IT-Security November/Dezember 2023
Komplexe Cybersicherheit – Schlüsselrolle Automatisierung? Wie Cybersicherheit moderne Arbeitswelten unterstützt Zero Trust Network Access – OT-Netzwerke verstärkt im Fokus von Kriminellen Unified Endpoint Management – Aus dem Schatten ins Licht
Komplexe Cybersicherheit – Schlüsselrolle Automatisierung?
Wie Cybersicherheit moderne Arbeitswelten unterstützt
Zero Trust Network Access – OT-Netzwerke verstärkt im Fokus von Kriminellen
Unified Endpoint Management – Aus dem Schatten ins Licht
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
22 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
Was Software „Made in Europe”<br />
besonders sicher macht<br />
SECUR<strong>IT</strong>Y UND DATENSCHUTZ SIND MILLIARDENFRAGEN<br />
Open Source-Lösung oder etablierter<br />
Anbieter aus den USA? Oft sind es diese<br />
beiden Alternativen, die bei der Auswahl<br />
einer Software-Plattform für Digitalisierungsprojekte<br />
zu Beginn in den<br />
Raum gestellt werden. Beides hat seine<br />
Vor- und Nachteile, denkt man beispielsweise<br />
an Datenschutz, Nutzerkomfort<br />
oder Update-Sicherheit. Eine<br />
dritte, gleichwertige, wenn nicht sogar<br />
bessere Alternative wird häufig aber<br />
vergessen: Software „Made in Europe“.<br />
Besonders bei Videokonferenzen sind<br />
deren Vorteile enorm.<br />
Amerikanische Software?<br />
Aus Nutzersicht ist Software amerikanischer<br />
Anbieter praktisch. Fast jeder<br />
kennt sie und ist mit der Bedienung vertraut.<br />
Die marktführenden Anbieter haben<br />
dazu beigetragen, gewisse Standards<br />
ihrer eigenen Produkte zu etablieren.<br />
Aus Unternehmenssicht gestaltet<br />
sich die Sache weniger einfach. Grundsätzlich<br />
ist jedes Unternehmen daran<br />
interessiert, durch gut funktionierende<br />
und bekannte Tools für hohe Produktivität<br />
zu sorgen. Spätestens seit der EU-<br />
Datenschutzgrundverordnung (DSGVO)<br />
aber sind Fragen des Datenschutzes für<br />
die Auswahl von Software immer relevanter.<br />
In Kombination mit der US-<br />
Rechtslage wirft der Einsatz amerikanischer<br />
Produkte komplexe Fragen auf.<br />
Der Patriot Act etwa verpflichtet USamerikanische<br />
<strong>IT</strong>-Unternehmen, Methoden<br />
zur Datenerfassung oder Backdoors<br />
einzubauen, die zum Zweck der nationalen<br />
Sicherheit von US-Behörden genutzt<br />
werden können. Allein das kann<br />
mit Blick auf den Datenschutz zum Problem<br />
werden, natürlich können diese<br />
Schnittstellen aber auch als Angriffspunkt<br />
für Cyberkriminelle dienen.<br />
Auch der US-amerikanische Cloud Act<br />
erlaubt es den amerikanischen Behörden,<br />
die Herausgabe von Daten über<br />
elektronische Kommunikation zu erzwingen.<br />
Dies ist mit der DSGVO logischerweise<br />
schwer vereinbar.<br />
Open Source: Souveränität auf<br />
Kosten von Sicherheit?<br />
Aus solchen Überlegungen heraus und<br />
zudem um nicht von einzelnen großen<br />
<strong>IT</strong>-Konzernen abhängig zu sein, überlegen<br />
viele Unternehmen, auf Open<br />
Source Software zu setzen. Auch Staat<br />
und Behörden sind an vielen Stellen an<br />
einer „souveränen Lösung“ interessiert.<br />
EINE SORGFÄLTIGE<br />
SUCHE BEI DER AUS-<br />
WAHL VON SOFTWARE<br />
IST EINE INVEST<strong>IT</strong>ION,<br />
DIE UNTERNEHMEN<br />
IM ZWEIFELSFALL<br />
MILLIONEN SPART.<br />
Valentin Boussin, Country Manager<br />
DACH, Tixeo, www.tixeo.com<br />
Dennoch ist Open Source nicht frei von<br />
Bedenken. Besonders problematisch ist<br />
häufig die Frage der Sicherheit. Es ist einfacher,<br />
eine Bank auszurauben, wenn<br />
man die Baupläne kennt. Im Fall von<br />
Open Source sind die Baupläne per Definition<br />
frei verfügbar, mit Vor- und Nachteilen<br />
für beide Seiten. Angreifer können<br />
sie lesen, um Schwachstellen zu finden,<br />
die Developer-Community kann sie nutzen,<br />
um sie zu schließen. Der Mehrzahl<br />
an Open Source-Projekten fehlt es aber<br />
an klaren Commitments und Roadmaps<br />
hinsichtlich Bugfixes und regelmäßigen<br />
Updates. Unternehmen können es sich<br />
nicht leisten, auf „Best Effort“-Lösungen<br />
zu setzen, denn die Anzahl an Cyberangriffen<br />
wächst und wächst. Die langfristige<br />
Versorgung mit Sicherheitsupdates<br />
ist ein absolutes Muss.<br />
Auch mit unabhängigen und staatlichen<br />
Sicherheits-Zertifizierungen hat Open<br />
Source ein Problem: Meist gibt es keine,<br />
da Open-Source-Projekte weder TOE<br />
(Target of Evaluation) noch ST (<strong>Security</strong><br />
Target) definieren, die von einer anerkannten<br />
Behörde getestet werden können.<br />
Somit haben Nutzer solcher Software<br />
keine Bescheinigung, dass diese gängige<br />
Sicherheitsstandards gewährleistet.<br />
Im Hinblick auf Open Source ist auch<br />
der Cyber Resilience Act (CRA) von Bedeutung,<br />
den die EU initiiert hat. Dieser<br />
soll die Benutzer von Hard- und Software<br />
besser schützen. Anbieter müssten<br />
demnach für den gesamten Lebenszyklus<br />
und alle Verwendungen ihrer Software<br />
Sicherheitsupdates zur Verfügung<br />
stellen und bestimmte Richtlinien erfül-<br />
<strong>November</strong>/<strong>Dezember</strong> <strong>2023</strong> | www.it-daily.net