Identity and Access Management Smart Data Management Strategie

Sonderbeilage von Heise Medien

h Heise

Security Solutions

Identity and Access ManagementWas kundenfreundliche digitale Türsteher leisten sollten

Smart Data ManagementWelche Rollen im Data Space zu besetzen sind

StrategieWie Lifecycle Management die IT fit hält

Cloud SecurityWarum die Cloud sicherer ist als ihr Ruf

Smart Home SecurityWo Smart Homes ihre undichten Stellen haben

IoT-HackingWie mühelos Cyberpiraten die Kontrolle übernehmen

Smart MeteringWieso Crypto Controller notwendig sind

Information Security ManagementWelche Regelwerke für Informationssicherheit sorgen

Identity and Access ManagementWas kundenfreundliche digitale Türsteher leisten sollten

Smart Data ManagementWelche Rollen im Data Space zu besetzen sind

StrategieWie Lifecycle Management die IT fit hält

Cloud SecurityWarum die Cloud sicherer ist als ihr Ruf

Smart Home SecurityWo Smart Homes ihre undichten Stellen haben

IoT-HackingWie mühelos Cyberpiraten die Kontrolle übernehmen

Smart MeteringWieso Crypto Controller notwendig sind

Information Security ManagementWelche Regelwerke für Informationssicherheit sorgen

Editorial

IT-Sicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess.Brav wird diese Maxime allseits abgenickt – und dann beharrlich dasseit Jahren eingespielte Security Management fortgeführt. Doch vielegängige Sicherheitslösungen sind längst nicht mehr zeitgemäß undwirken manchmal wie der Versuch, Datendiebe und Cyberspione voneinem Schutzmann mit Trillerpfeife verfolgen zu lassen. Sven MalteSopha und Jan Graßhoff fordern angesichts dieser gefährlichenSystemtreue: „Always change a running system!“ – und erklären abSeite 12, wie veraltete IT-Systeme nachhaltig auf Vordermanngebracht werden können.

Praxisbeispiele für haarsträubende Sicherheitslücken gibt es nämlichsatt. So erläutert Marco Di Filippo, wie einfach es Hackern im IoT oft gemacht wird, sich in hochsensible Unternehmensprozesseeinzuschleichen und die Kontrolle zu übernehmen (Seite 18). Auchin vernetzten Gebäuden können strukturell bedingte Schwachstellenzu unliebsamen Überraschungen führen, wie Henning von Kielpinskiauf Seite 17 ausführt. Und damit bei der bevorstehenden flächen -deckenden Einführung von Smart Metering nicht ähnlicheDatenlecks aufreißen, plädiert Andreas Philipp für eine konsequenteVerschlüsselung der Verbraucherdaten (Seite 22).

Einen Blick auf den aktuellen Stand der Dinge zum Thema Sicherheitin der Cloud wirft Eduard Heilmayr auf Seite 16: Obwohl nach wievor viele Unternehmen aus Sicherheitsbedenken ihren Einstieg in dieCloud hinauszögern, steigt die Nachfrage nach Cloud-basiertenSecurity-Lösungen deutlich an. Dass ein sicherer Datenaustausch

aber auch dann reibungslos funktioniert, wenn Unternehmen dieKontrolle über ihre Daten physisch behalten möchten, demonstriertGeert-Jan Gorter ab Seite 8. Er präsentiert mit der Initiative „IndustrialData Space“ ein dezentralisiertes Datenökosystem, das eine flexibleInfrastruktur für digitale Geschäftsmodelle zur Verfügung stellt.

Warum klassische Access-Lösungen für zeitgemäße Kunden zugangs -systeme nicht flexibel genug sind, beschreibt Dr. Martin Burkhart ab Seite 6. Consumer-taugliche Login-Routinen behalten nebenSicherheitsaspekten auch die Benutzerfreundlichkeit im Auge. Zum Abschluss erklärt Marius Brüggemann ab Seite 24, dass ein zertifiziertes Information Security Management System (ISMS) alle sicherheitsrelevanten Faktoren im Unternehmen bündeln, fürCompliance-sicher nachvollziehbare Abläufe sorgen und bestehendeManagementstrukturen sinnvoll koordinieren kann. Seine Empfehlung,welches der unterschiedlich dimensionierten ISMS-Regelwerke fürmittelständische Unternehmen am besten geeignet ist, sollte dannendlich Mut machen, den Schutzmann durch ein schlagkräftigesEinsatzkommando zu ersetzen.

Thomas Jannot

WAS LANGE LÄUFT, WIRKT SELTEN GUTWAS LANGE LÄUFT, WIRKT SELTEN GUT

4

Inhalt, Impressum, Inserentenverzeichnis

SECURITY SOLUTIONS

AirITSystems GmbH, Langenhagen ......................................................................................... 7

Allgeier IT Solutions GmbH, Bremen .................................................................................... 17

ESET Deutschland GmbH, Jena ............................................................................................... 11

HOB GmbH & Co. KG, Cadolzburg ............................................................................................ 2

Kaspersky Labs GmbH, Ingolstadt ............................................................................................ 3

MADA Marx Datentechnik GmbH, Villingen-Schwenningen ......................................... 9

NürnbergMesse GmbH, Nürnberg ........................................................................................ 21

SAP Global Security, Walldorf .................................................................................................. 13

Uniscon universal identity control GmbH, München ..................................................... 19

Inserentenverzeichnis

Redaktionjust 4 business GmbHKranzhornstr. 4b83043 Bad AiblingTelefon: 0 80 61/348 111 00Telefax: 0 80 61/348 111 09E-Mail: [email protected]

Leserbriefe und Fragen zur Beilage: [email protected]

VerlagHeise Medien GmbH & Co. KGPostfach 61 04 07, 30604 HannoverKarl-Wiechert-Allee 10, 30625 HannoverTelefon: 05 11/53 52-0Telefax: 05 11/53 52-129Internet: www.heise.de

Verantwortliche Redakteure: Thomas Jannot (V. i. S. d. P.),Ralph Novak; Florian Eichberger; Rudolph Schuster (Lektorat)

Autoren dieser Ausgabe: Marius Brüggemann, Dr. Martin Burkhart, Marco Di Filippo, Geert-Jan Gorter, Jan Graßhoff, Eduard Heilmayr, Henning von Kielpinski,Andreas Philipp, Sven Malte Sopha

DTP-Produktion: Wolfgang Otto (Ltg.), Jörg Gottschalk

Titelbild: Petya Petrova – Fotolia

Bildmaterial: Fotolia.com

Herausgeber: Christian Heise, Ansgar Heise,Christian Persson

Geschäftsführer: Ansgar Heise, Dr. Alfons Schräder

Mitglied der Geschäftsleitung: Beate Gerold, Jörg Mühle

Verlagsleiter: Dr. Alfons Schräder

Anzeigen: Simon Tiebel (-890) (verantwortlich für den Anzeigenteil)

Druck: Dierichs Druck + Media GmbH & Co. KG, Frankfurter Straße 168, 34121 Kassel

Impressum

Eine Haftung für die Richtigkeit der Veröffentlichungen kanntrotz sorgfältiger Prüfung durch die Redaktion vom Heraus -geber nicht übernommen werden. Kein Teil dieser Publikationdarf ohne ausdrückliche schriftliche Geneh migung des Verlagsin irgendeiner Form reproduziert oder unter Verwendungelektronischer Systeme verarbeitet, vervielfältigt oder ver -breitet werden. Die Nutzung der Programme, Schaltpläne undgedruckten Schaltungen ist nur zum Zweck der Fortbildungund zum persönlichen Gebrauch des Lesers gestattet.

Für unverlangt eingesandte Manuskripte kann keine Haftungübernommen werden. Mit Übergabe der Manuskripte undBilder an die Redaktion erteilt der Verfasser dem Verlag dasExklusivrecht zur Veröffent lichung. Honorierte Arbeiten gehenin das Verfügungsrecht des Verlages über. Sämtliche Ver -öffentlichungen erfolgen ohne Berück sichtigung eineseventuellen Patentschutzes.

Warennamen werden ohne Gewährleistung einer freien Verwendung benutzt.

Printed in Germany. Alle Rechte vorbehalten. Gedruckt auf chlorfreiem Papier.

© Copyright 2016 by Heise Medien GmbH & Co. KG

Security Solutions Sonderbeilage von Heise Medien

SICHERE KUNDEN-LOGINS SIND EINFACH

Schnelle und sichereAuthentifizierungdient auch der Kundenzufiedenheit.

Seite 6

DIE FÖDERALEDATENVERFASSUNG

Der „Industrial Data Space“ bietet Platz fürDatenmanager.

Seite 8

ALWAYS CHANGE A RUNNING SYSTEM

IT-Sicherheit darf nichtauf der Stelle treten.

Seite 12

VERDÄCHTIGE SERVICESLEISTEN GUTE DIENSTE

Security-Lösungenaus der Cloud sind auf dem Vormarsch.

Seite 16

ÜBERRASCHEND KALT UND DUNKEL

Die Heimauto -matisierung ringt mit Sicherheitslücken.

Seite 17

GEFUNDEN, GEKAPERTUND FERNGESTEUERT

Cyberkriminelle habenim Internet der Dinge oft leichtes Spiel.

Seite 18

KILOWATTSTUNDEN-KRYPTOGRAFIE

Hardware-Sicherheitsmoduleschützen Smart-Metering-Systeme.

Seite 22

IM MITTELSTAND ISTAUGENMASS GEFRAGT

ISO-Zertifizierungstärkt die Informations-sicherheit.

Seite 24

Für ein Kunden-Zugangssystem gelten völ-lig andere Anforderungen als bei einer

IAM-Lösung für Mitarbeiter. Eine Consumer-IAM-Lösung muss zum Beispiel eine weitausgrößere Anzahl von Identitäten erkennen. Ausdiesem Grund ermöglichen dedizierte cIAM-Lösungen eine extrem hohe Anzahl an Identi-täten bei gleichzeitigen Sessions. Darüber hi-naus sind sie für Millionen von Benutzern beihoher Performance skalierbar ausgelegt. Auchpreislich macht eine spezialisierte cIAM- Lösung einen großen Unterschied zur klassi-schen Variante, was bei einer großen Anzahlan Identitäten durchaus ins Gewicht fällt.

User-Selfservice und HelpdeskEiner der wichtigsten Vorteile von cIAM-Lö-sungen sind User-Selfservices. Die Anmel-dung und die Erweiterung eines Kundenpro-fils sind hier ohne Eingriff eines Administra-tors oder des Helpdesks möglich. Dadurchentlasten User-Selfservices die Support-Mit-arbeiter, reduzieren die Kosten erheblichund verkürzen die Wartezeiten der Nutzer.

Hinzu kommt, dass auch die bestehendenApplikationen spürbar weniger Last zu bewältigen haben, weil sie nun nicht mehrselbst Routinen für die Authentifizierungund Autorisierung bereitstellen müssen. Istdoch einmal Helpdesk-Unterstützung nötig,kann dieser über delegierte Administrations-rechte auf das Kundenkonto zugreifen. MitCo-Browsing kann der Helpdesk-Mitarbeitersogar gemeinsam mit dem Kunden einzelneArbeitsschritte durchgehen.

Hinzu kommt, dass die Eintrittsbarriere beieiner schnellen Selbstregistrierung deutlichniedriger ist, was die Zahl der Kunden undInteressenten steigen lässt. Durch die Anbin-dung an beliebige Benutzerverzeichnissewie Microsoft Active Directory oder LDAPund durch diverse integrierte Token-Lösun-gen kann die Benutzerverwaltung flexibelund dynamisch gestaltet werden.

Auf diese Weise verbessert ein cIAM denBenutzerkomfort und damit auch die Sicher-heit und die Kundenzufriedenheit: DurchSingle Sign-on müssen sich Benutzer nur einmalig anmelden. Mithilfe des Step-up-

Verfahrens kann auch eine starke Authentifi-zierung für erhöhte Sicherheits- oder Com-pliance-Anforderungen umgesetzt werden.User-Selfservices ermöglichen es den Be -nutzern auch, ihre Passwörter schnell undeinfach zurückzusetzen.

Flexibilität bei derAuthentifizierung

Unternehmen sollten die Möglichkeit haben,zwischen verschiedenen Formen der Authen-tifizierung wählen und wechseln zu können.Die Methoden beginnen beim einfachenPasswort und gehen bis hin zu modernen,starken Authentifizierungsverfahren. Auchhier ist meist kein Eingriff des Administratorsoder Helpdesks notwendig.

Ein Beispiel für eine einfache Authentifi-zierung ist die Anmeldung über Social-Media-Accounts. Dabei bringen die Kundenihre bereits bestehende digitale Identitätgleich mit (Bring Your Own Identity). Dassteigert die Zahl der Registrierungen enorm,weil die Nutzer keine langen Registrierungs-formulare ausfüllen müssen. Als störendempfinden Benutzer vor allem interaktiveAuthentifizierungsschritte. Dabei müssen sieeinen zusätzlichen Handlungsschritt tätigen,um ihre Identität zu verifizieren. In komple-xeren Umgebungen, wie zum Beispiel beider digitalen Eröffnung eines Kontos, emp-fiehlt sich daher eine risikobasierte (adapti-ve) Zugriffskontrolle, zum Beispiel das DigitalOnboarding bei der Identitätsverifizierung.

Bei der risikobasierten Authentifizierungberücksichtigt eine smarte Sicherheitssoft-ware Kontextinformationen während desZugriffs auf eine Anwendung und registriertzahlreiche Informationen wie die Tageszeit,den Ort des Zugriffs, die Geräte-ID sowieBrowser-Informationen (Client und SessionFingerprinting). Mit Dynamic Value Endorse-ment (DyVE) werden JSON-Objekte dyna-

Die Airlock-IAM-Lösung vonErgon bietet umfangreicheSelfservice- und Sicher-heitsfunktionen über dengesamten Lebenszyklushinweg.

Bild

: Airl

ock

6 SECURITY SOLUTIONS

IDENTITY AND ACCESS MANAGEMENT

Dr. Martin Burkhart, Head of Product Management, Airlock

SICHERE KUNDEN-LOGINS SIND EINFACHAnders als bei klassischen Lösungen fürs Identity and AccessManagement (IAM) ist bei Consumer IAM (cIAM) eine besondershohe Flexibilität gefragt. So müssen Kunden-Login-Systemeschier endlos skalierbar sein und dürfen vor allem Erstanmeldernicht durch Umstandskrämerei abschrecken.

misch nach Werten durchsucht, die für dieaktuelle Benutzersession zulässig sind. Para-meter oder JSON-Attribute von nachfolgen-den Anfragen können dann auf die Verwen-dung von zulässigen Werten überprüft wer-den. In Kombination ermöglicht das einegute Einschätzung, ob der Zugriff regulär er-folgt oder betrugsverdächtig ist. Je nach Ap-plikation wird so ohne größeren Aufwandein ausreichendes Sicherheitsniveau erreicht,zugleich reduziert sich die Zahl der interaktivenAuthentifizierungsschritte.

Sicherheitsstufen nach AnwendungUnternehmen unterscheiden zwischen Berei-chen mit verschiedenen Sicherheitsan -forderungen. Der Hypothekenrechner einerBank ist zum Beispiel nicht sicherheitskri-tisch, für einen personalisierten Börsentickerbraucht es nur eine einfache Authentifizie-rung, E-Banking muss jedoch stark authenti-fiziert sein.

Verlangt das Anwendungsumfeld grund-sätzlich eine höhere Sicherheitsstufe, erhöhtdie Software die Akzeptanz beim Nutzer,wenn er als „Gegenleistung“ für die starkeAuthentifizierung Single Sign-on erhält. Dazutippt der Benutzer zum Beispiel einen SMS-Code ab und erhält dann für den Rest des

Tages Zugriff auf alle relevanten Anwendun-gen. Gerade in Consumer-IAM-Systemenschafft erst Single Sign-on ein nahtloses Kun-denerlebnis. Wird dem Kunden das Portaloder die Applikationen mit vielen unter-schiedlichen Login-Aufforderungen zu kom-pliziert, beginnt er, nach Alternativen zu suchen. Federated SSO sollte SAML, OpenIDund OpenID Connect unterstützen.

Consumer-IAM-Lösungen sind exponier-ter und häufiger Opfer von Hackerangriffenals klassische Enterprise-IAM-Lösungen. InKombination mit einer Web Applikation Fire-wall (WAF) kann ein cIAM am besten gegenMissbrauch vorgehen. Ein Vorteil der Kombi-nation von cIAM und WAF ist, dass die Inter-aktionen des Kunden über Formulare (SmartForm Protection) immer gesichert ablaufenund das IAM-System vor Script-Angriffen geschützt ist. Damit wird auch die Fraud Detection umfassend erweitert.

Bei einer cIAM-Lösung ist nicht zuletzt dieIntegration von APIs wichtig. Das unterstützteinen flexiblen Zugriff auf bestehenden Ser-vices und ermöglicht die Einbindungen vonApps auf Mobiltelefonen. Um nahtlos Identi-täten aus verschiedenen Benutzerverzeich-nissen zusammenzuführen, ist zudem eineSynchronisation der verschiedenen DirectoryServices in der cIAM-Lösung von Vorteil.

IDENTITY AND ACCESS MANAGEMENT

cIAM-Lösungen bieten dem Kundenschnellen Zugriff auf alle Applikationen.

Bild

: rvl

soft

– F

otol

ia

Das Modell des Vorhabens:Die beteiligten Partner ver-

einbaren einen Datenaustauschund legen dies in einem Vertragfest. Dieser ist standardisiert, un-kompliziert in Software imple-mentiert und wird den Datenimmer mitgegeben. Er be-schreibt, was der Empfänger mitden Daten tun darf und wasnicht. Der Sender bleibt Eigentü-mer, kann Bedingungen der Nut-zung festlegen und auch denZeitraum der Gültigkeit. Letzte-res ist wichtig: Das ist sozusagendas digitale Radiergummi. Undhinter dem Ganzen steht auchkeine komplexe Organisation: Esist die Standardisierung, mit dersich der sichere Datenaustauscheinfach gestalten lässt.

Der vernetzte Datenraum, wieihn die Initiative Industrial DataSpace anstrebt, soll insbeson -dere kleineren und mittelstän -dischen Unternehmen einen geschützten Industrie-4.0-Raumbieten, in dem sie Daten nachselbst festgelegten Regeln mitei-nander teilen und austauschenkönnen. Denn die Voraussetzun-gen für smarte Services, innova-tive Leistungsangebote und au-tomatisierte Geschäftsprozessesind ein sicherer Austausch unddie einfache Kombination vonDaten in Wertschöpfungsnetz-werken – ohne dass man dabeidie Souveränität über die eige-nen Daten verlieren oder dieseauf Cloud-Servern in Überseespeichern müsste.

Datenraum ohne zentrale Datenbank

Die Initiative schlägt im Kern einföderales Modell vor. Es soll auchdann noch funktionieren, wenn

die Unternehmen die Hoheitüber ihre Daten physisch behal-ten möchten und diese nur dannmiteinander geteilt werden,wenn es unbedingt erforderlichist. Es gibt daher keine zentrale

Datenbank, sondern Konnek -toren, mit deren Hilfe sich dieUnternehmen bei Bedarf in das Ökosystem einklinken undDaten tatsächlich austauschen.Sogenannte Vokabulare stellenden problemlosen Datenaus-tausch trotz vieler unterschiedli-cher Standards sicher.

Das Referenzarchitekturmo-dell des Industrial Data Spacee.ˇV. ist als eine Blaupause fürden sicheren Austausch in einerdezentralen „föderalen Cloud“und die effiziente Kombinationvon Daten anzusehen. Es kannfür den Einzelfall konfiguriertwerden, bietet so die Grundlagefür verschiedene Implementie-rungen im Rahmen von Indus-trie 4.0 und stellt eine Möglich-keit dar, ein Datenökosystem zu realisieren, in dem Unter -nehmen nach ihren Vorstellun-gen und nach den Vorstellun-


SMART DATA MANAGEMENT

Geert-Jan Gorter, CIO, catkin GmbH

DIE FÖDERALEDATENVERFASSUNGDie Initiative „Industrial Data Space“, an der mit Unterstützung desBundesministeriums für Bildung und Forschung zwölf Fraunhofer-Institute gemeinsam mit Vertretern namhafter Unternehmenunterschiedlichster Branchen und Größen arbeiten, zielt darauf ab,einen sicheren Datenraum für die Industrie 4.0 zu schaffen.

Schlüsselmerkmale desIndustrial Data Space Bi

ld: F

raun

hofe

r-G

esel

lsch

aft

9


SECURITY SOLUTIONS

In diesem System gibt es ver-schiedene Rollen, die Unter -nehmen einnehmen können.Die offensichtlichen sind diedes Data-Owners, der Daten zurVerfügung stellen kann, und diedes Daten-Nutzers, der Datenverwenden möchte, um Dienst-leistungen oder Produkte an -zubieten. Es kann aber auchBroker geben, die vermittelnund den Datenaustausch er-leichtern, und Zertifizierer, diedafür sorgen, dass das geplanteGeschäftsmodell auch eingehal-ten wird.

Neben Datengeber, -nutzerund Broker sind im IndustrialData Space weitere funktionaleRollen vorgesehen, die zusam-menspielen müssen, beispiels-weise AppStore-Betreiber undCloud-Anbieter. Dabei kannjeder Teilnehmer eine oderauch mehrere Rollen ausübenund darüber hinaus einzelneAktivitäten auf Dritte über -tragen.

DatengeberDer Datengeber verfügt überDatenquellen, die er unter Wahrung seiner Souveränitätüber seine Datengüter anderenTeilnehmern verfügbar machenkann. Dabei wird eine Beschrei-bung seiner Datenquellen beieinem Broker registriert, um an-deren Teilnehmern des Indus -trial Data Spaces das Auffindendieser Daten zu ermöglichen.Dann werden die geeignetenDaten aus internen Systemen fürdie Veröffentlichung selegiert;sie werden verarbeitet, integriertund in ein Zieldatenmodelltransformiert. Über spezielle Attribute werden dabei auchNutzungsbedingungen der Datenfestgelegt.

Es folgt die Bereitstellung derDaten für den Abruf durch Ver-tragspartner. Data Service Apps,Vokabulare und Schemata sowieKonnektoren bezieht der Daten-geber über den Industrial DataSpace AppStore.

Datennutzer

Der Datennutzer bezieht Datenvon Teilnehmern am IndustrialData Space. Er ruft Daten derVertragspartner ab und sele-giert dabei aus verschiedenenQuellen, also von unterschiedli-chen Datengebern. Er verarbei-tet die Daten, integriert sie undtransformiert sie in ein Ziel -datenmodell.

Data Service Apps, Vokabulareund Schemata sowie Konnekto-ren bezieht der Datengeberebenfalls über den AppStore.

BrokerEin Broker vermittelt Datenan-gebote und -bedarfe zwischenDatengebern und -nutzern. Erfungiert dabei als Verzeichnis-dienst (Registry) für Daten -quellen. Er stellt Funktionenbereit, damit Datengeber Da-tenquellen publizieren kön-nen, und Funktionen, mitdenen Datennehmer Daten-quellen auffinden können.Hinzu kommen Funktionen,mit deren Hilfe zwischen bei-den Parteien Vereinbarungenzur Datennutzung zu treffensind.

Darüber hinaus fungiert einBroker als Clearing-Stelle imIndustrial Data Space undüberwacht dabei den Daten-austausch, ohne die Souve -ränität der jeweiligen Daten -eigen tümer zu verletzen. Erprotokolliert gesicherte Trans-aktionen und erstellt Berichteüber die Suche nach Daten-quellen und über Datenaus-tauschtransaktionen. Außer-dem leistet er Unterstützungbei fehlerhaftem oder unvoll-ständigem Datenaustauschdurch die Rückabwicklung derTransaktion.

Broker können auf Wunschder Teilnehmer auch weiter-führende Services und Mehr-wertdienste anbieten. Beispie-le sind Datenqualitätsdienste

sowie Ana lysedienste für großeDatenmengen.

AppStore-BetreiberDer Industrial Data Space fördertein Ökosystem, in dem unter-schiedliche Teilnehmer Software,insbesondere Data Services, ent-wickeln und über den AppStorebereitstellen können. Der App -Store-Betreiber stellt dabei so-wohl Funktionen bereit, mit derenHilfe Software-Entwickler DataServices verfügbar machen undbeschreiben können, als auch sol -che, mit denen Teilnehmer DataServices auffinden und herunter-laden können. Weitere Funktio-nen dienen der Bezahlung undBewertung der Data Services.

ZertifizierungsstelleDie Zertifizierungsstelle stellt sicher, dass die Software-

Komponenten des IndustrialData Spaces die gemein -schaftlich definierten Anforde-rungen der Anwender erfüllenund dass entsprechende Nor-men und Standards einge -halten werden.

Die Zertifizierungsstelle beglei-tet jede Zertifizierung von derAntragsstellung bis zur Zertifi-katsübergabe, nimmt die Prüf-berichte der Prüfstelle ab, stelltZertifizierungs-/Versagungsbe-scheide aus sowie die Zertifikateselbst.

Außerdem stellt sie eine Ver-gleichbarkeit der Evaluierungensicher und verwaltet die Krite-rienkataloge sowie gegebenen-falls die Schutzklassen. Die Zer-tifizierungsstelle arbeitet dabeieng mit Prüfstellen und einerAkkreditierungsstelle zusam-men.

ROLLEN IM INDUSTRIAL DATA SPACE

gen der Verbraucher Daten somiteinander teilen können, dasseine bestimmte Governance ge-sichert ist, dass das Ganze transparent, fair und gestaltbarist.

Branchen undAnwendungsbeispiele

Generell bildet der IndustrialData Space eine Infrastruktur für digitale Geschäftsmodelle inunterschiedlichsten Branchen.Aktuelle Szenarien kommenbeispielsweise aus den Berei-chen Digital Farming, Wind-energie, Life Sciences und High

Performance Supply Chain. Da-neben entwickeln sich immermehr originäre Datengeschäfts-modelle, etwa Treuhänder-dienste für Daten. Der Verein,die Fraunhofer-Institute und dieIndustriepartner arbeiten zur-zeit an den Definitionen undspezifizieren Use Cases, sodassdiese pilotiert und vielleichtschon auf der CeBIT 2017 prä-sentiert werden können. EinenSchwerpunkt bildet dabei dieLogistik 4.0.

Eines der bislang rund 70 Anwendungsszenarien ist einintelligenter Luftfrachtcontainer.Es zeigt, wie sich Unternehmen

und Objekte sicher miteinandervernetzen, um beispielsweiseFrachtpapiere zu tauschen, Lie-ferungen zu über wachen oderTransportwege dynamisch zuorganisieren. So kann sich der Container beispielsweiseeinen neuen Flug buchen, wenner am Flughafen sein geplantesTransportmittel verpasst, undmeldet die damit einher -gehende Verzögerung umge-hend an die anderen involvier-ten Stellen. Die Kommunikationerfolgt über ein mobiles Steuer-gerät.

Ein weiteres Anwendungs-beispiel erarbeitet das Projekt

InventAIRy, hier wird die Inven-tur neu gestaltet: AutonomeFlugroboter navigieren eigen-ständig durch Lagerhallen undlesen Barcodes im Flug aus. Inder Logistik von morgen sinddie Daten, die sie erfassen, es-senziell. Andererseits benötigendie Drohnen Umweltmodelleaus verschiedenen Quellen umunabhängig von Hindernissenam Boden zu agieren, sich inalle Richtungen zu bewegenund auch schwer erreichbareStellen einzusehen, etwa inHochregallagern. So entstehenneue Geschäftsmodelle undSoftware-Services.



Software-Komponenten im Smart-Data-Austausch

Bild

: Fra

unho

fer-

Ges

ells

chaf

t

Portal für dieAuftragskommunikationIn Verbindung mit der neutra-len catkin-Plattform ist Logistik4.0 für Dienstleistungsunter-nehmen bereits heute Realität.Das Prinzip besteht darin, durchdie schnelle, flexible und wirk-same Vernetzung von Auftrag-gebern und Auftragnehmerndie Effizienz in der Auftrag -sabwicklung zu erhöhen undKosten zu senken. Das ge-schieht unternehmensübergrei-fend und systemunabhängigdurch eine unmittelbare hori-zontale Integration aller Betei-ligten in einem Kunden- wieauch Dienstleisterportal. Zudemwird die Steuerung von mobilenPersonalen und „rollendem Ma-terial“ automatisch unterstützt.Auftragsdaten und Fortschrittlassen sich sicher, einfach undin Echtzeit kommunizieren, wo-durch eine nahtlose Zusam-menarbeit realisiert wird.

Der Grundgedanke von cat-kin ist die extrem niedrige Ein-stiegshürde. Jeder Teilnehmerkann sich über Web und Appsbeteiligen. Kleinunternehmenund Freiberufler verwendenBrowser und Apps, Unterneh-men mit einer etablierten IT-Landschaft integrieren ihre Sys-teme sukzessive über offeneSchnittstellen. Durch die ein -fache Konfigurierbarkeit vonneuen Auftragsstrukturen undArbeitsabläufen entfallen beidieser Cloud-Lösung aufwen -dige Updates und störendeDowntimes.

Entscheidend ist aber auchhier die Datensicherheit. Mo-dernste Verschlüsselung undausgefeilte Autorisierungsfunk-tionen verhindern unerwünsch-te Zugriffe. Zudem dient die Anwendung ausschließlich derAuftragskommunikation. Folg-lich werden die im Zuge derAuftragsabwicklung erzeugtenDaten nach Abschluss innerhalbeines gewissen Zeitfensters ausdem System entfernt. Und mitder Beteiligung am IndustrialData Space wird die Daten -sicherheit nun noch stärker inden Fokus gestellt.

Ein weiteres Beispiel ist das er-weiterte Qualitätsmanagement.Während bei der Herstellung dieQualität der Produkte bereits

nahezu lückenlos überwacht wird,bleiben die Bedingungen in denübrigen Abschnitten der Liefer-kette oft im Dunkeln. Hier setztdie Lösung TraQ (Tracking andQuality) an. Dabei erfassen Sen-soren, die in die Transportverpa-ckung oder auch in das Produktintegriert sind, qualitätsrelevan-te Informationen wie Tempera-tur, Erschütterung, Licht oderLuftfeuchtigkeit und sendendiese sicher an die Cloud. Dortwerden die Messwerte mit denzulässigen Grenzwerten abgegli-chen. Bei Überschreitung erfolgteine Warnung, die Kunden, Lieferanten und Dienstleister inEchtzeit informiert. Zudem lie-fert der Sensor Positionsdaten,die Auskunft über die voraus-sichtliche Ankunftszeit gebenkönnen und somit Basis für eineoptimierte Transportsteuerungsind.

Standards einerDatenökonomie

Gemeinsam ist all diesen Praxis-beispielen, dass dabei vergleichs-weise große Mengen von Datenmit unterschiedlichen Beteiligtensicher und zuverlässig ausge-tauscht werden müssen. Die Initia -tive „Industrial Data Space“ nutztdafür so weit wie möglich die bereits bestehenden Standards.Gleichzeitig verfolgt sie aber auchdas Ziel, selbst einen innovativenStandard für die Datenökonomiezu setzen, der den hohen An -forderungen gerecht werdenkann, und will darüber hinausihre Aktivitäten auf eine euro -päische und internationale Ebeneausweiten. Die verschiedenenVorarbeiten in anderen Ländernsollen – sofern sie zielführendsind – schließlich in die erwei -terte Gesamtarchitektur eingebautwerden.

Der Industrial Data Spacewirkt wie eine Infrastruktur,indem er grundlegende Daten-dienste bereitstellt. Aufgrundder Netzwerkeffekte ist es wich-tig, dass diese infrastrukturellenDatendienste auf Basis des Refe-renzarchitekturmodells in mög-lichst vielen verschiedenen Ein-satzszenarien genutzt werden.Die Logistikprozesse mit ihrenunterschiedlichen Beteiligten ingroßer Zahl sind dabei nur einAnfang.

11


Die Ursprünge von Fehlern und damit Sicherheitslücken in IT-Systemen sind

vielfältig. So fand ein Life-Hacker im Jahr2008 heraus, dass eine einfache Nullsummedie unzureichend spezifizierten Kassensyste-me des Discounters Lidl zum Absturz brin-gen konnte. Die im April 2014 bekannt ge-wordene Schwachstelle in der Verschlüsse-lungsbibliothek OpenSSL mit dem NamenHeartbleed resultierte hingegen aus einemImplementierungsfehler. Unabhängig vonUrsache und Auswirkung stellen Hersteller in der Regel Software-Updates bereit, die bekannt gewordene Fehler beheben sollen.Gleichzeitig werden im Internet aber Infor-mationen und Werkzeuge zur Ausnutzungdieser Sicherheitslücken gehandelt, mit denennicht nur technisch versierte Nutzer großenSchaden anrichten können. Da eine Schwach-stelle zum Zeitpunkt der Bereitstellung einerFehlerbehebung (oder kurz danach) meistöffentlich bekannt ist, können Angreifer sieaktiv ausnutzen.

Veraltete IT-Systeme ohne UpdatesDie Betreiber von IT-Systemen sind daher gutberaten, Aktualisierungen zeitnah einzuspielen.Dies ist im Fall von regulärer Anwendungs-software auf einem PC vergleichsweise einfach,kann im Fall von dezentralen und nicht ver-netzen Systemen jedoch einen erheblichenAufwand bedeuten. Ein aktuelles Beispiel dafürist die Rückrufaktion von VW, bei der wegenmanipulierter Abgaswerte allein in Deutsch-land Hunderttausende Fahrzeuge zum Soft-ware-Update in die Werkstatt müssen.

In der Realität funktionieren Update-Pro-zesse oft nicht reibungslos. In einigen Fällenliefern Software-Hersteller Aktualisierungengar nicht oder nicht zeitnah aus. Und spätes-tens dann, wenn ein Produkt den regulärenLebenszyklus verlässt, werden keine neuenVersionen mehr bereitgestellt. In anderenFällen scheitert der Prozess aufseiten des An-wenders bzw. Betreibers. Die Gründe dafür

sind vielfältig: zu komplexe Aktualisierungs-vorgänge, fehlende Prozesse, mangelndesBewusstsein oder Kompatibilitätsprobleme,um nur einige zu nennen.

Ein alltägliches Beispiel sind die Routerprivater Internet-Anschlüsse. Dem Benutzerfehlen oft das Bewusstsein und die Kenntnis-se, um seinen Router auf einem aktuellenStand zu halten. Automatische Update-Rou-tinen gibt es meist nicht, und so steht die Si-cherheitskomponente des Netzwerks selbstungeschützt im Internet. Heise etwa hat mitautomatisierten Scans verwundbare Gerätein sechsstelliger Zahl gefunden und nenntdie Lage „nach wie vor desaströs“. Sehrschnell reagieren mussten Administratorenauf die bereits angesprochene Heartbleed-Schwachstelle in OpenSSL. Hier führte einProgrammierfehler dazu, dass Angreifer ver-schlüsselte Kommunikation mitlesen konn-ten, was Sicherheitsexperte Bruce Schneiereine „Katastrophe“ nannte.

In Anbetracht dieser Bedrohungslage sollteeigentlich davon auszugehen sein, dass Ad-ministratoren ihre Systeme zeitnah aktualisie-ren. Doch eine Studie der Cybersecurity-FirmaVenafi zeigt, dass selbst zwölf Monate nachBekanntwerden von Heartbleed der Großteilder öffentlich erreichbaren Server der 2000größten Unternehmen weiterhin verwundbarwar (Venafi Labs Analysis: „Hearts Continue toBleed. Heartbleed One Year Later“).

Lifecycle-Konflikte auf AnsagePlötzlich bekannt werdende Sicherheitslü-cken stellen alle Organisationen, ob aus derPrivatwirtschaft oder in der öffentlichen Ver-waltung, vor große Herausforderungen.Diese Probleme bestehen unter Umständenselbst dann noch, wenn der Handlungsbe-darf schon seit Langem bekannt und geplantist. Als Beispiel sei das Ende des Supports fürWindows XP genannt. Das Ende des Lifecy-cles wurde von Microsoft einige Jahre im Vo-raus angekündigt. Berichte der Fachmedien

machen dennoch deutlich, dass große Orga-nisationen ihre Schwierigkeiten mit der Um-stellung von Windows XP auf Folgesystemehatten und haben. Damit waren etwa auchder Deutsche Bundestag und die BerlinerLandesverwaltung konfrontiert.

Windows XP läuft aber nicht nur auf ge-wöhnlichen Rechnern, sondern auch auf spe-ziellen Geräten mit besonderen Aufgaben,z.ˇB. in der Medizintechnik. Ist der Lebenszyklusder Hardware aber länger als derjenige derSteuersoftware, laufen diese Geräte meist weiter -hin mit einem veralteten Betriebssystem. DieFolge: Neu entdeckte Sicherheitslücken derSoftware werden in diesen Fällen nicht ge-schlossen. Dabei spielt gerade in einem Be-reich wie der Medizintechnik die Sicherheiteine ganz besondere, übergeordnete Rolle.

Bei Geldautomaten gestaltet sich die Situation ähnlich. Hier werden noch rund 95ˇ%der Systeme mit Windows XP betrieben. WieGeräte der Medizintechnik können auch Geldautomaten nicht ohne Weiteres auf neueBetriebssystemversionen migriert werden.Während die Deutsche Kreditwirtschaft diefehlende Verbindung der Geräte ins öffent -liche Internet als Sicherheitsmerkmal ansieht– dadurch könnten auf Windows XP basierendeGeräte weiterhin sicher betrieben werden –,ist Kaspersky Labs der gegenteiligen Auffas-sung: Fast alle Geldautomaten seien wegen desveralteten Windows XP für Angriffe anfällig.

Sicherheits- und Patch-Management

Neue Sicherheitslücken können jederzeitentdeckt werden. Systeme nur einmalig ab-zusichern, ist eindeutig unzureichend. DieFrage, ob Systeme ausreichend abgesichertsind oder nicht, muss kontinuierlich gestelltwerden. Diese regelmäßige Überprüfung istals betriebliche Aufgabe zu verstehen. Auf-grund der Komplexität und der wechselseiti-gen Abhängigkeit von Komponenten undSystemen kann die Wirksamkeit der Absiche-rung erst nach Prüfung aller gemeinsamagierenden Maßnahmen bewertet werden.

Die Herausforderung für alle Organisatio-nen besteht darin, ein Management-Systemzu etablieren, damit diese Überprüfung imRahmen der betrieblichen Aufgaben durch-geführt wird. Es ist entscheidend, dass manbei Bedarf die notwendigen Änderungen ineinem strukturierten Verfahren vornehmenkann, ohne dabei den Betrieb und andereSysteme zu gefährden. Ein Sicherheits- undPatch-Management (SuP), das in der Organi-sation verankert und standardisiert ist, kanndie übergreifende Struktur für Abteilungenund Fachbereiche bieten. Zentrale Aufgabedes SuP ist es, sowohl planbare als auchnicht planbare, kurzfristige Änderungen anSystemen umzusetzen. Diese Änderungenkönnen nicht nur Software-, sondern auchHardware-Komponenten oder betriebliche


STRATEGIE

Sven Malte Sopha und Jan Graßhoff, Cassini Consulting

ALWAYS CHANGEA RUNNING SYSTEMSo unterschiedlich Software-Produkte sind, eines haben sie gemeinsam:Alle enthalten Fehler, die zu Sicherheitslücken werden können. Wer diesem Problem begegnen und seine IT-Systeme wirklich schützenwill, muss sich vom Grundsatz „Never change a running system“verabschieden. IT-Sicherheit ist als kontinuierlicher Prozess zu verstehen– und in der Organisation entsprechend zu verankern.

Abläufe betreffen. Dabei gilt es besonders,Abhängigkeiten zu betrachten, um bei Ak-tualisierungen ungewollte Ausfälle vonDiensten zu vermeiden.

Änderungen an Systemen ohne Abhängig-keiten lassen sich innerhalb der Organisations -einheit selbst umsetzen. Für größere undkomplexere Änderungen ist es allerdings rat-sam, ein übergreifendes Gremium zu etablie-ren. Ein Change Advisory Board (CAB), dasstandardisierte, aufeinander abgestimmteAbläufe und geregelte Verantwortlichkeitenhat, ist in der Lage, eingereichte Änderungs-anträge strukturiert zu bearbeiten. In der Praxis hat es sich bewährt, dass in einem CABalle relevanten Bereiche einbezogen werden– auch Stabsfunktionen wie etwa IT-Sicher-heitsbeauftragte und Datenschützer. Ent-scheidungen, beispielsweise zur Einspielungvon Software-Updates oder Hardware-Wech-seln, können dann unter Berücksichtigungaller betrieblichen und sicherheitsrelevantenAbhängigkeiten getroffen werden.

AbgestimmtesLifecycle Management

In Organisationen kommen meist unter-schiedliche IT-Systeme und Komponentenzum Einsatz, für die in der Regel auch ver-schiedene Fachbereiche zuständig sind. JedeHardware-Komponente hat einen sogenann-ten Lifecycle, einen Lebenszyklus. Von ihmhängt der Herstellersupport ab – und die Bereit -stellung neuer Software-Versionen, die Fehlerbeseitigen und möglicherweise den Funktions -umfang erweitern. Fehlende (Sicherheits-)Funktionalitäten in einer Komponente kön-nen jedoch nicht immer durch eine einfacheAktualisierung der Firmware nachgerüstetwerden. Im Sicherheitsbereich lassen sich beispielsweise nur dann neue kryptografischeAlgorithmen per Software-Update aufspielen

und nutzen, wenn die Hardware diese Algo-rithmen auch unterstützt. Sollen jeweils aktu-elle kryptografische Verfahren eingesetzt wer-den, ist meist ein bedarfsgerechter Austauschvon Komponenten erforderlich. Es gilt daher,neue Beschaffungen in Abstimmung mit denfachlich verantwortlichen Bereichen frühzeitigzu planen. Im Fokus dürfen dabei nicht nurfunktionale Kriterien stehen, sondern primärauch strategische und sicherheitsrelevanteAnforderungen.

Ein gutes Beispiel für das Ende eines Software-Lifecycles liefert das GSTOOL desBundesamts für Sicherheit in der Informa -tionstechnik (BSI), das seit 1998 dabei hilft, Sicherheitskonzepte entsprechend dem IT-Grundschutz zu erstellen, zu verwalten undfortzuschreiben. Im Oktober 2014 kündigtedas BSI die Einstellung und das Support-Endevon GSTOOL für Ende 2016 an. Die Nutzersind seitdem aufgefordert, die Außerbetrieb-nahme ihrer GSTOOL-Instanz vor zubereitenund auf ein anderes Information Security Management System (ISMS) zu migrieren. EinISMS ist ein wesentlicher Baustein in der Sicher -heitsorganisation, da man mit diesem Werkzeugdie Umsetzung von Sicherheitsmaßnahmensteuern kann. Die Verfahrensverantwortlichenfür das ISMS-Tool sollten also umgehend mitgutem Beispiel vorangehen und den Einsatzeines Nachfolgers planen und realisieren.

Sicherheit durch stetige Veränderung

Die fortschreitende Verbreitung von IT- Systemen und deren Vernetzung haben dieHerausforderungen für (IT-)Organisationen inden vergangenen Jahren deutlich verschärft.Organisationen müssen die Sicherheitslageganzheitlich betrachten und nicht nur techni-sche Fragestellungen beantworten, sondernauch ihre Abläufe aufeinander abstimmen. In

diesem Kontext hat sich die Etablierung vonstandardisierten Prozessen gut bewährt.

Dabei gilt das Prinzip: Nach der Absiche-rung ist vor der Absicherung. Es ist erforder-lich, Sicherheitsmaßnahmen kontinuierlich zuüberwachen und infrage zu stellen. Dies müs-sen Organisationen als betriebliche Aufgabeverstehen – und entsprechend einplanen undumsetzen. Denn bekannte Sicherheitslücken,die noch nicht geschlossen sind, stellen vermeidbare Einladungen für alle Arten vonAngreifern dar, von technischen Laien bis zuGeheimdiensten.

Technische Systeme zu warten, ist keinneues Konzept. Technische Anlagen in derIndustrie werden ebenso regelmäßig über-prüft und bei Bedarf repariert wie Pkw in Privatgaragen. Es ist unerlässlich, IT-Systememit derselben Sorgfalt zu warten. Nur so lässtsich ein zuverlässiger Betrieb sicherstellen.Auch das BSI hat die neuen Herausforderun-gen erkannt und mit der Modernisierung desIT-Grundschutzes reagiert. Dadurch soll dieAbsicherung von Komponenten und Prozes-sen zielgerichteter und schneller erfolgenkönnen. Das neue Werkzeug wird dem BSIzufolge ab 2017 zur Verfügung stehen.

Laufende Systeme laufend sichernDer alte Grundsatz „Never change a runningsystem“ spielt Angreifern in die Hände undbietet eine unnötig große Angriffsfläche.Produktive Systeme müssen immer angefasstund angepasst werden. Erst eine Organisation,in der der Wille zur stetigen Weiterentwicklungmit ausreichenden Ressourcen untermauertwird, schafft die Voraussetzung für einen sicheren und zukunftsfähigen Betrieb. Sicherheit muss als Prozess verstanden werden und bedarf der kontinuierlichen Verbesserung. Der neue Grundsatz sollte alsolauten: Always change a running system!


STRATEGIE

Informations -sicherheit

umfasst eineganze Reihe sich

überlagernderBereiche. Bi

ld: C

assi

ni C

onsu

lting

Das fehlende Vertrauen in die Sicherheitder Daten bleibt nach wie vor die höchs-

te Cloud-Hürde: „Diejenigen, die sich bishernoch nicht für den Einsatz einer Cloud- Lösung entschieden haben, begründen diesmit Sicherheitsbedenken.“ Das ist das klareFazit von Studienleiterin Verena Bunk. Sie bezieht sich auf eine Breitenerhebung unter250 deutschen Unternehmen, durchgeführtim zweiten Quartal 2016.

Bedenken bei Daten außer HausInsgesamt haben die Themen Datenschutz,Datensicherheit und IT-Sicherheit mit 67 %die größte Relevanz im Entscheidungspro-zess, wenn es um den Cloud-Einsatz geht.Die Anwenderunternehmen wollen ihre Sys-teme und Daten in sicheren Händen wissen.Dies betrifft den Datentransfer, die Speiche-rung und die Zutrittskontrolle ebenso wiedie Netzwerksicherheit, betont die Analystin.

Anbieter können den Sicherheitsbedenkender Unternehmen vor allem durch wirksame

Verschlüsselung (73 %) sowie durch die Kon-trolle über die verschlüsselten Daten (70 %)entgegenwirken. Außerdem spielt der Stand-ort des Rechenzentrums eine ganz entschei-dende Rolle: 64 % der befragten Unternehmensind der Meinung, dass ein deutsches Rechen-zentrum unter deutscher Datentreuhand dasnotwendige Vertrauen sowohl in die Sicher-heit als auch in die Compliance schafft.

Ein guter Teil der Argumente, die Cloud-Skeptiker vorbringen, sei nachvollziehbar, bestätigt auch Analystenkollege Henrik Groß.Er untersucht seit mehreren Jahren mit derLangzeitstudie „Security Bilanz Deutschland“die Entwicklung der IT-Informationssicherheitund Datensicherheit in Deutschland, mitSchwerpunkt auf kleinen und mittelstän -dischen Unternehmen und öffentlichen Ver-waltungen. Zusätzlich zu den halbjährlichenReports gibt es unter security-bilanz.de einenOnline-Selbstcheck; über 20.000 Teilnehmerhaben diesen Test bereits durchgeführt, be-richtet Groß. Von daher weiß der Analyst,dass es ebenso überzeugende Argumente für

Cloud-Lösungen gibt, speziell unter dem Aspekt der IT-Security: So können Betreiber vonCloud-Infrastrukturen in der Regel ein weit-aus höheres Sicherheitsniveau anbieten, alsdie interne IT in den meisten Unternehmenaufbauen könnte. Dies betrifft beispielsweisePunkte wie den physischen Zugriffsschutz,die Gebäudetechnik oder die technische Aus-stattung (Stichwort Redundanz). Unternehmen,die zum Beispiel hinsichtlich des Zugriffs-schutzes auf Ebene der Software Bedenkenhaben, können dieser Sorge auch bei kleine-ren IT-Abteilungen mit geringem Aufwandbegegnen, etwa durch Verschlüsselung.

Vertrauen auf Sicherheit aus der Cloud

In Bezug auf Sicherheitslösungen aus derCloud zeigt sich in den Studienauswertun-gen dagegen keine Spur von Zurückhaltung.Mittelständische Unternehmen und der Public Sector setzen bereits häufig Cloud- Lösungen aus den Bereichen E-Mail- und Websicherheit, Datensicherheit, Application Security oder Network Security ein. E-Mail- undWeb Protection nutzt zum Beispiel bereitsüber die Hälfte der befragten Unternehmenaus Industrie, Dienstleistungen, Banken undVersicherungen sowie öffentliche Verwaltun-gen. Einzig der Handel ist hier noch nicht soweit; mehr als ein Viertel der befragten mittel -ständischen Händler hat jedoch schon kon-krete Planungen, in Zukunft Cloud-basierteE-Mail- und Websicherheit zu nutzen.

Nur wenige Unternehmen geben an, dassSecurity aus der Cloud derzeit und auch zu-künftig für sie keine Rolle spiele. Die meistenUnternehmen haben schon konkrete Pläneund stehen vor der Einführung. Weiteresehen, dass das Thema zukünftig interessantfür sie werden könnte.


CLOUD SECURITY

Eduard Heilmayr, Delphin Consult

VERDÄCHTIGE SERVICESLEISTEN GUTE DIENSTEDas meistgenannte Hindernis vor dem professionellen Einsatz vonCloud-Anwendungen sind die Ergebnisse der Risikoeinschätzungenauf Anwenderseite. Zugleich steigt jedoch die Nachfrage nachSecurity-Lösungen aus der Cloud gerade bei mittelständischenUnternehmen und öffentlichen Verwaltungen.

Bild

: tec

hcon

sult

E-Mail und WebProtection ausder Cloud setztschon die Hälfteder Unter -nehmen ein,weitere 18 %stehen vor derEinführung solcher Sicher-heitslösungen.

Ein Smart Home bietet zahl -reiche Vorteile für den Ver-

braucher, vor allem durch diekomfortable Fernsteuerung und-überwachung von Geräten undSystemen, vom Kühlschrank überHaustür und Beleuchtung bis hin zur Heizung. An der Heim -automatisierung zeigen sich aber auch die Probleme des Internet of Things (IoT). Falls inaller nächster Zukunft Milliarden Geräte über das Internet verbun-den – und damit angreifbar –sind, weiß man um die Trag weiteder Sicherheitsthematik. Schonin der Vergangenheit haben Hacker TV-Geräte und intelligenteKühlschränke missbraucht, umBot-Netze aufzubauen oder Spam-Mails zu verschicken. Genausowenig ist die böswillig ausge-schaltete Heizung eine Vision.

Viele Beispiele belegen, dassbei IoT-Lösungen noch einiges im Argen liegt. Hier sind natürlich

zunächst die Hersteller und Lösungsanbieter gefordert. Auchwenn sich mehrere Organisatio-nen inzwischen intensiv mit IoT-Standards und Security-Modellenbeschäftigen, bleibt als zentralesProblem, dass die Internet- fähigen Geräte in den Haushaltenkeine oder nur sehr unregel -mäßige Updates erhalten. Proble-matisch ist auch, dass sich im Hinblick auf das Internet derDinge bisher keine übergreifen-den Standards etabliert haben.

Strukturell bedingteSchwächen

So werden bei der drahtlosenVernetzung nach wie vor unter-schiedliche Übertragungsverfah-ren genutzt. An dieser Vielfaltwird sich in absehbarer Zeitnichts ändern, auch wenn esbranchenweit Standardisierungs -bestrebungen gibt. Verbreitete

Kommunikationsprotokolle sindheute ZigBee oder Z-Wave. Dasssie eine hohe Sicherheit bieten,ist allerdings ein Irrglaube. Dashat sich Ende 2015 wieder ge-zeigt, als eine ZigBee-Variantegeknackt wurde. Genutzt wurdedabei ein öffentlich bekannterasymmetrischer Schlüssel, derbei der Neuanmeldung einesZigBee-Gerätes in einem Netzbenötigt wird. Ob ein derartigesVerfahren noch zeitgemäß ist,sei dahingestellt.

Anwender in der PflichtBedeutet das, dass der Verbrau-cher überhaupt nichts tun kann?Natürlich nicht. Er ist durchausgefordert und muss selbst einigeSicherheitsmaßnahmen ergreifen.Ganz allgemein gibt es drei Hand -lungsempfehlungen. Erstens: DerVerbraucher muss sich bewusstsein, dass Sicherheitsgefahrenbestehen; Awareness ist nach wievor nicht sonderlich ausgeprägt.Zweitens muss er selbst grund -legende Sicherheitsempfehlungenbeachten und ent sprechendeMaßnahmen ergreifen, etwa dieÄnderung der Default-Passwörterbei allen Systemen und Geräten.Drittens muss er alle Systeme aufdem aktuellen Stand halten und,soweit möglich, regelmäßige Updates durchführen.

Das wichtigste Handlungs-feld für Anwender betrifft Maßnahmen bei der Sicherungder Außenkommunikation. Hiergibt es Standards, Best Practicesund klar definierte Sicherheits-verfahren. Doch auch bei derenUmsetzung hapert es noch. Daszeigt sich schon an der Schnitt-

stelle zum Internet, dem Router:Die Erfahrung zeigt, dass dieStandardpasswörter der Routervielfach nicht geändert werden.Dadurch ergibt sich schon dieerste Sicherheitslücke. Weiterewichtige Punkte sind strikte Firewall-Einstellungen; es mussklar festgelegt werden, wer wo-rauf Zugriff erhält. Alle Daten-übertragungen müssen zudemlückenlos verschlüsselt erfolgen,und zwar sowohl intern als auchextern.

Marktmacht undSachverstand

Aber der Verbraucher hat durch-aus noch weiter reichende Mög-lichkeiten, das Sicherheitsniveauder IoT-Entwicklung zu beeinflus-sen. So sollte er bereits bei derAuswahl von Lösungs- und Ser-viceanbietern kritischen Sachver-stand walten lassen. Dabei gehtes nicht nur um die technischeKompetenz der Anbieter, sondernauch um das Thema Vertrauen.Legt der Konsument künftig einstärkeres Augenmerk auf den Bereich Sicherheit, wird das auchAuswirkungen auf die Lösungs-und Serviceprovider haben.

Auch wenn der Anwendergrundlegende Sicherheitsricht -linien beachtet und die Anbieterkritisch auswählt, kann es durch-aus sinnvoll sein, auf Experten -wissen zuzugreifen. Bevor einHeimanwender also den Weg derumfassenden Vernetzung geht,sollte er überlegen, ob es nicht rat-sam ist, sich die Unterstützungeines externen Dienstleisters mitentsprechender Erfahrung bei derHeimautomatisierung zu sichern.

SMART HOME SECURITY

Henning von Kielpinski, Leiter BusinessDevelopment, Consol Software GmbH

ÜBERRASCHENDKALT UND DUNKELDie Heimautomatisierung ist bereits vielfach Realität –und die Entwicklung schreitet mit großen Schrittenvoran. Eine der größten Schwachstellen ist derzeitnoch die Sicherheit der vernetzten Installationen.Handlungsbedarf besteht aber nicht nur bei denAnbietern. Auch der Verbraucher ist gefordert.

Eines vorweg: Industrie 4.0, M2M und dasInternet der Dinge (IoT) stehen häufig in

unterschiedlichem Kontext, haben aber dengleichen Hintergrund: Immer kleinere einge-bettete, vernetzte und sich selbst organisie-rende Computer sollen Menschen und derenArbeitsabläufe unterstützen, ohne abzulen-ken oder überhaupt aufzufallen. In der deut-schen Wirtschaft hat sich der Begriff Industrie4.0 durchgesetzt – wobei 4.0 für die vierte in-dustrielle Revolution stehen soll. IoT (Internetof Things) bezeichnet die zunehmende Ver-netzung physischer Geräte, Sensoren usw. viaIP-Netz. International wird das Akronym IoTsowohl für den privaten Consumer-Markt wieauch im industriellen Umfeld verwendet undunterscheidet sich inhaltlich kaum von sei-nem deutschsprachigen Ableger Industrie4.0. Daher verwenden wir im Folgenden ver-einheitlichend den Oberbegriff IoT.

Nicht nur in den Medien und auf unzähli-gen Konferenzen geht es um die Vernetzungvon Wearables, Fahrzeugen, Industrie -anlagen, Haushaltsgeräten und intelligentenHäusern (Smart Homes). Maschinen und An-lagen organisieren sich weitgehend selbst,die Effizienz wird gesteigert, Produkte entste-hen in der Folge scheinbar ganz von selbstund genau so, wie die Kunden sie sich wün-schen. Die physikalische Welt und der Cyber-space, also die virtuelle Welt des Internets,

verschmelzen über Unternehmensgrenzenhinweg gleichsam zu einem Internet derDinge, in dem die komplette Informations-verarbeitung ganzer Prozessketten vollstän-dig digitalisiert wird. Immer mehr Unterneh-men planen die Entwicklung IoT-basierterProdukte und Lösungen, um Prozesse zu optimieren und neue datenbasierte Geschäfts-modelle zu erschließen. Zudem wird uns sug-geriert, dass die Digitalisierungsstrategie dieSteigerung der Lebensqualität und die Scho-nung von Ressourcen zur Folge hat. Die Visionund Aussichten des IoT klingen geradezu fantastisch. Oder gibt es doch einen Haken?

Gelegenheiten zur FernsteuerungDie Branchen, die von der zunehmenden Vernetzung profitieren, sind unterschiedlichgelagert. Zum einen sind da die Geräte -hersteller, die das IoT für sich entdeckt habenund sich dadurch einen steigenden Absatzihrer Produkte durch innovative Lösungen,insbesondere in der Bedienerfreundlichkeit,erhoffen. Zum anderen gibt es da die System-häuser, Berater und IT-Experten, die vor Kurzem noch Lösungen für klassische Office-Umgebungen bereitgestellt haben und nundie Schutzziele der Informationssicherheiteins zu eins ins IoT transportieren wollen. Zuguter Letzt sind da noch die (White-Hat-) -

Hacker und die Cyberkriminellen, die entwederbedrohliche Sicherheitslücken öffentlich ma-chen oder sie umgehend für kriminelle Hand-lungen ausnutzen, um daraus ihren Profit zu ziehen. Wir wollen uns die Sichtweisen alldieser Gruppen einmal genauer ansehen.

Nicht selten wird in der Euphorie der un-begrenzten Möglichkeiten die Sicherheit derSysteme sträflich vernachlässigt. Frei nachdem Motto „Usability trumps Security“ wer-den oft Systeme ans Netz gebracht, die kei-nerlei Sicherheitsstrategie enthalten. DasGanze erinnert an die Zeiten, als im Internetnoch unzählige Datei- und Druckerfreigaben(SMB über TCP/IP, Port 445) unbedarfter An-wender zu finden waren und man so man-che Urlaubsfotos, Kündigungen an den Ver-mieter oder Provider, Rechnungen, Briefe anVersicherungen usw. ungehindert einsehenkonnte. Die derzeitige Verschmelzung derProduktion mit der klassischen IT begünstigteine Renaissance der Skript Kiddies.

Dies gilt insbesondere dann, wenn man-gelnde Sicherheitsvorkehrungen auf man-gelnde Awareness sowie auf Unkenntnis derNutzer oder gar Betreiber trifft. Die Konse-quenzen daraus können unvorhersehbareBedrohungen für Mensch und Umwelt zurFolge haben. Dabei sind noch nicht einmalspezielle Hackerfähigkeiten gefordert. DieWerkzeuge Google und Shodan reichen hier-für allemal aus. Mit wenigen Mausklicks lässtsich die Kontrolle über vielfältige Steuerungs-systeme – vom Stromgenerator bis zumSmart Home – problemlos übernehmen.

Sucht man bei Google zum Beispiel nachSPS (Speicherprogrammierbare Steuerung,englisch: Programmable Logic Controller,PLC) prominenter Hersteller, stößt man aufAnhieb auf unzählige Treffer. Falls man kei-nerlei Ahnung von deren Funktionsweisehat, bieten die dazugehörigen HMI (HumanMachine Interfaces, deutsch: Benutzer-schnittstellen) bequeme Bedien- und Beob-achtungsoberflächen, die ebenfalls via Goo-gle zu finden sind. Und noch leichter gestal-tet sich die Suche mit Shodan. Diese Such-maschine wurde speziell dafür entwickelt,mit dem Internet verbundene Geräte zuidentifizieren. Shodan lässt sich ähnlich wieGoogle benutzen, listet jedoch Informatio-nen basierend auf dem Inhalt von Bannernauf, also Metadaten, die Server bei Anfragenzurückschicken. Auf diese Weise findet manalltägliche Anwendungen im Internet derDinge, wie zum Beispiel Steuerungsgerätevon Fotovoltaikanlagen oder unzähligenLampen und Leuchten, die dann aus derFerne manipulierbar sind.

Offen erreichbare VNC-ServerNoch einfacher ist die Kontrolle von IoT- Devices, wenn der Bedienerbildschirm überdas Netz mit VNC (Virtual Network Computingüber TCP/IP, Port 5900, 5901) übertragen wird.


IOT-HACKING

Marco Di Filippo, KORAMIS GmbH

GEFUNDEN, GEKAPERTUND FERNGESTEUERTNach den Megatrends Cloud, Big Data, Mobile und Social Media rüttelt das Internet of Things abermals die etablierten IT-Konzepte und -Prozesse kräftig durcheinander. IoT und Industrie 4.0 bieten bequeme Angriffswege für Cyberattacken. Das erfordert neue, dynamischere Sicherheitskonzepte.

Einfach online amSteuerruder einesOzean riesen

Bild

: ww

w.s

hoda

n.io

Um den Zugriff auf autorisierte Personen zubeschränken, fordert ein VNC-Server den Anwender grundsätzlich auf, ein Passwort zu setzen. Dennoch denken offenbar vieleVerantwortliche, man könne die Abfrageignorieren und auf das Passwort verzichten.Oder die Passwortvergabe wird aus Bequem-lichkeit bewusst umgangen. Auch dazu finden sich unzählige Hosts bei Shodan. Dieinteressantesten Funde dürften wohl derzeitdie Steuerung eines Frachtschiffes sowie einitalienisches Kraftwerk sein, das Strom für 20Einfamilienhäuser erzeugt.

Die Highlights aus der reichen Fundgrubedes IoT twittert Shodan regelmäßig unter#ThingoftheDay. Wer sich einen Überblickverschaffen will, ist zum Beispiel mit derWebsite von VNC-Keyhole gut beraten: Hierwerden die spektakulärsten öffentlich zu-gänglichen VNC-Server gesammelt, auf ihreErreichbarkeit geprüft und anschließend ver-öffentlicht.

Als weitere Suchmaschine für das Internetder Dinge muss noch RiskViz erwähnt wer-den. RiskViz erstellt ein Risikolagebild der in-dustriellen IT-Sicherheit in Deutschland.Hierbei handelt es sich um ein Forschungs-projekt, an dem neben der FU Berlin, derHochschule Augsburg und dem Brandenbur-gischen Institut für Gesellschaft und Sicher-heit auch Unternehmen aus der Wirtschaftbeteiligt sind. Die Suchmaschine wurde ent-wickelt, um IoT-Komponenten zu finden undauf Basis der gewonnenen Informationen dieBedrohungslage zu analysieren, ohne dabeiden Betrieb und die Funktion der Kompo-nenten zu beeinträchtigen.

Die Ergebnisse der RiskViz-Suchmaschinewerden mit weiteren Daten korreliert, etwaWirtschafts- und Branchenverzeichnissen,Geodaten, Whois-Abfragen (die Informatio-

nen zum Domain-/IP-Inhaber liefern) usw.,um die qualitativ höchstmögliche Aussagezum Risikolagebild des identifizierten Sys-tems zu erhalten. Ein Ziel von RiskViz ist esdabei, gefährdete IoT-Anlagen der Betreiber(Kommunen oder Unternehmen) zu identifi-zieren, diese zu informieren und die Bedro-hungslage aufzuzeigen, damit sie ihre Infra-struktur besser schützen können.

Kritische InfrastrukturenFreilich handelt es sich bei all den Beispielennicht nur um vernetzte Infrastrukturen vonGroßkraftwerken oder Fertigungsstraßen der

Automobilindustrie. In der Vergangenheitwurden allerdings schon weitaus kritischereUnternehmen dazu bewegt, ihre Infrastruktu-ren besser zu kapseln. Trotz dieser Erkenntnis-se lassen sich heute immer noch Heizungs-steuerungen von öffentlichen Gebäuden, dieWassertemperatur von Schwimmbädern, dasLicht und das Rolltor einer Feuerwehrhalleoder eben ein komplettes Frachtschiff fern-steuern. Und wenn jemand einen Angriffgroßflächig auf vermeintlich uninteressanteInfrastrukturen plant, kann daraus durchauseine Kettenreaktion resultieren.

So hat beispielsweise die Sonnenfinsternisam 20. März 2015 gezeigt, welche Auswirkungen

IOT-HACKING

Das Shodan-ICS-Radar findet problemlos zahllose Zugänge zu offenen Kontrollsystemen.

Bild

: ics

-rad

ar.s

hoda

n.io

19SECURITY SOLUTIONS

eine flächendeckende Beeinflussung im Strom -netz bewirken kann. Denn mittlerweile wirdein nicht unerheblicher Anteil des Stroms inDeutschland (und auch in Österreich) durchSonnenenergie gewonnen. Verfinstert sichdie Sonne, dann sinkt auch die Leistung derFotovoltaikanlagen. Das alleine ist natürlichnoch kein Problem. Schließlich wird es jedenAbend dunkel, und wir haben trotzdem nochStrom. Der eigentliche Haken ist nicht dieMenge an Strom, die während einer Sonnen-finsternis nicht produziert werden kann, son-dern die relativ kurzfristige Veränderung imStromnetz. Eine Sonnenfinsternis stellt aber einplanbares Ereignis dar, und die Netzbetreiberkönnen entsprechend vorsorgen. Ein koordi-nierter Angriff – etwa auf einzelne Steuerungs -geräte –, der zu einem unvorhergesehenen,großflächigen Ausfall von Fotovoltaikanlagenführt, könnte das Stromnetz dagegen in größere Schwierigkeiten bringen.

Maßgeschneiderte MalwareNeben Zufallstreffern und beabsichtigtenScheinattacken, die Sicherheitslücken auf -decken, gibt es natürlich auch professionelle,fortgeschrittene und andauernde Angriffs -formen, die mitunter drastische Folgen habenkönnen. Laufend werden Trojaner und Mal-ware speziell dazu entwickelt, Produktions-und Versorgungsanlagen zu sabotieren oderInformationen über industrielle Steuerungs-anlagen und Systeme zu sammeln. Dabei ste-hen Industriestaaten wie Deutschland ganzbesonders im Fokus. Bedauerlicherweise wur-den in den letzten Jahren Schadprogrammewie Stuxnet und Duqu oft eher als Marketing-Instrumente der IT-Branche verwendet, an-statt dass verantwortliche Betreiber sich die

Vorgehensweise solcher Software näher an-geschaut und daraus gelernt hätten.

Stuxnet zum Beispiel sucht gezielt nach industriellen Steuersystemen und ändertden Code in diesen Systemen so, dass Angreifer unbemerkt die Kontrolle überdiese Systeme übernehmen können. DasSchadprogramm zeigte, welch verheerendeSchäden sich so in der realen Welt verur -sachen lassen. Der Wurm besteht aus einemkomplexen Code, dessen Entwicklung einhohes Maß an Fachwissen erfordert. Darüberhinaus mussten die Angreifer auch überexakte Kenntnisse der industriellen Steuer-systeme verfügen sowie Zugriff auf dieseSysteme für Tests und Qualitätsprüfungenhaben. Viele deuten diese Tatsache so, dasses sich um ein professionell organisiertesund gut finanziertes Projekt handelte.

Neben den gezielten Angriffen auf Syste-me werden im Laufe der Zeit auch Schwach-stellen in der Hard- oder Software, die einFehlverhaltenden der Systeme verursachen,einer großen Öffentlichkeit bekannt. SolcheSchwachstellen sind oft eine Hintertür fürAngreifer. Computer Emergency ResponseTeams (CERT) von großen Unternehmen undBehörden sind dann die zentralen Anlaufstel-len für die Behandlung von sicherheitsrele-vanten Vorfällen oder möglichen Schwach-stellen, die in Zusammenhang mit ihren Pro-dukten, Lösungen oder Diensten stehen.Von einigen werden auch Security Advisoriesund Bulletins veröffentlicht. Dieses Verhaltenist zwar vorbildlich, bietet jedoch Trittbrett-fahrern die komfortable Chance, bekannteSchwachstellen ebenfalls auszunutzen. Hierempfiehlt es sich, sich kontinuierlich zu infor-mieren, gegebenenfalls in einschlägige Mai-ling-Listen einzutragen und die eigenen Sys-

teme regelmäßig auf ihren Soft- und Firmwa-re-Stand zu überprüfen.

Unternehmen in der DefensiveUm sich vor Skript Kiddies, Zufallsangriffenoder gezielten Attacken zu schützen, sindneue Sicherheitskonzepte für das IoT gefragt.Präventive Maßnahmen, die Unternehmen imVorhinein vor Angriffen auf ihre IT-Infrastruk-tur schützen, werden vorerst nur langsam undoft nur als Insellösungen realisiert. Hier ist dieGegenseite klar im Vorteil: Während Schutz-maßnahmen für das IoT teils neue Lösungs-konzepte erfordern, können Angreifer auf alt-bewährte Werkzeuge wie Netcat, Cryptcat,Wireshark, Metasploit usw. zurückgreifen.Aber Netzwerk- und Schwachstellenscannerwie Nessus bieten bereits Plug-ins für die gezielte Suche nach verwundbaren Systemenim Internet der Dinge.

Für die meisten Handlungsfelder der IT-Si-cherheit im IoT-Kontext gibt es schon heuteLösungen. Die Methoden und Lösungsansät-ze aus der IT-Sicherheit sind allerdings an diespezifischen Bedingungen in der Produktionanzupassen. So wäre ein Virenscanner, der heute einen Office-PC unmerklich aus-bremst, unter den Echtzeitbedingungen derProduktion nicht einsetzbar. Auch das typi-sche Nachladen von Sicherheitsupdates istnicht möglich, wenn die Steuerungssoftwarezertifiziert sein muss und nicht verändertwerden darf. Ein Schadcode kann unter sol-chen Umständen zwar entfernt werden, dieSicherheitslücke aber bliebe bis zur Zertifizie-rung einer neuen Version bestehen. IT-Si-cherheit im IoT wird daher vielfach auf derEbene der Gesamtsysteme einer Produktionansetzen und andere Lösungswege wählenals bei herkömmlicher IT.

Security-Strategien 4.0Betrachtet man die IoT-Landschaft, kannman drei Schutzstrategien identifizieren: dieSicherung der Bestandsanlagen, der neukonzipierten Anlagen und eine Kombinationaus beiden. Die Herausforderung dabei ist,bestehende Strukturen und Organisationenfür die neuen Anforderungen auszurüstenund dafür aufzustellen. Gleichzeitig sind Lö-sungen für neue Einrichtungen zu entwi-ckeln (Security by Design) und in der Ent-wicklung, Herstellung und Unternehmens-kultur kontinuierlich zu etablieren.

Eine schon lange existierende Forderungvon Betreibern und Integratoren ist, dass Her-steller ihre Software mit einem Code-Signing-Prozess absichern. So wird auf dem Gerät ge-währleistet, dass nur autorisierter Code aus-geführt wird und von keinem Angreifer mo-difiziert oder ausgetauscht werden kann. Diesbetrifft nicht nur das Betriebssystem, sondernauch Programme, Tools usw. Mit dieser be-währten Technologie können die Betreiber


IOT-HACKING

Bei vielen Restaurants in Deutschland stehen Tür und Tor weit offen.

Bild

: ww

w.ri

skvi

z.de

auch komplizierte und heterogene Installa-tionen mit akzeptablem Aufwand managen.

Basierend auf den existierenden Schutz-anforderungen, können Embedded Devicesauch durch eine nachträgliche Systemhärtungabgesichert werden. Eine der Möglichkeitenist das Sandboxing, das unabhängig voneinem Betriebssystem oder einer Applikationden Zugriff auf Ressourcen wie Speicher,Netzwerk, Prozesse, Ordner und Dateienkontrolliert. Im Allgemeinen wird ein Bereichisoliert, innerhalb dessen jede Maßnahmekeinerlei Auswirkung auf die äußere Umge-bung hat. Dabei wird die Software innerhalbeiner speziellen – das heißt: von den übrigenSystemressourcen isolierten – Laufzeitum -gebung ausgeführt. So sollten zum Beispielnur vordefinierte Programme relevanteSteuerungsdateien verändern dürfen.

Eine weitere Härtungslogik bietet auchdas Least-Privilege-Prinzip (Prinzip des nichtadministrativen Benutzers), das das Problemder lokalen Administratoren löst und Anwen-dungen in ihrem Zugriff trotz Administrator-

rechten beschränkt. Dabei werden einem Benutzer, einer Software-Komponente odereiner anderen Instanz nur die absolut not-wendigen Rechte eingeräumt, damit sie dieihr zugeteilten Aufgaben erledigen kann.

Zu guter Letzt sei noch das Whitelistingerwähnt. Es erlaubt die Ausführung von vor-her festgelegten Anwendungen und verhin-dert das Ausführen von allen Programmen,die nicht auf einer Positivliste (Whitelist) ste-hen. Dabei können neben Zertifikatsinforma-tionen auch digitale Fingerabdrücke wiezum Beispiel MD5- oder SHA2-Algorithmenverwendet werden. Die Auswahl und Konfi-gurationstiefe der einzelnen Technologienwird bestimmt durch die Sicherheitsanforde-rungen, die sich beispielsweise durch eine Ri-sikoanalyse ermitteln lassen.

Die Erfahrung aus der Praxis zeigt, dasssich unter den aufgeführten Möglichkeitendas Sandboxing heute immer mehr als dieführende Technologie durchsetzt. Denndamit können neben bekannten auch unbe-kannte Angriffe und Gefahren abgewehrt

sowie Datenintegritätsanforderungen erfülltwerden.

IoT-Sicherheit als ProzessaufgabeZentrale Anforderungskriterien für IoT-Gerätesind sichere Authentifizierung und verschlüs-selte Kommunikation. Dies kann mit Geräte-zertifikaten sichergestellt werden. Die Heraus -forderung hier ist aber nicht nur die richtigeund sichere Implementierung auf dem Gerät,sondern auch der Betrieb der dazugehörigenPublic-Key-Infrastruktur (PKI). Prozesse undKnow-how-Aufbau zu Austausch und Wie-derinbetriebnahme von defekten Gerätensollten beim Einsatz solcher Technologiennicht unberücksichtigt bleiben.

Außerdem müssen die Datenintegritätund der Transport der Informationen vonund zwischen IoT-Geräten sicher gestaltetwerden. Eine Absicherung mit Technologien,die mitunter ähnlich den eingesetzten Lö-sungen der Embedded Devices entsprechen,aber auch den spezifischen Anforderungeneines Datacenters gerecht werden, sindzwingend zu berücksichtigen. Als Stichworteseien Network IPS (Intrusion Prevention Sys-tem), starke Zwei-Faktor-Authentifizierung,Application Firewall, Antimalware genannt.

Alle Maßnahmen sowohl auf den IoT- Geräten als auch in den dazugehörigen Datacentern sind nicht statischer Natur, son-dern können sich im Laufe des Lebenszyklusverändern. Diese Neubewertung muss fortlaufend durchgeführt werden, damit manimmer dem aktuellen Sicherheitsanspruchgerecht wird und die dazugehörigen Maßnahmen implementiert hat. IoT-Securityist kein in sich geschlossenes Produkt, sondern muss als kontinuierlicher dynamischerProzess verstanden werden.

IOT-HACKING

Siemens-Auto-matisierung mitAdmin-Rechtenohne Authenti-fizierung

Bild

: Met

aspl

oit

Am 8. Juli hat der Bundesratdem Gesetz zur Digitalisie-

rung der Energiewende zuge-stimmt. Es sieht vor, Verbrauchervon Strom und Gas mit SmartMetern auszustatten. In der Pra-xis heißt das: Zukünftig wird einegroße Menge an Verbrauchs -daten online übermittelt. Eineattraktive Beute für Cyberkrimi-nelle. Durch unzureichend ge-schützte Smart-Metering-Syste-me können sie den Stromver-brauch auf die Rechnung desNachbarn buchen, Verbrauchs-werte manipulieren, Rückschlüs-se auf die Lebensgewohnheitender Verbraucher ziehen oder gareine ganze Stadt zum Stillstandbringen. Mit der TechnischenRichtlinie (TR) 03109 hat das BSIeine verbindliche Grundlage ge-schaffen, um eine durchgängigeSicherheit im Smart-Metering-Umfeld zu gewährleisten. Sieenthält die Anforderungen an

die IT-Komponenten im Hinblickauf Funktionalität, Interoperabi-lität und Sicherheit. Dem SmartMeter Gateway (SMGW) kommtdabei eine besondere Bedeu-tung zu: Über diese Komponen-te des intelligenten Messsystemserfolgt der Austausch sämtlicherVerbrauchsdaten.

Hardware-Sicherheitsmodule

Die Zauberformel zum Schutzvor Angriffen und Manipula -tionsversuchen lautet Ende-zu-Ende-Verschlüsselung. Daherstellen Hardware-Sicherheitsmo-dule (HSM) in unterschiedlicherBauform das zentrale Funda-ment einer TR-03109-spezifizier-ten Sicherheitsarchitektur. Siekommen einerseits innerhalbder Zählerkomponenten imSMGW als Single-Chip-Systemzum Einsatz, andererseits als Ser-verkomponente in der Gegen-stelle, dem Smart-Meter-Gate-way-Administrator. Hardware-Si-cherheitsmodule speichern daskryptografische Schlüsselmateri-al und sind zudem für die An-wendung der Schlüssel verant-wortlich. Das bedeutet: Sie bil-den den Vertrauensanker unddamit die Grundlage für dieEnde-zu-Ende-Sicherheit inner-halb des gesamten Konzepts.

Im Detail betrachtet geht eszum einen um das Erzeugen vonqualitativ hochwertigem Schlüs-selmaterial mittels Zufallszahlen-

generator. Spätestens EdwardSnowden hat gezeigt, dassschwache Schlüssel die Achilles-ferse von Kryptosystemen sind.Zum anderen gilt es, die Integri-tät und die Authentizität derKommunikation zwischen Zählerund Messstelle sicherzustellen.In der TR-03109 finden sich hier-für klare Kriterien: So müssen dieeingesetzten Sicherheitsmodulegemäß der referenzierten Com-mon-Criteria-Schutzprofile zerti-fiziert oder nach deren Anforde-rung evaluiert und begutachtetsein. Das schreibt auch die hoheQualität des Zufallszahlengene-rators gemäß AIS 31 (Funktio -nalitätsklassen und Evaluations-

methodologie für physikalischeZufallszahlengeneratoren) vor –die Grundlage für die Generationsicherer Schlüssel. Des Weiterensteht der Schutz vor mecha -nischen Angriffen bei der zen -tralen HSM-Komponente seitensder Gateway-Administration imVordergrund (siehe Kasten).

Massendaten in der Gateway-Administration

Schauen wir uns den Anforde-rungskatalog an das Sicherheits-modul innerhalb der zentralenGateway-Administration etwasgenauer an: Neben den gesetz-lich vorgeschriebenen sicher-


SMART METERING

Andreas Philipp, Vice President Business Development, Utimaco

KILOWATTSTUNDEN-KRYPTOGRAFIEDas Gesetz zur Digitalisie-rung der Energiewende istbeschlossene Sache – unddamit die flächendeckendeEinführung von Smart Metering in Deutschland.Verbindliche TechnischeRichtlinien des BSI stellenden Schutz der Verbraucher-daten sicher. Den Vertrauens -anker bilden Hardware- Sicherheitsmodule.

–ˇEinsatz von HSM bei Root-CA/Sub-CA/EMT/GWA/GWH: De-finition der Anforderungen inder BSI Certificate Policy für dieSmart Metering PKI (Ka pitel 6.2)sowie durch BSI TR-03109-4

–ˇZufallszahlengenerator: KlasseDRG (DRG.4); PTG.3; NTG.1gemäß AIS 20/31

–ˇTamper-Schutz: Attack-Poten -zial „moderate“

–ˇSeitenkanalresistenz: Attack-Potenzial „moderate“, Nach-

weis für alle Algorithmen(AES, ECC etc.)

–ˇAdministration: Vieraugen-prinzip mit gesichertem Ver-fahren, z.ˇB. Smartcard-ba-siert

–ˇBackup privater Schlüssel:Maßnahmen müssen audi-tiert werden, Verschlüsse-lung der Backup-Daten mitKeK (Key encryption Key). De-finition in der BSI CertificatePolicy für die Smart MeteringPKI (Kapitel 6.2)

GESETZLICHE HSM-ANFORDERUNGEN

Hardware-Sicherheitsmodule wie die CryptoServer-LAN-Version (links) oder die PCIe-Karten (rechts) von Utimacoschützen Stromzählerdaten in Smart-Metering-Infrastrukturen vor Missbrauch.

Bild

: Utim

aco

heitsrelevanten Funktionen undEigenschaften sollte die HSM- Lösung in der Lage sein, Massen-daten zu verarbeiten. Denn nurso ist es möglich, parallel miteiner unbeschränkten Anzahl anSmart Meter Gateways zu kom-munizieren. Mechanismen wieLoad Balancing und Hochverfüg-barkeit sind bei Standard-Daten-verarbeitungssystemen selbst-verständlich und etabliert. Dochim Bereich Kryptografie stellensie eine Herausforderung dar.Wie geht man mit Session Hand-ling um, wenn individuelle Kryp-toschlüssel notwendig sind? Wiewird sichergestellt, dass jedesKryptogerät alle Schlüsselmate-rialien hat, damit eine Lastvertei-lung realisiert werden kann?

Die Antwort geben unter-schiedliche Anbieter mit spe -ziellen Crypto Controllern. Einsolcher Crypto Controller ist andas HSM angebunden und sorgtmit Cluster-Fähigkeit für HSM-und TLS-Management dafür, dasssignierte und verschlüsselteDaten von Smart Meter Gate-

ways schnell und sicher übermit-telt sowie entschlüsselt werdenkönnen. Darüber hinaus stellt derCrypto Controller mit integrier-tem Zertifikatsmanagement dieAuthentifizierung externer Markt -teilnehmer sowie den verschlüs-selten Datenaustausch mit demGateway-Administrator sicher.

Von Anfang an abge -sicherte Infrastruktur

Der Startschuss für Smart Mete-ring in Deutschland ist gefallen.Nun gilt es, die Infrastruktur sicher aufzubauen. Dabei ist vorallem die Zuverlässigkeit von kritischen Kryptokomponentengefragt – und zwar von Tag 1 derInstallation. Des Weiteren wich-tig für den reibungslosen Betriebist eine IT-spezifische Über -wachung. Kurzum: Die Smart-Metering-Infrastruktur muss sorechenzentrumstauglich wie einIBM-Server sein. Denn wenn die Gateway-Administration nichtfunktioniert, ist selbst der besteZähler nicht zu steuern.

SMART METERING

Veraltete Hardware passt nicht in eine moderne Smart-Metering-Sicherheitsarchitektur.

Bild

: Sas

hkin

– F

otol

ia

Laut Branchenverband Bitkom belief sichder durch digitale Wirtschaftsspionage,

Sabotage und Diebstahl verursachte Scha-den der deutschen Wirtschaft im vergange-nen Jahr auf eine gigantische Summe: 51Milliarden Euro. Seit Jahren warnen Security-Experten insbesondere mittelständische Betriebe vor der wachsenden Gefahr durchSicherheitsrisiken ihrer IT. Die Botschaft istmittlerweile angekommen. Dennoch bedeu-tet hier „Gefahr erkannt“ nicht automatisch„Gefahr gebannt“. Zudem steigen die Anfor-derungen an die Informationssicherheitdurch den zunehmenden Digitalisierungs-grad und unterliegen einem ständigen An-passungsbedarf. Eine gute Ausgangsbasis istin dieser Situation ein Information SecurityManagement System (ISMS). Unternehmenführen es in der Regel ein, um ein angemes-senes Sicherheitsniveau herzustellen, Risikentransparent zu machen und langfristig Kostenzu sparen.

Das Management-System bündelt alle fürdas Unternehmen relevanten Verfahren undRegeln, um die Vertraulichkeit, Verfügbarkeitund Integrität von Informationen zu gewähr-leisten. Dabei kann es sich um eine hand-

schriftliche Notiz eines Anlagenbauers zueinem neuen Prototyp handeln oder um diedigitalisierte Kundenkartei eines Zulieferers.Mit einem funktionierenden ISMS ist es leich-ter, Maßnahmen und Prozesse der Informa-tionssicherheit zu definieren, zu steuern undkontinuierlich zu kontrollieren sowie zu ver-bessern. Allerdings bedeutet das Einführeneines Rahmenwerks aus verschiedenen Pro-zessen, Verfahren und Maßnahmen in derPraxis viel zusätzlichen Aufwand.

Handlungsdruckauf die Unternehmen

Konkret gibt es sehr wohl gesetzliche Vorga-ben für Informationssicherheit. So enthaltenunter anderem das Gesetz zur Kontrolle undTransparenz im Unternehmensbereich (Kon-TraG) und das Bundesdatenschutzgesetz(BDSG) Vorgaben zur Informationssicherheit.Das Strafgesetzbuch sieht für bestimmte Berufsgruppen wie Anwälte und Ärzte Frei-heitsstrafen vor, falls Informationen ihrerKunden gegen deren Willen in die falschenHände geraten. Darüber hinaus sind im Rah-men von Basel II Banken und Versicherungen

verpflichtet, die Risiken ihrer Kunden zu be-trachten. Daraus resultieren im Kontext desRisikomanagements von Unternehmen An-forderungen an die IT-Sicherheit, die wieder-um ein Teilaspekt der Informationssicherheitist. Dabei geht es vor allem um die Sicherheitder ITK-Systeme in Unternehmen.

2015 ist außerdem das IT-Sicherheitsgesetz(ITSG) in Kraft getreten. Hier geraten Mittel-ständler, die als Betreiber kritischer Infrastruk-turen (KRITIS) unter dieses Gesetz fallen, inZugzwang: Sie müssen ihre Informations -sicherheit nachweislich, also bestenfalls inForm eines anerkannten Zertifikats, regulieren.Auch das ITSG schreibt nicht im konkretenWortlaut ein ISMS vor, setzt es aber mit derWendung vom „aktuellen Stand der Technik“de facto voraus. Für die Umsetzung der imITSG geforderten Maßnahmen bleiben denUnternehmen lediglich zwei Jahre Zeit.

Neben gesetzlichen Anforderungen kommtzunehmend Druck seitens der Wirtschaft. Hierzeichnet sich auch in der Informationssicher-heit ein Trend zur Zertifizierung ab. Der Im-puls geht dabei häufig nicht von den mittel-ständischen Betrieben aus, sondern kommtvon kooperierenden Großkonzernen: Werkein zertifiziertes ISMS vorweisen kann, istimmer öfter von deren Ausschreibungs -verfahren ausgeschlossen.

Rahmenwerke im Vergleich Bei der Einführung eines ISMS fürchten mit-telständische Unternehmen vor allem denressourcen- und zeitintensiven Aufwand.Zudem hat eine aktuelle Studie der Bundes-druckerei zu IT-Sicherheit und Digitalisierunggezeigt, dass sich die Mehrheit der Unterneh-men, und dabei insbesondere kleinere undmittlere, von den gesetzlichen Regularienrund um IT-Sicherheit und Datenschutz über-fordert fühlen. Die Einführung eines ISMS isteine gute Gelegenheit, dieses Thema vonGrund auf anzugehen. Unterm Strich profitie-ren mittelständische Unternehmen: Ein ge-lebtes ISMS unterstützt bei der Einhaltungvon Gesetzen, Vorgaben und Normen, sorgtfür effektive Sicherheitsprozesse und schütztvor kostenintensiven Schäden, beispielsweisedurch Datendiebstahl. Mit einem zertifizier-ten ISMS schaffen Firmen Vertrauen und demonstrieren ihre Sorgfaltspflicht gegenüberPartnern und Kunden.

Mittelständische Unternehmen sind beieinem ISMS heute nicht mehr sich selbst über-lassen. Mittlerweile gibt es verschiedene Regelwerke, an denen sie sich orientierenkönnen. Sowohl Umfang als auch Ausrich-tung variieren dabei stark. So gibt es schlankeRahmenwerke wie ISIS12, den riesigen IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI)sowie die international anerkannte ISO 27001.Dabei lohnt sich jeweils ein Blick darauf, obdie vorgeschrieben Anforderungen wirklich


INFORMATION SECURITY MANAGEMENT

Marius Brüggemann, Berater für Informationssicherheit, AirITSystems

IM MITTELSTAND ISTAUGENMASS GEFRAGTMit der Digitalisierung auch kleinerer und mittlerer Betriebe steigendie Anforderungen an die Informationssicherheit. Ein InformationSecurity Management System (ISMS) einzuführen, ist aber mit mehroder weniger Aufwand verbunden. Darum lohnt es sich, bei denISMS-Rahmenwerken genauer hinzuschauen.

Ein effizientesISMS überwachtalle sicherheits-relevantenProzesse imUnternehmen.

leow

olfe

rt –

Fot

olia

relevant und effektiv sind. Zum Beispiel hatdas BSI den IT-Grundschutz ursprünglich fürgroße Behörden entwickelt. Dementspre-chend ist er relativ umfassend gestaltet undumfasst einen langen Maßnahmenkatalog.Dabei gibt es keine Garantie, ob diese auch fürmittelständische Unternehmen die erhoffteWirkung erzielen. Darüber hinaus schnürt derKatalog ein enges Korsett bei den Umset-zungsmöglichkeiten. Der IT-Grundschutz istnur national bekannt und spielt im internatio-nalen Kontext kaum eine Rolle.

Dem komplexen IT-Grundschutz stehenam anderen Ende der Messlatte stark abge-speckte Varianten wie ISIS12 oder Spezial-standards für bestimmte Branchen gegen-über. Gerade Letztere sind aufgrund ihresFokus auf bestimmte Wirtschaftszweige nichteinfach auf jedes Unternehmen übertragbar.ISIS12 (Informationssicherheits-Management -system in 12 Schritten) ist speziell für den Mit-telstand konzipiert. Initiator für dieses Modellwar das Netzwerk für In formationssicherheitim Mittelstand (NIM). ISIS12 formuliert über-sichtlich die grund legenden Maßnahmen undProzesse. Es kann als Grundlage für ein zertifi -zierbares ISMS dienen. Um aber die Anforde-rungen einer ISO 27001 zu erfüllen, ist wesent -lich mehr nötig, da ISIS12 nicht alle Risiko -szenarien der Informationssicherheit abdeckt.

Keine Angst vor ISO 27001!

Auch wenn es vielen Betrieben aufgrund desUmfangs vor einer ISO-Zertifizierung graut:Ein ISMS nach ISO 27001 ist für mittelständi-sche Unternehmen das geeignetste Rahmen-werk. Das hat verschiedene Gründe: Zumeinen ist der darin beschriebene Standard aufjede Unternehmensgröße anpassbar, vomZwei-Mann-Kfz-Betrieb bis hin zum weltum-spannenden Automobilkonzern. Zum ande-ren räumt es einen deutlich größeren Spiel-raum ein, wie erforderliche Maßnahmen um-zusetzen sind. Das erlaubt eine individuellereAnpassung an die eigentlichen Bedürfnisse.Dafür gilt es, die in der ISO vorgeschriebenenRegeln auf das eigene Unternehmen herun-terzubrechen. Wer das mit seiner eigenen IT-Abteilung nicht leisten kann, der greift dafür imIdealfall auf einen spezialisierten Berater zurück.So zeigt sich oft schnell, wie einfach ein ISMSnach ISO 27001 tatsächlich umzusetzen ist.

Um den Aufwand zu reduzieren, brauchenUnternehmen für ihr ISMS nur die Themen-gebiete betrachten, die für sie wirklich rele-vant sind. Motto: „Was wir nicht haben, brau-chen wir auch nicht zu sichern.“ Entschließtsich beispielsweise ein Betrieb, mobile End-geräte komplett aus dem Unternehmen zuverbannen, erübrigen sich Maßnahmen zum

Mobile Device Management und zur MobileSecurity.

Was ist wirklich schützenswert?Im Zentrum der ISMS-Implementierung stehtdie Risikoanalyse. Unternehmen ermittelndabei ihren aktuellen Stand der Informations-sicherheit sowie der IT-Risiken. Darauf basie-rend entwickeln sie Gegenmaßnahmen, dienötig sind, um Bedrohungsszenarien zu mini-mieren und handhabbar zu machen. Die Bewer -tung von Risiken steht hier im Mittelpunkt:Welche Daten und Informationen sind für meinUnternehmen die wertvollsten und wie mussich sie schützen? Wie hoch ist der Schadenwirklich, wenn beispielsweise geheime Kon-struktionsdaten abhandenkommen? WelcheAuswirkungen hat der Verlust von Kunden -informationen? Dabei muss es sich nichtzwangsläufig um digitale Informationen han-deln. Das handgeschriebene Rezeptbuch einesDreisternekochs ist genauso als streng vertrau -liche und hoch schützenswerte Informations-quelle zu betrachten wie die neueste Spielideeeines Gaming-Konzerns. Im Mittelstand wissendie verantwortlichen Personen, durch die rela -tiv überschaubareren Strukturen meist ziem lichgenau, wo Risiken lauern und wo sich die As-sets mit dem höchsten Schutzbedarf befinden.


25SECURITY SOLUTIONS

Basierend auf der Schutzbedarfsanalyseentsteht ein Soll-Konzept mit verschiedenenWirkungsbereichen. Anschließend geht es an eine Gap-Analyse, welche die Differenzzwischen Soll und Ist beschreibt. Sie bildet dieBasis für den Fahrplan der zu ergreifendennotwendigen Maßnahmen. Der tatsächlicheSchutzbedarf und die damit verbundenenKosten rücken hier ins Rampenlicht: Muss ichals Mittelständler zur Mitarbeiter-Authenti -fizierung überall PKI-Karten einsetzen, weil die Mitarbeiter tagtäglich mit hochsensiblenInformationen umgehen? Oder reicht es, wennder Zugang zum Serverraum mittels Keycardabgesichert ist und andere Assets mittels Einfaktor-Authentifizierung abgesichert sind?Konsequent verfolgt, schafft diese Betrach-tung schnell die notwendige Transparenz, um vorhandene Risiken zu erfassen und zubewerten – auch monetär. Schließlich wäre esungünstig, wenn die Schutzmaßnahmen inder Summe teurer wären als der Verlust der zusichernden Informationen.

Maßnahmen abstimmen und bündeln

Im Soll-Konzept steckt die eigentliche Haupt-arbeit – und die bezieht sich nicht nur auf die IT-Abteilung. Da Informationssicherheiteben nicht nur digitale, virtuelle Sicherheits-aspekte hat, sondern auch viele physische,ist das Zusammenwirken von IT-Sicherheitund Werkssicherheit bzw. Facility Manage-ment entscheidend. Das gilt in Zeiten fort-schreitender Digitalisierung umso mehr.

Gerade diese Partnerschaft der Bereiche fälltin der Praxis häufig noch mangelhaft aus: Zuoft ist der jahrelang ungepatchte Server fürdie Videoüberwachung des Unternehmens -geländes unter dem Schreibtisch des FacilityManagers traurige Realität.

In diesem Kontext schaffen Unternehmenmeist neue Funktionen wie das Risikomana-gement. Zusammen mit dem Risikomanage-ment sind das Notfallmanagement und Sen-sibilisierungsmaßnahmen für Mitarbeiter diedrei Haupthandlungsfelder, in denen mittel-ständische Unternehmen aktiv sein sollten.Im Fokus steht dabei immer der Prozess derkontinuierlichen Verbesserung (KVP).

Auch hier gilt es, die Kirche im Dorf zu las-sen und beispielsweise in der Notfallplanungdie relevantesten Szenarien zu betrachten:Auch wenn mein Unternehmen am Mittel-land-Kanal – also am Wasser – liegt, sindÜberschwemmungsszenarien extrem un-wahrscheinlich. Wesentlich wichtiger istschon der Fall des gekündigten Mitarbeiters,der „aus Versehen“ das Feuerzeug an denRauchmelder hält und damit die gesamtenServer unter Wasser setzt. Bei der Notfallpla-nung geht es auch keineswegs ausschließ-lich um Elementarschäden: Die Dunkelziffervon steinalten Windows-NT-4.0-Servern aufProduktionsflächen ist nicht zu unterschät-zen – und ebenso wenig sind es die mögli-chen Ausfallfolgen. Im schlimmsten Fall stehtnicht nur die Produktion still, sondern wirdauch unwiederbringlich zerstört. Das zeigtdas Beispiel der Aluminiumhütte, derenHochofen nach Server-Ausfall stillstand: Das

Aluminium härtete aus, der ganze Ofen warnicht mehr zu gebrauchen.

Abstimmen und Aufwand einsparenAugenmaß erfordert auch die Umsetzung derMaßnahmen. Kombiniert man sie mit anste-henden Aufgaben, lassen sich häufig kräftigRessourcen einsparen: Beispielsweise zeigtsich in der Gap-Analyse, dass nur 80 % allerClients mit einem Virenscanner ausgestattetoder diese nicht mehr aktuell sind. Müssen dieUpdates also sofort eingespielt werden oderreicht es, sie beim nächsten Patchday des OSmit auf die To-do-Liste zu nehmen? SolcheAufgaben, die es einfach konsequent abzuar-beiten gilt, fallen bei großen wie mittelständi-schen Unternehmen an. Dabei geht es nichtdarum, einen Kosten- und Aufgabenberg vorsich herzuschieben und von heute auf morgenalles umzusetzen. Bestimmte Themen sindauch über einen längeren Zeitrahmen hinplanbar. Dabei macht es für den MittelstandSinn, verschiedene Maßnahmen aufeinanderabzustimmen und gemeinsam umzusetzen.Steht beispielsweise die Migration auf einneues Betriebssystem an, verknüpft man mitdem Stichtag weitere Sicherheitstasks, diegleich mit umgesetzt werden. Diese vorher aufBasis des alten OS auszuführen und anschlie-ßend nochmals auf das neue anzupassen,würde überflüssigen Mehraufwand bedeuten.

Viele Unternehmen haben Teile desRahmen werks, das die ISO 27001 fordert, be-reits im Hause: Die Norm ist vom Ansatz herso konzipiert, dass sie sich in bereits beste-hende ISO-Managementsysteme integriert.Ein Beispiel ist hier das Qualitätsmanage-ment nach ISO 9001, das in deutschen Unter-nehmen bereits weit verbreitet ist. Hier mussdas Rad also nicht neu erfunden werden.Wesentliche Bausteine wie Dokumenten -management, Personalmanagement, Maß-nahmen für interne Audits sowie Korrektur-und Präventionsmaßnahmen sind im Prinzipauch für die ISO 27001 anwendbar.

Passgenau ist am einfachstenEin ISMS wird auch für den Mittelstand zu-nehmend wichtiger. Durch gesetzliche Vor-gaben und wachsenden Wettbewerbsdruckrückt auch eine ISMS-Zertifizierung in denFokus. Dabei gibt es verschiedene Regelwerke,wie ein systematisches Information SecurityManagement umzusetzen ist. Durch die flexiblen Umsetzungsmöglichkeiten eignetsich die ISO 27001 am besten für den Mittel-stand. Um Aufwand und Kosten zu reduzie-ren, sollten mittelständische Unternehmenprüfen, wie das ISMS mit bestehenden Managementsystemen interagieren kann.Zusätzlich empfiehlt sich die Zusammen -arbeit mit einem Berater, um den Standardan die individuellen Gegebenheiten im Unternehmen anzupassen.



Das Vorgehensmodell ISIS12 für den Mittelstand ist denkbar einfach,deckt aber nicht alle Risikoszenarien ab.

Bild

: Bay

eris

cher

IT-S

iche

rhei

tscl

uste

r e. V

.

Documents

Identity and Access Management Smart Data Management Strategie