IT Security Juli/August 2020

JULI/AUGUST 2020
DAS
SPEZIAL
CYBERSICHERHEITSINVESTITIONEN
ROI IN DER
IT SECURITY
Uwe Gries, Stormshield
INTELLIGENTES
IAM-SYSTEM
ENDPOINT
DETECTION
VPN-
KONZENTRATOREN
Das richtige Werkzeug
Neue Bedrohungen
Absicherung durch Deception
www.it-daily.net

IAM CONNECT 2020
Die Brücke zu neuen Geschäftsmodellen
30.11. bis 02.12.2020 2020
Berlin Marriott Hotel – Inge-Beisheim-Platz
www.iamconnect.de
Save
the
Date!
Eine Veranstaltung von
&

7
20
INHALT
COVERSTORY
11
4 Cybersicherheitsinvestitionen
Wie misst man den ROI in der IT Security?
7 Tetra/PMR
Funknetze in Zeiten von Cyberbedrohungen
4COVERSTORY
IT SECURITY
8 Endpoint Detection & Respond
Neue Bedrohungen erfordern neue
Security-Ansätze
12 Emotet-Malware
Cyberkriminelle nutzen Covid-19 Spam
zur Verbreitung
14 VPN-Konzentratoren
Absicherung durch Deception
18 Neues Arbeiten, neue Sicherheit
Remote-Arbeit wird bleiben
20 Integrierter Sicherheitsansatz
Die Dynamik der Cloud
zwingt Unternehmen dazu
22 Der IoT-Inspektor sorgt für Ordnung
Die Alternative zum klassischen
Penetration Testing
24 Microsoft-Best-Practice-Richtlinien
Überwachung der Berechtigungsvergaben im
Active Directory (AD) und im NTFS-Filesystem
26 Intelligente Access Governance &
Benutzerverwaltung
Den richtigen Werkzeugkasten finden
30 Einfach & Sicher
Fernabsicherung mit Zwei-Faktor
Authentifizierung

4 | IT SECURITY
CYBERSICHERHEITS-
INVESTITIONEN
WIE MISST MAN DEN ROI IN DER IT SECURITY?
Während in der Betriebswirtschaft der
ROI als Rentabilitätskennzahl wichtig ist,
sieht es bei Investitionen in die IT-Sicherheit
anders aus. Dort gibt es den ROSI.
Er berechnet, wie hoch der Schaden für
das Unternehmen sein könnte, wenn IT-Sicherheits-Investitionen
unterbleiben. Uwe
Gries, Country-Manager DACH bei
Stormshield, spricht darüber mit Ulrich
Parthier, Herausgeber it security.
Ulrich Parthier: ROI („Return on Investment“)
von Cybersecurity-Investitionen
oder ROSI („Return on Security
Investment“): Welcher Begriff ist zutreffender?
Uwe Gries: Der ROI ist eine Rentabilitätskennzahl
für eine bestimmte Investition.
Er hilft normalerweise dabei zu entscheiden,
ob ein Kauf getätigt oder ausgelassen
werden sollte oder wie sich eine bestimmte
Investition bisher (positiv oder
negativ) entwickelt hat.
Die ROI-Gleichung funktioniert nur bei Investitionen,
die positive Ergebnisse erzielen,
also etwa Kosteneinsparungen oder
Ertragssteigerungen. Ausgaben für die
Cybersicherheit erhöhen weder die Erträge
direkt, noch sorgen sie für eine sofortige
Amortisation. Es geht hingegen
grundsätzlich um Schadensverhütung
und -begrenzung, also um Risikomanagement-Maßnahmen.
Der ROSI zielt
daher darauf ab, perspektivisch zu berechnen,
wie hoch die Verluste wären,
die eine Organisation durch ihre Investitionen
zur Absicherung ihrer Infrastruktur
und Daten vermeiden kann. Die Berechnungsformel
des ROSI unterscheidet sich
zudem deutlich von der für den ROI aufgrund
der Unmenge an zu berücksichtigenden
Variablen.
Ulrich Parthier: Warum ist die
ROI-Berechnung in Bezug auf IT-Sicherheit
so komplex?
Uwe Gries: Der Kern der Aufgabe ist es,
den finanziellen Nutzen der Sicherheitsausgaben
zu beziffern. Allerdings fallen
unter die Kalkulationsvariablen sowohl
mögliche Lösegeldforderungen (Ransomware)
als auch direkte oder indirekte
Kosten für die Wiederinstandsetzung der
Systeme nach einem Cyberangriff, dessen
Schweregrad zu dem Auswertungszeitpunkt
nicht definierbar ist. Potenzielle
Geldstrafen aufgrund aktueller Gesetzeslagen,
deren Höhe nur gemutmaßt werden
kann, und/oder die Verluste durch
die rufschädigenden Auswirkungen eines
Sicherheitsvorfalls müssen ebenfalls
mit einkalkuliert werden.
Hinzu kommt die Tatsache, dass ein bestimmtes
Risiko für eine Organisation viel
relevanter sein kann als für andere Unternehmen,
was natürlich die Gewichtung
aller Faktoren maßgeblich beeinflusst.
Wie viel kostet zum Beispiel eine Stunde
Nichtverfügbarkeit einer beliebten
E-Commerce-Website während des
Schlussverkaufs aufgrund eines DDoS-Angriffs?
Wie hoch sind die Schäden für
eine ausgespähte Erfindung, die noch
nicht patentiert wurde, oder für den Verlust
von Patientenakten?
Ulrich Parthier: Ergibt es überhaupt
Sinn, eine Kalkulation basierend auf
Prognosen anzustellen? Gibt es keine
felderprobten Modelle, worauf IT-Manager
zurückgreifen können?
Uwe Gries: Wir sind der Meinung, die
Vorteile geeigneter IT-Sicherheitsmaßnahmen
sollten mittlerweile so klar auf
der Hand liegen, dass sich die ROSI-Berechnung
von vornherein erübrigt. Doch
bedauerlicherweise ist das heute nicht
der Fall. Die Kalkulation wird unerlässlich,
wenn man, dem allgemein verbreiteten
Kostenvermeidungsprinzip zum
Trotz, das Budget verhandelt. Ohne eine
klare Kehrtwende der aktuellen Wahrnehmung
der Cybersicherheit als Kostenfaktor
wird uns diese Haltung noch lange
begleiten.
Bei der ROI-Messung wäre es nur wünschenswert,
sich auf Modelle stützen zu
können, doch erschwert es die Vielfalt
der zu bewertenden Risiken, allgemein
gültige Bezugswerte für diese Bewertung
zu erschaffen. Statistiken oder Daten
über bekannte Sicherheitsvorfälle bei
ähnlichen Unternehmen können zur Orientierung
beitragen, doch im Endeffekt
muss diese Kalkulation ad hoc durchgeführt
werden, auch unter Berücksichtigung
der Tatsache, dass sich die zu evaluierenden
Cybersicherheitslösungen
parallel zum jeweils auszumerzenden
Cyberrisiko differenzieren.
Dabei bleibt den CISOs („Chief Information
Security Officer“) oder Sicherheitsbeauftragten
nicht viel mehr übrig, als
auf die x Mio. Euro an Verlusten hinzuweisen,
die vermieden werden könnten,
wenn man einen Bruchteil davon in die
www.it-daily.net

IT SECURITY | 5
Absicherung der eigenen Infrastruktur investiert,
anstatt deren Vorzüge zu benennen.
Im Grunde zwingt man dadurch
den IT-Manager in die Rolle des Versicherungsmaklers,
der auf Gefahren hinweist,
um Policen zu verkaufen. Doch die
Cybersicherheit ist viel mehr als das.
Zusätzlich zu diesen bereits komplexen
Berechnungen müssten zwei weitere Aspekte
berücksichtigt werden. Der erste
geht auf die Tatsache zurück, dass Lösungen
für Cybersicherheit häufig mit Funktionen
verbunden sind, die sich nicht unbedingt
auf das digitale Cybernetz beziehen.
Es geht also um Komplexitätsfragen.
Eine Firewall beispielsweise geht mit
einer QoS-Verwaltung, einer URL-Filterung
oder der Verwaltung von Mehrfachverknüpfungen
einher und gewährt damit
eine bessere Konnektivität für die wichtigsten
Nutzungsbereiche. Auf dieselbe
Weise bieten die Funktionen SSL-VPN
und IPSec-VPN die Gelegenheit, Telearbeit
oder Fernwartung einzurichten, was
wiederum die Produktivität erhöhen kann.
Durch das Hinzufügen einer Cybersicherheitsschicht
kann man im Allgemeinen
bestimmte Nutzungsbereiche, für die zuvor
die Anwesenheit des Mitarbeiters erforderlich
war, modernisieren.
Wie gewinnbringend die Investition in Security
für das Unternehmen ist, wird leider
viel zu oft unter den Teppich gekehrt.
Ulrich Parthier: Trotz der oben genannten
Hindernisse gibt es ja erste
Lösungen. Ist beispielsweise das
EBIOS-Riskmanager-Verfahren dafür geeignet,
dass Unternehmen ihre eigenen
Risiken identifizieren und verstehen?
Uwe Gries: Ja, das wäre ein pragmatischer
Ansatz. Mit dieser Methode wird
jeder Cyberangriffstyp aufgelistet, anhand
seiner Auswirkung für das Unternehmen
eingestuft und mit einem Kostenaufwand
versehen. Dadurch wird es
möglich, anschließend einen Plan zur Risikobehandlung
(Antivirensoftware, Firewalls,
Unternehmenssensibilisierung
www.it-daily.net

6 | IT SECURITY
Ulrich Parthier: Gibt es Beispiele von
Unternehmen, die diesen Sprung geschafft
haben?
usw.) einzuführen, der wiederum klar bezifferbar
ist. Somit kann also eine
ROI-Analyse durchgeführt werden, indem
die zu investierende Summe von den zu
erwartenden Verlusten abgezogen wird.
Sobald die Berechnung abgeschlossen
wird, ist es wichtig, im Rahmen der Logik
der Kostenkontrolle auch die Effektivität
des Risikomanagementplans zu
evaluieren. Und darin liegt eine weitere
Hürde: Wenn es eine Lösung für Zwischenfälle
gibt, aber kein solcher vorkommt,
liegt das daran, dass es keinen
Zwischenfall gegeben hat oder dass die
eingesetzte Lösung effizient ist? Selbst
wenn die regelmäßige Kontrolle der
Logs über versuchte Cyberangriffe eine
Antwort darauf geben können, ist es sogar
empfehlenswert, stets Zweifel an der
Effizienz der Lösung zu haben. Penetrationstests
schaffen hier oft Abhilfe, doch
die Rentabilität von dieser Art von Cybersicherheits-Investitionen
zu begründen,
ist keine
leichte e Aufgabe, denn
genau genommen m
verdient en
das Unternehmen
en
durch diese e
Penetrationstests
etr
nst
es
ts
ebenfalls kein Geld.
Ulrich Parthier: r: Aber müssen beim
kostenorientierten ori
nti
er
t n
Ansatz nicht ebenfalls
die Schutzmaßnahmen m n effizient ent
gestaltet
werden?
Uwe Gries: Darin liegt eben die aktuell
größte Herausforderung hinsichtlich h
h der
Cybersicherheit. Man versucht,
den Mix
an Lösungen möglichst zu optimieren,
e
ohne dabei auf Pluralität lit
oder eine ez
zweite
Verteidigungslinie zu verzichten. Das
ist bei diesem Ansatz alles andere e als
einfach.
DER ROSI ZIELT DAHER DAR-
AUF AB, PERSPEKTIVISCH ZU
BERECHNEN, WIE HOCH DIE
VERLUSTE WÄREN, DIE EINE
ORGANISATION DURCH IHRE
INVESTITIONEN ZUR ABSICHE-
RUNG IHRER INFRASTRUKTUR
UND DATEN VERMEIDEN
KANN.
Uwe Gries,
Country-Manager DACH, Stormshield,
www.stormshield.com
Ulrich Parthier: Wie kann man einen
qualitativen Sprung in Bezug auf die
Cybersicherheit praxisnah erreichen?
Uwe Gries: Die Messung des ROI bei
Cybersicherheit liegt genau zwischen
der Risikoanalyse und der Rationalisierung
der Schutzmaßnahmen und ist damit
eine e
komplexe e Aufgabe. Was
sich
langsam a
abzuzeichnen enbeginnt, n ist die
Notwendigkeit, t, das Paradigma zu ändern
und von einer absolut quantitativen
Analyse zu einer, er,
die auch den qualitati-
ati
ven Faktor berücksichtigt, umzuschwen-
u
ken. Beim Wechsel el
von einem em
ausschließlich
monetär orientierten ROI, der auf
dem Kostenansatz basiert, hin zu einer
Rentabilität, i
die sich schwerpunktmäßig
auf den Wert der Investitionen in Sicherheit
konzentriert, ntri rt, wird vollständig die
Perspektive e
geändert. er
Es ist höchste Zeit,
dass s die Führungsebenen nen
Cybersicherheit
auch als eine Gelegenheit und nicht
mehr als eine Bedrohung oder als Kostenfaktor
wahrnehmen!
e d nn rung der Sc
Uwe Gries: Die gibt es tatsächlich. Zum
Beispiel ein Modell, bei dem die Monetarisierung
von Investitionen in Cybersicherheit
Geld einbringen kann. Vor kurzem
hat beispielsweise die französische
Geschäftsbank Société Générale „OP-
PENS“ eingeführt, einen auf Kleinst- bzw.
kleine und mittlere Unternehmen ausgerichteten
sicheren Coaching-Service. Das
Ziel: Intern entwickeltes Know-how an
andere Firmen zu verkaufen und damit
diese Investitionen zu monetarisieren.
Ein weiteres Paradebeispiel aus Frankreich:
Imprimerie nationale, die öffentliche
Einrichtung, die französische Reisepässe
und Personalausweise druckt.
2018 führte die Staatsdruckerei die Anwendung
INWallet ein, eine Lösung zur
Sicherung der digitalen Identität. Bei diesen
beiden Beispielen ermöglicht der Verkauf
von Cyberdiensten eine Erweiterung
des Service-Angebots und stellt somit die
Möglichkeit dar, Geld zu verdienen.
Darüber hinaus ist noch ein weiterer Aspekt
es wert, angesprochen zu werden:
Immer öfter kommen Ausschreibungen
vor – insbesondere die von großen Auftraggebern
–, bei denen die von den
Kandidaten getroffenen Maßnahmen für
IT-Sicherheit in zunehmendem Maße bewertet
werden, sprich ein Auswahlkriterium
darstellen. Cybersicherheit kann also
ein Unterscheidungsmerkmal gegenüber
dem Wettbewerb werden.
Ulrich Parthier: Herr Gries, wir dan-
ken
für
das Gespräch!
THANK
YOU
www.it-daily.net tda

IT SECURITY | 7
TETRA/PMR
FUNKNETZE IN ZEITEN
VON CYBERBEDROHUNGEN
Die in den 1990er-Jahren entwickelten
TETRA-Netze („Terrestrial Trunked Radio“)
sind für Notfalldienste bestimmt.
Dieser Standard dient als Grundlage für
den Aufbau von professionellen mobilen
Funknetzen, auch PMR-Netze („Professional
Mobile Radio“) genannt, kritischer
Art. Doch mit der Weiterentwicklung der
Technologien und dem Aufschwung neuer
Einsatzpraktiken – wie der massiven
Migration zu IP-Protokollen – müssen diese
Netze zunehmenden Cyberbedrohungen
standhalten.
Die PMR-Netze, von denen wir hier sprechen,
sind einfach zu definieren: Netzwerke,
die weiter funktionieren müssen, wenn
alles andere fehlschlägt. Ihre wichtigsten
Nutzer sind Dienste wie Feuerwehr, Rettungswagen,
Krankenhäuser, Arztpraxen,
Polizei oder auch Flughäfen, alles Dienste,
die auch in Notfällen kommunizieren müssen,
und zwar intern wie auch miteinander
im Rahmen einer Koordination durch
eine Behörde oder ein Regierungsorgan.
Solche Netzwerke können auch in sensiblen
industriellen Infrastrukturen wie Raffinerien
vorkommen, damit man auch dort
kommunizieren kann, wo es keine öffentlichen
Infrastrukturen gibt, etwa auf einer
Offshore-Plattform.
Zuverlässiger Betrieb
Grundsätzlich werden PMR-Netze in allen
Situationen eingesetzt, die mit einer
Gefährdung des Einzelnen verbunden
sind – von den Verkehrsmitteln (U-Bahn,
Züge) bis zu Freizeitveranstaltungen
(Vergnügungsparks, Stadien), wo es
nachteilig wäre, auf Telefonantennen
angewiesen zu sein, die bei einer Störung
den gesamten Betrieb lahmlegen
könnten. Ein verlässlicher Betrieb muss
deshalb für diese PMR-Netze zwingend
sichergestellt sein, was aber keine
Selbstverständlichkeit ist: Das PMR-System
der belgischen Polizei war zum Beispiel
im März 2016 während der Attentate
in Brüssel vollkommen überlastet.
Die Infrastruktur war nicht darauf ausgelegt,
derartige Aktivitätsspitzen bewältigen
zu können. Um die Rettungsmaßnahmen
durchführen zu können,
mussten die Dienste zu der Zeit über
WhatsApp (!) kommunizieren.
Eine andere Besonderheit: Die Vertraulichkeit
der Kommunikationen ist hier kritischer
als sonst. Die ausgetauschten Informationen,
die manchmal gemäß den für den
Verteidigungssektor spezifischen Berechtigungsebenen
eingestuft sind, unterliegen
größeren operativen Anforderungen.
Die nächste Generation
Mit der Migration der PMR-Netze zu moderneren
und leistungsfähigeren Architekturen,
die auf dem IP-Protokoll basieren,
sind PMR-Netze der neuen Generation
den „klassischen“ Cyberrisiken ausgesetzt
(Manipulation, Missbrauch,
Weitergabe von Daten).
Der Schutz der PMR-Netze erweist sich
somit als wesentlich. Um von einem einfachen
Computernetzwerk in ein PMR-
Netz zu gelangen, benötigt man umfangreichere
Mittel, als gewöhnliche
Hacker sie benutzen. Das Risiko eines
komplexen Angriffs ist daher hoch. Es ist
in der Tat möglich, Daten, die über ein
PMR-Netz laufen, abzufangen und zu
verändern und zum Beispiel irreführende
Anweisungen zu erteilen.
Daher können die Organisationen oder
Unternehmen, die PMR-Netze nutzen,
als Betreiber essenzieller Dienste eingestuft
werden, für die die Verwendung
von zertifizierten oder auch qualifizierten
Sicherheitsprodukten Pflicht ist. Obschon
die Standardisierung der
PMR-Dienste in den 4G-Netzen noch
läuft, steht bereits das 5G vor der Tür.
Um im Rennen zu bleiben, müssen sich
daher alle Akteure (Betreiber wie Kunden)
über die Zukunft dieser Infrastrukturen
verständigen. Und über die technologischen
Entwicklungen, die die Kapazitäten
dieser Netze erhöhen. Zum Beispiel
könnten mit höheren Durchsatzraten
mehr kritische Daten übertragen werden.
Dadurch werden sie noch kritischer,
als sie es heute schon sind. Prävention
und mehr Sicherheit sind deshalb
die Schlüsselwörter, damit diese
neuen Technologien nicht mit neuen
Schwachstellen behaftet sind.
www.stormshield.com
www.it-daily.net

8 | IT SECURITY
ENDPOINT DETECTION &
NEUE BEDROHUNGEN ERFORDERN NEUE SECURITY-ANSÄTZE
Die Digitalisierung lässt Unternehmensgrenzen
schmelzen. In der Vergangenheit
war es ausreichend, den Schutz gegen
Angriffe von außen zu maximieren.
Heute aber müssen Unternehmen davon
ausgehen, dass sie jederzeit und überall
kompromittiert werden können.
Die IT-Landschaft wird komplexer und traditionelle
Sicherheitsmaßnahmen wie
Antivirus und Firewall reichen mittlerweile
nicht mehr aus. Cyberkriminelle entwickeln
ihre Methoden und Werkzeuge
kontinuierlich weiter. Darüber hinaus
gibt es inzwischen einen richtigen Cybercrime-Handel:
Kriminelle bieten ihre
Dienstleistungen oder Produkte im Darkweb
an. Nicht jeder Cyberkriminelle
muss also noch ein Experte oder Hacker
sein und so steigt die Zahl der Cyberangriffe
seit Jahren stetig.
Mittelständische Unternehmen, der Industriesektor
und Organisationen mit kritischer
Infrastruktur (KRITIS) sind in dieser
Situation besonders bedroht. Der Mittelstand
verfügt selten über das Know-how
und die Ressourcen, Cybersecurity erfolgreich
selbst umzusetzen. Industrie
und KRITIS hingegen besitzen besonders
wertvolle Daten, etwa im Hinblick auf
Industriespionage als auch persönliche
Daten, und zeigen zudem eine hohe
Zahlungsbereitschaft im Falle von Systemeinschränkungen
oder Produktionsstillstand.
Hacker beobachten sie genau,
um sie anschließend mit maßgeschneiderten
Attacken wie Advanced Persistant
Threats und dateilosen Angriffen (Livingoff-the-Land)
zu attackieren. Bei beiden
Taktiken wollen Angreifer zunächst unentdeckt
und so lange wie möglich handlungsfähig
bleiben, um mehr sensible
Daten abzugreifen und/oder größeren
Schaden anzurichten. Dabei bleiben sie
laut einer Studie durchschnittlich über
200 Tage unentdeckt.
Ein ganzheitlicher
Sicherheitsansatz
In digitalen Unternehmen tauschen sich
Systeme untereinander aus und bilden
sogenannte Touch Points. In der Wertschöpfungskette
sind dadurch viele Akteure
innerhalb eines Unternehmens,
aber auch außerhalb eines Unternehmens
digital verbunden – überall dort,
wo Mitarbeiter, Partner und Kunden miteinander
interagieren. Zum einen nehmen
damit Datenmengen zu und müssen
geschützt werden. Zum anderen hat ein
digitales Unternehmen keine physischen
„Grenzen“ (Perimeter) mehr.
Der Schutz vor Bedrohungen muss daher
weg von den klassischen Perimetern hin
zu den Endpunkten: Es kann nicht mehr
von vertrauenswürdigen Anwendern innerhalb
oder außerhalb des Netzwerks
ausgegangen werden, deshalb müssen
Daten dort geschützt werden, wo sie sind
und von wo aus der Zugriff auf sie erfolgt.
Zudem müssen Mitarbeiter in Sachen
IT-Sicherheit fortwährend trainiert und
sensibilisiert werden. Sei es durch Social
Engineering oder Unwissenheit, beabsichtigt
oder unbeabsichtigt – menschliches
Fehlverhalten ist eines der größten
Sicherheitsrisiken und eine unternehmensinterne
Bedrohung für Systeme. Das
Konzept „Zero Trust Security“ beschreibt
einen ganzheitlichen Sicherheitsansatz.
Um die Gefahr von externen und internen
Bedrohungen zu eliminieren, gilt das
Motto „Never trust, always verify“. Nut-
www.it-daily.net

IT SECURITY | 9
RESPONSE
EINE INTELLIGENTE ZERO
TRUST-LÖSUNG BIETET DABEI MAXIMALE
SICHERHEIT, OHNE DIE PRODUKTIVITÄT
ZU BEEINTRÄCHTIGEN.
Andreas Fuchs, Vice President Product Management, DriveLock,
www.drivelock.de
zer müssen sich deshalb immer authentifizieren
und erhalten so wenig Rechte
wie nötig.
Dieser datenzentrierte, umfassende Sicherheitsansatz
schützt Systeme und Daten
so vor unberechtigten Zugriffen, Missbrauch
und Verlust.
Das Sicherheitskonzept nach
Zero Trust
Zero Trust verbindet mehrere Schutzmechanismen
und ist mehr als eine Kombination
verschiedener Security Tools. Ein
umfassendes Zero Trust-Konzept berücksichtigt
den Schutz des Netzwerks, von
Workloads (Arbeitslasten), Geräten und
Daten. Das umfasst die Zugriffskontrolle
auf diese Komponenten und damit verbunden
die Unterteilung in Segmente,
Verschlüsselung, wie auch die Be- und
Einschränkung von bestimmten Anwendungen,
Geräten und Aktivitäten. Beispielsweise
müssen sich Anwender für
jeden Zugriff authentifizieren, Neuinstallationen
werden gesperrt oder es dürfen
nur ausgewählte USB-Sticks angeschlossen
und sensible Daten nicht kopiert oder
verändert werden. Besonders hohe Sicherheit
gewährleistet das Zero Trust-Modell,
weil es nicht zwischen internen und
externen Nutzern unterscheidet. Jeder
muss sich verifizieren und nur bestimmte
Aktivitäten sind erlaubt. Im Kern orientiert
sich ein Zero Trust-Konzept an den
folgenden vier Schritten: Discover, Prevent,
Detect & Respond.
Im Schritt „Discover“ ist
das sogenannte Inventory die
Basis von Zero Trust: Unternehmen benötigen
einen vollständigen Überblick über
Systeme, Infrastruktur, Daten, Workloads,
Anwendungen und Hardware. Denn wie
sollen sie etwas schützen, das sie nicht
kennen? Das Zero Trust-Konzept startet
deshalb mit einer Übersicht über alle Endpunkte
im Unternehmensnetzwerk. Anschließend
wird deren Sicherheitszustand
ermittelt. Welche Applikationen und Endgeräte
werden verwendet? Welcher Nutzer
hat worauf Zugriff? Wo befinden sich
Daten und wie sind sie geschützt? Werden
nur Daten auf Festplatten verschlüsselt
oder auch auf Wechseldatenträgern? Ist
der Zugriff mit Identity und Access Management
(IAM) abgesichert, zum Beispiel
mit Virtual Smart Cards? Welche internen
Maßnahmen erhöhen das Sicherheitsbewusstsein
der Belegschaft? So
können Security-Teams Schwachstellen
schnell erkennen und beheben.
Im Schritt „Prevent“ werden
anschließend umfangreiche
Präventionsmaßnahmen eingeführt,
um Risiken zu reduzieren. Dazu gehören
auch Trainings, um die Security Awareness
der Belegschaft zu erhöhen und Schäden
durch menschliches Fehlverhalten zu
eliminieren. Zudem empfiehlt Zero Trust
als datenzentrierter Security-Ansatz konsequent
die Verschlüsselung von Unterwww.it-daily.net

10 | IT SECURITY
nehmensdaten – egal ob auf lokalen Servern,
in der Cloud, während der Übertragung,
im Einsatz oder auf Wechseldatenträgern.
Dabei erhalten Nutzer
grundsätzlich nur so viel Zugriff wie notwendig.
Die Kontrolle über den Datenzugriff
und die Möglichkeit der Analyse des
Zugriffsverhaltens bieten IAM-Lösungen.
Application Control (AC) und Device Con-
trol (DC) lassen nur ausgewählte Anwendungen
und Geräte zu. Predictive Whitelisting
schützt im Gegensatz zum Blacklisting
auch vor unbekannter Malware
sowie Zero-Day-Exploits. Intelligente Algorithmen
reduzieren den administrativen
Aufwand, die Whitelist zu pflegen, da sie
zum Beispiel verifizierte sichere Updates
erkennen. Je granularer die Konfigurationsmöglichkeit
bei AC ist, umso besser
sind Systeme geschützt, ohne die Produktivität
einzuschränken. Diese Tools fallen
größtenteils unter Endpoint Protection.
Das Zero Trust-Konzept
geht weiter
Präventionsmaßnahmen alleine genügen
dem hohen Sicherheitsanspruch im Zero
Trust-Modell nicht, denn selbst das geringste
Restrisiko ist eine Chance für Hacker.
Daher spielen in einer Zero
Trust-Umgebung Detection und Response,
auch „Threat Hunting“ genannt, eine
große Rolle. Diese Bereiche befassen
sich damit, Bedrohungen proaktiv zu
identifizieren und zu eliminieren, wo Prevention
nicht (mehr) greift.
Mit Behavioral Analysis sind Angreifer
im Netzwerk schnell zu erkennen, vor
allem neue Angriffsmethoden wie Livingoff-the-Lands.
Als Voraussetzung für erfolgreiches
Analysis & Forensics korreliert
Detection das Verhalten mit Aktivitäten
und zeigt, welche Aktion welchen
Prozess aufgerufen hat. Ist im Netzwerk
zum Beispiel zwischen 10:00-12:00 Uhr
regelmäßig ein bestimmtes Datenvolumen
in Bewegung, stuft das Modell dies
als normales Nutzerverhalten ein. Werden
dagegen zu anderen Zeiten besonders
viele Daten kopiert, wird das als
Anomalie erkannt und Gegenmaßnahmen
werden automatisch initiiert. Diese
fallen unter den Schritt „Response“ und
umfassen Warnmeldungen für Security-Teams,
die Anpassung von Konfigurationen
und Einführung zusätzlicher Sicherheitsmaßnahmen
oder direkte Eingriffe
wie Zugriffsverweigerung, Abbruch
oder Lockdown von Endgeräten.
Gängige Antivirenprogramme wie Windows
Defender fallen unter beide Punkte,
weil sie Schadprogramme identifizieren,
blockieren und entfernen.
Während klassische Sicherheitsansätze
sich auf einzelne Schritte konzentrieren
– beispielsweise Präventionsmaßnahmen
– werden Sicherheitsmaßnahmen
von „Discover“ bis „Response“ im
Zero Trust-Ansatz gleichermaßen berücksichtigt
und kontinuierlich optimiert,
um jederzeit höchste Security zu gewährleisten.
Eine intelligente Zero Trust-Lösung bietet
dabei maximale Sicherheit, ohne die
Produktivität zu beeinträchtigen. Mittels
Self-Service Management erhalten Unternehmen
die Balance zwischen zentralen
Vorgaben und der Autarkie der
Mitarbeiter. Orchestration und Automation
erlauben die zentrale Steuerung der
Datensicherheit durch die IT-Abteilung
über Schnittstellen und Berührungspunkte
mit Zulieferern hinweg. Zero Trust-Lösungen
aus der Cloud ermöglichen auch
kleinen und mittelständischen Unternehmen
höchste IT-Sicherheit, ohne ihre Ressourcen
maßgeblich zu belasten.
Andreas Fuchs
www.it-daily.net

IT SECURITY | 11
Hochsichere und energieeffiziente Rechenzentren:
Den digitalen Wandel erfolgreich mitgestalten
HOCHSICHERE
RECHENZENTREN
DEN DIGITALEN WANDEL ERFOLGREICH MITGESTALTEN
Dieses Whitepaper bietet einen
Überblick über die Konstruktion
und Besonderheiten
moderner Rechenzentren am
Beispiel von noris network. Kunden,
Partner und Interessenten erhalten einen Überblick,
wie Rechenzentren konzipiert und betrieben werden, die
sich als Basis für die digitale Transformation eignen.
04/2020
Ob in klassischen Colocation- und Managed-Service-Angeboten
oder den verschiedenen Ausprägungen des
Cloud Computings – am Ende müssen irgendwo physische
Rechner betrieben werden. Wer einen Rechenzentrumsdienstleister
wählt, sollte vor allem auf zwei Dinge achten:
Sicherheit und Energieeffizienz im Rechenzentrum.
Das vorliegende Whitepaper beleuchtet die wichtigsten
Aspekte aus Sicht der baulichen und organisatorischen
Voraussetzungen. Anhand von Beispielen wird der aktuelle
Stand der Technik dargestellt. Es soll dabei klar werden,
wie man einen IT-Betrieb von der physischen Seite
her absichert.
WHITEPAPER
DOWNLOAD
Das Whitepaper umfasst 14 Seiten
und steht kostenlos zum Download bereit:
www.it-daily.net/download
MIGRATION EINES
DWH IN DIE CLOUD
NEUN PUNKTE, DIE ES ZU BEACHTEN GILT
Die Migration eines Data-Warehouse-Systems in die
Cloud wird durch viele Faktoren beeinflusst. Bei der
Auswahl der passenden Option aus den vielen
Möglichkeiten, ist es sehr hilfreich, die neun Punkte,
die die Autoren in diesem Whitepaper vorgestellt
haben, eingehend zu prüfen.
Vor einer Entscheidung für eine Migration sind sehr
unterschiedliche Fragestellungen zu berücksichtigen,
die häufig in Abhängigkeit zueinander stehen.
Eine sorgfältige Vorbereitung und eine entsprechende
Planung sind daher unabdingbare
Voraussetzungen für eine erfolgreiche Migration
und einen reibungslosen Migrationsprozess.
Ein Wechsel des Data Warehouse
(DWH) in die Cloud kann durch
die optimale Kombination der zur
Verfügung stehenden Komponenten eine
flexible und zukunftsorientierte Alternative zu etablierten
On Premises-DWH-Systemen darstellen.
WHITEPAPER
DOWNLOAD
Das Whitepaper umfasst 16 Seiten
und steht kostenlos zum Download bereit.
www.it-daily.net/download
www.it-daily.net

12 | IT SECURITY
EMOTET-MALWARE
CYBERKRIMINELLE NUTZEN COVID-19 SPAM ZUR VERBREITUNG
Während sich das Coronavirus in den
letzten Monaten stark verbreitet hat, haben
Cyberkriminelle zeitgleich eine Reihe
von Covid-19-Themenkampagnen mit
Emotet-Malware initiiert. Die Betreiber
verwenden in der Regel Phishing-E-Mails,
die Logo, Stil und Sprache offizieller und
vertrauenswürdiger Absender wie beispielsweise
der Weltgesundheitsbehörde
WHO oder dem U.S. Centers for Disease
Control benutzen.
In diesen Mails fordert der Hacker den
E-Mail-Empfänger dazu auf, auf einen
Link zu klicken, um sich über neue Covid-19-Infektion
in seiner Gegend zu informieren.
Die URL sieht zwar authentisch
aus, verursacht beim Klick allerdings
den Download der Malware auf
den Computer.
Globale Emotet-Trends
Im Januar und Februar wurde ein extrem
hohes Volumen an Emotet-bezogenem
Datenverkehr – infizierte Benutzer, die
Emotet Command and Control-Domänen
abfragen – festgestellt. Die überwiegende
Mehrheit dieses Datenverkehrs wurde mit
Unternehmenshosts in Verbindung gebracht,
was darauf hindeutet, dass Cyberkriminelle
mit diesen Angriffen in erster
Linie Unternehmen und ihre Mitarbeiter
ins Visier nehmen. Der starke Rückgang
des Datenverkehrs ab dem 1. März 2020
lässt sich vermutlich darauf zurückführen,
dass im Zuge der Pandemie – aufgrund
der wirtschaftlichen Auswirkungen –eine
hohe Anzahl von Hosts offline gingen.
Die Beschaffenheit eines
Emotet-Angriffs
Ein typischer Emotet-Angriff teilt sich bei
genauerer Betrachtung in vier verschiedene
Phasen auf:
DURCH PROAKTIVE CYBER-
SICHERHEIT WIE DIE KONTI-
NUIERLICHE ÜBERWACHUNG
DER BEDROHUNGSLAND-
SCHAFT SOWIE BEWERTUNG
UND VERBESSERUNG VON
SICHERHEITSSYSTEMEN UND
-PRAKTIKEN KÖNNEN UNTER-
NEHMEN VOR HACKERN GE-
SCHÜTZT WERDEN.
Gerhard Giese,
Industry Strategist, Akamai Technologies,
www.akamai.com
PHASE 1 – Das schädliche Makro
Die meisten Emotettet-Infektionen beginnen
mit einem Social Engineering-Angriff.
Nach dem Öffnen des Anhangs mit
deaktivierten Makros wird dem Benutzer
in der Regel ein Bild mit ähnlichen Anweisungen
wie folgt angezeigt:
Dieses Dokument ist geschützt. Dieses
Dokument ist nur für Desktop- oder Laptop-Versionen
von Microsoft Office
Word verfügbar.
Um das Dokument zu öffnen, folgen
Sie diesen Schritten:
PHASE 2 – Das PowerShell-Skript
Nach dem Herunterladen durchläuft das
verschleierte PowerShell-Skript eine Liste
von CNC-Domänennamen und versucht,
die nächste Stufe des Angriffs auf den
kompromittierten Computer herunterzuladen,
genauer gesagt auf C:\windows\
temp\putty.exe.
PHASE 3 – Payload Abruf
Wenn der Download erfolgreich ist, wird
die heruntergeladene Datei ausgeführt.
Tritt ein Fehler auf, wird die nächste URL
versucht. Wenn alle URLs fehlschlagen,
bricht das Skript ab und das Gerät bleibt
unbeschädigt. Im Allgemeinen gibt die
besuchte Website lediglich die Payload
zurück.
PHASE 4 – Aktivierung
Sobald die heruntergeladene Datei ausgeführt
wird, ist der Computer infiziert.
Tipps zur Abwehr
Folgende grundlegende Vorsichtsmaßnahmen
helfen, um die Sicherheitslage
von Unternehmen zu stärken:
Schulungen für Anwender können
helfen, um das Sicherheitsbewusstsein
zu erhöhen. Schulungsteilnehmer
werden darauf hingewiesen,
sich vor Betrugsversuchen im Zusammenhang
mit Covid-19 und vor
E-Mails von unbekannten Absendern
zu schützen, insbesondere
vor E-Mails mit Anhängen oder
Links.
Untersuchung der Sicherheitsarchitektur,
von Systemen und Tätigkeitsbereichen
des Unternehmens durch
Penetrationstests, um Angriffe zu
simulieren, Lücken und Schwachstellen
zu identifizieren und die
Verteidigung zu stärken.
www.it-daily.net

IT SECURITY | 13
Überprüfung des Bereitschaftsplans
für die Sicherheit hinsichtlich angemessener
Pläne für Geschäftskontinuität
und Notfallwiederherstellung,
um kritische Systeme im Falle
eines Angriffs am Laufen zu halten.
Außerdem sollte die Cybersicherheitsversicherung
auf dem neuesten
Stand sein.
Wohldurchdachte Malware-Angriffe
können Backup-Dateien löschen
oder verschlüsseln und so die
Wiederherstellungsmöglichkeiten
verhindern. Mehrstufige Backup-
Strategien mit Cloud Storage, Offline-
Backup oder unveränderlichem
Speicher sollten eingeführt werden,
um Backups vor schadhaften
Angriffen zu schützen.
Physische und virtuelle Netzwerke
und Funktionen im gesamten Unternehmen
sollten segmentiert und abgetrennt
werden, um unnötige
übergreifende Kommunikation zu
begrenzen.
Krisenzeiten schaffen neue Möglichkeiten
für Cyberkriminelle, weshalb
IT- Sicherheitsbeauftragte besonders wachsam
bleiben müssen. Während Arbeitnehmer
auf der ganzen Welt unter Quarantäne
gestellt werden, sind Cyber -
kriminelle permanent damit beschäftigt,
ihren nächs ten Angriff zu planen. Covid-19
bezogene Angriffe können Unternehmen
verhee ren den Schaden zufügen.
Durch proaktive Cyber sicherheit, wie die
kontinuierli che Über wachung der Bedrohungslandschaft,
sowie Bewertung und
Verbesserung von Sicherheitssystemen
und -praktiken, können Unternehmen geschützt
werden.
Akamai‘s Intelligent Edge-Plattform bietet
globale Transparenz über kritische Ereignisse
und Trends der Internetsicherheit,
einschließlich Emotet-Aktivitäten. Die
Plattform wird von etwa 288.000 Servern
in 136 Ländern betrieben, interagiert
täglich mit 130 Terabyte Daten,
1,3 Milliarden Geräten und über 100
Millionen IP-Adressen und sammelt dabei
Informationen und Erkenntnisse über verschiedenste
Arten der Bedrohung.
Gerhard Giese
Angreifer können kompromittierte
Zugangsdaten für privilegierte
Konten verwenden, um sich lateral
unbemerkt in einem Netzwerk
zu bewegen, Daten zu stehlen
und Schaden anzurichten. Dieses
Risiko sollte minimiert werden, indem
das Prinzip der geringsten
Privilegien eingehalten und lokale
Administratorkonten deaktiviert
werden.
Alle Endpunkt-Betriebssysteme und
-Anwendungen sollten die neuesten
Software-Updates und Sicherheits-Patches
ausführen.
E-Mail-Inhaltsfilter oder Sandboxing
können helfen, um Anhänge
oder Dateien, die nicht von Antiviren-Software
gescannt werden können
(.zip-Dateien), zu blockieren,
da diese häufig mit Malware (.dllund
.exe-Dateien) verbunden sind.
KURZÜBERSICHT ZU EMOTET
Emotet, auch bekannt als Geodo und Mealybug, wurde
2014 zum ersten Mal identifiziert und ist eine der am weitesten
verbreiteten Formen von Malware. Der Virus richtete
sich ursprünglich gegen Finanzdienstleister und fungierte
als Trojaner, um Bank- oder Kreditkartendaten von den jeweiligen
Hosts zu stehlen. Emotet-Hacker erweiterten den
Trojaner im Laufe der Zeit auf Spam-Mails und Malware-Bereitstellungsdienste.
Emotet ist eine der kostspieligsten und schadhaftesten Arten
von Malware. Sie kann signaturbasierte Scanning-Tools umgehen
und nutzt Techniken wie Passwort raten oder Brute-Force,
um sich schnell über ein Netzwerk auszubreiten
und dort Schaden anzurichten. Nach Angaben des US-Heimatschutzministeriums
kostet die Behebung von Emotet-Infektionen
Staats- und Kommunalverwaltungen in den USA
bis zu 1 Million Dollar pro Vorfall.
www.it-daily.net

14 | IT SECURITY
VIRTUAL PRIVATE NETWORK
ABSICHERUNG DURCH DECEPTION
Angreifer die VPN-Infrastruktur kompromittieren,
könnten sie potenziell auf das
interne Netzwerk und die Verwaltungs-Infrastruktur
zugreifen. Darin enthalten
sind wichtige Assets wie die Protokollierung
und sogar die Active Directory.
Bedienbarkeit und Sicherheit
In der Praxis hinken viele Unternehmen
den Sicherheitsanforderungen hinterher.
Gerade wenn es schnell gehen muss,
kann nicht immer auf alle regulären Sicherheits-Mechanismen
geachtet werden.
Dazu ist die Security-Landschaft einfach
zu komplex und schnelllebig. Im
Erkennung durch Täuschung
Für die Erkennung von Bedrohungen
stellt Deception ein wirkungsvolles Instrument
dar, wenn es darum geht, sowohl
normale als auch kritische Cyber-Bedrohungen
in Netzwerken effektiv aufzudecken.
Täuschungs-Lösungen sind deshalb
so effektiv, weil Angreifer gar nicht anders
können, als den ausgelegten Köder
zu schlucken. So lassen sich Angreifer,
die in ein vermeintlich relevantes Netzwerk
gelockt wurden, sehr leicht erkennen
und isolieren.
Zu den vielen Vorteilen der Technologie
zur Erkennung durch Täuschung zählt
außerdem, dass sie zu jeder Zeit eine
wirksame Sicherheits-Abdeckung bietet.
Etwa bei Änderungen an Drittanbieter-Security-Lösungen,
sonstigen Erweiterungen
oder Änderungen an der Infrastruktur
muss die Täuschungs-Lösung
nicht angepasst werden. Sie arbeitet
effektiv weiter. Umgekehrt gilt: Kritische
Systeme wie das Active Directory müssen
nicht vom Security-Experten angefasst
werden, sobald eine Täuschungs-Lösung
erstmals implementiert wird.
(Quelle: Attivo Networks)
Bild 1: Täuschungs-Kampagnen ermöglichen den Einsatz trügerischer Berechtigungsnachweise
für Produktions-EPs und überwachen SIEMs auf die
versuchte Verwendung von Berechtigungs-Nachweisen für kritische Systeme.
Angesichts der in jüngster Zeit rapide
ansteigenden Zahl von Mitarbeitern,
die von zu Hause arbeiten, sind VPN-
Infrastrukturen (Virtual Private Network)
besonders gefährdet. Im Mittelpunkt
stehen dabei so genannte VPN-Konzentratoren.
Ein VPN-Konzentrator befindet
sich in der ‚Mitte‘ des Netzwerks, also
am Hub; er konzentriert VPN-Verbindungen
und leitet den Traffic weiter. Üblicherweise
handelt es sich dabei um
Hardware für kryptographische Prozesse,
die sehr viele VPN-Abläufe bündeln
oder bedienen kann. Durch die Zunahme
an VPN-Traffic im Unternehmens-Netzwerk
insgesamt werden diese
Systeme zunehmend belastet. Hinzu
kommen unzureichend gesicherte Betriebsabläufe
sowie unternehmensinterne
Systeme, die neue Angriffsflächen
schaffen.
Wie jede Netzwerk-Infrastruktur stellt
auch ein VPN ein attraktives Ziel für Angreifer
dar, denn ein solcher ‚Tunnel‘ ist
ein vertrauenswürdiger Weg, um in das
Firmen-Netzwerk zu gelangen. Sollten
Vordergrund steht oftmals die Entscheidung
über die Aufrechthaltung der Betriebsabläufe;
es muss rasch zwischen
Bedienbarkeit und Sicherheit abgewogen
werden. Wenn dies geschieht, sollte
ein Security-Experte sicherstellen, dass
die interne Sicherheits-Lösung über angemessene
Erkennungs-Fähigkeiten (Detection)
verfügt. Nur so können Security-Teams
oder Systeme rechtzeitig informiert
werden, sobald ein Angreifer die
Präventions-Abwehr durchbrochen hat.
Maßgeschneiderte Kampagnen
für spezielle Sicherheits-Lücken
Ein weiterer Vorteil einer Täuschungs-Plattform
besteht darin, Kampagnen zu erstellen,
die sich auf ganz bestimmte maliziöse
oder betrügerische Referenz-Werte
konzentrieren. Diese Kampagnen arbeiten
flexibel und basieren auf echten
oder gefälschten Konto- oder Benutzer-Namen.
Sie beziehen sich sogar auf
Service-Konten, die auf Cloud- oder
SaaS-Anwendungen ausgelegt sind. Eine
solche Vielfalt ermöglicht Security-Experten
ungeahnte Kreativität bei der
Bereitstellung und Verwaltung solcher
Kampagnen.
www.it-daily.net

IT SECURITY | 15
-KONZENTRATOREN
Der typische Anwendungsfall
besteht
darin, betrügerische
Credential-Kampagnen
zur
Verwendung auf Endpoints,
Servern und
Cloud-Umgebungen auszurollen.
Diese schlagen Alarm, sobald Angreifer
auf sie zugreifen. Darüber hinaus
kann die Verwendung kritischer Konten
überwacht werden, ohne dass die Credential-Kampagnen
auf Endpunkten eingesetzt
werden müssen.
ZU DEN VIELEN VORTEILEN DER TECHNOLOGIE ZUR
ERKENNUNG DURCH TÄUSCHUNG ZÄHLT, DASS SIE ZU JEDER
ZEIT EINE WIRKSAME SICHERHEITS-ABDECKUNG BIETET.
Joe Weidner, Regional Director DACH, Attivo Networks, www.attivonetworks.com
Flexibler als ein SIEM
SIEMs (Security Information and Event
Management) protokollieren fehlgeschlagene
Zugriffs-Versuche, auf Infrastruktur-Services.
Ihr schierer Umfang führt allerdings
häufig dazu, dass Analysten ihnen
nicht die angemessene Aufmerksamkeit
schenken, obwohl solche Fehlversuche
auf schädliche Aktivitäten hindeuten können.
Eine Täuschungs-Lösung hingegen
kann so konfiguriert werden, dass sie das
SIEM auf Fehlversuche bei diesen kritischen
Konten hinweist. Auf diese Weise
erhalten Security-Experten einen wirksamen
Warn-Mechanismus, der präzise arbeitet
und rasch Details zu auffälligen
Aktivitäten aufzeigt. In der Folge kann die
forensische Analyse sofort beginnen.
VPN-Konzentrator-Beispiel aus
der Praxis
Das folgende Beispiel für die Überwachung
eines Service-Kontos stammt von
einem Attivo Networks-Kunden.
1.
Zunächst wurde eine Täuschungs-Kampagne
für Anmelde-Informationen
erstellt. Diese basiert
auf realen Service-Kontonamen für kritische
Infrastruktur-Geräte.
2.
Anschließend wurde der Täuschungs-Server
so konfiguriert,
dass er das SIEM mit Hilfe der Service-Konto-Kampagne
alarmiert, sobald
ein Anmelde-Fehler auftritt. Die Lösung
wurde auf höchster Ebene implementiert,
sodass das SIEM jegliche fehlgeschlagene
Service-Konto-Anmeldung protokollierte.
3.
Der Täuschungs-Server wies so
auf SIEM-generierte Anmeldefehler
in den VPN-Konzentratoren hin,
sobald das Geräte-Service-Konto und
das Standard-Passwort verwendet wurden.
Die Warnung enthielt die angreifende
IP, die IP der VPN-Konzentratoren sowie
die Details des verwendeten Kontos.
4.
Ferner wurden die Warnungen
von den Security-Experten einer
forensischen Analyse unterzogen. Es
stellte sich heraus, dass eine Angreifer-Gruppe
systematisch die VPN-Geräte
des Unternehmens sondierte, um sich so
ohne großes Aufsehen Zugang zum
Netzwerk zu verschaffen.
5.
Letztendlich konnten die Security-Experten
schnell reagieren
und die Konfiguration des VPN-Konzentrators
überprüfen. Jegliches weiteres
Vorgehen der Angreifer-Gruppe wurde
infolge dessen im Keim erstickt.
(Quelle: Attivo Networks)
Bild 2: Beispiel eines während des
Szenarios generierten realen Alarmdetails
Wäre der Versuch erfolgreich gewesen,
hätten sich die Angreifer Zugriff zum
Netzwerk und zur sensiblen RADIUS-
Infrastruktur verschafft. Die Folgen wären
fatal gewesen.
Joe Weidner
www.it-daily.net

16 | IT SECURITY
AGILE SICHERHEIT
FÜNF TIPPS FÜR SICHERHEITSVERANTWORTLICHE
Seit rund drei Jahren ist ein spürbarer Paradigmenwechsel
in der Softwareentwicklung
zu beobachten: Statt im Wasserfallmodell
wird nun mit agilen Entwicklungsmethoden
gearbeitet – oftmals kombiniert
mit DevOps-Ansätzen. Im Bereich IT-Security
verändert diese Entwicklung auch die
Arbeitsmodelle von IT-Sicherheitsexperten.
Waren früher die Ziele eines Softwareentwicklungsprozesses
durch Fachkonzepte
relativ früh abgesteckt, können
sich heute die Funktionen des geplanten
Softwareprodukts noch bis kurz vor der
Produktivsetzung ändern. Damit müssen
viele Sicherheitsanforderungen nun dynamisch
und parallel zu den agilen Sprints
entwickelt werden. Was bedeutet diese
Entwicklung konkret für die Aufgaben und
Arbeitsbereiche der IT-Sicherheitsverantwortlichen?
msg gibt fünf Tipps für die
agile Sicherheit.
1.
Wissensaustausch unter
allen Stakeholdern
Security Teams, Entwickler, der Betrieb
sowie Fachabteilungen müssen von Anfang
an in die Projekte einbezogen werden,
um den Wissensaustausch unter allen
Beteiligten zu gewährleisten und
kontinuierlich zu pflegen. So sollten beispielsweise
Entwickler beim Aufsetzen
einer Systemarchitektur den Sicherheitsexperten
schon mit dem Projektstart einbeziehen,
damit dieser die Sicherheitsanforderungen
gegenüber der vorgeschlagenen
Lösung abgleichen und
grundsätzliche Schwachstellen sofort
aufdecken kann.
2.
Die Rolle des Applikations-Sicherheitsexperten
Ein Applikations-Sicherheitsexperte sollte
die Projekte und Prozesse ganzheitlich
als Coach begleiten. Er steuert den Gesamtprozess
und bringt sein Wissen ins
Team ein. Zudem endet die Rolle des Applikations-Sicherheitsexperten
nicht mit
dem Ende des Projekts. Seine Expertise
wird auch nach der Produktivsetzung gebraucht
3.
Security User Stories für
Sicherheitsanforderungen
Sicherheitsanforderungen lassen sich in
der agilen Softwareentwicklung über Security
User Stories adressieren und einplanen.
So wird eine Gesamtübersicht
der Aufgaben des Sicherheitsexperten
deutlich und sie fördern zusätzlich die
Zusammenarbeit und Kreativität. Der Sicherheitsexperte
sollte sich aktiv in das
Erstellen der Security User Stories einbringen
und die Software-Entwickler auf
fehlende Szenarien hinweisen.
4.
Penetrationstests zur
Sicherheitsprüfung
Penetrationstests vor dem Einsatz in der
Produktion („Go-live“) dienen zur Verifikation,
ob Sicherheitsanforderungen ausreichend
berücksichtigt worden sind. So
lassen sich technische Schwachstellen
entdecken und beheben.
Automatisierte statische Code-Analysen
im CI-/CD-Zyklus sollten Standard sein.
Sie ermöglichen es den Experten, sich
von Anfang an mit den Ergebnissen der
Source-Code-Analysen zu beschäftigen
und Fehler automatisch zu erkennen.
5.
Unternehmensweite
Sicherheitsanforderungen
und Architekturvorgaben
Grundsätzliche und organisationsweit
bekannte Sicherheitsanforderungen
wie
Checklisten oder Richtlinien,
durch die ein Grundschutz
gegeben ist, bleiben weiterhin
notwendig. Wichtig sind
die Prüfung und Freigabe
von Musterlösungen, die unternehmensweit
eingesetzt
werden, sowie die Bereitstellung
von Sicherheitskomponenten
für den produktübergreifenden
Einsatz.
www.msg.group
www.it-daily.net

ADVERTORIAL – IT SECURITY | 17
MANAGED SERVICE PROVIDER
6 GRÜNDE, WARUM SYSTEMHÄUSER
DEN BEREICH IT-SICHERHEIT OUTSOURCEN
Kosten und Effizienz: Anstatt neues Personal
finden zu müssen oder eigenes
Personal aufwändig auszubilden, managt
der MSSP als IT-Sicherheitsspezialist
im Hintergrund die IT-Sicherheit der Kunden.
So sparen sich Systemhäuser die
Kosten und Zeit, die für den Aufbau eines
Expertenteams anfallen würden.
Zeit, sich auf das Geschäft zu konzentrieren:
Security-as-a-Service gibt Systemhäusern
Zeit, sich um ihre eigene
Kernkompetenz zu kümmern. Ein guter
MSSP ist wie ein fester Mitarbeiter, der
rund um die Uhr die IT-Sicherheit der
Kunden sicherstellt.
Kunden-Support: Fortschrittliche UTM-Lösungen
sind inklusive kostenlosem Managed
Service, Konfiguration, Installation,
24/7 Monitoring, Direkt-Support, Echtzeit-Updates,
Beratung und Reports.
Compliance: IT-Sicherheitsspezialisten
sind mit allen regulatorischen Compliance-
und DSGVO-Anforderungen vertraut.
Die IT-Sicherheitslösungen sind zertifiziert
und immer auf dem neuesten Stand.
Um all das kümmert sich der MSSP automatisiert
im Hintergrund.
IT-Schutz zur Miete: Ein guter Partner bietet
Security-Lösungen für jede Unternehmensgröße
an – auch zur monatlich
kündbaren Miete. Ohne Investitionskosten
und mit attraktiven Margen.
Security Awareness: Mit eLearnings,
Schulungen und Phishing-Kampagnen
sensibilisiert der MSSP die Mitarbeiter
des Kunden für den richtigen Umgang
mit E-Mails und vertraulichen Daten, stellt
IT-Richtlinien auf und entwickelt ganzheitliche
IT-Sicherheitskonzepte. Mehr über das
NB Partnerprogramm für Systemhäuser
auf www.network-box.eu
Immer gut informiert!
Tägliche News für die Enterprise IT
finden Sie auf www.it-daily.net

18 | IT SECURITY
NEUES ARBEITEN,
NEUE SICHERHEIT
REMOTE-ARBEIT WIRD BLEIBEN –
DIE SECURITY-ANFORDERUNGEN DARAN AUCH
Zu den erstaunlichen Nebenwirkungen
der Corona-Krise gehört mit Sicherheit
die schnelle und entschlossene Umsetzung
der „Remote Economy“, mit der
zahllose Wissensarbeiter weltweit innerhalb
weniger Tage in die Lage versetzt
wurden, von zuhause aus zu arbeiten.
Nun, da langsam wieder etwas Normalität
in den Arbeitsalltag einkehrt, zeigt
sich, dass „Remote Work“ bleiben wird
– die neuen Techniken und Tools sind
nützlicher Bestandteil unserer Arbeitswelt
geworden. Aber: Das erfordert auch ein
Umdenken bei der IT-Sicherheit, denn die
Dynamik und Offenheit der neuen Arbeitswelt
bietet auch offene Flanken für
Cyberangriffe.
IT-Security Teams müssen sich folgende
Fragen stellen: Wie sehen Access und
Authentifizierung aus, wenn Mitarbeiter
von unterschiedlichen Geräten und Orten
zu unterschiedlichen Zeiten auf Unternehmensdaten
zugreifen? Wie sichern
Unternehmen den Zugriff auf VPN und
die Workstations der Mitarbeiter? Oder:
Wie geht man mit „Shadow-IT“ um? Solche
und andere Fragen stehen jetzt im
Raum und müssen zum Wohl des Unternehmens
und der Mitarbeiter behandelt
werden, um die „neue Arbeit“ auch wirklich
sicher zu machen.
Remote-Sicherheit:
Der Plan B wird Normalität
Was vor Wochen noch wie ein „Notfallplan“
und eine Ausnahme aussah, muss
nun konsolidiert werden und in den „Normalbetrieb“
integriert werden, denn in
Zukunft wird Remote-Arbeit zum normalen
Toolset der Knowledge-Worker gehören.
Der Betrieb über ein Netzwerk von Homeoffices
erfordert vorab Absprachen
zwischen IT, HR, IT-Sicherheit und den
operativen Einheiten. Das wird von nun
an dazugehören - und übrigens auch die
strategische Bedeutung des IT-Security
Teams erhöhen.
Es muss bei allen Beteiligten ein Bewusstsein
geschaffen werden, sich auch
zu Hause „cybersmart“ zu verhalten.
Hier können Unternehmen dafür Sorge
tragen, dass sie ihre Mitarbeiter mit dieser
Botschaft auch erreichen - etwa mit
einer Informationsseite und einem ständigen
Kommunikationskanal. Wie
wichtig das ist zeigt die Tatsache, dass
sich laut Studien 80 Prozent aller Datenlecks
auf schwache, wiederverwendete
oder gestohlene Passwörter zurückführen
lassen.
Dazu haben die LastPass Sicherheitsexperten
einige wertvolle Tipps aufgeschrieben,
was die wichtigsten Maßnahmen
zur Sicherheit von Unternehmen und
Mitarbeitern betrifft - und das ist ziemlich
valide, denn LastPass wurde gerade aktuell
Testsieger in einem Passwortmanager-Test.
Single Sign-On einsetzen
SSO verschafft der IT übersichtlich
die volle Kontrolle und vereinfacht
die Verwaltung von Access.
Ein nahtloses Nutzungserlebnis für
User, ohne in der IT auf Transparenz
und Kontrolle über Benutzerzugriff zu
verzichten.
Multifaktor-Authenti-
MFA schafft eine zusätzliche Sicherheitslinie
für das Unternehmen
und den Usern durch den Einsatz
biometrischer Daten ein angenehmes
Nutzungserlebnis, wie etwa passwortfreies
Anmelden (Übrigens: 60 Prozent
der MFA-Nutzer finden, dass MFA mehr
Sicherheit in die Organisation gebracht
hat).
Kontextfaktoren nutzen
Der Einsatz von Kontextfaktoren
wie Lokalisierung oder IP-Adressen
verschafft der IT zusätzliche
Kontrolle und Sicherheit, indem simpel
BEIM ZUGANGSMANAGEMENT SOLLTE JEDER BEGREIFEN,
DASS SCHLECHTE PASSWORT-HYGIENE DIE CHANCEN ERHÖHT,
OPFER EINES HACKERANGRIFFS ZU WERDEN.
Barry McMahon, Senior Manager, IAM, LogMeIn, www.lastpass.com/identity
www.it-daily.net

und einfach die Plausibilität der Anmeldesituation
mit berücksichtigt wird (Zeitpunkt,
Ort, Device).
VPN sichern
Starke Passwörter und MFA
auf dem VPN stellen sicher,
dass Ihre sich anmeldenden
Mitarbeiter auch wirklich die sind, die
sie zu sein behaupten - und zwar bevor
sie Access erhalten.
80 %
aller Datenlecks gehen
auf schwache, wiederverwendete
oder gestohlene
Passwörter zurück
60 %
IT SECURITY | 19
der Unternehmen
finden, dass MFA mehr
Sicherheit in die Organisation
gebracht hat
MFA auf Workstations sorgen
dafür, dass sich nur legitimierte
Personen authentifizieren kön-
nen (etwa
durch die Verwendung biometrischer
und kontextueller Faktoren).
Sicher teilen
Password Sharing stellt sicher,
dass jeder Zugang zu den
Daten hat, die er zum Arbeiten
benötigt.
Passwörter reduzieren
Passwortfreie
Authentifizierung
lässt das Passwort aus
dem Login Prozess verschwinden
und sorgt für ein nahtloses Nutzungserlebnis.
„Shadow IT“ anpacken
Ein Passwortmanager bietet
Mitarbeitern einen sicheren
Ort für Zugangsdaten - ob die
IT davon weiß oder nicht.
Phishing-Muster
verhindern
Passwort Management kann
helfen, das Risiko von Phishing
zu mildern
indem es niemals Aktionen
auf verdächtigen Seiten ausführt.
Den Überblick
behalten
Detaillierte Reports verschaffen
den Überblick
über alle Aktivitäten itä und ermöglichen Anpassungen
bei Access und Authentifizierung,
dort wo es notwendig ist.
„Human Factor“ –
der Mensch als schwächstes
Glied in der Sicherheitskette
Wie oben schon erwähnt, ist oft der
Mensch selbst das schwächste Glied in
der Sicherheits-Kette: Mitarbeiter, die keine
Passwörter ändern oder dieselben
Passwörter über viele Nutzerkonten hinweg
benutzen. Das gilt besonders, wenn
diesbezüglich keine Aufklärung betrieben
wurde oder kein Sicherheits-Bewusstsein
geschaffen wurde. Eine IT-Sicherheitsbereitschaft
und -kultur zu schaffen
braucht Zeit und viel Schulung, aber in
der derzeitigen Situation müssen wir alle
schnell reagieren. Beim Zugangsmanagement
sollte jeder begreifen, dass
schlechte Passwort-Hygiene (Default-Passwörter
nicht ändern, Passwort Wiederbenutzung
oder schwache Passwörter)
die Chancen erhöht, Opfer eines Hackerangriffs
zu werden.
Cybersecurity-Empfehlungen
„Remote“ ist es noch wichtiger als zuvor,
dass alle Programme lange, zufallsgenerierte
Passwörter besitzen. Mit einem
Passwort-Manager schlägt man hier zwei
Fliegen mit einer Klappe, indem man einzigartige
Passwörter für jeden Login generiert
und speichert. Der Username und die
Passwörter werden dann in einem „Safe“
gespeichert, wo sie verschlüsselt und organisiert
werden. Ein Passwort-Manager
kann schnell, nahtlos und einfach in den
Workflow integriert werden. Diese verwenden
auch oft Multifaktor-Authentifizierung,
die zusätzliche Sicherheit bringt.
Wenn Mitarbeiter sehen, dass der CEO
und die Manager die Wichtigkeit solcher
Sicherheits-Programme betonen, werden
sie selbst auch ihren Teil dazu beitragen.
Dazu müssen Mitarbeiter die Sicherheitsziele
und Maßnahmen ihrer Firma verstehen.
Sie brauchen Training und bewusstseinsbildende
Maßnahmen, um cybersmartes
Verhalten im Homeoffice zu
fördern.
Die Chance zu mehr IT-Sicherheit
Das ist jetzt tatsächlich eine neue Ära für
Unternehmen, ihre Verteidigung aus der
IT-Implementierungs- und Sicherheitsperspektive
zu schärfen: Mit Security-as-a-Service
und starken Passwörtern, die Mitarbeiter
und Business für längere Zeit gut
absichern. Das sind die Basics gegen
Viren und andere Malware. Und sie helfen
der Homeoffice Workforce und den
Unternehmen tatsächlich cybersicher in
die Ära „New Work“ zu gehen.
Barry McMahon
www.it-daily.net

20 | IT SECURITY
INTEGRIERTER
SICHERHEITSANSATZ
DIE DYNAMIK DER CLOUD ZWINGT UNTERNEHMEN ZU NEUEN LÖSUNGEN
Es gibt kein Geheimrezept für die richtige
Cloud-Sicherheit. Aber konvergente
Plattformen und ein Daten-zentrierter Ansatz
minimieren die Risiken erfolgreicher
Cyber-Angriffe deutlich wirkungsvoller
als individuelle Lösungen.
Mehr Firmen denn je nutzen Multicloud-Umgebungen,
um die steigende
Anzahl an Workloads zu bewältigen und
immer mehr Software-as-a-Service-Anwendungen
für ihre Kernprozesse zu
verwalten. Diese Entwicklung rückt
das Thema Cloud-Sicherheit deutlich
in den Vordergrund.
Mit der Cloud steigen aber auch
die Anforderungen an die IT-Sicherheit.
Es mag bisher gereicht haben,
eine Schutzmauer um die On-premises-IT-Umgebung
hochzuziehen. In der
Cloud aber geht das natürlich nicht mehr.
Hier benötigen Unternehmen ein viel umfassenderes
Sicherheitskonzept.
Tatsächlich sind manche IT-Administratoren
der Meinung, einfache Sicherheitsmaßnahmen
seien in der Cloud ausreichend.
Im letzten Jahr ist es beispielsweise
einer Hackerin gelungen, sich über
eine fehlkonfigurierte Web-Application-Firewall
Zugriff auf 100 Millionen
Kundenkonten und Kreditkartenanträge
des Finanzdienstleisters Capital One zu
verschaffen. Offensichtlich müssen selbst
die größten Unternehmen noch etwas
dazulernen. Mit den folgenden Schritten
kann die Sicherheit in der Cloud verbessert
werden:
Einen einheitlichen Sprachgebrauch
festlegen
1.
In Unternehmen sollten die IT-Entscheider
und die IT-Abteilung eine einheitliche
Sichtweise zu den Themen Infrastruktursicherheit
und Informationsschutz
haben, die auch Cloud-Umgebungen
berücksichtigt. Ein einheitlicher
Sprachgebrauch und eine klar definierte
Terminologie erleichtern Diskussionen
über Cloud- und Datensicherheit
und sind der erste Schritt in Richtung
eines gemeinsamen Verständnisses im
Unternehmen.
Fortlaufende Schulungen spielen ebenso
eine wichtige Rolle. Gut geschulte Mitarbeiter
und Anwender sind das A und
O eines Sicherheitskonzepts. Sie sind die
erste und möglicherweise auch letzte
Verteidigungslinie. Das Bewusstsein,
FÜR DIE RICHTIGE CLOUD-SICHERHEIT GIBT ES
KEIN GEHEIMREZEPT – ABER EIN UMFASSENDER
ANSATZ BIETET EINEN BESSEREN SCHUTZ.
Nicolas Fischbach, CTO, Forcepoint, www.forcepoint.com/de
dass jeder einzelne eine Rolle bei der
Sicherheit spielt, muss auf jeden Fall geschärft
werden.
Tools und Services
2.
konsolidieren
Verständlicherweise wollen CISOs die
Anzahl an unterschiedlichen Tools im
Unternehmen reduzieren. Dem Wunsch
WELCHE ORGANISATORISCHEN VORKEHRUNGEN SIND IN IHREM UNTERNEHMEN IN BEZUG AUF
34 % 34 % 33 %
Prüfung der
Cloud-Zertifikate
Datenschutzaudits
bei Provider
Cloud Policy für die Nutzung
von Cloud-Lösungen
www.it-daily.net

IT SECURITY | 21
steht eine förmliche Explosion an Tools
und Services auf Cloud-Entwicklungsseite
gegenüber. Eine Vielzahl davon wird
zwar als Managed Services genutzt, belastet
allerdings Ressourcen und kann
zusätzliche Risiken verursachen.
CISOs versuchen daher immer, individuelle
Lösungen durch integrierte und konvergente
Sicherheitsplattform-Lösungen
zu ersetzen, die folgende Bereiche abdecken
sollten:
Data Loss Prevention (DLP)
Endpoint Protection
Netzwerk-Sicherheit (Firewall-as-a-Service
und Secure SD-WAN)
Cloud-Sicherheit (Cloud Access Security
Broker – CASB – und Cloud Security
Posture Management – CSPM –
bei der Verteilung von eigenem Code)
CLOUD SECURITY GETROFFEN WORDEN? (Auszug)
30 % 27 %
Vorkehrungen für
Compliance
Konvergente Sicherheitsplattformen ermöglichen
die Bereitstellung konsistenter
Richtlinien über sämtliche Ebenen und
Standorte eines Unternehmens hinweg.
Sie vereinfachen das Sicherheits-Management,
bieten Sichtbarkeit auf der
Datenfluss-Ebene quer über den gesamten
Betrieb (vom Endpoint über das Netzwerk
bis zur Cloud) sowie die Möglichkeit,
Updates in Echtzeit zu installieren.
Zusätzlich können die Richtlinien dann
schnelle Änderungen innerhalb des
Unternehmens oder des Gesetzgebers
aufgreifen. Für die meisten CISOs und
Datenschutzbeauftragten ist es ein Muss,
sich darauf vorzubereiten.
Cloud-Sicherheit umfasst Lösungen für
eine wachsende Anzahl an Anforderungen.
Dazu gehören DLP, Web-Sicherheit,
CASB und Next-Generation-Firewalls.
Diese Lösungen sollten durch Verhaltensanalysen
ergänzt werden: damit
können Benutzerzugriffe besser gesteuert
werden, zumal bei dynamischen und
verteilten Systemen. Indicators of Behavior
(IoBs) helfen zudem festzustellen,
wie Benutzer mit Firmendaten, Systemen
oder Apps interagieren.
Aus diesem Grund werden konvergente
Dienste bei der Cloud-Sicherheit eingesetzt.
Sie sind wichtig, um die Tools für
maximale Effizienz zu konsolidieren
und die operative Last zu reduzieren.
Neue Security-Stellen
(Quelle: IDG Business Media GmbH, Studie Cloud Security 2019, Seite 13)
Eine Daten-zentrierte
3.
Sicht einnehmen
Die Cloud ist wegen ihrer zahlreichen
Vorteile weiter auf dem Vormarsch: Unternehmen
gewinnen in Bezug auf Kosten
und Effizienz, während Arbeitnehmer
mehr Flexibilität genießen und ihrer Tätigkeit
überall nachgehen können.
Die Cloud zu nutzen, bedeutet auch,
dass Unternehmensdaten sich dynamischer
zwischen Nutzern, Apps und
Cloud-Umgebungen bewegen. Daraus
resultiert die Notwendigkeit eines Daten-zentrierten
Ansatzes bei Sicherheitsprotokollen.
Bei der Entscheidung, Workloads
zu migrieren oder neue Cloud-Anwendungen
zu nutzen, ist eine klare
Strategie in Sachen Cloud-Sicherheit und
Informationsschutz wichtig. Sonst wird es
schwierig, entsprechende Rechte und
Richtlinien festzulegen.
Auch das Testen von Sicherheits-Frameworks
muss angepasst werden. Häufige
und schnelle Änderungen an cloudbasierten
Apps verlangen nach einer vermehrten
Überprüfung von Schwachstellen
und Angriffsflächen.
Für die richtige Cloud-Sicherheit gibt es
kein Geheimrezept – aber ein umfassender
Ansatz bietet einen besseren Schutz.
Cyber-Hygiene bleibt nach wie vor notwendig
und es ist empfehlenswert, ein
Unternehmen aus der Datenschutzperspektive
zu betrachten. Sowohl die Implementierung
von DLP und Verhaltensanalysen
als auch eine gemeinsame Terminologie
in Bezug auf Cloud-Sicherheit stellen
wichtige Schutzmechanismen dar.
Nicolas Fischbach
www.it-daily.net

22 | IT SECURITY
DER IOT-INSPEKTOR SORGT
DIE ALTERNATIVE ZUM KLASSISCHEN PENETRATION TESTING
So manche Sicherheitsrisiken liegen im
„toten Winkel“ und werden schnell übersehen,
wenn Unternehmen im Internet of
Things unterwegs sind und Geräte zunehmend
miteinander vernetzen. Ein
neuer IoT Security Service von TÜV Hessen
hilft, diese Risiken zu erkennen und
zu minimieren. Davon profitiert auch der
Beschaffungsprozess nach internationalen
Compliance Richtlinien der „Internet
of Things Sicherheitsstandards“.
Das Internet of Things (IoT) wächst stetig,
egal ob im privaten Umfeld oder im Unternehmen.
Mit der Vielzahl an vernetzten
Geräten steigen aber auch die Sicherheitsrisiken
und die Angriffsfläche für Cyberangriffe
wächst. Der IoT Security Service
kann Unternehmen hier auf einfache
und effektive Art und Weise helfen.
Von der smarten Glühbirne zuhause oder
den digitalen Assistenten bis hin zum Voice-over-IP-Telefon
und der Gebäudeautomation:
Die Zahl der im Internet of Things
(IoT) vernetzten Geräte wächst kontinuierlich.
Experten gehen von mehr als 25
Milliarden verbundenen Geräten im Jahr
2021 aus. Weitere Studien prognostizieren
bis zu 38 Milliarden Geräte .
Dass das Thema IoT Security für Unternehmen
immer kritischer wird, belegen
die neusten Zahlen des Europol EC3
(European Cybercrime Centre). Daraus
geht hervor, dass 69 Prozent der Firmen
mehr IoT Geräte als traditionelle Endpoints
in den Netzwerken im Einsatz haben.
67 Prozent der Cybersecurity Incidents
in Unternehmen im ersten Halbjahr
2019 hatten mit IoT Geräten oder ungemanagten
IT Geräten zu tun.
Wildwuchs vermeiden
Oft sieht man es den Geräten auf den
ersten Blick gar nicht an, dass sie sich ins
Heim- oder Unternehmensnetzwerk einklinken
und mit dem Internet verbinden.
Weil genau dabei oft der Überblick fehlt
und auch beispielsweise ab Werk gesetzte
Passwörter oft nicht geändert werden,
lauern hier aber zunehmend Gefahren
für die Cybersicherheit.
Wie man schnell und unkompliziert einen
guten Überblick zu den IoT-Sicherheitsrisiken
im eigenen Unternehmen bekommt,
das erklärt Björn Eibich, Bereichsleiter
Cyber- und Informationssicherheit
bei TÜV Hessen am Beispiel des
„IoT-Inspektors“ und den damit verbundenen
IoT-Security Services. Der neue Service
ermöglicht es Unternehmen, den
Wildwuchs von IoT Devices in den Griff
zu bekommen, Sicherheitsrisiken systematisch
zu erfassen und somit die Angriffsfläche
zu verringern.
Auch die Mitarbeiter im Einkauf sind so
in der Lage, eine Risikoeinschätzung der
zu beschaffenden Geräte vorzunehmen,
schon bevor sie im Unternehmen Risiken
hervorrufen.
Eine Alternative zu
Penetrationstest
Wichtig für Entscheidungsträger in IT,
Compliance und dem Beschaffungsprozess
sind drei Punkte:
Schwachstellen in der Firmware von IoT
Geräten müssen
1. automatisiert,
2. schnell und
3. günstig
zu erkennen sein.
Hier liegt der Vorteil des IoT-Inspektors
gegenüber dem klassischen Penetration
www.it-daily.net

IT SECURITY | 23
FÜR ORDNUNG
Testing. Zusätzlich erhält das Unternehmen
zur Erfüllung der Compliance Richtlinien
eine Analyse der Übereinstimmung
gegenüber internationalen IoT Sicherheitsstandards1
(IoT Compliance
Check).
Zusammenfassend helfen Tool und Services
in der IoT Security wie folgt:
fundierte Entscheidungen für IoT Käufe
zu treffen (Risikobewertung) um
dem Netzwerk der Kunden keine zusätzliche
Risiken durch unsichere
IoT-Devices hinzuzufügen
im IoT-Gerätebestand Schwachstellen
zu identifizieren und diese gegebenenfalls
absichern und zu beseitigen
den gesetzlichen beziehungsweise
regulatorischen Anforderungen durch
Übereinstimmung (Compliance) mit
Sicherheitsstandards zu entsprechen
Wie der IoT-Inspektor als ein Baustein der
IoT Security Services funktioniert und für
wen sich der Einsatz lohnt, dazu gibt es
einen Podacst, den sie hier finden:
www.tuvsud.com/podcast
DAS INTERNET OF THINGS
(IOT) WÄCHST STETIG,
EGAL OB IM PRIVATEN
UMFELD ODER IM UNTER-
NEHMEN. MIT DER VIELZAHL
AN VERNETZTEN GERÄTEN
STEIGEN ABER AUCH DIE
SICHERHEITSRISIKEN UND
DIE ANGRIFFSFLÄCHE FÜR
CYBERANGRIFFE WÄCHST.
Björn Eibich, Bereichsleiter Cyber- und
Informationssicherheit, TÜV Hessen,
www.tuev-hessen.de
eBOOK
IT SECURITY 2020
Willkommen in der schönen, neuen Welt
der IT-Security. Drei Beispiele: Wie können
Sie subtile Anzeichen eines Angreifers
von legitimen Anmeldungen unterscheiden?
IT und OT verschmelzen, dabei
entstehen neue Sicherheitslücken.
Wir zeigen wie Sie diese schließen können.
Der neue Hotspot: Zero Trust. Vertraue
niemandem, egal ob innerhalb
oder außerhalb des Netzwerkes. Mehr
dazu in diesem eBook.
Highlights aus dem IT Security
eBook
Versteckte Bedrohungen
Neben Standardüberwachungs-Mechanismen
müssen auch subtile Anzeichen
eines Angreifers erkannt werden. Wie
können also Unternehmen diese Aktivitäten
im Rauschen der legitimen Anmeldungen
erkennen?
IT & OT im Wandel
Das Zusammenwachsen beider Bereiche,
ihre Vernetzung, die Automatisierung von
Produktionsanlagen und kritischen Infrastrukturen
sorgen für neue Sicherheitslücken.
Das ist ein Prozeßproblem.
Zero-Trust-Strategie
In Zeichen des digitalen Wandels funktionieren
traditionelle Sicherheitsansätze
mit mehreren Verteidigungslinien nicht
mehr. Das neue Credo lautet: Vertraue
niemandem, egal ob innerhalb oder außerhalb
des Netzwerkes.
DOWNLOAD
Das eBook „IT Security 2020“ ist
59 Seiten lang und steht kostenlos
unter www.it-daily.net/download
zur Verfügung.
www.it-daily.net

24 | IT SECURITY
MICROSOFT-BEST-PRACTICE
ÜBERWACHUNG DER BERECHTIGUNGSVERGABEN IM ACTIVE DIRECTORY (AD) UND
In einer Zeit, in der immer mehr Unternehmen
von Cyberangriffen betroffen
sind, die auf den Diebstahl sensibler
Daten abzielen, ist es essenziell, Sicherheitslücken
zu schließen. Ein besonders
beliebtes Einfallstor bei Hackern: aktive
Benutzerkonten von ehemaligen Mitarbeitern.
Um derartige Schwachstellen in
der IT-Sicherheit zu verhindern, bedarf es
einer geeigneten Access Governance-Lösung,
die vergebene Berechtigungen
analysiert und übersichtlich darstellt.
Neben den gesetzlichen sollte diese Lösung
vor allem auch die unternehmenseigenen
Anforderungen berücksichtigen.
Gerade für Microsoft-Umgebungen ist
eine speziell entwickelte Software ratsam,
die Systemverantwortliche dabei
unterstützt, die Richtlinien und Benutzerkonstellationen
im AD und im NTFS-Filesystem
zu überwachen.
Damit auch bei großen Umgebungen
nicht der Überblick verloren geht, welcher
Mitarbeiter worauf zugreifen darf,
ist eine softwarebasierte Auswertung der
Berechtigungen notwendig. Denn ohne
den Einsatz einer passenden Lösung müssen
IT-Systemadministratoren AD-Objekte
und Fileserver-Strukturen manuell analysieren
und auf Konformität zu Best-Practice-Richtlinien
prüfen. Dies ist nicht nur
sehr aufwendig, sondern birgt noch dazu
ein hohes Fehlerpotenzial. Daher ist
der Einsatz einer professionellen Access
Governance-Lösung anzuraten.
Wesentliche Features
Die Software sollte ohne zusätzliche
Dienstleistungen einfach installier- und
konfigurierbar sein und die Zugriffsberechtigungen
der einzelnen Benutzer und
Gruppen innerhalb der firmeninternen
Microsoft-Infrastruktur identifizieren sowie
erfassen. Zudem sollte das Tool im-
stande sein, die ermittelten Daten nach
der Analyse des AD und des NTFS-Filesystems
in ein leistungsfähiges Datenbanksystem
zu importieren. Damit sich
Missstände feststellen lassen, ist eine automatisierte
Überprüfung der Berechtigungen
hinsichtlich der Microsoft-Best-Practice-Vorgaben
sinnvoll. Ein
entsprechendes Richtlinienpaket sollte
zusammen mit der Lösung ausgeliefert
werden. Wichtig ist jedoch, dass der verantwortliche
Administrator in der Lage
ist, einzelne Policies auszustellen
beziehungsweise ein Risikolevel
zu definieren, ab dem
ein Wert als kritisch angezeigt
wird. Ein in der Lösung integriertes
Web-Dashboard kann
schließlich dafür sorgen, die
Informationen strukturiert darzustellen
und fehlerhafte Berechtigungskonstellationen
sofort
zu erkennen.
Microsoft Guidelines
Auf Basis hinterlegter Policies
von Microsoft lassen sich Abweichungen
verzeichnen. Fallen
Verstöße gegen gewisse
aktivierte Richtlinien auf, bildet
eine moderne Lösung diese ab
und spricht Handlungsempfehlungen
aus.
NTFS
Microsoft rät beispielsweise dazu, dass
Benutzerkonten möglichst keine direkt
vergebenen Berechtigungen auf Ordner
oder Dateien besitzen sollten. Ergibt die
Auswertung allerdings, dass es Konten
mit solchen Berechtigungen gibt, empfiehlt
Microsoft den Einsatz des
AGDLP-Konzeptes. Demgemäß sollten
Administratoren die Benutzerkonten den
globalen Gruppen zuweisen, die wiederum
Mitglied der domänenlokalen Gruppen
werden, und letztlich die Berechtigungen
in ebendiesen domänenlokalen
Gruppen vergeben.
Darüber hinaus sollten auf Empfehlung
von Microsoft hin nur in Ausnahmefällen
Benutzerkonten mit Vollzugriff auf Datenbereiche
vorhanden sein, die innerhalb
dieses Bereiches dazu fähig sind, die Zugriffsrechte
und Besitzer zu verändern.
Stattdessen bietet es sich an, mit den
Bild 1: Anschauliche h Dashboard-Ansichten ht zum
schnellen Überblick.
NTFS-Berechtigungen „Ändern“, „Lesen“
und „Schreiben“ zu arbeiten, da auf diesem
Wege keine Besitzerfunktionen geändert
werden können. Der Vollzugriff sollte
lediglich Administratoren gestattet sein.
Active Directory
Mit sich selbst verschachtelte AD-Gruppen
können innerhalb von Anwendungen
oder Skripten zu Problemen in Form
www.it-daily.net

IT SECURITY | 25
-RICHTLINIEN
IM NTFS-FILESYSTEM
von Abstürzen, unendlichen Schleifen
oder ungewollten Fehlermeldungen führen.
Fallen Gruppen dieser Art auf, gilt
es Gruppenkonstellationen zu überprüfen
und zirkuläre Verschachtelungen zu
vermeiden.
Um die IT-Sicherheit zu gewährleisten,
sollte die Vergabe höher privilegierte Konten
(HPU) nach dem Minimalprinzip erfolgen.
Mithilfe einer eigens für Microsoft-Umgebungen
entwickelten Access Governance-Software
lässt sich die Anzahl an Zuweisungen
von Benutzern zur Domänen-Admin-Gruppe
kontrollieren. Sobald
das vorab festgelegte Risikolevel erreicht
ist, überzeugt eine solche Lösung durch
die anschauliche Darstellung von Unstimmigkeiten
im Vergleich zu den Policies.
Abgleich mit dem
Personalsystem
Insbesondere verwaiste Benutzerkonten
stellen eine immense Bedrohung dar.
Häufig begeben sich Cyberkriminelle
explizit auf die Suche nach
veralteten Konten, über die sie sich
Zugang zu den Systemen verschaffen
können, um Daten abzugreifen
oder Schadsoftware zu installieren.
Werden durch den Abgleich
mit einem vorhandenen Personalsystem
Benutzerkonten entdeckt,
die ausgeschiedenen oder zurzeit
inaktiven Personen zugewiesen
sind, informiert eine angemessene
Lösung über diese Auffälligkeit und
ALLE UNTERNEHMEN HABEN
DIE AUFGABE, DAS THEMA
IT-SICHERHEIT ERNST ZU NEH-
MEN UND KONTINUIERLICH
FÜR DEN SCHUTZ VON DATEN
ZU SORGEN.
Sebastian Spethmann, Account Manager,
G+H Systems GmbH, www.guh-systems.de
ruft zur Deaktivierung oder Löschung
des Kontos auf.
Fazit
Alle Unternehmen haben die Aufgabe,
das Thema IT-Sicherheit ernst zu nehmen
und kontinuierlich für den Schutz von
Daten zu sorgen. Ob Unter- oder Überberechtigungen,
noch aktive Konten von
Mitarbeitern, die das Unternehmen verlassen
haben, oder leere Gruppen und
Gruppenmitgliedschaften
– IT-Administratoren
sollten über
eine auf die individuellen
Anforderungen
abgestimmte Access
Governance-Lösung
verfügen, die sämtliche
Ungereimtheiten
in puncto Zugriffsberechtigungen
aufdeckt.
Sebastian Spethmann
Bild 2: Übersicht über die
NTFS-Filestruktur. Sowohl
die NTFS- als auch die
Share-Berechtigungen
lassen sich erkennen.
www.it-daily.net

26 | IT SECURITY
INTELLIGENTE ACCESS
GOVERNANCE &
BENUTZERVERWALTUNG
DEN RICHTIGEN WERKZEUGKASTEN FINDEN
Die erste Einführung eines Identity and
Access Management Systems (IAM) ist
für die meisten Unternehmen ein von
technischen Ansätzen und Lösungen geprägtes
Unterfangen: IT-Prozesse werden
angepasst, Anwendungssysteme an eine
zentrale Datendrehscheibe angebunden,
Schnittstellen erstellt und das neue
IAM-System durch weniger große oder
umfassendere Anpassungsarbeiten auf
die Bedürfnisse des Kunden zugeschnitten.
Erst eine solche technisch funktionsfähige
IAM-Lösung stellt die Voraussetzung
dar, sich den bestehenden erweiterten
fachlichen Anforderungen an das
IAM zu widmen. Identity and Access
Governance (IAG) beschäftigt sich als
Teilgebiet des IAMs mit der fortlaufenden
Prüfung, Optimierung, Bereinigung und
Kontrolle von Anwendungsberechtigungen
und Unternehmensrollen über die
Mitarbeiter, Kunden oder Lieferanten
Zugriff auf interne oder cloudbasierte
Anwendungssysteme erhalten. Es stellt
durch geeignete Maßnahmen die Einhaltung
von globalen oder unternehmensspezifischen
Richtlinien mit Hilfe von
beispielsweise regelmäßigen Berechti-
gungsprüfungen (Rezertifizierungen/Attestierungen),
Segregation of Duty (SoD)
Regeln oder Qualitätsstandards für
Stammdaten von Mitarbeitern, Berechtigungen
und Geschäftsrollen sicher.
IN DER PRAXIS ZEIGT SICH
IMMER MEHR, WIE WICHTIG
EINE GUT FUNKTIONIERENDE
KOMBINATION AUS ANALYSE-
VERFAHREN UND VERSTÄND-
LICHER ERGEBNISAUFBEREI-
TUNG FÜR FACHBEREICHE IN
UNTERNEHMEN IST.
Dr. Ludwig Fuchs, Geschäftsführer,
Nexis GmbH, www.nexis-secure.com
Während IAG meist wenig Beachtung
beim initialen Aufbau von IAM-Systemen
erfährt, erlangt es später im Betrieb hohe
Relevanz bei der Erfüllung verschiedenener
externer Anforderungen (SOX, Basel
III, ISO 27001) oder auch industriespezifischer
sowie interner Qualitätsstandards.
Ohne eine transparente, verständlich
bedienbare, audit-sichere und regulierende
Steuerzentrale, ist es für Unternehmen
schwer, Sicherheitsrisiken im
IAM unter Kontrolle zu halten und gleichzeitig
die Qualität im Berechtigungsmanagement
fortlaufend zu erhöhen. Ohne
die klare Definition und der technischen
Durchsetzung eines Regelwerks für die
Vergabe, den Entzug und die Kombinatorik
von Zugriffsrechten, werden Fehlern
und Sicherheitslücken unnötige Spielräume
gewährt.
Die Probleme in der Praxis
Viele Unternehmen klagen über eine hohe
Komplexität und Intransparenz ihrer Berechtigungsstrukturen.
Trotz des Einsatzes
von zentralen IAM-Tools erkennen Firmen
immer mehr, dass IAG nicht mit einem
ausschließlich technischen Ansatz gelöst
www.it-daily.net

IT SECURITY | 27
werden kann. Einerseits ist es aufgrund
des stetigen Wandels von fachlichen Prozessen
und Organisationsstrukturen händisch
unmöglich, Berechtigungsstrukturen
bestehend aus vielen tausenden von Berechtigungsobjekten,
fortlaufend zu kontrollieren
und deren korrekten Zustand aufrecht
zu erhalten. Gleichzeitig sind die
IT-Abteilungen auf den Input von Fachabteilungen
ohne technischen Hintergrund
angewiesen. Komplexe Benutzerschnittstellen
und unverständliche Informationen
behindern die Kommunikation zwischen
den verschiedenen Beteiligten – und lassen
IAM und IAG zu einer ungeliebten
Aufgabe werden.
Ohne Tool-Support müssten die richtigen
Daten und Informationen aus den verschiedenen
Daten-Silos manuell aufbereitet,
überarbeitet und dann in den
Fachbereichen präsentiert und diskutiert
werden. Daneben entstehen permanent
neue Herausforderungen durch den technologischen
Fortschritt. Beispiele hierfür
sind die strukturierte Erhebung und Pflege
der Verantwortlichkeiten für Berechtigungen
und Geschäftsrollen (On-premises
und in Cloud-Applikationen), die
anwendungsübergreifende Prüfung von
Richtlinienverletzungen oder die fachlich
verständliche Bereinigung oder Rezertifizierung
von IAM-Daten in einer immer
stärker von der fortschreitenden Adaption
cloudbasierter Services geprägten
Systemlandschaft.
Theorie & Praxis
Die notwendige Datengrundlage für erfolgreiches
IAG haben die meisten Unternehmen
mit der technischen Einführung
eines IAM-Systems bereits geschaffen. In
der Praxis setzt sich jedoch immer mehr
das Verständnis durch, dass eine erfolgreiche
fachliche Umsetzung von IAG nur
durch intelligente und dezentral einsetzbare
Werkzeuge mit starkem Fokus auf
die User Experience zum Einbeziehen der
Fachabteilungen sichergestellt werden
kann. Im Idealfall sorgt dies gleichzeitig
auch für eine hohe Transparenz beziehungsweise
durchgängige Nachvollziehbarkeit
und erlaubt die Delegation von
IAG-Tätigkeiten (etwa der Kontrolle von
Prüfergebnissen, die Modellierung von
neuen Berechtigungen oder das Nacharbeiten
von bestehenden Geschäftsrollen)
in Richtung der Fachbereiche.
Der Werkzeugkasten: Das
brauchen Unternehmen wirklich!
a) Das Regelwerk
Der erste Schritt vor einer fortlaufenden
Kontrolle und korrekten Abbildung von
Berechtigungen ist die Erhebung, Modellierung
und Freigabe eines gültigen
Satzes von IAG-Regeln. Das kann von
der einfachen Abbildung einer SoD-Matrix
über die Hinterlegung von Mindestqualitätskriterien
für Personalstammdaten
oder Berechtigungen bis hin zu Modellrestriktionen
(zum Beispiel: Einschränkungen
zu erlaubten Verknüpfungen
von Berechtigungen und Geschäftsrollen)
oder Kritikalitätsrichtlinien (zum Beispiel:
Keine Geschäftsrolle darf eine
geringere Kritikalität aufweisen, als die
in ihr enthaltenen Berechtigungen) reichen.
Eine passende Lösung muss es ermöglichen,
alle relevanten Regeln ohne
Anpassungen nativ umsetzen, kontrollieren
und berichten zu können. Außerdem
muss sie mit kollaborativen Funktionen
den Aufbau und das Lifecycle-Management
der Regelwerke selbst abbilden –
von der Modellierung, Freigabe und
Produktivsetzung einer Regel bis hin zu
deren audit-gesicherten und nachvoll-
1. DAS REGELWERK
> SoD- & Policy Respository
> Definierter Lifecycle-Prozess der Regeln
Berechtigungskomplexität
Erwartungshaltung Fachbereich
2. IAG-WORKFLOWS
> Prozesse zur Behandlung von Verletzungen
> Delegations- & Eskalationsmechanismen
Aufwändige Datenpräsentation
Compliance-Anforderungen
Controle
3. FLEXIBLE KONFIGURATION
> Bedarfsgerechte Präsentation für Stakeholder
> Schnelle Reaktion auf Veränderungsanforderungen
Bild 1: Der IAG-Werkzeugkasten
von NEXIS Controle.
4. EINFACHHEIT FÜR FACHBEREICHE
> Verständliche Darstellung technischer Daten
> Weniger Hilfeanfragen & Aufwände in der IT
www.it-daily.net

28 | IT SECURITY
Start
POLICY OWNER
APPROVAL
Default path
PUBLISH POLICY
End
Bild 2: Konfiguration eines
exemplarischen Freigabeprozesses
von Regeln in NEXIS Controle.
DATA PROTECTION
OFFICE
ziehbaren Änderung oder sogar Löschung
bei Wegfall der Bedingung.
Nach der Erkennung von Regelverletzungen
oder fehlerhaft modellierten Berechtigungen
benötigen Unternehmen eingebettete
Standard-Mechanismen zur weiteren
Behandlung der Ergebnisse. Insbesondere
im Falle eines Regelverstoßes ist
nicht alleine die Identifikation eines Verstoßes
wichtig, sondern dessen Behandlung
durch Korrektur oder Mitigation.
Moderne Tools wie die Software NEXIS
Controle unterstützen hier mit Workflow-Systemen,
die nicht nur Konflikte
automatisiert oder bedarfsbezogen erkennen,
sondern auch die jeweiligen Verletzungen
an die richtige Stelle dirigieren.
Solche auf Kundenbedürfnisse zugeschnittene,
erprobte und fertig verfügbare
Best Practice Workflows bieten meist
eine wesentlich einfachere und schnellere
Konfiguration als generische und oftmals
mit Programmieraufwand verbundene
Workflow-Systeme.
In der Praxis sehen Unternehmen immer
mehr Schwierigkeiten bei einem zu hohen
Grad an Customizing der eingesetzten
technischen IAG-Lösung. Eine zentrale
Anforderung ist die Konfigurierbarkeit
von Workflows, Regeln und analytischen
Funktionen ohne Anpassungen auf
Code-Ebene. Vor allem im Rahmen der
Kommunikation mit Fachbereichen muss
für jede Stakeholder-Gruppe (Regelverantwortlicher,
Abteilungsleiter, Rollenverantwortlicher,
Governance-Team, …)
eine möglichst passende, eigene Darstellung
von Ergebnissen erfolgen: Während
Abteilungsleiter mit kompakten Informationen
schnell eine Entscheidung
DIE WAHL DER RICHTIGEN
IAG-WERKZEUGE UND DEREN
KONSEQUENTER EINSATZ
STELLEN NEBEN DER ORGANI-
SATORISCHEN VERANKERUNG
DEN WICHTIGSTEN ERFOLGS-
FAKTOR FÜR IAG DAR.
Dr. Michael Kunz, Head of Professional Services,
Nexis GmbH, www.nexis-secure.com
treffen können müssen, wollen Mitglieder
einer Compliance Task-Force oder
der internen Revision umfassende Auswertungsfunktionen
im Rahmen des gleichen
Workflows. Mit wenigen Klicks
müssen Ansichten und Voreinstellungen
für die jeweiligen Empfänger vorbereitet
werden, so dass Anwendbarkeit und Akzeptanz
gesichert sind. Diese Akzeptanz
ist für die Beteiligung und Lösung
von Regelkonflikten, aber auch für alle
weiteren IAM-Aktivitäten wie Rezertifizierungen,
Rollenmodellierung, Bereinigungsaktionen
oder Freigaben von essenzieller
Bedeutung. Unternehmen berichten
hier häufig von Hürden durch
technisch vorgegebene und starre Einstellungen,
die für Verwirrung oder Unverständnis
bei den jeweiligen involvierten
Fachbereichen sorgen. Die Wahl eines
flexiblen, einfach anzupassenden,
aber trotzdem leistungsstarken IAG-Systems
schafft hier Abhilfe.
d) Einfachheit für Fachbereiche
Besonders IT-fremde Fachbereiche und
Stakeholder empfinden IAG oft als lästige
Herausforderung. Halbjährliche Reviews
von hunderten von Berechtigungen,
die Modellierung von Rollen oder
die Korrektur von Regelverletzungen
kann meist nur mit Unterstützung der
IT-Abteilung erfolgen. Moderne IAG-Lö-
www.it-daily.net

IT SECURITY | 29
sungen müssen sich an aktuellen Standards
für die Usability von Software orientieren
und das gesamte Spektrum von
umfassenden Analyseoptionen und
Modellierungsfunktionalitäten für die
IT-Experten bis hin zu einer einfachen
Darstellung technischer Sachverhalte für
nicht-IT Personal abdecken. Hierfür spielt
vor allem die Nutzung geeigneter Visualisierungstechniken
eine entscheidende
Rolle. NEXIS Controle bietet beispielsweise
mehr als 25 verschiedene matrixund
tabellenbasierte Visualisierungen
an, die sowohl in der IT-Abteilung Transparenz
über alle Daten und deren Strukturen
schaffen als auch im Fachbereich
schnelle Entscheidungs- und Vergleichsmöglichkeiten
erlauben. Einerseits erhöht
sich dadurch die Bereitschaft zur Mitarbeit,
andererseits kann das IAM-Team
den Geschäftsverantwortlichen so eine
Plattform bieten, in der sich Wissensträger
jederzeit über die aktuelle Situation
in Ihrem Bereich informieren und auf
mögliche Missstände hingewiesen werden
können. Moderne IAG-Lösungen wie
die Software NEXIS Controle bieten die
freie Konfigurierbarkeit und Bereitstellung
der notwendigen Ansichten im Tool
für die jeweiligen Stakeholder, die
schnelle Einschränkbarkeit der nutzbaren
Funktionen und ein integriertes Hilfesystem
für Fachbereiche pro Aufgabenschritt.
Davon profitieren in der Praxis
auch die IT-Abteilungen in einem großen
Maße, da die Anzahl von Hilfeanfragen
aus den Fachbereichen (etwa während
unternehmensweiten Rezertifizierungen)
deutlich sinkt.
Resümee
Generell zeigt sich, dass moderne Software-Lösungen
Identity and Access Governance
intelligenter und damit schneller
und umfassender einsetzbar machen. An
dieser Stelle sei darauf hingewiesen,
dass technische Lösungen jedoch immer
auf die Erhebung oder das Vorliegen von
eindeutigen organisatorischen Regelwerken
und Zielen angewiesen sind. Sie stellen
den Werkzeugkasten für die Automatisierung
und die optimale Einbindung
von Fachbereichen bereit und beschleunigen
damit die Bewältigung der immer
größer werdenden Herausforderungen
im IAG- Bereich. Klare Projektstrukturen,
konkrete Anforderungserhebungen und
eine realistische Zeitplanung sind jedoch
die unerlässliche Basis, um vom Softwareangebot
profitieren zu können. NEXIS
Controle als Lösung unterstützt neben der
technischen Umsetzung von IAG-Funktionalitäten
aus diesem Grund auch bewusst
die organisatorische Komponente mit verlässlichen
Analysen und datenbezogenen
Aussagen, so dass schon vor dem
technischen Einsatz im operativen Betrieb
die Rahmenbedingungen schnell und
zielgerichtet geklärt werden können. IAG
entwickelt sich aktuell zu einem der wichtigsten
Themen im globalen IAM-Markt,
weshalb der Zeitpunkt gerade günstig ist,
sich schon jetzt für die zukünftigen Herausforderungen
zu wappnen.
Dr. Ludwig Fuchs, Dr. Michael Kunz
Bild 3: Matrix-basiertes Access Review durch den Fachbereich.
www.it-daily.net

30 | IT SECURITY
EINFACH & SICHER
FERNABSICHERUNG MIT ZWEI-FAKTOR AUTHENTIFIZIERUNG
Die IT-Sicherheit eines Unternehmens kann
nie hoch genug sein. Roman Hugelshofer,
Managing Director Application Security
bei Airlock – einer Security-Innovation von
Ergon Informatik, sprach mit Ulrich Parthier,
Herausgeber it security, über die
neueste Lösung aus dem Hause Airlock.
Ulrich Parthier: Ist die Zwei-Faktor--
Authentifizierung (2FA) eine eigenständige
Sicherheitslösung oder fester
Bestandteil des Secure Access Hubs?
Roman Hugelshofer: Airlock 2FA ist ein
Bestandteil des Secure Access Hubs, der
in Kombination mit Airlock IAM eingesetzt
werden kann. Der große Vorteil dieser
integrierten Lösung: Deutlich mehr Effizienz
bei Access Management! Das betrifft
sowohl die Systemintegration, also auch
den Einsatz über alle Anwendungen und
APIs hinweg. Doch was unsere Kunden
am meisten begeistert, sind die einfachen
Migrationsprozesse und die optimalen
Workflows.
Ulrich Parthier: Stehen sich Sicherheit
und Usability bei der 2FA im
Weg?
Roman Hugelshofer: Auf den ersten Blick
könnte man das meinen, denn mit zwei
Schlüsseln zu hantieren ist komplizierter
als mit einem. Doch wenn 2FA-Lösungen
intelligent umgesetzt werden, trifft eher
das Gegenteil zu. So ist es für Kunden
einfacher, eine Transaktion zum Beispiel
mittels Fingerprint auf dem Smartphone
zu bestätigen, als umständlich Passwörter
einzutippen, die man sowieso immer
wieder vergisst. Das Zauberwort heißt
demnach Authentifizierungs-Flow. Hier
kann 2FA zu einer überzeugenden
User-Experience führen.
Ulrich Parthier: Was macht die Herangehensweise
des Secure Access
Hubs einzigartig?
Roman Hugelshofer: Der wichtigste Pluspunkt:
Der Secure Access Hub ist ein
vorgelagerter Security-Layer, der als Gesamtlösung
eine optimale Konvergenz
von Application Security, API Protection
und Identity Management garantiert. So
wird auf der einen Seite ein ganz neues
Sicherheitsniveau erreicht, auf der anderen
Seite ermöglicht der Hub aber
auch eine schnellere Time-to-Market und
einen tieferen TCO – standardisierten
Security Serices sei Dank. Sie sehen:
Vom Access Hub profitieren beide – sowohl
der Informatiker als auch die Finanzabteilung
und am Ende der Endkunde
unserer Kunden.
Der Secure Access Hub ist eine Plattform,
die verschiedene Komponenten
zentral steuert und unter einem Dach
vereint – ein Sicherheitspaket sozusagen.
Dazu gehören Web Application
Ulrich Parthier: Welche Form der
2FA offeriert Airlock und warum?
Roman Hugelshofer: Airlock ist sehr flexibel
und fast jede erdenkliche Variante
lässt sich umsetzen: angefangen bei Zero-Touch,
einer besonders benutzerfreundlichen
Möglichkeit, über One-Touch, basierend
auf Push Technologie, passwortfreien
Zugängen, offline Varianten bis
hin zum Hardware-Token. Zudem kann
die Lösung auch zur Transaktionsfreigabe
oder –signierung verwendet werden. In
Kombination mit den Bordmitteln von
Airlock IAM mit adaptiver oder risikobasierter
Authentifizierung, Social Media
Login, Step-Up-Verfahren, User-Self-Services
und Single Sign-on kann jeder
Use-Case abgedeckt werden.
AIRLOCK 2FA IST EINE
AUTHENTIFIZIERUNGSLÖ-
SUNG, DIE FÜR ANBIETER
UND BENUTZER KEINE
WÜNSCHE OFFENLÄSST.
Roman Hugelshofer, Managing
Director Application Security, Airlock –
einer Security-Innovation von Ergon
Informatik, www.airlock.com
www.it-daily.net

IMPRESSUM
IT SECURITY | 31
Firewall (WAF), Customer Identity und
Access Management (cIAM), API Gateway
und nun eben 2FA. Das Ganze
lässt sich auch mit Single Sign-on über
verschiedene Cloud-Umgebungen integrieren.
Alle Sicherheitslösungen stammen
aus unserer Hand und sind daher
aufeinander abgestimmt. Es kommt also
nicht zu den üblichen Kommunikationsproblemen
zwischen den Produkten verschiedener
Hersteller, die wiederum zu
Sicherheitslücken führen können. Wir
haben das Experten-Wissen vieler Absolventen
der ETH Zürich und stehen mit
der Universität in engem Kontakt. Wir
sitzen in Zürich und bauen alles bei uns
im Haus. Das ist echte Schweizer Qualität.
Sogar der Support wird von uns persönlich
geleistet.
Ulrich Parthier: Wie wird der Zugriff
für externe Partner umgesetzt?
Roman Hugelshofer: Airlock ist so flexibel,
wie die Anforderungen unserer Kunden.
Entscheidend sind immer die jeweiligen
Sicherheitsanforderungen. Um
zwei konkrete Beispiele aus der Finanzbranche
zu nennen: Bei einem Hypothekenrechner
reicht ein einfaches Social
Login aus. Doch beim Zugriff von Drittanbietern
aus sensible Bankdaten – Stichwort
„Open Banking“ und PSD2 – muss
ein höheres Sicherheitsniveau erreicht
werden. Mit Airlock können also unterschiedliche
Authentifizierungsprozesse
umgesetzt werden – ganz spezifisch für
jeden individuellen Use-Case. Egal, ob
über Web-Applikationen, eigene APIs
oder solche von Drittanbietern.
Ulrich Parthier: Wie werden die
Daten der Mitarbeiter geschützt?
Roman Hugelshofer: Da der Hub alles
mitbringt, was es für eine optimale IT-Security
braucht, umfasst Airlock auch eine
Web Application Firewall und ein
API Security Gateway. Damit ist der
Schutz von Mitarbeiterdaten jederzeit
gewährleistet, wobei die internen Benutzer
ebenfalls von einer starken und risikobasierten
Authentifizierung profitieren.
Auch passwortfreie sichere Zugänge
im Homeoffice über VPN können für
die Mitarbeiter einfach umgesetzt werden.
Ulrich Parthier: Wo liegen Fallstricke
im Bereich 2FA und Compliance?
Roman Hugelshofer: Die erste gute Nachricht:
Viele Regulatoren und Gesetze verlangen
eine starke Authentifizierung.
Und starke Authentifizierung heißt heute
Zwei-Faktor-Authentifizierung. Somit ist
ein wichtiges Compliance-Thema mit
2FA schon gelöst. Und die zweite gute
Nachricht: Neben den allgemeinen
Richtlinien, zum Beispiel der DSGVO,
gibt es oft spezifische Branchenbestimmungen
– etwa für das elektronische Patientendossier
(EPDG) oder die europäische
Zahlungsdienstleister (PSD2 oder
PCI-DSS). Auch diesen Regulationen
wird 2FA jederzeit gerecht und das dank
vollständiger Integration in den Secure
AccessHubs auch über externe APIs von
Drittanbietern hinweg.
Ulrich Parthier: Wie schnell lässt sich
2FA integrieren?
Roman Hugelshofer: Das ist eine der
brennendsten Fragen, die sich viele unserer
Kunden stellen und meistens gehen
sie von aufwändigen Projekten aus. Unsere
Ansprechpartner sind dann stets
positiv überrascht, wenn sie erfahren,
dass sich Airlock IAM innerhalb weniger
Tage integrieren lässt – und dass inklusive
Rollout- und Migrationsprozessen.
Ulrich Parthier: Herr Hugelshofer, wir
danken für dieses Gespräch.
THANK
YOU
Chefredakteur:
Ulrich Parthier (-14)
Redaktion:
Silvia Parthier (-26), Carina Mitzschke
Redaktionsassistenz und Sonderdrucke:
Eva Neff (-15)
Autoren:
Björn Eibich, Nicolas Fischbach, Andreas Fuchs, Dr. Ludwig
Fuchs, Gerhard Giese, Dr. Michael Kunz, Barry McMahon,
Carina Mitzschke, Sebastian Spethmann, Joe Weidner
Anschrift von Verlag und Redaktion:
IT Verlag für Informationstechnik GmbH
Ludwig-Ganghofer-Str. 51, D-83624 Otterfing
Tel: 08104-6494-0, Fax: 08104-6494-22
E-Mail für Leserbriefe: info@it-verlag.de
Homepage: www.it-daily.net
Alle Autoren erreichen Sie über die Redaktion.
Wir reichen Ihre Anfragen gerne an die Autoren weiter.
Manuskripteinsendungen:
Für eingesandte Manuskripte wird keine Haftung übernommen.
Sie müssen frei sein von Rechten Dritter. Mit der Einsendung
erteilt der Verfasser die Genehmigung zum kostenlosen
weiteren Abdruck in allen Publikationen des Verlages. Für die
mit Namen oder Signatur des Verfassers gekennzeichneten
Beiträge haftet der Verlag nicht. Die in dieser Zeitschrift veröff
entlichten Beiträge sind urheberrechtlich geschützt. Übersetzung,
Nachdruck, Vervielfältigung sowie Speicherung in Datenver
arbeitungsanlagen nur mit schriftlicher Genehmigung
des Verlages. Für Fehler im Text, in Schaltbildern, Skizzen, Listings
und dergleichen, die zum Nichtfunktionieren oder eventuell
zur Beschädigung von Bauelementen oder Programmteilen
führen, übernimmt der Verlag keine Haftung. Sämtliche
Veröff entlichungen erfolgen ohne Berücksichtigung eines
eventuellen Patentschutzes. Ferner werden Warennamen ohne
Gewährleistung in freier Verwendung benutzt.
Herausgeberin:
Dipl.-Volkswirtin Silvia Parthier
Layout und Umsetzung:
K.design | www.kalischdesign.de
mit Unterstützung durch www.schoengraphic.de
Illustrationen und Fotos:
Wenn nicht anders angegeben: shutterstock.com
Anzeigenpreise:
Es gilt die Anzeigenpreisliste Nr. 27.
Preisliste gültig ab 1. Oktober 2019.
Mediaberatung & Content Marketing-Lösungen
it management | it security | it daily.net:
Kerstin Berthmann
Telefon: 08104-6494-19
E-Mail: berthmann@it-verlag.de
Karen Reetz-Resch
Home Office: 08121-9775-94,
Mobil: 0172-5994 391
E-Mail: reetz@it-verlag.de
Online Campaign Manager:
Vicky Miridakis
Telefon: 08104-6494-21
miridakis@it-verlag.de
Objektleitung:
Ulrich Parthier (-14)
ISSN-Nummer: 0945-9650
Erscheinungsweise:
10x pro Jahr
Verkaufspreis:
Einzelheft 10 Euro (Inland),
Jahresabonnement, 100 Euro (Inland),
110 Euro (Ausland), Probe-Abonnement
für drei Ausgaben 15 Euro.
Bankverbindung:
VRB München Land eG,
IBAN: DE90 7016 6486 0002 5237 52
BIC: GENODEF10HC
Beteiligungsverhältnisse nach § 8, Absatz 3 des
Gesetzes über die Presse vom 8.10.1949: 100 %
des Gesellschafterkapitals hält Ulrich Parthier, Sauerlach.
Abonnementservice:
Eva Neff
Telefon: 08104-6494 -15
E-Mail: neff@it-verlag.de
Das Abonnement ist beim Verlag mit einer
dreimonatigen Kündigungsfrist zum Ende des
Bezugs zeitraumes kündbar. Sollte die Zeitschrift
aus Gründen, die nicht vom Verlag zu
vertreten sind, nicht geliefert werden können,
besteht kein Anspruch auf Nachlieferung oder
Erstattung vorausbezahlter Beträge
www.it-daily.net

Visionen, Träume,
Ziele auf den Punkt
gebracht!
Expertenwissen für
IT-Strategien & Innovationen
www.it-daily.net