Zur iX 12/2018 ist die Heise-Beilage „Sicherheit und Datenschutz“ 2/2018 erschienen, hinter der der Bundesverband IT-Sicherheit e.V. TeleTrusT steht. Schwerpunkt dieser Ausgabe ist Industrial Security, es geht aber auch um Blockchains, die DSGVO und den Schutz von IoT-/5G-Installationen.
Der Reihe nach: Hauke Gierow und Michael Zimmer von G Data gehen zunächst systematisch durch, was alles zu einer tauglichen Sicherheitsstrategie gehört, von der ersten Risikoabschätzung und der Infrastrukturanalyse bis zur Mitarbeiterschulung. Torsten Redlich (secunet) nimmt dann die Prozess-IT genauer unter die Lupe; gemeint sind damit industrielle Anlagensteuerungen, Automatisierungssoftware etc., inklusive Netzwerke. Das Problem dabei ist, dass „in der PIT Lebenszyklen von 10 bis 15 Jahren oder mehr typisch“ sind, allein aus Gründen der oft aufwendigen Zulassungsverfahren. In der Praxis bleibt kaum eine andere Möglichkeit, als sämtliche Assets und das gesamte Netzwerk automatisiert auf Schwachstellen und Anomalien zu prüfen. Auch für Redlich sind Security Awareness und Mitarbeiterschulung ein absolutes Muss in der IT-Sicherheitsstrategie.
Anton Kreuzer, CEO von DriveLock, betont ebenfalls, wie wichtig ein geschärftes Sicherheitsbewusstsein auf Mitarbeiterseite ist – die Münchner Spezialisten begleiten ihre Endpoint-Protection-Lösung daher auch mit Trainings und Schulungen. Kreuzer geht konkret auf den Schutz von ICS (Industrial Control Systems) ein und schildert zunächst die Bedrohungslage und die Angriffsvektoren (Ransomware, infizierte Wechselmedien, Phishing, Social Engineering und Sabotage etc.). Er rät zu einem mehrschichtigen Sicherheitskonzept, Stichwort: Defense in Depth (DiD). Dazu gehört letztlich ein umfassendes SIEM (Security Information and Event Management) aus genauer Asset-Kontrolle, Rechtemanagement, Data Loss bzw. Leakage Prevention (DLP), Verschlüsselung, Cybersicherheitstrainings und einer intelligenten Applikationskontrolle. (Das mehrfach ausgezeichnete Unternehmen setzt bei der eigenen Lösung DriveLock Application Control sogar Machine Learning ein.) Und auch Kreuzer hebt hervor: „Dabei stellen Insider – ob unbewusst oder beabsichtigt – ein ebenso großes Risiko dar wie externe Angreifer. Deshalb ist es wichtig, den Faktor Mensch in die Cyberabwehr einzubeziehen.“
Zur Sprache kommen aber auch die Sorgfaltspflichten auf Herstellerseite. Diese nämlich „richten die Standardkonfigurationen für Betriebssysteme und Anwendungen nicht auf Sicherheit aus, sondern auf leichte Bereitstellung und Verwendung“ (Kreuzer). Dagegen führt Rolf Blunk (Otaris Interactive Services) das Konzept von Security by Design ins Feld: Bei 5G und IoT-Geräten oder -Systemen sind letztlich professionelle Security-Engineers bzw. -Designer gefragt, anders ist das komplexe Zusammenspiel von Schutzzielen und Threat Intelligence, Software Development Lifecycle, ISMS und Sicherheitsarchitektur kaum in den Griff zu bekommen. Das gilt nicht zuletzt deshalb, weil es hier um die „Etablierung eines Security-by-Design-Prozesses über den gesamten Lebenszyklus hinweg“ geht.
Ein weiterer Breitrag nimmt sich nolens volens noch einmal das Thema EU-DSGVO vor. Denn „das Aufspüren personenbezogener Daten gestaltet sich kompliziert und aufwendig“, wissen Reimar Karlsburger und Mark Sobol (SVA) aus Erfahrung. „Namen, Adressen, Kontonummern, IP-Adressen, Kontostände, Rechnungen und Fotos verstecken sich in E-Mails, Datenbanken, Protokolldateien, Programmen, Backups und an vielen anderen Stellen.“ Gefordert ist daher zweierlei: fähige Data-Discovery-Tools, die solche tickenden Datenschutzbomben aufspüren; und eine ebenso fähige DLP-Lösung, die den den ungewollten Abfluss von Daten unterbindet. Die Experten geben ihrer Darstellung auch eine genaue Checkliste mit, worauf bei der Lösungsauswahl zu achten ist und was DLP-Software können muss.
Den interessanten Abschluss der Beilage liefert Martin Kuppinger von KuppingerCole. Bei ihm geht es um die Blockchain, genauer: darum, welche Herausforderungen in puncto Sicherheit die relativ junge Technologie selbst stellt. Denn erstens ist Blockchain nicht gleich Blockchain und zweitens gibt es auch hier kritische Punkte: Hierzu gehören vor allem die Wallets, aber auch Metadaten, Konsensmechanismen sowie Art, Umfang und Qualität der jeweiligen Implementierung „und nicht zuletzt das Thema Blockchain-Governance, das bisher leider viel zu selten in die Betrachtung Einzug erlangt hat.“
Die Security-Beilage „Sicherheit und Datenschutz“ 2/2018 gibt es auch als frei zugängliches PDF im Pressezentrum des MittelstandsWiki.