Projekte zur IT-Sicherheit

Cyber-Security-Projekte in der Praxis

| Autor / Redakteur: Jörg Meuser / Peter Schmitz

IT-Sicherheit ist kein Zustand, sondern ein Prozess. Das zeigt sich an den unterschiedlichen Security-Projekten, die deutsche Unternehmen derzeit umsetzen.
IT-Sicherheit ist kein Zustand, sondern ein Prozess. Das zeigt sich an den unterschiedlichen Security-Projekten, die deutsche Unternehmen derzeit umsetzen. (Bild: Pixabay / CC0)

Was bewegt führende deutsche Unternehmen aktuell in Sachen Cyber Security? Welche Herausforderungen haben sie und für welche Lösungswege entscheiden sie sich? Einen Blick auf aktuelle Cyber-Security-Projekte in deutschen Unternehmen, zeigt, wo derzeit die Schwerpunkte liegen und mit welchen Problemen Unternehmen zu kämpfen haben.

Übergreifende Überwachung und umfangreichere Steuerung können auch über ein so genanntes Security Information & Event Management (SIEM) realisiert werden. Dies ist ein sehr leistungsstarkes und umfangreiches Hilfsmittel, das insbesondere von größeren Unternehmen derzeit verstärkt nachgefragt wird. SIEM-Systeme überwachen den kompletten Datenfluss und Zugriffe auf Daten und Anwendungen und sind in der Lage, Unregelmäßigkeiten zu erkennen und automatisch Gegenmaßnahmen zu ergreifen. Damit vereinen sie gleich mehrere Aspekte der Cyber Security wie Kontrolle, Analyse, Maßnahmen und Optimierungsansätze.

Wenn beispielsweise über die Zugangsdaten eines Mitarbeiters, der sonst stets nur zu Bürozeiten von seinem Schreibtisch in Hamburg aus auf eine Anwendung zugreift, plötzlich mitten in der Nacht ein Zugriffsversuch aus Sao Paolo erfolgt, ist hier aller Wahrscheinlichkeit etwas im Argen und der Zugang kann vorsorglich gesperrt werden. Gleichzeitig ermöglichen die durch das SIEM gesammelten Daten grundsätzliche Optimierungen der eigenen Schutzmaßnahmen und Arbeitsabläufe.

Melde- und Nachweispflicht für KRITIS-Betreiber

Countdown zum IT-Sicherheitsgesetz

Melde- und Nachweispflicht für KRITIS-Betreiber

22.02.18 - Das IT-Sicherheitsgesetz (IT-SiG) will ein gesetzlich verbindliches Mindestniveau an IT-Sicherheit erreichen. Als erstes sind KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen. Bis Mai 2018 müssen sie ihre IT nach dem Stand der Technik absichern. Ein Dokumentenmanagement-System (DMS) kann bei der transparenten Dokumentation der Maßnahmen helfen. lesen

Penetrationstests zur Prüfung der IT-Sicherheit.

An Wichtigkeit gewinnt eine effiziente Cyber Security bei Organisationen oder Einrichtungen mit zentraler Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden – sogenannte Kritische Infrastrukturen (KRITIS). Oft gelangen Angreifer nicht durch eine auf den ersten Blick offensichtliche Lücke in ein Netzwerk, sondern durch geschickte Kombination von verschiedenen Schwachstellen. Penetrationstests können diese gezielt durchspielen und so Angriffswege und Muster aufdecken.

Single-Sign-on-Lösung zur sicheren und komfortablen Authentifizierung.

Zu den Zielen bei der Einführung eines einheitlichen Authentifizierungssystems gehören nicht nur die Erreichung hoher Sicherheitsstandards. Gleichzeitig muss auch ein gewisses Maß an Komfort gewährleistet sein, um die nötige Akzeptanz bei den Nutzern zu erreichen. Denn sobald Nutzer die angebotenen, sicheren Zugangs- und Nutzungswege als zu aufwändig oder kompliziert empfinden, werden sie sich vereinfachte Wege und Arbeitsweisen aneignen, die dann wiederum die vorhandenen Sicherheitsmaßnahmen aushebeln. Spezialisierte Authentifizierungsplattformen, die es erlauben, verschiedene Anmeldetechniken miteinander zu kombinieren und flexibel einzusetzen, bilden den Schlüssel, um zentrale Dienste und Applikationen abzusichern. Man spricht hier von „Multi-Factor Authentication“ (MFA). Wie der Name vermuten lässt, werden bei der Zugangserteilung über MFA mehrere Identitätsquellen kombiniert. Darüber hinaus kombinieren die besten Methoden sogar verschiedene Typen von Identitätsquellen. Im Idealfall werden bei der MFA drei Dinge kombiniert: etwas, das Sie „kennen“ (zum Beispiel eine PIN), etwas Physisches, das Sie „besitzen“ (zum Beispiel eine Schlüsselkarte oder ein Token), und etwas, das Ihre „Identität“ nachweist (zum Beispiel ein Fingerabdruck, ein Netzhautscan oder Spracherkennung). Zusätzlich wird durch die zentrale Positionierung der Plattform oft ein implizites „Single Sign-on“ erreicht, sodass der Anwender, nach der ersten sicheren Authentifizierung, bei der Verwendung weiterer Dienste nicht erneut sein Passwort eingeben muss.

Multi-Faktor-Authentifizierung in Office 365

Video-Tipp: Anmeldesicherheit in Office 365

Multi-Faktor-Authentifizierung in Office 365

28.11.17 - Immer mehr Unternehmen verwenden Office 365 für die Anbindung von Benutzern an verschiedene Clouddienste, wie E-Mail, Cloudspeicher, SharePoint Online und Business Intelligence. Mit Multi-Faktor-Authentifizierung (MFA) und Kennwortrichtlinien bietet der Cloud-Dienst von Microsoft einige Möglichkeiten, die Anmeldesicherheit zu optimieren. lesen

Security as a Service & Managed Security Services

Fehlerhafte Konfigurationen sind oft die Türöffner für externe Angriffe. So weisen komplexe, historisch gewachsene SAP-Architekturen beispielsweise schnell einmal mehrere tausend Konfigurationsparameter auf; von diesen sind wiederum rund 20 Prozent sicherheitsrelevant, indem sie etwa die Kommunikation zwischen Systemen oder die Berechtigung zum Anlegen von Nutzern und Rollen steuern. Auch bei den Betreibern Kritischer Infrastrukturen (KRITIS) sind teils extrem ausgefeilte und speziell entwickelte IT-Fachsysteme mit langen Lebenszyklen im Einsatz, die nicht mit dem schnellen Einspielen von Updates oder einem Austausch gefährdeter Komponenten gesichert werden können.

Ohne erfahrene Spezialisten für das Informationssicherheitsmanagement (ISMS) ist es praktisch unmöglich, die Zahl potenziell gefährlicher Fehlkonfigurationen wirkungsvoll zu minimieren, denn die Verwaltung der eingesetzten Schutzmechanismen und IT-Sicherheitsprodukte innerhalb einer integrierten IT-Security-Architektur stellt eine massive Herausforderung dar. Das Outsourcen von IT-Sicherheit per Security as a Service oder Managed Security Services wird aus diesen Gründen ein immer beliebteres Mittel in deutschen Unternehmen, um die eigenen IT-Sicherheitsbeauftragten zu entlasten. So auch bei einem Bundesministerium, welches gleich eine ganze Palette an Cyber-Security-Aufgaben auslagerte wie beispielsweise das Erstellen von Krypto-, Virenschutz- und Datensicherungskonzepten, die Entwicklung von Sicherheitsrichtlinien, die Durchführung von Schwachstellen-Scans, die Bewertung und Bearbeitung von CERT-Meldungen sowie die Umsetzung von BSI-Mindeststandards als auch die Vorbereitung auf Audits.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Realisierung der EU-Datenschutz-Grundverordnung

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) sorgt für reichlich Wirbel in der europäischen Wirtschaft. Ab Mai 2018 müssen alle Unternehmen, die mit Kundendaten jeglicher Art arbeiten – also eigentlich alle – viel genauer überwachen und dokumentieren, wie sie Kundendaten speichern, nutzen und löschen. Die neuen Vorgaben sind bindend für alle Unternehmen mit Hauptsitz in der EU. Um sich dieser Herausforderung zu stellen, müssen die Prozesse detailliert analysiert und so alle betroffenen personenbezogenen Daten identifiziert werden. Darauf folgt eine Kategorisierung nach Verarbeitungstätigkeiten, auf deren Basis dann technisch-organisatorische Maßnahmen (TOM) zur Umsetzung bestimmt werden.

Moderne Access Governance zum Schutz vor Datenverlust

Wer besitzt welche Zugriffsrechte? Wann und von wem wurden bestimmte Daten aufgerufen? Die lückenlose und Compliance-konforme Steuerung von Zugriffen auf Anwendungen und Daten sicherzustellen, ist ein wesentlicher Bestandteil im Kampf gegen Wirtschaftsspionage, Sabotage oder Datendiebstahl. Zu diesem Zweck sollte eine kontinuierliche Erfassung der vorhandenen Berechtigungen und eine Überprüfung ihrer Notwendigkeit durchgeführt werden. Hierbei unterstützen spezialisierte Tools und Lösungen. Diese helfen, nach einer grundlegenden Analyse der bestehenden Prozesse und Anforderungen, bei der automatisierten Schaffung größtmöglicher Transparenz über Stammdaten, vergebene Rechte und nicht länger benötigte Rollen und Accounts. Daran schließt sich die Optimierung der betroffenen Prozesse an. Mit festen Vorgaben für die genaue Aufteilung von Verantwortlichkeiten („Segregation of Duties“), die sinnvolle Gruppierung von Berechtigungen zu Rollen oder den Umgang mit Personaländerungen wird eine ganzheitliche Unterstützung des gesamten Identity Management Lifecycle greifbar. Den Abschluss bildet dann die Verknüpfung mit einer intelligenten Provisionierung, die je nach Priorisierung und Wirtschaftlichkeit zunehmend automatisiert abläuft.

Über den Autor: Jörg Meuser ist Managing Consultant Identity und Security Management bei dem IT-System- und Beratungshaus CONET.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45167038 / Intrusion-Detection und -Prevention)