Suchen

IT-Sicherheit in Medien und Kultur Netzwerksicherheit bei ProSiebenSat.1

Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Im letzten Teil unserer Serie über IT-Sicherheit in unterschiedlichen Branchen hatten wir uns mit Transport und Verkehr befasst und sprachen deshalb mit der Hapag-Lloyd-Reederei. Diesmal sind die Medien dran. Unser Ansprechpartner war die ProSiebenSat.1 Media SE. Für unser Gespräch über IT-Sicherheit stand uns Torsten Gesang, VP IT-Security, ProsiebenSat.1 Tech Solutions zur Verfügung.

Firma zum Thema

Rundfunk, Fernsehen und Internet nehmen mit dem Auftrag der Warnung und Information der Bevölkerung in Krisen- und Notlagen eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes wahr.
Rundfunk, Fernsehen und Internet nehmen mit dem Auftrag der Warnung und Information der Bevölkerung in Krisen- und Notlagen eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes wahr.
(Bild: gemeinfrei / Pixabay )

Das BSI hat neun Sektoren definiert, die in Deutschland die kritische Infrastruktur (KRITIS) abbilden. Zum Sektor „Medien und Kultur“ gehören vor allem der Rundfunk, darunter fallen sowohl Radio, als auch Fernsehen, gedruckte und elektronische Presse, aber auch wichtige Kulturgüter und symbolträchtige Bauwerke. In der Sektorendefinition betont das BSI außerdem: „Die Medien mit ihrer Informations-, Bildungs- und Kontrollfunktion spielen eine zentrale Rolle für die Meinungsbildung in pluralistischen Gesellschaften. Darüber hinaus nehmen insbesondere Rundfunk- und Fernsehanstalten, aber auch das Internet mit dem Auftrag der Warnung und Information der Bevölkerung in Krisen- und Notlagen eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes wahr.“

ProSiebenSat.1 ist schon lange kein reines TV-Unternehmen mehr, sondern digitalisiert und diversifiziert konsequent sein Geschäft. Der Medienkonzern nutzt die Millionen-Reichweite der TV-Sender für seine digitalen Geschäftsfelder. Dabei basiert das Wachstum auf drei Segmenten: Die SevenOne Entertainment Group vereint Sender wie ProSieben, Sat.1, Kabel Eins oder sixx sowie das Content-, Digital- und Vermarktungsgeschäft unter einem Dach. Dabei hat das Unternehmen insbesondere das Digital-Geschäft stark ausgebaut, nicht zuletzt mit der Streaming-Plattform Joyn. Die Red Arrow Studios als zweite Säule umfassen das internationale Programmproduktions- und Vertriebsgeschäft von ProSiebenSat.1. Die NuCom Group ist als Commerce-Säule der strategische Wachstumspartner für Firmen aus dem digitalen Consumer-Internet-Bereich. Für das Interview beschränken wir uns auf die Säule SevenOne Entertainment und damit auf das Kerngeschäftsfeld des Unternehmens, da die anderen Bereiche teilweise sehr spezielle Anforderungen haben und deren IT jeweils dezentral und autark verwaltet wird.

Aufbau der IT Infrastruktur

Zum Aufbau der Infrastruktur ein paar Zahlen aus der Technik auf dem Campus Unterföhring: 14 Rechenzentren, davon 9 sogenannte „ZGRs“ (zentrale Geräteräume) für die TV-Broadcast-Infrastruktur, 1400 Linux- und Windows-Server, zu 60 Prozent virtualisiert, insgesamt 37 PByte Storage und eine selbst verwaltete Kubernetes-Plattform mit 3500 Containern.

Auf dieser Infrastruktur laufen unter anderem eigens entwickelte Businessapplikationen für die Kerngeschäftsfelder, zum Beispiel Systeme zur Verwaltung von Sendeplänen, Plattformen, um Werbung zu buchen, Content Management Systeme für Filmmaterial sowie die Ausspielung von 24 Sendern zu Kabel- und Satellitenbetreibern.

Die Basis für die etwa 4500 Nutzer am Campus Unterföhring bildet ein klassisches Layered Hierachical Network, das in verschiedene Netzwerksegmente mit unterschiedlichen Sicherheitsanforderungen unterteilt ist. Um hier auch zukünftigen Herausforderungen gewachsen zu sein, wird die Netzwerkinfrastruktur derzeit auf Cisco ACI nach dem Spine/Leaf Prinzip umgebaut. Damit sollen zukünftig noch feiner granulierte Segmente sogar bis auf einzelne Hostebenen, oder gar auf Applikationsebene, ermöglicht werden. Das spiegelt den ersten Ansatz von IT-Sicherheit in Form von Defense in Depth wider.

Aufgabenbereiche der Anwender

Die SevenOne Entertainment hat, wie andere Firmen auch, organisatorische Bereiche wie Finance, Office-IT oder HR. Viele Besonderheiten ergeben sich aus den Tätigkeiten im TV- und Digital-Umfeld. Es gibt vor Ort mehrere Studios, sowohl solche mit echter Deko als auch virtuelle Studios, in denen ein Moderator in nahezu beliebigen Umgebungen gezeigt werden kann. Das aufgenommene Bildmaterial wird entweder live oder zeitversetzt ausgestrahlt, in großen Regien zusammengestellt, auf Videoschnittplätzen bearbeitet, mit 3D-Animationen versehen und nach vielen weiteren Schritten über Satellit und Kabel ausgestrahlt. An das Netzwerk werden dabei sehr hohe Anforderungen bezüglich Latenzen, Bandbreiten und Verfügbarkeit gestellt.

Die besonderen Herausforderungen an die IT-Sicherheit im Medienumfeld

Die IT-Sicherheit stellt in diesem Umfeld eine wichtige Komponente dar. Mögliche Risiken, gegen die sich die SevenOne Entertainment wappnet, sind zum Beispiel politisch motivierte Veränderungen des ausgestrahlten Materials, wie beispielsweise 2015 bei dem Hack des französischen Senders TV5 Monde1 geschehen.

Auf der anderen Seite muss die IT-Sicherheit speziell in der Medienbranche kreative und journalistische Arbeit ermöglichen, was bedeutet, dass es für Mitarbeiter der SevenOne Entertainment nur sehr wenige Einschränkungen in den Zielen gibt, die sie im Internet erreichen können. Herr Gesang dazu: „In einer Bank oder Versicherung wäre es sicher undenkbar, jedem Mitarbeiter die gesamte Palette an Webseiten von Amazon bis Amorelie zur Verfügung zu stellen. Aber da bei uns zahlreiche Kollegen redaktionell und auch investigativ arbeiten, müssen wir andere Rahmenbedingungen schaffen.“

Ansätze zum Absichern dieser besonderen Herausforderungen

„Assume Breach!“- Nichts ist absolut sicher und Incidents passieren, lautet das Mantra. Vor fünf Jahren etablierte der Konzern daher ein internes Security Operations Center (SOC), welches erst einmal nur für die reaktiven Bereiche „Security Monitoring“ und „Incident Management“ zuständig war. Die strategische Entscheidung, das SOC intern aufzubauen, liegt darin begründet, dass ein detailliertes Wissen um die TV-spezifischen Prozesse und Technologien notwendig ist, um eine sensible und effektive Überwachung und Alarmierung in einem SIEM zu implementieren. Der Incident Management Prozess wurde auf der Basis der ISO 27035 entworfen und ist eng an das bestehende ITIL-Incident-Management geknüpft.

Entgegen einer häufig zitierten Meinung, dass ein Security Incident Prozess in einer „Überholspur“ an bestehenden Prozessen vorbei implementiert werden muss, hat es sich bewährt, auch auf gelernte und vertraute Incident Prozesse zurückzugreifen. Als besonders hilfreich erweist sich dabei, dass je nach Schweregrad des Falles auch feste Workflows zur Einbindung von Juristen, Unternehmenskommunikation und Datenschutz bis hin zu Geschäftsführer- und Vorstandsebene existieren. Dies ermöglicht eine schnelle Entscheidungskette und führt zu einer möglichst frühzeitigen Implementierung von Maßnahmen.

Mit diesen reaktiven Workflows ist aber noch kein kontinuierlicher Verbesserungs­prozess etabliert, denn schließlich ist der Incident, der nicht passiert, der Beste. Also wurde konsequenterweise das SOC vor zwei Jahren um die proaktiven Komponenten „Offensive Security“ und „IT-Security Architektur Beratung in Projekten“ erweitert. Die Offensive Security steht dabei auf zwei Standbeinen: Penetration Testing und in ersten Ansätzen auch ein Red-Teaming, außerdem ein monatlich iterierendes Vulnerability Management. Das interne Pentesting sucht zum einen nach unentdeckten Schwachstellen auf Applikations- und Betriebssystem-Ebene und dient zum anderen als Lackmus-Test für die Wirksamkeit der Alarme des Security Monitoring.

Die Projektberatung stellt schließlich die ultima ratio dar, um IT-Sicherheits­anforderungen gleich zu Beginn eines Projektes, also schon in der Prototypen-Phase, zu etablieren. Durch eine kontinuierliche Begleitung der Projekte kommt es viel seltener zu enormen Risken, die eine Geschäftsführung tragen muss, oder zu (aus Business-Sicht schlimmeren) Vetos der IT-Sicherheit gegenüber dem Going-Live eines neuen Produktes.

Weitere Herausforderungen für die IT-Sicherheit

Die SevenOne Entertainment adaptiert schon seit vielen Jahren Cloud-Dienste. Beispielsweise sind die Senderwebsites wie ProSieben.de oder der Streamingdienst JOYN cloud-native und haben nur noch wenige oder gar keine Workflows in einem On-Premise Rechenzentrum. In dieser agilen DevOps-Welt kommt die traditionelle Projektberatung der IT-Security schnell an ihre Grenzen.

Das IT-Security-Team setzt hier daher mehr darauf – wo sinnvoll – durch Schulungen und Erfahrungsaustausch die Teams zu befähigen, selbst sicherheitsrelevante Entscheidungen zu treffen. In besonders komplexen Fällen steht das IT-Security-Team zur Unterstützung weiterhin zur Verfügung. „Wir fördern sicherheitsaffine Teammitglieder und geben ihnen Checklisten und Best Practices in die Hand – prinzipiell wollen wir zukünftig das Paradigma der ‚Security Champions‘ oder DevSecOps implementieren“, fügt Gesang hinzu.

Auf der anderen Seite finden sich sehr spezielle Broadcast Systeme, deren Funktionalitäten mitunter eher unter der Prämisse von Echtzeitanforderungen als IT-Sicherheit entworfen wurden und die sehr langlebig sind. Diese Systeme stellen quasi das Äquivalent von Industriesteuerungen aus anderen Branchen im TV-Umfeld dar. In diesem Kontext hilft häufig nur ein konsequentes Risikomanagement durch Netzwerk-Segmentierung und Security Monitoring.

Kooperationen mit anderen Unternehmen

Im IT Betrieb wird auf ein selektives Out-Tasking gesetzt. Dazu gehören zum Beispiel der Legacy Linux- und AIX-Betrieb, das SAP Hosting sowie der 1st und 2nd Level (Windows und Mac) Client-Betrieb. Im IT-Security Umfeld wird vor allem im Bereich des Pentesting der vielen Websites und Shops auf externe Unterstützung gesetzt.

Fazit

Das moderne Medienumfeld hat früh einen Wandel in der Denkweise der IT-Security nötig gemacht. Weg von dem Bild des restriktiven Verhinderers, der einem Flaschenhals ähnlich einzelne Freigaben erteilt, hin zu einem Partner, der mit angemessenen Maßnahmen und der Übertragung von Verantwortlichkeiten das Business schützt und unterstützt.

(ID:46993740)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT