IT Security Juli/August 2020
Die Industrie vernetzt sich immer intensiver und komplexer. Parallel dazu wachsen auch die Sicherheitsprobleme und -lücken. Intelligente Lösungen und schnelle Hilfe sind gefordert. Mit 26 Jahren IT-Erfahrung informiert IT Security über praktische, kostengünstige, innovative und nachhaltige Lösungen zu aktuellen Sicherheitsfragen und -problemen.
Die Industrie vernetzt sich immer intensiver und komplexer. Parallel dazu wachsen auch die Sicherheitsprobleme und -lücken. Intelligente Lösungen und schnelle Hilfe sind gefordert. Mit 26 Jahren IT-Erfahrung informiert IT Security über praktische, kostengünstige, innovative und nachhaltige Lösungen zu aktuellen Sicherheitsfragen und -problemen.
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
JULI/AUGUST <strong>2020</strong><br />
DAS<br />
SPEZIAL<br />
CYBERSICHERHE<strong>IT</strong>SINVEST<strong>IT</strong>IONEN<br />
ROI IN DER<br />
<strong>IT</strong> SECUR<strong>IT</strong>Y<br />
Uwe Gries, Stormshield<br />
INTELLIGENTES<br />
IAM-SYSTEM<br />
ENDPOINT<br />
DETECTION<br />
VPN-<br />
KONZENTRATOREN<br />
Das richtige Werkzeug<br />
Neue Bedrohungen<br />
Absicherung durch Deception<br />
www.it-daily.net
IAM CONNECT <strong>2020</strong><br />
Die Brücke zu neuen Geschäftsmodellen<br />
30.11. bis 02.12.<strong>2020</strong> <strong>2020</strong><br />
Berlin Marriott Hotel – Inge-Beisheim-Platz<br />
www.iamconnect.de<br />
Save<br />
the<br />
Date!<br />
Eine Veranstaltung von<br />
&
7<br />
20<br />
INHALT<br />
COVERSTORY<br />
11<br />
4 Cybersicherheitsinvestitionen<br />
Wie misst man den ROI in der <strong>IT</strong> <strong>Security</strong>?<br />
7 Tetra/PMR<br />
Funknetze in Zeiten von Cyberbedrohungen<br />
4COVERSTORY<br />
<strong>IT</strong> SECUR<strong>IT</strong>Y<br />
8 Endpoint Detection & Respond<br />
Neue Bedrohungen erfordern neue<br />
<strong>Security</strong>-Ansätze<br />
12 Emotet-Malware<br />
Cyberkriminelle nutzen Covid-19 Spam<br />
zur Verbreitung<br />
14 VPN-Konzentratoren<br />
Absicherung durch Deception<br />
18 Neues Arbeiten, neue Sicherheit<br />
Remote-Arbeit wird bleiben<br />
20 Integrierter Sicherheitsansatz<br />
Die Dynamik der Cloud<br />
zwingt Unternehmen dazu<br />
22 Der IoT-Inspektor sorgt für Ordnung<br />
Die Alternative zum klassischen<br />
Penetration Testing<br />
24 Microsoft-Best-Practice-Richtlinien<br />
Überwachung der Berechtigungsvergaben im<br />
Active Directory (AD) und im NTFS-Filesystem<br />
26 Intelligente Access Governance &<br />
Benutzerverwaltung<br />
Den richtigen Werkzeugkasten finden<br />
30 Einfach & Sicher<br />
Fernabsicherung mit Zwei-Faktor<br />
Authentifizierung
4 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
CYBERSICHERHE<strong>IT</strong>S-<br />
INVEST<strong>IT</strong>IONEN<br />
WIE MISST MAN DEN ROI IN DER <strong>IT</strong> SECUR<strong>IT</strong>Y?<br />
Während in der Betriebswirtschaft der<br />
ROI als Rentabilitätskennzahl wichtig ist,<br />
sieht es bei Investitionen in die <strong>IT</strong>-Sicherheit<br />
anders aus. Dort gibt es den ROSI.<br />
Er berechnet, wie hoch der Schaden für<br />
das Unternehmen sein könnte, wenn <strong>IT</strong>-Sicherheits-Investitionen<br />
unterbleiben. Uwe<br />
Gries, Country-Manager DACH bei<br />
Stormshield, spricht darüber mit Ulrich<br />
Parthier, Herausgeber it security.<br />
Ulrich Parthier: ROI („Return on Investment“)<br />
von Cybersecurity-Investitionen<br />
oder ROSI („Return on <strong>Security</strong><br />
Investment“): Welcher Begriff ist zutreffender?<br />
Uwe Gries: Der ROI ist eine Rentabilitätskennzahl<br />
für eine bestimmte Investition.<br />
Er hilft normalerweise dabei zu entscheiden,<br />
ob ein Kauf getätigt oder ausgelassen<br />
werden sollte oder wie sich eine bestimmte<br />
Investition bisher (positiv oder<br />
negativ) entwickelt hat.<br />
Die ROI-Gleichung funktioniert nur bei Investitionen,<br />
die positive Ergebnisse erzielen,<br />
also etwa Kosteneinsparungen oder<br />
Ertragssteigerungen. Ausgaben für die<br />
Cybersicherheit erhöhen weder die Erträge<br />
direkt, noch sorgen sie für eine sofortige<br />
Amortisation. Es geht hingegen<br />
grundsätzlich um Schadensverhütung<br />
und -begrenzung, also um Risikomanagement-Maßnahmen.<br />
Der ROSI zielt<br />
daher darauf ab, perspektivisch zu berechnen,<br />
wie hoch die Verluste wären,<br />
die eine Organisation durch ihre Investitionen<br />
zur Absicherung ihrer Infrastruktur<br />
und Daten vermeiden kann. Die Berechnungsformel<br />
des ROSI unterscheidet sich<br />
zudem deutlich von der für den ROI aufgrund<br />
der Unmenge an zu berücksichtigenden<br />
Variablen.<br />
Ulrich Parthier: Warum ist die<br />
ROI-Berechnung in Bezug auf <strong>IT</strong>-Sicherheit<br />
so komplex?<br />
Uwe Gries: Der Kern der Aufgabe ist es,<br />
den finanziellen Nutzen der Sicherheitsausgaben<br />
zu beziffern. Allerdings fallen<br />
unter die Kalkulationsvariablen sowohl<br />
mögliche Lösegeldforderungen (Ransomware)<br />
als auch direkte oder indirekte<br />
Kosten für die Wiederinstandsetzung der<br />
Systeme nach einem Cyberangriff, dessen<br />
Schweregrad zu dem Auswertungszeitpunkt<br />
nicht definierbar ist. Potenzielle<br />
Geldstrafen aufgrund aktueller Gesetzeslagen,<br />
deren Höhe nur gemutmaßt werden<br />
kann, und/oder die Verluste durch<br />
die rufschädigenden Auswirkungen eines<br />
Sicherheitsvorfalls müssen ebenfalls<br />
mit einkalkuliert werden.<br />
Hinzu kommt die Tatsache, dass ein bestimmtes<br />
Risiko für eine Organisation viel<br />
relevanter sein kann als für andere Unternehmen,<br />
was natürlich die Gewichtung<br />
aller Faktoren maßgeblich beeinflusst.<br />
Wie viel kostet zum Beispiel eine Stunde<br />
Nichtverfügbarkeit einer beliebten<br />
E-Commerce-Website während des<br />
Schlussverkaufs aufgrund eines DDoS-Angriffs?<br />
Wie hoch sind die Schäden für<br />
eine ausgespähte Erfindung, die noch<br />
nicht patentiert wurde, oder für den Verlust<br />
von Patientenakten?<br />
Ulrich Parthier: Ergibt es überhaupt<br />
Sinn, eine Kalkulation basierend auf<br />
Prognosen anzustellen? Gibt es keine<br />
felderprobten Modelle, worauf <strong>IT</strong>-Manager<br />
zurückgreifen können?<br />
Uwe Gries: Wir sind der Meinung, die<br />
Vorteile geeigneter <strong>IT</strong>-Sicherheitsmaßnahmen<br />
sollten mittlerweile so klar auf<br />
der Hand liegen, dass sich die ROSI-Berechnung<br />
von vornherein erübrigt. Doch<br />
bedauerlicherweise ist das heute nicht<br />
der Fall. Die Kalkulation wird unerlässlich,<br />
wenn man, dem allgemein verbreiteten<br />
Kostenvermeidungsprinzip zum<br />
Trotz, das Budget verhandelt. Ohne eine<br />
klare Kehrtwende der aktuellen Wahrnehmung<br />
der Cybersicherheit als Kostenfaktor<br />
wird uns diese Haltung noch lange<br />
begleiten.<br />
Bei der ROI-Messung wäre es nur wünschenswert,<br />
sich auf Modelle stützen zu<br />
können, doch erschwert es die Vielfalt<br />
der zu bewertenden Risiken, allgemein<br />
gültige Bezugswerte für diese Bewertung<br />
zu erschaffen. Statistiken oder Daten<br />
über bekannte Sicherheitsvorfälle bei<br />
ähnlichen Unternehmen können zur Orientierung<br />
beitragen, doch im Endeffekt<br />
muss diese Kalkulation ad hoc durchgeführt<br />
werden, auch unter Berücksichtigung<br />
der Tatsache, dass sich die zu evaluierenden<br />
Cybersicherheitslösungen<br />
parallel zum jeweils auszumerzenden<br />
Cyberrisiko differenzieren.<br />
Dabei bleibt den CISOs („Chief Information<br />
<strong>Security</strong> Officer“) oder Sicherheitsbeauftragten<br />
nicht viel mehr übrig, als<br />
auf die x Mio. Euro an Verlusten hinzuweisen,<br />
die vermieden werden könnten,<br />
wenn man einen Bruchteil davon in die<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 5<br />
Absicherung der eigenen Infrastruktur investiert,<br />
anstatt deren Vorzüge zu benennen.<br />
Im Grunde zwingt man dadurch<br />
den <strong>IT</strong>-Manager in die Rolle des Versicherungsmaklers,<br />
der auf Gefahren hinweist,<br />
um Policen zu verkaufen. Doch die<br />
Cybersicherheit ist viel mehr als das.<br />
Zusätzlich zu diesen bereits komplexen<br />
Berechnungen müssten zwei weitere Aspekte<br />
berücksichtigt werden. Der erste<br />
geht auf die Tatsache zurück, dass Lösungen<br />
für Cybersicherheit häufig mit Funktionen<br />
verbunden sind, die sich nicht unbedingt<br />
auf das digitale Cybernetz beziehen.<br />
Es geht also um Komplexitätsfragen.<br />
Eine Firewall beispielsweise geht mit<br />
einer QoS-Verwaltung, einer URL-Filterung<br />
oder der Verwaltung von Mehrfachverknüpfungen<br />
einher und gewährt damit<br />
eine bessere Konnektivität für die wichtigsten<br />
Nutzungsbereiche. Auf dieselbe<br />
Weise bieten die Funktionen SSL-VPN<br />
und IPSec-VPN die Gelegenheit, Telearbeit<br />
oder Fernwartung einzurichten, was<br />
wiederum die Produktivität erhöhen kann.<br />
Durch das Hinzufügen einer Cybersicherheitsschicht<br />
kann man im Allgemeinen<br />
bestimmte Nutzungsbereiche, für die zuvor<br />
die Anwesenheit des Mitarbeiters erforderlich<br />
war, modernisieren.<br />
Wie gewinnbringend die Investition in <strong>Security</strong><br />
für das Unternehmen ist, wird leider<br />
viel zu oft unter den Teppich gekehrt.<br />
Ulrich Parthier: Trotz der oben genannten<br />
Hindernisse gibt es ja erste<br />
Lösungen. Ist beispielsweise das<br />
EBIOS-Riskmanager-Verfahren dafür geeignet,<br />
dass Unternehmen ihre eigenen<br />
Risiken identifizieren und verstehen?<br />
Uwe Gries: Ja, das wäre ein pragmatischer<br />
Ansatz. Mit dieser Methode wird<br />
jeder Cyberangriffstyp aufgelistet, anhand<br />
seiner Auswirkung für das Unternehmen<br />
eingestuft und mit einem Kostenaufwand<br />
versehen. Dadurch wird es<br />
möglich, anschließend einen Plan zur Risikobehandlung<br />
(Antivirensoftware, Firewalls,<br />
Unternehmenssensibilisierung<br />
www.it-daily.net
6 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
Ulrich Parthier: Gibt es Beispiele von<br />
Unternehmen, die diesen Sprung geschafft<br />
haben?<br />
usw.) einzuführen, der wiederum klar bezifferbar<br />
ist. Somit kann also eine<br />
ROI-Analyse durchgeführt werden, indem<br />
die zu investierende Summe von den zu<br />
erwartenden Verlusten abgezogen wird.<br />
Sobald die Berechnung abgeschlossen<br />
wird, ist es wichtig, im Rahmen der Logik<br />
der Kostenkontrolle auch die Effektivität<br />
des Risikomanagementplans zu<br />
evaluieren. Und darin liegt eine weitere<br />
Hürde: Wenn es eine Lösung für Zwischenfälle<br />
gibt, aber kein solcher vorkommt,<br />
liegt das daran, dass es keinen<br />
Zwischenfall gegeben hat oder dass die<br />
eingesetzte Lösung effizient ist? Selbst<br />
wenn die regelmäßige Kontrolle der<br />
Logs über versuchte Cyberangriffe eine<br />
Antwort darauf geben können, ist es sogar<br />
empfehlenswert, stets Zweifel an der<br />
Effizienz der Lösung zu haben. Penetrationstests<br />
schaffen hier oft Abhilfe, doch<br />
die Rentabilität von dieser Art von Cybersicherheits-Investitionen<br />
zu begründen,<br />
ist keine<br />
leichte e Aufgabe, denn<br />
genau genommen m<br />
verdient en<br />
das Unternehmen<br />
en<br />
durch diese e<br />
Penetrationstests<br />
etr<br />
nst<br />
es<br />
ts<br />
ebenfalls kein Geld.<br />
Ulrich Parthier: r: Aber müssen beim<br />
kostenorientierten ori<br />
nti<br />
er<br />
t n<br />
Ansatz nicht ebenfalls<br />
die Schutzmaßnahmen m n effizient ent<br />
gestaltet<br />
werden?<br />
Uwe Gries: Darin liegt eben die aktuell<br />
größte Herausforderung hinsichtlich h<br />
h der<br />
Cybersicherheit. Man versucht,<br />
den Mix<br />
an Lösungen möglichst zu optimieren,<br />
e<br />
ohne dabei auf Pluralität lit<br />
oder eine ez<br />
zweite<br />
Verteidigungslinie zu verzichten. Das<br />
ist bei diesem Ansatz alles andere e als<br />
einfach.<br />
DER ROSI ZIELT DAHER DAR-<br />
AUF AB, PERSPEKTIVISCH ZU<br />
BERECHNEN, WIE HOCH DIE<br />
VERLUSTE WÄREN, DIE EINE<br />
ORGANISATION DURCH IHRE<br />
INVEST<strong>IT</strong>IONEN ZUR ABSICHE-<br />
RUNG IHRER INFRASTRUKTUR<br />
UND DATEN VERMEIDEN<br />
KANN.<br />
Uwe Gries,<br />
Country-Manager DACH, Stormshield,<br />
www.stormshield.com<br />
Ulrich Parthier: Wie kann man einen<br />
qualitativen Sprung in Bezug auf die<br />
Cybersicherheit praxisnah erreichen?<br />
Uwe Gries: Die Messung des ROI bei<br />
Cybersicherheit liegt genau zwischen<br />
der Risikoanalyse und der Rationalisierung<br />
der Schutzmaßnahmen und ist damit<br />
eine e<br />
komplexe e Aufgabe. Was<br />
sich<br />
langsam a<br />
abzuzeichnen enbeginnt, n ist die<br />
Notwendigkeit, t, das Paradigma zu ändern<br />
und von einer absolut quantitativen<br />
Analyse zu einer, er,<br />
die auch den qualitati-<br />
ati<br />
ven Faktor berücksichtigt, umzuschwen-<br />
u<br />
ken. Beim Wechsel el<br />
von einem em<br />
ausschließlich<br />
monetär orientierten ROI, der auf<br />
dem Kostenansatz basiert, hin zu einer<br />
Rentabilität, i<br />
die sich schwerpunktmäßig<br />
auf den Wert der Investitionen in Sicherheit<br />
konzentriert, ntri rt, wird vollständig die<br />
Perspektive e<br />
geändert. er<br />
Es ist höchste Zeit,<br />
dass s die Führungsebenen nen<br />
Cybersicherheit<br />
auch als eine Gelegenheit und nicht<br />
mehr als eine Bedrohung oder als Kostenfaktor<br />
wahrnehmen!<br />
e d nn rung der Sc<br />
Uwe Gries: Die gibt es tatsächlich. Zum<br />
Beispiel ein Modell, bei dem die Monetarisierung<br />
von Investitionen in Cybersicherheit<br />
Geld einbringen kann. Vor kurzem<br />
hat beispielsweise die französische<br />
Geschäftsbank Société Générale „OP-<br />
PENS“ eingeführt, einen auf Kleinst- bzw.<br />
kleine und mittlere Unternehmen ausgerichteten<br />
sicheren Coaching-Service. Das<br />
Ziel: Intern entwickeltes Know-how an<br />
andere Firmen zu verkaufen und damit<br />
diese Investitionen zu monetarisieren.<br />
Ein weiteres Paradebeispiel aus Frankreich:<br />
Imprimerie nationale, die öffentliche<br />
Einrichtung, die französische Reisepässe<br />
und Personalausweise druckt.<br />
2018 führte die Staatsdruckerei die Anwendung<br />
INWallet ein, eine Lösung zur<br />
Sicherung der digitalen Identität. Bei diesen<br />
beiden Beispielen ermöglicht der Verkauf<br />
von Cyberdiensten eine Erweiterung<br />
des Service-Angebots und stellt somit die<br />
Möglichkeit dar, Geld zu verdienen.<br />
Darüber hinaus ist noch ein weiterer Aspekt<br />
es wert, angesprochen zu werden:<br />
Immer öfter kommen Ausschreibungen<br />
vor – insbesondere die von großen Auftraggebern<br />
–, bei denen die von den<br />
Kandidaten getroffenen Maßnahmen für<br />
<strong>IT</strong>-Sicherheit in zunehmendem Maße bewertet<br />
werden, sprich ein Auswahlkriterium<br />
darstellen. Cybersicherheit kann also<br />
ein Unterscheidungsmerkmal gegenüber<br />
dem Wettbewerb werden.<br />
Ulrich Parthier: Herr Gries, wir dan-<br />
ken<br />
für<br />
das Gespräch!<br />
THANK<br />
YOU<br />
www.it-daily.net tda
<strong>IT</strong> SECUR<strong>IT</strong>Y | 7<br />
TETRA/PMR<br />
FUNKNETZE IN ZE<strong>IT</strong>EN<br />
VON CYBERBEDROHUNGEN<br />
Die in den 1990er-Jahren entwickelten<br />
TETRA-Netze („Terrestrial Trunked Radio“)<br />
sind für Notfalldienste bestimmt.<br />
Dieser Standard dient als Grundlage für<br />
den Aufbau von professionellen mobilen<br />
Funknetzen, auch PMR-Netze („Professional<br />
Mobile Radio“) genannt, kritischer<br />
Art. Doch mit der Weiterentwicklung der<br />
Technologien und dem Aufschwung neuer<br />
Einsatzpraktiken – wie der massiven<br />
Migration zu IP-Protokollen – müssen diese<br />
Netze zunehmenden Cyberbedrohungen<br />
standhalten.<br />
Die PMR-Netze, von denen wir hier sprechen,<br />
sind einfach zu definieren: Netzwerke,<br />
die weiter funktionieren müssen, wenn<br />
alles andere fehlschlägt. Ihre wichtigsten<br />
Nutzer sind Dienste wie Feuerwehr, Rettungswagen,<br />
Krankenhäuser, Arztpraxen,<br />
Polizei oder auch Flughäfen, alles Dienste,<br />
die auch in Notfällen kommunizieren müssen,<br />
und zwar intern wie auch miteinander<br />
im Rahmen einer Koordination durch<br />
eine Behörde oder ein Regierungsorgan.<br />
Solche Netzwerke können auch in sensiblen<br />
industriellen Infrastrukturen wie Raffinerien<br />
vorkommen, damit man auch dort<br />
kommunizieren kann, wo es keine öffentlichen<br />
Infrastrukturen gibt, etwa auf einer<br />
Offshore-Plattform.<br />
Zuverlässiger Betrieb<br />
Grundsätzlich werden PMR-Netze in allen<br />
Situationen eingesetzt, die mit einer<br />
Gefährdung des Einzelnen verbunden<br />
sind – von den Verkehrsmitteln (U-Bahn,<br />
Züge) bis zu Freizeitveranstaltungen<br />
(Vergnügungsparks, Stadien), wo es<br />
nachteilig wäre, auf Telefonantennen<br />
angewiesen zu sein, die bei einer Störung<br />
den gesamten Betrieb lahmlegen<br />
könnten. Ein verlässlicher Betrieb muss<br />
deshalb für diese PMR-Netze zwingend<br />
sichergestellt sein, was aber keine<br />
Selbstverständlichkeit ist: Das PMR-System<br />
der belgischen Polizei war zum Beispiel<br />
im März 2016 während der Attentate<br />
in Brüssel vollkommen überlastet.<br />
Die Infrastruktur war nicht darauf ausgelegt,<br />
derartige Aktivitätsspitzen bewältigen<br />
zu können. Um die Rettungsmaßnahmen<br />
durchführen zu können,<br />
mussten die Dienste zu der Zeit über<br />
WhatsApp (!) kommunizieren.<br />
Eine andere Besonderheit: Die Vertraulichkeit<br />
der Kommunikationen ist hier kritischer<br />
als sonst. Die ausgetauschten Informationen,<br />
die manchmal gemäß den für den<br />
Verteidigungssektor spezifischen Berechtigungsebenen<br />
eingestuft sind, unterliegen<br />
größeren operativen Anforderungen.<br />
Die nächste Generation<br />
Mit der Migration der PMR-Netze zu moderneren<br />
und leistungsfähigeren Architekturen,<br />
die auf dem IP-Protokoll basieren,<br />
sind PMR-Netze der neuen Generation<br />
den „klassischen“ Cyberrisiken ausgesetzt<br />
(Manipulation, Missbrauch,<br />
Weitergabe von Daten).<br />
Der Schutz der PMR-Netze erweist sich<br />
somit als wesentlich. Um von einem einfachen<br />
Computernetzwerk in ein PMR-<br />
Netz zu gelangen, benötigt man umfangreichere<br />
Mittel, als gewöhnliche<br />
Hacker sie benutzen. Das Risiko eines<br />
komplexen Angriffs ist daher hoch. Es ist<br />
in der Tat möglich, Daten, die über ein<br />
PMR-Netz laufen, abzufangen und zu<br />
verändern und zum Beispiel irreführende<br />
Anweisungen zu erteilen.<br />
Daher können die Organisationen oder<br />
Unternehmen, die PMR-Netze nutzen,<br />
als Betreiber essenzieller Dienste eingestuft<br />
werden, für die die Verwendung<br />
von zertifizierten oder auch qualifizierten<br />
Sicherheitsprodukten Pflicht ist. Obschon<br />
die Standardisierung der<br />
PMR-Dienste in den 4G-Netzen noch<br />
läuft, steht bereits das 5G vor der Tür.<br />
Um im Rennen zu bleiben, müssen sich<br />
daher alle Akteure (Betreiber wie Kunden)<br />
über die Zukunft dieser Infrastrukturen<br />
verständigen. Und über die technologischen<br />
Entwicklungen, die die Kapazitäten<br />
dieser Netze erhöhen. Zum Beispiel<br />
könnten mit höheren Durchsatzraten<br />
mehr kritische Daten übertragen werden.<br />
Dadurch werden sie noch kritischer,<br />
als sie es heute schon sind. Prävention<br />
und mehr Sicherheit sind deshalb<br />
die Schlüsselwörter, damit diese<br />
neuen Technologien nicht mit neuen<br />
Schwachstellen behaftet sind.<br />
www.stormshield.com<br />
www.it-daily.net
8 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
ENDPOINT DETECTION &<br />
NEUE BEDROHUNGEN ERFORDERN NEUE SECUR<strong>IT</strong>Y-ANSÄTZE<br />
Die Digitalisierung lässt Unternehmensgrenzen<br />
schmelzen. In der Vergangenheit<br />
war es ausreichend, den Schutz gegen<br />
Angriffe von außen zu maximieren.<br />
Heute aber müssen Unternehmen davon<br />
ausgehen, dass sie jederzeit und überall<br />
kompromittiert werden können.<br />
Die <strong>IT</strong>-Landschaft wird komplexer und traditionelle<br />
Sicherheitsmaßnahmen wie<br />
Antivirus und Firewall reichen mittlerweile<br />
nicht mehr aus. Cyberkriminelle entwickeln<br />
ihre Methoden und Werkzeuge<br />
kontinuierlich weiter. Darüber hinaus<br />
gibt es inzwischen einen richtigen Cybercrime-Handel:<br />
Kriminelle bieten ihre<br />
Dienstleistungen oder Produkte im Darkweb<br />
an. Nicht jeder Cyberkriminelle<br />
muss also noch ein Experte oder Hacker<br />
sein und so steigt die Zahl der Cyberangriffe<br />
seit Jahren stetig.<br />
Mittelständische Unternehmen, der Industriesektor<br />
und Organisationen mit kritischer<br />
Infrastruktur (KR<strong>IT</strong>IS) sind in dieser<br />
Situation besonders bedroht. Der Mittelstand<br />
verfügt selten über das Know-how<br />
und die Ressourcen, Cybersecurity erfolgreich<br />
selbst umzusetzen. Industrie<br />
und KR<strong>IT</strong>IS hingegen besitzen besonders<br />
wertvolle Daten, etwa im Hinblick auf<br />
Industriespionage als auch persönliche<br />
Daten, und zeigen zudem eine hohe<br />
Zahlungsbereitschaft im Falle von Systemeinschränkungen<br />
oder Produktionsstillstand.<br />
Hacker beobachten sie genau,<br />
um sie anschließend mit maßgeschneiderten<br />
Attacken wie Advanced Persistant<br />
Threats und dateilosen Angriffen (Livingoff-the-Land)<br />
zu attackieren. Bei beiden<br />
Taktiken wollen Angreifer zunächst unentdeckt<br />
und so lange wie möglich handlungsfähig<br />
bleiben, um mehr sensible<br />
Daten abzugreifen und/oder größeren<br />
Schaden anzurichten. Dabei bleiben sie<br />
laut einer Studie durchschnittlich über<br />
200 Tage unentdeckt.<br />
Ein ganzheitlicher<br />
Sicherheitsansatz<br />
In digitalen Unternehmen tauschen sich<br />
Systeme untereinander aus und bilden<br />
sogenannte Touch Points. In der Wertschöpfungskette<br />
sind dadurch viele Akteure<br />
innerhalb eines Unternehmens,<br />
aber auch außerhalb eines Unternehmens<br />
digital verbunden – überall dort,<br />
wo Mitarbeiter, Partner und Kunden miteinander<br />
interagieren. Zum einen nehmen<br />
damit Datenmengen zu und müssen<br />
geschützt werden. Zum anderen hat ein<br />
digitales Unternehmen keine physischen<br />
„Grenzen“ (Perimeter) mehr.<br />
Der Schutz vor Bedrohungen muss daher<br />
weg von den klassischen Perimetern hin<br />
zu den Endpunkten: Es kann nicht mehr<br />
von vertrauenswürdigen Anwendern innerhalb<br />
oder außerhalb des Netzwerks<br />
ausgegangen werden, deshalb müssen<br />
Daten dort geschützt werden, wo sie sind<br />
und von wo aus der Zugriff auf sie erfolgt.<br />
Zudem müssen Mitarbeiter in Sachen<br />
<strong>IT</strong>-Sicherheit fortwährend trainiert und<br />
sensibilisiert werden. Sei es durch Social<br />
Engineering oder Unwissenheit, beabsichtigt<br />
oder unbeabsichtigt – menschliches<br />
Fehlverhalten ist eines der größten<br />
Sicherheitsrisiken und eine unternehmensinterne<br />
Bedrohung für Systeme. Das<br />
Konzept „Zero Trust <strong>Security</strong>“ beschreibt<br />
einen ganzheitlichen Sicherheitsansatz.<br />
Um die Gefahr von externen und internen<br />
Bedrohungen zu eliminieren, gilt das<br />
Motto „Never trust, always verify“. Nut-<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 9<br />
RESPONSE<br />
EINE INTELLIGENTE ZERO<br />
TRUST-LÖSUNG BIETET DABEI MAXIMALE<br />
SICHERHE<strong>IT</strong>, OHNE DIE PRODUKTIV<strong>IT</strong>ÄT<br />
ZU BEEINTRÄCHTIGEN.<br />
Andreas Fuchs, Vice President Product Management, DriveLock,<br />
www.drivelock.de<br />
zer müssen sich deshalb immer authentifizieren<br />
und erhalten so wenig Rechte<br />
wie nötig.<br />
Dieser datenzentrierte, umfassende Sicherheitsansatz<br />
schützt Systeme und Daten<br />
so vor unberechtigten Zugriffen, Missbrauch<br />
und Verlust.<br />
Das Sicherheitskonzept nach<br />
Zero Trust<br />
Zero Trust verbindet mehrere Schutzmechanismen<br />
und ist mehr als eine Kombination<br />
verschiedener <strong>Security</strong> Tools. Ein<br />
umfassendes Zero Trust-Konzept berücksichtigt<br />
den Schutz des Netzwerks, von<br />
Workloads (Arbeitslasten), Geräten und<br />
Daten. Das umfasst die Zugriffskontrolle<br />
auf diese Komponenten und damit verbunden<br />
die Unterteilung in Segmente,<br />
Verschlüsselung, wie auch die Be- und<br />
Einschränkung von bestimmten Anwendungen,<br />
Geräten und Aktivitäten. Beispielsweise<br />
müssen sich Anwender für<br />
jeden Zugriff authentifizieren, Neuinstallationen<br />
werden gesperrt oder es dürfen<br />
nur ausgewählte USB-Sticks angeschlossen<br />
und sensible Daten nicht kopiert oder<br />
verändert werden. Besonders hohe Sicherheit<br />
gewährleistet das Zero Trust-Modell,<br />
weil es nicht zwischen internen und<br />
externen Nutzern unterscheidet. Jeder<br />
muss sich verifizieren und nur bestimmte<br />
Aktivitäten sind erlaubt. Im Kern orientiert<br />
sich ein Zero Trust-Konzept an den<br />
folgenden vier Schritten: Discover, Prevent,<br />
Detect & Respond.<br />
Im Schritt „Discover“ ist<br />
das sogenannte Inventory die<br />
Basis von Zero Trust: Unternehmen benötigen<br />
einen vollständigen Überblick über<br />
Systeme, Infrastruktur, Daten, Workloads,<br />
Anwendungen und Hardware. Denn wie<br />
sollen sie etwas schützen, das sie nicht<br />
kennen? Das Zero Trust-Konzept startet<br />
deshalb mit einer Übersicht über alle Endpunkte<br />
im Unternehmensnetzwerk. Anschließend<br />
wird deren Sicherheitszustand<br />
ermittelt. Welche Applikationen und Endgeräte<br />
werden verwendet? Welcher Nutzer<br />
hat worauf Zugriff? Wo befinden sich<br />
Daten und wie sind sie geschützt? Werden<br />
nur Daten auf Festplatten verschlüsselt<br />
oder auch auf Wechseldatenträgern? Ist<br />
der Zugriff mit Identity und Access Management<br />
(IAM) abgesichert, zum Beispiel<br />
mit Virtual Smart Cards? Welche internen<br />
Maßnahmen erhöhen das Sicherheitsbewusstsein<br />
der Belegschaft? So<br />
können <strong>Security</strong>-Teams Schwachstellen<br />
schnell erkennen und beheben.<br />
Im Schritt „Prevent“ werden<br />
anschließend umfangreiche<br />
Präventionsmaßnahmen eingeführt,<br />
um Risiken zu reduzieren. Dazu gehören<br />
auch Trainings, um die <strong>Security</strong> Awareness<br />
der Belegschaft zu erhöhen und Schäden<br />
durch menschliches Fehlverhalten zu<br />
eliminieren. Zudem empfiehlt Zero Trust<br />
als datenzentrierter <strong>Security</strong>-Ansatz konsequent<br />
die Verschlüsselung von Unterwww.it-daily.net
10 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
nehmensdaten – egal ob auf lokalen Servern,<br />
in der Cloud, während der Übertragung,<br />
im Einsatz oder auf Wechseldatenträgern.<br />
Dabei erhalten Nutzer<br />
grundsätzlich nur so viel Zugriff wie notwendig.<br />
Die Kontrolle über den Datenzugriff<br />
und die Möglichkeit der Analyse des<br />
Zugriffsverhaltens bieten IAM-Lösungen.<br />
Application Control (AC) und Device Con-<br />
trol (DC) lassen nur ausgewählte Anwendungen<br />
und Geräte zu. Predictive Whitelisting<br />
schützt im Gegensatz zum Blacklisting<br />
auch vor unbekannter Malware<br />
sowie Zero-Day-Exploits. Intelligente Algorithmen<br />
reduzieren den administrativen<br />
Aufwand, die Whitelist zu pflegen, da sie<br />
zum Beispiel verifizierte sichere Updates<br />
erkennen. Je granularer die Konfigurationsmöglichkeit<br />
bei AC ist, umso besser<br />
sind Systeme geschützt, ohne die Produktivität<br />
einzuschränken. Diese Tools fallen<br />
größtenteils unter Endpoint Protection.<br />
Das Zero Trust-Konzept<br />
geht weiter<br />
Präventionsmaßnahmen alleine genügen<br />
dem hohen Sicherheitsanspruch im Zero<br />
Trust-Modell nicht, denn selbst das geringste<br />
Restrisiko ist eine Chance für Hacker.<br />
Daher spielen in einer Zero<br />
Trust-Umgebung Detection und Response,<br />
auch „Threat Hunting“ genannt, eine<br />
große Rolle. Diese Bereiche befassen<br />
sich damit, Bedrohungen proaktiv zu<br />
identifizieren und zu eliminieren, wo Prevention<br />
nicht (mehr) greift.<br />
Mit Behavioral Analysis sind Angreifer<br />
im Netzwerk schnell zu erkennen, vor<br />
allem neue Angriffsmethoden wie Livingoff-the-Lands.<br />
Als Voraussetzung für erfolgreiches<br />
Analysis & Forensics korreliert<br />
Detection das Verhalten mit Aktivitäten<br />
und zeigt, welche Aktion welchen<br />
Prozess aufgerufen hat. Ist im Netzwerk<br />
zum Beispiel zwischen 10:00-12:00 Uhr<br />
regelmäßig ein bestimmtes Datenvolumen<br />
in Bewegung, stuft das Modell dies<br />
als normales Nutzerverhalten ein. Werden<br />
dagegen zu anderen Zeiten besonders<br />
viele Daten kopiert, wird das als<br />
Anomalie erkannt und Gegenmaßnahmen<br />
werden automatisch initiiert. Diese<br />
fallen unter den Schritt „Response“ und<br />
umfassen Warnmeldungen für <strong>Security</strong>-Teams,<br />
die Anpassung von Konfigurationen<br />
und Einführung zusätzlicher Sicherheitsmaßnahmen<br />
oder direkte Eingriffe<br />
wie Zugriffsverweigerung, Abbruch<br />
oder Lockdown von Endgeräten.<br />
Gängige Antivirenprogramme wie Windows<br />
Defender fallen unter beide Punkte,<br />
weil sie Schadprogramme identifizieren,<br />
blockieren und entfernen.<br />
Während klassische Sicherheitsansätze<br />
sich auf einzelne Schritte konzentrieren<br />
– beispielsweise Präventionsmaßnahmen<br />
– werden Sicherheitsmaßnahmen<br />
von „Discover“ bis „Response“ im<br />
Zero Trust-Ansatz gleichermaßen berücksichtigt<br />
und kontinuierlich optimiert,<br />
um jederzeit höchste <strong>Security</strong> zu gewährleisten.<br />
Eine intelligente Zero Trust-Lösung bietet<br />
dabei maximale Sicherheit, ohne die<br />
Produktivität zu beeinträchtigen. Mittels<br />
Self-Service Management erhalten Unternehmen<br />
die Balance zwischen zentralen<br />
Vorgaben und der Autarkie der<br />
Mitarbeiter. Orchestration und Automation<br />
erlauben die zentrale Steuerung der<br />
Datensicherheit durch die <strong>IT</strong>-Abteilung<br />
über Schnittstellen und Berührungspunkte<br />
mit Zulieferern hinweg. Zero Trust-Lösungen<br />
aus der Cloud ermöglichen auch<br />
kleinen und mittelständischen Unternehmen<br />
höchste <strong>IT</strong>-Sicherheit, ohne ihre Ressourcen<br />
maßgeblich zu belasten.<br />
Andreas Fuchs<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 11<br />
Hochsichere und energieeffiziente Rechenzentren:<br />
Den digitalen Wandel erfolgreich mitgestalten<br />
HOCHSICHERE<br />
RECHENZENTREN<br />
DEN DIG<strong>IT</strong>ALEN WANDEL ERFOLGREICH M<strong>IT</strong>GESTALTEN<br />
Dieses Whitepaper bietet einen<br />
Überblick über die Konstruktion<br />
und Besonderheiten<br />
moderner Rechenzentren am<br />
Beispiel von noris network. Kunden,<br />
Partner und Interessenten erhalten einen Überblick,<br />
wie Rechenzentren konzipiert und betrieben werden, die<br />
sich als Basis für die digitale Transformation eignen.<br />
04/<strong>2020</strong><br />
Ob in klassischen Colocation- und Managed-Service-Angeboten<br />
oder den verschiedenen Ausprägungen des<br />
Cloud Computings – am Ende müssen irgendwo physische<br />
Rechner betrieben werden. Wer einen Rechenzentrumsdienstleister<br />
wählt, sollte vor allem auf zwei Dinge achten:<br />
Sicherheit und Energieeffizienz im Rechenzentrum.<br />
Das vorliegende Whitepaper beleuchtet die wichtigsten<br />
Aspekte aus Sicht der baulichen und organisatorischen<br />
Voraussetzungen. Anhand von Beispielen wird der aktuelle<br />
Stand der Technik dargestellt. Es soll dabei klar werden,<br />
wie man einen <strong>IT</strong>-Betrieb von der physischen Seite<br />
her absichert.<br />
WH<strong>IT</strong>EPAPER<br />
DOWNLOAD<br />
Das Whitepaper umfasst 14 Seiten<br />
und steht kostenlos zum Download bereit:<br />
www.it-daily.net/download<br />
MIGRATION EINES<br />
DWH IN DIE CLOUD<br />
NEUN PUNKTE, DIE ES ZU BEACHTEN GILT<br />
Die Migration eines Data-Warehouse-Systems in die<br />
Cloud wird durch viele Faktoren beeinflusst. Bei der<br />
Auswahl der passenden Option aus den vielen<br />
Möglichkeiten, ist es sehr hilfreich, die neun Punkte,<br />
die die Autoren in diesem Whitepaper vorgestellt<br />
haben, eingehend zu prüfen.<br />
Vor einer Entscheidung für eine Migration sind sehr<br />
unterschiedliche Fragestellungen zu berücksichtigen,<br />
die häufig in Abhängigkeit zueinander stehen.<br />
Eine sorgfältige Vorbereitung und eine entsprechende<br />
Planung sind daher unabdingbare<br />
Voraussetzungen für eine erfolgreiche Migration<br />
und einen reibungslosen Migrationsprozess.<br />
Ein Wechsel des Data Warehouse<br />
(DWH) in die Cloud kann durch<br />
die optimale Kombination der zur<br />
Verfügung stehenden Komponenten eine<br />
flexible und zukunftsorientierte Alternative zu etablierten<br />
On Premises-DWH-Systemen darstellen.<br />
WH<strong>IT</strong>EPAPER<br />
DOWNLOAD<br />
Das Whitepaper umfasst 16 Seiten<br />
und steht kostenlos zum Download bereit.<br />
www.it-daily.net/download<br />
www.it-daily.net
12 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
EMOTET-MALWARE<br />
CYBERKRIMINELLE NUTZEN COVID-19 SPAM ZUR VERBRE<strong>IT</strong>UNG<br />
Während sich das Coronavirus in den<br />
letzten Monaten stark verbreitet hat, haben<br />
Cyberkriminelle zeitgleich eine Reihe<br />
von Covid-19-Themenkampagnen mit<br />
Emotet-Malware initiiert. Die Betreiber<br />
verwenden in der Regel Phishing-E-Mails,<br />
die Logo, Stil und Sprache offizieller und<br />
vertrauenswürdiger Absender wie beispielsweise<br />
der Weltgesundheitsbehörde<br />
WHO oder dem U.S. Centers for Disease<br />
Control benutzen.<br />
In diesen Mails fordert der Hacker den<br />
E-Mail-Empfänger dazu auf, auf einen<br />
Link zu klicken, um sich über neue Covid-19-Infektion<br />
in seiner Gegend zu informieren.<br />
Die URL sieht zwar authentisch<br />
aus, verursacht beim Klick allerdings<br />
den Download der Malware auf<br />
den Computer.<br />
Globale Emotet-Trends<br />
Im Januar und Februar wurde ein extrem<br />
hohes Volumen an Emotet-bezogenem<br />
Datenverkehr – infizierte Benutzer, die<br />
Emotet Command and Control-Domänen<br />
abfragen – festgestellt. Die überwiegende<br />
Mehrheit dieses Datenverkehrs wurde mit<br />
Unternehmenshosts in Verbindung gebracht,<br />
was darauf hindeutet, dass Cyberkriminelle<br />
mit diesen Angriffen in erster<br />
Linie Unternehmen und ihre Mitarbeiter<br />
ins Visier nehmen. Der starke Rückgang<br />
des Datenverkehrs ab dem 1. März <strong>2020</strong><br />
lässt sich vermutlich darauf zurückführen,<br />
dass im Zuge der Pandemie – aufgrund<br />
der wirtschaftlichen Auswirkungen –eine<br />
hohe Anzahl von Hosts offline gingen.<br />
Die Beschaffenheit eines<br />
Emotet-Angriffs<br />
Ein typischer Emotet-Angriff teilt sich bei<br />
genauerer Betrachtung in vier verschiedene<br />
Phasen auf:<br />
DURCH PROAKTIVE CYBER-<br />
SICHERHE<strong>IT</strong> WIE DIE KONTI-<br />
NUIERLICHE ÜBERWACHUNG<br />
DER BEDROHUNGSLAND-<br />
SCHAFT SOWIE BEWERTUNG<br />
UND VERBESSERUNG VON<br />
SICHERHE<strong>IT</strong>SSYSTEMEN UND<br />
-PRAKTIKEN KÖNNEN UNTER-<br />
NEHMEN VOR HACKERN GE-<br />
SCHÜTZT WERDEN.<br />
Gerhard Giese,<br />
Industry Strategist, Akamai Technologies,<br />
www.akamai.com<br />
PHASE 1 – Das schädliche Makro<br />
Die meisten Emotettet-Infektionen beginnen<br />
mit einem Social Engineering-Angriff.<br />
Nach dem Öffnen des Anhangs mit<br />
deaktivierten Makros wird dem Benutzer<br />
in der Regel ein Bild mit ähnlichen Anweisungen<br />
wie folgt angezeigt:<br />
Dieses Dokument ist geschützt. Dieses<br />
Dokument ist nur für Desktop- oder Laptop-Versionen<br />
von Microsoft Office<br />
Word verfügbar.<br />
Um das Dokument zu öffnen, folgen<br />
Sie diesen Schritten:<br />
PHASE 2 – Das PowerShell-Skript<br />
Nach dem Herunterladen durchläuft das<br />
verschleierte PowerShell-Skript eine Liste<br />
von CNC-Domänennamen und versucht,<br />
die nächste Stufe des Angriffs auf den<br />
kompromittierten Computer herunterzuladen,<br />
genauer gesagt auf C:\windows\<br />
temp\putty.exe.<br />
PHASE 3 – Payload Abruf<br />
Wenn der Download erfolgreich ist, wird<br />
die heruntergeladene Datei ausgeführt.<br />
Tritt ein Fehler auf, wird die nächste URL<br />
versucht. Wenn alle URLs fehlschlagen,<br />
bricht das Skript ab und das Gerät bleibt<br />
unbeschädigt. Im Allgemeinen gibt die<br />
besuchte Website lediglich die Payload<br />
zurück.<br />
PHASE 4 – Aktivierung<br />
Sobald die heruntergeladene Datei ausgeführt<br />
wird, ist der Computer infiziert.<br />
Tipps zur Abwehr<br />
Folgende grundlegende Vorsichtsmaßnahmen<br />
helfen, um die Sicherheitslage<br />
von Unternehmen zu stärken:<br />
Schulungen für Anwender können<br />
helfen, um das Sicherheitsbewusstsein<br />
zu erhöhen. Schulungsteilnehmer<br />
werden darauf hingewiesen,<br />
sich vor Betrugsversuchen im Zusammenhang<br />
mit Covid-19 und vor<br />
E-Mails von unbekannten Absendern<br />
zu schützen, insbesondere<br />
vor E-Mails mit Anhängen oder<br />
Links.<br />
<br />
Untersuchung der Sicherheitsarchitektur,<br />
von Systemen und Tätigkeitsbereichen<br />
des Unternehmens durch<br />
Penetrationstests, um Angriffe zu<br />
simulieren, Lücken und Schwachstellen<br />
zu identifizieren und die<br />
Verteidigung zu stärken.<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 13<br />
<br />
Überprüfung des Bereitschaftsplans<br />
für die Sicherheit hinsichtlich angemessener<br />
Pläne für Geschäftskontinuität<br />
und Notfallwiederherstellung,<br />
um kritische Systeme im Falle<br />
eines Angriffs am Laufen zu halten.<br />
Außerdem sollte die Cybersicherheitsversicherung<br />
auf dem neuesten<br />
Stand sein.<br />
Wohldurchdachte Malware-Angriffe<br />
können Backup-Dateien löschen<br />
oder verschlüsseln und so die<br />
Wiederherstellungsmöglichkeiten<br />
verhindern. Mehrstufige Backup-<br />
Strategien mit Cloud Storage, Offline-<br />
Backup oder unveränderlichem<br />
Speicher sollten eingeführt werden,<br />
um Backups vor schadhaften<br />
Angriffen zu schützen.<br />
Physische und virtuelle Netzwerke<br />
und Funktionen im gesamten Unternehmen<br />
sollten segmentiert und abgetrennt<br />
werden, um unnötige<br />
übergreifende Kommunikation zu<br />
begrenzen.<br />
Krisenzeiten schaffen neue Möglichkeiten<br />
für Cyberkriminelle, weshalb<br />
<strong>IT</strong>- Sicherheitsbeauftragte besonders wachsam<br />
bleiben müssen. Während Arbeitnehmer<br />
auf der ganzen Welt unter Quarantäne<br />
gestellt werden, sind Cyber -<br />
kriminelle permanent damit beschäftigt,<br />
ihren nächs ten Angriff zu planen. Covid-19<br />
bezogene Angriffe können Unternehmen<br />
verhee ren den Schaden zufügen.<br />
Durch proaktive Cyber sicherheit, wie die<br />
kontinuierli che Über wachung der Bedrohungslandschaft,<br />
sowie Bewertung und<br />
Verbesserung von Sicherheitssystemen<br />
und -praktiken, können Unternehmen geschützt<br />
werden.<br />
Akamai‘s Intelligent Edge-Plattform bietet<br />
globale Transparenz über kritische Ereignisse<br />
und Trends der Internetsicherheit,<br />
einschließlich Emotet-Aktivitäten. Die<br />
Plattform wird von etwa 288.000 Servern<br />
in 136 Ländern betrieben, interagiert<br />
täglich mit 130 Terabyte Daten,<br />
1,3 Milliarden Geräten und über 100<br />
Millionen IP-Adressen und sammelt dabei<br />
Informationen und Erkenntnisse über verschiedenste<br />
Arten der Bedrohung.<br />
Gerhard Giese<br />
Angreifer können kompromittierte<br />
Zugangsdaten für privilegierte<br />
Konten verwenden, um sich lateral<br />
unbemerkt in einem Netzwerk<br />
zu bewegen, Daten zu stehlen<br />
und Schaden anzurichten. Dieses<br />
Risiko sollte minimiert werden, indem<br />
das Prinzip der geringsten<br />
Privilegien eingehalten und lokale<br />
Administratorkonten deaktiviert<br />
werden.<br />
Alle Endpunkt-Betriebssysteme und<br />
-Anwendungen sollten die neuesten<br />
Software-Updates und Sicherheits-Patches<br />
ausführen.<br />
E-Mail-Inhaltsfilter oder Sandboxing<br />
können helfen, um Anhänge<br />
oder Dateien, die nicht von Antiviren-Software<br />
gescannt werden können<br />
(.zip-Dateien), zu blockieren,<br />
da diese häufig mit Malware (.dllund<br />
.exe-Dateien) verbunden sind.<br />
KURZÜBERSICHT ZU EMOTET<br />
Emotet, auch bekannt als Geodo und Mealybug, wurde<br />
2014 zum ersten Mal identifiziert und ist eine der am weitesten<br />
verbreiteten Formen von Malware. Der Virus richtete<br />
sich ursprünglich gegen Finanzdienstleister und fungierte<br />
als Trojaner, um Bank- oder Kreditkartendaten von den jeweiligen<br />
Hosts zu stehlen. Emotet-Hacker erweiterten den<br />
Trojaner im Laufe der Zeit auf Spam-Mails und Malware-Bereitstellungsdienste.<br />
Emotet ist eine der kostspieligsten und schadhaftesten Arten<br />
von Malware. Sie kann signaturbasierte Scanning-Tools umgehen<br />
und nutzt Techniken wie Passwort raten oder Brute-Force,<br />
um sich schnell über ein Netzwerk auszubreiten<br />
und dort Schaden anzurichten. Nach Angaben des US-Heimatschutzministeriums<br />
kostet die Behebung von Emotet-Infektionen<br />
Staats- und Kommunalverwaltungen in den USA<br />
bis zu 1 Million Dollar pro Vorfall.<br />
www.it-daily.net
14 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
VIRTUAL PRIVATE NETWORK<br />
ABSICHERUNG DURCH DECEPTION<br />
Angreifer die VPN-Infrastruktur kompromittieren,<br />
könnten sie potenziell auf das<br />
interne Netzwerk und die Verwaltungs-Infrastruktur<br />
zugreifen. Darin enthalten<br />
sind wichtige Assets wie die Protokollierung<br />
und sogar die Active Directory.<br />
Bedienbarkeit und Sicherheit<br />
In der Praxis hinken viele Unternehmen<br />
den Sicherheitsanforderungen hinterher.<br />
Gerade wenn es schnell gehen muss,<br />
kann nicht immer auf alle regulären Sicherheits-Mechanismen<br />
geachtet werden.<br />
Dazu ist die <strong>Security</strong>-Landschaft einfach<br />
zu komplex und schnelllebig. Im<br />
Erkennung durch Täuschung<br />
Für die Erkennung von Bedrohungen<br />
stellt Deception ein wirkungsvolles Instrument<br />
dar, wenn es darum geht, sowohl<br />
normale als auch kritische Cyber-Bedrohungen<br />
in Netzwerken effektiv aufzudecken.<br />
Täuschungs-Lösungen sind deshalb<br />
so effektiv, weil Angreifer gar nicht anders<br />
können, als den ausgelegten Köder<br />
zu schlucken. So lassen sich Angreifer,<br />
die in ein vermeintlich relevantes Netzwerk<br />
gelockt wurden, sehr leicht erkennen<br />
und isolieren.<br />
Zu den vielen Vorteilen der Technologie<br />
zur Erkennung durch Täuschung zählt<br />
außerdem, dass sie zu jeder Zeit eine<br />
wirksame Sicherheits-Abdeckung bietet.<br />
Etwa bei Änderungen an Drittanbieter-<strong>Security</strong>-Lösungen,<br />
sonstigen Erweiterungen<br />
oder Änderungen an der Infrastruktur<br />
muss die Täuschungs-Lösung<br />
nicht angepasst werden. Sie arbeitet<br />
effektiv weiter. Umgekehrt gilt: Kritische<br />
Systeme wie das Active Directory müssen<br />
nicht vom <strong>Security</strong>-Experten angefasst<br />
werden, sobald eine Täuschungs-Lösung<br />
erstmals implementiert wird.<br />
(Quelle: Attivo Networks)<br />
Bild 1: Täuschungs-Kampagnen ermöglichen den Einsatz trügerischer Berechtigungsnachweise<br />
für Produktions-EPs und überwachen SIEMs auf die<br />
versuchte Verwendung von Berechtigungs-Nachweisen für kritische Systeme.<br />
Angesichts der in jüngster Zeit rapide<br />
ansteigenden Zahl von Mitarbeitern,<br />
die von zu Hause arbeiten, sind VPN-<br />
Infrastrukturen (Virtual Private Network)<br />
besonders gefährdet. Im Mittelpunkt<br />
stehen dabei so genannte VPN-Konzentratoren.<br />
Ein VPN-Konzentrator befindet<br />
sich in der ‚Mitte‘ des Netzwerks, also<br />
am Hub; er konzentriert VPN-Verbindungen<br />
und leitet den Traffic weiter. Üblicherweise<br />
handelt es sich dabei um<br />
Hardware für kryptographische Prozesse,<br />
die sehr viele VPN-Abläufe bündeln<br />
oder bedienen kann. Durch die Zunahme<br />
an VPN-Traffic im Unternehmens-Netzwerk<br />
insgesamt werden diese<br />
Systeme zunehmend belastet. Hinzu<br />
kommen unzureichend gesicherte Betriebsabläufe<br />
sowie unternehmensinterne<br />
Systeme, die neue Angriffsflächen<br />
schaffen.<br />
Wie jede Netzwerk-Infrastruktur stellt<br />
auch ein VPN ein attraktives Ziel für Angreifer<br />
dar, denn ein solcher ‚Tunnel‘ ist<br />
ein vertrauenswürdiger Weg, um in das<br />
Firmen-Netzwerk zu gelangen. Sollten<br />
Vordergrund steht oftmals die Entscheidung<br />
über die Aufrechthaltung der Betriebsabläufe;<br />
es muss rasch zwischen<br />
Bedienbarkeit und Sicherheit abgewogen<br />
werden. Wenn dies geschieht, sollte<br />
ein <strong>Security</strong>-Experte sicherstellen, dass<br />
die interne Sicherheits-Lösung über angemessene<br />
Erkennungs-Fähigkeiten (Detection)<br />
verfügt. Nur so können <strong>Security</strong>-Teams<br />
oder Systeme rechtzeitig informiert<br />
werden, sobald ein Angreifer die<br />
Präventions-Abwehr durchbrochen hat.<br />
Maßgeschneiderte Kampagnen<br />
für spezielle Sicherheits-Lücken<br />
Ein weiterer Vorteil einer Täuschungs-Plattform<br />
besteht darin, Kampagnen zu erstellen,<br />
die sich auf ganz bestimmte maliziöse<br />
oder betrügerische Referenz-Werte<br />
konzentrieren. Diese Kampagnen arbeiten<br />
flexibel und basieren auf echten<br />
oder gefälschten Konto- oder Benutzer-Namen.<br />
Sie beziehen sich sogar auf<br />
Service-Konten, die auf Cloud- oder<br />
SaaS-Anwendungen ausgelegt sind. Eine<br />
solche Vielfalt ermöglicht <strong>Security</strong>-Experten<br />
ungeahnte Kreativität bei der<br />
Bereitstellung und Verwaltung solcher<br />
Kampagnen.<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 15<br />
-KONZENTRATOREN<br />
Der typische Anwendungsfall<br />
besteht<br />
darin, betrügerische<br />
Credential-Kampagnen<br />
zur<br />
Verwendung auf Endpoints,<br />
Servern und<br />
Cloud-Umgebungen auszurollen.<br />
Diese schlagen Alarm, sobald Angreifer<br />
auf sie zugreifen. Darüber hinaus<br />
kann die Verwendung kritischer Konten<br />
überwacht werden, ohne dass die Credential-Kampagnen<br />
auf Endpunkten eingesetzt<br />
werden müssen.<br />
ZU DEN VIELEN VORTEILEN DER TECHNOLOGIE ZUR<br />
ERKENNUNG DURCH TÄUSCHUNG ZÄHLT, DASS SIE ZU JEDER<br />
ZE<strong>IT</strong> EINE WIRKSAME SICHERHE<strong>IT</strong>S-ABDECKUNG BIETET.<br />
Joe Weidner, Regional Director DACH, Attivo Networks, www.attivonetworks.com<br />
Flexibler als ein SIEM<br />
SIEMs (<strong>Security</strong> Information and Event<br />
Management) protokollieren fehlgeschlagene<br />
Zugriffs-Versuche, auf Infrastruktur-Services.<br />
Ihr schierer Umfang führt allerdings<br />
häufig dazu, dass Analysten ihnen<br />
nicht die angemessene Aufmerksamkeit<br />
schenken, obwohl solche Fehlversuche<br />
auf schädliche Aktivitäten hindeuten können.<br />
Eine Täuschungs-Lösung hingegen<br />
kann so konfiguriert werden, dass sie das<br />
SIEM auf Fehlversuche bei diesen kritischen<br />
Konten hinweist. Auf diese Weise<br />
erhalten <strong>Security</strong>-Experten einen wirksamen<br />
Warn-Mechanismus, der präzise arbeitet<br />
und rasch Details zu auffälligen<br />
Aktivitäten aufzeigt. In der Folge kann die<br />
forensische Analyse sofort beginnen.<br />
VPN-Konzentrator-Beispiel aus<br />
der Praxis<br />
Das folgende Beispiel für die Überwachung<br />
eines Service-Kontos stammt von<br />
einem Attivo Networks-Kunden.<br />
1.<br />
Zunächst wurde eine Täuschungs-Kampagne<br />
für Anmelde-Informationen<br />
erstellt. Diese basiert<br />
auf realen Service-Kontonamen für kritische<br />
Infrastruktur-Geräte.<br />
2.<br />
Anschließend wurde der Täuschungs-Server<br />
so konfiguriert,<br />
dass er das SIEM mit Hilfe der Service-Konto-Kampagne<br />
alarmiert, sobald<br />
ein Anmelde-Fehler auftritt. Die Lösung<br />
wurde auf höchster Ebene implementiert,<br />
sodass das SIEM jegliche fehlgeschlagene<br />
Service-Konto-Anmeldung protokollierte.<br />
3.<br />
Der Täuschungs-Server wies so<br />
auf SIEM-generierte Anmeldefehler<br />
in den VPN-Konzentratoren hin,<br />
sobald das Geräte-Service-Konto und<br />
das Standard-Passwort verwendet wurden.<br />
Die Warnung enthielt die angreifende<br />
IP, die IP der VPN-Konzentratoren sowie<br />
die Details des verwendeten Kontos.<br />
4.<br />
Ferner wurden die Warnungen<br />
von den <strong>Security</strong>-Experten einer<br />
forensischen Analyse unterzogen. Es<br />
stellte sich heraus, dass eine Angreifer-Gruppe<br />
systematisch die VPN-Geräte<br />
des Unternehmens sondierte, um sich so<br />
ohne großes Aufsehen Zugang zum<br />
Netzwerk zu verschaffen.<br />
5.<br />
Letztendlich konnten die <strong>Security</strong>-Experten<br />
schnell reagieren<br />
und die Konfiguration des VPN-Konzentrators<br />
überprüfen. Jegliches weiteres<br />
Vorgehen der Angreifer-Gruppe wurde<br />
infolge dessen im Keim erstickt.<br />
(Quelle: Attivo Networks)<br />
Bild 2: Beispiel eines während des<br />
Szenarios generierten realen Alarmdetails<br />
Wäre der Versuch erfolgreich gewesen,<br />
hätten sich die Angreifer Zugriff zum<br />
Netzwerk und zur sensiblen RADIUS-<br />
Infrastruktur verschafft. Die Folgen wären<br />
fatal gewesen.<br />
Joe Weidner<br />
www.it-daily.net
16 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
AGILE SICHERHE<strong>IT</strong><br />
FÜNF TIPPS FÜR SICHERHE<strong>IT</strong>SVERANTWORTLICHE<br />
Seit rund drei Jahren ist ein spürbarer Paradigmenwechsel<br />
in der Softwareentwicklung<br />
zu beobachten: Statt im Wasserfallmodell<br />
wird nun mit agilen Entwicklungsmethoden<br />
gearbeitet – oftmals kombiniert<br />
mit DevOps-Ansätzen. Im Bereich <strong>IT</strong>-<strong>Security</strong><br />
verändert diese Entwicklung auch die<br />
Arbeitsmodelle von <strong>IT</strong>-Sicherheitsexperten.<br />
Waren früher die Ziele eines Softwareentwicklungsprozesses<br />
durch Fachkonzepte<br />
relativ früh abgesteckt, können<br />
sich heute die Funktionen des geplanten<br />
Softwareprodukts noch bis kurz vor der<br />
Produktivsetzung ändern. Damit müssen<br />
viele Sicherheitsanforderungen nun dynamisch<br />
und parallel zu den agilen Sprints<br />
entwickelt werden. Was bedeutet diese<br />
Entwicklung konkret für die Aufgaben und<br />
Arbeitsbereiche der <strong>IT</strong>-Sicherheitsverantwortlichen?<br />
msg gibt fünf Tipps für die<br />
agile Sicherheit.<br />
1.<br />
Wissensaustausch unter<br />
allen Stakeholdern<br />
<strong>Security</strong> Teams, Entwickler, der Betrieb<br />
sowie Fachabteilungen müssen von Anfang<br />
an in die Projekte einbezogen werden,<br />
um den Wissensaustausch unter allen<br />
Beteiligten zu gewährleisten und<br />
kontinuierlich zu pflegen. So sollten beispielsweise<br />
Entwickler beim Aufsetzen<br />
einer Systemarchitektur den Sicherheitsexperten<br />
schon mit dem Projektstart einbeziehen,<br />
damit dieser die Sicherheitsanforderungen<br />
gegenüber der vorgeschlagenen<br />
Lösung abgleichen und<br />
grundsätzliche Schwachstellen sofort<br />
aufdecken kann.<br />
2.<br />
Die Rolle des Applikations-Sicherheitsexperten<br />
Ein Applikations-Sicherheitsexperte sollte<br />
die Projekte und Prozesse ganzheitlich<br />
als Coach begleiten. Er steuert den Gesamtprozess<br />
und bringt sein Wissen ins<br />
Team ein. Zudem endet die Rolle des Applikations-Sicherheitsexperten<br />
nicht mit<br />
dem Ende des Projekts. Seine Expertise<br />
wird auch nach der Produktivsetzung gebraucht<br />
3.<br />
<strong>Security</strong> User Stories für<br />
Sicherheitsanforderungen<br />
Sicherheitsanforderungen lassen sich in<br />
der agilen Softwareentwicklung über <strong>Security</strong><br />
User Stories adressieren und einplanen.<br />
So wird eine Gesamtübersicht<br />
der Aufgaben des Sicherheitsexperten<br />
deutlich und sie fördern zusätzlich die<br />
Zusammenarbeit und Kreativität. Der Sicherheitsexperte<br />
sollte sich aktiv in das<br />
Erstellen der <strong>Security</strong> User Stories einbringen<br />
und die Software-Entwickler auf<br />
fehlende Szenarien hinweisen.<br />
4.<br />
Penetrationstests zur<br />
Sicherheitsprüfung<br />
Penetrationstests vor dem Einsatz in der<br />
Produktion („Go-live“) dienen zur Verifikation,<br />
ob Sicherheitsanforderungen ausreichend<br />
berücksichtigt worden sind. So<br />
lassen sich technische Schwachstellen<br />
entdecken und beheben.<br />
Automatisierte statische Code-Analysen<br />
im CI-/CD-Zyklus sollten Standard sein.<br />
Sie ermöglichen es den Experten, sich<br />
von Anfang an mit den Ergebnissen der<br />
Source-Code-Analysen zu beschäftigen<br />
und Fehler automatisch zu erkennen.<br />
5.<br />
Unternehmensweite<br />
Sicherheitsanforderungen<br />
und Architekturvorgaben<br />
Grundsätzliche und organisationsweit<br />
bekannte Sicherheitsanforderungen<br />
wie<br />
Checklisten oder Richtlinien,<br />
durch die ein Grundschutz<br />
gegeben ist, bleiben weiterhin<br />
notwendig. Wichtig sind<br />
die Prüfung und Freigabe<br />
von Musterlösungen, die unternehmensweit<br />
eingesetzt<br />
werden, sowie die Bereitstellung<br />
von Sicherheitskomponenten<br />
für den produktübergreifenden<br />
Einsatz.<br />
www.msg.group<br />
www.it-daily.net
ADVERTORIAL – <strong>IT</strong> SECUR<strong>IT</strong>Y | 17<br />
MANAGED SERVICE PROVIDER<br />
6 GRÜNDE, WARUM SYSTEMHÄUSER<br />
DEN BEREICH <strong>IT</strong>-SICHERHE<strong>IT</strong> OUTSOURCEN<br />
Kosten und Effizienz: Anstatt neues Personal<br />
finden zu müssen oder eigenes<br />
Personal aufwändig auszubilden, managt<br />
der MSSP als <strong>IT</strong>-Sicherheitsspezialist<br />
im Hintergrund die <strong>IT</strong>-Sicherheit der Kunden.<br />
So sparen sich Systemhäuser die<br />
Kosten und Zeit, die für den Aufbau eines<br />
Expertenteams anfallen würden.<br />
Zeit, sich auf das Geschäft zu konzentrieren:<br />
<strong>Security</strong>-as-a-Service gibt Systemhäusern<br />
Zeit, sich um ihre eigene<br />
Kernkompetenz zu kümmern. Ein guter<br />
MSSP ist wie ein fester Mitarbeiter, der<br />
rund um die Uhr die <strong>IT</strong>-Sicherheit der<br />
Kunden sicherstellt.<br />
Kunden-Support: Fortschrittliche UTM-Lösungen<br />
sind inklusive kostenlosem Managed<br />
Service, Konfiguration, Installation,<br />
24/7 Monitoring, Direkt-Support, Echtzeit-Updates,<br />
Beratung und Reports.<br />
Compliance: <strong>IT</strong>-Sicherheitsspezialisten<br />
sind mit allen regulatorischen Compliance-<br />
und DSGVO-Anforderungen vertraut.<br />
Die <strong>IT</strong>-Sicherheitslösungen sind zertifiziert<br />
und immer auf dem neuesten Stand.<br />
Um all das kümmert sich der MSSP automatisiert<br />
im Hintergrund.<br />
<strong>IT</strong>-Schutz zur Miete: Ein guter Partner bietet<br />
<strong>Security</strong>-Lösungen für jede Unternehmensgröße<br />
an – auch zur monatlich<br />
kündbaren Miete. Ohne Investitionskosten<br />
und mit attraktiven Margen.<br />
<strong>Security</strong> Awareness: Mit eLearnings,<br />
Schulungen und Phishing-Kampagnen<br />
sensibilisiert der MSSP die Mitarbeiter<br />
des Kunden für den richtigen Umgang<br />
mit E-Mails und vertraulichen Daten, stellt<br />
<strong>IT</strong>-Richtlinien auf und entwickelt ganzheitliche<br />
<strong>IT</strong>-Sicherheitskonzepte. Mehr über das<br />
NB Partnerprogramm für Systemhäuser<br />
auf www.network-box.eu<br />
Immer gut informiert!<br />
Tägliche News für die Enterprise <strong>IT</strong><br />
finden Sie auf www.it-daily.net
18 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
NEUES ARBE<strong>IT</strong>EN,<br />
NEUE SICHERHE<strong>IT</strong><br />
REMOTE-ARBE<strong>IT</strong> WIRD BLEIBEN –<br />
DIE SECUR<strong>IT</strong>Y-ANFORDERUNGEN DARAN AUCH<br />
Zu den erstaunlichen Nebenwirkungen<br />
der Corona-Krise gehört mit Sicherheit<br />
die schnelle und entschlossene Umsetzung<br />
der „Remote Economy“, mit der<br />
zahllose Wissensarbeiter weltweit innerhalb<br />
weniger Tage in die Lage versetzt<br />
wurden, von zuhause aus zu arbeiten.<br />
Nun, da langsam wieder etwas Normalität<br />
in den Arbeitsalltag einkehrt, zeigt<br />
sich, dass „Remote Work“ bleiben wird<br />
– die neuen Techniken und Tools sind<br />
nützlicher Bestandteil unserer Arbeitswelt<br />
geworden. Aber: Das erfordert auch ein<br />
Umdenken bei der <strong>IT</strong>-Sicherheit, denn die<br />
Dynamik und Offenheit der neuen Arbeitswelt<br />
bietet auch offene Flanken für<br />
Cyberangriffe.<br />
<strong>IT</strong>-<strong>Security</strong> Teams müssen sich folgende<br />
Fragen stellen: Wie sehen Access und<br />
Authentifizierung aus, wenn Mitarbeiter<br />
von unterschiedlichen Geräten und Orten<br />
zu unterschiedlichen Zeiten auf Unternehmensdaten<br />
zugreifen? Wie sichern<br />
Unternehmen den Zugriff auf VPN und<br />
die Workstations der Mitarbeiter? Oder:<br />
Wie geht man mit „Shadow-<strong>IT</strong>“ um? Solche<br />
und andere Fragen stehen jetzt im<br />
Raum und müssen zum Wohl des Unternehmens<br />
und der Mitarbeiter behandelt<br />
werden, um die „neue Arbeit“ auch wirklich<br />
sicher zu machen.<br />
Remote-Sicherheit:<br />
Der Plan B wird Normalität<br />
Was vor Wochen noch wie ein „Notfallplan“<br />
und eine Ausnahme aussah, muss<br />
nun konsolidiert werden und in den „Normalbetrieb“<br />
integriert werden, denn in<br />
Zukunft wird Remote-Arbeit zum normalen<br />
Toolset der Knowledge-Worker gehören.<br />
Der Betrieb über ein Netzwerk von Homeoffices<br />
erfordert vorab Absprachen<br />
zwischen <strong>IT</strong>, HR, <strong>IT</strong>-Sicherheit und den<br />
operativen Einheiten. Das wird von nun<br />
an dazugehören - und übrigens auch die<br />
strategische Bedeutung des <strong>IT</strong>-<strong>Security</strong><br />
Teams erhöhen.<br />
Es muss bei allen Beteiligten ein Bewusstsein<br />
geschaffen werden, sich auch<br />
zu Hause „cybersmart“ zu verhalten.<br />
Hier können Unternehmen dafür Sorge<br />
tragen, dass sie ihre Mitarbeiter mit dieser<br />
Botschaft auch erreichen - etwa mit<br />
einer Informationsseite und einem ständigen<br />
Kommunikationskanal. Wie<br />
wichtig das ist zeigt die Tatsache, dass<br />
sich laut Studien 80 Prozent aller Datenlecks<br />
auf schwache, wiederverwendete<br />
oder gestohlene Passwörter zurückführen<br />
lassen.<br />
Dazu haben die LastPass Sicherheitsexperten<br />
einige wertvolle Tipps aufgeschrieben,<br />
was die wichtigsten Maßnahmen<br />
zur Sicherheit von Unternehmen und<br />
Mitarbeitern betrifft - und das ist ziemlich<br />
valide, denn LastPass wurde gerade aktuell<br />
Testsieger in einem Passwortmanager-Test.<br />
Single Sign-On einsetzen<br />
SSO verschafft der <strong>IT</strong> übersichtlich<br />
die volle Kontrolle und vereinfacht<br />
die Verwaltung von Access.<br />
Ein nahtloses Nutzungserlebnis für<br />
User, ohne in der <strong>IT</strong> auf Transparenz<br />
und Kontrolle über Benutzerzugriff zu<br />
verzichten.<br />
Multifaktor-Authenti-<br />
<br />
MFA schafft eine zusätzliche Sicherheitslinie<br />
für das Unternehmen<br />
und den Usern durch den Einsatz<br />
biometrischer Daten ein angenehmes<br />
Nutzungserlebnis, wie etwa passwortfreies<br />
Anmelden (Übrigens: 60 Prozent<br />
der MFA-Nutzer finden, dass MFA mehr<br />
Sicherheit in die Organisation gebracht<br />
hat).<br />
Kontextfaktoren nutzen<br />
Der Einsatz von Kontextfaktoren<br />
wie Lokalisierung oder IP-Adressen<br />
verschafft der <strong>IT</strong> zusätzliche<br />
Kontrolle und Sicherheit, indem simpel<br />
BEIM ZUGANGSMANAGEMENT SOLLTE JEDER BEGREIFEN,<br />
DASS SCHLECHTE PASSWORT-HYGIENE DIE CHANCEN ERHÖHT,<br />
OPFER EINES HACKERANGRIFFS ZU WERDEN.<br />
Barry McMahon, Senior Manager, IAM, LogMeIn, www.lastpass.com/identity<br />
www.it-daily.net
und einfach die Plausibilität der Anmeldesituation<br />
mit berücksichtigt wird (Zeitpunkt,<br />
Ort, Device).<br />
VPN sichern<br />
Starke Passwörter und MFA<br />
auf dem VPN stellen sicher,<br />
dass Ihre sich anmeldenden<br />
Mitarbeiter auch wirklich die sind, die<br />
sie zu sein behaupten - und zwar bevor<br />
sie Access erhalten.<br />
80 %<br />
aller Datenlecks gehen<br />
auf schwache, wiederverwendete<br />
oder gestohlene<br />
Passwörter zurück<br />
60 %<br />
<strong>IT</strong> SECUR<strong>IT</strong>Y | 19<br />
der Unternehmen<br />
finden, dass MFA mehr<br />
Sicherheit in die Organisation<br />
gebracht hat<br />
<br />
MFA auf Workstations sorgen<br />
dafür, dass sich nur legitimierte<br />
Personen authentifizieren kön-<br />
nen (etwa<br />
durch die Verwendung biometrischer<br />
und kontextueller Faktoren).<br />
Sicher teilen<br />
Password Sharing stellt sicher,<br />
dass jeder Zugang zu den<br />
Daten hat, die er zum Arbeiten<br />
benötigt.<br />
Passwörter reduzieren<br />
Passwortfreie<br />
Authentifizierung<br />
lässt das Passwort aus<br />
dem Login Prozess verschwinden<br />
und sorgt für ein nahtloses Nutzungserlebnis.<br />
„Shadow <strong>IT</strong>“ anpacken<br />
Ein Passwortmanager bietet<br />
Mitarbeitern einen sicheren<br />
Ort für Zugangsdaten - ob die<br />
<strong>IT</strong> davon weiß oder nicht.<br />
Phishing-Muster<br />
verhindern<br />
Passwort Management kann<br />
helfen, das Risiko von Phishing<br />
zu mildern<br />
indem es niemals Aktionen<br />
auf verdächtigen Seiten ausführt.<br />
Den Überblick<br />
behalten<br />
Detaillierte Reports verschaffen<br />
den Überblick<br />
über alle Aktivitäten itä und ermöglichen Anpassungen<br />
bei Access und Authentifizierung,<br />
dort wo es notwendig ist.<br />
„Human Factor“ –<br />
der Mensch als schwächstes<br />
Glied in der Sicherheitskette<br />
Wie oben schon erwähnt, ist oft der<br />
Mensch selbst das schwächste Glied in<br />
der Sicherheits-Kette: Mitarbeiter, die keine<br />
Passwörter ändern oder dieselben<br />
Passwörter über viele Nutzerkonten hinweg<br />
benutzen. Das gilt besonders, wenn<br />
diesbezüglich keine Aufklärung betrieben<br />
wurde oder kein Sicherheits-Bewusstsein<br />
geschaffen wurde. Eine <strong>IT</strong>-Sicherheitsbereitschaft<br />
und -kultur zu schaffen<br />
braucht Zeit und viel Schulung, aber in<br />
der derzeitigen Situation müssen wir alle<br />
schnell reagieren. Beim Zugangsmanagement<br />
sollte jeder begreifen, dass<br />
schlechte Passwort-Hygiene (Default-Passwörter<br />
nicht ändern, Passwort Wiederbenutzung<br />
oder schwache Passwörter)<br />
die Chancen erhöht, Opfer eines Hackerangriffs<br />
zu werden.<br />
Cybersecurity-Empfehlungen<br />
<br />
„Remote“ ist es noch wichtiger als zuvor,<br />
dass alle Programme lange, zufallsgenerierte<br />
Passwörter besitzen. Mit einem<br />
Passwort-Manager schlägt man hier zwei<br />
Fliegen mit einer Klappe, indem man einzigartige<br />
Passwörter für jeden Login generiert<br />
und speichert. Der Username und die<br />
Passwörter werden dann in einem „Safe“<br />
gespeichert, wo sie verschlüsselt und organisiert<br />
werden. Ein Passwort-Manager<br />
kann schnell, nahtlos und einfach in den<br />
Workflow integriert werden. Diese verwenden<br />
auch oft Multifaktor-Authentifizierung,<br />
die zusätzliche Sicherheit bringt.<br />
Wenn Mitarbeiter sehen, dass der CEO<br />
und die Manager die Wichtigkeit solcher<br />
Sicherheits-Programme betonen, werden<br />
sie selbst auch ihren Teil dazu beitragen.<br />
Dazu müssen Mitarbeiter die Sicherheitsziele<br />
und Maßnahmen ihrer Firma verstehen.<br />
Sie brauchen Training und bewusstseinsbildende<br />
Maßnahmen, um cybersmartes<br />
Verhalten im Homeoffice zu<br />
fördern.<br />
Die Chance zu mehr <strong>IT</strong>-Sicherheit<br />
Das ist jetzt tatsächlich eine neue Ära für<br />
Unternehmen, ihre Verteidigung aus der<br />
<strong>IT</strong>-Implementierungs- und Sicherheitsperspektive<br />
zu schärfen: Mit <strong>Security</strong>-as-a-Service<br />
und starken Passwörtern, die Mitarbeiter<br />
und Business für längere Zeit gut<br />
absichern. Das sind die Basics gegen<br />
Viren und andere Malware. Und sie helfen<br />
der Homeoffice Workforce und den<br />
Unternehmen tatsächlich cybersicher in<br />
die Ära „New Work“ zu gehen.<br />
Barry McMahon<br />
www.it-daily.net
20 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
INTEGRIERTER<br />
SICHERHE<strong>IT</strong>SANSATZ<br />
DIE DYNAMIK DER CLOUD ZWINGT UNTERNEHMEN ZU NEUEN LÖSUNGEN<br />
Es gibt kein Geheimrezept für die richtige<br />
Cloud-Sicherheit. Aber konvergente<br />
Plattformen und ein Daten-zentrierter Ansatz<br />
minimieren die Risiken erfolgreicher<br />
Cyber-Angriffe deutlich wirkungsvoller<br />
als individuelle Lösungen.<br />
Mehr Firmen denn je nutzen Multicloud-Umgebungen,<br />
um die steigende<br />
Anzahl an Workloads zu bewältigen und<br />
immer mehr Software-as-a-Service-Anwendungen<br />
für ihre Kernprozesse zu<br />
verwalten. Diese Entwicklung rückt<br />
das Thema Cloud-Sicherheit deutlich<br />
in den Vordergrund.<br />
Mit der Cloud steigen aber auch<br />
die Anforderungen an die <strong>IT</strong>-Sicherheit.<br />
Es mag bisher gereicht haben,<br />
eine Schutzmauer um die On-premises-<strong>IT</strong>-Umgebung<br />
hochzuziehen. In der<br />
Cloud aber geht das natürlich nicht mehr.<br />
Hier benötigen Unternehmen ein viel umfassenderes<br />
Sicherheitskonzept.<br />
Tatsächlich sind manche <strong>IT</strong>-Administratoren<br />
der Meinung, einfache Sicherheitsmaßnahmen<br />
seien in der Cloud ausreichend.<br />
Im letzten Jahr ist es beispielsweise<br />
einer Hackerin gelungen, sich über<br />
eine fehlkonfigurierte Web-Application-Firewall<br />
Zugriff auf 100 Millionen<br />
Kundenkonten und Kreditkartenanträge<br />
des Finanzdienstleisters Capital One zu<br />
verschaffen. Offensichtlich müssen selbst<br />
die größten Unternehmen noch etwas<br />
dazulernen. Mit den folgenden Schritten<br />
kann die Sicherheit in der Cloud verbessert<br />
werden:<br />
Einen einheitlichen Sprachgebrauch<br />
festlegen<br />
1.<br />
In Unternehmen sollten die <strong>IT</strong>-Entscheider<br />
und die <strong>IT</strong>-Abteilung eine einheitliche<br />
Sichtweise zu den Themen Infrastruktursicherheit<br />
und Informationsschutz<br />
haben, die auch Cloud-Umgebungen<br />
berücksichtigt. Ein einheitlicher<br />
Sprachgebrauch und eine klar definierte<br />
Terminologie erleichtern Diskussionen<br />
über Cloud- und Datensicherheit<br />
und sind der erste Schritt in Richtung<br />
eines gemeinsamen Verständnisses im<br />
Unternehmen.<br />
Fortlaufende Schulungen spielen ebenso<br />
eine wichtige Rolle. Gut geschulte Mitarbeiter<br />
und Anwender sind das A und<br />
O eines Sicherheitskonzepts. Sie sind die<br />
erste und möglicherweise auch letzte<br />
Verteidigungslinie. Das Bewusstsein,<br />
FÜR DIE RICHTIGE CLOUD-SICHERHE<strong>IT</strong> GIBT ES<br />
KEIN GEHEIMREZEPT – ABER EIN UMFASSENDER<br />
ANSATZ BIETET EINEN BESSEREN SCHUTZ.<br />
Nicolas Fischbach, CTO, Forcepoint, www.forcepoint.com/de<br />
dass jeder einzelne eine Rolle bei der<br />
Sicherheit spielt, muss auf jeden Fall geschärft<br />
werden.<br />
Tools und Services<br />
2.<br />
konsolidieren<br />
Verständlicherweise wollen CISOs die<br />
Anzahl an unterschiedlichen Tools im<br />
Unternehmen reduzieren. Dem Wunsch<br />
WELCHE ORGANISATORISCHEN VORKEHRUNGEN SIND IN IHREM UNTERNEHMEN IN BEZUG AUF<br />
34 % 34 % 33 %<br />
Prüfung der<br />
Cloud-Zertifikate<br />
Datenschutzaudits<br />
bei Provider<br />
Cloud Policy für die Nutzung<br />
von Cloud-Lösungen<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 21<br />
steht eine förmliche Explosion an Tools<br />
und Services auf Cloud-Entwicklungsseite<br />
gegenüber. Eine Vielzahl davon wird<br />
zwar als Managed Services genutzt, belastet<br />
allerdings Ressourcen und kann<br />
zusätzliche Risiken verursachen.<br />
CISOs versuchen daher immer, individuelle<br />
Lösungen durch integrierte und konvergente<br />
Sicherheitsplattform-Lösungen<br />
zu ersetzen, die folgende Bereiche abdecken<br />
sollten:<br />
Data Loss Prevention (DLP)<br />
Endpoint Protection<br />
Netzwerk-Sicherheit (Firewall-as-a-Service<br />
und Secure SD-WAN)<br />
Cloud-Sicherheit (Cloud Access <strong>Security</strong><br />
Broker – CASB – und Cloud <strong>Security</strong><br />
Posture Management – CSPM –<br />
bei der Verteilung von eigenem Code)<br />
CLOUD SECUR<strong>IT</strong>Y GETROFFEN WORDEN? (Auszug)<br />
30 % 27 %<br />
Vorkehrungen für<br />
Compliance<br />
Konvergente Sicherheitsplattformen ermöglichen<br />
die Bereitstellung konsistenter<br />
Richtlinien über sämtliche Ebenen und<br />
Standorte eines Unternehmens hinweg.<br />
Sie vereinfachen das Sicherheits-Management,<br />
bieten Sichtbarkeit auf der<br />
Datenfluss-Ebene quer über den gesamten<br />
Betrieb (vom Endpoint über das Netzwerk<br />
bis zur Cloud) sowie die Möglichkeit,<br />
Updates in Echtzeit zu installieren.<br />
Zusätzlich können die Richtlinien dann<br />
schnelle Änderungen innerhalb des<br />
Unternehmens oder des Gesetzgebers<br />
aufgreifen. Für die meisten CISOs und<br />
Datenschutzbeauftragten ist es ein Muss,<br />
sich darauf vorzubereiten.<br />
Cloud-Sicherheit umfasst Lösungen für<br />
eine wachsende Anzahl an Anforderungen.<br />
Dazu gehören DLP, Web-Sicherheit,<br />
CASB und Next-Generation-Firewalls.<br />
Diese Lösungen sollten durch Verhaltensanalysen<br />
ergänzt werden: damit<br />
können Benutzerzugriffe besser gesteuert<br />
werden, zumal bei dynamischen und<br />
verteilten Systemen. Indicators of Behavior<br />
(IoBs) helfen zudem festzustellen,<br />
wie Benutzer mit Firmendaten, Systemen<br />
oder Apps interagieren.<br />
Aus diesem Grund werden konvergente<br />
Dienste bei der Cloud-Sicherheit eingesetzt.<br />
Sie sind wichtig, um die Tools für<br />
maximale Effizienz zu konsolidieren<br />
und die operative Last zu reduzieren.<br />
Neue <strong>Security</strong>-Stellen<br />
(Quelle: IDG Business Media GmbH, Studie Cloud <strong>Security</strong> 2019, Seite 13)<br />
Eine Daten-zentrierte<br />
3.<br />
Sicht einnehmen<br />
Die Cloud ist wegen ihrer zahlreichen<br />
Vorteile weiter auf dem Vormarsch: Unternehmen<br />
gewinnen in Bezug auf Kosten<br />
und Effizienz, während Arbeitnehmer<br />
mehr Flexibilität genießen und ihrer Tätigkeit<br />
überall nachgehen können.<br />
Die Cloud zu nutzen, bedeutet auch,<br />
dass Unternehmensdaten sich dynamischer<br />
zwischen Nutzern, Apps und<br />
Cloud-Umgebungen bewegen. Daraus<br />
resultiert die Notwendigkeit eines Daten-zentrierten<br />
Ansatzes bei Sicherheitsprotokollen.<br />
Bei der Entscheidung, Workloads<br />
zu migrieren oder neue Cloud-Anwendungen<br />
zu nutzen, ist eine klare<br />
Strategie in Sachen Cloud-Sicherheit und<br />
Informationsschutz wichtig. Sonst wird es<br />
schwierig, entsprechende Rechte und<br />
Richtlinien festzulegen.<br />
Auch das Testen von Sicherheits-Frameworks<br />
muss angepasst werden. Häufige<br />
und schnelle Änderungen an cloudbasierten<br />
Apps verlangen nach einer vermehrten<br />
Überprüfung von Schwachstellen<br />
und Angriffsflächen.<br />
Für die richtige Cloud-Sicherheit gibt es<br />
kein Geheimrezept – aber ein umfassender<br />
Ansatz bietet einen besseren Schutz.<br />
Cyber-Hygiene bleibt nach wie vor notwendig<br />
und es ist empfehlenswert, ein<br />
Unternehmen aus der Datenschutzperspektive<br />
zu betrachten. Sowohl die Implementierung<br />
von DLP und Verhaltensanalysen<br />
als auch eine gemeinsame Terminologie<br />
in Bezug auf Cloud-Sicherheit stellen<br />
wichtige Schutzmechanismen dar.<br />
Nicolas Fischbach<br />
www.it-daily.net
22 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
DER IOT-INSPEKTOR SORGT<br />
DIE ALTERNATIVE ZUM KLASSISCHEN PENETRATION TESTING<br />
So manche Sicherheitsrisiken liegen im<br />
„toten Winkel“ und werden schnell übersehen,<br />
wenn Unternehmen im Internet of<br />
Things unterwegs sind und Geräte zunehmend<br />
miteinander vernetzen. Ein<br />
neuer IoT <strong>Security</strong> Service von TÜV Hessen<br />
hilft, diese Risiken zu erkennen und<br />
zu minimieren. Davon profitiert auch der<br />
Beschaffungsprozess nach internationalen<br />
Compliance Richtlinien der „Internet<br />
of Things Sicherheitsstandards“.<br />
Das Internet of Things (IoT) wächst stetig,<br />
egal ob im privaten Umfeld oder im Unternehmen.<br />
Mit der Vielzahl an vernetzten<br />
Geräten steigen aber auch die Sicherheitsrisiken<br />
und die Angriffsfläche für Cyberangriffe<br />
wächst. Der IoT <strong>Security</strong> Service<br />
kann Unternehmen hier auf einfache<br />
und effektive Art und Weise helfen.<br />
Von der smarten Glühbirne zuhause oder<br />
den digitalen Assistenten bis hin zum Voice-over-IP-Telefon<br />
und der Gebäudeautomation:<br />
Die Zahl der im Internet of Things<br />
(IoT) vernetzten Geräte wächst kontinuierlich.<br />
Experten gehen von mehr als 25<br />
Milliarden verbundenen Geräten im Jahr<br />
2021 aus. Weitere Studien prognostizieren<br />
bis zu 38 Milliarden Geräte .<br />
Dass das Thema IoT <strong>Security</strong> für Unternehmen<br />
immer kritischer wird, belegen<br />
die neusten Zahlen des Europol EC3<br />
(European Cybercrime Centre). Daraus<br />
geht hervor, dass 69 Prozent der Firmen<br />
mehr IoT Geräte als traditionelle Endpoints<br />
in den Netzwerken im Einsatz haben.<br />
67 Prozent der Cybersecurity Incidents<br />
in Unternehmen im ersten Halbjahr<br />
2019 hatten mit IoT Geräten oder ungemanagten<br />
<strong>IT</strong> Geräten zu tun.<br />
Wildwuchs vermeiden<br />
Oft sieht man es den Geräten auf den<br />
ersten Blick gar nicht an, dass sie sich ins<br />
Heim- oder Unternehmensnetzwerk einklinken<br />
und mit dem Internet verbinden.<br />
Weil genau dabei oft der Überblick fehlt<br />
und auch beispielsweise ab Werk gesetzte<br />
Passwörter oft nicht geändert werden,<br />
lauern hier aber zunehmend Gefahren<br />
für die Cybersicherheit.<br />
Wie man schnell und unkompliziert einen<br />
guten Überblick zu den IoT-Sicherheitsrisiken<br />
im eigenen Unternehmen bekommt,<br />
das erklärt Björn Eibich, Bereichsleiter<br />
Cyber- und Informationssicherheit<br />
bei TÜV Hessen am Beispiel des<br />
„IoT-Inspektors“ und den damit verbundenen<br />
IoT-<strong>Security</strong> Services. Der neue Service<br />
ermöglicht es Unternehmen, den<br />
Wildwuchs von IoT Devices in den Griff<br />
zu bekommen, Sicherheitsrisiken systematisch<br />
zu erfassen und somit die Angriffsfläche<br />
zu verringern.<br />
Auch die Mitarbeiter im Einkauf sind so<br />
in der Lage, eine Risikoeinschätzung der<br />
zu beschaffenden Geräte vorzunehmen,<br />
schon bevor sie im Unternehmen Risiken<br />
hervorrufen.<br />
Eine Alternative zu<br />
Penetrationstest<br />
Wichtig für Entscheidungsträger in <strong>IT</strong>,<br />
Compliance und dem Beschaffungsprozess<br />
sind drei Punkte:<br />
Schwachstellen in der Firmware von IoT<br />
Geräten müssen<br />
1. automatisiert,<br />
2. schnell und<br />
3. günstig<br />
zu erkennen sein.<br />
Hier liegt der Vorteil des IoT-Inspektors<br />
gegenüber dem klassischen Penetration<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 23<br />
FÜR ORDNUNG<br />
Testing. Zusätzlich erhält das Unternehmen<br />
zur Erfüllung der Compliance Richtlinien<br />
eine Analyse der Übereinstimmung<br />
gegenüber internationalen IoT Sicherheitsstandards1<br />
(IoT Compliance<br />
Check).<br />
Zusammenfassend helfen Tool und Services<br />
in der IoT <strong>Security</strong> wie folgt:<br />
fundierte Entscheidungen für IoT Käufe<br />
zu treffen (Risikobewertung) um<br />
dem Netzwerk der Kunden keine zusätzliche<br />
Risiken durch unsichere<br />
IoT-Devices hinzuzufügen<br />
im IoT-Gerätebestand Schwachstellen<br />
zu identifizieren und diese gegebenenfalls<br />
absichern und zu beseitigen<br />
den gesetzlichen beziehungsweise<br />
regulatorischen Anforderungen durch<br />
Übereinstimmung (Compliance) mit<br />
Sicherheitsstandards zu entsprechen<br />
Wie der IoT-Inspektor als ein Baustein der<br />
IoT <strong>Security</strong> Services funktioniert und für<br />
wen sich der Einsatz lohnt, dazu gibt es<br />
einen Podacst, den sie hier finden:<br />
www.tuvsud.com/podcast<br />
DAS INTERNET OF THINGS<br />
(IOT) WÄCHST STETIG,<br />
EGAL OB IM PRIVATEN<br />
UMFELD ODER IM UNTER-<br />
NEHMEN. M<strong>IT</strong> DER VIELZAHL<br />
AN VERNETZTEN GERÄTEN<br />
STEIGEN ABER AUCH DIE<br />
SICHERHE<strong>IT</strong>SRISIKEN UND<br />
DIE ANGRIFFSFLÄCHE FÜR<br />
CYBERANGRIFFE WÄCHST.<br />
Björn Eibich, Bereichsleiter Cyber- und<br />
Informationssicherheit, TÜV Hessen,<br />
www.tuev-hessen.de<br />
eBOOK<br />
<strong>IT</strong> SECUR<strong>IT</strong>Y <strong>2020</strong><br />
Willkommen in der schönen, neuen Welt<br />
der <strong>IT</strong>-<strong>Security</strong>. Drei Beispiele: Wie können<br />
Sie subtile Anzeichen eines Angreifers<br />
von legitimen Anmeldungen unterscheiden?<br />
<strong>IT</strong> und OT verschmelzen, dabei<br />
entstehen neue Sicherheitslücken.<br />
Wir zeigen wie Sie diese schließen können.<br />
Der neue Hotspot: Zero Trust. Vertraue<br />
niemandem, egal ob innerhalb<br />
oder außerhalb des Netzwerkes. Mehr<br />
dazu in diesem eBook.<br />
Highlights aus dem <strong>IT</strong> <strong>Security</strong><br />
eBook<br />
Versteckte Bedrohungen<br />
Neben Standardüberwachungs-Mechanismen<br />
müssen auch subtile Anzeichen<br />
eines Angreifers erkannt werden. Wie<br />
können also Unternehmen diese Aktivitäten<br />
im Rauschen der legitimen Anmeldungen<br />
erkennen?<br />
<strong>IT</strong> & OT im Wandel<br />
Das Zusammenwachsen beider Bereiche,<br />
ihre Vernetzung, die Automatisierung von<br />
Produktionsanlagen und kritischen Infrastrukturen<br />
sorgen für neue Sicherheitslücken.<br />
Das ist ein Prozeßproblem.<br />
Zero-Trust-Strategie<br />
In Zeichen des digitalen Wandels funktionieren<br />
traditionelle Sicherheitsansätze<br />
mit mehreren Verteidigungslinien nicht<br />
mehr. Das neue Credo lautet: Vertraue<br />
niemandem, egal ob innerhalb oder außerhalb<br />
des Netzwerkes.<br />
DOWNLOAD<br />
Das eBook „<strong>IT</strong> <strong>Security</strong> <strong>2020</strong>“ ist<br />
59 Seiten lang und steht kostenlos<br />
unter www.it-daily.net/download<br />
zur Verfügung.<br />
www.it-daily.net
24 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
MICROSOFT-BEST-PRACTICE<br />
ÜBERWACHUNG DER BERECHTIGUNGSVERGABEN IM ACTIVE DIRECTORY (AD) UND<br />
In einer Zeit, in der immer mehr Unternehmen<br />
von Cyberangriffen betroffen<br />
sind, die auf den Diebstahl sensibler<br />
Daten abzielen, ist es essenziell, Sicherheitslücken<br />
zu schließen. Ein besonders<br />
beliebtes Einfallstor bei Hackern: aktive<br />
Benutzerkonten von ehemaligen Mitarbeitern.<br />
Um derartige Schwachstellen in<br />
der <strong>IT</strong>-Sicherheit zu verhindern, bedarf es<br />
einer geeigneten Access Governance-Lösung,<br />
die vergebene Berechtigungen<br />
analysiert und übersichtlich darstellt.<br />
Neben den gesetzlichen sollte diese Lösung<br />
vor allem auch die unternehmenseigenen<br />
Anforderungen berücksichtigen.<br />
Gerade für Microsoft-Umgebungen ist<br />
eine speziell entwickelte Software ratsam,<br />
die Systemverantwortliche dabei<br />
unterstützt, die Richtlinien und Benutzerkonstellationen<br />
im AD und im NTFS-Filesystem<br />
zu überwachen.<br />
Damit auch bei großen Umgebungen<br />
nicht der Überblick verloren geht, welcher<br />
Mitarbeiter worauf zugreifen darf,<br />
ist eine softwarebasierte Auswertung der<br />
Berechtigungen notwendig. Denn ohne<br />
den Einsatz einer passenden Lösung müssen<br />
<strong>IT</strong>-Systemadministratoren AD-Objekte<br />
und Fileserver-Strukturen manuell analysieren<br />
und auf Konformität zu Best-Practice-Richtlinien<br />
prüfen. Dies ist nicht nur<br />
sehr aufwendig, sondern birgt noch dazu<br />
ein hohes Fehlerpotenzial. Daher ist<br />
der Einsatz einer professionellen Access<br />
Governance-Lösung anzuraten.<br />
Wesentliche Features<br />
Die Software sollte ohne zusätzliche<br />
Dienstleistungen einfach installier- und<br />
konfigurierbar sein und die Zugriffsberechtigungen<br />
der einzelnen Benutzer und<br />
Gruppen innerhalb der firmeninternen<br />
Microsoft-Infrastruktur identifizieren sowie<br />
erfassen. Zudem sollte das Tool im-<br />
stande sein, die ermittelten Daten nach<br />
der Analyse des AD und des NTFS-Filesystems<br />
in ein leistungsfähiges Datenbanksystem<br />
zu importieren. Damit sich<br />
Missstände feststellen lassen, ist eine automatisierte<br />
Überprüfung der Berechtigungen<br />
hinsichtlich der Microsoft-Best-Practice-Vorgaben<br />
sinnvoll. Ein<br />
entsprechendes Richtlinienpaket sollte<br />
zusammen mit der Lösung ausgeliefert<br />
werden. Wichtig ist jedoch, dass der verantwortliche<br />
Administrator in der Lage<br />
ist, einzelne Policies auszustellen<br />
beziehungsweise ein Risikolevel<br />
zu definieren, ab dem<br />
ein Wert als kritisch angezeigt<br />
wird. Ein in der Lösung integriertes<br />
Web-Dashboard kann<br />
schließlich dafür sorgen, die<br />
Informationen strukturiert darzustellen<br />
und fehlerhafte Berechtigungskonstellationen<br />
sofort<br />
zu erkennen.<br />
Microsoft Guidelines<br />
Auf Basis hinterlegter Policies<br />
von Microsoft lassen sich Abweichungen<br />
verzeichnen. Fallen<br />
Verstöße gegen gewisse<br />
aktivierte Richtlinien auf, bildet<br />
eine moderne Lösung diese ab<br />
und spricht Handlungsempfehlungen<br />
aus.<br />
NTFS<br />
Microsoft rät beispielsweise dazu, dass<br />
Benutzerkonten möglichst keine direkt<br />
vergebenen Berechtigungen auf Ordner<br />
oder Dateien besitzen sollten. Ergibt die<br />
Auswertung allerdings, dass es Konten<br />
mit solchen Berechtigungen gibt, empfiehlt<br />
Microsoft den Einsatz des<br />
AGDLP-Konzeptes. Demgemäß sollten<br />
Administratoren die Benutzerkonten den<br />
globalen Gruppen zuweisen, die wiederum<br />
Mitglied der domänenlokalen Gruppen<br />
werden, und letztlich die Berechtigungen<br />
in ebendiesen domänenlokalen<br />
Gruppen vergeben.<br />
Darüber hinaus sollten auf Empfehlung<br />
von Microsoft hin nur in Ausnahmefällen<br />
Benutzerkonten mit Vollzugriff auf Datenbereiche<br />
vorhanden sein, die innerhalb<br />
dieses Bereiches dazu fähig sind, die Zugriffsrechte<br />
und Besitzer zu verändern.<br />
Stattdessen bietet es sich an, mit den<br />
Bild 1: Anschauliche h Dashboard-Ansichten ht zum<br />
schnellen Überblick.<br />
NTFS-Berechtigungen „Ändern“, „Lesen“<br />
und „Schreiben“ zu arbeiten, da auf diesem<br />
Wege keine Besitzerfunktionen geändert<br />
werden können. Der Vollzugriff sollte<br />
lediglich Administratoren gestattet sein.<br />
Active Directory<br />
Mit sich selbst verschachtelte AD-Gruppen<br />
können innerhalb von Anwendungen<br />
oder Skripten zu Problemen in Form<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 25<br />
-RICHTLINIEN<br />
IM NTFS-FILESYSTEM<br />
von Abstürzen, unendlichen Schleifen<br />
oder ungewollten Fehlermeldungen führen.<br />
Fallen Gruppen dieser Art auf, gilt<br />
es Gruppenkonstellationen zu überprüfen<br />
und zirkuläre Verschachtelungen zu<br />
vermeiden.<br />
Um die <strong>IT</strong>-Sicherheit zu gewährleisten,<br />
sollte die Vergabe höher privilegierte Konten<br />
(HPU) nach dem Minimalprinzip erfolgen.<br />
Mithilfe einer eigens für Microsoft-Umgebungen<br />
entwickelten Access Governance-Software<br />
lässt sich die Anzahl an Zuweisungen<br />
von Benutzern zur Domänen-Admin-Gruppe<br />
kontrollieren. Sobald<br />
das vorab festgelegte Risikolevel erreicht<br />
ist, überzeugt eine solche Lösung durch<br />
die anschauliche Darstellung von Unstimmigkeiten<br />
im Vergleich zu den Policies.<br />
Abgleich mit dem<br />
Personalsystem<br />
Insbesondere verwaiste Benutzerkonten<br />
stellen eine immense Bedrohung dar.<br />
Häufig begeben sich Cyberkriminelle<br />
explizit auf die Suche nach<br />
veralteten Konten, über die sie sich<br />
Zugang zu den Systemen verschaffen<br />
können, um Daten abzugreifen<br />
oder Schadsoftware zu installieren.<br />
Werden durch den Abgleich<br />
mit einem vorhandenen Personalsystem<br />
Benutzerkonten entdeckt,<br />
die ausgeschiedenen oder zurzeit<br />
inaktiven Personen zugewiesen<br />
sind, informiert eine angemessene<br />
Lösung über diese Auffälligkeit und<br />
ALLE UNTERNEHMEN HABEN<br />
DIE AUFGABE, DAS THEMA<br />
<strong>IT</strong>-SICHERHE<strong>IT</strong> ERNST ZU NEH-<br />
MEN UND KONTINUIERLICH<br />
FÜR DEN SCHUTZ VON DATEN<br />
ZU SORGEN.<br />
Sebastian Spethmann, Account Manager,<br />
G+H Systems GmbH, www.guh-systems.de<br />
ruft zur Deaktivierung oder Löschung<br />
des Kontos auf.<br />
Fazit<br />
Alle Unternehmen haben die Aufgabe,<br />
das Thema <strong>IT</strong>-Sicherheit ernst zu nehmen<br />
und kontinuierlich für den Schutz von<br />
Daten zu sorgen. Ob Unter- oder Überberechtigungen,<br />
noch aktive Konten von<br />
Mitarbeitern, die das Unternehmen verlassen<br />
haben, oder leere Gruppen und<br />
Gruppenmitgliedschaften<br />
– <strong>IT</strong>-Administratoren<br />
sollten über<br />
eine auf die individuellen<br />
Anforderungen<br />
abgestimmte Access<br />
Governance-Lösung<br />
verfügen, die sämtliche<br />
Ungereimtheiten<br />
in puncto Zugriffsberechtigungen<br />
aufdeckt.<br />
Sebastian Spethmann<br />
Bild 2: Übersicht über die<br />
NTFS-Filestruktur. Sowohl<br />
die NTFS- als auch die<br />
Share-Berechtigungen<br />
lassen sich erkennen.<br />
www.it-daily.net
26 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
INTELLIGENTE ACCESS<br />
GOVERNANCE &<br />
BENUTZERVERWALTUNG<br />
DEN RICHTIGEN WERKZEUGKASTEN FINDEN<br />
Die erste Einführung eines Identity and<br />
Access Management Systems (IAM) ist<br />
für die meisten Unternehmen ein von<br />
technischen Ansätzen und Lösungen geprägtes<br />
Unterfangen: <strong>IT</strong>-Prozesse werden<br />
angepasst, Anwendungssysteme an eine<br />
zentrale Datendrehscheibe angebunden,<br />
Schnittstellen erstellt und das neue<br />
IAM-System durch weniger große oder<br />
umfassendere Anpassungsarbeiten auf<br />
die Bedürfnisse des Kunden zugeschnitten.<br />
Erst eine solche technisch funktionsfähige<br />
IAM-Lösung stellt die Voraussetzung<br />
dar, sich den bestehenden erweiterten<br />
fachlichen Anforderungen an das<br />
IAM zu widmen. Identity and Access<br />
Governance (IAG) beschäftigt sich als<br />
Teilgebiet des IAMs mit der fortlaufenden<br />
Prüfung, Optimierung, Bereinigung und<br />
Kontrolle von Anwendungsberechtigungen<br />
und Unternehmensrollen über die<br />
Mitarbeiter, Kunden oder Lieferanten<br />
Zugriff auf interne oder cloudbasierte<br />
Anwendungssysteme erhalten. Es stellt<br />
durch geeignete Maßnahmen die Einhaltung<br />
von globalen oder unternehmensspezifischen<br />
Richtlinien mit Hilfe von<br />
beispielsweise regelmäßigen Berechti-<br />
gungsprüfungen (Rezertifizierungen/Attestierungen),<br />
Segregation of Duty (SoD)<br />
Regeln oder Qualitätsstandards für<br />
Stammdaten von Mitarbeitern, Berechtigungen<br />
und Geschäftsrollen sicher.<br />
IN DER PRAXIS ZEIGT SICH<br />
IMMER MEHR, WIE WICHTIG<br />
EINE GUT FUNKTIONIERENDE<br />
KOMBINATION AUS ANALYSE-<br />
VERFAHREN UND VERSTÄND-<br />
LICHER ERGEBNISAUFBEREI-<br />
TUNG FÜR FACHBEREICHE IN<br />
UNTERNEHMEN IST.<br />
Dr. Ludwig Fuchs, Geschäftsführer,<br />
Nexis GmbH, www.nexis-secure.com<br />
Während IAG meist wenig Beachtung<br />
beim initialen Aufbau von IAM-Systemen<br />
erfährt, erlangt es später im Betrieb hohe<br />
Relevanz bei der Erfüllung verschiedenener<br />
externer Anforderungen (SOX, Basel<br />
III, ISO 27001) oder auch industriespezifischer<br />
sowie interner Qualitätsstandards.<br />
Ohne eine transparente, verständlich<br />
bedienbare, audit-sichere und regulierende<br />
Steuerzentrale, ist es für Unternehmen<br />
schwer, Sicherheitsrisiken im<br />
IAM unter Kontrolle zu halten und gleichzeitig<br />
die Qualität im Berechtigungsmanagement<br />
fortlaufend zu erhöhen. Ohne<br />
die klare Definition und der technischen<br />
Durchsetzung eines Regelwerks für die<br />
Vergabe, den Entzug und die Kombinatorik<br />
von Zugriffsrechten, werden Fehlern<br />
und Sicherheitslücken unnötige Spielräume<br />
gewährt.<br />
Die Probleme in der Praxis<br />
Viele Unternehmen klagen über eine hohe<br />
Komplexität und Intransparenz ihrer Berechtigungsstrukturen.<br />
Trotz des Einsatzes<br />
von zentralen IAM-Tools erkennen Firmen<br />
immer mehr, dass IAG nicht mit einem<br />
ausschließlich technischen Ansatz gelöst<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 27<br />
werden kann. Einerseits ist es aufgrund<br />
des stetigen Wandels von fachlichen Prozessen<br />
und Organisationsstrukturen händisch<br />
unmöglich, Berechtigungsstrukturen<br />
bestehend aus vielen tausenden von Berechtigungsobjekten,<br />
fortlaufend zu kontrollieren<br />
und deren korrekten Zustand aufrecht<br />
zu erhalten. Gleichzeitig sind die<br />
<strong>IT</strong>-Abteilungen auf den Input von Fachabteilungen<br />
ohne technischen Hintergrund<br />
angewiesen. Komplexe Benutzerschnittstellen<br />
und unverständliche Informationen<br />
behindern die Kommunikation zwischen<br />
den verschiedenen Beteiligten – und lassen<br />
IAM und IAG zu einer ungeliebten<br />
Aufgabe werden.<br />
Ohne Tool-Support müssten die richtigen<br />
Daten und Informationen aus den verschiedenen<br />
Daten-Silos manuell aufbereitet,<br />
überarbeitet und dann in den<br />
Fachbereichen präsentiert und diskutiert<br />
werden. Daneben entstehen permanent<br />
neue Herausforderungen durch den technologischen<br />
Fortschritt. Beispiele hierfür<br />
sind die strukturierte Erhebung und Pflege<br />
der Verantwortlichkeiten für Berechtigungen<br />
und Geschäftsrollen (On-premises<br />
und in Cloud-Applikationen), die<br />
anwendungsübergreifende Prüfung von<br />
Richtlinienverletzungen oder die fachlich<br />
verständliche Bereinigung oder Rezertifizierung<br />
von IAM-Daten in einer immer<br />
stärker von der fortschreitenden Adaption<br />
cloudbasierter Services geprägten<br />
Systemlandschaft.<br />
Theorie & Praxis<br />
Die notwendige Datengrundlage für erfolgreiches<br />
IAG haben die meisten Unternehmen<br />
mit der technischen Einführung<br />
eines IAM-Systems bereits geschaffen. In<br />
der Praxis setzt sich jedoch immer mehr<br />
das Verständnis durch, dass eine erfolgreiche<br />
fachliche Umsetzung von IAG nur<br />
durch intelligente und dezentral einsetzbare<br />
Werkzeuge mit starkem Fokus auf<br />
die User Experience zum Einbeziehen der<br />
Fachabteilungen sichergestellt werden<br />
kann. Im Idealfall sorgt dies gleichzeitig<br />
auch für eine hohe Transparenz beziehungsweise<br />
durchgängige Nachvollziehbarkeit<br />
und erlaubt die Delegation von<br />
IAG-Tätigkeiten (etwa der Kontrolle von<br />
Prüfergebnissen, die Modellierung von<br />
neuen Berechtigungen oder das Nacharbeiten<br />
von bestehenden Geschäftsrollen)<br />
in Richtung der Fachbereiche.<br />
Der Werkzeugkasten: Das<br />
brauchen Unternehmen wirklich!<br />
a) Das Regelwerk<br />
Der erste Schritt vor einer fortlaufenden<br />
Kontrolle und korrekten Abbildung von<br />
Berechtigungen ist die Erhebung, Modellierung<br />
und Freigabe eines gültigen<br />
Satzes von IAG-Regeln. Das kann von<br />
der einfachen Abbildung einer SoD-Matrix<br />
über die Hinterlegung von Mindestqualitätskriterien<br />
für Personalstammdaten<br />
oder Berechtigungen bis hin zu Modellrestriktionen<br />
(zum Beispiel: Einschränkungen<br />
zu erlaubten Verknüpfungen<br />
von Berechtigungen und Geschäftsrollen)<br />
oder Kritikalitätsrichtlinien (zum Beispiel:<br />
Keine Geschäftsrolle darf eine<br />
geringere Kritikalität aufweisen, als die<br />
in ihr enthaltenen Berechtigungen) reichen.<br />
Eine passende Lösung muss es ermöglichen,<br />
alle relevanten Regeln ohne<br />
Anpassungen nativ umsetzen, kontrollieren<br />
und berichten zu können. Außerdem<br />
muss sie mit kollaborativen Funktionen<br />
den Aufbau und das Lifecycle-Management<br />
der Regelwerke selbst abbilden –<br />
von der Modellierung, Freigabe und<br />
Produktivsetzung einer Regel bis hin zu<br />
deren audit-gesicherten und nachvoll-<br />
1. DAS REGELWERK<br />
> SoD- & Policy Respository<br />
> Definierter Lifecycle-Prozess der Regeln<br />
Berechtigungskomplexität<br />
Erwartungshaltung Fachbereich<br />
2. IAG-WORKFLOWS<br />
> Prozesse zur Behandlung von Verletzungen<br />
> Delegations- & Eskalationsmechanismen<br />
Aufwändige Datenpräsentation<br />
Compliance-Anforderungen<br />
Controle<br />
3. FLEXIBLE KONFIGURATION<br />
> Bedarfsgerechte Präsentation für Stakeholder<br />
> Schnelle Reaktion auf Veränderungsanforderungen<br />
Bild 1: Der IAG-Werkzeugkasten<br />
von NEXIS Controle.<br />
4. EINFACHHE<strong>IT</strong> FÜR FACHBEREICHE<br />
> Verständliche Darstellung technischer Daten<br />
> Weniger Hilfeanfragen & Aufwände in der <strong>IT</strong><br />
www.it-daily.net
28 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
Start<br />
POLICY OWNER<br />
APPROVAL<br />
Default path<br />
PUBLISH POLICY<br />
End<br />
Bild 2: Konfiguration eines<br />
exemplarischen Freigabeprozesses<br />
von Regeln in NEXIS Controle.<br />
DATA PROTECTION<br />
OFFICE<br />
ziehbaren Änderung oder sogar Löschung<br />
bei Wegfall der Bedingung.<br />
<br />
Nach der Erkennung von Regelverletzungen<br />
oder fehlerhaft modellierten Berechtigungen<br />
benötigen Unternehmen eingebettete<br />
Standard-Mechanismen zur weiteren<br />
Behandlung der Ergebnisse. Insbesondere<br />
im Falle eines Regelverstoßes ist<br />
nicht alleine die Identifikation eines Verstoßes<br />
wichtig, sondern dessen Behandlung<br />
durch Korrektur oder Mitigation.<br />
Moderne Tools wie die Software NEXIS<br />
Controle unterstützen hier mit Workflow-Systemen,<br />
die nicht nur Konflikte<br />
automatisiert oder bedarfsbezogen erkennen,<br />
sondern auch die jeweiligen Verletzungen<br />
an die richtige Stelle dirigieren.<br />
Solche auf Kundenbedürfnisse zugeschnittene,<br />
erprobte und fertig verfügbare<br />
Best Practice Workflows bieten meist<br />
eine wesentlich einfachere und schnellere<br />
Konfiguration als generische und oftmals<br />
mit Programmieraufwand verbundene<br />
Workflow-Systeme.<br />
<br />
In der Praxis sehen Unternehmen immer<br />
mehr Schwierigkeiten bei einem zu hohen<br />
Grad an Customizing der eingesetzten<br />
technischen IAG-Lösung. Eine zentrale<br />
Anforderung ist die Konfigurierbarkeit<br />
von Workflows, Regeln und analytischen<br />
Funktionen ohne Anpassungen auf<br />
Code-Ebene. Vor allem im Rahmen der<br />
Kommunikation mit Fachbereichen muss<br />
für jede Stakeholder-Gruppe (Regelverantwortlicher,<br />
Abteilungsleiter, Rollenverantwortlicher,<br />
Governance-Team, …)<br />
eine möglichst passende, eigene Darstellung<br />
von Ergebnissen erfolgen: Während<br />
Abteilungsleiter mit kompakten Informationen<br />
schnell eine Entscheidung<br />
DIE WAHL DER RICHTIGEN<br />
IAG-WERKZEUGE UND DEREN<br />
KONSEQUENTER EINSATZ<br />
STELLEN NEBEN DER ORGANI-<br />
SATORISCHEN VERANKERUNG<br />
DEN WICHTIGSTEN ERFOLGS-<br />
FAKTOR FÜR IAG DAR.<br />
Dr. Michael Kunz, Head of Professional Services,<br />
Nexis GmbH, www.nexis-secure.com<br />
treffen können müssen, wollen Mitglieder<br />
einer Compliance Task-Force oder<br />
der internen Revision umfassende Auswertungsfunktionen<br />
im Rahmen des gleichen<br />
Workflows. Mit wenigen Klicks<br />
müssen Ansichten und Voreinstellungen<br />
für die jeweiligen Empfänger vorbereitet<br />
werden, so dass Anwendbarkeit und Akzeptanz<br />
gesichert sind. Diese Akzeptanz<br />
ist für die Beteiligung und Lösung<br />
von Regelkonflikten, aber auch für alle<br />
weiteren IAM-Aktivitäten wie Rezertifizierungen,<br />
Rollenmodellierung, Bereinigungsaktionen<br />
oder Freigaben von essenzieller<br />
Bedeutung. Unternehmen berichten<br />
hier häufig von Hürden durch<br />
technisch vorgegebene und starre Einstellungen,<br />
die für Verwirrung oder Unverständnis<br />
bei den jeweiligen involvierten<br />
Fachbereichen sorgen. Die Wahl eines<br />
flexiblen, einfach anzupassenden,<br />
aber trotzdem leistungsstarken IAG-Systems<br />
schafft hier Abhilfe.<br />
d) Einfachheit für Fachbereiche<br />
Besonders <strong>IT</strong>-fremde Fachbereiche und<br />
Stakeholder empfinden IAG oft als lästige<br />
Herausforderung. Halbjährliche Reviews<br />
von hunderten von Berechtigungen,<br />
die Modellierung von Rollen oder<br />
die Korrektur von Regelverletzungen<br />
kann meist nur mit Unterstützung der<br />
<strong>IT</strong>-Abteilung erfolgen. Moderne IAG-Lö-<br />
www.it-daily.net
<strong>IT</strong> SECUR<strong>IT</strong>Y | 29<br />
sungen müssen sich an aktuellen Standards<br />
für die Usability von Software orientieren<br />
und das gesamte Spektrum von<br />
umfassenden Analyseoptionen und<br />
Modellierungsfunktionalitäten für die<br />
<strong>IT</strong>-Experten bis hin zu einer einfachen<br />
Darstellung technischer Sachverhalte für<br />
nicht-<strong>IT</strong> Personal abdecken. Hierfür spielt<br />
vor allem die Nutzung geeigneter Visualisierungstechniken<br />
eine entscheidende<br />
Rolle. NEXIS Controle bietet beispielsweise<br />
mehr als 25 verschiedene matrixund<br />
tabellenbasierte Visualisierungen<br />
an, die sowohl in der <strong>IT</strong>-Abteilung Transparenz<br />
über alle Daten und deren Strukturen<br />
schaffen als auch im Fachbereich<br />
schnelle Entscheidungs- und Vergleichsmöglichkeiten<br />
erlauben. Einerseits erhöht<br />
sich dadurch die Bereitschaft zur Mitarbeit,<br />
andererseits kann das IAM-Team<br />
den Geschäftsverantwortlichen so eine<br />
Plattform bieten, in der sich Wissensträger<br />
jederzeit über die aktuelle Situation<br />
in Ihrem Bereich informieren und auf<br />
mögliche Missstände hingewiesen werden<br />
können. Moderne IAG-Lösungen wie<br />
die Software NEXIS Controle bieten die<br />
freie Konfigurierbarkeit und Bereitstellung<br />
der notwendigen Ansichten im Tool<br />
für die jeweiligen Stakeholder, die<br />
schnelle Einschränkbarkeit der nutzbaren<br />
Funktionen und ein integriertes Hilfesystem<br />
für Fachbereiche pro Aufgabenschritt.<br />
Davon profitieren in der Praxis<br />
auch die <strong>IT</strong>-Abteilungen in einem großen<br />
Maße, da die Anzahl von Hilfeanfragen<br />
aus den Fachbereichen (etwa während<br />
unternehmensweiten Rezertifizierungen)<br />
deutlich sinkt.<br />
Resümee<br />
Generell zeigt sich, dass moderne Software-Lösungen<br />
Identity and Access Governance<br />
intelligenter und damit schneller<br />
und umfassender einsetzbar machen. An<br />
dieser Stelle sei darauf hingewiesen,<br />
dass technische Lösungen jedoch immer<br />
auf die Erhebung oder das Vorliegen von<br />
eindeutigen organisatorischen Regelwerken<br />
und Zielen angewiesen sind. Sie stellen<br />
den Werkzeugkasten für die Automatisierung<br />
und die optimale Einbindung<br />
von Fachbereichen bereit und beschleunigen<br />
damit die Bewältigung der immer<br />
größer werdenden Herausforderungen<br />
im IAG- Bereich. Klare Projektstrukturen,<br />
konkrete Anforderungserhebungen und<br />
eine realistische Zeitplanung sind jedoch<br />
die unerlässliche Basis, um vom Softwareangebot<br />
profitieren zu können. NEXIS<br />
Controle als Lösung unterstützt neben der<br />
technischen Umsetzung von IAG-Funktionalitäten<br />
aus diesem Grund auch bewusst<br />
die organisatorische Komponente mit verlässlichen<br />
Analysen und datenbezogenen<br />
Aussagen, so dass schon vor dem<br />
technischen Einsatz im operativen Betrieb<br />
die Rahmenbedingungen schnell und<br />
zielgerichtet geklärt werden können. IAG<br />
entwickelt sich aktuell zu einem der wichtigsten<br />
Themen im globalen IAM-Markt,<br />
weshalb der Zeitpunkt gerade günstig ist,<br />
sich schon jetzt für die zukünftigen Herausforderungen<br />
zu wappnen.<br />
Dr. Ludwig Fuchs, Dr. Michael Kunz<br />
Bild 3: Matrix-basiertes Access Review durch den Fachbereich.<br />
www.it-daily.net
30 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
EINFACH & SICHER<br />
FERNABSICHERUNG M<strong>IT</strong> ZWEI-FAKTOR AUTHENTIFIZIERUNG<br />
Die <strong>IT</strong>-Sicherheit eines Unternehmens kann<br />
nie hoch genug sein. Roman Hugelshofer,<br />
Managing Director Application <strong>Security</strong><br />
bei Airlock – einer <strong>Security</strong>-Innovation von<br />
Ergon Informatik, sprach mit Ulrich Parthier,<br />
Herausgeber it security, über die<br />
neueste Lösung aus dem Hause Airlock.<br />
Ulrich Parthier: Ist die Zwei-Faktor--<br />
Authentifizierung (2FA) eine eigenständige<br />
Sicherheitslösung oder fester<br />
Bestandteil des Secure Access Hubs?<br />
Roman Hugelshofer: Airlock 2FA ist ein<br />
Bestandteil des Secure Access Hubs, der<br />
in Kombination mit Airlock IAM eingesetzt<br />
werden kann. Der große Vorteil dieser<br />
integrierten Lösung: Deutlich mehr Effizienz<br />
bei Access Management! Das betrifft<br />
sowohl die Systemintegration, also auch<br />
den Einsatz über alle Anwendungen und<br />
APIs hinweg. Doch was unsere Kunden<br />
am meisten begeistert, sind die einfachen<br />
Migrationsprozesse und die optimalen<br />
Workflows.<br />
Ulrich Parthier: Stehen sich Sicherheit<br />
und Usability bei der 2FA im<br />
Weg?<br />
Roman Hugelshofer: Auf den ersten Blick<br />
könnte man das meinen, denn mit zwei<br />
Schlüsseln zu hantieren ist komplizierter<br />
als mit einem. Doch wenn 2FA-Lösungen<br />
intelligent umgesetzt werden, trifft eher<br />
das Gegenteil zu. So ist es für Kunden<br />
einfacher, eine Transaktion zum Beispiel<br />
mittels Fingerprint auf dem Smartphone<br />
zu bestätigen, als umständlich Passwörter<br />
einzutippen, die man sowieso immer<br />
wieder vergisst. Das Zauberwort heißt<br />
demnach Authentifizierungs-Flow. Hier<br />
kann 2FA zu einer überzeugenden<br />
User-Experience führen.<br />
Ulrich Parthier: Was macht die Herangehensweise<br />
des Secure Access<br />
Hubs einzigartig?<br />
Roman Hugelshofer: Der wichtigste Pluspunkt:<br />
Der Secure Access Hub ist ein<br />
vorgelagerter <strong>Security</strong>-Layer, der als Gesamtlösung<br />
eine optimale Konvergenz<br />
von Application <strong>Security</strong>, API Protection<br />
und Identity Management garantiert. So<br />
wird auf der einen Seite ein ganz neues<br />
Sicherheitsniveau erreicht, auf der anderen<br />
Seite ermöglicht der Hub aber<br />
auch eine schnellere Time-to-Market und<br />
einen tieferen TCO – standardisierten<br />
<strong>Security</strong> Serices sei Dank. Sie sehen:<br />
Vom Access Hub profitieren beide – sowohl<br />
der Informatiker als auch die Finanzabteilung<br />
und am Ende der Endkunde<br />
unserer Kunden.<br />
Der Secure Access Hub ist eine Plattform,<br />
die verschiedene Komponenten<br />
zentral steuert und unter einem Dach<br />
vereint – ein Sicherheitspaket sozusagen.<br />
Dazu gehören Web Application<br />
Ulrich Parthier: Welche Form der<br />
2FA offeriert Airlock und warum?<br />
Roman Hugelshofer: Airlock ist sehr flexibel<br />
und fast jede erdenkliche Variante<br />
lässt sich umsetzen: angefangen bei Zero-Touch,<br />
einer besonders benutzerfreundlichen<br />
Möglichkeit, über One-Touch, basierend<br />
auf Push Technologie, passwortfreien<br />
Zugängen, offline Varianten bis<br />
hin zum Hardware-Token. Zudem kann<br />
die Lösung auch zur Transaktionsfreigabe<br />
oder –signierung verwendet werden. In<br />
Kombination mit den Bordmitteln von<br />
Airlock IAM mit adaptiver oder risikobasierter<br />
Authentifizierung, Social Media<br />
Login, Step-Up-Verfahren, User-Self-Services<br />
und Single Sign-on kann jeder<br />
Use-Case abgedeckt werden.<br />
AIRLOCK 2FA IST EINE<br />
AUTHENTIFIZIERUNGSLÖ-<br />
SUNG, DIE FÜR ANBIETER<br />
UND BENUTZER KEINE<br />
WÜNSCHE OFFENLÄSST.<br />
Roman Hugelshofer, Managing<br />
Director Application <strong>Security</strong>, Airlock –<br />
einer <strong>Security</strong>-Innovation von Ergon<br />
Informatik, www.airlock.com<br />
www.it-daily.net
IMPRESSUM<br />
<strong>IT</strong> SECUR<strong>IT</strong>Y | 31<br />
Firewall (WAF), Customer Identity und<br />
Access Management (cIAM), API Gateway<br />
und nun eben 2FA. Das Ganze<br />
lässt sich auch mit Single Sign-on über<br />
verschiedene Cloud-Umgebungen integrieren.<br />
Alle Sicherheitslösungen stammen<br />
aus unserer Hand und sind daher<br />
aufeinander abgestimmt. Es kommt also<br />
nicht zu den üblichen Kommunikationsproblemen<br />
zwischen den Produkten verschiedener<br />
Hersteller, die wiederum zu<br />
Sicherheitslücken führen können. Wir<br />
haben das Experten-Wissen vieler Absolventen<br />
der ETH Zürich und stehen mit<br />
der Universität in engem Kontakt. Wir<br />
sitzen in Zürich und bauen alles bei uns<br />
im Haus. Das ist echte Schweizer Qualität.<br />
Sogar der Support wird von uns persönlich<br />
geleistet.<br />
Ulrich Parthier: Wie wird der Zugriff<br />
für externe Partner umgesetzt?<br />
Roman Hugelshofer: Airlock ist so flexibel,<br />
wie die Anforderungen unserer Kunden.<br />
Entscheidend sind immer die jeweiligen<br />
Sicherheitsanforderungen. Um<br />
zwei konkrete Beispiele aus der Finanzbranche<br />
zu nennen: Bei einem Hypothekenrechner<br />
reicht ein einfaches Social<br />
Login aus. Doch beim Zugriff von Drittanbietern<br />
aus sensible Bankdaten – Stichwort<br />
„Open Banking“ und PSD2 – muss<br />
ein höheres Sicherheitsniveau erreicht<br />
werden. Mit Airlock können also unterschiedliche<br />
Authentifizierungsprozesse<br />
umgesetzt werden – ganz spezifisch für<br />
jeden individuellen Use-Case. Egal, ob<br />
über Web-Applikationen, eigene APIs<br />
oder solche von Drittanbietern.<br />
Ulrich Parthier: Wie werden die<br />
Daten der Mitarbeiter geschützt?<br />
Roman Hugelshofer: Da der Hub alles<br />
mitbringt, was es für eine optimale <strong>IT</strong>-<strong>Security</strong><br />
braucht, umfasst Airlock auch eine<br />
Web Application Firewall und ein<br />
API <strong>Security</strong> Gateway. Damit ist der<br />
Schutz von Mitarbeiterdaten jederzeit<br />
gewährleistet, wobei die internen Benutzer<br />
ebenfalls von einer starken und risikobasierten<br />
Authentifizierung profitieren.<br />
Auch passwortfreie sichere Zugänge<br />
im Homeoffice über VPN können für<br />
die Mitarbeiter einfach umgesetzt werden.<br />
Ulrich Parthier: Wo liegen Fallstricke<br />
im Bereich 2FA und Compliance?<br />
Roman Hugelshofer: Die erste gute Nachricht:<br />
Viele Regulatoren und Gesetze verlangen<br />
eine starke Authentifizierung.<br />
Und starke Authentifizierung heißt heute<br />
Zwei-Faktor-Authentifizierung. Somit ist<br />
ein wichtiges Compliance-Thema mit<br />
2FA schon gelöst. Und die zweite gute<br />
Nachricht: Neben den allgemeinen<br />
Richtlinien, zum Beispiel der DSGVO,<br />
gibt es oft spezifische Branchenbestimmungen<br />
– etwa für das elektronische Patientendossier<br />
(EPDG) oder die europäische<br />
Zahlungsdienstleister (PSD2 oder<br />
PCI-DSS). Auch diesen Regulationen<br />
wird 2FA jederzeit gerecht und das dank<br />
vollständiger Integration in den Secure<br />
AccessHubs auch über externe APIs von<br />
Drittanbietern hinweg.<br />
Ulrich Parthier: Wie schnell lässt sich<br />
2FA integrieren?<br />
Roman Hugelshofer: Das ist eine der<br />
brennendsten Fragen, die sich viele unserer<br />
Kunden stellen und meistens gehen<br />
sie von aufwändigen Projekten aus. Unsere<br />
Ansprechpartner sind dann stets<br />
positiv überrascht, wenn sie erfahren,<br />
dass sich Airlock IAM innerhalb weniger<br />
Tage integrieren lässt – und dass inklusive<br />
Rollout- und Migrationsprozessen.<br />
Ulrich Parthier: Herr Hugelshofer, wir<br />
danken für dieses Gespräch.<br />
THANK<br />
YOU<br />
Chefredakteur:<br />
Ulrich Parthier (-14)<br />
Redaktion:<br />
Silvia Parthier (-26), Carina Mitzschke<br />
Redaktionsassistenz und Sonderdrucke:<br />
Eva Neff (-15)<br />
Autoren:<br />
Björn Eibich, Nicolas Fischbach, Andreas Fuchs, Dr. Ludwig<br />
Fuchs, Gerhard Giese, Dr. Michael Kunz, Barry McMahon,<br />
Carina Mitzschke, Sebastian Spethmann, Joe Weidner<br />
Anschrift von Verlag und Redaktion:<br />
<strong>IT</strong> Verlag für Informationstechnik GmbH<br />
Ludwig-Ganghofer-Str. 51, D-83624 Otterfing<br />
Tel: 08104-6494-0, Fax: 08104-6494-22<br />
E-Mail für Leserbriefe: info@it-verlag.de<br />
Homepage: www.it-daily.net<br />
Alle Autoren erreichen Sie über die Redaktion.<br />
Wir reichen Ihre Anfragen gerne an die Autoren weiter.<br />
Manuskripteinsendungen:<br />
Für eingesandte Manuskripte wird keine Haftung übernommen.<br />
Sie müssen frei sein von Rechten Dritter. Mit der Einsendung<br />
erteilt der Verfasser die Genehmigung zum kostenlosen<br />
weiteren Abdruck in allen Publikationen des Verlages. Für die<br />
mit Namen oder Signatur des Verfassers gekennzeichneten<br />
Beiträge haftet der Verlag nicht. Die in dieser Zeitschrift veröff<br />
entlichten Beiträge sind urheberrechtlich geschützt. Übersetzung,<br />
Nachdruck, Vervielfältigung sowie Speicherung in Datenver<br />
arbeitungsanlagen nur mit schriftlicher Genehmigung<br />
des Verlages. Für Fehler im Text, in Schaltbildern, Skizzen, Listings<br />
und dergleichen, die zum Nichtfunktionieren oder eventuell<br />
zur Beschädigung von Bauelementen oder Programmteilen<br />
führen, übernimmt der Verlag keine Haftung. Sämtliche<br />
Veröff entlichungen erfolgen ohne Berücksichtigung eines<br />
eventuellen Patentschutzes. Ferner werden Warennamen ohne<br />
Gewährleistung in freier Verwendung benutzt.<br />
Herausgeberin:<br />
Dipl.-Volkswirtin Silvia Parthier<br />
Layout und Umsetzung:<br />
K.design | www.kalischdesign.de<br />
mit Unterstützung durch www.schoengraphic.de<br />
Illustrationen und Fotos:<br />
Wenn nicht anders angegeben: shutterstock.com<br />
Anzeigenpreise:<br />
Es gilt die Anzeigenpreisliste Nr. 27.<br />
Preisliste gültig ab 1. Oktober 2019.<br />
Mediaberatung & Content Marketing-Lösungen<br />
it management | it security | it daily.net:<br />
Kerstin Berthmann<br />
Telefon: 08104-6494-19<br />
E-Mail: berthmann@it-verlag.de<br />
Karen Reetz-Resch<br />
Home Office: 08121-9775-94,<br />
Mobil: 0172-5994 391<br />
E-Mail: reetz@it-verlag.de<br />
Online Campaign Manager:<br />
Vicky Miridakis<br />
Telefon: 08104-6494-21<br />
miridakis@it-verlag.de<br />
Objektleitung:<br />
Ulrich Parthier (-14)<br />
ISSN-Nummer: 0945-9650<br />
Erscheinungsweise:<br />
10x pro Jahr<br />
Verkaufspreis:<br />
Einzelheft 10 Euro (Inland),<br />
Jahresabonnement, 100 Euro (Inland),<br />
110 Euro (Ausland), Probe-Abonnement<br />
für drei Ausgaben 15 Euro.<br />
Bankverbindung:<br />
VRB München Land eG,<br />
IBAN: DE90 7016 6486 0002 5237 52<br />
BIC: GENODEF10HC<br />
Beteiligungsverhältnisse nach § 8, Absatz 3 des<br />
Gesetzes über die Presse vom 8.10.1949: 100 %<br />
des Gesellschafterkapitals hält Ulrich Parthier, Sauerlach.<br />
Abonnementservice:<br />
Eva Neff<br />
Telefon: 08104-6494 -15<br />
E-Mail: neff@it-verlag.de<br />
Das Abonnement ist beim Verlag mit einer<br />
dreimonatigen Kündigungsfrist zum Ende des<br />
Bezugs zeitraumes kündbar. Sollte die Zeitschrift<br />
aus Gründen, die nicht vom Verlag zu<br />
vertreten sind, nicht geliefert werden können,<br />
besteht kein Anspruch auf Nachlieferung oder<br />
Erstattung vorausbezahlter Beträge<br />
www.it-daily.net
Visionen, Träume,<br />
Ziele auf den Punkt<br />
gebracht!<br />
Expertenwissen für<br />
<strong>IT</strong>-Strategien & Innovationen<br />
www.it-daily.net