Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Atos Dominic Mylo KleinMan nehme eine Firewall, eine Virenschutz-Software, Sicherheits-Gateways und vielleicht noch ein Intrusion-Prevention-System – und fertig ist der IT-Rundumschutz. Ein Beitrag von Dominic Mylo, Offering Manager Cyber Security bei Atos.

Nach diesem Motto verfahren viele Unternehmen und Behörden. Doch das ist zu kurz gegriffen. Denn dabei bleiben wesentliche Aspekte einer umfassenden Cyber-Security-Lösung auf der Strecke. Diese umfasst weitere Faktoren, etwa eine Risikoanalyse, das Umsetzen von Compliance-Vorgaben und ein effizientes Identity- und Access-Management. 

„Das wichtigste Hightech-Thema des Jahres 2014 ist IT-Sicherheit.“Zu diesem Ergebnis kommt die jährliche Trendumfrage in der IT-Branche, die der Hightech-Verband Bitkom Ende Februar veröffentlichte.Demnach sehen 57 Prozent der befragten Unternehmen IT-Sicherheit als Top-Thema – noch vor Cloud Computing, dem Spitzenreiter der letzten Jahre.Laut Bitkom ist das Bewusstsein für die Sicherheit von IT-Systemen und Datenschutz infolge des Abhörskandals gestiegen.

Was viele Unternehmen weniger im Blick haben sind gezielte Angriffe von innen. Dabei gehen laut der Studie "Informationssicherheit 2013" der Unternehmensberatungsfirma A. T. Kearney etwa 50 bis 70 Prozent aller Attacken auf IT-Systeme und Firmendaten auf das Konto interner Anwender. Besonders tückisch ist, wenn der Bösewicht zum IT-Team gehört oder bei seinen Angriffen auf privilegierte Zugriffsrechte zurückgreifen kann. Denn solche Machenschaften sind nicht nur schwer zu entdecken und nachzuweisen. Die Täter verfügen auch über das nötige Know-how, um verdächtige Spuren – etwa in Log-Dateien für das Nachvollziehen der Administratorentätigkeiten – bewusst zu verwischen. So bleiben Datendiebstähle oder manipulierte IT-Systeme lange unentdeckt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass etwa die Hälfte aller Angriffe erst nach zehn Monaten oder noch später ans Licht kommt.

Viele Gefahrenquellen – eine Lösung

Um interne sowie externe Sicherheitslücken proaktiv zu schließen, ist ein ganzheitliches Sicherheitsmanagement erforderlich. Es berücksichtigt die Öffnung der Unternehmensnetze für den mobilen Zugriff ebenso wie den Einsatz eigener Geräte durch Mitarbeiter (BYOD, bring your own device) oder Cloud-Konzepte. Die Basis bildet eine Analyse der individuellen Risiken des jeweiligen Unternehmens. Das Ziel: Potenzielle Schwachpunkte bereits in der Planungsphase erkennen. Das heißt, die Rolle aller Beteiligten zu überprüfen und somit bereits die vorhandenen Risiken zu identifizieren. Anschließend gilt es, diese zu bewerten und wirksame Gegenmaßnahmen festzulegen.Für die Analyse ist es ratsam, auf externe Fachleute zurückzugreifen. Dafür sprechen der neutrale Blick von außen, das fachliche Know-how und auch die zeitlichen Ressourcen, die intern häufig nicht vorhanden sind. 

Neben dem Management von Cyber Securitygehört zu einer ganzheitlichen Strategie eine auf die Anforderungen des jeweiligen Unternehmens abgestimmte Security-Architektur. Dabei finden alle Teilbereiche der Cyber-Security Berücksichtigung, etwadie Identifizierung und Authentifizierung von Benutzern und die exakte Unterscheidung zwischenberechtigten und unberechtigten Zugriffen auf die IT-Ressourcen. Mit einem effizienten Identity & Access Management (IAM) sind Unternehmen in der Lage, Identitäten und Berechtigungen sicher und geregelt zu erstellen, zu erteilen und zu verwalten. Darüber hinaus ermöglicht ein damit zusammenhängendes Federated IAM dieZusammenarbeit mit Partnern abzusichern. Ein weiteres IAM-Element ist eine Public Key Infrastructure (PKI). Ergänzendlohnt sich eine Authentisierung auf Basis von Smartcards. Beispiele dafür sind multifunktionale Mitarbeiterausweise. Sie sind der Schlüssel für eine sichere Anmeldung in IT-Systemen und  -Anwendungen in Verbindung mit PKI. 

Identity & Access Management – die Basis für zukunftssichere IT-Sicherheit

Mit einem sicheren Management elektronischer Identitäten und zuverlässigen Authentifizierungsverfahren lassen sich die Herausforderungen an die Unternehmens-IT erfüllen:

  • Compliance-Vorgaben und Gesetze: Neben gesetzlichen Rahmenbedingungen wie dem Bundesdatenschutzgesetz (BSDG) oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) müssen Unternehmen Compliance- und Sicherheitsvorschriften erfüllen – etwa SOX, EuroSOX, Basel III sowie spezielle Branchen-Regelungen. Sie verlangen unter anderem eine sichere Verwaltung von Identitäten sowie ein umfassendes IT-Sicherheitsmanagement.
  • Globalisierung und Cloud Services: Unternehmen beschleunigen Innovationsprozesse, indem sie global über das Internet zusammenarbeiten. Zur Steigerung der Flexibilität und zur Kosten-Reduktion werden wichtige Prozesse in die Cloud verlagert. Gleichzeitig gewinnt der Schutz geistigen Eigentums ständig an Bedeutung. Technologien wie Identity Federation erlauben Unternehmen, Partnern, Behörden und Kunden sicher und effizient über Grenzen (Domains) zusammenzuarbeiten und auch in der Cloud die Compliance sicherzustellen.
  • Erhöhung der Integration und Effizienz: Ohne zentrales Identitätsmanagement müssen Organisationen mit ausufernden Kosten für Rechte- und Benutzeradministration und die damit verbundenen Reporting-Tätigkeiten rechnen. Redundante Arbeiten blockieren qualifizierte Mitarbeiter und die Kosten für den Enduser-Support explodieren (z.B. Passwort-Rücksetzung).
  • Wachsende Mobilität von Mitarbeitern: Mobile Endgeräte und Anwendungen kommen verstärkt zum Einsatz und erhöhen die Produktivität der Mitarbeiter. Das Management von mobilenNutzern erfordert jedoch einen sicheren und benutzerfreundlichen Zugang für jeden Einzelnen zum Unternehmensnetz sowie verlässliche Authentifizierungsverfahren. 

Benchmark gegen Best Practices um das Sicherheitsniveau zu bestimmen

Um die Cyber-Security-Architekturan die individuellenAnforderungenanzupassen und das erforderliche Sicherheitsniveau zu ermitteln, gibt es mehrere Wege. So können UnternehmenInformationen und Checklisten aus Best Practices wie dem IT-Grundschutzkatalog heranziehen. Der Nachteil: Eine Mehrbelastung der IT-Abteilung. Hinzu kommt, dass diese Vorgehensweiseein hohes Maß an Know-how im IT-Security-Umfeld voraussetzt. 

Daher stellt für viele Organisationen die Analyse durch Cyber-Security-Experten eines Beratungshauses eine gute Alternative dar. Atos bietet etwa spezielle Security Maturity Assessments (SMA), in denen die Spezialisten mit Hilfe von Reifegraden das für eine Organisation angemessene Sicherheitsniveauermitteln. Die Ergebnisse bilden die Basis für einen Maßnahmenplan, um die Risiken zu reduzieren und Schwachstellen zu beseitigen. Zu dem Tool-gestützten SMA gehören außerdem konkrete Handlungsempfehlungen für die Anhebung des Sicherheitsniveaus. Das externe Assessment versetzt die Verantwortlichen in die Lage, intern die Qualität der Sicherheit zu bestimmen und nachhaltig zu verbessern. Ob aus eigener Kraft oder mit externer Hilfe – die stetig steigenden Anforderungen in Bezug auf Cyber-Security, Compliance und Risikomanagement lassen sich nur mit einem ganzheitlichen Verständnis von Cyber-Security erfüllen. 

Atos IAM Klein

Dominic Mylo, Offering Manager Cyber Security bei Atos

GRID LIST
Hacker lieben Weihnachten

Gefährliche Weihnachtszeit - Hochsaison für Hacker

Für Unternehmen und Behörden ist die Weihnachtszeit alles andere als besinnlich. Während…
Tb W190 H80 Crop Int B4c4e812090ab33236beb9243853732a

Ein Denkfehler ist keine Pioniertat

Die gesamte IT-Sicherheitsindustrie begeht einen Denkfehler – und verkauft ihn als…
Tb W190 H80 Crop Int 658f818261677ec748ec3fc0e8dcad3c

Was ist der Mimecast ESRA Test?

Viele Organisationen sind der Meinung, dass ihre aktuellen Email-Sicherheitssysteme…
Stethoskop und Computer

Warum auch in der IT vorbeugen besser ist als heilen

Die bekannte Redewendung «vorbeugen ist besser als heilen» kann auch in der IT angewendet…
Tb W190 H80 Crop Int Aeb5a1ad0de7db3f252650c4e72a36c1

Als IT-Forensiker zwischen Schadprogrammen und Schraubenziehern

Die fiktive HAK Messtechnik AG wird Opfer einer zielgerichteten Cyber-Attacke und muss…
Tb W190 H80 Crop Int 78ab87a0e30ac3933ee82b3bb260b004

Die IT-Hygiene herstellen, um die IT-Sicherheit zu stärken

Es vergeht kein Tag ohne Datenschutzverletzungen. Die weltweite Datenbank Breach Level…
Smarte News aus der IT-Welt