:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit trotz reibungsloser Nutzbarkeit Wie funktioniert die Sicherheitsinfrastruktur einer Smart City?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Smart City ist ein digitales Abbild der Stadt in all ihren Facetten und entsteht in dem Wunsch, durch die engmaschige Vernetzung öffentlicher Dienstleistungen und kommerzieller Anwendungen einen Mehrwert für Bewohner und Besucher zu schaffen. Eine Besonderheit in der Smart City ist die öffentliche Zugänglichkeit von IT-Systemen und Benutzern, da im Unterschied zu Unternehmen, kein geschützter Bereich existiert.
Die einzelnen Sektoren der Smart City sind über Datenplattformen und IoT-Systeme miteinander vernetzt und für die Nutzer über Apps oder Webportale zentral zugänglich. Um den Mehrwert für die Benutzer zu gewährleisten, müssen Smart City Anwendungen intuitiv nutzbar sein und dürfen dabei über keine unnötig komplexen und zeitaufwändigen Zugangsmechanismen verfügen. Der Wechsel zwischen verschiedenen Sektoren muss fließend sein. Diesen Mix aus Nutzbarkeit und notwendiger Sicherheit zu kreieren, wird in den kommenden Jahren eine echte Herkulesaufgabe für Kommunen und Dienstleistern.
Die Smart City benötigt mehrere Verteidigungslinien
Um die Smart City und ihre einzelnen Komponenten bestmöglich vor Angriffen von außen zu schützen, müssen die folgenden vier Maßnahmen gewährleistet sein:
1. Minimierung des Faktor Mensch
Eines der größten Sicherheitsrisiken für Unternehmen, Kommunen und somit auch die Smarte Stadt sind und waren schon immer die Menschen die in ihr wohnen und arbeiten. Analog zur heruntergelassenen Zugbrücke, der unverschlossenen Tür oder dem offenen Fenster im vordigitalen Zeitalter, sind es heute immer noch vor allem das unbedarfte Öffnen von Mailanhängen oder Phishing Mails, die es Angreifern leichtmachen ihre Attacken durchzuführen. Wir müssen Technologien installieren, die verstanden werden und somit die Menschen aus der Schusslinie der Angreifer nehmen. Ein Authentifizierungssystem ist dabei hervorragend geeignet, eine erste Abwehrlinie für den Nutzer aufzubauen.
2. Strikte Zugangskontrollen und Einsatz von Software-Defined Perimeter (SDP)
Um die Smart City zu einer echten Festung zu machen, braucht sie unkomplizierte und rigorose Verteidigungslinien. Unnötige Systeme und ungenutzte Fernverwaltungsfunktionen und Ports müssen abgeschaltet werden, damit Angreifer nicht darauf zugreifen können. Sämtliche Netzwerkaktivitäten müssen gescannt und verdächtiger Internetverkehr mit Hilfe von Security Incident und Tools überwacht werden, um Angriffe frühzeitig zu erkennen und zu stoppen. Eine der wichtigsten Maßnahmen zum Schutz einer Smart City ist der Einsatz von sicheren Firewalls und Software-Defined Perimeter. Die Bestimmung und Kontrolle der Art des Datenverkehrs, der die Firewall passieren darf, ist eine der wichtigsten Möglichkeiten, ein Netzwerk vor potentiellen Angriffen zu schützen. SDP geht dabei noch einen Schritt weiter und ermöglicht, einzelne Dienste einer Smart City nur denen gegenüber zu öffnen, die auch die Berechtigungen dazu haben. Die Grundlage ist eine durchgängige Authentifizierung als Grundlage jeglicher digitalen Kommunikation, auch zwischen IoT Geräten, Sensoren, Aktoren und Software-Komponenten.
3. Moderne Sicherheitsarchitektur für die Smart City
Um einen sicheren Remote-Zugriff auf die unterschiedlichen Anwendungen und Angebote der Smart City zu ermöglichen, muss jedenfalls eine moderne Infrastruktur auf zertifizierten Servern errichtet werden, die beispielsweise auf die Zero Trust Technologie setzt. Zero Trust ist die zeitgemäße und um ein vielfaches vertrauenswürdigere Alternative zur VPN-Technologie. VPNs werden seit Jahrzehnten genutzt und können in einer komplexen digitalen Umgebung wie einer Smart City keinen Schutz mehr gewährleisten. Sie bieten nach außen hin lediglich eine Verteidigungslinie – ist diese einmal umgangen oder geknackt, sind die Systeme der Stadt der Attacke der Eindringlinge schutzlos ausgeliefert. Zero Trust hingegen bleibt auch im inneren der Stadt wachsam und erlaubt Nutzern keinen pauschalen Zugriff auf sämtliche Anwendungen und Services, sondern immer nur auf solche Anwendungen, die jeweils gerade benötigt werden. Der Ritterschlag für die Technologie erfolgte kürzlich, als US-Präsident Biden verfügte, die amerikanischen Behörden auf Zero Trust umzurüsten.
4. Sichere Zwei-Faktor-Authentifizierung ohne Passwörter
Eine Zwei-Faktor-Authentifizierung besteht stets aus zwei unterschiedlichen Sicherheitskomponenten. Meist sind das eine Besitzkomponente, bezogen auf ein bestimmtes Zugangsgerät wie z.B. ein Smartphone, ein Tablet oder eben der Arbeitslaptop. Wir integrieren zudem stets eine biometrische Komponente wie z.B. einen Fingerabdruck oder einen Retina- oder Gesichtsscan oder eine Wissenskomponente wie die PIN. Gerade aufgrund der Flexibilität und Geschwindigkeit in der Nutzung eignet sich besonders die Biometrie, wie man es beispielsweise auch von der Nutzung von Apple Pay kennt. Während des Authentifizierungsvorgangs wird die Freigabe des kryptografischen Schlüsselmaterials erteilt. Die Verarbeitung der biometrischen Merkmale wird dabei vom Smartphone und nicht von der App durchgeführt. Die App bekommt lediglich die Antwort „Ja, die Anfrage war erfolgreich“ oder „Nein, die Anfrage war nicht erfolgreich“ und schaltet anschließend den Zugriff auf das kryptografische Schlüsselmaterial frei. Der Vorteil dieser Kombination aus Besitzkomponente und biometrischer Komponente ist, dass die Dienste schneller zugänglich gemacht werden können und dadurch der gern vergessene oder verlorene Pulk an individuellen Passwörtern endlich obsolet wird. Alleine wenn man bedenkt, dass aktuell mehr als 11 Milliarden Kombinationen aus Benutzernamen und Passwörtern frei im Netz einsehbar und verfügbar sind wird klar, dass der vollständige Verzicht auf Passwörter in großem Maße zum Schutz vor Cyber-Angriffen beiträgt.
Spagat zwischen Nutzbarkeit und Sicherheit
Damit eine Smart City reibungslos funktioniert, bedarf es einer engen Verzahnung der IT-Systeme der wichtigsten teilhabenden Akteure. Das Zusammenspiel zwischen Verwaltung und Dienstleistern aus den unterschiedlichsten Branchen muss an den Schnittstellen überzeugen. Zudem ist es wichtig, dass die agierenden Systeme sich an öffentlich zugängliche Standards halten und somit ein offenes Ökosystem in der Smart City schaffen. In der jüngeren Vergangenheit sind viele Smart City Projekte an der mangelnden Einheitlichkeit der Datenstandards der unterschiedlichen Systeme gescheitert. Um hier erfolgreich zu sein, bedarf es einer engen Zusammenarbeit und einem ständigen Austausch mit externen Partnern. Der Smart City Index des Branchenverbands bitkom listet aber auch vielversprechende Modellprojekte wie z.B. in Hamburg oder Gelsenkirchen, auf deren Erkenntnissen die weiteren Bestrebungen des Bundes aufgebaut werden können.
Wie anfangs erwähnt darf die Sicherheitsarchitektur einer Smart City das digitale Leben ihrer Nutzer auf keinen Fall zu sehr einengen und ausbremsen, sonst besteht die Gefahr, dass die Angebote schlichtweg nicht genutzt werden und dadurch keinerlei Mehrwert bieten. Neben der Sicherheit nimmt die reibungslose und intuitive Nutzbarkeit von Technologien eine zentrale Bedeutung bei der Planung der digitalen Stadt ein. Um das größtmögliche Nutzerspektrum anzusprechen und maximale Zugänglichkeit zu gewährleisten, müssen Benutzeroberflächen übersichtlich, intuitiv und barrierefrei nach WCAG Level AA+ gestaltet werden.
Sämtliche Prozesse und Abläufe müssen trotz höchster Sicherheit effizient und transparent vonstattengehen und dürfen lediglich wenige Sekunden in Anspruch nehmen. Gerade durch den Einsatz einer Zwei-Faktoren-Authentifizierung mit dem Abgleich biometrischer Merkmale, sowie der systemseitigen Geräte-Sperre zur Absicherung von Apps, wird bei Nutzern ein hohes Maß an Akzeptanz und Vertrauen geschaffen.
Über den Autor: Markus Hertlein ist CEO und Co-Founder der XignSys GmbH.
(ID:48443315)
:quality(80)/p7i.vogel.de/wcms/69/4a/694a356edcf1db25e71e1adc7057dfac/0113378979.jpeg "Vor der Einführung einer Multi-Faktor-Authentifizierung sollten Unternehmen die verfügbaren MFA-Methoden evaluieren, um diejenige auszuwählen, die am besten zu den Sicherheitsanforderungen und dem Budget des Unternehmens passt. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/61/d76165a548e70367dff8dd45c7351ca9/0103620942.jpeg "Es ist heute wichtiger denn je, zu verstehen, wie man sein Unternehmen durch MFA zuverlässig schützt und Risiken dabei minimiert. (©greenbutterfly - stock.adobe.com)")