:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit in Medien und Kultur Netzwerksicherheit bei ProSiebenSat.1
Im letzten Teil unserer Serie über IT-Sicherheit in unterschiedlichen Branchen hatten wir uns mit Transport und Verkehr befasst und sprachen deshalb mit der Hapag-Lloyd-Reederei. Diesmal sind die Medien dran. Unser Ansprechpartner war die ProSiebenSat.1 Media SE. Für unser Gespräch über IT-Sicherheit stand uns Torsten Gesang, VP IT-Security, ProsiebenSat.1 Tech Solutions zur Verfügung.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Das BSI hat neun Sektoren definiert, die in Deutschland die kritische Infrastruktur (KRITIS) abbilden. Zum Sektor „Medien und Kultur“ gehören vor allem der Rundfunk, darunter fallen sowohl Radio, als auch Fernsehen, gedruckte und elektronische Presse, aber auch wichtige Kulturgüter und symbolträchtige Bauwerke. In der Sektorendefinition betont das BSI außerdem: „Die Medien mit ihrer Informations-, Bildungs- und Kontrollfunktion spielen eine zentrale Rolle für die Meinungsbildung in pluralistischen Gesellschaften. Darüber hinaus nehmen insbesondere Rundfunk- und Fernsehanstalten, aber auch das Internet mit dem Auftrag der Warnung und Information der Bevölkerung in Krisen- und Notlagen eine entscheidende Aufgabe im Rahmen des Bevölkerungsschutzes wahr.“
ProSiebenSat.1 ist schon lange kein reines TV-Unternehmen mehr, sondern digitalisiert und diversifiziert konsequent sein Geschäft. Der Medienkonzern nutzt die Millionen-Reichweite der TV-Sender für seine digitalen Geschäftsfelder. Dabei basiert das Wachstum auf drei Segmenten: Die SevenOne Entertainment Group vereint Sender wie ProSieben, Sat.1, Kabel Eins oder sixx sowie das Content-, Digital- und Vermarktungsgeschäft unter einem Dach. Dabei hat das Unternehmen insbesondere das Digital-Geschäft stark ausgebaut, nicht zuletzt mit der Streaming-Plattform Joyn. Die Red Arrow Studios als zweite Säule umfassen das internationale Programmproduktions- und Vertriebsgeschäft von ProSiebenSat.1. Die NuCom Group ist als Commerce-Säule der strategische Wachstumspartner für Firmen aus dem digitalen Consumer-Internet-Bereich. Für das Interview beschränken wir uns auf die Säule SevenOne Entertainment und damit auf das Kerngeschäftsfeld des Unternehmens, da die anderen Bereiche teilweise sehr spezielle Anforderungen haben und deren IT jeweils dezentral und autark verwaltet wird.
Aufbau der IT Infrastruktur
Zum Aufbau der Infrastruktur ein paar Zahlen aus der Technik auf dem Campus Unterföhring: 14 Rechenzentren, davon 9 sogenannte „ZGRs“ (zentrale Geräteräume) für die TV-Broadcast-Infrastruktur, 1400 Linux- und Windows-Server, zu 60 Prozent virtualisiert, insgesamt 37 PByte Storage und eine selbst verwaltete Kubernetes-Plattform mit 3500 Containern.
Auf dieser Infrastruktur laufen unter anderem eigens entwickelte Businessapplikationen für die Kerngeschäftsfelder, zum Beispiel Systeme zur Verwaltung von Sendeplänen, Plattformen, um Werbung zu buchen, Content Management Systeme für Filmmaterial sowie die Ausspielung von 24 Sendern zu Kabel- und Satellitenbetreibern.
Die Basis für die etwa 4500 Nutzer am Campus Unterföhring bildet ein klassisches Layered Hierachical Network, das in verschiedene Netzwerksegmente mit unterschiedlichen Sicherheitsanforderungen unterteilt ist. Um hier auch zukünftigen Herausforderungen gewachsen zu sein, wird die Netzwerkinfrastruktur derzeit auf Cisco ACI nach dem Spine/Leaf Prinzip umgebaut. Damit sollen zukünftig noch feiner granulierte Segmente sogar bis auf einzelne Hostebenen, oder gar auf Applikationsebene, ermöglicht werden. Das spiegelt den ersten Ansatz von IT-Sicherheit in Form von Defense in Depth wider.
Aufgabenbereiche der Anwender
Die SevenOne Entertainment hat, wie andere Firmen auch, organisatorische Bereiche wie Finance, Office-IT oder HR. Viele Besonderheiten ergeben sich aus den Tätigkeiten im TV- und Digital-Umfeld. Es gibt vor Ort mehrere Studios, sowohl solche mit echter Deko als auch virtuelle Studios, in denen ein Moderator in nahezu beliebigen Umgebungen gezeigt werden kann. Das aufgenommene Bildmaterial wird entweder live oder zeitversetzt ausgestrahlt, in großen Regien zusammengestellt, auf Videoschnittplätzen bearbeitet, mit 3D-Animationen versehen und nach vielen weiteren Schritten über Satellit und Kabel ausgestrahlt. An das Netzwerk werden dabei sehr hohe Anforderungen bezüglich Latenzen, Bandbreiten und Verfügbarkeit gestellt.
Die besonderen Herausforderungen an die IT-Sicherheit im Medienumfeld
Die IT-Sicherheit stellt in diesem Umfeld eine wichtige Komponente dar. Mögliche Risiken, gegen die sich die SevenOne Entertainment wappnet, sind zum Beispiel politisch motivierte Veränderungen des ausgestrahlten Materials, wie beispielsweise 2015 bei dem Hack des französischen Senders TV5 Monde1 geschehen.
Auf der anderen Seite muss die IT-Sicherheit speziell in der Medienbranche kreative und journalistische Arbeit ermöglichen, was bedeutet, dass es für Mitarbeiter der SevenOne Entertainment nur sehr wenige Einschränkungen in den Zielen gibt, die sie im Internet erreichen können. Herr Gesang dazu: „In einer Bank oder Versicherung wäre es sicher undenkbar, jedem Mitarbeiter die gesamte Palette an Webseiten von Amazon bis Amorelie zur Verfügung zu stellen. Aber da bei uns zahlreiche Kollegen redaktionell und auch investigativ arbeiten, müssen wir andere Rahmenbedingungen schaffen.“
Ansätze zum Absichern dieser besonderen Herausforderungen
„Assume Breach!“- Nichts ist absolut sicher und Incidents passieren, lautet das Mantra. Vor fünf Jahren etablierte der Konzern daher ein internes Security Operations Center (SOC), welches erst einmal nur für die reaktiven Bereiche „Security Monitoring“ und „Incident Management“ zuständig war. Die strategische Entscheidung, das SOC intern aufzubauen, liegt darin begründet, dass ein detailliertes Wissen um die TV-spezifischen Prozesse und Technologien notwendig ist, um eine sensible und effektive Überwachung und Alarmierung in einem SIEM zu implementieren. Der Incident Management Prozess wurde auf der Basis der ISO 27035 entworfen und ist eng an das bestehende ITIL-Incident-Management geknüpft.
Entgegen einer häufig zitierten Meinung, dass ein Security Incident Prozess in einer „Überholspur“ an bestehenden Prozessen vorbei implementiert werden muss, hat es sich bewährt, auch auf gelernte und vertraute Incident Prozesse zurückzugreifen. Als besonders hilfreich erweist sich dabei, dass je nach Schweregrad des Falles auch feste Workflows zur Einbindung von Juristen, Unternehmenskommunikation und Datenschutz bis hin zu Geschäftsführer- und Vorstandsebene existieren. Dies ermöglicht eine schnelle Entscheidungskette und führt zu einer möglichst frühzeitigen Implementierung von Maßnahmen.
Mit diesen reaktiven Workflows ist aber noch kein kontinuierlicher Verbesserungsprozess etabliert, denn schließlich ist der Incident, der nicht passiert, der Beste. Also wurde konsequenterweise das SOC vor zwei Jahren um die proaktiven Komponenten „Offensive Security“ und „IT-Security Architektur Beratung in Projekten“ erweitert. Die Offensive Security steht dabei auf zwei Standbeinen: Penetration Testing und in ersten Ansätzen auch ein Red-Teaming, außerdem ein monatlich iterierendes Vulnerability Management. Das interne Pentesting sucht zum einen nach unentdeckten Schwachstellen auf Applikations- und Betriebssystem-Ebene und dient zum anderen als Lackmus-Test für die Wirksamkeit der Alarme des Security Monitoring.
Die Projektberatung stellt schließlich die ultima ratio dar, um IT-Sicherheitsanforderungen gleich zu Beginn eines Projektes, also schon in der Prototypen-Phase, zu etablieren. Durch eine kontinuierliche Begleitung der Projekte kommt es viel seltener zu enormen Risken, die eine Geschäftsführung tragen muss, oder zu (aus Business-Sicht schlimmeren) Vetos der IT-Sicherheit gegenüber dem Going-Live eines neuen Produktes.
Weitere Herausforderungen für die IT-Sicherheit
Die SevenOne Entertainment adaptiert schon seit vielen Jahren Cloud-Dienste. Beispielsweise sind die Senderwebsites wie ProSieben.de oder der Streamingdienst JOYN cloud-native und haben nur noch wenige oder gar keine Workflows in einem On-Premise Rechenzentrum. In dieser agilen DevOps-Welt kommt die traditionelle Projektberatung der IT-Security schnell an ihre Grenzen.
Das IT-Security-Team setzt hier daher mehr darauf – wo sinnvoll – durch Schulungen und Erfahrungsaustausch die Teams zu befähigen, selbst sicherheitsrelevante Entscheidungen zu treffen. In besonders komplexen Fällen steht das IT-Security-Team zur Unterstützung weiterhin zur Verfügung. „Wir fördern sicherheitsaffine Teammitglieder und geben ihnen Checklisten und Best Practices in die Hand – prinzipiell wollen wir zukünftig das Paradigma der ‚Security Champions‘ oder DevSecOps implementieren“, fügt Gesang hinzu.
Auf der anderen Seite finden sich sehr spezielle Broadcast Systeme, deren Funktionalitäten mitunter eher unter der Prämisse von Echtzeitanforderungen als IT-Sicherheit entworfen wurden und die sehr langlebig sind. Diese Systeme stellen quasi das Äquivalent von Industriesteuerungen aus anderen Branchen im TV-Umfeld dar. In diesem Kontext hilft häufig nur ein konsequentes Risikomanagement durch Netzwerk-Segmentierung und Security Monitoring.
Kooperationen mit anderen Unternehmen
Im IT Betrieb wird auf ein selektives Out-Tasking gesetzt. Dazu gehören zum Beispiel der Legacy Linux- und AIX-Betrieb, das SAP Hosting sowie der 1st und 2nd Level (Windows und Mac) Client-Betrieb. Im IT-Security Umfeld wird vor allem im Bereich des Pentesting der vielen Websites und Shops auf externe Unterstützung gesetzt.
Fazit
Das moderne Medienumfeld hat früh einen Wandel in der Denkweise der IT-Security nötig gemacht. Weg von dem Bild des restriktiven Verhinderers, der einem Flaschenhals ähnlich einzelne Freigaben erteilt, hin zu einem Partner, der mit angemessenen Maßnahmen und der Übertragung von Verantwortlichkeiten das Business schützt und unterstützt.
:quality(80)/images.vogel.de/vogelonline/bdb/1742400/1742494/original.jpg "Hapag-Lloyd hat weltweit mehr als 1,1 Millionen Container (TEU) im Einsatz. Die Schiffe der Reederei sind auf allen Weltmeeren unterwegs. (Hapag-Lloyd AG)")
IT-Sicherheit in Transport und Verkehr
Netzwerksicherheit bei Hapag-Lloyd
:quality(80)/images.vogel.de/vogelonline/bdb/1703700/1703781/original.jpg "Alle Landkreise haben eigene Netze, die einen unterschiedlichen Umfang und auch bei Themen wie der IT-Sicherheit, einen unterschiedlichen Aufbau haben. (galina.legoschina - stock.adobe.com)")
IT-Sicherheit in Staat und Verwaltung
Netzwerksicherheit beim Landkreistag
:quality(80)/images.vogel.de/vogelonline/bdb/1665800/1665868/original.jpg "Unternehmen, aber auch Staat und Gesellschaft sind heute zunehmend abhängig von einer funktionierenden Telekommunikationsinfrastruktur. (Funtap - stock.adobe.com)")
IT-Sicherheit bei TK-Unternehmen
Netzwerksicherheit in der Telekommunikation
:quality(80)/images.vogel.de/vogelonline/bdb/1652500/1652598/original.jpg "Die Awareness der Mitarbeiter ist auch in Krankenhäusern ein zentrales Standbein der IT-Sicherheit. Deswegen gibt es im bspw. im Lukaskrankenhaus jetzt regelmäßig Awareness-Kampagnen. (gemeinfrei)")
Sicherheit vor Funktionalität im Lukaskrankenhaus
Netzwerksicherheit in Krankenhäusern
:quality(80)/images.vogel.de/vogelonline/bdb/1549000/1549048/original.jpg "Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft. (Joachim Donath)")
Segmentiertes Netz und restriktive Zugriffe
Netzwerksicherheit bei den Berliner Wasserbetrieben
:quality(80)/images.vogel.de/vogelonline/bdb/1675600/1675653/original.jpg "Die Sicherung der Versorgung der Bevölkerung mit Lebensmitteln ist ein wichtiger Teil der kritischen Infrastrukturen. (gemeinfrei)")
Die Mitarbeiter müssen mitspielen
Netzwerksicherheit in der Ernährungsbranche
:quality(80)/images.vogel.de/vogelonline/bdb/1578800/1578875/original.jpg "An die Sicherheit von IT-Umgebungen werden in der Versicherungsbranche hohe Ansprüche gestellt. (Sergey Nivens - stock.adobe.com)")
Kooperation auf vielen Ebenen
Netzwerksicherheit in der Versicherungsbranche
:quality(80)/images.vogel.de/vogelonline/bdb/1546800/1546854/original.jpg "Um ein Netzwerk umfassend abzusichern müssen IT-Sicherheitsverantwortliche viele Entscheidungen treffen und viele Konfigurationsschritte durchführen. (sdecoret - stock.adobe.com)")
Anforderungen der IT-Sicherheit
Grundlagen der Netzwerksicherheit
(ID:46993740)
:quality(80)/images.vogel.de/vogelonline/bdb/1904600/1904605/original.jpg "Security ist ein Mannschaftsspiel. (Pete Curcio auf Pixabay)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913900/1913928/original.jpg "Zur Bekämpfung der Corona-Pandemie würden drei Viertel der Deutschen dem Staat Gesundheitsdaten zur Verfügung stellen. (pixelschoen - stock.adobe.com)")