Next Generation SharePoint
06.03.17 - 06.03.17
In München

Internet World
07.03.17 - 08.03.17
In München

10. Online-Händler-Kongress 2017
17.03.17 - 17.03.17
In Kongress Palais Kassel

ERP-Park @CeBIT 2017
20.03.17 - 24.03.17
In Hannover

CeBIT Hannover 2017
20.03.17 - 24.03.17
In Hannover

Verleihung der it security Awards 2011 
 
Deutsche Post AG, Vattenfall AG und M86 wurden auf der it-sa für hervorragende IT-Security-Projekte ausgezeichnet.
 
gewinner-2011-klein.jpg   
 
Bild: Die Verleihung der it security Awards 2011: Dr. Markus Neumaier, Deutsche Post AG, Ulrich Parthier, Herausgeber it management, Werner Thalmeier, M86 Security, Jutta Cymanek, Omada, und Thomas Bauditz, Vattenfall AG (v.l.n.r.).

Eine hochkarätige, zehnköpfige Jury wählte die besten Projekte in den Kategorien Management Security, Identity und Access Management sowie die Innovation des Jahres aus. nachfolgend die Preisträger der drei it security Awards 2011:

1) Kategorie Management Security 
Deutsche Post AG,  Dr. Markus Neumaier, Abteilung IT Security & Compliance, Projekt „Sicherheitskalkulator virtuelle Plattformen"

Das Werkzeug „Sicherheitskalkulator virtuelle Plattformen" setzt auf IT-seitig erstellte Sicherheitsrahmenkonzepte für Cloud-Lösungen auf. Es ermöglicht Migrationsverantwortlichen, eine individuelle, schlanke Sicherheitsbetrachtung für die IT-Risiken bei der Migration in eine Cloud zu erstellen und entsprechende Maßnahmen abzuleiten. Der Aufwand für die bisher notwendige Erstellung eines vollumfänglichen IT-Sicherheitskonzepts pro zu migrierender Anwendung kann so erheblich reduziert werden.
mehr über das Projekt 

Ausgangsvoraussetzung
Verantwortliche eines Cloud-Migrationsprojekts müssen für die mit dieser Migration verbundenen IT-Risiken pro Anwendung jeweils ein eigenes, vollumfängliches IT-Sicherheitskonzept erstellen. Dies ist mit erheblichem zeitlichem Aufwand verbunden und setzt tiefgehendes Wissen voraus.
dr-markus-neumaier-deutschepostag-klein.jpg
 
 
 
 
 
 
 
 
 
 
 
 
Dr. Markus Neumaier, Deutsche Post AG, erhielt den it security Award 2011 für den "Sicherheitskalkulator virtuelle Plattformen". 
  
 
 
Zieldefinition
Es sollte ein Werkzeug entwickelt werden, das als Verknüpfungsschicht zwischen dem Sicherheitsrahmenkonzept für die Cloud und den IT-Sicherheitsanforderungen (Vertraulichkeit, Integrität, Verfügbarkeit) sowie regulatorischen Anforderungen der Anwendung wirkt.

Risikoanalyse
Die Erstellung einzelner, vollumfänglicher IT-Sicherheitskonzepte wurde im Rahmen größerer Cloud-Migrationsprojekte von den Anwendungsverantwortlichen bisher häufig als ineffizient angesehen. Es besteht die Gefahr, dass die Akzeptanz für IT-Sicherheitsthemen in Projekten leidet.

Business Values
Die zu berücksichtigenden Sicherheitsthemen werden auf die spezifischen Anforderungen der Applikation reduziert. Das bedeutet eine große Zeitersparnis im Vergleich zur Erstellung umfänglicher IT-SiKo's. Das Werkzeug ist leicht bedienbar, tieferes Wissen in IT-Security ist nicht notwendig.

Umsetzungsstrategie/-Prozesse
Das Werkzeug wurde mit ausgewählten Anwendungen unter Begleitung der internen Sicherheitsberatung pilotiert. Daraus gewonnene Erkenntnisse flossen in spätere Versionen des Werkzeugs ein. Dadurch konnte unter anderem die Bedienbarkeit weiter vereinfacht werden.
 
Technische Umsetzung
Die erwähnte Vermittlungsschicht wurde in Form eines Excel-Tools abgebildet. Abhängig von den konkreten Anforderungen (Schutzziele, Compliance) werden die relevanten IT-Security-Themen eingeblendet, mögliche Lücken identifiziert und die notwendigen Maßnahmen aufgezeigt.

TCO/ROI/Budget
IT-Security erkannte durch diesen architekturgetriebenen Ansatz enorme Möglichkeiten zur Effizienssteigerung. Durch Übernahme des einmaligen Aufwandes zur Erstellung von Werkzeug und Sicherheitsrahmenkonzept konnte der IT-Security-Aufwand für die Projekte um 90% gesenkt werden.

Zeitdauer
Das Werkzeug, sowie ein Rahmensicherheitskonzept für die derzeit genutzte Cloud-Lösung wurden in Q1/2011 erstellt. Das Werkzeug kann jederzeit flexibel und mit geringem Aufwand für beliebige Plattformen angepasst werden.

Projektabschnitte/Meilensteine
  • Erstellung des Rahmensicherheitskonzeptes auf Basis der Dokumentation und Workshops   mit den Betreibern der Cloud.
  • Entwurf und Pilotierung des Werkzeugs.
  • Finalisierung und Rollout im Migrationsprojekt.

2)  Kategorie Identity & Access Management:
Vattenfall AG, Thomas Frenzel, Gesamtprojektleitung und Thomas Bauditz, Leitung Betriebsorganisation   
 
thomas_frenzel_klein.jpg    Thomas Bauditz, Leitung Betriebsorganisation bei der Vattenfall AG 
 Thomas Frenzel 
 Gesamtprojektleitung
 Vattenfall AG

  Thomas Bauditz
  Leitung Betriebsorganisation
  Vattenfall AG 

Vattenfall hat, basierend auf einer vorausgehenden Harmonisierung der Berechtigungsbeantra-gungsprozesse, innerhalb sehr kurzer Zeit ein umfassendes Identity Management-System eingeführt und kontinuierlich weiterentwickelt. Phase 1 der Implementierung war nach nur 5 Monaten abgeschlossen. 

Projektziele waren: 
  • Einhaltung von Compliance-Regeln (auch Energiewirtschaftsgesetz), 
  • Nachvollziehbarkeit der Rechtevergabe (Beantwortung von typischen IT-Fragen der Wirtschaftsprüfer) 
  • Automatisierung der Identity Management Prozesse 
  • Unterstützung von Organisationsänderungen 
  • Beschleunigung der Rechtebeantragung und Vergabe bei neuen Mitarbeitern 

Eine Erweiterung um Non-IDM-Prozesse zur Vergabe und Verwaltung von Unterschriftsberechtigungen wurde ebenfalls umgesetzt. Im interne IT-Investment Review wurde dem Projekt ein „guter Nutzen“ und „geringes Risiko“ attestiert. 

Mit dem Projekt verbundene Dienstleister  
Avanade mit Unterstützung durch Omada als Produkthersteller, sowie begleitender Kompetenzaufbau beim unternehmensinternen IT-Dienstleister. 
 
Ausgangssituation 
Die Ausgangssituation war die für IDM-Projekte übliche. 
  • Heterogene Benutzerverwaltungsprozesse 
  • SAP als kritisches System 
  • Anstehende Unternehmensrestrukturierung 
  • Heterogene Pflegeprozesse hinsichtlich Mitarbeiterstammdaten 
  • Verwaltung nicht nur von Accounts sondern auch File Shares 
  • Compliance-Themen: Anforderungen der Rechte-Trennung und des Nachweises der Rechtetrennung. 

Zieldefinition 
Lösung der dringensten Aufgaben wie 
  • Gewünschte Kosteneinsparung durch Prozessautomatisierung 
  • Erhöhung der Aktualität von Benutzerstammdaten in angeschlossenen Systemen 
  • Beschleunigung der Bereitstellung von Benutzerrechten 
  • Unterstützung von Organisationsänderungen 
  • Nachvollziehbarkeit von Prozessen zur Erfüllung von Compliance-Anforderungen 

Auswahl eines Tools, welches die aktuellen Anforderungen erfüllen kann, jedoch flexibel genug ist, weitere Anforderungen zukünftig abzudecken, wie 
  • Integration neuer Zielsysteme mit anderen Berechtigungsstrukturen 
  • Übernahme von Historiendaten aus Altsystemen 
  • Automatisierung von Non-IDM-Prozessen 

Neben den internen Mitarbeitern mit vollständigen Accounts sollen auch „Blue Collar Workers“, also Mitarbeiter ohne eigenen PC verwaltet werden, um einen vollständigen Überblick der Rechte zu haben, auch wenn diese Mitarbeiter nur auf Kiosk-PCs zugreifen. 

Risikoanalyse 
Übliche Projektrisiken hinsichtlich unzureichender Datenqualität in führenden Systemen, inkonsistente Offline-Prozesse sowie sich ändernden Randbedingungen durch Unternehmensrestrukturierungen wurden frühzeitig identifiziert, verfolgt und durch jeweils angepasste Maßnahmen bewältigt. 

Business Values 
  • 1. Die Fachanwender werden schneller mit Rechten versorgt. 
  • 2. Die Compliance-Anforderungen werden eingehalten und der Prüfbericht enthält keine Vermerke 
  • 3. Unterschriftsberechtigungen werden nachvollziehbar über das gleiche System verwaltet. Da die Regeln zur Vergabe von Unterschriftsberechtigungen den Regeln zur Vergabe von Rechten sehr ähnlich sind, d.h. in den gleichen Organisationstrukturen abgebildet wird, stellt die Nutzung der IDM-Lösung für diesen Prozess eine deutliche Vereinfachung bei der Umsetzung und dem Betrieb dar. 
  • 4. Erhöhung der Sicherheit allgemein durch Einhaltung des „Least Privilege Prinzips“ 
  • 5. Konsequente Umsetzung des User-Life-Cycles führt zu entsprechenden Kostenreduzierungen (u.a. Lizenzen) 

Umsetzungsstrategie/-prozesse 
Die Einführung der Lösung erfolgte in Phasen. Nach fünfmonatiger Implementierung wurde bereits eine Unternehmensrestrukturierung durch automatisierte Provisionierung der AD mittels des neuen IDM-Systems unterstützt und entsprechende Berechtigungsmanagementprozesse für die Anwender live geschaltet. 
Weitere Zielsysteme, Reports und Prozesse (wie die erwähnte Vergabe von Unterschriftsberechtigungen) wurden Schritt für Schritt eingeführt. 

Mitarbeiterbeteiligung/Schulungsaufwand/Coaching 
Die Vattenfall-Mitarbeiter haben komplett die fachliche Seite abgedeckt und die Spezifikation, sowie die Projektleitung, den Betrieb und die Weiterentwicklung übernommen. 
Unterstützt werden sie dabei vom Dienstleister Avanade und dem Produkthersteller Omada. 
Damit, alle die „gleiche Sprache sprechen“ hat Vattenfall die wichtigsten internen Projektbeteiligten zeitnah nach Projektstart mit dem Produkt-Know-How ausgestattet, also. die Produkttrainings durchgeführt. 

In der aktuellen Phase der kontinuierlichen Weiterentwicklung werden Coaching-Aufgaben vom Dienstleister bzgl. der Konfiguration/Projektumsetzung und von Omada bzgl. der Produktneuheiten geleistet. 

Technische Umsetzung/Tools 
Die eingesetzte Lösung besteht aus 
  • Der Omada Identity Suite – als IDM-Lösung 
  • Dem Microsoft Forefront Identity Manager  
  • MS SQL als Datenbanksystem 
  • Windows Server als Betriebssystem 

Es werden ca. 25.000 Identitäten aktiv gemanaged. 

TCO/ROI/Budget 
Das Anfang 2010 durchgeführte IT-Investment Review zeigte, dass das IDM-Projekt einen guten Wert für das Unternehmen darstellt. Ein geplanter positiver NPV wurde erreicht. 

Zeitdauer des Projektes 
Die erste Phase der Implementierung dauerte fünf Monate. Es war von Anfang an geplant, die IDM-Lösung Schritt für Schritt dynamisch an die weiteren Anforderungen anzupassen. Das Projekt geht aktuell weiter mit Fokus der Unterstützung der jüngsten Umstrukturierungen. 

Projektabschnitte/Meilensteine 
  • März 2008 – Juli 2008 – PoC und Implementierung Phase 1 
  • August 2008 – Produktionsstart Phase 1 
  • Januar 2009 – Berechtigungsmanagement für Distributed File Services 
  • November 2009 – Produktionsstart der Anbindung von SAP ERP Systemen (Ablösung Altsystem) 
  • November 2010 – Integration Verwaltung der internen Zeichnungsberechtigungen 
  • 2011: Seitdem – kontinuierliche Fortentwicklung und Einbindung weiterer Zielsysteme.

3) Produktinnovation des Jahres: M86 Secure Web Gateway

Innovationsbeschreibung:
Das M86 Secure Web Gateway, seit April 2011 auf dem Markt steht für die Malware-Erkennung in Echtzeit steht als Appliance, Virtual Appliance oder Hybrid Cloud Service zur Verfügung. Die Lösung zeichnet sich außerdem durch eine Verbesserung der Echtzeit-Code Analyse von M86 Security aus, der führenden Malware-Erkennung zur Abwehr von Web-Bedrohungen. Diese Verbesserungen bieten einen tieferen Einblick in den Schadcode und korrelieren die einzelnen Elemente einer Webseite, um dynamische und Web-2.0- sowie Cross-Component-Attacken aufzudecken und abzuwehren. 

Die Virtual-Appliance-Version nutzt VMware zur Virtualisierung des SWG von der zugrunde liegenden Hardware, damit die Anwender die Lösung auf ihrer jeweils bevorzugten Hardware einrichten können. Die neue Virtual-Appliance senkt die Hardwarekosten und ermöglicht es, das SWG dort einzurichten, wo es gebraucht wird. 
werner-thalmeier-m86security-klein.jpg

 
 
 
 
 
 
 
 
 
 
 
 Bild: Werner Thalmeier, M86 Security, nahm den it security Award für die Produktinnovation 2011 entgegen.
 
 
  
Alleinstellungsmerkmal:
Die patentierte Echtzeit-Code Analyse und verhaltensbezogenen Sicherheits-Technologien von M86 Security sind einzigartig und bieten einen tiefgreifenden Schutz für mittlere und große Unternehmen, da sie die Absicht bei der Ausführung des Codes analysiert. Dank der sofortigen Inhaltsanalyse während des Downloads, der Suche nach bekannten Viren sowie einer Prüfung des Zwecks der übrigen Inhalte, ist das M86 SWG extrem genau bei der Erkennung bekannter sowie neuer, dynamischer Online-Angriffe. 

Wichtige Funktionen des SWG sind das Dynamic Web Repair und das Granular Social Media Control. Das Dynamic Web Repair gewährleistet den Zugriff auf Internet-Inhalte, selbst wenn die betreffende Webseite infiziert sein sollte. Schädlicher Code wird reibungslos entfernt, ohne dass die Seite blockiert wird. Der nach der Eliminierung des gefährlichen Codes unschädliche Web- Inhalt wird an den User übertragen, sodass es zu keinen Produktivitätseinbußen kommt. Das Granular Social Media Control gibt Unternehmen die Möglichkeit, Posts, Kommentare oder Uploads an Social Media-Seiten wie Facebook zu unterbinden. Dagegen steht es den Mitarbeitern frei, andere Funktionen der Seiten zu nutzen.   

Dieses Konzept verhindert, dass Daten über Social-Media-Seiten aus dem Unternehmen herausgelangen. Gleichzeitig wird die Funktionalität der Seiten eingeschränkt, um die Nutzung in akzeptable Bahnen zu leiten. Mit der neuen Virtual-Appliance-Option verfügt M86 Security zudem über die breiteste Palette an Secure Web Gateway-Einsatzmöglichkeiten in der Branche. 

Mitbewerb / zu ersetzende Produktkategorie:
Dank der einzigartigen Code- Analyse in Echtzeit steht M86 Security in keinem direkten Mitbewerb zu anderen Herstellern. Andere Anbieter offerieren gängige Technologien wie URL-Filter, Anti- Virenscanner, IPS/IDS und Application Firewalls, die aber nicht mehr ausreichen um vor den neuen und dynamischen Cyberattacken zu schützen, da sie sich auf bereits bekannte URLs, IP-Adressen oder Malware-Signaturen verlassen. Diese gängigen Technologien sind heute für Unternehmen immer noch wichtig, müssen aber von einem zusätzlichen Security-Layer ergänzt werden, um einen vollständigen Schutz zu gewährleisten.