:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit und Datenschutz Security und Privacy by Design und Default
Lange waren Sicherheitsaspekte nur für IT-Security-Tools, -Programme und -Dienstleistungen von größerer Bedeutung. Mittlerweile hat sich Sicherheit jedoch als zentraler Baustein einer guten IT-Produktentwicklung etabliert. Auch der Datenschutz spielt bei der Software-Entwicklung eine immer wichtigere Rolle, Konzepte wie Privacy by Design und Privacy by Default sind inzwischen Teil der DSGVO.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
In regelmäßigen Abständen geraten IT-Produkte in den Fokus der Öffentlichkeit, weil Sicherheitslücken rechtzeitig aufgespürt oder von Cyberkriminellen missbraucht werden. Eigentlich hätten die Hersteller diese Lücken bereits in der Entwicklungsphase erkennen und beheben müssen. Doch ist Sicherheit in der IT-Produktentwicklung lange Zeit, wenn auch nicht als vernachlässig-, so doch durchaus als aufschiebbar betrachtet worden. Um ein Produkt möglichst schnell auf den Markt zu bringen, entscheiden Hersteller sich häufig dafür, Sicherheitslücken erst im Nachhinein zu schließen. Nicht selten ist der Schadensfall dann bereits eingetreten. Für den Endverbraucher ist dies ein echtes Problem, denn er verlässt sich auf den Anbieter, geht davon aus, dass seine Sicherheit für diesen oberste Priorität hat. Höchste Zeit also, dass bei den IT-Produktentwicklern ein Umdenken stattfindet.
:quality(80)/images.vogel.de/vogelonline/bdb/1298800/1298895/original.jpg "Security-Ratings, also Übersichten, Bewertungen und Kennzahlen zur IT-Sicherheit verschiedener Lösungen, sind für Anwender und Anbieter von Vorteil. (pixelfreund - stock.adobe.com)")
Security-Ratings
Sicherheit als als Einkaufsbedingung
Sicherheit als Konzept
Im Konzept Security by Design wird Sicherheit ganz konkret und explizit als Anforderung in den gesamten Entwicklungsprozess, auch bezeichnet als Security Development Lifecycle, einbezogen. Von der Planung, über die Entwicklung, bis hin zu ersten Testläufen und der Fertigstellung wird stets auf die Berücksichtigung potentieller Sicherheitsrisiken Wert gelegt. Sicherheit wird so zu einem integralen Bestandteil des fertigen IT-Produkts.
Neben dem Prinzip Security by Design hat sich dabei mittlerweile auch das verwandte Konzept Security by Default etabliert. Dabei werden Sicherheitsbausteine bei der Entwicklung so in das IT-Produkt integriert, dass diese für den Nutzer unbemerkt im Hintergrund wirken, er sich nicht aktiv um Sicherheit kümmern muss und dennoch stets geschützt ist. Neben der IT-Sicherheit ist mittlerweile auch der Datenschutz in den Fokus dieser Überlegungen geraten. Privacy by Design und Privacy by Default heißen hier die Fachbegriffe. In ähnlicher Weise geht es hier darum, Einstellungen, die den Datenschutz betreffen, konkret in die gesamte Produktentwicklung mit einzubeziehen, sodass der Schutz personenbezogener Daten bereits technisch integriert ist. Die Privatsphäre ist also in den Grundeinstellungen geschützt, was gerade den weniger technikaffinen Nutzern zugutekommt. Mit der Installation ist die Sicherheit und auch der Datenschutz also bereits in den Voreinstellungen integriert und erst wenn diese Einstellung nicht mehr gelten soll, die Lösung also „unsicher“ gemacht werden soll, muss sie vom Anwender explizit geändert werden.
In der europäischen Datenschutz-Grundverordnung (EU-DSGVO) ist der Punkt „Datenschutz durch Technikgestaltung“ bereits verankert. Der Artikel 25 beschreibt, dass Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Anforderungen der EU-DSGVO einzuhalten. Mit datenschutzrechtlichen Voreinstellungen soll die Verarbeitung personenbezogener Daten möglichst auf ein Minimum reduziert werden. Hersteller sind im selben Artikel dazu aufgefordert, bei der Entwicklung ihrer Produkte und Anwendungen und unter Berücksichtigung des Stands der Technik ihren Datenschutzpflichten nachzukommen. Auch bei öffentlichen Ausschreibungen sollen jene Produkte bevorzugt werden, die datenschutzfreundliche Voreinstellungen beinhalten sowie den Datenschutz-Grundsätzen durch Technik Genüge tun.
:quality(80)/images.vogel.de/vogelonline/bdb/1208000/1208082/original.jpg "„Privacy“ ist auch ein „Security“-Thema. (© Jakub Jirsk - Fotolia.com)")
Viren- und Datenschutz
Privacy by Design für Security
Keine Unterbrechung im Arbeitsfluss
Wenn Security- und Datenschutz-Aspekte bereits zum Standard-Repertoire einer IT-Sicherheits-Lösung gehören, sind sie idealerweise so integriert, dass sie den Nutzer in seiner alltäglichen Arbeit nicht beeinträchtigen. Auf diese Weise ist er bestens geschützt. Bei einer verlässlichen Lösung laufen wichtige Security- und Datenschutz-Einstellungen im Hintergrund, ohne den Arbeitsfluss zu unterbrechen. Verlangsamt eine Sicherheitssoftware nämlich die Mitarbeiter nicht in ihren Arbeitsprozessen, wird sie von diesen auch angenommen und nicht etwa umgangen. Auf vielen Gebieten könnte Security by Default zudem die Mitarbeiter von Sicherheitsrisiken entbinden und so daran mitwirken, Unternehmen sicherer zu machen.
Ist es beispielsweise möglich, die Verschlüsselung gespeicherter Unternehmensdaten automatisch vornehmen zu lassen – während die Mitarbeiter vollen Zugriff auf die Daten haben, kann das wichtige Verschlüsseln von vertrauenswürdigen Inhalten nicht versäumt werden. Zu leicht könnte es sonst passieren, dass ein Mitarbeiter aus Zeitnot oder Vergesslichkeit keine Verschlüsselung seiner Daten vornimmt. Geraten diese dann in falsche Hände, können sie ungehindert eingesehen werden und großen Schaden anrichten.
:quality(80)/images.vogel.de/vogelonline/bdb/1316100/1316125/original.jpg "Hersteller werden haften: Nicht nur hinsichtlich des Datenschutzes haben sich die Regelungen verschärft. Wer unsichere Geräte für das Internet der Dinge produziert, wird sich künftig der Produkthaftung nicht länger entziehen können. (Leo Wolfert / Fotolia)")
Security by Design für das Internet der Dinge
IoT-Systeme von Anfang an gegen Angriffe absichern
Mit Hilfe eines Device-Managements lassen sich Zugriffsrechte der Mitarbeiter auf die an das Unternehmensnetzwerk angeschlossenen Endgeräte zuteilen und beschränken. Indem man den Mitarbeitern nur die Freigaben für die Tätigkeiten erteilt, die sie im Alltag benötigen (z. B. Freigabe für USB-Sticks oder Festplatten), bewahrt man sie zugleich davor, Fehler zu machen. Besitzt ein Nutzer die Berechtigung, USB-Sticks zu nutzen, kann externen Endgeräten der Zugriff mit dem Device-Management verwehrt werden. Kommt eine Datenschleuse zum Einsatz, kann diese den Datenträger zuerst auf seine Schadlosigkeit überprüfen. Die gespeicherten Inhalte werden erst dann freigegeben, wenn der Datenträger als „sauber“ gekennzeichnet wurde. Ungewollt herbeigeführte Sicherheitsrisiken der Mitarbeiter, wie etwa durch das Verwenden eines mit Malware kontaminierten privaten Datensticks, können so weiter reduziert werden.
Ein anderer Risikoherd verbirgt sich im meist viel zu freizügigen Umgang mit den Zugriffsrechten auf die Daten des Unternehmens. Hier kann ein Daten-Filter helfen. Über diesen kann festgelegt werden, welche Dateitypen von wem wo gespeichert werden dürfen, wer die Zugriffsrechte auf bestimmte Dateitypen besitzt. So kann zum Beispiel eingerichtet werden, dass ein Vertriebsmitarbeiter eine Excel-Preisleiste speichern und in den Außendienst mitnehmen kann, nicht aber Kundendateien des Unternehmens. Ähnliche Sicherheitsrisiken bestehen auch für die Arbeit in der Cloud. Häufig ist es Mitarbeitern nicht klar, in welchem Staat sich die Server ihrer Cloud befinden und dass gerade personenbezogene Daten extremen Risiken ausgesetzt sein können. Auch hier ist es mittlerweile möglich, einzuschränken, welche Mitarbeiter in welchen Clouds arbeiten dürfen. Außerdem lässt sich festlegen, welche Dateitypen in der Cloud gespeichert werden können. Mit Hilfe von DLP-Funktionen ist es außerdem möglich, Daten, die ein bestimmtes Muster aufweisen, wie z.B. Kreditkartennummern oder bestimmte Schlagwörter haben, zu erkennen, und so zu verhindern, dass sie versehentlich oder bewusst die Firma verlassen. Mitarbeiter können auf diese Weise davor bewahrt werden, dass sensible Daten an unsicheren Orten abgelegt werden, und wenn, dann nur, wenn sie mit einem firmeninternen Key verschlüsselt sind.
Auch wenn Unternehmen nicht drum herumkommen werden, ihre Mitarbeiter in Sachen Security und Datenschutz zu schulen, leisten Lösungen, die den Security- und Datenschutzaspekt bereits integriert haben, einen wichtigen Beitrag zu einer effektiven Sicherheitsarchitektur. Kommen Anwendungen zum Einsatz, deren Technik so gestaltet ist, dass sie von den Nutzern akzeptiert werden und sie alltägliche Vorgänge nicht erschweren, profitieren Unternehmen ungemein.
Über den Autor: Sergej Schlotthauer ist VP Security bei Matrix42 und Geschäftsführer von EgoSecure.
(ID:45733948)
:quality(80)/p7i.vogel.de/wcms/b6/0e/b60e3e9e6bcf0c58928a989cb2d5f944/0104691084.jpeg "Gerade in Deutschland wird beim Einsatz von Videotechnologie großer Wert auf den Schutz der Privatsphäre sowie der persönlichen Daten gelegt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/35/80356503d4c434659b5561d42b999889/0107737091.jpeg "Mit dem neuen Datenschutzgesetz will die Schweiz primär sicherstellen, dass die EU sie weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau nach DSGVO anerkennt. (Bild: Sehenswerk - stock.adobe.com)")