:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Software und IT-Infrastruktur in der Praxis Grundlagen für eine sichere Digitalisierung schaffen
Nahezu jedes Produkt ist heute smart und Applikationen erweitern Devices um neue Features und Funktionen. Geräte wie Kühlschränke, Herzschrittmacher oder Industrieanlagen werden über intelligente Software gesteuert. Dies wirkt sich ähnlich wie bei klassischen Desktop-Computern auf ihren Lebenszyklus aus. Werden Betriebssysteme oder Programme nicht richtig gewartet, ist ein sicherer Betrieb nicht mehr möglich.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2018 geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum ersten Mal auf das Thema Softwarepflege und Gewährleistungspflicht ein: „Ein Produkt, welches zum Zeitpunkt des Kaufs öffentlich bekannte Schwachstellen enthält, muss aus IT-Sicherheitsgesichtspunkten als mangelhaft angesehen werden, wenn auf die Schwachstellen nicht ausdrücklich hingewiesen wird oder kein entsprechendes Sicherheitsupdate beim Kauf zur Verfügung steht. Gleiches gilt auch für Schwachstellen, die während der Gewährleistungsfrist des Produkts bekannt werden. Eine Softwarepflege durch den Hersteller einschließlich der Behebung von Schwachstellen ist somit nicht nur „Stand der Technik“, sondern sollte durch den Verbraucher auch offensiv als Standardleistung eingefordert werden.“
Durch den Wettbewerb in der Softwareentwicklung rückt das Thema Sicherheit bei den Herstellern oft in den Hintergrund, denn Zeit ist hier ein ausschlaggebender Faktor. Um Produkte schneller auf den Markt bringen zu können, wird oftmals schon auf grundlegende Vorsichtsmaßnahmen während der Entwicklung verzichtet. Eine spätere Schließung von Schwachstellen wird dadurch schwierig. Durch das Internet der Dinge und Cloud Computing gewinnt diese Entwicklung zunehmend an Dynamik.
IT-Sicherheitsunternehmen reagierten mit agenten-basierten Tools, die auf jedem Endgerät manuell installiert werden mussten. Damit sollte den Bedrohungen aus dem Cyberraum Einhalt geboten werden. Allerdings sorgen fast täglich neue Sicherheitsvorfälle für Schlagzeilen und die Anzahl an Zero-Day-Schwachstellen wächst immer weiter.
IT-Entscheider müssen über grundlegend neue Ansätze beim Thema Sicherheit nachdenken. Die Digitalisierung wird sich fortsetzen und damit steigt auch das Risiko. Die Warnung des BSI spricht ein ernstes Problem an und dennoch ist es unwahrscheinlich, dass alle Hersteller ihre Produkte in puncto Security umfassend verbessern können. Jede Organisation muss davon ausgehen, dass sie ausnutzbare Schwachpunkte in ihren Netzwerken besitzt.
Fundament stärken anstelle von Flickschusterei
Viele Unternehmen haben nicht das Problem, dass sie zu wenige Sicherheitstools einsetzen oder ihnen das passende Werkzeug fehlt. Eher ist ihre Infrastruktur auch ohne Cyberbedrohungen schon ein reiner Verwaltungsalbtraum. Wartung, On- und Off-Boarding sind unnötig kompliziert und frustrieren sowohl IT-Abteilungen als auch Nutzer – keine gute Grundlage, um Schwachstellen auszumerzen.
Dabei ist die Nutzererfahrung die treibende Kraft der Digitalisierung. Mit der Einführung von Office 365 kann von einer Zeitwende gesprochen werden, denn Arbeitsplätze sind damit so mobil wie nie zuvor. Fortschrittliche Bürosoftware macht aber noch keinen Workspace. Viele Organisationen setzen für die verbesserte Bereitstellung von Desktop-Arbeitsplätzen schon lange auf Virtualisierung, da sie hier eine Lösung der geschilderten Probleme sehen.
Theoretisch ist das richtig: Virtuelle Umgebungen sind leichter zu konfigurieren und bieten eine bessere Grundsicherheit. Schwachstellen können besser geschlossen oder isoliert werden. Zudem sind Arbeitsplätze besser skalierbar und können wesentlich schneller ausgerollt werden. Es geht aber um Umgebungen, die sich rein über Software definieren - mit den erwähnten Problemen: Thin Clients und andere Devices unterschiedlicher Hersteller sind nicht kompatibel mit der gelieferten Software, einzelne Geräte sind nach einem Versionswechsel nicht mehr nutzbar, bestimmte Programme oder Peripheregeräte wie Drucker werden nicht unterstützt oder lassen sich nicht richtig verwalten, Compliancevorgaben können nicht eingehalten werden und so weiter.
Der springende Punkt ist eben die eingesetzte Software. Die Abstimmung zwischen Endpunkt, Virtualisierungslösung und der eigenen IT-Infrastruktur muss stimmen. Und dies geschieht nur mit der richtigen Architektur. Ähnliches gilt beim Thema IoT. Schon bei der Entwicklung darf nicht an Sorgfalt gespart werden. Außerdem ist der Hersteller in der Pflicht, die Software regelmäßig upzudaten.
IT-Entscheider müssen überlegen, wie sie Endgeräte verwalten. Oft mangelt es an einer wirklich einheitlichen Management-Plattform und IT-Abteilungen haben einen erheblichen Mehraufwand beim Ausrollen und der Pflege von Devices. Besonders, wenn es zu unerwarteten Kompatibilitätsproblemen kommt. Nur selten wird eine IT-Landschaft von Grund auf neu erstellt. Viel mehr gibt es fast immer Legacy-IT. Speziell bei der Integration von smarten Geräten sollten Unternehmen genau prüfen, wie gut ein Hersteller im Bereich Software aufgestellt ist.
Passende Architektur bringt großes Unternehmenspotenzial zutage
Bei virtuellen Desktop-Umgebungen ergibt es beispielsweise keinen Sinn auf überladene Betriebssysteme zu setzen. Das OS sollte so schlank wie möglich und gezielt für den Einsatz in Unternehmen programmiert sein. Häufig bringen sich Organisationen in unnötige Gefahr, da Features aus Consumer-Systemen Schwachpunkte enthalten, die von Kriminellen ausgenutzt werden können. Diese werden im Unternehmensalltag nicht genutzt, sind aber trotzdem in vielen Standardpaketen enthalten.
Gleichzeitig müssen Ansätze wie Security-by-Design und Security-by-Default von Anfang an beachtet werden und IT-Verantwortliche sollten sicher gehen, dass Treiber und Applikationen aus der bereits bestehenden Infrastruktur kompatibel sind. Entscheider sollten den Hinweis des BSI zur Wartung der Software beachten und sicherstellen, dass ein Vendor die Pflege seiner Produkte ernst nimmt.
Beachtet man dies, ist es wesentlich leichter, branchenspezifische Standards oder gesetzliche Vorgaben umzusetzen. Mit dem richtigen Partner sind Organisationen zudem gewappnet, wenn es um die sichere Integration von neuen Technologien geht. Verfügt ein Anbieter über eigene Entwicklungskapazitäten und Erfahrung, kann er genau auf die Bedürfnisse der Nutzer und IT-Fachkräfte eingehen.
Fazit
Die Gefahrenlage hat sich grundlegend geändert und Cyberangriffe sorgen vermehrt für Schlagzeilen. Gleichzeitig stehen Unternehmen unter zusätzlichem Druck: Sicherheit, Modernisierung, Vernetzung und Compliance – all diese Aufgaben müssen in der Praxis umgesetzt werden und die Software steht dabei im Kern der Digitalisierung.
Die Warnung des BSI richtet sich sowohl an Hersteller als auch an die Nutzer. Cyberkriminellen steht nicht nur immer ausgeklügeltere Malware zu Verfügung, sie finden auch eine Vielzahl von Schwachstellen in ungepatcher Software und unzureichend verwalteten Virtualisierungsumgebungen. Um dieser Bedrohung entgegenzuwirken, müssen IT-Entscheider daher die benötigten Grundlagen schaffen. Besonders wichtig ist, die Arbeitsplätze der Mitarbeiter richtig zu verwalten und abzusichern – ohne dabei Kompromisse bei den Vorteilen der Digitalisierung einzugehen.
Über den Autor: Matthias Haas ist CTO der IGEL Technology GmbH.
(ID:45900806)
:quality(80)/p7i.vogel.de/wcms/0b/9f/0b9f30efb53dcffe2da9fc0c13922b1a/0109784673.jpeg "Mit dem Cyber Resilience Act will die EU Bürger, Unternehmen, Behörden und Organisationen besser vor Cyberangriffen schützen. (Bild: viperagp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")