:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit für komplexe Umgebungen: TÜV Rheinland i-sec TÜV Rheinland expandiert zum Security-Riesen
Der TÜV Rheinland ist nach eigenen Aussagen der „führende unabhängige Anbieter für Informationssicherheit auf dem deutschen Markt“. Zu Beginn dieses Jahres wurde die Secaron AG in die „TÜV Rheinland i-sec“ integriert. Olaf Siemens, unter anderem Geschäftsführer der TÜV Rheinland i-sec, erklärt die IT-Security-Strategie.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Dr. Andreas Bergler: Nach der Akquisition des Security-Dienstleisters Secaron wurde gerade die US-amerikanische OpenSky Corp. übernommen. Damit arbeiten jetzt 270 Spezialisten für IT-Security beim TÜV Rheinland. Ihren Umsatz haben Sie damit verdoppelt. Welche Rolle spielt das Thema jetzt bei Ihnen?
Olaf Siemens: Eine große. Für TÜV Rheinland ist Informationssicherheit eines der wichtigsten strategischen Geschäftsfelder der Zukunft, weil sie für Unternehmen und Organisationen einer der erfolgsentscheidenden Faktoren ist. Wir gehen davon aus, dass die Nachfrage nach externem Know-how angesichts der dynamischen Risikolage noch zunehmen wird.
TÜV Rheinland hat seine Gesellschaft für Informationssicherheit bereits 2000 gegründet, seitdem investieren wir in den Ausbau unserer Position in diesem Markt, 2013 haben wir dies noch einmal verstärkt. Seit 2014 sind wir der führende unabhängige Anbieter für Informationssicherheit auf dem deutschen Markt, auch international streben wir eine führende Rolle an. In den kommenden vier Jahren wollen wir den Umsatz in diesem Bereich noch deutlich steigern.
Dr. Bergler: Warum die Investition in den USA?
Siemens: Der US-Markt ist der wichtigste und größte Markt für IT- und IT- Security-Lösungen, noch vor Europa, Asien, dem Mittleren Osten oder Lateinamerika. Analysten erwarten bis 2023 Investitionen bis zu 93,6 Milliarden US-Dollar in Cyber-Security. Außerdem sind die USA die Wiege zahlreicher wichtiger Innovationen in der IT-Security.
Umso wichtiger ist es für uns, auch dort präsent zu sein, um Innovationen für unsere Kunden schneller und flexibler umsetzen zu können. OpenSky wird als eigenständige Business Unit unter der Führung ihres CEO Roger Levasseur weiterarbeiten.
Dr. Bergler: Welche Schwerpunkte werden Sie innerhalb der bei TÜV Rheinland setzen?
Siemens: Unsere Spezialisten decken das komplette Spektrum ab: von der Analyse über Konzeption und Implementierung bis hin zur operativen Unterstützung oder Zertifizierung von Unternehmen. Zu unseren Kerngeschäftsfeldern zählen die Strategische Informationssicherheit, Qualität und Sicherheit für Applikationen und Portale, Mobile und Network Security sowie die IT-Sicherheit in Industrieanlagen und kritischen Infrastrukturen.
Das aktuelle Kompetenz- und Leistungs-Portfolio beinhaltet Governance, Risk und Compliance Management, Konzeption und Implementierung technischer Sicherheitsarchitekturen und -lösungen sowie die Überprüfung von Sicherheitsinfrastrukturen, darunter Penetrationstests und Analysen sowie Audits. Außerdem bieten wir die Zertifizierung von Systemen und Anwendungen an, allerdings nur, wenn wir zuvor keine Beratung geleistet haben.
Im laufenden Jahr werden wir uns vor allem auf die Abwehr gezielter komplexer Angriffe, so genannter APTs, konzentrieren, daneben werden Qualität und Sicherheit in der Cloud sowie Application Security und die Absicherung von kritischen Infrastrukturen und Produktionsanlagen für uns eine wesentliche Rolle spielen.
Dr. Bergler: Wie verändert sich das Tätigkeitsprofil der Secaron-Mitarbeiter?
Siemens: Inhaltlich gar nicht. Die Secaron gehört wie die TÜV Rheinland i-sec zu den Pionieren der Informationssicherheit in Deutschland. Wir ergänzen uns ideal und profitieren auf beiden Seiten von der Integration.
Künftig werden wir in der Lage sein, die national und international steigende Nachfrage nach einem hohen Sicherheitsniveau auch in sehr komplexen Umgebungen zu bedienen. Wenn unsere Kunden im Ausland aktiv sind, sind wir vor Ort – mit Beratung und Lösungen in der bewährten Qualität.
Dr. Bergler: Wie hat sich das Beratungs- und Zertifizierungsgeschäft seit den Enthüllungen von Snowden verändert? Sind deutsche Anbieter von IT-Security jetzt gefragter als vorher?
Siemens: Wir von TÜV Rheinland verzeichnen eine steigende Nachfrage nach Informationssicherheit „Made in Germany“. Ob deutsche Lösungsanbieter insgesamt gefragter sind als ausländische Dienstleister, vermag ich nicht zu beurteilen.
Es lässt sich allerdings feststellen: Der Begriff „Made in Germany“, der im Bereich Produkte für hochwertige Verarbeitung und lange Lebensdauer steht, etabliert sich in der Informationssicherheit immer mehr als Synonym für durchdachte Managementsysteme und Lösungen, die konform sind mit der deutschen Datenschutzgesetzgebung. Und die gilt ja als eine der striktesten der Welt.
Viele deutsche Unternehmen wollen und müssen auch auf internationalem Parkett ihre hohen Standards in Datenschutz und Datensicherheit halten, schon aus Gründen der Compliance und natürlich um ihr geistiges Eigentum vor unautorisiertem Zugriff zu schützen. Aber das ist ja kein typisch deutsches Problem, das haben ausländische Unternehmen ja auch.
Dr. Bergler: Welche Garantien und Sicherheiten kann eine Zertifizierung den Unternehmen geben? Was bringt ihnen ein TÜV-Zertifikat in Bezug auf Informationssicherheit?
Siemens: Anders als ein CE-Zeichen, das auf freiwilligen Angaben des Unternehmens selbst beruht, hat ein Prüfsiegel seitens eines unabhängigen Dritten wie TÜV Rheinland eine ganz andere Aussagekraft: Es stellt Seriosität, Qualität und Sicherheit von Produkten und Dienstleistungen unter Beweis, das gilt auch für die Bereiche Datenschutz und Datensicherheit.
Mit einem Zertifikat von TÜV Rheinland demonstrieren Unternehmen gegenüber ihren Kunden, dass ihnen Qualität, Vertrauenswürdigkeit und Transparenz im Business und im Umgang mit den Daten ihrer Kunden wichtig sind und dass sie sehr hohe Anforderungen an Informationssicherheit erfüllen. Im Rahmen der Audits schauen wir uns gründlich um im Unternehmen. Wir prüfen Technologien, Prozesse und Compliance und identifizieren auch mögliche technische Risiken.
Welche Dinge wir jeweils geprüft und zertifiziert haben, kann jeder nachlesen: Über den Certipedia-Online-Datenbank-Service von TÜV Rheinland sind die Prüfaussagen anhand der Zertifikatsnummer transparent nachvollziehbar.
Dr. Bergler: Im ersten Quartal diesen Jahres soll der Handel von IaaS-Ressourcen an der „Deutschen Börse Cloud Exchange“ (DBCE) starten. Das Zulassungsverfahren für die Anbieter konzipiert die Deutsche Börse gemeinsam mit TÜV Rheinland. Mit welchem Aufwand ist eine solche Zulassung verbunden und welche Sicherheiten für die Inanspruchnahme von Rechenleistung gibt dieses Zertifikat der Zielgruppe mittelständischer Unternehmen?
Siemens: Zunächst: Das Zulassungsverfahren für Provider bei der DBCE ist keine Zertifizierung der Provider, so wie sie TÜV Rheinland etwa mit „Certified Cloud Services“ anbietet. Dieses Zertifikat gehört zu den weltweit weitreichendsten Prüfstandards für Qualität in der Datenwolke, entwickelt auf Basis von ISO 27001, BSI-Grundschutz und ITIL und in Bezug auf die Anforderungen der Cloud auf den Punkt gebracht.
Natürlich kann man nicht erwarten, dass alle Anbieter der DBCE zertifiziert sind. Aber Provider werden sich um Qualitätssicherung und deren Nachweis bemühen müssen, wenn sie dauerhaft Erfolg am Markt haben wollen. Für das Vertrauen in den Handelsplatz ist es wichtig, dass sich ein unabhängiger, sachverständiger Dritter bestimmte Schlüsselfragen der IT-Sicherheit zuvor gründlich angesehen hat.
Im Standard-Verfahren werden die wichtigsten Kriterien aus allen Bereichen wie Technik, Organisation und Compliance abgeprüft. Das sind die Punkte, die wir auch im Rahmen einer Zertifizierung im Fokus haben. Wenn es um den Einsatz von Cloud Services in kritischen Enterprise-Umgebungen geht, sehen wir mit der Deutschen Börse Cloud Exchange ein detailliertes Prüfverfahren vor, das dann auch eine technische Sicherheitsanalyse sowie eine Prüfung von Architektur und Prozessdetails vorsieht.
Unternehmen können auf dem Cloud Marketplace also ein hohes Maß an Sicherheit, Qualität und Zuverlässigkeit beim jeweiligen Provider voraussetzen, wenn er das Zulassungsverfahren durchlaufen hat. Und daran haben sie schließlich auch ein berechtigtes Interesse, denn sie müssen ihren gesetzlichen Pflichten gegenüber dem Provider und ihren Kunden nachkommen, wenn sie die Cloud nutzen.
Dr. Bergler: Wo sehen Sie die zukünftigen Geschäftsfelder und Entwicklungsmöglichkeiten für IT-Security-Spezialisten?
Siemens: Big Data, der Schutz kritischer Infrastrukturen, autonomes Fahren und das Internet der Dinge, aber auch Themen wie Application Security sind wichtig, ganz zu schweigen von den Themen rund um Mobile Devices, sicheres Filesharing et cetera. Wenn Sie mehr dazu wissen wollen, dann treffen wir uns am besten zu unserem IT Sicherheits-Kongress am 21./22. Mai in Fürstenfeldbruck bei München.
30 hochkarätige Referenten aus Wirtschaft und Öffentlicher Hand und natürlich von TÜV Rheinland werden hier die neuesten Trends, Strategien und Innovationen aus der Informationssicherheit vorstellen. Aktuelle Strategien zur Schadensbegrenzung bei gezielten komplexen Angriffen, ganzheitliche Security-Strategien für Data Center oder Information Rights Management sind nur einige der zahlreichen spannenden Themen.
Dr. Bergler: Stichwort Automotive: Wie kann ein Auto sicher gemacht werden, das sich durch einen immer höheren Software-Anteil in der Fahrzeugsteuerung mehr und mehr IP-basierten Angriffen öffnet?
Siemens: Hier gilt das Paradigma, mit dem wir uns auch in Bezug auf kritische Infrastrukturen auseinandersetzen müssen. In der Office-Welt bewährte Lösungen passen noch lange nicht in eine technische Umgebung, denn hier geht es nicht nur um Security, sondern auch um Safety. Lösungen müssen beide Aspekte abdecken und das gesamte System, also auch die Schnittstellen in der Umgebung im Blick haben.
Bereits heute sind wir in der Entwicklung bei den Autos von morgen auf dem besten Wege zu Apps auf vier Rädern. Die Entwicklung wird zweifelsohne weiter fortschreiten und sie hat auch sehr viele Vorteile. Allerdings ist es notwendig, dass auch auf Seiten der Hersteller die Awareness für die Relevanz von Informationssicherheit und den passgenauen Schutzbedarf der IT-Systeme und Anwendungen im Auto wächst.
Dr. Bergler: Stichwort Industrie 4.0: Geht im Internet der Dinge nicht vollkommen der Überblick über die Sicherheit der Anwender verloren? Wo will der TÜV Rheinland hier mit IT-Security noch Felsen in der Brandung setzen?
Siemens: Wir unterstützen bereits heute viele Unternehmen dabei, die Sicherheit in der Produktion zu erhöhen, ob bei der Konzeption, bei Policies und Infrastrukturthemen oder bei Ausschreibungen. Stets haben wir beide Aspekte, Security als auch Safety im Blick, aber das hat vielleicht auch damit zu tun, dass wir als TÜV Rheinland die Sicherheit von Mensch und Technik seit 140 Jahren als unser Kerngeschäft betreiben.
Wir definieren die Security-Anforderungen, achten aber darauf, dass diese die Safety-Anforderungen nicht beeinträchtigen. Safety und Security im Blick zu haben, ist heute notwendiger denn je, denn die Bedrohungslage für Industrieanlagen hat sich durch die stetige digitale Vernetzung verschärft. Zuführungs-, Steuer- und Prozessdatensysteme wachsen immer mehr zusammen, der Einsatz mobiler Endgeräte steigt, etwa zur Fertigungssteuerung.
Darüber hinaus erfolgen Datenzugriffe inzwischen unternehmensweit und nicht mehr über in sich geschlossene Netze. Störfälle in einem Netz können andere Netzwerke und dadurch Produktionsanlagen und damit natürlich auch die Sicherheit der Menschen, die darin arbeiten und davon abhängen, beeinflussen.
Erfreulicherweise ist die Awareness für die Herausforderungen an die Informationssicherheit in der Industrie gewachsen Während allerdings die Notwendigkeit von Safety-Maßnahmen unbestritten ist, herrscht bei der Security (Schutz der digitalen Systeme) noch Unsicherheit über den nötigen Schutzbedarf. Dabei gilt es, innovative und integrierte Sicherheitskonzepte umzusetzen.
Fazit: Mit dem Phänomen der Industrie 4.0, also der Fusion von Produktion und IT-Welt, die ja noch viel weiter reicht als das, was Technik heute schon umsetzt, stehen wir zweifellos vor einem der wichtigsten Meilensteine in der IT-Entwicklung. Allerdings handelt es sich hier nicht um eine Revolution, sondern eher um einen Prozess, der zudem spannende Perspektiven in Bezug auf neue Business- und Servicemodelle geben kann.
(ID:42535303)
:quality(80)/p7i.vogel.de/wcms/8c/f4/8cf48812665fc59a6d782fa84d4cb33d/0109529267.jpeg "Managed Detection & Response (MDR) Services füllen Lücken in der Cyber-Abwehr. (Bild: frei lizenziert: Buffik)")
:quality(80)/p7i.vogel.de/wcms/fe/d5/fed5d18fa97b568e660905a710625477/0113761260.jpeg "Die neue DIN SPEC 27076 bietet eine wertvolle Unterstützung für deutsche KMUs, um ihre Cybersicherheit zu einem bezahlbaren Preis zu verbessern. (Bild: NicoElNino - stock.adobe.com)")