiten sind dann im Grunde Aufgabe des Dienstleisters,

sofern Ziele klar definiert wurden, Service-Level-Agreements entspre-chend verankert sind und die Qua-lität der Leistungserbringung stets transparent und messbar ist.

Herausforderung Managed Service

Für die Entscheider ist es meist eine große Herausforderung, den richtigen Partner für einen Ma-naged Service zur Erkennung von Advanced Persistent Threats (APT) auszumachen beziehungsweise die Überwachung der eigenen Systeme einem extern betriebenen SOC zu übergeben. Allein die Aufstellung von Auswahlkriterien für eine pas-sende Ausschreibung kann eine hohe Hürde darstellen. Die Ursachen hierfür sind vielfältig: So dominiert oft der von den jeweiligen Herstel-lern beworbene große Umfang des eingesetzten zentralen SIEM-Tools, welches durch seine Beschaffenheit – und die entsprechenden technisch durchzuführenden Maßnahmen – in kurzer Zeit alle sicherheitsrele-vanten Systeme in den überwachten Modus versetzt. Komplexe Sets an so genannten Auto-Discover-Mecha-nismen, die automatisch eine große Anzahl von Anomalien erkennen und zur Alarmierung bringen, ver-mitteln ein Gefühl von optimalem Überwachungsschutz der Systeme. Doch passt das dann für das Unter-nehmen? Ist es wirklich der optimale

Ansatz, über die Einbindung aller Systeme und das Analysieren aller Meldungen den entsprechenden Mehrwert zu erreichen? Ist es der sinnvollste Weg, die Erstellung und Betreuung von abertausenden Kor-relationsregeln mit eingekauft zu ha-ben? Und welche Wertigkeit haben die generierten Standardreports für den Kunden?

Es steht außer Frage, dass für eine optimale Erkennung von APTs auch die bestmögliche Orche-strierung an Tools und deren Logik obligatorisch ist. Ebenso bedarf es der bestmöglichen Verknüpfung von Prozessen und entsprechend ausge-bildeter Personen. Diese Bestandteile der „Kerneinheiten“ können aber ab einer gewissen Unternehmensgrö-ße sehr schnell sehr stark aus- und auch überlastet sein. In Enterprise-Umgebungen sind beispielsweise Meldungen im Bereich von vielen Milliarden pro Tag nicht selten. In kleineren Umgebungen hingegen gibt es vielleicht keine Performance-probleme für Mensch und Maschine, jedoch kann es sein, dass die „out of the box“-Standards für spezi-elle Überwachungsszenarien nicht greifen.

Gemeinsamer Weg

Eine Alternative ist des-wegen, als Dienstleister die ersten Schritte auf dem langen Weg zur etablierten Erkennung von APTs mit dem Kunden gemeinsam zu gehen:

Ausgehend vom Istzustand und dem Wissensstand in den Un-ternehmen werden gemeinsam die schützenswertesten Informationen identifiziert. Damit ist für den Kun-den von Beginn an transparent, was in welcher Art und Weise überwacht werden muss und welche Reaktions-arten er im Falle eines Sicherheits-vorfalls erhält und wie die jeweilige Reaktion priorisiert ist.

Die KPMG bietet ein solches Know-how und somit auch die ent-sprechenden Leistungen an. Von der Beratungsleistung, angefangen bei der Identifikation der schüt-zenswertesten Informationen, bis hin zur Übergabe in das sogenannte „Advanced Cyber Defense“-Center, dem eigentlichen Managed Service. Dazu auszugsweise die grobe Skiz-zierung einer möglichen Vorgehens- weise:

<kes>-online

<kes>-Leser können neben der Print-Ausgabe auch unsere Website unter

www.kes.info nutzen. Dort finden Sie ohne Zugangsbeschränkungen aktuelle

Meldungen sowie ausgewählte Heftbeiträge zum Probelesen.

Als registrierter Gast-Nutzer haben Sie zudem Gratis-

Zugriff auf ältere <kes> Specials sowie gelegentliche

Zusatzinformationen im Web. Zudem können Sie auf

Wunsch kostenlos den <kes>/SecuPedia-Newsletter mit

aktuellen Sicherheitsinformationen beziehen.

www.kes.info/service/gast-registrierung

Abonnenten der <kes> finden darüber hinaus auch alle Heftbeiträge in elektronischer Form im Archiv.

Zum Zugriff ist eine einmalige Online-Registrierung mit der Abonummer notwendig. Pro Print-Abo ist die

Registrierung von bis zu fünf persönlichen Abo-Accounts von Unternehmensmitarbeitern desselben Standorts

ohne weitere Kosten möglich. Bei Fragen zum Abo oder zur formlosen Bestellung per E-Mail wenden Sie sich

bitte an aboservice@kes.de (oder per Fax an 089 2183-7620).

Preise und weitere Infos zum Abo finden Sie auch online auf www.kes.info/service/preise-abo/

Die Zeitschrift für Informations-Sicherheit

SecuMedia

IT-Security Strategie:Datenschutz als Chance

S. 5

Data-Leakage:Vorbereitet auf Tag X

S. 10

Auftragsdatenverarbeitung: Kontrollpflichten effizient

und wirtschaftlich erfüllen

ab S. 8

special

Datenschutz für Unternehmen

und Behörden

Sind Sie verantwortlich für die IT-Sicherheit?

Identifikation der kri-tischen Geschäftsprozesse, Infor-mationen und damit verbundener Systeme. Identifikation wesentlicher Gefährdungsszenarien und ihrer Symptomatik sowie das Festlegen der jeweils notwendigen Reaktionen von der einfachen Meldung über einen Alarm bis zur tiefen Analyse.

Ableitung und Übersetzung der fachlichen Szenarien (fachliche Use Cases) in eine technische Sym-ptomatik (technische Use Cases) auf den überwachten Systemen sowie Definition der erforderlichen Instal-lationen und Konfigurationen zu ihrer Erkennung.

Konfiguration der spezi-fischen Use Cases im „Advanced Cyber Defense“-Center, zentral kor-reliert und mandantengetrennt.

Etablieren der definierten Informations- und Reporting-Wege, Prozesse und Service-Level. n

KPMG auf der it-sa: Halle 12, Stand 423

Außerdem gibt es zum Thema SOC, SIEM & Co. einen Vortrag auf der Messe: „Vom SIEM zur Erkennung von APTs“, 19. Oktober, 13:30 Uhr, Forum Rot.

32 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Ransomware infiziert den Computer, sperrt den Zugang zu Da-teien und verlangt für die Rückgabe eine Bezahlung. Dadurch kann sie weitreichende Auswirkungen auf die Produktivität und die Finanzen eines Unternehmens haben. Denn die Dateien lassen sich nicht mehr benutzen, bis das Opfer den Angrei-fer für einen Entschlüsselungscode bezahlt, mit dem die Dateien wieder entsperrt werden. Häufig wird die Zahlungsaufforderung mit einer Frist verbunden. Wird diese nicht einge-halten, gehen die Daten mitunter für immer verloren oder werden sogar zerstört. Neben der Lösegeldzah-lung als solcher haben diese Atta-cken noch weitere schwerwiegende

Wie man sich auf Angriffe vorbereitet und ihnen begegnet

Die rasante Rückkehr der RansomwareRansomware ist eine altbekannte Bedrohung, die zurückge-

kehrt ist und derzeit viele Unternehmen ins Visier nimmt.

Laut FBI haben Ransomware-Angreifer allein im ersten

Quartal 2016 Lösegeld in Höhe von mehr als 209 Millionen

US-Dollar erbeutet. Während auch Unternehmen in Deutsch-

land mit einem sprunghaften Anstieg von Ransomware-An-

griffen konfrontiert sind, gibt es eine Reihe von Vorsichts-

maßnahmen, mit denen Sicherheitsteams der Gefahr einer

Infizierung begegnen können.

Von Monika Schaufler, Proofpoint

Folgen: Geschäftsunterbrechung, Nachbesserungskosten und eine Schädigung der Marke.

Die meisten Ransomware-Betrüger suchen sich ihre Opfer durch Phishing-Mails und bringen die Nut-zer dazu, einen bösartigen Anhang zu öffnen oder auf eine bösartige URL zu klicken. Jedoch sind auch Mobilge-räte und infizierte Websites bekannte Angriffsbereiche für Ransomware. Proofpoint stoppte kürzlich mehrere E-Mail-Kampagnen, die hunderte Millionen Nachrichten weltweit an einem einzelnen Tag versandten. Der jüngste explosionsartige Anstieg der Ransomware ist vor allem auf vier Gründe zurückzuführen:

Mehr Vertriebskanäle: Cyberkriminelle können mit einer Vielzahl von Angriffsvarianten Tau-sende von Organisationen gleich-zeitig angreifen. Das bedeutet, dass Ransomware-Exploits häufiger er-folgreich sind.

Günstigerer Aufbau: Wie in jedem Geschäft, führt der Erfolg zu weiterem Erfolg. Autoren von Ransomware haben ihre Fähigkeiten verfeinert. Und ausgefeilte Tools, die vor einigen Jahren nur die Elite der Cyberkriminellen hätte verwenden können, sind nun weithin verfügbar. Das Ergebnis sind höhere Erfolgsra-ten und letztlich Größenvorteile.

Lukrativere Ziele: Cyber-kriminelle zielen immer weniger auf Privatpersonen ab, sondern richten ihr Augenmerk verstärkt auf Unternehmen mit sensiblen Daten, IT-Abteilungen mit knappen Res-sourcen und großem Interesse daran, die Sache rasch zu bereinigen.

Bitcoin und andere digitale Währungen: Seit Bitcoin 2009 auf den Markt gebracht wurde, ist die Währung bei Freidenkern wie auch bei Cyberkriminellen gleicherma-ßen beliebt. Die Zahlungen können weder zum Absender noch zum Empfänger zurückverfolgt werden und bieten die Möglichkeit, Privat-geschäfte anonym und reibungslos abzuwickeln.

Darüber hinaus wurden in den letzten Monaten viele neue ausgereifte Ransomware-Varianten, darunter Locky, Bart und CryptXXX, entdeckt und gegen Unternehmen und Verbraucher eingesetzt. Zum Beispiel war Locky, zweifellos eine der beliebtesten Ransomware-Vari-anten des Jahres 2016, Urheber vieler großer Cyberattacken, die in jüngster Zeit Schlagzeilen machten. Im Febru-ar erfolgte ein viel beachteter Angriff mit Ransomware auf das Hollywood Presbyterian Medical Centre in den Vereinigten Staaten. Die Kranken-hausmitarbeiter entdeckten, dass sie nicht auf ihre Computer oder Netz-werke zugreifen konnten, da Hacker über eine infizierte E-Mail mithilfe

Anstieg der Ransomware-Angriffe seit

Dezember 2015

der Ransomware Locky die Kontrolle übernommen hatten. Die Hacker verlangten 40 Bitcoins, also etwa 17000 US-Dollar, für die Entsperrung der Dateien. Die Computer waren über eine Woche vom Netz getrennt, während die Verantwortlichen sich verzweifelt um eine Lösung bemüh-ten. Schließlich entschied die Kran-kenhausleitung, die Zahlung des Lösegeldes wäre der einzige Ausweg.

Gegenmaßnahmen

Obwohl Ransomware zu den gefährlichsten und am meisten ver-breiteten Angriffsvektoren der heu-tigen Bedrohungslandschaft gehört, gibt es eine Reihe von Maßnahmen, die Unternehmen ergreifen können, um eine Infektion zu vermeiden:

Backups zur Wiederherstel-lung erstellen: Regelmäßig angelegte Datensicherungen bilden den Kern

jeder Sicherheitsstrategie gegen Ran-somware. Die meisten Unternehmen gehen zwar so vor, aber überraschend wenige führen Backup- und Restore-Übungen durch.

Updates und Patches an-wenden: Betriebssysteme und Sicher-heitssoftware sollten für alle Geräte immer auf dem neuesten Stand sein.

Die Mitarbeiter schulen, Vorsicht bei Makros walten lassen: Es ist entscheidend, Mitarbeiter-schulungen durchzuführen und ein entsprechendes Bewusstsein zu schaffen. Alle Mitarbeiter sollten wis-sen, was sie tun müssen, was sie nicht tun dürfen, wie man Ransomware vermeidet und wie entsprechende Fälle zu melden sind. Diese Angriffe nutzen das fehlende Bewusstsein der Nutzer aus und verlangen in der Re-gel von ihnen, bösartige Word- oder JavaScript-Anhänge zu öffnen und Makros zu aktivieren. Sobald die Nut-zer auf die Schaltfläche „Aktivieren“

klicken, um die Makros zu aktivieren, lädt das entsprechend program-mierte Makro die Ransomware he-runter und startet den Angriff.

Leider besteht trotz Mitar-beiterschulungen zu Ransomware dennoch die Chance, dass ein Mitar-beiter mit den besten Absichten ver-sehentlich auf einen bösartigen Link klickt und sein Gerät infiziert. Wel-che Schritte sollten Unternehmen also ergreifen, wenn sie tatsächlich mit Ransomware infiziert wurden?

Strafverfolgungsbehörden benachrichtigen: Der Einsatz von Ransomware ist ein Verbrechen. Niemand hat das Recht, Geräte, Netz-werke oder Daten in seine Gewalt zu bringen, geschweige denn, Lösegeld für deren Freigabe zu verlangen. Die Benachrichtigung der zuständigen Behörden ist ein notwendiger erster Schritt.

SecurITy integrated.Digitalisierung und Vernetzung benötigen zu-verlässige IT-Systeme und sind Schlüsselfak-toren für eine funktionierende Verteidigung, Sicherheit, Wirtschaft und Verwaltung.

Seit 50 Jahren vertrauen unsere Kunden auf unsere Kompetenz im IT- und im sicherheits-kritischen Umfeld. Mit dem Anspruch „Secu-rity made in Germany“ bieten wir:

} Cyber Security & Intelligence Services

} Data Science & IT-Services

} Cyber Training & Simulation Center

} Cyber Labs

Erfahren Sie mehr:

WWW.ESG.DE / CYBER-IT@ESG.DE WWW.CYBERTRAINING.ESG.DE

DE DICATE D TO SOLU T IONS

A-045.indd 1 24.08.16 09:22

34 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Systeme auf der Grundlage eines Backups. Dabei sollten jeden Tag Backups durchgeführt werden.

Fazit

Unternehmen werden auch weiterhin im Visier von Ransom-ware-Attacken stehen. Diese oben beschriebenen Richtlinien sollen dabei helfen, sich vor, während und nach einem tatsächlichen Angriff richtig zu verhalten. Am einfachsten kann man sich natürlich schützen, indem man die Ransomware bereits daran hindert, in das System einzu-dringen. Das erfordert jedoch eine fortschrittliche Bedrohungslösung, die Ransomware entdecken kann, die per E-Mail, über mobile Geräte und über Social Media verbreitet wird. Das trägt auch dazu bei, den „menschlichen Faktor“ deutlich zu reduzieren. n

Proofpoint ist auf drei Partnerstän-den auf der it-sa anzutreffen: Palo Alto Networks (Halle 12, Stand 419), Computacenter (Halle 12, Stand 116) und ADN Distribution (Halle 12, Stand 672).

Beispiel einer betrügerischen

E-Mail

Das infizierte Gerät vom Netzwerk trennen: Sobald ein Mit-arbeiter die Lösegeldforderung oder etwas Ungewöhnliches entdeckt, zum Beispiel wenn er plötzlich nicht mehr auf seine Dateien zugreifen kann, sollte er das infizierte Gerät vom Netzwerk trennen und zur IT-Abteilung bringen.

Das Ausmaß des Problems durch eine Bedrohungsanalyse bestimmen: Obwohl jede Art von Ransomware schlimm ist, sind manche Angriffe bedrohlicher als andere. Die Reaktion – auch, ob das Lösegeld gezahlt werden soll – hängt von mehreren Faktoren ab. Zum Beispiel: Um welche Art des Angriffs handelt es sich? Wer im Netzwerk ist betroffen? Über welche Netzwerk-rechte verfügen die betroffenen Accounts? Die Antworten sollten den Netzwerkadministratoren dabei helfen, das Problem einzuschätzen, einen Aktionsplan zu erstellen und möglicherweise die Ausbreitung ein-zudämmen.

Gegenmaßnahmen koor-dinieren: Je nach Netzwerkkonfi-guration kann es möglich sein, die Ausbreitung auf eine einzelne Work-station einzugrenzen. Best-Case-

Szenario: Das infizierte Gerät wird durch einen neuen Computer ersetzt und die Wiederherstellung mittels Backup durchgeführt. Worst-Case-Szenario: Jedes Gerät im Netzwerk ist infiziert. Das erfordert eine rasche Kosten-Nutzen-Rechnung, bei der die Arbeitszeit, die für die Lösung des Problems aufzuwenden ist, gegen die einfache Bezahlung des Lösegelds aufgerechnet werden sollte. Ein ent-scheidender Aspekt der Reaktion ist, ob man das Lösegeld zahlen sollte oder nicht.

Nicht auf kostenlose Ent-schlüsselungstools für Ransomware verlassen: Manche Sicherheitsun-ternehmen bieten kostenlose Pro-gramme zur Entschlüsselung von Ransomware an. In manchen Fällen können diese helfen, die Daten ohne Lösegeldzahlung abzurufen. Doch die meisten funktionieren nur für eine einzelne Ransomware-Variante oder nur für eine einzelne Angriffs-kampagne.

Wiederherstellung auf Grundlage eines Backups: Der ein-zige Weg, um sich vollständig von einer Infektion mit Ransomware zu erholen, ist eine vollständige Wiederherstellung aller betroffenen

TRUSTED

SECURI TY

„Auf sicheren Wegen?“

Besuchen Sie KEYMILE auf der in Halle 12, Stand 446

■ Erfüllt die strengen Anforderungen an anwendungskritische Systeme

■ Robuste, lüfterlose Hardware integriert in die Transport-Plattform XMC20

■ Ende-zu-Ende Layer-2.5-Verschlüsselung in paketbasierten Transportnetzen (MPLS-TP)

■ Zufallszahlen generiert durch Quantenphysik (QRNG)

■ Erweiterbar mit einem Quantum Key Distribution (QKD) Server

■ KEYMILE Permanent-Encryption – Zentrale und dezentrale Schlüsselverteilung

■ Hergestellt und entwickelt in Deutschland und der Schweiz

Starke Verschlüsselung ohne Gefährdungder Hochverfügbarkeit und Zuverlässigkeit

C

M

Y

CM

MY

CY

CMY

K

2016-10-11 - kes special - it-sa Besucherführer (D).pdf 1 20.09.2016 09:42:30

36 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Tradition ist gut und not-wendig – das gilt auch für IT-Sicherheitslösungen. Ohne die Erfahrungen der letzten Jahrzehnte wären Infrastrukturen bei Weitem nicht so gut geschützt, wie sie es heute sind. Allerdings ist das alleinige Vertrauen auf Tradition eine Sackgas-se. Es müssen neue Wege gefunden werden, modernen Hackerangriffen einen Riegel vorzuschieben. Damit das zuverlässig funktioniert und gleichzeitig ein produktives Arbeiten möglich ist, müssen Unternehmen auf Lösungen setzen, die als System zusammenarbeiten. Die Umsetzung dieser Strategie erwies sich jedoch bislang als mühselig.

So war bisher eine unmittel-bare Abstimmung zwischen Schutz-lösungen am physischen oder virtu-ellen Netzwerk und den Endpoints schlicht unmöglich. Den Preis dafür zahlen IT- und Sicherheitsexperten jeden Tag: verpasste Hinweise, die einen Angriff hätten erkennen oder verhindern können, Verzögerungen bei der Reaktion auf Bedrohungen und daraus resultierend verpasste

Wie kommunizierende IT-Sicherheitslösungen Hackern das Leben schwer machen

Next-Gen-Angriffe erfordern Next-Gen-SicherheitCyberangriffe werden individualisierter und vor allem unbe-

rechenbarer. Aus diesem Grund kommen herkömmliche IT-

Security-Systeme immer häufiger an ihre Grenzen. Kommu-

nizierende, sogenannte synchronisierte Techniken sind daher

auf dem Vormarsch und helfen dabei, Zero-Day-Lücken und

anderen Stealth-Attacken einen Riegel vorzuschieben.

Von Sascha Pfeiffer, Sophos

Chancen, diese zu mildern, eine Fülle von Alerts, deren Bedeutung unbe-kannt oder schlimmstenfalls völlig irrelevant ist sowie schwierige und zeitaufwendige Untersuchungen, die dann doch nichts bringen. Was fehlt, ist eine Synchronisierung: ein kontextbezogener Informa-tionsaustausch zwischen den IT-Sicherheitslösungen an Endpoint und Netzwerk.

Mit vereinten Kräften

Sophos Next-Gen Enduser Protection bietet nun erstmalig eine integrierte Methode, die alle Ge-räte, Infrastrukturbereiche, Anwen-dungen und Daten schützt, mit de-nen Nutzer in Berührung kommen. Die Verwaltung und Koordination übernimmt eine zentrale Webober-fläche und die Kommunikation der verschiedenen IT-Security-Elemente von der Netzwerk-Firewall über Endpoints bis hin zu Mobilgeräten erfolgt über den so genannten So-phos Heartbeat – mit ihm wird das „Synchronized-Security-Konzept“ in die Tat umgesetzt. Und damit Hacker

auch mit Angriffen wie Ransomware, Zero-Day-Exploits oder Stealth-Attacken keine Chancen haben, bildet Sophos Intercept einen weite-ren Next-Gen-Schutz, der ebenfalls ohne Aufwand in die bestehende IT-Security-Architektur eingebunden werden kann.

Die Vorteile synchroner Si-cherheit können auf zwei Bereiche heruntergebrochen werden, die den jeweils anderen verstärken. Erstens verbessern die Automatisierung der Prozesse und die Koordination der Reaktionen über alle Netzwerke hinweg den Schutz vor Gefahren. Zweitens erhöht synchrone Sicher-heit die Wirtschaftlichkeit, indem sie die fünf Ws einer Gefahr beleuchtet: Was ist wann, wo und warum passiert und von wem wurde es verursacht? Antworten hierauf helfen, die Un-tersuchung des Vorfalls zu straffen und zu beschleunigen und so den Schaden zu begrenzen.

Ohne synchronisierte Si-cherheit können die Steuerungen der Informationssysteme nicht mit-einander kommunizieren und ihre Kompetenzen bei der Verteidigung gegen Angriffe nicht bündeln. Re-gistriert beispielsweise eine Firewall eine ausgehende Verbindung oder einen DNS-Lookup zu einer Co-mand-and-Control-IP oder Domain, ist es das sicherste, diese Verbindung sofort zu blockieren und den Admin zu warnen. Der Alarm kann eine IP-Adresse enthalten oder vielleicht sogar den angemeldeten Benutzer, aber Informationen über das bean-standete Verfahren enthält sie nicht. Unterdessen bleibt der Endpunkt infiziert und stellt ein Risiko für das Unternehmen dar, bis ein manueller Eingriff erfolgen kann.

Auf einem Auge blind

Ebenso sind Firewalls in der Regel blind gegenüber dem, was auf Endgeräten passiert. Die Analyse des Laufzeitverhaltens auf einem Endpunkt könnte einen schädlichen

37© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Prozess erkennen und blockieren und sofort eine Untersuchung und Reinigung initiieren. Bis diese ab-geschlossen ist, merkt die Firewall nichts von der Gefahr. Das kompro-mittierte System kann ungehindert mit dem Internet oder anderen sensiblen Systemen Verbindung aufnehmen.

Der Ansatz zur synchroni-sierten Sicherheit beinhaltet dagegen einen sicheren Kommunikationska-nal zwischen den Sophos Endpoint- und Netzwerk-Sicherheitslösungen. Erkennt die Firewall schädlichen Datenverkehr, benachrichtigt sie umgehend den Endpunkt. Der Endpoint-Agent reagiert dynamisch, er identifiziert und hinterfragt den verdächtigen Prozess. In vielen Fällen kann er den Vorgang auto-matisch beenden und die restlichen infizierten Komponenten entfernen.

Im Gegenzug berichten die Endpunkte ihren aktuellen Sicherheitsstatus in regelmäßigen Abständen an die Firewall. Ist dieser beeinträchtigt – wie im Falle einer Laufzeiterkennung vor der Überprü-fung –, wird die Firewall eine entspre-chende Richtlinie zur Isolation des Endpunkts umsetzen.

Diese Kommunikation stei-gert auch die Betriebseffizienz, besonders wenn es darum geht, ent-standene Vorfälle zu untersuchen. Eine der größten Herausforderungen der IT-Abteilungen ist es, die Verbin-dung zwischen einzelnen Vorfällen und Alerts herzustellen. Wenn eine Firewall schädlichen Datenverkehr von einem Endpunkt feststellt, geschieht dies in der Regel in Ver-bindung mit einer IP-Adresse. Die Ermittler müssen dann die IP-Adresse zu einem bestimmten Benutzer und Computer zurückverfolgen. Dazu kann zum Beispiel auch die Überprü-fung von DHCP- oder dynamischen DNS-Einträge gehören und eine Anfrage einer Inventory- oder IP-Adressendatenbank.

Von dort aus beginnt die eigentliche Herausforderung: eine zeitaufwendige Analyse des betrof-fenen Endpunkts, um eine Verbin-dung zwischen dem von der Firewall gemeldeten Netzwerkverkehr und einem bestimmten Prozess herzustel-len. Im Idealfall ist der Prozess noch mit einem einfachen netstat oder lsof-Befehl vorzufinden. In den mei-sten Fällen ist er jedoch beendet oder die Netzwerkverbindung getrennt, was es viel schwieriger macht, die Bedrohung zu identifizieren.

Geteiltes Wissen

Synchronisierte Sicherheit automatisiert den Prozess, die invol-vierten Punkte miteinander zu ver-binden. Wenn die Firewall in Echt-zeit mitteilt, was sie beim Endpunkt erkannt hat, zeichnet der Endpoint-Agent sofort den Datenverkehr zu dem verdächtigen Prozess auf. Diese

Informationen werden zusammen mit den Computernamen und den Benutzernamen des angemeldeten Benutzers IT und Firewall mitgeteilt. Was sonst stunden- oder tagelange Analysen nach sich ziehen würde, ist nun vollständig automatisiert und auf Sekunden reduziert. So haben die Verantwortlichen mehr Zeit, das Problem zu lösen, anstatt es überhaupt erst einmal zu finden. Synchronisierte Sicherheit bringt somit den Ball ins Rollen, ist aber nicht das Ende der Reise. Von der Analyse riskanten Nutzerverhaltens an Netzwerk und Endpunkt über das Auffinden statistischer Anomalien im Endpoint-Traffic weiß die Firewall jetzt so viel über das Geschehen auf den Endpunkten, wie sie über sich selber weiß. Und beide sind in der Lage, entsprechend zu handeln.

Weitere Kontrollmechanis-men werden folgen. Schon bald wird die Lösung in der Lage sein, Ver-schlüsselung und Endpoint-Schutz in Kombination zu verwenden, um sensible Daten oder sogar einen bestimmten Prozess zu isolieren. Und mobile Geräte, Cloud-basierte Gateways und Sandboxes werden Endpunkt und Firewall ergänzen und sich zu einem großen, vernetzten, synchronisierten Sicherheitssystem entwickeln, das weit mehr als nur die Summe seiner Teile ist. Eigentlich ist es ein einfaches Konzept: Lasst Pro-dukte miteinander reden und auto-matisch reagieren. Verhelft ihnen zu einem gemeinsamen „Herzschlag“, der Bedrohungen erkennt und au-tomatisch verhindert. n

Sophos auf der it-sa: Halle 12, Stand 426

Intercept XMit Intercept X führt Sophos eine neue Generation der Advanced Endpoint Protection ein. Die Tech-nologie erhöht den Schutz gegen Ransomware, Zero-Day-Exploits, speicherresistente Attacken sowie unbekannte Exploit-Varianten und Stealth-Attacken. Die Lö-sung integriert Next-Generation-Endpoint-Schutztechnologie in einer einzigen Lösung inklusive der progressiven Anti-Exploit-Technologie. Im Einzelnen um-fasst Intercept X:

Ransomware-Schutz, der Attacken bereits blockiert, be-vor sie das System sperren können

progressive Exploit-Er-kennung, die Zero-Day-Varianten ohne File-Scan blockiert

die Sophos Clean-Tech-nologie, welche Spyware und tief sitzende Malware erkennt und entfernt

Forensik-Report in Echt-zeit für alle Attacken über das au-tomatisierte Incident-Response-Dashboard

38 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Geschäftsmodelle sind heu-te mehr denn je im Wandel und werden dazu in die digitale Welt überführt. Maschinen kommunizie-ren mit Produkten und die Risiken verschieben sich. Lagen Konstruk-tionspläne früher in einem Tresor, liegen sie heute auf einem Server. Die allumfassende Vernetzung, neue mobile Techniken, Big Data, Cloud Computing und die Interaktion in Echtzeit sind Herausforderungen, die das gesamte verteilte, vernetzte und virtualisierte Ökosystem einer IT-Unternehmenslandschaft heute bereithält. Die Gefahren von außen sind hinlänglich bekannt – doch was schützt vor der Gefahr von innen?

Können Unternehmen ih-ren Mitarbeitern voll vertrauen? Können sie die Aktivitäten ihrer Mit-arbeiter bei der Erfüllung ihrer Arbeit nachvollziehen? Und können sie

Sichere Zugriffsverwaltung in Unternehmen:

Wer darf hier was?Die IT-Infrastruktur ist nicht nur seit dem Stichwort „Industrie 4.0“ das Rückgrat der deut-

schen Wirtschaft. Das digitale Wirtschaftswunder stellt alles auf den Prüfstand, was Unter-

nehmen in der IT-Landschaft nutzen und den Mitarbeitern zur Verfügung stellen. Nicht selten

kommt es dabei vor, dass Daten offen zugänglich sind, die eigentlich einem kleinen Kreis

vorbehalten sein sollten. Access Rights Management heißt das Mittel der Wahl, um Berechti-

gungen und deren Vergabe zu organisieren.

Von Matthias Schulte-Huxel, 8MAN / Protected Networks

sicher sein, dass personenbezogene oder sensible Daten nicht gelesen, manipuliert, geteilt oder gar ent-wendet werden? Nicht selten werden bei einem Wechsel des Arbeitgebers auch sensible Informationen weiter-gegeben. Unternehmen sind daher gut beraten, ihre Sicherheitsanforde-rungen dem sich wandelnden Nut-zerverhalten und den Möglichkeiten anzupassen. Denn Daten können, bei unkontrollierter Zugriffsla-ge, nahezu unbemerkt entwendet werden.

Nicht selten entspricht das Berechtigungskonzept in den Un-ternehmen einer Ad-hoc-Verteilung von Zugriffsrechten ohne Kon-trolle und Dokumentation. Die Vorgaben des Gesetzgebers an den Datenschutz und neue Richtlinien werden dabei kaum erfüllt, Stan-dards wie der IT-Grundschutz oder

ISO-Zertifizierungen können nicht sichergestellt werden. Die schnelle Klärung um die Berechtigungssitu-ation zählt daher zum derzeit wich-tigsten Handlungsbedarf in den IT-Abteilungen von Unternehmen und Institutionen, aber auch Ämtern und Behörden.

Aufwendige Prozesse und Kontrollverlust

Überlastung, wenig Zeit, ver-schiedene Tools für viele unterschied-liche Systeme, fehlende Übersicht – so offenbart sich der Alltag eines IT-Administrators bei der Anlage und Pflege von Nutzerrechten in Active Directory und Fileserver. Ebenso sind die Darstellung bei Berechtigungsan-fragen sowie die Bereitstellung von Re-porten umständlich und zeitraubend. Eventuell werden sogar bestehende Rechtestrukturen vererbt und schnell verfügt ein Auszubildender oder Pro-jektarbeiter über die Zugriffsrechte des ehemaligen Vorstands. Auch Grup-penmitgliedschaften sind bekannte Berechtigungsfallen, die Mitarbeitern deutlich mehr Einblick geben als nötig. Die Rechtesituation innerhalb eines Unternehmens gerät zusehends außer Kontrolle. Geschäftsprozesse werden dadurch verlangsamt, was auf Kosten der Effizienz geht. Die Qualität schwindet und durch Verlust der Übersicht können Sicherheitsstan-dards nicht erfüllt werden.

Visualisierung der Gruppen-

strukturen und Nutzerkonten im Active Directory

39© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Auf der Höhe der Zeit sind daher Maßnahmen wie ein zentrales Berechtigungsmanagement, um den schnellen Überblick und damit Sicherheit in der Datenflut zurückge-winnen zu können. 8MAN bietet hier eine Lösung mit klarer Darstellung der Berechtigungslage, Steuerung der Rechtevergabe sowie Dokumentati-on sämtlicher Aktivitäten der Nutzer und Bewegungen auf Ressourcen in Echtzeit. Der Nutzer erhält zunächst auf einen Klick eine einfach ver-ständliche grafische Übersicht. Die Lösung ist zudem leicht zu bedienen, was den Überblick auf die zu verge-benden Zugriffsberechtigungen ge-währleistet. Auch können dadurch Help-Desk, Fachabteilungen, interne Revision, Datenschutzbeauftragte, Konzernsicherheit und Auditoren nach kürzester Einarbeitungszeit mit der Lösung arbeiten.

Ressourcen entlasten durch Dateneigentümer-

Prinzip

Mit einem guten Konzept für das Berechtigungsmanagement gelingt nicht nur eine einheitliche Darstellung der Berechtigungen von Menschen, Maschinen und Programmen auf Objekte. Zu den

weiteren Kernfunktionen gehört auch die Vergabe von Rechten, temporär und permanent. Dabei ist das System mehrschichtig aufgebaut und erlaubt die Bestellung, Geneh-migung und revisionssichere Doku-mentation der Rechtesituation. Zu den Steuerungsmechanismen zählt auch ein webbasierter Bestellprozess mit Autorisierung. Dieser ermög-licht es, die Berechtigungsvergabe zu delegieren – was die Verantwortung aus der IT-Abteilung heraus in die Fachabteilung (Data-Owner-Prinzip) verlagert. Das hat einen wichtigen Zusatzeffekt: die Sensibilisierung der Mitarbeiter beim Umgang mit persönlichen oder sensiblen Daten wird deutlich erhöht.

Zudem macht Access Rights Management (ARM) Schluss mit unautorisierten Zugriffen auf per-sönliche oder sensible Unterneh-mensdaten. 8MAN ermöglicht eine zeitnahe Prüfung von sicherheits-kritischen Vorfällen oder Verän-derungen in sensiblen Bereichen, schnelle Reaktionszeit und vollstän-dige Kontrolle. Zusätzlich lassen sich zentrale Berechtigungsfehler und Risiken in Strukturen mit hohen Datenbeständen automatisiert be-seitigen. Das vereinfacht auch eine

Datenmigration und sorgt für umfas-sende Datensicherheit. Die Lösung gibt es windowsbasiert für Active Directory, Fileserver, Exchange und SharePoint. Sie lässt sich auch durch APIs in vorhandene Infrastrukturen integrieren, um Medienbrüche bei der Darstellung der Rechtestruktur zu vermeiden und eine einheitliche Dokumentation zu gewährleisten.

Fazit

Wer seine Berechtigungs-lage kennt und die Zugriffsrechte auf die nötigen Anforderungen der jeweiligen Funktion begrenzt, ist gut gerüstet für die Zukunft. Die durch-gängige Dokumentation sämtlicher Bewegungen bei der Rechtevergabe erhöht die Transparenz über alle Systeme hinweg und sorgt für mehr Datenschutz, der gängige Compli-ance-Standards wie beispielsweise den BSI Grundschutz und ISO 2700x erfüllt. Ein weiterer Vorzug: Unter-nehmen können schnell Berechti-gungsanfragen beantworten und sie vollziehen in einem Bruchteil ihrer Zeit reibungslos interne Revisionen oder Audits. n

8MAN / Protected Networks auf der it-sa: Halle 12, Stand 441

Schneller Zugriff auf Statistiken und Reporte

40 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Passwörter kommen heute überall und ständig zum Einsatz – und müssen dabei noch professionell verwaltet werden. Sie sollen sicher sein, also mindestens zwölfstellig und dabei aus Groß- und Kleinschrei-bung sowie aus Sonderzeichen beste-hen. Ebenso sollte für jeden Account ein separates Zugangskennwort genutzt werden, welches in kurzen zeitlichen Abständen geändert wird. Es ist schon schwer genug, diese He-rausforderung privat zu meistern – in großen Unternehmen ist es jedoch unwahrscheinlich, dass man sich dieser Aufgabe ohne den Einsatz eines professionellen Passwortver-waltungstools adäquat und nach bestem Gewissen stellen kann.

MATESO Password Safe Version 8

Professionelles Passwort-management „Made in Germany“ Auf der it-sa stellt MATESO die nächste Version des „Password Safe and Repository“ vor.

Das Passwortverwaltungstool erweitert im Rahmen der mittlerweile 8. Version das Portfo-

lio um privilegiertes Passwortmanagement und den Einsatz modernster Verschlüsselungs-

methoden. Außerdem wurde eine cloudfähige Ende-zu-Ende-Verschlüsselung ergänzt.

Von Thomas Malchar, MATESO

Berechtigungs-administration als Basis

Berechtigungsadministrati-

on auf Basis von Rollen und Organi-sationsstrukturen ist deswegen auch eines der zentralen Themen in der neuen Version 8 des „Password Safe“. Ziel ist es, die in einem Unternehmen existierenden Hierarchien innerhalb des Rollenkonzepts einwandfrei und lückenlos abzubilden. Durch einen Abgleich mit dem Active Directory können bereits bestehende Struk-turen importiert und bei Bedarf angepasst werden. Sowohl Benutzer-informationen als auch Gruppenzu-gehörigkeiten werden somit direkt aus dem Microsoft Verzeichnisdienst

übernommen. Optional unterbindet eine Ende-zu-Ende-Verschlüsselung, dass private Benutzerschlüssel zum Server übermittelt werden, was zu-mindest theoretisch einen Angriffs-punkt darstellen kann.

Mithilfe des ausgeklügelten Berechtigungskonzepts ist sicher-gestellt, dass jede Benutzergruppe beziehungsweise Abteilung stets nur Zugang zu denjenigen Passwörtern erhält, für die sie auch berechtigt sein sollen. Gestützt durch Assistenten, Rechtepresets sowie intuitiv gestal-tete Vererbungsmethoden, trägt das Programm den Anforderungen hierarchisch verschachtelter Benut-zerstrukturen in Großunternehmen und Konzernen Rechnung.

Privilegiertes Passwort-management

E ine we i te re zent ra l e Schwachstelle in Unternehmen sind Service-Accounts und administrative Zugänge mit weitreichenden Berech-tigungen. Aufgrund der Masse an exi-stierenden, historisch gewachsenen Accounts ist deren Wartung und Verwaltung jedoch oft schwierig. Mit Password Discovery & Reset liefert MATESO nun zwei Werkzeuge zum Schutz dieser beliebten Angriffsziele. Dabei erstellt Password Discovery mit-

Das Dashboard der neuen

Version ist an das Design von Outlook ange-

lehnt.

41© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

tels Scan der vorhandenen Netzwerk-strukturen eine Liste von Accounts, die dann direkt innerhalb des Password Safe erfasst werden können. Diese Zu-gänge lassen sich daraufhin mithilfe von Password Reset für Dienstkonten, Active-Director-Zugänge oder auch für Windows- und MSSQL-Benutzer nach frei definierbaren Zeiträumen automatisch neu setzen.

Auch unterstützt die aktuelle Version des Password Safe „Single Sign On“ (SSO): Mithilfe des neu konzipierten SSO-Agents ist die au-tomatische Anmeldung an Websites intuitiv und einfach durchführbar. Auch Verbindungen über RDP oder SSH können problemlos automati-siert werden. Eine Besonderheit des Password Safe ist es, dass Passwörter für diese Zugänge stets durch eine Sichtsperre den Benutzern vorent-halten werden können. Besonders sicherheitskritische Anmeldungen können durch das Mehr-Augen-Prinzip des Siegelsystems zusätzlich abgesichert werden. Selbstverständ-lich sind alle Änderungen durch Log-Daten und einer Historie nachvoll-ziehbar. Auch Dokumente können in der Datenbank gepflegt und durch die integrierte Versionsverwaltung zwecks Protokollierung und even-tueller Wiederherstellung archiviert werden. Password Safe in der Versi-on 8 liefert mit dem vollkommen automatisierbaren Reporting-System zudem ein granular definierbares Werkzeug für Sicherheitsaudits.

Am 18. Oktober wird Pass-word Safe and Repository Version 8 auf der it-sa vorgestellt und ab dem 31. Oktober weltweit vermarktet. Die zum Einsatz kommende Stateless Multi-Tier-Architektur lässt Skalier-barkeit in beliebigem Ausmaß zu. Der mehrschichtige Aufbau liefert die Basis für ein wohldurchdachtes Sicherheitskonzept. Password Safe ist somit sowohl bei KMUs, Groß-unternehmen als auch weltweit agierenden Konzernen mit sehr großen Benutzerzahlen sowie welt-weit verstreuten Standorten effizient einsetzbar.

Geprüftes Sicher-

heitsniveau Bei der Auswahl geeigneter

Sicherheitsstandards setzt man dabei auf die Kombination von synchro-

nen und asynchronen Verschlüsse-lungsmethoden. Sowohl RSA 4096, AES 256 als auch eine Ende-zu-Ende-Verschlüsselung kommen hierbei zum Einsatz. Außerdem hat die SySS GmbH im Auftrag von MATESO das Produkt einem Penetrationstest un-terzogen. „Die SySS GmbH bewertet das Sicherheitsniveau der getesteten Softwareanwendung Password Safe and Repository 8 als sehr hoch. Die Vertraulichkeit sensibler Daten wie Passwörter und Dokumente wird dabei durch sichere kryptografische Verfahren und einen eingeschränk-ten Zugriff auf entsprechendes Schlüsselmaterial gewährleistet. Be-züglich der Schutzziele Integrität und Verfügbarkeit konnte die SySS GmbH keine Schwachstellen finden“, so das Fazit von Sebastian Schreiber, Geschäftsführer SySS GmbH.

Ebenso ist ein Schutz der Serverschlüssel per Hardware-Si-cherheitsmodul (HSM) möglich. Selbstverständlich wird zur weiteren Steigerung der Sicherheit eine Mehr-Faktor-Authentifizierung angebo-ten. Egal ob Google Authenticator, RSA SecureID 700 oder beliebige PKI-Strukturen: Durch das Hinzufü-gen eines weiteren Mediums können sicherheitskritische Zugänge mit dem Password Safe noch effektiver gesichert werden. n

MATESO auf der it-sa: Halle 12, Stand 440

Übersicht-liche Ver-

waltung der Passwörter.

Das Tool zeigt alle Abteilungen und die jewei-ligen Benutzer an.

42 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Seit Juli 2016 ist die eIDAS-Verordnung in Kraft. Mit ihr sollen außerdem Scan- und Signatur-prozesse für Unternehmen und Organisationen spürbar erleichtert werden. Die Vorteile liegen auf der Hand: Digitale Verfahren ersparen den Weg zur Bankfiliale oder zum Verwaltungsamt, laufen zeitlich unabhängig, sparen Ressourcen und sind somit effizienter.

Unternehmen können von der Verordnung maßgeblich pro-fitieren, da Geschäftsprozesse wie beispielsweise die Interaktion mit Lieferanten, die Abwicklung von Ar-beitsverträgen oder die Beschaffung digitalisiert werden können. Voraus-setzung hierfür sind vertrauenswür-dige Identitäten beziehungsweise elektronische Signaturen, mit denen Transaktionen oder Verträge rechts-verbindlich auf elektronischem Weg geschlossen werden können.

Viele Unternehmen ha-ben diese Chancen erkannt und beschäftigen sich mit dem Thema Public-Key-Infrastruktur (PKI). Eine PKI ist der De-facto-Standard, wenn es darum geht, vertrauenswürdige Identitäten zur sicheren Authentifi-zierung einzusetzen. Dazu gehören auch die Verschlüsselung von Daten sowie das Erzeugen und Verwalten von digitalen Signaturen, Siegeln und Zeitstempeln.

Maßstab in puncto Sicherheit:

Innovationsfähig ohne Risiko dank PKIDie eIDAS-Verordnung der Europäischen Union schafft eine europaweit einheitliche Grund-

lage für elektronische Geschäftsprozesse. Damit erfahren Themen wie sichere E-Mail-Kommu-

nikation oder elektronische Signaturen einen gehörigen Popularitätsschub.

Von Michael Leuchtner, Nexus Technology

Vertrauenswürdige Identitäten

Grundlage für die Digita-lisierung von gesellschaftlichen und wirtschaftlichen Prozessen ist die Vertrauenswürdigkeit von Identitäten. Nur wenn die Identität des Gegenübers auch im digitalen Raum sicher validiert werden kann, ist eine gesicherte Interaktion über-haupt möglich. Das gilt für finan-zielle Transaktionen ebenso wie für vertrauliche Kommunikation oder rechtlich bindende Vereinba-rungen. Entscheidend ist, dass alle Teilnehmer oder Geräte eindeutig authentifizierbar sind. In Zeiten von Phishing und Identitätsdiebstahl hat Vertrauenswürdigkeit höchste Priorität. Eine PKI stellt diese mittels digitaler Zertifikate und asymmetri-scher Verschlüsselung her.

Kernkomponenten einer PKI sind ein digitales Zertifikat und ein an die Identität des Zertifikatsträgers gebundenes korrespondierendes Schlüsselpaar, das aus einem öffent-lich zugänglichen Public Key und einem geheimen Private Key besteht. Letzterer ist nur vom Zertifikatsträger einsehbar und darf nicht weitergege-ben werden, während das Zertifikat und der Public Key zusammen eine Art digitalen Ausweis bilden und für jeden einsehbar in einem zentralen Verzeichnis gelistet werden. Zertifi-

kate und Schlüssel werden von einer zentralen Certificate Authority gene-riert und verteilt, deren Vertrauens-würdigkeit wiederum von einer Root Certificate Authority garantiert wird. So entsteht eine sogenannte „Chain of Trust“, die die Vertrauenswürdig-keit digitaler Identitäten garantiert.

Auf Basis einer PKI können Nachrichten verschlüsselt und Iden-titäten eindeutig verifiziert werden. Ein Teilnehmer eines Netzwerks kann sich gegenüber anderen Teil-nehmern authentifizieren, indem er sein Zertifikat mit dem eigenen Private Key verschlüsselt. Die Gegen-seite kann das Zertifikat anhand des Public Keys des Senders überprüfen. So wird beispielsweise im Fall eines elektronischen Vertrages sicherge-stellt, dass wirklich die Person oder Organisation digital „unterschrie-ben“ hat, mit der der Vertrag zustan-den kommen soll.

Sicher, skalierbar, standardisiert

Einer der wesentlichen Vor-teile einer PKI ist die hohe Skalier-barkeit. Außerdem stellt die asym-metrische Verschlüsselung sicher, dass die Vertrauenswürdigkeit einer digitalen Identität validiert werden kann, ohne dass ein gemeinsames Geheimnis notwendig ist. Das macht die Technologie besonders attraktiv

44 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

für große dezentrale Netzwerke mit vielen Teilnehmern und hoher Fluk-tuation, denn Zertifikate können schnell erstellt und ohne zusätzliche Sicherheitsmaßnahmen einfach allen Teilnehmer bekannt gegeben werden.

Da sich die PKI-Technologie schon lange in der Praxis bewährt hat, ist sie ausgereift, gut erprobt und standardisiert. Unternehmen, die PKI einsetzen wollen, können auf umfassendes Wissen und langjäh-rige Erfahrungen zurückgreifen. Die Standardisierung der Technologie ermöglicht eine schnelle Implemen-tierung und ihre Interoperabilität erlaubt organisationsübergreifende Anwendungen. Auch wenn die digitalen Signaturen ein wichtiger und häufiger Einsatzbereich sind, ist das Anwendungsspektrum von PKI sehr viel breiter. Ist eine PKI einmal aufgebaut, kann sie für eine Vielzahl von Anwendungen genutzt werden.

In puncto Sicherheit ist PKI in der Tat das Maß der Dinge. Das Public-Key-Verfahren (asymme-trische Verschlüsselung) hat hierfür die Grundlagen gelegt. Dass PKI sich als De-facto-Standard im Bereich IT-Sicherheit etabliert hat, zeigt sich auch daran, dass die Technologie in vielen Bereichen zum Einsatz kommt, die ein Höchstmaß an Si-cherheit erfordern, wie beispielswei-se bei Bankgeschäften, der digitalen Steuererklärung oder zur Absiche-rung kritischer Infrastrukturen oder der Verteidigung.

Standardisierte Lösung, flexible Anpassung

Jede Organisation kann eine PKI einsetzen. Nexus hat langjäh-rige Erfahrung in der Entwicklung und Implementierung von PKIs, die sich auch nahtlos in bestehende IT-Landschaften einfügen und mit anderen Sicherheitsanwendungen kombinieren lassen. Die PKI-Lösung von Nexus umfasst Produkte für die sichere Zertifikatserstellung im

großen Stil ebenso wie für die Vali-dierung und das Lebenszyklusma-nagement der Zertifikate. Zertifikate können auf verschiedenen Medien gespeichert und ausgegeben werden, beispielsweise auf Smartcards oder Hardware-Token. Sie können aber auch als Software-Token und dem-nächst als so genannte Virtual Smart Card direkt im Rechner hinterlegt werden. Als Spezialist für die Inte-gration von Lösungen für das phy-sische und digitale Identitäts- und Access-Management bietet Nexus zudem eine Plattform für die zentrale Identitätsverwaltung. Alle Nexus-Lö-sungen können an verschiedene Vo-raussetzungen, Anforderungen und Anwendungsszenarien angepasst werden und zeichnen sich durch ihre hohe Nutzerfreundlichkeit aus.

Effizienz durch Mobilität

Mobilität ist aktuell das Thema, das Entscheider und Si-cherheitsexperten in Unternehmen gleichermaßen umtreibt. Fast jeder besitzt heute ein mobiles Endgerät. Smartphones, Tablets und Wearables werden nicht nur leistungsfähiger, sondern auch immer wichtiger im Alltag. Daher steigt der Wunsch, sie auch für elektronische Prozesse wie die sichere Authentifizierung oder das digitale Signieren zu nutzen. Es ist nicht verwunderlich, dass auch im Geschäftsalltag das Thema mobile Sicherheit immer bedeutender wird.

Seiner Rolle als Pionier im Bereich PKI bleibt Nexus treu und präsentiert bei der diesjährigen IT-Security-Messe it-sa die neue App Personal Mobile. Die Anwendung ermöglicht es, mobile Endgeräte an die eigene oder auch eine fremde PKI anzubinden und so Sicherheits-funktionen wie starke Authentifizie-rung, Verschlüsselung und digitale Signaturen zu nutzen. Mithilfe des Personal Mobile SDK (Software Deve-lopment Kit) lassen sich benötigte Si-cherheitsfunktion sogar in die Apps von Unternehmen und Behörden integrieren.

Gerade mit Blick auf die eIDAS-Verordnung gewinnt das di-gitale Signieren mit mobilen Geräten an Bedeutung. Personal Mobile kann für die Authentifizierung an einem Signaturdienst und zur Autorisie-rung (Freigabe) von Signaturvorgän-gen verwendet werden. Das erlaubt es Unternehmen und Behörden künftig, digitale Prozesse anzubieten, die bequem mit dem Smartphone genutzt werden können. Dokumente etwa können so rechtsverbindlich signiert werden, ohne hierfür eine Behörde oder das Büro aufsuchen zu müssen. Die für diesen Service benötigte PKI wird vom Anbieter be-reitgestellt – die Anwender nutzen sie quasi unbemerkt. Eine Vielzahl von Geschäftsprozessen kann so nicht nur digitalisiert, sondern gleichzeitig mit einer besseren Usability den Kun-den bereitgestellt werden.

Die Möglichkeiten, die mit der eIDAS-Verordnung für digitale Geschäftsprozesse geschaffen wur-den, können dank PKI-Technologie optimal genutzt werden – unter Berücksichtigung maximaler Si-cherheitsstandards und mit einem Höchstmaß an Usability. n

Nexus Technology auf der it-sa:Halle 12, Stand 514

© 2

016

KP

MG

AG

Wir

tsch

aft

sprü

fun

gsg

ese

llsc

ha

ft.

All

e R

ech

te v

orb

eh

alt

en

.

Hacker kennen keinen Schlaf.Schützen Sie Ihr Unternehmen rund um die Uhr vor Cyberangriffen.

Risiken kennen, Risiken gewichten, Risiken managen – wir helfen Ihnen, die richtige Balance zwischen notwendiger Offenheit und Cybersicherheit zu finden. Erfahren Sie mehr unter klardenker.kpmg.de/cybersecurity

Anticipate tomorrow. Deliver today.

KPMG_Cybersecurity_Hacker_210x297_KES_Sonderheft_39L.indd 1 21.09.16 10:17

46 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Cyberangriffe gehören in-zwischen zum Alltag und können für Unternehmen gravierende Fol-gen haben. Dort ist das Risiko zwar bekannt: 89 Prozent der Verantwort-lichen sehen eine hohe oder sehr hohe Gefahr für deutsche Firmen, Opfer einer Cyberattacke zu werden. Allerdings fürchten die wenigsten, selbst getroffen zu werden. So darf es nicht wundern, dass kaum Stel-len geschaffen werden, die sich ausschließlich mit Informationssi-cherheitsaufgaben beschäftigen – in 85 Prozent der Unternehmen mit weniger als 1000 Mitarbeitern ist das nicht der Fall.

Fakt ist, dass der Mittelstand zunehmend zur Gewährleistung von

Die Module des VdS-Konzepts für Cybersecurity

sind auf die Bedürfnisse und Anforderungen mittel-

ständischer Unternehmen zugeschnitten.

Cybersecurity:

VdS setzt Maßstäbe für den MittelstandDie Gewährleistung der Informationssicherheit wird von Kunden, Partnern und Gesetz-

geber immer stärker eingefordert. Große Unternehmen setzen vielfach auf die ISO/IEC-

27000-Reihe, die allerdings in der Umsetzung mittelständische Unternehmen vor kaum lös-

bare Aufgaben stellt. Doch welche Optionen hat der Mittelstand bei der Organisation von

Informationssicherheit? Eine Alternative bieten die VdS-Richtlinien 3473, die den Spagat

zwischen Aufwand und Nutzen meistern.

Von Sebastian Brose und Markus Edel, VdS Schadenverhütung GmbH

Informationssicherheit gezwungen ist – nicht zuletzt aufgrund der For-derungen von Kunden, Auftrag- und Gesetzgebern. Fakt ist aber auch: Bereits die technische Organisation der tagtäglichen IT-Sicherheit stellt viele Unternehmen vor große He-rausforderungen, sodass Freiräume für die Umsetzung eines ganzheit-lichen Informationssicherheits-Managementsystems (ISMS) fehlen. Daher setzen lediglich sehr große Unternehmen auf den international anerkannten Standard ISO 27001. Darin sind neben den Anforderun-gen an ein ISMS auch aufwendige Umsetzungshinweise normativ vorgegeben. So bindet eine Zertifi-zierung nach ISO 27001 erhebliche Ressourcen. Dieser Aufwand schreckt

jedoch viele Mittelständler ab, sodass die Informationssicherheit auf der Strecke bleibt. Mangelnde Sicher-heitsmaßnahmen im Mittelstand sind somit nicht zwingend Ausdruck von Sorglosigkeit, sondern vielmehr Folge einer Überforderung beim The-ma Informationssicherheit.

Richtlinien VdS 3473 schließen Lücke

Wie aber kann der Mittel-stand ein ausreichendes Sicherheits-niveau erreichen? Eine Möglichkeit bieten die Richtlinien VdS 3473. Die dort beschriebene Vorgehensweise ermöglicht es Unternehmen, mit rund 20 Prozent des Aufwandes

47© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

ein akzeptables Sicherheitsniveau von 80 Prozent zu erreichen – im Vergleich zur ISO 27001. Eine beson-dere Stärke der VdS-3473-Richtlinien ist dabei die Berücksichtigung der organisatorischen Ebene: Wichtige Handlungsfelder wie Personal, Ver-antwortlichkeiten, Zugänge sind ebenso abgedeckt wie technische Aspekte. Inzwischen setzt sich der VdS-Standard 3473 immer stärker durch und gehört zu den Top-3-Standards für die Implementie-rung eines ISMS – so das Ergebnis einer Cyber-Sicherheits-Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Kompatibilität der VdS 3473 zu an-deren Standards gewährleistet dabei, dass eine spätere Weiterentwicklung, zum Beispiel in Richtung ISO 27001, möglich ist.

Der erste Schritt hin zu einer angemessenen Informationssicher-heit ist jedoch eine individuelle Risikoanalyse. Dazu bietet VdS einen kostenlosen Quick-Check an, den Unternehmen auf www.vds-quick-check.de durchführen können. Der Check besteht aus 39 Fragen. Das Ergebnis wird am Ende in zwei Aus-wertungen – einer kompakten und einen ausführlicheren Bericht mit Erläuterungen – dokumentiert. Ne-ben der Ermittlung des individuellen Sicherheitsstatus werden zusätzlich Maßnahmenempfehlungen zur so-fortigen Umsetzung aufgezeigt.

Quick-Check für ICS

Dieses Jahr hat VdS das Angebot um einen Quick-Check für Industrial Control Systems (ICS) mit Fragen rund um industrielle Automatisierungssysteme erweitert. Denn Steuerungs- und Automa-tisierungssysteme weisen häufig Kommunikationsverbindungen zu anderen Unternehmensteilen oder sogar ins Internet auf und bilden da-mit ein unterschätztes Einfallstor für Cyberkriminelle. Der Fragenkatalog berücksichtigt dabei die Besonder-heiten von ICS, wie beispielsweise

die sehr hohen Verfügbarkeitsanfor-derungen, Aspekte der Fernwartung und die Kooperation mit den Her-stellern. Eine Ergänzung der Richtli-nien VdS 3473 zum Thema ICS wird derzeit entwickelt.

Die Erkenntnisse des Quick-Checks können anschließend ge-nutzt werden, um sie durch VdS in einem VdS-Quick-Audit überprüfen zu lassen. Neben den Antworten des Quick-Checks und weiteren Frage-stellungen werfen die VdS-Auditoren einen Blick in die Dokumentation der Informationssicherheit und prüfen, ob bereits Maßnahmen er-folgreich umgesetzt wurden. Diese Stichtagsbetrachtung wird in Form eines Testats bescheinigt und kann der Vorlage bei einem Versicherer dienen.

Zertifizierung

Die Königsdisziplin des drei-stufigen Systems ist die Umsetzung der Richtlinien VdS 3473. Im Ergeb-nis baut das Unternehmen ein ISMS auf. Das klingt aufwendiger, als es ist: Die Richtlinien unterscheiden im Wesentlichen zwischen kri-tischen und unkritischen Ressourcen (Systeme, Prozesse, Dienste und Netzwerke). Für die unkritischen gilt, dass ein Basisschutz ausreicht. Beispielsweise genügen hier regel-mäßige Updates, Netzwerkprotokol-lierung, Schutz vor Schadsoftware und Zugriffsbeschränkungen. Bei den kritischen Ressourcen müssen zusätzliche Maßnahmen getroffen werden, wie die Bestimmung von tolerierbaren Ausfallzeiten und die Schaffung von Redundanzen, um die Anforderungen der Richtlinien zu erfüllen. Alle Maßnahmen sind eingebettet in eine belastbare Struk-tur, die es ermög licht, geänderte Rah-menbedingungen zu identifizieren und gegebenenfalls Veränderungen zu initiieren – vergleichbar mit dem PDCA-Zyklus und der kontinuier-lichen Verbesserung. Um das Zerti-fikat zu erlangen, prüfen Auditoren die notwendige Dokumentation

und überzeugen sich vor Ort von der richtigen Umsetzung der Maß-nahmen. Das VdS-Zertifikat ist drei Jahre gültig. Es erfolgt jährlich ein Check-up in Form eines Vor-Ort-Audits. Nach drei Jahren kann die Zertifizierung durch ein Re-Audit verlängert werden.

Zusammenfassung

Bei der Implementierung einer ganzheitlichen Informations-sicherheit stellt sich heute in erster Linie die Frage, wie sie nachhaltig umgesetzt werden kann. Bestehende Standards stellten den Mittelstand bislang vor unüberwindbare He-rausforderungen. Ein ideales Ver-fahren adressiert jedoch sowohl die organisatorischen Unternehmens-bereiche als auch die besonderen Voraussetzungen und Ressourcen-situationen von mittelständischen Unternehmen. Die VdS-Richtlinien 3473 schaffen diesen Spagat und sind der einzige zertifizierungsfä-hige Standard für den Mittelstand. Kostenloser VdS-Quick-Check, das weiterführende VdS-Quick-Audit und die Zertifizierung bieten für jeden Risikoappetit die passende Lösung – auch in Bezug auf den Versicherungsschutz. Das zertifi-zierte Unternehmen erweitert sein Risikomanagement um den Aspekt der Informationssicherheit. Durch die erhöhte Risikotransparenz wird die Geschäftsleitung entlastet. Das Unternehmen kann sich wieder auf seine Kernprozesse konzentrieren. n

VdS auf der it-sa: Halle 12, Stand 437

48 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Hauptaufgabe der Unterneh-mensleitung ist die Umsetzung der geplanten Unternehmensziele und eine langfristige Marktbehauptung. Grundvoraussetzung hierfür ist ein kontinuierlicher und störungsfreier Geschäftsbetrieb, insbesondere in den globalisierten und sich schnell verändernden Märkten. Durch die Verkettung der Geschäftsprozesse von Lieferanten und Auftraggebern ist ein hoher Grad an wirtschaft-licher Abhängigkeit erreicht. Sehr deutlich zu erkennen ist dies bei der Betrachtung der „just-in-time“-Lieferketten. Eine Unterbrechung der Lieferung kann nicht nur einen wirt-schaftlichen, sondern auch einen Imageschaden bedeuten. Das Image eines langjährigen zuverlässigen Ge-schäftspartners wird über Jahre durch die sorgfältige Erfüllung der verein-barten Leistungen aufgebaut. Bereits geringe Zweifel des Auftraggebers an der genannten Zuverlässigkeit können zum Verlust der Marktposi-tion führen – unter Umständen mit gravierenden wirtschaftlichen und sozialen Folgen.

Die bereits zum fünften Mal durchgeführte Studie der Allianz „Al-lianz Risk Barometer“ identifizierte die größten Geschäftsrisiken im Jahr 2016. Unter den zehn größten Unternehmensrisiken belegt die Betriebsunterbrechung (inkl. Liefer-kettenunterbrechung) Platz 1 und

Cybersicherheit und betriebliches Kontinuitätsmanagement mit DocSetMinderDie aktuelle Studie der Allianz „Allianz Risk Barometer – Die 10 größten Geschäftsrisiken

2016“ weist die Betriebsunterbrechung und Cybervorfälle unter den drei größten Unter-

nehmensrisiken auf. Trotz der eindeutigen Sicherheitslage herrscht in vielen Unternehmen

und Behörden immer noch die Illusion der Sicherheit.

Von Krzysztof Paschke, GRC Partner GmbH

Cybervorfälle (Cyberkriminalität, Verletzung der Datenschutzrechte) Platz 3. Die Studie prognostiziert, dass in den nächsten zehn Jahren Cy-bervorfälle, Betriebsunterbrechung und Terrorismus die Plätze 1 bis 3 bei den wichtigsten Risiken belegen werden.

Trotz der eindeutigen Si-cherheitslage herrscht in vielen Unternehmen und Behörden immer noch die Illusion der Sicherheit. Mutige Aussagen wie „Bei uns ist noch nie etwas passiert“ verdeut-lichen, wie gering der Stellenwert der IT-Sicherheit und des Notfall-managements in einer Organisation ist. Eine weitere Studie im Auftrag des Digitalverbands Bitkom (April 2015) bestätigt den aktuellen Status. Nur knapp die Hälfte (49 %) der Be-fragten 1074 Unternehmen verfügt über ein Notfallmanagement. Ein wesentliches Hindernis bei der Ein-führung der IT-Sicherheit und des Notfallmanagements ist, neben der zeitintensiven Planung und Umset-zung der Sicherheitsmaßnahmen, die dazu gehörende sehr aufwändige Projektdokumentation für das Audit. Der Einsatz von Office-Produkten ist zwar möglich, stellt aber keine echte Alternative zu einem speziell dafür konzipierten Tool dar. DocSetMinder bietet zum Thema IT-Sicherheit eine komplette Suite von aufeinander abgestimmten Modulen mit Doku-

mentstrukturen und Vorlagen, mit denen die Cybersicherheit und ein betriebliches Kontinuitätsmanage-ment vollständig abgebildet werden können.

Effektive Umsetzung mit DocSetMinder

Bei der Vielzahl der gesetz-lichen Auflagen und Normanforde-rungen ist es empfehlenswert, einen organisationsweiten ganzheitlichen Planungs- und Dokumentations-ansatz in Form eines „Integrierten Managementsystems“ (IMS) zu eta-blieren. Wie eine effiziente und ef-fektive Umsetzung der technischen und organisatorischen Maßnahmen funktioniert, kann aus der ISO-Welt abgeleitet werden. Anstatt jede Norm, jeden Standard oder gesetzliche Anforderung einzeln zu planen und mit unterschiedlichen Tools zu realisieren, ist eine globale Betrachtung von enormem Vorteil. Gemeinsamkeiten bei der Planung, Umsetzung und Aufrechterhaltung der Sicherheitsstandards sind vor allem in Bereichen des Projektma-nagements, der Strukturanalyse, Risi-koanalyse, Überwachung und Audits vorhanden. Um die Mindestanfor-derungen der Sicherheitsstandards und Datenschutzgesetze (EU, Bund und Länder) effizient und vollständig umzusetzen und aktuell zu halten, stehen den involvierten Mitarbeitern

49© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

diverse DocSetMinder Module und Maßnahmenkataloge zur Verfügung. In Verbindung mit dem Microsoft SQL Server als zentrale Repository ist der DocSetMinder beliebig skalierbar und eignet sich für Unternehmen und Behörden jeder Größe. Durch den modularen Aufbau kann ein bereits umgesetzter Standard um zu-sätzliche Normen jederzeit zu einem Integrierten Managementsystem erweitert werden.

Modul „Organisation“

Die genaue Kenntnis der Unternehmens- und Behördenorga-nisation ist eine elementare Voraus-setzung für die Durchführung der Strukturanalyse. Das Modul stellt die notwendigen Strukturen und Vorlagen für die Dokumentation der Aufbau- und Ablauforganisation in gewünschter Tiefe zur Verfügung. Erfasst werden sämtliche Organisa-tionseinheiten, wie Bereiche, Abtei-lungen, Gruppen, sowie Geschäfts-prozesse mit den Verantwortlich-keiten (Rollen) in der Organisation. Darüber hinaus werden in diesem Modul auch unternehmensrelevante Dokumente wie Verträge, Leitlinien, Richtlinien, Berichte, Eintragungen und Urkunden aufbewahrt oder erstellt. Die hier erfassten Informati-onen werden in allen Modulen ver-wendet. Somit werden Redundanzen verhindert und Aktualisierungen vereinfacht.

Modul „IT-Dokumen- tation“

Ein weiterer Baustein der Strukturanalyse ist die Dokumenta-tion des IT-Verbundes. Das Modul „IT-Dokumentation“ erlaubt eine systematische Dokumentation der IT-Infrastruktur der passiven und aktiven Netzwerkkomponenten, Server-Systeme, Arbeitsplätze, Peri-pheriegeräte, Dienste und Anwen-dungen sowie Gebäude, Gebäu-desicherheit und Räume. Durch den Einsatz von DocSetMinder- Schnittstellen können wesentliche

Informationen aus Active-Directory- und Inventory-Systemen regelmäßig importiert werden. Die Dokumenta-tion stellt die logischen Zusammen-hänge zwischen Geschäftsprozessen, dafür verantwortlicher Software und Serversystemen sowie Speicherorten für die entstehenden Daten dar. Jede IT-Komponente kann dem fachlich und technisch zuständigen Mitar-beiter zugeordnet werden. Die hier erfassten Informationen werden in allen Modulen verwendet. Somit werden Redundanzen verhindert und Aktualisierungen vereinfacht.

Modul „IT-Grundschutz“

Das Modul bildet den BSI-Standard 100-2 vollständig ab. Die BSI-Methodik der Sicherheitskon-zeption ist in die Modulstruktur detailliert integriert und unterstützt eine intuitive Bedienung, Umset-zung und Dokumentation des IT-Grundschutzes. Die Schutzbedarfs-definition, Schutzbedarfsfeststellung und ihre Vererbung durch das Maximumprinzip sowie die Model-lierung des IT-Verbundes ist durch die Softwareunterstützung einfach und schnell umsetzbar. Für die Überwachung der Umsetzung der festgelegten Maßnahmen kann sehr effektiv der Aufgaben- und Maßnah-menplaner sowie Reporting Services verwendet werden. GRC Partner bietet das Modul „IT-Grundschutz“ für unmittelbare Bundes-, Landes- und Kommunalverwaltungen der Bundesrepublik Deutschland ko-stenlos an.

Modul „ISMS ISO/IEC 27001“

Die Norm ISO/IEC 27001 ist für die Planung, Umsetzung, Über-wachung und stetige Verbesserung des Informationssicherheitsmanage-mentsystems (ISMS) konzipiert. Das Modul bildet die Anforderungen der Norm ISO/IEC 27001 vollständig und detailliert ab. Die Modulstruktur (High Level Structure) erlaubt die Definition und Dokumentation des

Anwendungsbereichs, der Verant-wortlichkeiten, der Anwendbarkeits-erklärung (SoA), der ISMS-Leitlinie, eine Analyse und Bewertung der Risiken sowie die Definition der Maß-nahmenziele und Maßnahmen zur Behebung der festgestellten Risiken.

Modul „(IT-)Notfall-management“

Das Modul basiert auf dem BSI-Standard 100-4, ISO 22301 und BCI-GPG 2013 und bildet die Metho-dik zur Etablierung eines adäquaten Notfallmanagementsystems im Un-ternehmen oder einer Behörde ab. Es erlaubt eine vollständige Erstellung und Pflege von Dokumentationen des Anwendungsbereichs, der Not-fallorganisation, der Business Impact Analyse, der Risikoanalyse sowie der Alarmierung und Eskalation bis hin zu Geschäftsfortführungs- und Wiederanlaufplänen (Notfallhand-bücher). Die Planung und Durch-führung von Notfallübungen und der Verbesserungsprozess der Not-fallorganisation (P-D-C-A) werden ebenfalls strukturiert unterstützt.

Fazit

DocSetMinder bildet aner-kannte IT-Sicherheits- sowie Not-fallmanagementstandards und den Datenschutz vollständig ab. Der Funktionsumfang der Software macht den Einsatz von weiteren Tools oder Office-Anwendungen für die Planung, Umsetzung und Doku-mentation der Standards überflüssig. DocSetMinder ist einfach zu imple-mentieren und leicht bedienbar. Die gemeinsame Nutzung der erfassten Informationen bietet für jeden Verantwortlichen einen enormen Mehrwert durch die Aktualität und Zeitersparnis bei der Vorbereitung von internen und externen Audits. Ready for Audit! n

GRC Partner GmbH auf der it-sa:Halle 12, Stand 650

50 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Was löst überhaupt ein Feuer aus? In der Brandursachenstatistik des Instituts für Schadenverhütung und Schadenforschung sind in den letzten Jahren die elektronischen Komponenten immer wieder Haupt-verursacher für Brände aller Art. Wenn es in Rechenzentren brennt, sind es meist kleine Schwelbrände, die durch defekte Kondensatoren, Netzteile oder sonstige Kurzschlüsse ausgelöst werden. Bei der hohen Abhängigkeit vieler Unternehmen von ihren IT-Systemen ist der Brand-schutz daher ein wichtiger Faktor in der Risikovorsorge.

Tipps zum Brandschutz im Rechenzentrum

Gefahrenpotenzial FeuerDie Gefahr eines Brandes gehört zu den elementaren Bedro-

hungsszenarien für den IT-Betrieb. Die entscheidende Kom-

ponente in jedem Sicherheitskonzept ist die Brandfrüherken-

nung: Damit es gar nicht erst zu einem größeren Feuer kommt,

sollte eine Brandfrüherkennung und ein Aktivlöschsystem die

IT-Anlage schützen. Welche Konzepte es zum Brandschutz auf

Rack-Ebene gibt und welche Kriterien bei der Auswahl geeig-

neter Lösungen wichtig sind, zeigt der folgende Beitrag.

Von Bernd Haustein, Rittal

Vor der Entscheidung für ein Brandschutzsystem steht die Anforderungsanalyse: Hierbei wird ermittelt, wie sich ein Datenverlust auf die laufenden Geschäftsprozesse auswirkt. Betreibt ein Unternehmen zum Beispiel einen Online-Shop, muss der Ausfallsicherheit, zu der auch der Brandschutz gehört, höchste Priorität eingeräumt wer-den, denn ein IT-Ausfall führt hier direkt zu Umsatzverlusten.

Im nächsten Schritt ist zu ent-scheiden, ob ein Löschsystem für den gesamten Raum benötigt wird oder ob

ein System auf Rack-Ebene ausreicht. Raumlösungen können eine Reihe von Folgeinvestitionen nach sich zie-hen: Soll zum Beispiel ein Raum mit Stickstoff geflutet werden, wird eine zusätzliche Druckentlastung benötigt und es sind Maßnahmen für den Personenschutz zu treffen. Bei kleinen IT-Anwendungen mit einer geringen Anzahl an Serverschränken ist es häufig sinnvoller, den Brandschutz auf Ebene der IT-Racks zu implemen-tieren. Hierfür sind eine Reihe von Brandmelde- und Löschsystemen zum Einbau in geschlossene Server-schränke, wie die Rittal Produktfami-lie DET-AC III, am Markt verfügbar. Diese Lösungen bestehen meist aus einer Brandfrüherkennungsanlage sowie einem Aktivlöschsystem und lassen sich in der 19-Zoll-Ebene des IT-Racks montieren.

Rechtzeitiges Erkennen

Um einen Entstehungsbrand im frühen Stadium zu erkennen, ist neben hochsensiblen Rauchmeldern ein aktives Rauchansaugsystem von großer Bedeutung. Hierbei ist darauf zu achten, dass die Luft aus dem gesamten Serverschrank überwacht wird. Das geschieht durch die Brand-früherkennungsanlage, die die Luft kontinuierlich über ein integriertes Rohrsystem ansaugt und sie über die beiden Rauchmelder führt. Das Rohrsystem wird im Serverschrank verlegt und mit mehreren Boh-rungen versehen. Die Verlegung des Rohres und die Positionierung der Bohrungen sind in Abhängigkeit zu der Luftzirkulation im Serverschrank auszuführen.

Wird auf ein aktives Rauch-ansaugsystem verzichtet, kann das zur Folge haben, dass ein Brand erst in einem fortgeschrittenen Stadium erkannt wird. Besonders dann, wenn die Kühlung der Serverschränke eine horizontale Luftführung innerhalb des Racks erzeugt, kann es lange dauern, bis entstehender Rauch tat-sächlich am Rauchmelder ankommt und einen Alarm erzeugt.

Damit der Brand-schutz auch während

und nach einem Stromausfall noch aktiv ist, sollte die Lösung über eine

eingebaute Notstrom-versorgung mit Akkus

verfügen. Beispiels-weise überbrückt

DET-AC III von Rittal bis zu vier Stunden

ohne Netzspannung. (Bilder: Rittal GmbH &

Co. KG)

51© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Um die IT nach durchge-führter Löschung wieder schnell verfügbar zu machen, ist es wichtig, dass das Löschmittel die Elektronik nicht beeinträchtigt. So darf das Löschmittel nicht leitend sein und keine Rückstände hinterlassen. Was-ser oder Aerosollöschmittel erfüllen diese Anforderungen nicht. Bevor-zugt werden Inertgase wie Argon, Stickstoff oder chemische Lösch-mittel wie Novec 1230. Argon und Stickstoff verdrängen Wärme, Novec 1230 entzieht dem entstehenden Brand die Energie. Zudem ermögli-cht Novec 1230 eine Bevorratung auf kleinem Raum im IT-Rack.

Neben einer ausreichenden Menge an Löschmittel muss eine aus-reichende Dichtigkeit des IT-Racks gegenüber der Umgebung gegeben sein. Sowohl der Serverschrank als auch eventuell angereihte Kühl-einheiten dürfen keine Öffnungen aufweisen. Kabel- und Rohreinfüh-rungen müssen ebenso abgedichtet werden wie eingelegte Bodenele-mente zum Rahmen und zueinander. Es dürfen nur Kühllösungen einge-setzt werden, die keine Luft mit der Umgebung austauschen. Durch diese Maßnahmen wird sichergestellt, dass die zum Löschen notwendige Konzentration von Novec 1230 im Schrank erreicht und für den vor-gegebenen Zeitraum gehalten wird.

Das Rittal Brandmelde- und Aktivlöschsystem DET-AC III be-vorratet zwei Liter des Löschmittels in einem 19-Zoll-Einschub mit nur einer Höheneinheit. Diese Menge reicht, um ein Volumen von 2,8 m³ zu löschen. Das wurde durch den VdS, eine Prüfinstitution mit den Schwerpunkten Brandschutz und Sicherheit, geprüft und bestätigt.

Automatisierte Strom-abschaltung wichtig

Trotz aller Maßnahmen wird keine komplette hermetische Abdichtung erreicht und die Kon-zentration des Löschmittels fällt im

Schrank in einer gewissen Zeit wieder ab. Da es eine höhere Dichte als Luft hat, geschieht das zuerst im oberen Bereich des Schrankes.

Innerhalb der Haltezeit – die Zeit, in der eine löschfähige Kon-zentration innerhalb des gesamten Schutzbereiches aufrechtzuerhalten ist – müssen die elektrischen Kom-ponenten von der Energieversorgung getrennt werden. Das kann automa-tisiert mit einer schaltbaren Power Distribution Unit (PDU) in Kombina-tion mit einem Monitoring-System erfolgen. Geschieht das nicht, kann es zu einem erneuten Entfachen eines Brandes kommen. Einen positiven Einfluss auf eine homogene Verteilung des Löschmittels und somit auf eine längere Haltezeit hat eine horizontale Luftzirkulation des Kühlsystems.

Damit der Brandschutz auch während und nach einem Stromaus-fall noch aktiv ist, sollte die Lösung über eine eingebaute Notstromver-sorgung mit Akkus verfügen. Bei-spielsweise überbrückt DET-AC III von Rittal bis zu vier Stunden ohne Netzspannung. Für mehr Sicherheit und um Fehlalarme zu vermeiden, sollte das Rauchansaugsystem zwei-stufig ausgelegt sein. In der ersten Stufe erkennen hoch empfindliche optische Sensoren frühzeitig kleins-te Rauchpartikel und lösen einen Voralarm aus. Verfügbare Lösungen arbeiten zum Beispiel mit einem Wert ab 0,25 Prozent Lufttrübung/m,

um eine mögliche Brandentwick-lung zu entdecken. Erfasst auch der zweite Melder Rauch, kommt es zum Hauptalarm und zur automatischen Löschung.

Anbindung an Alarmsysteme

Schließlich sollte eine In-tegration an bestehende Alarmie-rungssysteme im Rechenzentrum und der Haustechnik möglich sein. Die DET-AC III von Rittal ermöglicht darüber hinaus durch die integrierte CAN-Bus-Schnittstelle eine direkte Anbindung an das Monitoring Sys-tem CMC III, welches unter anderem die Protokolle http, SNMP, MODBUS ITCP und OPC-UA unterstützt.

Für die Wartung der Lösch-anlage ist es hilfreich, wenn der Tech-niker über eine USB-Schnittstelle be-quem und ohne Ausbau des 19-Zoll-Einschubs auf die Komponenten zugreifen kann. So ausgerüstet, gewinnt die IT-Umgebung deutlich an Ausfallsicherheit, und auch die Geschäftsführung kann den Punkt „Risikomanagement“ mit einem Plus versehen. n

Rittal auf der it-sa: Halle 12, Stand 345

In der Brandursa-chenstatistik des Instituts für Scha-denverhütung und Schadenforschung (www.ifs-ev.org) sind in den letzten Jahren elektronische Komponenten immer wieder Hauptverursacher für Brände aller Art.

52 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Durch die steigende Mobi-lität der IT, zahlreiche neue Geräte-formen und kabellose Schnittstellen, wie Bluetooth oder WLAN, steigen die Möglichkeiten des Datenaus-tauschs und damit die Gefahr eines ungewollten Datenabflusses. Um sich davor zu schützen, können Unternehmen zahlreiche organisa-torische und technische Maßnah-men ergreifen, die beispielsweise in

den IT-Grundschutzkatalogen des Bundesamtes für Sicherheit in der In-formationstechnik (BSI) beschrieben sind. Dort wird auch empfohlen, ein Tool zur Data-Leakage-Prevention (DLP) einzusetzen, um Datenbewe-gungen zu kontrollieren und den unerwünschten Datenabfluss zu verhindern. Solch ein Tool sorgt gleichzeitig dafür, dass interne Si-cherheitsrichtlinien durchgesetzt

werden und es stellt die Einhaltung gesetzlicher Vorgaben nach dem Bundesdatenschutzgesetz (BDSG), dem Sarbanes-Oxley-Act (EURO/SOX) oder eben den ISO/BSI-Normen sicher. Da sich eine richtig umgesetz-te DLP auf alle Arbeitsprozesse im gesamten Unternehmen auswirkt, sollten Unternehmen diese auch in ihr Information-Security-Manage-ment-System (ISMS) einbetten.

Soweit die Theorie. In der Praxis sind heute viele Geschäftsfüh-rer – vor allem aus dem Mittelstand – stärker für Informationssicherheit sensibilisiert als früher. Studien von Herstellern in diesem Bereich zeigen jedoch, dass sich dies nicht unbedingt in Handlungen nieder-schlägt. Jeder weiß heute, es gibt Cyberkriminelle und Wirtschaftsspi-onage – man fühlt sich jedoch trotz der zahlreichen Medienmeldungen davon nicht betroffen. Manchmal weil man das eigene Unternehmen für zu klein hält, manchmal weil das Mantra der IT-Sicherheitsindustrie von vor zehn Jahren noch nachhallt: Programme auf dem neuesten Stand, Firewall und Virenschutz reichen, um die meisten IT-Gefahren abzu-wehren. Das ist sicher richtig und damit lässt sich auch heute noch vieles verhindern, es hilft jedoch nur bedingt gegen ungewollten

DeviceLock DLP

Wie sich Datenströme im Unter-nehmen überwachen lassenViele Unternehmen vernachlässigen immer noch die Bedrohung durch Insider. Trotz großer In-

vestitionen in die IT-Sicherheit besteht eine gefährliche Fehleinschätzung der Datensicherheit

im Umgang mit Vertrauenspersonen. Der anhaltende und weit verbreitete Trend, persönliche

mobile Geräte am Arbeitsplatz einzusetzen, unterstreicht die Notwendigkeit, den Datenbestand

in Unternehmen vor beiden Gefahrenquellen zu schützen: vor unbeabsichtigten Fehlern durch

Mitarbeiter, Lieferanten oder Besucher und vor dem Personenkreis mit böswilligen Absichten.

Von Thomas Tuckow, DeviceLock Europe GmbH

Die Endpoint-DLP Suite von

DeviceLock kontrolliert alle Datenströme im

Unternehmen und blockiert sie

bei Bedarf.

53© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Datenabfluss, zum Beispiel durch einfaches Heraustragen eines vorher gut befüllten USB-Sticks. Ein weiteres Problem ist, dass sich eine effektive DLP stark auf die Arbeitsprozesse in den Unternehmen auswirkt. So müssen sich Geschäftsführer und IT-Verantwortliche zum Beispiel darü-ber Gedanken machen, was welcher Mitarbeiter genau darf. Auch müssen die Daten klassifiziert werden und ei-nige befürchten ganz pauschal, dass eine DLP-Software die Mitarbeiter bei der Arbeit behindert. So bestehen schon vor der Einführung (unberech-tigte) Vorbehalte hinsichtlich des Aufwands und der späteren Prozesse.

Daher gibt es heute in den Unternehmen immer noch – und oft trotz besseren Wissens – zahlreiche Lücken, die einen ungewollten Da-tenabfluss ermöglichen. Manchmal sogar noch, wenn bereits DLP-Tools eingesetzt werden, diese jedoch nicht korrekt konfiguriert sind oder einfach nicht die passenden Funk-tionen für die Organisation bieten. Unternehmen sollten daher darauf achten, eine auf DLP spezialisierte Lösung einzusetzen, die gefährdete Datenströme kontrollieren und bei Bedarf blockieren kann. Das Blockieren von USB-Schnittstellen durch Zusatzfunktionen anderer Sicherheitsprodukte reicht zum Beispiel nicht. Deshalb umfasst die Endpoint DLP-Suite von DeviceLock die Kontrolle lokaler Schnittstellen und der Web- und Netzwerkkom-munikation, ein Event-Logging und die Datenspiegelung für überwachte Datenkanäle. Eine grafische Auswer-tungsfunktion bietet vielfältige Mög-lichkeiten, basierend auf Log-Daten aussagekräftige Reports zu erstellen, um Datenströme oder Kommunika-tionsbeziehungen zu analysieren.

Kontext- und Inhaltsanalyse

Ein wichtiger Baustein ist eine Kontextkontrolle der lokalen Schnittstellen. Diese erfasst auch Gerätetypen, wie Wechseldaten-

träger, verbundene Smartphones, optische Laufwerke, Drucker und die Zwischenablage. Die Kontrolle dieser Typen kann zudem innerhalb von RDP/Terminal-Sessions durchgesetzt werden. Durch das in die DLP-Suite integrierte so genannte NetworkLock wird die Kontextkontrolle auf die Web- und Netzwerkkommunikation ausgedehnt. Die verwendeten Pro-tokolle und Anwendungen werden portunabhängig erfasst und wahl-weise gesteuert.

Außerdem prüft und be-wertet ein Content-Filter ergänzend zum Kontext den Inhalt der Daten-bewegungen. Das bedeutet, dass der Datenfluss blockiert oder erlaubt wird. Und zwar abhängig davon, wel-cher Mitarbeiter was, über welches Interface, Gerät oder Protokoll, mit welchem Ziel, mit welchem Inhalt und zu welchem Zeitpunkt bewegt. Alle Wege des potenziellen Daten-verlusts wie Ausdrucke oder Smart-phones werden dabei kontrolliert. Neben einer binären Inhaltsanalyse zur Bestimmung des Dateityps und der Auswertung von Dokumen-teneigenschaften wird sensibler Textinhalt mithilfe von Wortüber-einstimmungen, Mustern regulärer Ausdrücke und booleschen Kombi-nationen („und/oder/nicht“-Krite-rien) erkannt. Die entsprechende Da-tenbewegung wird in Abhängigkeit der Berechtigungen eines Benutzers zugelassen oder verhindert. Die inhaltliche Analyse und Filterung kontrolliert den Datenaustausch mit Wechseldatenträgern, PnP-Geräten und über Netzwerkverbindungen. Damit wird sichergestellt, dass nur die zuvor geprüften Daten mit für den Benutzer freigegebenen Infor-mationen ihre Ziele erreichen.

Die Endpoint-DLP-Suite von DeviceLock bietet zudem Werkzeuge für ein umfassendes DLP-Manage-ment und wendet zentral definierte DLP-Richtlinien an. Für die Konfigu-ration der verteilten physischen sowie virtuellen Endpoint-Agenten können Administratoren die Windows-

Active-Directory-Gruppenrichtlini-enobjekte (GPOs) verwenden oder die in der DLP-Suite enthaltenen Konsolen. Eine Konsole ist unmit-telbar in die Microsoft-Manage-ment-Console (MMC) der Active-Directory-(AD)-Gruppenrichtlinien-Verwaltung integriert. Dadurch wird die Steuerung beispielsweise über die Gruppenrichtlinienkonsole (GPMC) ermöglicht. Administratoren binden die Konfiguration der DeviceLock-Zugriffsrechte in ihre allgemeinen Systemmanagement-Aufgaben ein. Zusätzlich ermöglicht eine Web-Kon-sole die Steuerung der Komponenten über jeden Webbrowser. Dadurch kann der Datentransfer von Benut-zern auf Peripheriegeräte, über lokale Schnittstellen und Netzwerk-/Web-verbindungen zentral gesteuert, pro-tokolliert, gespiegelt, analysiert und mit einer Alarmierung verbunden werden. Ebenso werden Hardware-Keylogger erkannt und blockiert, um den Verlust von Passwörtern und anderen Daten zu verhindern.

Um Datenverluste zu un-terbinden und Compliance mit regulatorischen und unternehme-rischen Datensicherheitsrichtlinien zu erreichen, können IT-Verant-wortliche zusätzlich die Funktion „Discovery“ einsetzen, die sich mit den „ruhenden Daten“ befasst. Sie scannt automatisch Daten auf Netz-werkfreigaben, Speichersystemen und Windows-basierten Computern innerhalb und außerhalb des Un-ternehmensnetzwerks und sucht Dateien mit sensiblen Inhalten. Wird eine solche gefunden, bietet Discovery Optionen an, um sie durch Korrekturmaßnahmen zu schüt-zen und Incident-Management-Verfahren einzuleiten. Dazu werden Echtzeit-Alarmierungen zu einem in der Organisation verwendeten Security-Information-und-Event-Management-(SIEM)-System oder an für die Sicherheit zuständiges Personal gesendet. n

DeviceLock auf der it-sa: Halle 12, Stand 325

54 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Qualitätssicherung in der Softwareentwicklung hat viele As-pekte und unabhängig davon, wie man an das Thema herangeht – beispielsweise mit Fokus auf Prozess-qualität oder Vorgehensmodelle – stellt Testen ein wichtiges Element dar. Es ist ebenso unverzichtbar wie Lastenhefte, Code- und Doku-menten-Repositories oder schlichte Ticketsysteme.

Um zu zeigen, welche Tests die Krypto-Produkte von HOB durch-laufen müssen, werden nachfolgend aus der Dokumentation für das Sicherheits-Connectivity-Produkt

HOB RDVPN einige Testfall- und Testablaufspezifikation sowie die Testprotokolle beschrieben. Wäh-rend zur vollständigen Testsuite sowohl funktionale- als auch nicht-funktionale Tests [1] gehören, wer-den hier jedoch nur Funktionstests besprochen.

Jeder Test enthält dabei eine detaillierte Beschreibung des Aufbaus und Ablaufs, das erwartete Ergebnis und das tatsächlich erzielte Resultat. Gegebenenfalls kommen ergänzende Kommentare hinzu, die Entwicklung oder Dokumentation unterstützen. Im Bereich der krypto-

grafischen Software sind funktionale Tests auf verschiedenen Ebenen un-verzichtbar:

kryptografische Online-Module: Diese Tests stellen sicher, dass die Ver- und Entschlüsselungs-algorithmen die gewünschten Ergeb-nisse liefern.

Unterstützungsfunkti-onen: Die Software liefert we-sentliche Beiträge zur Sicherheit des Kryptosystems. Dazu gehören Zufallszahlengeneratoren, Formatie-rungsroutinen, Import- und Export-funktionen sowie Schlüsselverwal-tung.

Protokollmaschine: Auf- und Abbau sowie Kontrolle der Ver-bindung tragen wesentlich zu ihrer Sicherheit bei.

Kunden, die eine Verschlüs-selungssoftware einsetzen, erwarten Produkte, die nachweislich gegen die häufigsten Angriffstypen schüt-zen beziehungsweise bekannte Schwachstellen abfangen – daher gehören solche Tests ebenfalls in das Prüfprogramm.

Als Referenzen dienen stets öffentlich zugängliche Dokumen-tationen und Prüfprogramme von Behörden und Organisationen wie dem National Institute of Stan-dards in Technology (NIST) oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder weitverbreitete Implementierungen wie OpenSSL.

Tests als Qualitätsmerkmal von Krypto-SoftwareTesten von Verschlüsselungssoftware ist wichtig, um die Sicherheit der Software

zu gewährleisten. Transparenz bei der Testdokumentation gibt es hingegen selten.

HOB geht mit gutem Beispiel voran.

Von Armin Gräfe, HOB GmbH

Abbildung 1: Testaufbau AES-Modulprüfung

55© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Testszenario und Umgebung

Die hier gezeigten Beispiele für einen Qualitätstest beziehen sich auf ein Einsatzszenario, das aus einem Betriebssystem-abhängig im-plementierten Hochleistungsproxy mit einem Java-basierten Browser-Client besteht. Dazu kommt ein Zertifikatsverwaltungstool, welches separat betrieben wird. Diese Konfi-guration wurde vom BSI nach ISO/IEC 15408 (Common Criteria v3.1) EAL 4+ zertifiziert.

Die Testdokumentation be-ginnt mit der technischen Definition von Szenarien und Umgebungen. Aufgrund des Produktdesigns wird eine ganze Palette gebräuchlicher Betriebssysteme auf Serverseite ge-prüft, während auf der Gegenseite zahlreiche Browser mit Java-Environ-ments kombiniert werden.

Tests der kryptogra-fischen Online-Module

Der Begriff „Online-Modu-le“ wurde gewählt, um zu verdeut-lichen, dass diese Routinen aktiv an Verbindungen beteiligt sind. Sie müssen daher nicht nur fehlerfrei arbeiten, sondern auch Ressourcen schonen, also speichersparend und schnell sein.

Die Prüfungen umfassen alle in den Cipher Suites angebotenen Algorithmen, wie SHA-256 oder RSA. Abbildung 1 zeigt einen Auszug aus dem Aufbau des AES-Tests. Deutlich ersichtlich ist die Bezugnahme auf Referenzquellen, hier das NIST.

Tests der Unterstützungs-funktionen

Obwohl sie eine große Si-cherheitsrelevanz besitzen, werden Unterstützungsfunktionen zuweilen weniger sorgfältig geprüft als ange-messen wäre. Besonderes Augenmerk verdient dabei jedoch der (Pseudo-) Zufallszahlengenerator und hier

speziell die Methode zur Gewinnung seines „möglichst zufälligen“ Start-parameters („seed“, oft fälschlich mit „Entropie“ gleichgesetzt [2]).

Speziell wenn auf den Ein-satz von Hardware-Security-Modu-len (HSMs) [3] verzichtet werden soll beziehungsweise muss oder Abstraktionslayer wie Java oder Hypervisoren den Zugriff auf Um-weltparameter unterbinden, wird das zur Herausforderung. Eine gebräuchliche Methode ist dann die Auswertung und Kombination verschiedener messbarer Größen wie Zustandswerten, Umweltver-

halten oder Benutzereingaben. Die sinnvolle Zusammenstellung und Nutzung von Entropie-Quellen zur Erzeugung des „seed“ ist alles andere als trivial und HOB verwendet größ-te Sorgfalt darauf. Der Prüfung der Qualität von Zufallszahlen erfolgt mithilfe eines Referenztools des BSI.

Eine weitere wichtige Hilfs-funktion ist die Zertifikats-(Ketten-) Prüfung, die zahlreiche Fälle wie Ablauf und Ungültigkeit von Zertifi-katen oder fehlerhafte Zwischenzer-tifikate abdeckt. Abbildung 2 zeigt die Beschreibung des Aufbaus.

Abbildung 2: Testaufbau Zertifikatskettenprüfung

Abbildung 3: Interoperabilitätstest

56 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Literatur [1] Lawrence Chung, Julio Cesar Sampaio do Prado Leite, „On Non-Functional Requirements in Software Engineering“, Kapitel 3 (enthält eine Darstellung zur Klassifizierung)[2] NIST Special Publication 800-90A Revision 1, „Recom-mendation for Random Number Generation Using Deterministic Random Bit Generators“ (June 2015), Kapitel 8.6.1[3] Johan Ivarsson, Andreas Nils-son, „A Review of Hardware Secu-rity Modules“ (2010), Kapitel 1.2[4] US Computer Emergency Rea-diness Team CERT, „SSL 3.0 Pro-tocol Vulnerability and POODLE Attack“ (17.10.2014)

In den zugehörigen Testab-laufspezifikationen wird gefordert, dass speziell fremdgenerierte Zerti-fikate (und Ketten) geprüft werden und welche Ergebnisse zu erwarten sind. Dieses Vorgehen wurde mit Bedacht gewählt und gehört zu den Interoperabilitätstests, die für Kommunikationssoftware typisch sind.

Prüfungen der Protokollmaschine

Die protokollkonforme Sit-zungssteuerung ist für die Sicherheit einer TLS-Kommunikation ebenso wichtig wie die Qualität der Imple-mentierung der Algorithmen. Daher wird auch hier mit großer Sorgfalt die Interoperabilität und Normtreue des Produktes geprüft.

In Abbildung 3 wird der Testaufbau mit zwei weitverbreiteten Gegenstellen aus quelloffener Soft-

ware beschrieben. Da ein kompletter Verbindungsaufbau erfolgt, prüft dieser Test „als Nebeneffekt“ die Zer-tifikatsprüfung und die in der Cipher Suite definierten Krypto-Module mit.

Schwachstellen- und Angriffstests

Zu den Routinetests bei der Erstellung von kryptografischer Qualitätssoftware gehört die Prüfung auf Resistenz gegen die gängigsten Angriffstypen. Der Aufbau in Abbil-dung 4 zeigt einen Proxy, der den Datenstrom modifiziert. Diese Soft-ware wurde speziell für Testzwecke entwickelt und kann verschiedenste Fehler- und Angriffstypen simulie-ren. Weiterhin umfassen die Test-szenarien Schwachstellentests wie den POODLE-Angriff, der sich eine ungeschickte Reaktion auf fehler-haften Verbindungsaufbau zunutze macht [4].

Fazit

Durchdachte Tests sind ein Kernelement bei der Software-Qua-litätssicherung und Voraussetzung für hochwertige Produkte. Dies gilt speziell für Connectivity-Software, wo Protokolltreue unerlässlich ist, mehr noch bei kryptografischen Produkten, die verschiedensten An-griffen ausgesetzt sind.

Deshalb ist es im Interesse jedes Herstellers solcher Produkte, auf seine Tests nicht nur angemes-sene Sorgfalt zu verwenden, sondern darüber hinaus Einblick in die damit verbundenen Prozesse und Unter-lagen zu gewähren – denn ähnlich wie bei den Verschlüsselungsmecha-nismen liegt die Sicherheit des Pro-duktes nicht in der Geheimhaltung der Testmethoden, sondern in ihrer öffentlichen Prüfung und Anerken-nung. n

HOB auf der it-sa: Halle 12, Stand 508

Abbildung 4: Angriffs- und Fehlersimulation per Proxy

57© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

58 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Fest steht, dass Firewall, Virenscanner und herkömmliche Systeme zur Intrusion-Detection und -Prevention (IDS/IPS) nicht mehr ausreichen. Heute wird zunehmend auf Schutzmaßnahmen Wert gelegt, die das Unternehmensnetz an ver-schiedenen Stellen beobachten und Eindringlinge nicht nur am Perime-ter abwehren. Basierend auf einer Risikobewertung setzen moderne Schutzmaßnahmen auf mehreren Ebenen an. Vor diesem Hintergrund stellt der Beitrag sechs ebenso rich-tige wie wichtige Sicherheits-Tools und -Prozesse vor.

Sicherheitsverletzungen schneller erkennen und effizienter beheben

Sechs Richtige im SicherheitskonzeptIn Zeiten von immer komplexeren und effektiveren Cyber-

angriffen müssen die Sicherheitswerkzeuge auch immer

raffinierter werden. Der Markt offeriert deshalb quasi täg-

lich neue Security-Produkte. Wohl dem, der sich in diesem

Dschungel noch zurechtfindet. Doch braucht es das wirklich?

Von Lydia Krowka, DATAKOM GmbH

1. Schwachstellen-Management

IT-Sicherheit fängt beim Schwachstellen-Management an. Durch Schwachstellen-Scans er-kennt man fehlerhafte Program-mierungen in Betriebssystemen und Applikationen sowie Konfigu-rationsfehler in der IT-Infrastruktur. Quasi aus der Perspektive eines Angreifers werden durch Schwach-stellentests Netzwerk-Komponenten und Arbeitsplätze, Betriebssysteme und Applikationen unter die Lupe genommen. Bei der Lösung „Green-bones Security Manager“ (GSM), werden die Ergebnisse der Schwach-stellentests ausschließlich auf der GSM-Appliance gespeichert. Denn wer will schon seine Schwachstellen in der Cloud ausbreiten? Sowohl Greenbone als auch DATAKOM tragen das von TeleTrust verliehene Qualitätszeichen „IT Security made in Germany”.

2. NIDS

Das wichtigste bei einem Network-Intrusion-Detection-Sys-tem (NIDS) ist die Leistung: Nur dann, wenn alle Datenpakete selbst

bei 10 Gigabit Ethernet in Leitungs-geschwindigkeit lückenlos erfasst und gespeichert werden, ist die Integrität der Daten als Basis für alle Analysen gegeben. Der zweite Aspekt ist die Fähigkeit, Daten in Echtzeit auszuwerten: Nur so kann nicht erlaubtes Netzwerkverhalten recht-zeitig gestoppt werden, ohne dass ein Schaden entsteht. Treffen beide Kriterien zu, ist von einem „NextGen NIDS“ die Rede. Das NextGen NIDS NetDetector stammt aus dem Haus des US-Herstellers NIKSUN. Bereits 1999 war das Unternehmen Vorreiter auf dem Gebiet, Daten vollständig und in Leitungsgeschwindigkeit zu erfassen und zu analysieren. Heute verfügt NetDetector über Schutzme-chanismen, die auf Deep Packet In-spection, Signaturen verschiedener Quellen sowie die Erkennung von Anomalien beruhen. Die gespeicher-ten Rohdaten kommen der Forensik zugute.

3. Veränderungsmanage-ment bei Firewalls

Der BSI-Leitfaden Infor-mationssicherheit führt aus, dass „die Filterregeln in Firewalls dazu neigen, im Laufe der Zeit länger und unübersichtlicher zu werden.“ Daher müsse regelmäßig geprüft werden, ob die bestehenden Filterregeln noch konsistent sind, ob sie vereinfacht werden können und ob sie noch hinreichend restriktiv sind. Das ist leichter gesagt als getan. Denn die Praxis zeigt: Um den Firewall-Betrieb Hersteller-übergreifend leistungs-technisch optimiert sowie Standard-konform umzusetzen, bedarf es intelligenter Systeme.

Die AlgoSec Security Ma-nagement Suite sorgt beispielsweise für Transparenz komplexer Netz-werk- und Sicherheitsrichtlinien. Die Suite bewertet die Konsistenz des Re-gelwerks. Doppelte und redundante Regeln werden aufgezeigt, einander aufweichende als unsicher bewertet. Das führt zu einer Verschlankung des Regelwerks, ohne Gefahr zu Prozess Schwachstellen-Management

Setzen Sie auf Unternehmens- sicherheit von VdS.

Kompetenz seit mehr als 100 Jahren.

Als führende unabhängige Institution für Unternehmenssicherheit sind wir ein starker Partner für Unternehmen und Versicherer. Wir machen Risiken in den Bereichen Brandschutz, Security, Naturgefahrenprävention sowie Cyber-Security kalkulierbar.

Wir prüfen beispielsweise jährlich mehr als 26.000 Brandschutzanlagen weltweit und haben einen neuen Cyber-Security-Standard für den Mittelstand geschaffen. Nur zwei von vielen guten Gründen, warum wir für professionelle Entschei-der des Sicherheitsmarkts die wichtigste Zertifi-zierungsmarke in Deutschland sind.*

VdS – Vertrauen durch Sicherheit

www.vds.de*Quelle: WIK-Enquête

Besuchen Sie uns auf der it-sa,

18.– 20.10.16, Halle 12.0, Stand 12.0-437

Cyber-Security:

Idealer Standard für KMU.

RZ_150831_A4_VDS_Anzeige_Stoerer.indd 1 05.09.16 12:45

60 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

laufen, damit eine Sicherheitslücke geschaffen oder eine Anwendung blockiert zu haben. Gleichzeitig führt diese Optimierung zu einer strafferen Security-Policy und einer besseren Performance der Firewalls. Beides kommt den Compliance- und Budgetansprüchen zugute.

4. APT-Abwehrsystem mit DLP

Das Besondere an Advanded Persistent Threats (APTs) ist, dass sie erst wie ein Puzzle zusammengesetzt werden müssen, um preiszugeben, dass es sich um einen Angriff han-delt. Bei APT-Vorfällen ist jedoch Sandboxing wenig zielführend. Angreifer wissen Sandboxes zu über-listen, weshalb die Schadsoftware darin entweder gar nicht startet oder erst nach Tagen aktiv wird.

Die Lösung ist eine Kombi-nation aus APT-Abwehr und Data Leakage Protection (DLP): Fidelis Network analysiert den Netzwerk-verkehr auf Protokoll-, Anwendungs- und Inhaltsebene und speichert diese als Metadaten ab. Dabei identi-fiziert Fidelis Network neben Malwa-re, Exploits und C&C-Fernsteuerung auch das Verhalten von Angreifern, wenn sie das Netzwerk ausspionieren und das Ausschleusen von Daten vorbereiten. Dieser ganzheitliche Ansatz lässt scheinbar unzusammen-hängende Aktivitäten als Bestand-teile eines einzigen Angriffs erken-nen. Jede nicht autorisierte Daten-übertragung kann automatisch auf allen Ports und für alle Protokolle blockiert werden. Zusätzlich stehen

die Daten für die Forensik zur Ver-fügung. Fidelis Network eignet sich besonders als Werkzeug für Cyber-Incident-Response-Teams. Wer vor Wirtschaftsspionage geschützt sein will, kommt ohne APT-System mit integrierter DLP nicht aus.

5. Erste-Hilfe-Set für SOC und CIRT

Wenn es zu einen Sicher-heitsvorfall gekommen ist, gilt ein-mal mehr: Zeit ist Geld. Je schneller ein Security-Event erkannt wird, desto weniger Schaden kann ein Angreifer anrichten. Je schneller ein Vorfall aus der Welt geschafft wird, desto geringer die Ausfallzeit der Endgeräte und desto höher die Pro-duktivität. Zu diesem Zweck wurde Fidelis Endpoint geschaffen.

Der Funktionsumfang von Fidelis Endpoint umfasst sowohl die Entdeckung als auch die Reaktion auf Security-Vorfälle. Es bietet zahlreiche Recovery-Funktionen an, die bisher den Einsatz vor Ort erforderten. Wo auch immer sich das kompromit-tierte Endgerät befindet, mit Fidelis Endpoint ist man quasi stets vor Ort. Die einmal definierten Abläufe für Notfallreaktionen werden automa-tisiert von zentraler Stelle gestartet und verwaltet. So können zum Beispiel Endgeräte isoliert, Events behoben und Festplatten-Images wieder aufgespielt werden. Über den Verlauf der Fallbearbeitung – von der Entdeckung über die Bestätigung eines Events bis zur Behebung in-klusive Zeiterfassung – informieren verschiedene Berichte.

6. SOC as a Service

Ein Security Operation Cen-ter (SOC) ist eine Kombination aus Experten, Werkzeugen und Prozessen mit dem Ziel, IT-Sicherheitsrisiken zu verhindern, zu entdecken, zu analy-sieren, zu bewerten, deren Behebung zu beschreiben und zu kontrollieren. Es geht um die Vorhersage und das Erkennen von Risiken. Behoben werden die Risiken in der Regel von einer anderen Instanz. Je präziser die Beschreibung und die Vorschläge des SOC sind, desto effizienter kann das Operations-Team das Problem lösen.

Damit Risiken effizient er-kannt werden, sind diverse Werk-zeuge notwendig: die Identifikation von Schwachstellen, die Logdaten-Analyse, die Netzwerk-Risikoerken-nung auf Basis von Signaturen und Verhalten. Diese Tools in Verbindung mit aktueller Security-Intelligence bilden die Basis-Werkzeugkiste für ein sinnvolles SOC.

DATAKOM betreibt mit Radar Services das SOC für Kunden als Service-Dienstleistung. Das hat den Vorteil, dass die Werkzeuge, die Technologie und das Personal mit dem notwendigen Know-how für den vollständigen SOC-Betrieb bereits vorhanden sind. Anschaf-fungskosten entfallen. Es bleiben nur noch die Servicegebühren übrig. Somit besteht kein Investitionsrisiko für Kunden.

Fazit

Wenn es um IT-Sicherheit geht, braucht man nicht alles und jedes Tool. Allerdings kann nur der-jenige mit dem Fortschritt der An-greifer mithalten, der auf innovative Sicherheitsmaßnahmen setzt. Das schützt nicht nur das Unternehmen besser, sondern auch die Investiti-on. n

DATAKOM auf der it-sa: Halle 12, Stand 324

Fidelis Endpoint. Auszug aus der

Taskliste Incident Response

itsa16_210x297_kes_KON.indd 1 16.09.16 11:38

62 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Im Zeitalter der Digitali-sierung und Industrie 4.0 wecken automatisierte Industrieanlagen und technologische Güterproduktionen das Interesse von Cyberkriminellen. Aber auch Unternehmen, die nicht aus dem Industrieumfeld kommen, verfügen über riesige Mengen di-gitaler Daten, die sich kriminelle Angreifer nur zu gerne unter den Nagel reißen würden. Erst kürzlich hat Kaspersky Lab eine neue Welle zielgerichteter Angriffe entdeckt.

Mittels Spear-Phishing-E-Mails und einer kommerziellen Spyware, die sich im Mail-Anhang versteckt, griffen die Hacker an. Hinter der sogenannten Operation „Ghoul“ steckt eine Gruppe von Cy-berkriminellen, die es auf wertvolle Unternehmensdaten abgesehen hat. Haben die Ghoul-Hacker den Com-puter eines Mitarbeiters erst einmal infiziert, sammeln sie beispielsweise FTP-Server-Anmeldeinformationen, Kontodaten aus Browsern oder De-tails über installierte Anwendungen. Neben Unternehmen aus den Bran-chen Industrie und Ingenieurswesen zählen auch Organisationen zu den Opfern, die in den Bereichen Trans-port, Pharmazie, Produktion, Handel und Bildung tätig sind.

Vorteil für kleine und mittelständische Unternehmen

IT-Schutz aus der CloudNicht nur Konzerne, sondern auch KMUs stehen ganz im Zei-

chen der Digitalisierung. Sie macht unser Arbeitsleben agiler

und effizienter. Doch es gibt auch Schattenseiten: Die Cyber-

Bedrohungslage war noch nie so brisant wie heute.

Von Holger Suhl, General Manager, Kaspersky Lab DACH

Sicherheitsniveau variiert

Unabhängig von ihrer Größe und Branche haben alle Unterneh-men ähnliche Sicherheitsanforde-rungen: Sie müssen vertrauliche Da-ten schützen, den unterbrechungs-freien Ablauf von Geschäftspro-zessen garantieren und das sichere mobile Arbeiten unterstützen. Doch die Verwaltung der IT-Sicherheit läuft bei kleinen und mittelstän-dischen Unternehmen ganz anders ab als in Konzernen. In KMUs fehlt es meist an zusätzlichem IT-Budget und den nötigen personellen Ressourcen. Selten gibt es in den IT-Abteilungen des Mittelstands Spezialisten für bestimmte Security-Themen. Viel-mehr müssen Administratoren die Installation und den Umgang mit der eingesetzten IT-Sicherheitslösung neben ihrem sonstigen Arbeitsalltag organisieren und sind deshalb oft überlastet.

Auch Cyberkriminelle wis-sen, dass multinationale Groß-unternehmen Millionen in ihre IT-Sicherheit investieren und mittel-ständische Unternehmen oft noch mit zahlreichen Schwachstellen im Schutzkonzept zu kämpfen haben.

Die Lösung liegt in der Cloud

Kleine und mittelständische Unternehmen sind aufgrund der wachsenden Cyberbedrohungen verstärkt auf der Suche nach be-währter Sicherheit, ohne dabei einen hohen Administrationsaufwand in Kauf nehmen zu müssen. Diese Nachfrage bedient Kaspersky Lab mit seinem neuen Produkt Kaspersky Endpoint Security Cloud, das im deutschsprachigen Raum erstmals auf der diesjährigen it-sa vorgestellt wird. Die Lösung lässt sich schnell implementieren und problemlos betreiben, ohne dass zusätzliche Hardware installiert werden müsste. Speziell für KMUs entwickelt, kön-nen Unternehmen die Sicherheit ihrer Endpoints, Mobilgeräte und File-Server mittels einer zentralen Cloud-basierten Konsole von überall aus verwalten. Das ermöglicht es ihnen auch, das Management ihrer IT-Sicherheit ganz oder teilweise an einen externen Dienstleister auszu-lagern.

Kaspersky Endpoint Security Cloud ist sofort einsatzbereit, denn die von Kaspersky-Experten kon-figurierten Standardrichtlinien für

63© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

den Schutz sämtlicher Geräte greifen direkt nach der Installation. Zudem ist der Verwaltungsaufwand äußerst gering: Es sind keine speziellen IT-Sicherheitskenntnisse erforderlich, um die Cloud-Konsole zu bedienen. Dennoch bietet sie einen umfas-senden Schutz.

Keine Chance für Cyberkriminelle

Für die Absicherung der End-points stehen beispielsweise Funkti-onen wie die Geräte- und Webkon-trolle bereit. Bei der Gerätekontrolle können Administratoren festlegen, welche Geräte Zugriff auf ihr Netz-werk haben. Mit der Webkontrolle lassen sich zudem Richtlinien erstel-len, die Benutzeraktivitäten auf spe-zifischen Webseiten zulassen, verbie-ten oder beschränken. Mobilgeräte sind durch die Funktion „Mobile Sicherheit“ und das Mobile-Device-Management (MDM) geschützt. Das MDM beinhaltet Remote-Funkti-onen, mit denen Smartphones und Tablets im Unternehmensnetzwerk aktiviert, die Kameraverwendung verwaltet, WLAN-Netzwerke und Bluetooth-Konfigurationen definiert sowie Passwortkomplexitäten kon-trolliert werden können.

Kaspersky Endpoint Security Cloud unterstützt Windows-basierte Endpoints und File-Server sowie Mobilgeräte mit Android- oder iOS-Betriebssystem.

2016 – Jahr der Ransomware

Neben der neuen Cloud-Lösung steht Unternehmen nach wie vor die On-Premise-Version für den Schutz von Endgeräten und Netzwerk zur Verfügung: Kaspersky Endpoint Security for Business ist mehrstufig aufgebaut und kann bei steigendem Sicherheitsbedarf einfach mitwachsen. Im Funktions-umfang der Lösung ist beispielsweise eine spezifische Anti-Cryptor-Tech-nik enthalten. Damit sind Unterneh-

men vor gefährlichen Ransomware-Attacken durch Erpressungstrojaner geschützt.

Doch auch weitere Bedro-hungen haben es in jüngster Vergan-genheit immer stärker und häufiger auf die geschäftliche IT abgesehen: DDoS-Methoden sorgen für lange Ausfallzeiten von Websites, Angriffe auf industrielle Steuerungssysteme legen Produktionsabläufe lahm und zielgerichtete APT-Attacken greifen oft über Monate oder Jahre hin-weg unbemerkt sensible Daten ab. Grundlegende Schutzmaßnahmen wie Anti-Malware-Programme oder Firewalls reichen hier nicht mehr aus. Nur spezifische Techniken ha-ben die nötige Durchschlagskraft, um dermaßen professionelle IT-Gefahren zu erkennen und abzu-wehren. Im Produktportfolio von Kaspersky Lab zählen beispielsweise folgende Lösungen dazu: Kaspersky DDoS Protection, Kaspersky Industri-al CyberSecurity oder Kaspersky Anti Targeted Attack.

Mitarbeiter einbinden

Der Einsatz von Sicherheits-software sollte jedoch nur ein Teil des Security-Konzepts sein. Schließlich gehen 80 Prozent der IT-Sicherheits-vorfälle darauf zurück, dass sich Mit-arbeiter in einer Gefahrensituation nicht richtig verhalten haben. Der Grund ist mangelndes Bewusstsein für Cyberbedrohungen. So klickt ein Mitarbeiter beispielsweise auf den Link in einer E-Mail, auch wenn die

Nachricht ihm „irgendwie seltsam“ vorkommt. Wüsste er, wie Phishing-Mails aufgebaut sind, wäre er sicher stutzig geworden.

Deshalb entscheiden sich viele Geschäftsleitungen dazu, die interne Security-Intelligence zu ver-bessern. In jedem dritten Unterneh-men (33 Prozent) gehören Optimie-rungen spezieller Sicherheitsfach-kenntnisse zu den drei wichtigsten Gründen für weitere Investitionen in die IT-Sicherheit (vgl. „IT Security Risks Special Report Series 2016“, Kaspersky Lab).

Fazit

Auf dem Markt gibt es für jedes Unternehmen ein passendes Security-Produkt, das die Sicher-heitsanforderungen exakt abdeckt. Doch erst die Kombination aus zu-verlässiger Software in Verbindung mit nachhaltigen Cybersicherheits-schulungen der Mitarbeiter ermög-licht einen umfassenden Schutz für Unternehmen. Kaspersky Lab bietet deshalb ein spezielles Schulungspro-gramm an. Auf interaktive Weise lernen Teilnehmer hier in verschie-denen Kursen mehr über potenzielle Gefahren und schärfen ihr Bewusst-sein für Cybersicherheit. n

Kaspersky Lab auf der it-sa: Halle 12, Stand 416

Kaspersky Endpoint Security for Business schützt Unternehmen mit einem mehrstufigen Konzept.

64 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

<kes> Special zur it-sa 2016

Hacker greifen Unterneh-mensnetzwerke inzwischen nicht mehr frontal an. Mithilfe von soge-nannten Exploits starten sie Reverse-Angriffe und nutzen nicht gepatchte Schwachstellen in Software und Betriebssystemen aus. In der Praxis sieht das beispielsweise so aus: Ein Mitarbeiter der Personalabteilung erhält eine Bewerbung als PDF. Die-ses wurde im Vorfeld präpariert und enthält eine Schadsoftware. Öffnet der Personaler das Dokument, kann sich die Schadsoftware eine Lücke im PDF-Reader zunutze machen und den Schadcode auf dem Rech-ner ausführen. Der Schadcode kann nun eine Verbindung vom Rechner zu einem externen Server des An-greifers aufbauen. Das Fatale daran:

Unified-Endpoint-Management-Lösungen

Endpoints im Unternehmen effizient schützen Antivirus-Lösungen und Firewalls sind inzwischen etabliert und gehören quasi zur

Standard ausstattung. Selbst Endbenutzer sind damit vertraut und wissen um deren Schutz-

funktion. Doch die Gefahren für die Unternehmens-IT sind weitaus vielfältiger und deshalb

müssen IT-Abteilungen ein umfassendes Sicherheitskonzept umsetzen, das auch Bedro-

hungen wie Exploits oder Verstöße gegen Unternehmensrichtlinien berücksichtigt.

Von Armin Leinfelder, baramundi software AG

Die Firewall greift nicht ein, da die Verbindung innerhalb des Netzwerks aufgebaut wird. Infolgedessen hat der Hacker vollen Zugriff und kann nach Belieben den Rechner für seine Zwecke missbrauchen.

Solange Schwachstellen un-bekannt und zwischen unzähligen Zeilen Programmiercode unentdeckt sind, stellen sie für die Unterneh-mens-IT kaum eine Gefahr dar. Sobald ein Hersteller den dazugehö-rigen Patch bereitstellt, sollten Admi-nistratoren jedoch handeln und die Sicherheitslücke schließen – andern-falls haben Angreifer leichtes Spiel. Da Hacker und Exploit-Entwickler sich in einschlägigen Datenbanken oder Foren informieren, können sie

anhand des Patches Rückschlüsse auf die Schwachstelle ziehen und wie diese ausgenutzt werden kann. Die Nutzung eines Exploits ist dann ein Kinderspiel.

Der Sicherheitslücke auf der Spur

IT-Administratoren müssten sich permanent in Blogs, Foren und Datenbanken informieren und nach neuen Schwachstellen suchen, diese bewerten, alle eigenen Clients prü-fen, Updates paketieren, testen, ver-teilen und erfassen, ob die Verteilung auch erfolgreich war. Angesichts der Menge vorhandener Geräte und ein-gesetzter Software in Unternehmen ist das in der Praxis nicht umsetzbar.

Um einen Überblick über alle Sicherheitslücken auf allen Clients im Unternehmen zu erhal-ten, benötigen Administratoren eine entsprechende Software. Be-währt hat sich ein Scanner, der automatisiert alle Clients auf IT-Sicherheitslücken prüft. Dies erfolgt in der Regel auf Basis von ständig aktualisierten Datenbanken, die von anerkannten Sicherheitsorganisati-onen gepflegt werden. Dort werden Schwachstellen zusätzlich bewertet und nach Gefährdungspotenzial markiert.

Überblick der gefundenen

Schwach-stellen nach

Produkten

65© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2016

Bewährt haben sich Lö-sungen zum automatisierten Patch-Management, die neben Microsoft-Patches auch Updates für häufig genutzte Anwendungen wie Adobe Reader, Java oder Firefox verteilen können. Aufgrund ihrer hohen Beliebtheit und weiten Verbreitung werden sie häufig Ziel von Angriffen. Die Lösung sollte Schwachstellen er-kennen, das automatisierte Verteilen von Patches und Updates ermögli-chen und eine Rückmeldung zum Installationsstatus sowie zu etwaigen Fehlern geben.

Manchmal kommt es vor, dass Hersteller keinen Patch bereit-stellen. Dann muss abgewogen wer-den, ob die Anwendung essenziell für den betrieblichen Ablauf ist und das Risiko in Kauf genommen wird. Andernfalls besteht die Möglich-keit, die betroffene Anwendung zu deinstallieren. Diese Entscheidung müssen Administratoren fallweise treffen, da nicht alle Geräte die gleichen Anforderungen an die Sicherheit stellen. Das ermöglicht intelligentes Risikomanagement, das den Anforderungen an die Sicherheit ebenso wie den betrieblichen Anfor-derungen gerecht wird.

Geräte jederzeit sicher konfiguriert

Passwortlänge und Ablauf-datum oder die Passwortabfrage nach dem Standby – derartige Einstel-lungen sind essenziell für das Sicher-heitsniveau eines Gerätes. Ebenso wichtig ist es, zu erfahren, ob Auto-play für alle Laufwerke deaktiviert ist, welche Arten von Remote-Zugriffen auf entfernte Rechner möglich sind oder ob eine reversible Passwort-Ver-schlüsselung zugelassen ist. Auch bei mobilen Geräten sollten Vorgaben wie das automatische Sperren beim Erlöschen des Bildschirms und eine Mindestkomplexität der Passwörter vorhanden sein.

Um ein hohes Sicherheits-niveau durchzusetzen, muss jedoch

auch geprüft werden, ob die Einstel-lungen beziehungsweise Vorgaben auf allen Clients angekommen sind. Zudem ist es denkbar, dass die Kon-figuration im Rahmen von Support-maßnahmen oder unbefugt durch den Endanwender verändert wurde.

Genauso wie bei der Suche nach Schwachstellen in Anwen-dungen und Betriebssystemen ist es für einen IT-Administrator aber in größeren Umgebungen praktisch unmöglich, ohne automatisierte Hilfsmittel die Konfiguration aller Endgeräte im Auge zu behalten. Eine Lösung für Konfigurationsmanage-ment prüft auf den Geräten einen Regelsatz, der die unternehmensin-ternen Anforderungen an die Kon-figuration widerspiegelt, und zeigt dem IT-Administrator übersichtlich auf, auf welchen Geräten welche Verstöße bestehen.

Sicherheit mit Plan

Es ist für Unternehmen unerlässlich, ein umfassendes Si-cherheitskonzept zu entwickeln, das alle wesentlichen Aspekte mit einschließt. Ein automatisiertes Schwachstellenmanagement sorgt für die nötige Transparenz und die größtmögliche Aktualität der Client-Systeme und Server im Unterneh-men. Ebenso wie eine Firewall allein kann es aber keinen umfassenden Schutz bieten, sondern ist nur ein Baustein für einen umfänglichen

Schutz der Unternehmens-IT. In einer größeren Umgebung sollten standardisierte Abläufe ebenso wie ein zentrales und automatisiertes Backup von Daten und Benutzerein-stellungen, das Verschlüsseln von Datenträgern oder der Schutz vor nicht autorisierten Anwendungen Teil der Sicherheitsstrategie sein. Unified-Endpoint-Management-Lösungen wie die baramundi Ma-nagement Suite ermöglichen es, ein-heitliche Standards auf allen Geräten im Unternehmen durchzusetzen, Daten zu schützen und IT-Sicher-heitslücken zuverlässig aufzuspüren. Schlussendlich müssen neben den technischen Voraussetzungen auch die Anwender ins Boot geholt wer-den und für Gefahren sensibilisiert und darüber informiert werden, wel-che Verhaltensweisen zum Schutz vor Angriffen beitragen. n

baramundi auf der it-sa: Halle 12, Stand 414

Überblick über die Umgebung im baramundi-Dashboard

Wir bedanken uns bei den Mitherausgebern dieser Ausgabe

Besuchen Sie uns auf der it-sa!Halle 12.0 Stand 12.0-762

Code42 bietet über die Standard Backup-Funktionalität hinaus aber auch Daten-Tools für die Windows10-Migration im Selfservice und für die zunehmend wichtigen Themen wie eDiscovery oder Legal Hold an.

GREAT SCOTT!Sie sind Ransomware zum Opfer gefallen?

Gehen Sie mit Modern Endpoint Backup in die Zeit zurück bis zu dem Moment, kurz bevor Sie von der A�acke getroffen wurden. Besuchen Sie uns auf der it-sa und steigen Sie ein in den DeLorean, der für Sie auf unserem Stand geparkt ist.

Wir zeigen Ihnen, wie Sie die Daten auf den Laptops und Desktops aller Mitarbeiter wiederherstellen können. So erholen Sie sich sofort von der

Ransomware-A�acke und können in die Zukun� starten.

code42.com

C

M

Y

CM

MY

CY

CMY

K

cd42-ITSA-A4-advert-v3.pdf 1 9/23/16 1:40 PM

CSPi (NASDAQ : CSPI) ist ein multinational agierender

IT-Dienstleister mit einer langen erfolgreichen Geschichte in

der IT als Systemintegrator. Wir unterstützen Sie bei: APT &

Malware Defense, Application Firewalling, Data Leakage Pre-

vention, Database Security, Governance & Risk Management,

Threat Services, SIEM & Security Intelligence als Managed

Service oder on-Premise.

■ SCADA /Industrial Security

■ Security Intelligence

■ Network & Endpoint Security

■ Application Security

■ Managed Security Services

■ ISMS Consulting

HALLE 12 I STAND 212

Wir sind das digitale Immunsystem für ihr Business

CSPi – Sichere IT

Wir zeigen auf der it-sa 2016 unter anderem Lösungen

für SCADA / Industrie 4.0 Sicherheit, Managed Secu-

rity Services und zusammen mit unserem Partner Cato

Networks wie Sie „Security aus der Steckdose“ erhalten.

Besuchen Sie uns am Stand 12.0-212.

www.cspi.com