IT-S_2023_5

IT-S_2023_5_eMag

HZ214706 · ISSN 1868-5757 · www.itsicherheit-online.com Oktober/November 5/2023 Sichere Infra structure- as-Code-Pipelines: „Die Cloud effizient nutzen,heißt vonAbisZzu automatisieren“ Hauke Moritz INKLUSIVE SPECIAL IT-SA 2023 CISO as a Service Risikoanalysten und Sicher- heitsstrategen im Abo-Modell IT-Supply-Chain SBOMs für Cloud-Services Stabil im Business Wie Business-Continuity- und Notfallmanage- ment die Unternehmens-Resilienz stärken

EDITORIAL Liebe Leserin, lieber Leser, viele Unternehmen nutzen weit mehr als nur eine Cloud-Anwendung – Daten und Anwendun- gen sind oft über verschiedene Anbieter und Systeme verteilt. Um die gesamte Infrastruktur zu managen, braucht es ein „Fließband“. Hier kommen sogenannte Infrastructure-as-Code-(IaC)- Pipelines ins Spiel, eine Methode, um Infrastrukturkomponenten mithilfe von Code automatisch bereitzustellen und zu verwalten. Sie verbinden verschiedene Fertigungsschritte miteinander und vereinfachen die Einführung von Produkten. Was es damit genau auf sich hat, beschreibt unser Autor Hauke Moritz ab Seite 14. Im Dezember 2021 wurde eine Sicherheitslücke in der Java-Bibliothek Apache Log4J bekannt. Die meisten IT-Verantwortlichen in den Unternehmen stellten sich daraufhin die Frage, ob auch ihre Systeme betroffen sind. Die Antwort herauszufinden, war jedoch nicht so einfach wie gedacht, da die Transparenz über die in der IT eingesetzten Komponenten fehlte. Das Transparenzproblem betrifft aber nicht nur die lokal betriebene Informationstechnik, sondern besonders auch Cloud- Dienste, die als Software as a Service bereitgestellt werden. Hier ist die Lieferkette oft komplex, da die Unternehmen keine Kenntnis über die in den Diensten verwendeten Komponenten haben. Sie sind daher auf die Informationen der Anbieter angewiesen. Dieses Problem kann jedoch durch eine Software Bill of Materials (SBOM), gelöst werden, die eine Liste der in einem Softwarepro- dukt verwendeten Komponenten enthalten. Diese vom Anbieter zur Verfügung gestellten SBOMs können durch Transparenz einen wichtigen Beitrag zur Verbesserung der Sicherheit in der Liefer- kette leisten (ab Seite 20). Um „as a Service“ geht es auch in einem weiteren Artikel, den ich Ihnen ans Herz legen möchte. Viele Unternehmen können oder wollen sich keinen eigenen Chief-Information-Security-Officer (CISO) leisten. Vor allem kleine und mittlere Unternehmen scheitern oft an den Kosten. In diesem Fall können sie auf die Dienstleistung CISO as a Service zurückgreifen. Die Vorteile liegen auf der Hand: Kostenkontrolle, Experten-Know-how und hohe Flexibilität. Denn externe CISOs arbeiten für viele Unternehmen und haben so Einblick in verschiedene Branchen, IT-Infrastrukturen und Unternehmensgrößen. Zudem sind sie mit einer Vielzahl von Sicherheitsvorfällen und aktuellen Angriffstaktiken vertraut und verfügen somit über Wissen, das sich für den Auftragnehmer posi- tiv auswirkt. Dennoch gibt es einige Punkte, die bei der Suche nach einem Dienstleister unbedingt beachtet werden sollten (ab S. 24). Business-Continuity-Management (BCM) und Notfall- oder Krisenmanagement (NKM) sind zwei Disziplinen, die sich mit der Bewältigung von Störungen und Krisen innerhalb eines Unterneh- mens befassen. BCM ist ein proaktiver Prozess, der die Risiken potenzieller Bedrohungen für eine Organisation identifiziert und wirksame Strategien zur Wiederherstellung der Kerngeschäftspro- zesse im Fall einer Unterbrechung entwickelt. Im Gegensatz dazu konzentriert sich das Notfall- oder Krisenmanagement eher auf die unmittelbare Bewältigung einer aktuellen oder drohenden Krise. Wie sich BCM und NKM ergänzen, beschreibt unser Autor Thomas Joos ab Seite 65. it-sa-SPECIAL Die IT-SICHERHEIT hat die IT-Security-Fachmesse it-sa in Nürnberg zum Anlass genommen, in dieser Ausgabe ein umfangreiches it-sa-Special zu veröffentlichen (ab Seite 33). Darin haben wir die aktuellen Trends aufgegriffen und anschaulich erklärt. Vieles davon werden Sie beim it-sa- Rundgang wiederfinden – im Marktteil können Sie nach schauen, welche Know-how-Träger und Lösungs anbieter auf jeden Fall einen Besuch auf der Messe lohnen. Die IT-SICHERHEIT finden Sie am Stand von DATAKONTEXT in Halle 7, Stand 503. Viel Spaß beim Lesen wünscht Ihnen Sebastian Frank twitter.com/it_sicherheit24 www.itsicherheit-online.com/ newsletter kritis. ihr sicherheits- update. Jetzt Ticket sichern! infos zum programm: www.protekt.de

SICHERE INFRA STRUCTURE-AS- CODE-PIPELINES 14 TITEL 14 Cloud-Anwendungen automatisiert, standardisiert und sicher bereitstellen SICHERE INFRA STRUCTURE-AS-CODE- PIPELINES 18 MULTI-CLOUD NUTZEN, OHNE DIE SICHERHEIT ZU BEEINTRÄCHTIGEN SCHWERPUNKT: SICHERHEIT IN UND AUS DER CLOUD 20 Wie sich Angriffe durch den „Lieferanteneingang“ vermeiden lassen SBOMS FÜR CLOUD-LIEFERKETTEN-SECURITY 24 Risikoanalysten und Sicherheitsstrategen im Abo-Modell CISO AS A SERVICE SPECIAL: IT-SA 202333 3 6 EDITORIAL NEWS AUSDERSZENE 10 Fachkonferenz für den Schutz kritischer IT-RECHT Infrastrukturen (KRITIS) SICHERHEIT TOTAL: PROTEKT 2023 11 Bitkom-Umfrage bringt Erschreckendes zutage DEUTSCHE WIRTSCHAFT VER STÄRKT IM VISIER DER ORGANISIERTEN KRIMINALITÄT 12 BMWK-geförderte Transferstelle „Cybersicherheit im Mittelstand“ gut gestartet KOSTENFREIE HILFE FÜR KMU 28 Was bei der strategischen Planung und Umsetzung von KI-Modellen wichtig ist MLOPS ALS STEUERUNGSVEHIKEL IN KI-PROJEKTEN 33 SPECIAL: it-sa Expo&Congress 2023 4 IT-SICHERHEIT_5/2023

INHALTSVERZEICHNIS LIEFERKETTEN-SECURITY20 SBOMS FÜR CLOUD- 24 CISO AS A SERVICE 65 STABIL IM BUSINESS AUS DER FORSCHUNG 72 Balanceakt zwischen Datenschutz und Unternehmensgewinn DS-GVO IM ONLINE-MARKETING SECURITY MANAGEMENT SERVICES 65 Wie BCM und NKM gemeinsam die 78 VORSCHAU: Ausblick auf Ausgabe 6 | 2023 Unternehmens-Resilienz stärken STABIL IM BUSINESS 68 Cyber Resilience Act SCHICKSALSSCHLAG FÜR OPEN SOURCE IN EUROPA? BUCHBESPRECHUNG 78 Impressum ADVERTORIALS 13 JEDES ZWEITE UNTERNEHMEN SIEHT DIE EIGENE EXISTENZ DURCH CYBERANGRIFFE BEDROHT 70 Kipker: 26 OT-Sicherheit CYBERSECURITY RECHTSHANDBUCH GEFÄHRDUNGSLAGE BLEIBT KRITISCH IT-SICHERHEIT_5/2023 5

NEWS | UNTERNEHMEN CHECK POINT ERWIRBT ATMOSEC Check Point Software Technologies gibt die Übernahme von Atmosec be- kannt. Das Start-up hat sich auf die schnelle Erkennung und Abschaltung bösartiger SaaS-Anwendungen, die Verhinderung riskanter SaaS-Kom- munikation von Drittanbietern und die Behebung von SaaS-Fehlkonfigu- rationen spezialisiert. Mit diesem Schritt unterstreicht Check Point sein Engagement, sein SaaS-Sicherheitsangebot zu erweitern und die Sicher- heitslücken und blinden Flecken in SaaS-Anwen- dungen zu schließen. Atmosec wurde im Januar 2021 gegründet und beschäftigt 17 Mitarbeiter. „Durch die Integration der Technologie in Check Point Infinity können wir eine der sichersten SASE-Lösungen der Branche anbieten, die es Un- ternehmen ermöglicht, SaaS-Sicherheit effektiv zu verwalten, Datenlecks, unbefugten Zugriff und die Verbreitung von Malware zu verhindern und eine robuste, anpassungsfähige Zero-Trust- Umgebung zu gewährleisten“, Nataly Kremer, Chief Product Officer und Head of R&D bei Check Point Software Technologies. n Nataly Kremer, Chief Product Ofﬁcer und Head of R&D bei Check Point Software Technologies. (Foto: Check Point) MATERNA BÜNDELT CYBER-SECURITY- KOMPETENZEN IN NEUER MARKE Die IT-Unternehmensgruppe Materna antizipiert die weiterhin steigen- de Bedeutung von Cyber-Security für Unternehmen und Behörden. Mit ihrem ganzheitlichen Portfolio aus umfassenden Beratungsleistungen sowie aus dem Herzen von Europa heraus betriebenen SOC-Services und -Lösungen positioniert sich die neue Marke Materna Radar Cyber Se- curity als fokussierter Komplettanbieter. Ergänzt wird das Portfolio mit zusätzlichen Sicherheitsprodukten aus der Unternehmensgruppe. Die Materna-Gruppe baut damit nach dem Kauf der Radar Cyber Security im vergangenen Jahr ihre Position als Top-Brand für Cyber Security im DACH- Raum weiter aus. Im Fokus der neuen Marke steht die Stärkung der Cyberresilienz moderner Organisatio- nen, also der Fähigkeit von Unternehmen und Behörden, Cybersicherheitsvorfällen vorzu- beugen, sie zu überstehen und sich davon zu erholen. Hierfür stützt die Materna Radar Cyber Security ihr Portfolio auf vier Säulen: Cyber Security Consulting bietet gezielte Beratung, inklusive Identifizierung von Sicherheitsri- siken und ihrer Bewertung. Cyber-Security- Integration begleitet Organisationen bei der Implementierung ihrer individuellen Cloud- Security-Lösung. Die dritte Säule, SOC-Services, basiert auf dem Security Operations Center (SOC), dem Kernelement des Leistungsangebots der Materna Radar Cyber Security. Sie bietet auf Grundlage einer Kombina- tion aus selbst entwickelten Technologien und von Leadern der Security Detection und Protection unter anderem das SOC-as-a-Service – betrie- ben nach aktuellen Standards, individuell im Service auf die Bedürfnisse der Kunden zugeschnitten. „Das SOC sollte Herzstück der Security eines jeden Unternehmens sein und so ist es auch Kern unserer Leistungen“, Dr. Christian Polster, Geschäftsführer und Mitbegründer der Materna Radar Cyber Security. (Foto: Materna) 6 IT-SICHERHEIT_5/2023 so Dr. Christian Polster, Geschäftsführer und Mitbegründer der Materna Radar Cyber Security. „Wir werden das Thema weiter deutlich stärken, SOC-Technologien für die Anforderungen der nächsten Jahre ausbauen, Prozesse und regulatorische Anforderungen der Kunden aufgrund neuer EU-Regularien integrieren und dabei als oberstes Ziel die Skalierbarkeit bei SOC-as-a-Service hervorheben.“ n JFROG KÜNDIGT NEUES „CUSTOMER-FIRST“ CHANNEL-PARTNER- PROGRAMM AN JFrog kündigt auf dem ersten Partner Day des Unternehmens ein neues weltweites Partnerprogramm an, das die Adaption von JFrog-Lösungen durch Kunden über Dritte erleichtern und neue Umsatzströme für JFrog und seine Partner generieren soll. Das innovative Geschäftsmodell er- möglicht Partnern die effiziente Bereitstellung von DevOps- und DevSe- cOps-Lösungen, um Unternehmen beim Aufbau und der Sicherung ihrer Software-Lieferketten zu unterstützen. „Wir haben das traditionelle, mit hohen Investitio- nen verbundene Partnermodell auf den Kopf gestellt, weil wir unsere Partner als strategi- sche Verbündete betrachten“, so Kelly Hart- man, Senior Vice President of Global Channels and Alliances bei JFrog. „Gemeinsam werden wir die Grenzen der Technologie verschieben, um die Milliardenmärkte DevOps, DevSecOps, MLOps und IoT zu erobern und unseren ge- meinsamen Kunden zu helfen, ihre Geschäfts- ziele zu erreichen.” n Kelly Hartman, Senior Vice President of Global Channels and Alliances bei JFrog. (Foto: JFrog) VENAFI GEWINNT DAS AMERIKANISCHE PATENT- UND MARKENAMT Venafi, Hersteller von maschinellem Identitätsmanagement, hat bekannt gegeben, dass das Patent- und Markenamt der Vereinigten Staaten (Uni- ted States Patent and Trademark Office, USPTO) die TLS-Protect-Lösung von Venafi implementiert hat. Damit wird der gesamte Lebenszyklus von digitalen Zertifikaten und anderen maschinellen Identitäten automa- tisiert, um den Anforderungen der Cybersicherheit gerecht zu werden. „Heutzutage reicht es nicht aus, wenn Unternehmen im Bezug auf Si- cherheit aufmerksam sind, da es von wesentlicher Bedeutung ist, proaktive Maßnahmen zu ergreifen, um sich und ihre Kunden zu schützen“, so Jeff Hud- son, CEO bei Venafi. „Angesichts der Bundesrichtli- nien und Vorgaben zur Verbesserung der Cybersi- cherheit im öffentlichen Sektor war dieses Thema für diese Branche noch nie so wichtig wie heute. Identität ist die Grundlage für Sicherheit.“ n Jeff Hudson, CEO bei Venaﬁ (Foto: Vanaﬁ)

CYBERARK GRÜNDET KI-KOMPE- TENZZENTRUM ZUR ABWEHR FORT- SCHRITTLICHER ATTACKEN CyberArk, ein führendes Unternehmen im Bereich Identity Security, hat ein neues Kompetenzzentrum für künstliche Intelligenz (KI) ins Leben ge- rufen. Dieser Schritt erfolgt im Rahmen der bereits langjährigen Nutzung von KI und Machine Learning in seiner Identity-Security-Plattform. Das Unternehmen verstärkt seine Investitionen in Forschung, Entwicklung und Produktentwicklung, um den Einsatz von generativer KI zur Steigerung der Sicherheit seiner weltweit mehr als 8.000 Kunden weiter voranzutreiben. Das neue Kompetenzzentrum arbeitet eng mit den CyberArk Labs zusammen, die KI bei fortgeschrittenen Angriffen untersuchen, um KI-gestützte Verteidigungsmaßnahmen zu entwickeln. Das Team, be- stehend aus Data Scientists, Software-Architekten und Entwicklern, wird zunächst Möglichkeiten erforschen, wie KI nahtlos in die bestehen- den CyberArk-Produkte integriert werden kann. Darüber hinaus setzt CyberArk seine umfassende langfristige Roadmap fort, die auf KI und Innovationsbereitschaft basiert. n IFS ÜBERNIMMT KI-ANBIETER FALKONRY IFS, ein weltweit führender Anbieter von cloudbasierter Unternehmens- software, gab die Unterzeichnung einer endgültigen Vereinbarung zur Übernahme von Falkonry bekannt. Das in Kalifornien ansässige Unter- nehmen ist auf industrielle KI-Software sowie automatisierte Hochge- schwindigkeitsdatenanalysen für die Fertigungs- und Verteidigungsin- dustrie spezialisiert. Die KI-basierte, selbstlernende Lösung überwacht kontinuierlich große Datenmengen von industriellen Anlagen, Maschi- nen, Systemen und Prozessen, um ungewöhnliches Verhalten und Feh- lerursachen zu erkennen und zu analysieren. Mit der Übernahme von Falkonry wird IFS zum einzigen Anbieter auf dem Markt, der neben füh- renden ERP-, EAM-, FSM- und ESM-Funktionen auch KI-generierte Ano- malieerkennung in sein Portfolio aufnimmt, um die Automatisierung und Optimierung von Prozessen und Workflows voranzutreiben. n CLARANET OPTIMIERT UNTERNEHMENSSTRUKTUR Der Technology Service Provider Claranet hat 2021 das SAP-Beratungs- haus KHETO Consulting GmbH und 2022 die AddOn AG übernommen. Ein Jahr später wurden nun die KHETO Consulting GmbH und die AddOn AG verschmolzen, ein Rechtsformwechsel zur GmbH vorgenommen und der Unternehmensname in Claranet Addon GmbH geändert. Als neuer Geschäftsführer der Claranet Addon GmbH wurde Sebastian Vögel be- stellt, der das Unternehmen gemeinsam mit Philipp Schlenkermann als Prokurist leitet. Die Umstrukturierung hat keinen Einfluss auf Rechtsbe- ziehungen gegenüber Dritten wie Vertragspartnern, Arbeitnehmern oder öffentlichen Stellen. Die Claranet Addon GmbH bündelt drei Kompetenzschwerpunkte, die sowohl die eigenen als auch die Kunden der Claranet DACH Gruppe bei ihrer Weiterentwicklung unterstützen. Im SAP-Bereich stehen Kunden eine Vielzahl von Services zur Verfügung, darunter Managed SAP Basis NEWS | UNTERNEHMEN Services, SAP on Cloud und SAP Business Intelligence Services. Das Kom- petenzcenter Workplace und Collaboration bietet umfassende Unterstüt- zung bei der Modernisierung von IT-Umgebungen. Den dritten Schwer- punkt bildet das Trainingscenter für SAP, Microsoft und Cloud. n EASY AKTIVES MITGLIED DER BSI CYBER-SICHERHEITS-ALLIANZ Der DMS-Anbieter easy ist der Allianz für Cyber-Sicherheit des Bundes- amts für Sicherheit in der Informationstechnik (BSI) beigetraten. Die Mitgliedschaft unterstreicht das kontinuierliche Engagement seitens easy für die Stärkung der Cybersicherheit und den Schutz vor wachsen- den Bedrohungen im digitalen Raum. Durch die Mitgliedschaft erhält easy Zugang zu Schulungen, Materialien und Ressourcen, um das eigene Wissen und die Fähigkeiten im Bereich der Cybersicherheit zu erweitern. Besonders wertvoll ist der Zugang zum hochwertigen Kanal für Cybersi- cherheitswarnungen, den das Nationale IT-Lagezentrum bereitstellt. Die- ser Kanal liefert zeitnah erstklassige Informationen über neu aufgetre- tene Schwachstellen und Bedrohungen. Als Mitglied der Allianz verstärkt easy nicht nur die eigene Sicherheit, sondern trägt auch zur Verbesserung der Cybersicherheit im Allgemeinen bei. n NASUNI UND PRESIDIO BAUEN PARTNERSCHAFT AUS Presidio, ein weltweiter Anbieter für digitale Dienstleistungen und Lösungen, und Nasuni, Anbieter von File Data Services, schließen eine weitreichende Zusammenarbeit. Nasuni optimiert bereits für Kunden die Nutzung der AWS-Cloud und ermöglicht nun mit dem Presidio-Pro- gramm „Proactive Recapture into Savings Management“ (PRISM) seinen Kunden darüber hinaus, Betriebskosten zu reduzieren. Nasuni hat einen Mehrjahresvertrag mit Presidio unterzeichnet, der darauf abzielt, Unter- nehmen die Speicherung, den Schutz und die Verwaltung von Dateida- ten in hybriden Cloud-Umgebungen zu vereinfachen. Nasuni nutzt das komplette PRISM-Programm von Presidio, um seinen Kunden zu ermöglichen, Ausgaben in die Cloud besser zu überwachen und das finanzielle Risiko und die Betriebskosten für Cloud- und Finanz- teams zu reduzieren. Presidio verwaltet die Kostenoptimierung und verwendet proprietäre Data-Science-Modelle, um Cloud-Verpflichtungen automatisch und ohne Risiko für Kunden anzupassen. Mit den Managed Services von Presidio, die sich um die operative Verwaltung von Nasunis Dateidaten-Cloud-Umgebung kümmern, gewinnt das Nasuni-Team Zeit, um sich auf die Verbesserung des Nasuni-Kernprodukts und Innovatio- nen zu konzentrieren. n IT-SICHERHEIT_5/2023 7

NEWS | PRODUKTE NEUER DATENBASIERTER SERVICE ZUR RISIKOQUANTIFIZIERUNG UND -VISUALISIERUNG IN ECHTZEIT Zscaler hat einen neuen Service namens Zscaler Risk360 eingeführt, der seinen Kunden im Bereich Cybersecurity hilft. Dieser Service bietet ein leistungsstarkes Instrument zur Quantifizierung und Visualisierung von Risiken. Er ermöglicht CIOs und CISOs, basierend auf Echtzeit-Sicher- heitsdaten fundierte Entscheidungen zur Reduzierung von Cyberrisiken zu treffen. Zscaler Risk360 sammelt und konsolidiert Informationen aus verschiedenen Datenquellen, einschließlich der Zscaler-Umgebung und externen Quellen, und stellt sie in einem Dashboard dar. Es bietet auch Handlungsempfehlungen zur Verbesserung der Sicherheit. Der Service basiert auf komplexen Analysen aus der Zscaler Security- Cloud, die von ThreatLabZ-Research bereitgestellt werden. Mithilfe dieser Daten berechnet Zscaler Risk360 Risikobewertungen für vier Stufen von Sicherheitsvorfällen: externe Angriffsfläche, Verhinderung von Kom- promittierung, Möglichkeit zur späteren Ausbreitung und Gefahr eines Datenverlusts. Darüber hinaus visualisiert der Service das Sicherheitsrisi- ko in den Bereichen Mitarbeiter, Drittanbieter, Anwendungen und Infra- struktur. Dies ermöglicht Unternehmen, ein genaues Bild ihrer Risiko- situation zu erhalten. n Das Zscaler Risk360 Dashboard visualisiert die Sicherheitslage eines Unternehmens. (Quelle: Zscaler) NEUE SCHWACHSTELLEN- UND RISIKO- MANAGEMENT-FUNKTIONEN FÜR SI- CHERERE CYBERPHYSISCHE SYSTEME Der renommierte Experte für die Sicherheit von cyber-physischen Syste- men (CPS), Claroty, präsentiert Neuerungen im Bereich des Schwachstel- len- und Risikomanagements (VRM) auf seinen SaaS-Plattformen xDome und Medigate. Diese Fortschritte umfassen ein präzises und anpassbares Risikobewertungs-Framework sowie Funktionen zur effizienten Priori- sierung von Schwachstellen im Vergleich zu gängigen Industriestandards. Darüber hinaus bieten sie Unterstützung für die sich stetig weiterentwi- ckelnde Software-Bill-of-Materials-(SBOM)-Landschaft. Diese innovati- ven Lösungen ermöglichen es Cybersecurity-Teams, die CPS-Risikostruk- tur in ihren Unternehmen in bisher unerreichter Weise zu analysieren und zu optimieren. Die Erweiterungen für xDome und Medigate, Clarotys SaaS-basierte Lösungen für Industrieunternehmen und das Gesundheits- wesen, bauen auf den bereits bestehenden VRM-Funktionen auf. n 8 IT-SICHERHEIT_5/2023 UMFASSENDER SCHUTZ FÜR MICROSOFT 365 Hornetsecurity hat seine neueste Lösung „Compliance & Awareness“ in der 365 Total Protection Suite, bekannt als Plan 4, vorgestellt. Diese Lö- sung bietet erhöhten Schutz vor Cyberbedrohungen und die Einhaltung von Compliance-Vorschriften durch innovative KI-Tools, einen Security- Awareness-Service und ein Berechtigungsmanagement für Microsoft 365. Plan 4 deckt ein breites Spektrum an Sicherheits-, Compliance- und Datenschutzanforderungen ab und schützt Unternehmen umfassend vor Risiken wie Spam, Malware und anderen Bedrohungen. Zusätzlich bietet die Lösung „AI Recipient Validation“ in 365 Total Protection Sicherheits- und Compliance-Managern die Möglichkeit, potenziell unsichere E-Mails zu erkennen und Benutzer zu warnen, bevor diese versendet werden, um sensible Informationen zu schützen und unbeabsichtigte Weiterleitungen zu verhindern. Der neue 365 Total Protection Plan 4 beinhaltet nun auch den Security-Awareness-Service von Hornetsecurity, der vollautomatisch läuft und kontinuierlich das Sicherheitsverhalten der Mitarbeiter misst. n Das Control Panel gibt einen vollständigen Überblick über alle Features und sorgt für eine zeitsparende, benutzerfreundliche Bedienung. (Quelle: Hornet- security) BESCHLEUNIGTE TIME-TO-VALUE BEIM DEVOPS SECRETS MANAGEMENT Mit der neuesten Version des Hochgeschwindigkeits-Tresors DevOps Secrets Vault von Delinea, einem Experten für nahtlose Privileged-Access- Management-(PAM)-Lösungen, wird die Sicherheit von cloudnative An- wendungen weiter optimiert. Die Aktualisierung enthält einen überar- beiteten Policy-Editor, der noch präzisere Zugriffskontrollen für im Code verwendete Secrets ermöglicht. Dies führt zu einer erheblichen Zeiter- sparnis und reduziert die Komplexität des Secrets-Managements für DevOps- und DevSecOps-Teams. Delinea speichert vertrauliche Infor- mationen wie Passwörter, Schlüssel und Tokens in einem hochsicheren Tresor mit strengen Zugriffskontrollen. Die Nutzung des DevOps Secrets Vault ermöglicht Entwicklern, Secrets nahtlos in ihren Code zu integrie- ren und minimiert somit das Risiko von Diebstahl und unautorisiertem Zugriff, ohne die Leistung zu beeinträchtigen. n KI-FUNKTIONEN OPTIMIEREN SECURITY UND BETRIEBSABLÄUFE Versa Networks, Spezialist für KI/ML-basiertes Unified Secure Access Service Edge (SASE), erweitert seine bewährte Lösung VersaAI um neue innovative KI-Technologien, die bösartiges Verhalten in Echtzeit erken-

nen und gleichzeitig die Netzwerk- und Sicherheitsleistung nachhaltig optimieren. Dabei werden alle KI-Funktionen von einer Reihe fein abge- stimmter KI/ML-Engines unterstützt, die nativ in die Versa-Unified-SASE- Plattform integriert sind und im gesamten Produktportfolio des Unter- nehmens eingesetzt werden. n CYBERSCHUTZDURCH GANZHEIT- LICHES PASSWORT-, PASSKEY-, UND PRIVILEGIEN-MANAGEMENT Dass das Passwort- und Zugangsmanagement zwingend nötig ist, um Unternehmen und deren Daten zuverlässig zu schützen, bestätigt der aktuelle Data Breach Index Report von Verizon: Demnach basieren bis zu 74 Prozent der Datenschutzverletzungen auf kompromittierten Zu- gangsdaten. Das Portfolio von Keeper, Anbieter von Zero-Trust- und Zero-Knowledge-Cyber-Security-Lösungen zum Schutz von Passwörtern, Passkeys und privilegiertem Zugang, umfasst Lösungsvarianten für klei- ne Betriebe bis hin zu Konzernen. Die benutzerfreundliche Plattform, die kritische Komponenten der Identitäts- und Zugriffsverwaltung verein- heitlicht, ermöglicht Unternehmen und MSP einen schnellen und zuver- lässigen Umstieg auf die Zero-Trust- und Zero-Knowledge-Technologie. Sie gibt Administratoren die Möglichkeit, die Zugriffsrechte und -level auf sensible Daten und Zugangsdaten individuell zu definieren und zu steu- ern. Grundlage dafür ist eine rollenbasierte Zugriffskontrolle (Role Based Access Control, RBAC), mit der sich der Zugriff mit den geringsten Rech- ten unterstützen und alle Benutzeraktivitäten nachverfolgen lassen. n ÜBERSICHT IM ABO- TARIFDSCHUNGEL Streamingdienste, Handytarife und Bildbear- beitungstools sind aus der digitalen Welt nicht mehr wegzudenken, und Abonnementmodelle haben sich fest etabliert. Diese Modelle sind bei Nutzern beliebt, da sie flexibel abgeschlossen und gekündigt werden können. Doch die Viel- zahl der Anbieter macht es schwer, den Über- blick über die laufenden Kosten zu behalten. Kaspersky löst dieses Problem mit SubsCrab, einer Multiplattform-App für iOS und Android. SubsCrab bietet Zugriff auf über 4.000 Abonne- mentdienste und 11.000 Tarifpläne, ohne eine Begrenzung für die Anzahl der hinzufügbaren Abonnements zu haben. In der kostenlosen Version ermöglicht SubsCrab das manuel- le Hinzufügen und Überwachen aller aktiven Abonnements. Die App bietet eine Kalender- ansicht für fällige Gebühren und ermöglicht das Einrichten von Push- Benachrichtigungen für Zahlungen. Zudem schlägt SubsCrab alternative Dienste vor und stellt Informationen zu interessanten Abonnements be- reit. Die kostenpflichtige Premium-Version bietet erweiterte Funktionen, wie die automatische Erfassung von Abonnements durch das Scannen von E-Mails und die Möglichkeit zur Kategorisierung der Konten. n SubsCrab bietet Zugriff auf über 4.000 Abonne- mentdienste und 11.000 Tarifpläne, ohne eine Begrenzung für die An- zahl der hinzufügbaren Abonnements zu haben. (Quelle: Kaspersky) NEWS | PRODUKTE ERWEITERT CERTIFICATE LIFECYCLE MANAGEMENT IN MULTI-CLOUD-UMGE- BUNGEN DigiCert hat seine Zertifikats-Management-Plattform DigiCert Trust Lifecycle Manager erweitert, um den gesamten Lebenszyklus mehrerer Zertifizierungsstellen, einschließlich Microsoft Certificate Authority und AWS Private Certificate Authority abzudecken. Auch die Integration mit ServiceNow zur Unterstützung bestehender IT-Service-Workflows ist möglich. Der Trust Lifecycle Manager unterstützt darüber hinaus die Re- gistrierung für Microsoft- und AWS-Technologien und bietet Unterneh- men einen einheitlichen Ansatz zur Verwaltung öffentlicher und privater Digital-Trust-Szenarien. Die Anwendungsfälle reichen von biometrischer Authentifizierung, Geräteauthentifizierung oder WLAN/VPN-Bereitstel- lung bis zu Cloud-Workloads und IT-Infrastrukturmanagement. n DATENSICHERHEIT FÜR KRITISCHE INFRASTRUKTUREN Kontron erweitert sein Produktportfolio und hat mit der Vermarktung für die neue Softwarelösung SecureOS zum Schutz vor unberechtigten Fremdzugriffen in Infrastrukturprojekten begonnen. Sie schützt IoT-Lö- sungen vor neuen Bedrohungen aus dem Internet, feindlichen Angriffen auf die Infrastruktur sowie vor der Überwachung durch Dritte. Darüber hinaus ist sie mit den meisten Produktplattformen von Kontron kombi- nierbar und erweitert das susietec Toolset. Die Lösung erhöht nicht nur die Sicherheitsstandards erheblich, sondern senkt auch die Betriebskos- ten um angeblich mindestens 15 Prozent. Die Lösung umfasst neben SecureOS weitere susietec-Funktionalitäten und soll die kritische Wasser- und Abwasserinfrastruktur von Millionen von Menschen in Mitteleuropa unterstützen. SecureOS bietet dabei de- taillierte Einblicke in den Betriebszustand der Pumpen und gewährleistet eine kontinuierliche Überwachung während des Betriebs bei gleichzei- tigem Schutz vor unbefugten Eingriffen und Überwachung durch Dritte. Intelligente Zusatzfunktionen wie die automatische Notabschaltung ver- hindern, dass die Pumpen beschädigt oder zerstört werden. Im Gegen- satz zu anderen IoT-Lösungen agiert Kontron aus einem neutralen Land heraus und garantiert so höchste Sicherheitsstandards für Infrastruktur- projekte, die auch von staatlichen Stellen anerkannt werden. n SecureOS bietet detaillierte Einblicke in den Betriebszustand von Pumpen und gewährleistet eine kontinuierliche Überwachung während des Betriebs. (Quelle: Kontron) IT-SICHERHEIT_5/2023 9

NEWS | AUS DER SZENE Fachkonferenz für den Schutz kritischer Infrastrukturen (KRITIS) SICHERHEIT TOTAL: PROTEKT 2023 Die protekt-Konferenz steht im Zei- chen aktueller Themen der IT-Sicher- heit und der physischen Sicherheit, insbesondere in Unternehmen und Einrichtun- gen, die als kritische Infrastrukturen gelten. Dieses hochkarätige Event bietet nicht nur spannende Vorträge und lebhafte Diskussions- runden, sondern auch interaktive Workshops, zahlreiche Möglichkeiten zum Networking, eine spannende Exkursion am Vorabend der Konferenz und ein abendliches Get-together, bei dem Teilnehmer und Referenten Gelegen- heit zum Austausch haben. Im Ausstellungsbe- reich präsentieren Unternehmen und Einrich- tungen aktuelle Produkte und Dienstleistungen aus der Sicherheitsbranche. beleuchtet die essenzielle Rolle einer stabilen Wasserversorgung für KRITIS und betont dabei die Schlüsselrolle des Risikomanagements und der Notfallvorsorgeplanung. Roland Brüggemann, Leiter der Prozessdaten- verarbeitung bei DONETZ, nimmt uns mit auf eine Reise in die Welt der Operativen Techno- logien (OT) und zeigt die damit einhergehen- den Herausforderungen für die Informations- sicherheit auf. Ebenfalls im Rampenlicht steht Stefan Erber von PCS Systemtechnik, der die faszinierenden Vorteile der biometrischen Handvenenerkennung als effektives Mittel zur Zutrittskontrolle in Hochsicherheitsbereichen präsentiert. Die Keynote im Plenum stellt die herausra- gende Bedeutung der Wasserversorgung für kritische Infrastrukturen in den Mittelpunkt und unterstreicht deren Einfluss auf die Notfallvor- sorgeplanung. Jan Bäumer vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Ein Workshop, angeboten von WBS IT-Service, führt uns durch bewährte Praktiken zur Maxi- mierung des Schutzes vor Cyberkriminalität in KRITIS-Unternehmen. Hierbei werden nicht nur gesetzliche Anforderungen und Sicherheitsstan- dards berücksichtigt, sondern auch praxisnahe Lösungen und Ansätze diskutiert. Abgerundet wird die Konferenz durch einen Praxisbericht von Dr. José M. González von Stromnetz Ham- burg, der uns Einblicke in die Umstellung des IT-Sicherheitsmanagementsystems auf die neue ISO 27001/2 gibt und seine Erfahrungen teilt. Mit diesen und zahlreichen weiteren aktuellen Schlüsselthemen spricht die protekt-Konferenz im Jahr 2023 nicht nur KRITIS-Betreiber aller Sektoren und Größen an, sondern auch die Si- cherheitsindustrie, den öffentlichen Sektor auf Bund-, Landes- und kommunaler Ebene sowie angrenzende Bereiche wie die Zulieferindus- trie für kritische Infrastrukturen. So festigt die protekt-Konferenz ihre Position als bedeutendes Event im Veranstaltungskalender. n S.M. Bild: Die protekt ist die einzige auf den Schutz kritischer Infrastrukturen ausgerichtete Konferenz in Deutschland. (Foto: Tom Schulze / Leipziger Messe GmbH) 10 IT-SICHERHEIT_5/2023 Am 8. und 9. November öffnet die protekt erneut die Türen in der traditionsreichen Kongress-halle am Zoo Leipzig , um mit KRITIS-Verantwortlichen zusammenzukommen, sich auszu-tauschen und den Schutz kritischer Infrastrukturen in den Fokus zu rücken. Die protekt ist seit 2016 die einzige auf den Schutz kritischer Infrastrukturen ausgerichtete Konferenz in Deutschland. Nach der sehr erfolgreichen sechsten Veranstaltung im November 2022 geht es nun mit spannenden Themen aus den Bereichen Trinkwasserversorgung, Operative Technologien (OT), Biometrie und vielen mehr in die siebte Runde.

NEWS | AUS DER SZENE Bitkom-Umfrage bringt Erschreckendes zutage DEUTSCHE WIRTSCHAFT VER- STÄRKT IM VISIER DER ORGANI- SIERTEN KRIMINALITÄT Der wirtschaftliche Schaden für deut- sche Unternehmen durch Angriffe auf die IT übersteigt bereits zum dritten Mal in Folge die 200-Milliarden-Euro- Marke (2022: 203 Milliarden Euro, 2021: 223 Mil- liarden Euro) und zeigt einen anhaltenden Trend auf sehr hohem Niveau. Bemerkenswert ist, dass rund 72 Prozent aller Unternehmen in den letzten zwölf Monaten von analogen und digitalen Angriffen betroffen waren, während es weitere 8 Prozent vermuteten, ohne zwei- felsfreie Beweise dafür vorzulegen. Obwohl die Gesamtzahl der Angriffe im Vergleich zum Vorjahr leicht zurückgegangen ist (84 Prozent beziehungsweise 9 Prozent im Jahr zuvor), ver- zeichneten Angriffe aus dem Bereich der orga- nisierten Kriminalität eine deutliche Zunahme. Ganze 61 Prozent der betroffenen Unterneh- men sehen die Täter in diesem Bereich, was im Vergleich zum Vorjahr einem Anstieg von 10 Prozentpunkten entspricht. Es ist auch beunruhigend zu beobachten, dass Russland und China zunehmend als Ausgangs- punkte für Angriffe auf die deutsche Wirtschaft dienen. 46 Prozent der betroffenen Unterneh- men konnten Angriffe bis nach Russland zurück- verfolgen (2021: 23 Prozent), während 42 Prozent aus China angegriffen wurden (2021: 30 Prozent). Russland steht somit erstmals an der Spitze der Länder, von denen Angriffe auf die deutsche Wirtschaft ausgehen. „Die deutsche Wirtschaft ist ein hochattraktives Angriffsziel für Kriminelle und uns feindlich gesonnene Staaten“, so Bit- kom-Präsident Dr. Ralf Wintergerst. „Die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteuren sind dabei fließend.“ Die Bedrohung durch Cyberangriffe ist nach wie vor hoch, und erstmals fühlen sich mehr als die Hälfte (52 Prozent) der Unternehmen durch solche Angriffe in ihrer Existenz bedroht. Dies zeigt einen signifikanten Anstieg im Vergleich zu 45 Prozent im Vorjahr und lediglich 9 Prozent vor zwei Jahren. „Digitale Angriffe lassen sich von je- dem Ort der Welt ausführen. Und die Gefahr, von Polizei oder anderen Strafverfolgungsbehörden behelligt zu werden, ist in vielen Ländern gering oder nicht vorhanden“, so Wintergerst. „Der Trend zu Angriffen im digitalen Raum wird sich fortsetzen. Die deutschen Unternehmen müssen ihre IT-Sicherheit mindestens auf jenes Niveau bringen, das für die physische Sicherheit vor Ort längst Standard ist.“ Die Art der Angriffe hat sich ebenfalls verscho- ben, wobei 70 Prozent der Unternehmen in den letzten zwölf Monaten den Diebstahl sensibler Daten oder eine mögliche Gefährdung ihrer Da- ten gemeldet haben – ein Anstieg um 7 Prozent- punkte im Vergleich zum Vorjahr. Weitere 61 Pro- zent der Unternehmen beklagen das Ausspähen digitaler Kommunikation (plus 4 Prozentpunkte) sowie die digitale Sabotage von Systemen oder Betriebsabläufen (plus 8 Prozentpunkte). Auffallend ist auch der Anstieg von Ransomware- Angriffen, von denen knapp ein Viertel (23 Pro- zent) der Unternehmen berichtet. Im Vorjahr lag dieser Anteil noch bei 12 Prozent. Im Gegensatz dazu sind Schäden durch Distributed-Denial-of- Service-(DDoS)-Attacken zurückgegangen und haben nur noch bei 12 Prozent der Unterneh- men Schäden verursacht, während es im Vorjahr noch fast doppelt so viele waren (21 Prozent). Die Studie zeigt auch, dass Cyberangriffe inzwischen für fast drei Viertel (72 Prozent) des gesamten Schadens verantwortlich sind, den die deutsche Wirtschaft durch Datendiebstahl, Sabotage und Industriespionage erleidet. Dies entspricht rund 148 Milliarden Euro und markiert einen deut- lichen Anstieg gegenüber dem Vorjahr, als nur 63 Prozent und somit rund 128 Milliarden Euro den Cyberangriffen zugeordnet werden konnten. Die Studie zeigt, dass die Bedrohung durch Cyberangriffe für die deutsche Wirtschaft weiterhin sehr hoch ist, und Unternehmen ihre IT-Sicherheitsmaßnahmen massiv verstärken müssen, um sich vor dieser Bedrohung zu schützen. n S.M. IT-SICHERHEIT_5/2023 11 . m o c . e b o d a k c o t s - s e g a m I t u a h T : d l i B (Cyber-)Kriminalität verursacht in deutschen Unternehmen jährlich Schäden in Höhe von 206 Milliarden Euro. Diese Schadenssumme resultiert aus Diebstählen von IT-Ausrüstung und Daten sowie aus digitaler und analoger Industriespionage und Sabotage. Dabei richtet die organisierte Kriminalität ihr Augenmerk verstärkt auf die deutsche Wirtschaft – inzwi-schen die stärkste Angreifergruppe. Diese alarmierenden Ergebnisse gehen aus einer Studie im Auftrag des Digitalverbands Bitkom hervor, für die über 1.000 Unternehmen aus verschiedenen Branchen repräsentativ befragt wurden.

NEWS | AUS DER SZENE BMWK-geförderte Transferstelle „Cybersicherheit im Mittelstand“ gut gestartet KOSTENFREIE HILFE FÜR KMU L angsam aber sicher nimmt die Digita- lisierung in der deutschen Wirtschaft Fahrt auf. Gerade kleine und mittlere Unternehmen, Handwerksbetriebe und Start- ups stehen vor der Herausforderung, sich si- cher ins digitale Zeitalter zu bewegen. Damit diese Transformation nicht zur Einladung für Cyberangriffe wird, sind umfassende Cyber- sicherheitsmaßnahmen von entscheidender Bedeutung. Die Transferstelle für Cybersicherheit im Mit- telstand, gefördert vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK), hat sich zum Ziel gesetzt, Unternehmen bei der Präven- tion, Erkennung und Bekämpfung von Cyber- angriffen zu unterstützen. Viele Unternehmen sehen zwar die Notwendigkeit von Cybersicher- heitsmaßnahmen, wissen jedoch oft nicht, wo sie anfangen sollen. Hier kommt die Transfer- stelle ins Spiel. Das langfristige Ziel des Projekts ist es, die Cy- berresilienz von Unternehmen zu stärken. Dies geschieht durch proaktive Kontakte vor Ort, 12 IT-SICHERHEIT_5/2023 Wissensvermittlung in Form von Veranstal- tungen, Workshops und Trainings sowie durch den Aufbau eines Netzwerks von 30 regionalen Anlaufstellen. Diese Anlaufstellen sollen die Inhalte und Angebote des Projekts in die Re- gionen tragen und den Unternehmen direkte Unterstützung bieten. Zukünftig sollen auch die Bereiche Erkennung und Reaktion auf Cyberangriffe abgedeckt werden. Hierfür wird eine innovative Plattform entwickelt, die Informationen, Unterstützung und Angebote zum Thema Cybersicherheit bündelt. Unternehmen, die Opfer eines Cyber- angriffs werden, können über diese Plattform schnell und gezielt an regionale Unterstüt- zungsangebote und qualifizierte IT-Dienstleis- ter vermittelt werden. Der Bundesverband mittelständische Wirtschaft (BVMW) übernimmt die Konsortialleitung des Projekts und arbeitet eng mit Fachpartnern wie dem FZI Forschungszentrum Informatik in Karlsruhe, der Leibniz Universität Hannover und der tti Technologietransfer und Innovations- förderung Magdeburg GmbH zusammen. Das FZI Forschungszentrum Informatik ist eine ge- meinnützige Einrichtung für Informatik-Anwen- dungsforschung und Technologietransfer und bringt aktuelle wissenschaftliche Erkenntnisse der Informationstechnologie in Unternehmen und öffentliche Einrichtungen. Das Projekt wird auch von Partnern wie Deutschland sicher im Netz e.V. unterstützt. Insgesamt bietet das Mittelstand-Digital Netz- werk, zu dem die Transferstelle für Cybersi- cherheit im Mittelstand gehört, umfassende Unterstützung bei der Digitalisierung. Kleine und mittlere Unternehmen profitieren von pra- xisnahen Beispielen und maßgeschneiderten, herstellerunabhängigen Qualifizierungs- und IT-Sicherheitsangeboten. Das Bundesministeri- um für Wirtschaft und Klimaschutz ermöglicht die kostenfreie Nutzung und stellt finanzielle Zuschüsse bereit. n S.M. . m o c . e b o d a k c o t s - s u n L : i d l i B Die im Juli gestartete Transferstelle Cybersicherheit im Mittelstand hat alle Hände voll zu tun. In den kommenden vier Jahren soll das Projekt kleine und mittlere Unternehmen, Handwerksbetriebe und Start-ups kostenfrei und praxisnah bei der Prävention, Detektion und Reaktion auf Cyberangriffe unterstützen.

– ADVERTORIAL – Jedes zweite Unternehmen sieht die eigene Existenz durch Cyberangriffe bedroht Cyberkriminalität ist eine der größten Bedrohungen für unsere Wirt- schaft und für unsere Gesellschaft. Eine erfolgreiche Cyberattacke kann die IT eines Unternehmens und somit Prozesse, Systeme und den gesamten Geschäftszyklus lahmlegen – und das über Stunden, Tage, Wochen oder Monate. Laut einer aktuellen Befragung des Bitkom gibt fast jedes zweite Unternehmen – 48 Prozent – an, dass ein erfolgreicher Cyberan- griff die eigene Existenz bedrohen könnte. In Deutschland rechnen 63 Prozent der Unternehmen damit, in den kommenden zwölf Mo- naten Opfer von Cyberangriffen zu werden. Eine Mehrheit von 57 Prozent rechnet mit Schwierigkeiten bei der Abwehr. Wenn man sich die zwei Drittel der Unternehmen, die ei- nen Angriff erwarten, genauer anschaut, zeigt sich zudem: 43 Pro- zent geben an, den Angriff erfolgreich abwehren zu können. Was muss getan werden? Zum einen sind die Unternehmen selbst gefordert. Nicht einmal die Hälfte der Unternehmen – nämlich 48 Prozent – investiert nach ei- gener Einschätzung genug in Cybersicherheit. Nur 30 Prozent haben Informationsangebote der Polizei zum Schutz vor Cyberkriminalität genutzt. 41 Prozent räumen sogar ein, das Thema Cyberkriminalität bisher verschlafen zu haben. Es muss dafür gesorgt werden, dass IT-Sicherheit nicht allein Thema der IT-Abteilungen ist. IT-Sicherheit muss auf die Agenda des Top- Managements. Und dort sollten drei Themen ganz oben stehen: ▪ IT-Sicherheit muss mit den notwendigen Ressourcen ausgestattet werden. ▪ Alle Fachkräfte müssen zum Thema IT-Sicherheit geschult werden. ▪ Jedes Unternehmen benötigt einen Notfallplan für Cyberangriffe. Wenn ein Unternehmen erst einmal Opfer eines Angriffs wird, ist es bereits zu spät, sich erstmals mit dieser Frage zu befassen. Je schnel- ler reagiert wird, desto besser stehen die Chancen, größeren Schaden abzuwenden. Weiterbildungen für mehr IT-Sicherheit Die Bitkom Akademie hat aus diesem Grund zahlreiche Workshops und Lehrgänge zur Erhöhung der IT-Sicherheit im Programm. Lernen Sie von führenden Expertinnen und Experten, wie Sie digitale Be- drohungen erkennen, abwehren und Ihr Unternehmen vor Hackern schützen können. Verpassen Sie nicht die Gelegenheit, Ihr IT-Know- how zu stärken und sich in einer zunehmend vernetzten Welt unver- zichtbar zu machen. Unsere Formate bieten wir Ihnen auch gern als individuelle Inhouse-Schulung für Ihr Unternehmen an. n Haben Sie Fragen zu unseren Seminaren und Inhouse-Angebot im Bereich IT-Sicherheit? Dann kontaktieren Sie Steve Schramm: s.schramm@bitkom-service.de Tel.: 030 27576-263 https://bitkom-akademie.de/seminare IT-SICHERHEIT_5/2023 13 ImageFlow - stock.adobe.com

TITEL | CLOUD-INFRASTRUKTUR In der Cloud gelten andere Regeln als auf dem eigenen Betriebsgelände, sowohl in Bezug auf die Einrichtung als auch auf die Sicherheit von IT-Systemen. Unternehmen müssen neue Methoden zur Verwaltung ihrer Cloud-Infrastrukturen nutzen. Mit dem richtigen Ansatz können sie den Prozess der Einrichtung beschleunigen, die Cloud- Umgebungen standardisieren, das Management der Cloud zentralisieren und gleich- zeitig die Sicherheit von Anfang an in den Einrichtungsprozess integrieren. Dadurch lassen sich Kosten senken, das Sicherheitsniveau erhöhen und die Vorteile der Cloud effizienter nutzen. Carl Benz hat das erste Automo- bil in seiner Werkstatt manuell aus vielen Teilen zusammen- gebaut. Auch wenn das damalige Auto aus heutiger Sicht simpel erscheint, war es für den damaligen Stand der Technik hochkomplex. Mit der steigenden Nachfrage wurden neue Ferti- gungsverfahren benötigt, die Henry Ford 1908 mit der Einführung des Fließbandes zur Verfü- gung stellte. Das Konzept, bei dem Standardi- sierung und Automatisierung die Grundpfeiler für eine funktionierende Produktion bilden, hat bis heute Bestand. Ganz ähnlich verhält es sich auch mit der Cloud: Denn Cloud-Umgebungen sind ebenfalls hoch- komplex und stellen Unternehmen vor viele He- rausforderungen. Dazu gehören beispielsweise ihre Heterogenität, die mangelnde Transparenz, weil Monitoring-Tools fehlen, sowie das Ma- nagement mehrerer Diensteanbieter und deren unterschiedlicher Schnittstellen. Gleichzeitig sind Sicherheitsbedenken im Hinblick auf Dateninte- grität und -schutz, Compliance-Anforderungen, die Schwierigkeit der Datenmigration und -in- tegration sowie die Notwendigkeit einer effizi- enten Kostenkontrolle und -optimierung bei der Nutzung von Cloud-Ressourcen und -Services zu berücksichtigen. Mit geeigneten Konzepten, denen Standardisie- rung, Automatisierung und Zentralisierung zu- grunde liegen, können Unternehmen diese Her- ausforderungen meistern und die verschiedenen Cloud-Applikationen automatisiert bereitstellen. Schließlich setzen große Unternehmen deutlich mehr als eine Cloud-Umgebung ein, manche nutzen sogar weit über 1000 Cloud-Infrastruk- turen. Um diese bereitzustellen und zentral zu managen, fehlt ihnen jedoch ein „Fließband“. Die Cloud effizientzu nutzen,heißt vonAbisZ automatisieren –standardisiert undüberalle IT-Bereiche hinweg.“ i S t o c k . c o m / P h o n l a m a i P h o t o der Cloud, auf die unterschiedliche Anwender zugreifen können. Die Landingzone ermöglicht die Bereitstellung und Nutzung von Apps und Workloads. Zudem finden hier die Security-Vor- gaben eines Unternehmens Beachtung, sodass die bereitgestellte Umgebung von Beginn an ein grundlegendes Sicherheitsniveau erfüllt. Gleich- zeitig fließen geschäftliche Entscheidungen ein, um Kosten zu minimieren und vertragliche Anforderungen zu erfüllen. Da die Landingzo- ne viele Themen bereits standardisiert vorgibt, haben deren Nutzer den Rücken frei und können sich voll und ganz auf ihre eigentliche Aufgabe fokussieren – beispielsweise auf die Entwick- lung von Apps in der Cloud. Eine gut designte Landingzone ist zudem mo- dular aufgebaut, um sie künftig einfach zu er- weitern. Ist sie außerdem skalierbar, lassen sich damit mehrere Cloud-Umgebungen bereitstel- len und verwalten. In der Regel wird dazu ein Infrastructure-as-Code-(IaC)-Tool wie Terraform verwendet. Damit können Unternehmen die gleichen Umgebungen mehrfach bereitstellen, sowie unterschiedliche Cloud-Lösungen an zen- trale Managementsysteme anbinden. Eine Lan- dingzone ist also ein hochkomplexes Konstrukt aus unterschiedlichen Cloud-Services und -An- wendungen, die alle ineinandergreifen müssen, um sie standardisiert bereitzustellen. LANDINGZONE SORGT FÜR STANDARDISIERTE SICHER- HEIT – VON ANFANG AN Die Basis für eine solche automatisierte Bereit- stellung von Cloud-Umgebungen, die bereits per Design unterschiedliche Lösungen und Vorgaben berücksichtigt, bildet die Landingzone. Dabei handelt es sich um eine sichere Umgebung in IAC-PIPELINE – TOOLS VOM FLIESSBAND Im Falle der Cloud gibt es eine Vielzahl an Tools, die sich für ein IT-Management vom Fließband nutzen lassen – sogenannte IaC-Pipelines. Sie verbinden unterschiedliche Fertigungsschritte miteinander und vereinfachen die Bereitstel- lung des fertigen Produktes. Der zu verarbei- IT-SICHERHEIT_5/2023 15

TITEL | CLOUD-INFRASTRUKTUR BEISPIEL EINER SICHERHEITS PRÜFUNG FÜR IAC Die Prüfung, ob alle erforderlichen Tags hinterlegt sind, ist ein gängiges Beispiel für eine Code-Prüfungs-Regel. Diesen Tags kommt in Cloud-Umge- bungen eine wichtige Bedeutung zu, da sie den Bezug zu unternehmensin- ternen Strukturen herstellen. So ist fast immer das „Owner“-Tag zu hin- terlegen, dessen Wert zum Beispiel auf das „Entwickler-Team A“ verwei- sen kann. Somit sind Verantwortun- gen klar zugeordnet. Die Regel prüft, ob ein Owner-Tag vorhanden ist und auch einen Wert enthält. Ist eine der Anforderungen nicht erfüllt, schlägt die Prüfung fehl, und die Bereitstel- lung sollte abgebrochen werden. Wurden noch keine Anforderungen festgelegt, lässt sich in diesem Bei- spiel der BSI-Anforderungskatalog für Cloud Computing (C5), „RB-23 Segre- gation der gespeicherten und verar- beiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen“ verwenden. Er sieht die Nutzung von Tags als eine Möglichkeit zum Schutz von Daten auf geteilten Ressourcen vor. Dies lässt sich wiederum in die Unternehmensrichtlinie „Cloud-Syste- me müssen einem Verantwortlichen zugeordnet werden können“ überfüh- ren. Die Entwicklung eines entspre- chenden Tagging-Modells kann das unterstützen. Hier würde sich auch das Owner-Tag wiederﬁnden, dessen Vorhandensein sich technisch über- prüfen lässt. Die IaC-Pipeline verbindet unterschiedliche Fertigungsschritte miteinander und vereinfacht die Bereitstel- lung von Code, der die Landingzone beschreibt. (Quelle: Computacenter) tende Rohstoff ist in diesem Fall der Code, der die Landingzone beschreibt. Dieser Code bildet den Ausgangspunkt des Fertigungsprozesses und wird in einem Code-Repository aufbe- wahrt, wo Entwickler Anpassungen vornehmen können. Die Pipeline zieht den Code aus dem Repository und setzt die darin enthaltenen An- weisungen in der Cloud um. Am Ende entsteht eine vollständige Cloud-Umgebung, die gemäß dem Landingzone-Konzept alle Anforderungen in puncto Sicherheit, Modularität und Skalier- barkeit erfüllt. Werden weitere Umgebungen benötigt, lässt sich der Code durch die Anpas- sung einiger Parameter verändern und erneut ausführen, um so eine weitere neue Umgebung bereitzustellen. EINE FRAGE DER CODE-SICHERHEIT Während des Bereitstellungsprozesses durch- läuft der Code in der IaC-Pipeline weitere Schrit- te. Da die zu erstellende Cloud-Umgebung strenge Sicherheits- und Budgetanforderungen erfüllen muss, erfolgt eine automatisierte Über- prüfung des Codes auf Sicherheitsverletzungen und Kostenaspekte, noch bevor die Cloud-Um- gebung aufgebaut wird. Wenn der Code Sicher- heitsverstöße aufweist, wird die Bereitstellung gestoppt, und die Entwickler erhalten eine Be- nachrichtigung mit der Aufforderung zur Nach- besserung. Aber wie wird diese Code-Prüfung durchge- führt? Dafür sollte die Pipeline ein Modul be- inhalten, das diese Überprüfung durchführen kann. Falls ein solches Modul noch nicht vor- handen ist, können kommerzielle oder Open- Source-Lösungen in die Pipeline integriert wer- den. In der Regel verfügt dieses Modul über ein Set von Richtlinien, das die verschiedenen Prü- fungen definiert. Diese Richtlinien sollten den spezifischen Anforderungen des Unternehmens entsprechen. Falls im Unternehmen noch keine eigenen Richtlinien festgelegt wurden, kann auf entsprechende Dokumente des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu- rückgegriffen werden. AmEndestehteinefertigeCloud- Umgebung,diealleAnforderungenin punctoSicherheit,Modularitätund Skalierbarkeiterfüllt.“ COMPLIANCE-AS-CODE- FACHWISSEN GEFRAGT Die Umsetzung von Vorgaben in überprüfbaren Code ist keine einfache Aufgabe. Hierfür bedarf es Experten, die sowohl die technischen Aspekte als auch die Sicherheitsanforderungen verstehen und diese in Prüfungen übersetzen können. Die- 16 IT-SICHERHEIT_5/2023

EsgibtbereitsMöglichkeiten, Applikationeninnerhalbkürzester Zeitautomatisiertundstandardisiert inderCloudbereitstellen.“ ses Compliance-as-Code-Fachwissen ist bislang im Markt noch nicht sehr weit verbreitet, wird aber zunehmend gefordert. Daher ist es ratsam, dass Unternehmen in den Aufbau solcher Fach- kräfte investieren. Der erhöhte Grad an Auto- matisierung, der sich mithilfe dieser Experten realisieren lässt, rechtfertigt die Investitionen in Schulungen und Trainings bei weitem. Darüber hinaus gibt es mittlerweile bereits konzeptionelle Ansätze wie den Rapid Environ- ment Deployer (RED). Sie sorgen dafür, dass die entsprechenden Applikationen, die in die Cloud migriert werden, automatisiert und standardi- siert innerhalb weniger Minuten bereitstehen – inklusive der benötigten Sicherheitsrichtlinien. So wird der strategische Organisationsprozess mit Technologie unterfüttert und damit über- haupt erst ermöglicht. DYNAMISCHE CREDENTIALS FÜR MEHR SICHERHEIT Um auf Cloud-Plattformen zuzugreifen, werden User- oder Service-Accounts angelegt, die in der Regel eine Kombination aus Zugangsschlüssel und -geheimnis verwenden. Eine IaC-Pipeline nutzt diese Accounts, um Cloud-Umgebungen aufzubauen. Damit das funktioniert, benötigen die Accounts weitreichende Rechte, wodurch sich ihr Schutzbedarf massiv erhöht. praktisch keine Möglichkeit zu geben, gültige Zugangsdaten zu stehlen. ANFORDERUNGEN AN EINE IACPIPELINE Zentrale Bereitstellung von Cloud-Umgebungen Vollständig automatisierbar Einfach skalierbare Umgebungen durch IaC Redundante Architektur Shift-Left-Security für IaC Sicherheit mittels dynamischer Credentials Nutzung von Unternehmensidentitäten Aktueller Zustand immer sichtbar Drift Prevention Schutz vor Fremdzugriffen NICHT ABDRIFTEN Oft wird ein einmal erstellter Account nicht mehr geändert, da ja alles reibungslos funktioniert. Das erhöht jedoch das Risiko, dass sensible Zu- gangsdaten über Jahre hinweg unverändert blei- ben und in die falschen Hände gelangen. Eine sicherere Methode besteht darin, für jede neue Nutzung einen eigenen Account zu erstellen, der nach Gebrauch ungültig wird. Es gibt bereits Lösungen, die automatisch Anmeldedaten gene- rieren, aber nur dann, wenn sie benötigt werden. Diese kurzzeitig gültigen Zugangsdaten werden als „dynamische Credentials“ bezeichnet. Eine gute IaC-Pipeline verwendet ausschließlich dynamische Credentials, um Cyberkriminellen Mittels IaC bereitgestellte Cloud-Umgebungen sollten nur durch die Anpassung des IaC-Codes geändert werden dürfen. Allerdings sieht der Alltag oftmals anders aus. Nicht selten ändern Administratoren Einstellungen eines Cloud-Sys- tems, weil dies schneller und einfacher ist. Die gewollte Cloud-Umgebung, definiert durch den IaC-Code, und die Cloud-Realität weichen vonei- nander ab. Man spricht dann von einem Configu- ration Drift. In der Folge lässt sich die Umgebung nicht mehr durch den Code aktualisieren oder neu aufbauen. Eine IaC-Pipeline sollte einen sol- chen Configuration Drift erkennen und sowohl darauf hinweisen als auch Änderungen direkt TITEL | CLOUD-INFRASTRUKTUR durch erneutes Einspielen des Soll-Zustandes zurücksetzen. Eine gute IaC-Pipeline stellt nicht nur Cloud-Um- gebungen bereit, sondern beinhaltet zusätzlich mehrere Stufen, um unternehmenseigene Anfor- derungen an Sicherheit und Kosten zu berück- sichtigen. Unternehmen sind damit in der Lage, standardisierte Cloud-Umgebungen zentral zu verwalten, Zustand und Veränderungen zu über- blicken, sowie fundierte Entscheidungen zu tref- fen. Durch die Integration von Monitoring- und Alarmierungsfunktionen können Unternehmen proaktiv auf mögliche Probleme reagieren, bevor sie zu größeren Störungen führen. Zudem fördert eine solide IaC-Pipeline eine konsistente und wie- derholbare Bereitstellung von Ressourcen. Dies wiederum minimiert das Risiko von menschlichen Fehlern und erhöht die Verfügbarkeit. FAZIT Cloud-Plattformen haben die Geschäftswelt transformiert, indem sie eine agilere, skalierba- rere und flexiblere IT-Infrastruktur ermöglicht haben. Industrielle Konzepte, wie das Fließband, das schon in der Automobilproduktion neue, schnelle Fertigungsverfahren ermöglicht hat, lassen sich auf die Cloud-Bereitstellung anwen- den. Sie helfen Unternehmen bei der Standardi- sierung, Automatisierung und Effizienzsteige- rung. Durch den Einsatz von Cloud-Technologien nutzen Unternehmen diesen „Fließband-Ansatz“, um ihre IT-Prozesse zu straffen und sicherzu- stellen, dass Ressourcen bedarfsgerecht und in vorhersehbarer Qualität bereitgestellt werden. Sie sind dadurch agiler und können schneller auf Marktveränderungen reagieren sowie innova- tive Lösungen schneller auf den Markt bringen. Mit zunehmender Abhängigkeit von Cloud-Res- sourcen und -Services wird die Bedeutung von robusten Bereitstellungsstrategien und -tools immer größer. IaC-Pipelines spielen dabei eine entscheidende Rolle. n HAUKE MORITZ, Solution Manager Cloud Security bei Computacenter (Foto: Bernd Arnold Photography) IT-SICHERHEIT_5/2023 17

TITEL | CLOUD-INFRASTRUKTUR MULTICLOUD NUTZEN, OHNE DIE SICHERHEIT ZU BEEINTRÄCHTIGEN Multi-Cloud-Umgebungen bieten viele Vorteile, bringen jedoch in puncto Sicherheit einige Herausforderungen mit sich. Jessica Linke, Solution Managerin Cloud Services bei Computacenter, und Jörn Stenkamp, Staff Solution Engineer bei HashiCorp, erklären im Interview, wie Unternehmen Clouds dennoch efﬁzient und sicher betreiben können. ITS: Wo liegen die größten Herausforde- rungen in puncto Sicherheit von Multi- Cloud-Umgebungen? Jörn Stenkamp: Clouds sind die Basis, auf der Unternehmens- und Geschäftsappli- kationen abgebildet werden. Jede Appli- kation benötigt Infrastruktur, Sicherheit wie Zugangsdaten oder Zertiﬁkate und Netzwerkanbindung, um ihren Dienst zu erbringen. In heterogenen Cloud-Umge- bungen ist der Zugriff darauf segmentiert, denn jede Umgebung hat ihre eigene Me- thode, Ressourcen zu adressieren. Werden die Ressourcen jedoch aus unterschied- lichen Fachabteilungen zur Verfügung gestellt, sind mehrere isolierte Lifecycle- Management-Prozesse zu koordinieren. Erfolgreiche Unternehmen haben diese Segmentierung aufgelöst und stellen Ressourcen automatisiert und konsistent über die Grenzen der unterschiedlichen Fachabteilungen und Cloud-Provider zur Verfügung. Dann wird die benötigte Soft- ware, die mittels einer IaC-(Infrastructure as Code)-Pipeline umgesetzt wird, auto- matisiert sowie reproduzierbar und ver- sionskontrolliert erzeugt. ITS: Wie lässt sich Sicherheit langfristig automatisiert sicherstellen? Jörn Stenkamp: Sicherheit basiert auf der Kontrolle von Zugriffen. Um festzulegen, wer oder welches Gerät auf bestimmte Dinge zugreifen kann, wird ein Identi- 18 IT-SICHERHEIT_5/2023 Jörn Stenkamp, Staff Solutions Engineer bei HashiCorp Germany (Foto: Jörn Stenkamp) Jessica Linke, Solution Manager Cloud Servi- ces bei Computacenter (Foto: Jessica Linke) tätskonzept benötigt. Die automatische Überprüfung der Identität erfolgt durch sogenannte Identitätsanbieter. Moderne Sicherheitskonzepte wie Zero Trust setzen auf diese Idee. Außerdem stützen sie sich auf kontinuierliche Überprüfungen. Die Umsetzung einer solchen Strategie und die konsequente Verwaltung von Identi- täten bilden die Grundlage für die Auto- matisierung von Sicherheitsmaßnahmen in Multi-Cloud-Umgebungen. Dadurch er- halten Menschen, Maschinen, Arbeitslas- ten und Prozesse, wie beispielsweise eine IaC-Pipeline, eine nachweisbare Identität. Jessica Linke: Wichtig ist außerdem ein zentrales Identitäts- und Zugriffsmana- gement. Denn nur damit ist eine konsis- tente Zugriffsverwaltung möglich, um das Risiko von Sicherheitsverstößen zu verringern. Eine automatisierte Compli- ance-Überwachung und hohe Netzwerk- sicherheit sind ebenso entscheidend. Es muss konzeptionell und bei der Imple- mentierung berücksichtigt werden, wie der Datenverkehr zwischen verschiede- nen Cloud-Umgebungen und dem Un- ternehmensnetzwerk ﬂießt. Dabei muss sichergestellt werden, dass der Daten- verkehr geschützt wird. Zudem müssen Unternehmen unsichere Kommunikati- onswege kontinuierlich minimieren oder eliminieren. Dies sind natürlich nur einige Punkte, die bei einer Multi-Cloud-Umge- bung zu beleuchten sind. ITS: Wie sieht eine Lösung aus, die Multi- Cloud-Umgebungen von Anfang an nutzbar, sicher und rechtskonform ver- fügbar macht? Jessica Linke: Mit einer gut durchdachten Strategie und den richtigen Tools können Unternehmen die Vorteile der Multi-Cloud nutzen, ohne die Sicherheit und Compli- ance zu beeinträchtigen. Zudem ist es notwendig, die verantwortlichen inter- nen Stakeholder frühzeitig einzubinden. So lassen sich viele Unstimmigkeiten und Verwirrungen vermeiden. Jörn Stenkamp: In der IT steht die Appli- kation im Vordergrund. Bevor ihr Life- cycle beginnt, gibt es in der Regel einige Bedingungen in Bezug auf Security und Compliance zu erfüllen, wie Zugriffs- rechte, Ort der Cloud-Bereitstellung, oder Ressourcen. Sie legen fest, in welcher Umgebung oder Landingzone eine Appli- kation laufen darf. Dies ist eine wichtige administrative Voraussetzung, damit ein Entwicklungsteam mit dem Lifecycle- Prozess überhaupt erst beginnen kann und gleichzeitig alle Sicherheitsanforde- rungen erfüllt werden. ITS: Welche Vorteile haben Unterneh- men dadurch? Jörn Stenkamp: Da Security- und Compli- ance-Vorgaben von Beginn an ein fest in- tegrierter Bestandteil des Pipeline-Ansat- zes sind, ist der Weg von der Entwicklung zur Produktion erheblich kürzer. Zudem haben sowohl die Applikation als auch die Landingzone ihren eigenen, per Life cycle gemanagten Prozess, der sich jederzeit mittels IaC anpassen lässt – und das au- tomatisiert, reproduzierbar und versions- kontrolliert. n

SCHWERPUNKT: SICHERHEIT IN UND AUS DER CLOUD Wie sich Angriffe durch den „Lieferanteneingang“ vermeiden lassen SBOMS FÜR CLOUD- LIEFERKETTEN-SECURITY Ereignisse wie der Kaseya-Hack 2021 und der SolarWinds- Zwischenfall 2020 offenbaren die Verwundbarkeit von IT-Systemen durch Angriffe über ihre Lieferketten. Diese Vorfälle zogen weltweit viele Unternehmen und Organisationen in einen Malware-Sumpf, was den Bedarf an Schutzmaßnahmen verdeutlicht. Die Achillesferse der Lieferketten ist das Zusammenspiel von grenzenlosem Vertrauen und der undurchsichtigen Natur des Systems, vor allem wenn es um Cloud-Dienste geht. Als Lösungsansatz wird unter anderem darüber diskutiert, Software-Bill-of-Materials (SBOMs) einzuführen – maschinenlesbare Verzeichnisse, die alle Komponenten einer Lieferkette genau auflisten. Im Juli 2021 sorgte der Kaseya-Hack für weltweite Schlagzeilen. Kaseya, ein Soft- ware-Dienstleister, der sich auf Tools zur Fernüberwachung und -verwaltung speziali- siert hat, wurde Opfer einer raffinierten Atta- cke. Angreifer nutzten eine Zero-Day-Schwach- stelle in Kaseyas eigenen Systemen aus und verschafften sich so Zugriff auf Appliances, die von Kaseya-Kunden genutzt werden. Die Attacke führte zur Ausführung von bösartigem 20 IT-SICHERHEIT_5/2023 Code und setzte Ransomware bei den Kunden ein, die von den Appliances verwaltet werden. Von der Attacke betroffen waren nach Schät- zungen etwa 50 Managed Service Provider (MSP) und etwa 1.500 Endkunden mit Tausen- den von Systemen. Weitaus größer war die Zahl der Betroffenen beim sogenannten SolarWinds Supply-Chain- Hack vom Dezember 2020. Dabei wurde die Management- und Überwachungssoftware von SolarWinds kompromittiert und als Teil eines Updates über deren eigenen Server verbreitet. Zehntausende Organisationen, darunter promi- nente MSP und Regierungsbehörden wie das U.S. Treasury und das U.S. Commerce Depart- ment, waren von diesem weitreichenden Angriff betroffen. Die Angreifer hatten über ein Jahr lang unerkannt in den Systemen verweilt, bevor die Attacke aufgedeckt wurde.

Diese und weitere Vorfälle werfen ein Schlag- licht auf ein bisher oft unterschätztes Problem: Angriffe über die IT-Supply-Chain. Der Begriff „Supply Chain“ (Lieferkette) beschreibt das Netz- werk aus zugelieferten Teilprodukten und Leis- tungen, die zusammen die IT-Infrastruktur einer Organisation bilden. Dies gilt allgemein für alle Produkte und Dienstleistungen, ganz besonders aber im Kontext von Software und Cloud-Diens- ten. In der Cloud-Supply-Chain setzt sich die Lie- ferkette oft wenig transparent aus einer Vielzahl von Lieferanten und Produkten zusammen. WENN VERTRAUEN UNANGEBRACHT IST Die Bandbreite der Produkte, die zur Cloud Sup- ply Chain beitragen, reicht von der zugrunde liegenden Hardware über Betriebssysteme bis zu den Softwarekomponenten des eigentlichen Dienstes. Darüber hinaus sind Software und Komponenten enthalten, die entweder direkt (wie Bibliotheken) oder indirekt (wie Datenban- ken oder andere Cloud-Dienste) integriert wer- den. Diese wiederum sind Teil der Lieferkette, ebenso wie die Produkte, die zu ihrer Entwick- lung beigetragen haben. Es kommt nicht selten vor, dass dieselben Komponenten in verschiede- nen Versionen parallel verwendet werden. Das zentrale Problem im Bereich der IT-Sicher- heit ist folgendes: Den verwendeten Kompo- nenten wird ein erhebliches Maß an Vertrauen entgegengebracht. Bezogene Software und Dienste werden mit privilegierten Rechten be- trieben. Das bedeutet, dass ein Angreifer, der über die Supply-Chain eindringt, diese Privile- gien nutzen kann, um umfassenden Zugriff auf Systeme und Daten zu erlangen. Gleichzeitig ist die Supply-Chain oft undurchsichtig. Benut- zer haben in der Regel keine Kenntnis über die einzelnen Komponenten, die in den von ihnen genutzten Diensten eingesetzt werden, und sind daher auf den Anbieter angewiesen, wenn es um die Sicherheit geht. Dieses Problem tritt besonders stark auf, wenn es um Cloud-Dienste geht, die als Software- as-a-Service bereitgestellt werden. Hier ist die Lieferkette besonders komplex, und die Be- nutzer haben nur sehr begrenzte Einblicke und Einflussmöglichkeiten. Aber auch herkömmliche Software, die lokal betrieben wird, greift immer häufiger auf Cloud-Ressourcen zurück, beispiels- weise über Cloud-APIs. Das Problem der privi- legierten Vertrauensstellung in Verbindung mit mangelnder Transparenz erstreckt sich daher auch in die Tiefe der Supply-Chain. Zwei weitere Beispiele sollen das Problem verdeutlichen: Im Dezember 2021 wurde eine gravierende Si- cherheitslücke in der Java-Bibliothek Apache Log4J bekannt. Dieses Framework wird zur Pro- tokollierung von Ereignissen und zur Verwaltung von Log-Daten in Anwendungen verwendet. Die Sicherheitslücke ermöglichte es Angrei- fern, auf einfache Weise beliebigen Code in den Server einzuschleusen und auszuführen, was zur Übernahme des Systems führte. Besondere Aufmerksamkeit erlangte diese Lücke, da Log4J in zahlreichen Softwareprojekten und Systemen weit verbreitet ist, darunter Webanwendungen, Server, Netzwerkkomponenten und andere Soft- warelösungen. Nach der Entdeckung der Lücke stellten sich vie- le IT-Verantwortliche die Frage, ob ihre Systeme betroffen waren. Die Antwort auf diese schein- bar einfache Frage erwies sich oft als problema- tisch, da die Transparenz über die in der IT ver- wendeten Komponenten fehlte. Dies erschwerte die Umsetzung von Schutzmaßnahmen gegen eine solche Sicherheitslücke praktisch. Ein weiteres Beispiel aus der Vergangenheit ist der sogenannte „Heartbleed-Bug“, der im April 2014 in der weit verbreiteten OpenSSL-Soft- warebibliothek entdeckt wurde. Diese Bibliothek wird zur Implementierung von SSL/TLS-Ver- schlüsselung in vielen Internetdiensten ver- wendet. Der Fehler ermöglichte es Angreifern, vertrauliche Informationen aus dem Speicher eines entfernten Servers auszulesen, ohne sich gegenüber dem Server zu authentifizieren. Konkret konnte ein Angreifer manipulierte „Heartbeat“-Nachrichten senden, die dazu führ- ten, dass der Server einen kleinen Teil seines Speichers zurücksendete, bis zu 64 Kilobyte. Dieser Speicherinhalt konnte sensible Daten wie Passwörter, private Schlüssel und ande- re vertrauliche Informationen enthalten, die normalerweise im Arbeitsspeicher des Servers gespeichert waren. Bei der Untersuchung der Schwachstelle stellte sich heraus, dass der fehlerhafte Teil der Software nur von zwei Open-Source-Entwicklern erstellt worden war und offenbar keine gründliche Codeprüfung stattgefunden hatte. Dennoch wurde diese Soft- ware weitreichend in vielen Anwendungen und www.gfos.com HOSTING ZUVERLÄSSIGKEIT, DIE SIE VERDIENEN: UNSER HOSTING. Die GFOS knownCloud als Ihr Erfolgsgarant. Der persönliche Austausch ist uns wichtig. GFOS Messetermine s t n e v e / s o f g / m o c . s o f g . m o c . e b o d a k c o t s - a n a m i l e v a r T ; . m o c . e b o d a k c o t s - y b n e r e k : d l i B

SCHWERPUNKT: SICHERHEIT IN UND AUS DER CLOUD Systemen, einschließlich solcher renommierter Hersteller, eingesetzt. WAS ANWENDER ZU IHREM SCHUTZ TUN KÖNNEN Es ist unzureichend, sich allein auf den Soft- wareanbieter oder den Betreiber eines Dienstes zu verlassen. Zwar sollten Anbieter und Betrei- ber die Sicherheit ihrer Software und Dienste gewährleisten, aber im Falle einer Sicherheits- lücke sind am Ende die Systeme und Daten der Anwender betroffen. Die Anwender tragen somit die Folgen eines Angriffs, selbst wenn möglicherweise Haftungs- und Schadenersatz- ansprüche gegenüber dem Anbieter geltend ge- macht werden können. Wie die zuvor genannten Beispiele verdeutlichen, sind selbst renommier- te Anbieter nicht vor Sicherheitslücken gefeit. Daher sind Schutzmaßnahmen gegen Supply- Chain-Angriffe auch aufseiten der Anwender erforderlich. Die erste Schutzmaßnahme besteht in der sorgfältigen Auswahl des Anbieters. Obwohl kein Anbieter eine hundertprozentige Sicher- heit garantieren kann, reduziert eine sorgfältige Auswahl das Risiko. Hierbei sollte auch die Über- prüfung der vom Anbieter ergriffenen Sicher- heitsmaßnahmen, einschließlich Maßnahmen zur Prüfung der eingesetzten Komponenten (wie Vulnerability Scanning und Patch-Manage- ment), einbezogen werden. Zertifikate über vom Anbieter durchgeführte Sicherheitsprüfungen können hilfreich sein, sollten jedoch daraufhin überprüft werden, ob sie Risiken aus der Supply- Chain angemessen berücksichtigen. Anwen- der sollten außerdem vertragliche Prüfrechte („Audit-Recht“) verlangen, die es ihnen ermögli- chen, entsprechende Überprüfungen auch nach Vertragsabschluss durchzuführen. Um effektive Schutzmaßnahmen planen und umsetzen zu können, ist ein umfassender Über- blick über die zu schützenden IT-Assets erforder- lich, einschließlich Systeme, Dienste und darin gespeicherte Daten. Hierbei kann ein IT-Asset- Management-System (ITAM-System) helfen. In jüngster Zeit wird auch der Einsatz von so- genannten „Software Bill of Materials“ (SBOM) diskutiert. SBOMs zeigen, welche Komponenten in einer Software enthalten sind, einschließlich solcher von Drittanbietern. Die minimale Anfor- derung für SBOMs ist die Angabe spezifischer 22 IT-SICHERHEIT_5/2023 zunehmen, dass die Bereitstellung und Nutzung von SBOMs sich weit verbreiten und im Markt als Standard etablieren wird. Für den Einsatz von SBOMs stehen verschiedene Formate und Standards zur Verfügung, wobei die Formate SPDX und CycloneDX im Kontext der IT-Sicherheit besonders zu empfehlen sind. Die- se Standards werden auch in der im August 2023 veröffentlichten Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ des Bundes- amts für Sicherheit in der Informationstechnik (BSI) genannt, die Softwareherstellern als Leitli- nie zur Erhöhung der Sicherheit in der Software- Lieferkette dienen soll. FAZIT Die Risiken aus der IT-Supply-Chain sind in den letzten Jahren deutlich sichtbar geworden. Cloud-Services sind aus Anwendersicht be- sonders betroffen, weil hier der größte Teil der Leistung eingekauft und der Anwender daher vom Lieferanten beziehungsweise vom Be- treiber der Leistung abhängig ist. Anbieter und Anwender sind aufgerufen, alles zu tun, um die Sicherheit in der IT-Supply-Chain zu verbessern. Besonders Software Bill of Materials (SBOM) können einen großen Beitrag zur Verbesse- rung der Sicherheit in der Supply-Chain leisten. Anwender sollten daher die Bereitstellung von SBOMs durch Provider in ihren Anforderungs- katalog aufnehmen. Provider sollten ihrerseits ihren Anwendern diese Informationen zur Ver- fügung stellen. Weitere Informationen zur Verbesserung der Sicherheit bei der Nutzung von Cloud-Services liefern die TeletTrusT Leitfäden Cloud Security und Cloud Supply Chain Security, erhältlich als Download unter https://www.teletrust.de/ publikationen/broschueren/cloud-security/ n OLIVER DEHNING, Leiter der KG Sicherheit im Internet- verband eco und Leiter der AG Cloud Security im Bundesverband IT-Sicherheit TeleTrusT Bezeichnungen und Versionen der eingebet- teten Komponenten. Um vollständige Trans- parenz und eine umfassende Risikobewertung zu ermöglichen, sollten Softwareanbieter und Cloud-Dienstbetreiber SBOMs für alle geliefer- ten Anwendungen und Dienste bereitstellen, einschließlich der wesentlichen Komponenten, die in ihrer Software enthalten sind oder genutzt werden. Diese SBOMs sollten bei jeder neuen Version und jedem Update aktualisiert werden, insbesondere in dynamischen Cloud-Diensten (Continuous Integration/Continuous Delivery, CI/CD). Die Erstellung und Bereitstellung von SBOMs sollte in den CI/CD-Prozess integriert werden. Die Inhalte der SBOMs sollten in den Schwachstellenmanagement-Prozess einfließen und als Grundlage für regelmäßige Scans gegen bekannte Sicherheitslücken dienen. Die zunehmende Anzahl von Angriffen auf die IT-Supply-Chain hat auch das Interesse der Ge- setzgeber geweckt. In den USA wurde beispiels- weise im Mai 2021 eine Executive Order erlassen, die später vom US Department of Commerce und dem US National Institute of Standards and Technology (NIST) näher konkretisiert wurde. Diese Verordnung schreibt vor, dass Lieferan- ten, die Software an die US-Regierung liefern, während der Entwicklung SBOMs verwenden und zusammen mit der Software bereitstellen müssen. In der EU ist der „Cyber Resilience Act“ in Vorbereitung, eine Verordnung, die Hersteller, Importeure und Händler von Produkten mit digi- talen Elementen zur Umsetzung verschiedener Maßnahmen zur Verbesserung der IT-Sicherheit verpflichten wird, darunter die Bereitstellung ei- ner Liste von Softwarekomponenten. Obwohl diese Vorschriften und Empfehlungen zunächst auf Softwareanbieter abzielen, ist zu erwarten, dass insbesondere größere Benut- zer SBOMs für interne Risikobewertungen ihrer IT-Systeme verwenden werden. Im Bereich kri- tischer Infrastrukturen wird die NIS-2-Richtlinie entsprechende Vorgaben machen. Daher ist an-

SCHWERPUNKT: SICHERHEIT IN UND AUS DER CLOUD Risikoanalysten und Sicherheitsstrategen im Abo-Modell CISOasaService In Zeiten steigender Cybersecurity-Anforderungen kann die Einstellung eines eigenen Chief Information Security Officers (CISO) teuer sein, insbesondere für kleine und mittlere Unternehmen. Aus diesem Grund gewinnen CISO-as-a- Service-Angebote zunehmend an Beliebtheit. Doch für welche Unternehmen ist diese Lösung sinnvoll, und welche Aspekte sollten dabei berücksichtigt werden? In diesem Artikel erfahren Sie mehr darüber. Wenn Hacker wie profes- sionelle Unternehmen agieren und sich ihnen durch die Digitalisierung eine immer größe- re potenzielle Angriffsfläche bietet, brauchen Unternehmen einen Strategen und Profi für die Informationssicherheit im Unternehmen, der die aktuellen Cyberrisiken ermittelt und das Schutzniveau des Unternehmens bewertet und verbessert. IT-Abteilungen, die insbesonde- re bei kleinen und mittleren Unternehmen vor allem aus Generalisten bestehen, stoßen hier in Sachen Know-how und Erfahrung schnell an ihre Grenzen. Für Unternehmen, die keinen eigenen CISO haben, ist das Outsourcing an ei- nen externen CISO-as-a-Service-Anbieter eine Option. AUFGABEN DES CISO Um das Konzept von „CISO as a Service“ zu ver- stehen, ist es zunächst wichtig zu klären, welche Aufgaben ein Chief Information Security Officer (CISO) genau hat. Der Name gibt bereits einen Hinweis: Der CISO trägt die Verantwortung für die Sicherheit von Informationen und Daten im gesamten Unternehmen. Zu seinen Aufgaben gehören unter anderem die Überwachung der Sicherheitsoperationen, die Bewertung und Be- 24 IT-SICHERHEIT_5/2023 wältigung von Cyber-Risiken und die Sammlung von Sicherheitsinformationen. Darüber hinaus ist er zuständig für die Gestaltung der Sicher- heitsarchitektur, das Management von Iden- titäten und Zugriffsberechtigungen (Identity- und Access-Management, IAM), den Schutz vor Datenverlust und Betrug, forensische Untersu- chungen sowie die Einhaltung von Vorschriften und Compliance-Richtlinien. CISOs verfolgen dabei einen ganzheitlichen Sicherheitsansatz, der Technologie, Organisati- on, Lieferkette und Sicherheitskultur umfasst. Damit ist sein Aufgabenfeld größer gesteckt als beispielweise das des Chief Security Officer (CSO). Idealerweise sind CISO gut in ihrem Un- ternehmen vernetzt und haben tiefe Einblicke in die geschäftskritischen Unternehmensprozes- se. Denn nur so sind sie in der Lage, informa- tionstechnische Risiken zu identifizieren und einzuschätzen. Dabei muss sowohl die Wahr- scheinlichkeit für den Eintritt eines Schadens als auch dessen mögliches Ausmaß berücksichtigt werden. Die Hauptaufgabe von CISOs besteht jedoch nicht darin, die Risiken eigenhändig zu beheben. Stattdessen fungieren sie als wertvolle Vermitt- ler und Brückenbauer zwischen IT, Sicherheit und der Unternehmensführung. Ihr Ziel ist es, ein Bewusstsein für die bestehenden Risiken zu schaffen und diese in einen unternehmerischen Kontext zu setzen. Sie betrachten Sicherheitsri- siken nicht nur auf technischer Ebene, sondern immer im Gesamtkontext des Geschäftsbetriebs. Das Management kann dann entscheiden, ob es das Risiko ignorieren, akzeptieren oder im besten Fall mindern möchte, indem Maßnah- men zur Behebung und Eindämmung ergriffen werden. VORTEILE EINER AUSLAGERUNG Kostenkontrolle Das Gehalt von CISOs kann je nach Unternehmen stark variieren. Mit mindestens 100.000 Euro im Jahr ist jedoch auf jeden Fall zu rechnen. Das sind Kosten, die vor allem kleine und mittlere Unter- nehmen oder Start-ups nicht immer aufbringen können. Hinzu kommt der allgemeine Fach- kräftemangel, der die Suche nach geeigneten Kandidaten erschwert. Weil jedoch jedes Unter- nehmen sich in Sachen IT-Sicherheit strategisch aufstellen sollte, um die Business Continuity und den langfristigen Erfolg zu gewährleisten, kann in solchen Fällen das Outsourcing an einen CISO- as-a-Service-Anbieter eine gute Wahl sein, um

SCHWERPUNKT: SICHERHEIT IN UND AUS DER CLOUD Sicherheitsprogramme professionell umzuset- zen und Kosten zu sparen. Hohe Flexibilität Unternehmen, die auf das Modell CISO as a Service setzen, können außerdem von flexib- len Abo-Modellen profitieren und sind nicht an langfristige und gegebenenfalls schwer kündba- re Arbeitsverträge gebunden. Das Modell bietet Flexibilität und ermöglicht es Unternehmen mit einem ausgeprägten Saisongeschäft, bedarfs- gerecht zu steuern und bei Auslastungsspitzen hochzuschrauben. Auch kann ein CISO-as-a-Ser- vice-Modell eine gute Interimslösung sein, bis eine offene Stelle besetzt wurde. Umfassende Erfahrung und Know-how Was gelegentlich als potenzieller Nachteil des CISO-as-a-Service-Modells angesehen wird, erweist sich tatsächlich als eine seiner größ- ten Stärken: Die Experten, die solche Dienste anbieten, arbeiten für eine breite Palette von Unternehmen. Dies bedeutet, dass sie Einblicke in verschiedene Branchen, IT-Infrastrukturen und Unternehmensgrößen haben und mit einer Vielzahl von Sicherheitsvorfällen sowie aktuellen Angriffstaktiken vertraut sind. Aufgrund dieses umfangreichen Erfahrungsschatzes sind sie in der Lage, fundierte Risikobewertungen durchzu- führen und Sicherheitsstrategien abzuleiten. Die Sorge mancher Unternehmen, nicht oberste Priorität zu haben, kann durch entsprechende Service Level Agreements (SLAs) abgemildert werden. Einige Anbieter, die ihre Beratungs- dienste in Kombination mit SOC as a Service (Security Operations Center) anbieten, stellen sogar jedem Kunden einen eigenen Berater aus einem sogenannten Concierge-Security-Team zur Verfügung. Dieser Berater dient als ständi- ger Ansprechpartner für Fragen und fungiert als Sparringspartner und Berater für die Planung, Umsetzung und Verbesserung der IT-Sicher- heitsstrategie. WAS UNTERNEHMEN BEACHTEN SOLLTEN Auf langfristige Partnerschaft setzen Wie zu Beginn erwähnt, ist ein guter CISO ei- ner, der das Unternehmen mit seinen Abteilun- gen, Akteuren und Prozessen genau kennt und versteht. Dazu braucht er das Vertrauen aller Beteiligten. Denn nur so erhält er oder sie tiefe Einblicke und die Informationen, die es wirklich . m o c . e b o d a k c o t s - t u w a h t u N : d l i B braucht: Wo hakt es aktuell? Welche Sicherheits- lücken sind inoffiziell bekannt, wurden intern aber noch nicht kommuniziert? An welchen Stellen werden Sicherheitsmaßnahmen ausge- hebelt, weil sie Arbeitsprozesse erheblich behin- dern, – um nur einige Beispiele zu nennen. Wer auf einen CISO as a Service setzt, sollte sich daher vorher überlegen, wie lange der externe Support eingesetzt werden soll. Die Sicherheits- experten müssen sich mit dem Unternehmen, dessen IT-Infrastruktur und Business-Prozessen vertraut machen, um maßgeschneiderte und belastbare strategische Empfehlungen geben zu können. Geht es beispielsweise lediglich um die Risikobewertung bei der Implementierung einer neuen Technologie, kann eine externe Be- ratungsfirma, die themenzentrisch arbeitet, die bessere Lösung sein. Wer beste Ergebnisse mit dem CISO-as-a-Ser- vice-Modell erreichen möchte, sollte an einer langfristigen Partnerschaft und nicht an einer On-Off-Beziehung interessiert sein. Es kann sinnvoll sein, auf einen Partner zu setzen, der bereits mit weiteren IT-Projekten im Unterneh- men betraut ist. Doch Achtung: Insbesondere bei bestimmten Service-Kombinationen kann es zu Zielkonflikten kommen. Wenn beispielsweise die eingesetzten Netzwerkdienste vom gleichen Anbieter bereitgestellt werden wie der CISO- as-a-Service-Dienst, kann es passieren, dass die Anbieter ihre Kunden weniger auf eigene Unzu- länglichkeiten hinweisen. Das kann absichtlich passieren oder aus eigener Betriebsblindheit. Daher sollten Service-Kombinationen im Voraus und im Hinblick auf die Segregation of Duty, sprich die Funktionstrennung, überprüft werden. Keine Strategie ohne Operations Mit einem CISO holt man sich einen strategi- schen Experten ins Haus. Ein CISO allein löst jedoch nicht die Sicherheitsprobleme. Denn nachdem Risiken erkannt und eine Sicherheits- strategie aufgestellt ist, geht es an die Umset- zung sowie die kontinuierliche Überwachung der Sicherheitsinfrastruktur. Dazu braucht es ein ausreichend großes und qualifiziertes Team. Ist dieses intern nicht verfügbar, können auch hier externe Sicherheitspartner helfen. SOC-as- a-Service-Anbieter bieten Security-Operations- Dienste und fungieren als verlängerte Werkbank der internen Teams. Einige Anbieter kombinieren reaktive SOC-Dienste, wie 24/7 Monitoring und Threat Detection & Response mit proaktiven Be- ratungsdiensten zur langfristigen Verbesserung der Security Posture und bieten Unternehmen so eine Rundum-Unterstützung. Die Verantwortung bleibt beim Unternehmen Die Nutzung eines externen CISO-Dienstes be- deutet nicht, dass Unternehmen die gesamte Verantwortung für die IT-Sicherheit abgeben. Das müssen sich Entscheider und das Manage- ment bewusst machen. Im besten Fall holen sie sich mit einem solchen Dienst einen starken Partner an Bord, der mit unverstelltem und un- voreingenommenem Blick die IT-Infrastruktur analysiert, Risiken identifiziert und Empfehlun- gen gibt, mit welchen Maßnahmen man diese Baustellen möglichst schnell beheben kann. Die Verantwortung liegt jedoch beim Unternehmen. Es muss entscheiden, welche Risiken akzep- tiert und welche mitigiert werden sollen. Umso wichtiger ist es, einen kompetenten Partner zu wählen, auf dessen Einschätzung man vertrauen kann. Logisitik und Scope klären Wenn ein externer Partner wichtige Sicher- heitsaufgaben übernimmt, müssen gleich zu Beginn die Rahmenbedingungen der Kooperati- on geklärt werden. Dazu gehört zum einen eine genaue Definition der Aufgaben, die der externe CISO-Service übernehmen soll. Dies kann im Laufe der Zeit jedoch auch immer wieder ange- passt werden. Außerdem muss genau definiert werden, wie häufig und an wen externe Sicher- heitsberater berichten, beziehungsweise in wel- cher Frequenz Status-Updates und Strategieplä- ne besprochen und erarbeitet werden. Werden die genannten Aspekte berücksichtigt, sind CISO-as-a-Service-Modelle eine wirtschaft- lich und sicherheitstechnisch attraktive Lösung, von der insbesondere kleine und mittlere Unter- nehmen häufig stärker profitieren als von einem eigenen CISO und von einem kompletten inter- nen IT-Sicherheitsteam. n DR. SEBASTIAN SCHMERL, Director Security Services EMEA bei Arctic Wolf IT-SICHERHEIT_5/2023 25

– ADVERTORIAL – OT-Sicherheit Gefährdungslage bleibtkritisch 94 Prozent der im Jahr 2022 beobachteten mehrstufigen Ransomware-Attacken von LockBit 3.0 & Co. wirkten sich auf Produktionsumgebungen aus und sorgten für Schäden. Fehlende Fachkräfte und ineffektive IT-Sicherheitslösungen bringen jedoch keine Entlastung. Abhilfe durch kontinuierliche und automatisierte OT-Sicherheit schafft stattdessen das gerätebasierte OT-Zero-Trust-Konzept von TXOne Networks. M anufacturing X war eines der Schlagworte auf der diesjährigen Hannover Messe Industrie. Die Weiter entwicklung des Industrie-4.0-Konzepts mit der Cloud-Komponente zusammen mit den Möglichkeiten der 5G-Telekommunikation ermöglicht eine ganze Reihe innovativer Anwendungsfälle. Der digitale Wandel in der Industrie setzt an diesen Herausforderungen wie der Predictive Maintenance an, um sie im kleinen Maßstab in einzelnen Fabriken zu erproben. Daten werden over-the-air ausgetauscht, analysiert und die Erkenntnisse werden zur Optimierung der Operational Technology (OT) genutzt. Dazu gehören Sensoren, speicherprogrammierbare Steuerungen (PLC), dezentrale Steuerungssysteme (DCS), CNC, Gebäudeautomatisierungssysteme (BAS) und übergeordnete Steuerungs- und Datenerfassungssysteme (SCADA). All diese Geräte haben gemein, dass sie drahtlos über standardisierte Netzwerkprotokolle kommunizieren, um Daten von jedem physischen System an einen zentralen Server zu übermitteln. IT/OT-Konvergenz bedeutet heute mehr als nur die Möglichkeit des 26 IT-SICHERHEIT_5/2023 Fernzugriffs über das Internet. Die Ergebnisse der ausgewerteten Sensordaten sind für Unternehmen pures Gold, das wissen leider auch Cyberkriminelle. 94 Prozent der im vergangenen Jahr beobachteten IT-Sicherheitsvorfälle hatten auch Auswirkungen auf die OT, das zeigen die Ergebnisse des Insights Into ICS/OT Cybersecurity 2022-Berichts von TXOne Networks. Immer öfter zielen Cyberangriffe wie eine mehrstufige Erpressung nach einem Ransomware-Vorfall auf Produktionsumgebungen ab. Stehen die Bänder still, wird es schnell teuer. Das Problem dabei ist, dass jede Minute Geld kostet und Ausfälle – gerade in der Produktion - nur schwer zu verheimlichen sind. Auslöser ist auch hier der Klick auf eine Phishing-E-Mail und die mangelhafte Absicherung der vernetzten IT/OT-Umgebung. Beispiele hierfür sind die Aktivitäten von Gruppierungen wie Black Basta, Pandora und LockBit 3.0. Opfer finden sich in der verarbeitenden Industrie, im Energiesektor, in der Lebensmittelbranche sowie im Gesundheitswesen wieder und das weltweit. m o c . e b o d a k c o t s - . . u t S y r o t c i V f O y a D : d l i B

– ADVERTORIAL – die Bedrohungslage durch Ransomware & Co. steigt, scheuen sie das Risiko von Produktionsausfällen durch fehlgeleitete Scans und Patches. Nicht nur die Intervalle, in denen moderne OT-Software aktualisiert werden muss, verkürzen sich, auch Sicherheitssoftware ist davon betroffen. Vor allem Bedrohungsinformationen müssen regelmäßig aktualisiert werden – ein Alptraum für OT-Verantwortliche. IT-Sicherheit im Einklang mit OT-Sicherheit Die Belange der IT-Sicherheitsbeauftragten, den Zugriff von Externen auf die Netzwerke – sei es Office-IT oder -OT – einzuschränken, teilt die OT, nicht aber die Mittel und Wege, die sie dafür aufwenden und beschreiten. Eine bessere Zusammenarbeit muss genau an dieser Stelle ansetzen. In OT/ICS-Netzarchitekturen hat die Verfügbarkeit Vorrang vor der Vertraulichkeit, und bei den meisten Entscheidungsprozessen steht die Produktivität im Vordergrund. Im Zuge des technologischen Fortschritts müssen beide Seiten die entsprechenden Strategien koordinieren und enger zusammenarbeiten, um eine durchgängige Informationssicherheit zu erreichen. Darüber hinaus müssen sich IT-Sicherheitsverantwortliche eingestehen, dass sie in anspruchsvollen OT-Umgebungen mit traditioneller IT-Sicherheitssoftware auf verlorenem Posten stehen. Das Verständnis für größere Anstrengungen bei der Absicherung von OT-Umgebungen vor Cyberbedrohungen ist bei den Unternehmen über die Jahre gewachsen. Dennoch stellt sich die Frage, warum es immer noch zu Vorfällen kommt. Die Antwort liegt im Einsatz von IT-Lösungen anstelle von OT-Cybersicherheitslösungen in der OT-Umgebung. Viele Unternehmen erwägen die Wiederverwendung bereits eingesetzter IT-Lösungen im OT-Bereich. Weitere Gründe sind der Fachkräftemangel in der Cybersicherheit, Konfigurationsfehler, Schatten-OT oder auch veraltete Software, die aus verschiedensten Gründen nicht gepatcht und nicht ausreichend abgesichert ist. Lösungsansatz: OT-Zero Trust Moderne OT-Sicherheitssoftware, die auf dem Zero-Trust-Konzept basiert, mindert die Gefahr, Opfer eines Ransomware-Vorfalls zu werden. OT-native Lösungen wie die von TXOne Networks sind speziell auf die Anforderungen der OT zugeschnitten. Sie verstehen die spezifischen Protokolle und den gewünschten Output dieser Maschinen, um Veränderungen, böswillige Rekonfigurationen und den Missbrauch von OT-Ressourcen zu verhindern. Dafür nehmen sie eine kontinuierliche Überprüfung der OT-Umgebung vor und setzen Zero Trust mit einer gerätezentrierten Perspektive um. Wenn der gesamte OT-Security- Ansatz darauf ausgerichtet ist, dann findet eine kontinuierliche und automatisierte Sicherheitsüberprüfung jedes OT-Geräts statt – und dies während des gesamten Lebenszyklus. n Mehr über das OT-Zero-Trust-Konzept erfahren Sie hier: https://www.txone.com/getting-started/the-ot-zero- trust-handbook/ IT-SICHERHEIT_5/2023 27 Abbildung 1: Cybersicherheitsvorfälle durch LockBit in 2022 in der Übersicht (Quelle TXOne Networks 2023) OT-Betrieb vs. IT-Sicherheit Gründe für die sich zuspitzende Bedrohungslage liegen in der eingangs beschriebenen zunehmenden Komplexität der OT und der mangelnden Transparenz der Sicherheitsfunktionen von Drittanbietern. Daraus entstehen ernsthafte Herausforderungen für die IT-Sicherheit der betroffenen Unternehmen. Die Ergebnisse einer aktuellen Studie zeigen, dass lediglich 6 Prozent der Unternehmen ihre Windows-Geräte zu 100 Prozent durch Endpoint-Security-Lösungen absichern. Und das, obwohl 93 Prozent der Unternehmen mindestens eine OT-Cyber sicher- heitslösung implementiert haben. Auch wenn 85 Prozent planen, ihre OT-Sicherheitskapazitäten in Zukunft zu erweitern, bleibt die Ungewissheit, ob angesichts dieser Zahlen eine lückenlose Überwachung gelingen kann. Die Diskrepanz liegt vor allem in den vielen Geräten, die der IT-Sicherheit unbekannt sind und durch die Vernetzung von IT und OT miteinander kommunizieren. Diese zum Teil kritischen Steuerungen nutzen häufig Betriebssoftware, die sich nur schwer regelmäßig aktualisieren lässt. Noch schwieriger ist es, zeitkritische Patches einzuspielen, beispielsweise wenn CERT-Bund, CISA und vergleichbare Organisationen ihre Schwachstellen- Advisories herausgeben. Industriesteuerungen reagieren empfindlich auf Eingriffe, vor allem, wenn ihre CPUs mit der Verarbeitung von mehrstufigen Produktionsaufträgen beschäftigt sind. Die Komplexität entsteht bereits bei der Ausführung von einfachen Scans der Sicherheitssoftware auf den Geräten. Aus diesem Grund führen viele der Lösungen nur passive Scans durch, die nicht immer zu den gewünschten Ergebnissen führen. Die Herausforderung für die IT-Sicherheitsteams besteht also zusätzlich darin, dass ihnen der Einblick in die Prozesse fehlt, die auf den Geräten ausgeführt werden. Obwohl vielen OT-Verantwortlichen bewusst ist, dass

IT-RECHT | KÜNSTLICHE INTELLIGENZ Was bei der strategischen Planung und Umsetzung von KI-Modellen wichtig ist MLOpsalsSteuerungs- vehikelinKI-Projekten E ine effektive Governance ist entscheidend für den Erfolg von KI-Projekten, da sie den Rahmen für die frühzeitige Erkennung von technischen und regulatorischen Risiken bildet. Sie ermöglicht auch eine reibungslose Skalierung im Betrieb, reduziert Kos- ten und Komplexität und gewährleistet Transparenz für Stakeholder. Um ihr volles Potenzial auszuschöp- fen, muss die Governance jedoch spezifisch auf die Bedürfnisse und Anwendungsfälle des Unternehmens zugeschnitten sein. Unterschiedliche technische und regulatorische Anforderungen müssen je nach An- wendungsfall berücksichtigt werden. Die komplexen Herausforderungen können effektiv durch den Einsatz von MLOps als geeignetem Prozesswerkzeug bewältigt werden. KI IM UNTERNEHMEN Der Einsatz von KI darf nie Kunst um der Kunst Willen sein, nur um Buzzwords zu bedienen und KI auf das Etikett schreiben zu können. Unternehmen, die bislang wenig oder keine Erfahrung mit KI-Projekten haben oder bisher keine erfolgreichen KI-Projekte umsetzen konnten, sollten zuerst überlegen, wo KI sinnvoll ein- gesetzt werden kann. Es ist wichtig, das eigentliche Ge- schäftsproblem zu verstehen und zu überlegen, wie KI dabei helfen kann, es zu lösen – aber auch zu erkennen, wo ihre Grenzen liegen. Es lassen sich für KI-Use-Cases drei Haupteinsatzgebiete identifizieren. Ihre Grenzen sind zueinander fließend. Unterstützung bei der Entscheidungsfindung Beispiel: KI-Modelle lassen sich zur frühzeitigen Erken- nung geopolitischer Krisenherde einsetzen, um Invest- mentscheidungen zu treffen (zum Beispiel Verlagerung von Investments). Prozessoptimierung und -automatisierung Beispiel: KI-basierte Algorithmen helfen Ärzten, Biomar- ker oder Muster in bestimmten Gesundheitsparametern von Patienten zu entdecken. 28 28 IT-SICHERHEIT_5/2023 IT-SICHERHEIT_5/2023 Machine Learning Operations, oft abgekürzt als MLOps, spielen eine entscheidende Rolle in der Entwicklung, Bereitstellung und Wartung von künstlicher Intelligenz (KI) und Machine-Learning-(ML)-Modellen. MLOps umfassen bewährte Praktiken, Methoden und Tools, die darauf abzielen, den gesamten Lebenszyklus von ML-Modellen zu verwalten und zu opti-mieren. Dieser Beitrag skizziert die unterschiedlichen Projektphasen datengetriebener KI-Projekte und gibt eine Handreichung, die gesetzlichen Anforderungen mithilfe von MLOps nachhaltig und innovationsfreundlich umzusetzen. So wird sich der initiale Mehrauf-wand, der mit einer planvollen Herangehensweise verbunden ist, sukzessive amortisieren und das Projekt den gewünschten Return on Investment (ROI) liefern.

IT-RECHT | KÜNSTLICHE INTELLIGENZ Innovieren bestehender Produkte und Dienstleistungen Beispiel: Predictive-Maintenance-as-a-Service (PMaaS) bei Industrie-4.0-Anwendungen In diesem Kontext bieten externe Anbieter die Möglich- keit der vorausschauenden Wartung als Dienstleistung an. Dies erlaubt kleineren Industrieunternehmen, ihre Wartungsanforderungen an Dritte zu übertragen und sich auf ihre Hauptkompetenzen zu fokussieren. Durch die Nutzung von „Predictive Maintenance as a Service (PMaaS)“ können Hersteller nicht nur Betriebskosten reduzieren, sondern auch die Laufzeit ihrer Anlagen ver- längern. Dank des Ansatzes „Software as a Service (SaaS)“ und der Gewährleistung bestimmter industrieller Verfüg- barkeiten können maßgeschneiderte Service-Level-Ver- einbarungen (SLAs) abgeschlossen werden. Diese verla- gern insgesamt das Investitionsrisiko vom Hersteller auf den PMaaS-Anbieter. Hierdurch können Hersteller Wett- bewerbsvorteile gegenüber ihrer Konkurrenz generieren. Bei der Suche nach sinnvollen Use-Cases kann zudem eine KI-Reifegradanalyse dienlich sein. Hier wird eine Inventur bereits bestehender KI-Assets vorgenommen. Das „AI Maturity Level“ gibt Aufschluss darüber, welche technischen Synergien genutzt werden können. Sie stellt sich aber auch als Gap-Analyse dar, auf deren Grundlage evaluiert werden kann, welche Ressourcen noch fehlen und benötigt werden. Sobald ein Anwendungsfall identifiziert wurde, ist es wichtig, ihn zu priorisieren und sicherzustellen, dass die Zustimmung der beteiligten Parteien gegeben ist. HÜRDEN BEI DER IMPLEMENTIE- RUNG VON KI IM UNTERNEHMEN In der Praxis misslingt bei KI-Projekten häufig die Über- führung von Prototypen aus der Pilotphase in den Pro- duktivbetrieb. Wenn das KI-Projekt am „Proof of Con- cept“ scheitert, kann dies viele Ursache haben. Häufig entsteht ein Verschleiß durch falsche Arbeitsteilung. Bei- spielsweise sind Data Scientists hervorragend befähigt, KI-Modelle und deren Performance zu optimieren. Sie verfügen jedoch oftmals nicht über die erforderliche Ex- pertise, KI-Modelle auch produktiv zu betreiben. Dafür ist zusätzliches Know-how in den Bereichen Software- und Data-Engineering erforderlich. Damit KI-Use-Cases Compliance-konform entwickelt und marktreif lanciert werden können, bedarf es zudem projektphasenübergreifend einer abgestimmten Legal Governance, um später nicht an der Schlussfreigabe zu scheitern. Als Beispiel sei hier insbesondere der Artifi- cial Intelligence Act (AIA) angeführt, der horizontal, also sektorenübergreifend, einen Rechtsrahmen für „trust- worhty AI“ schaffen will. Das Gesetz befindet sich aktuell im Trilog. Es ist zu erwarten, dass die Einigung zwischen EU-Parlament, EU-Kommission und EU-Rat über die finale Fassung der Verordnung noch Ende dieses Jahres erreicht werden kann. Da der AIA voraussichtlich eine Umsetzungsfrist von zwei Jahren vorsehen wird, werden die gesetzlichen Anforderungen wohl erst im Jahr 2026 konkret umzusetzen sein. Damit scheint das Gesetz cura posterior zu sein. Da die Anforderungen aus dem AIA jedoch komplex und vielschichtig sind und KI-Projekte eine längere Vorlaufzeit benötigen, ist es unbedingt an- gezeigt, bereits heute adäquate Vorkehrungen treffen. Für bestimmte KI-Anwendungen, die durch den AIA als hochrisikoreich klassifiziert werden, müssen nach Er- wägungsgrund (ErwG.) 46 AIA Informationen darüber bereitgehalten werden, wie diese Systeme entwickelt wurden und wie sie während ihres Lebenszyklus funkti- onieren. Dies erfordert die Führung von Aufzeichnungen und die Verfügbarkeit einer technischen Dokumenta- tion, die alle relevanten Informationen enthält, damit die Einhaltung der einschlägigen Anforderungen durch das KI-System beurteilt werden kann. Diese Informatio- nen sollten die allgemeinen Merkmale, Fähigkeiten und Grenzen des Systems, die verwendeten Algorithmen, Daten, Trainings-, Test- und Validierungsverfahren sowie die Dokumentation des einschlägigen Risikomanage- mentsystems umfassen. Fehlen dafür adäquate Metho- den, kann eine Compliance der KI-Modelle nicht ge- währleistet werden. Auch lassen sich die Betriebskosten des KI-Projektes dann nur unzulänglich bemessen. KI-LIFECYCLE-MANAGEMENT MITHILFE VON MACHINE- LEARNING-OPERATIONS Der gesamte Lebenszyklus von KI-Anwendungen lässt sich mithilfe von „Machine Learning Operations“ (MLOps) abbilden und managen. Dabei handelt es sich um ein technisch-organisatorisches Tool, welches drei Fachbereiche miteinander verzahnt: Maschinelles Lernen Software-Engineering und Data Engineering. Es erleichtert also die interdisziplinäre Teamarbeit zwi- schen Data Scientists, Softwareentwicklern und Deve- lopment-and-Operations-(DevOps)-Teams. Dies ermög- licht eine verschleißfreie Entwicklung von KI-Modellen in deren Produktionsumgebungen. Auch kann MLOps durch integrierte Compliance-Prozesse in den unter- schiedlichen Projektphasen bei der Einhaltung von ge- setzlichen Anforderungen helfen. Auf diese Weise lassen sich die Modelle schnell und rechtssicher bereitstellen. Damit sind Unternehmen in der Lage, ihren KI-Use- IT-SICHERHEIT_5/2023 IT-SICHERHEIT_5/2023 29 29

IT-RECHT | KÜNSTLICHE INTELLIGENZ Case zuverlässig zu steuern, sodass er im Produktivbe- trieb skaliert. Durch den iterativen Ansatz gewährleistet MLOps zudem die rasche Weiterentwicklung und Ver- besserung der Modelle. Je nach KI-Reifegrad des Unternehmens bieten sich unter- schiedliche Schritte für die Implementierung von MLOps an. Hier ist die individuelle Ausgangsituation des Unter- nehmens entscheidend. Sie muss mit den gesteckten Zie- len abgeglichen werden. So können individuelle Schwer- punkte bei der Einführung von MLOps gesetzt werden. Im Wesentlichen umfasst der iterative MLOps-Kreislauf aber die einzelnen Machine-Learning-Prozessschritte Entwicklung, Validierung, Bereitstellung und Überwachung von KI-Anwendungen. ENTWICKLUNG Rollen der Stakeholder definieren Für die erfolgreiche Entwicklung eines KI-Systems ist die Zusammenarbeit verschiedener Disziplinen ent- scheidend. Die Datenbeschaffung und Bereinigung übernehmen Data Engineers. Data Scientists können mithilfe der kuratierten Daten die Modelle trainieren. Software-Engineers helfen, die Machine-Learning-Pipe- lines zu optimieren. DevOps Teams sorgen für einen reibungslosen Betrieb durch Continous Integration und Deployment (CI/CD) sowie für das Monitoring der betriebenen KI-Modelle. Die Business-Abteilung konzentriert sich auf das Definieren der „Key Perfor- mance Indicators“ (KPIs) und auf die Kommunikation mit den Stakeholdern. Juristische Consultants sollten in den gesamten Lebenszyklus der KI involviert sein, da innerhalb zeitlich und organisatorisch getrennter Pro- jektschritte Datenverarbeitungsphasen und damit auch gesetzliche Rechtmäßigkeitsanforderungen variieren können. Insbesondere der AIA orientiert sich bei der Steuerung der Risiken von Hochrisiko-KI-Anwendungen stark an den einzelnen Abschnitten eines KI-Lebenszyklus. Für Entwickler von Hochrisiko-Anwendungen sieht der AIA umfangreiche neue Pflichten vor. Die Art. 8–15 AIA bil- den einen Maßnahmen- und Designkatalog in Bezug auf Risikomanagement, Daten-Governance, Technische Dokumentation, Aufzeichnungspflichten, Transparenz und Bereitstellung von Informationen für die Nutzer, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. Die einzelnen Anforderungen kommen in unterschied- lichen MLOps-Phasen zum Tragen. Einige Anforderun- gen können aber auch in mehreren Phasen Bedeutung erlangen. Dies macht das KI-Compliance-Management besonders komplex. Art. 14 AIA regelt etwa die menschliche Aufsicht. Nach dem neuen Parlamentsentwurf (AIA-ÄndV-P) muss nach Art. 14 Abs. 4 lit. e eine natürliche Person das System durch einen „Stopp“-Knopf oder ein ähnliches Verfah- ren unterbrechen können. Diese Anforderung wird also bereits in der Entwicklungsphase beim Design wichtig. Nach Art. 14 Abs. 1 AIA-ÄndV-P müssen natürliche Per- sonen, die mit der menschlichen Aufsicht betraut sind, über ein ausreichendes Maß an KI-Kenntnissen verfü- gen, um diese Funktion während der Nutzung des KI- Systems auszuüben. Diese Anforderung greift also erst in der Überwachungsphase. Ohne juristische Consultants, die mit den einzelnen Anforderungen in den jeweiligen Phasen vertraut sind, besteht die Gefahr, mit einem Bußgeld belegt zu werden und sich großen Haftungsrisiken auszusetzen. Data Flow Mapping durchführen Durch das Verfahren des „Data Flow Mappings“ wer- den die wichtigen Datenflüsse innerhalb des Unterneh- mens identifiziert und untersucht. Dadurch können die beteiligten Personen ein gemeinsames Verständnis von verschiedenen Aspekten des Projekts gewinnen, insbe- sondere im Hinblick auf datenrechtliche Fragestellungen und Risiken (Datenrecht ist der Überbegriff für Daten- schutz- und Datenwirtschaftsrecht. Letztere Disziplin unterteilt sich in Datenregulierungs- und Datenprivat- recht). Dabei werden nicht nur Informationen betrach- tet, die sich auf personenbezogene Daten beziehen, sondern auch allgemeine Datenflüsse. KI nutzt große Datenmengen, von denen nur ein Teil persönliche In- formationen sind, um autonom und anpassungsfähig zu lernen. Wichtige Teile des Projekts beinhalten die Migra- tion oder Integration von Daten. Ohne ein valides Data Flow Mapping können Projekte dieser Datendimension kaum gelingen. Anhand der visualisierten Datenflüs- se kann eine daten(schutz)rechtliche Ersteinschätzun- gen getroffen werden, so etwa zum anwendbaren Recht, den Verarbeitungsvorgängen, den Rechtsgrundlagen, zur Sensibilität der Daten und dem daraus abgeleite- ten Schutzniveau sowie zur relevanten Problematik der Drittlandtransfers, die besonders bei cloudbasierten KI- as-a-Service-Projekten von Bedeutung ist. Bereits zu Projektbeginn ist eine tiefgehende rechtliche Analyse der zunächst rein technisch definierten Daten- flüsse auf Basis des Data Flow Mappings unumgänglich. Was eine „Verarbeitung“ im datenschutzrechtlichen Sin- ne ist, bestimmt sich nicht allein nach der Art der Ver- wendung und Bereitstellung von Daten. Vielmehr muss dies normativ durch rechtliche Wertungen festgestellt und dokumentiert werden. Diese Tätigkeit fällt in den 30 IT-SICHERHEIT_5/2023

IT-RECHT | KÜNSTLICHE INTELLIGENZ ningsdaten der KI weiterverarbeitet werden. In diesen Konstellationen liegt eine Zweckänderung vor, die nur in sehr engen Grenzen gestattet ist. Aus diesem Grund be- darf es bereits vor der Eingabe von Daten in die KI einer präzisen Festlegung des Verarbeitungszwecks. Selbstler- nende Algorithmen zeichnen sich aber dadurch aus, dass sich die Zwecke der Verarbeitung parallel zur Weiterent- wicklung des KI-Systems dynamisch verändern können. Diese autonomen, adaptiven Änderungen sind kaum sicher vorhersehbar. Das ist der tiefere Grund dafür, dass die Verarbeitungszwecke nicht vor Beginn der Datenver- arbeitung monolithisch festgelegt werden können. Zudem ist die Nutzung und Weiterentwicklung von KI auf den Zugang zu Daten in hoher Qualität und Men- ge angewiesen. Fehlende oder minderqualitative Daten sind eine praktische Herausforderung. Dies konfligiert mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Danach müssen personenbezogene Daten unter anderem auf das für den konkreten Zweck einer Verarbeitung notwendige Maß beschränkt sein. Oftmals lässt sich in der Praxis das Spannungsverhältnis zu den Artt. 5 Abs. 1 lit. b und c DSGVO auflösen, indem der Umfang der genutzten personenbezogenen Trai- ningsdaten reduziert wird. Dies lässt sich auch bewerk- stelligen, ohne die Qualität der KI-Systeme zu beein- trächtigen. Hierfür werden nicht relevante Daten (teils unter großem Aufwand) herausgefiltert oder anonymi- siert. Zusätzlich kann auf synthetische Trainingsdaten, die auch über Drittanbieter zugekauft werden können oder auf datenschutzfreundliche Trainingsmethoden wie „föderales Lernen“, zurückgegriffen werden. Hier- durch lassen sich der Umfang der verarbeiteten Daten und die Rückschlüsse auf einzelne Betroffene reduzie- ren. Bezogen auf den Datenschutz ist an vielen Stellen also eine pragmatische und risikoorientierte Vorgehens- weise angezeigt. Hochrisiko-KI nach dem AIA muss ein neues Trainings- datenregime beachten. Insbesondere die Anforderungen an die Daten-Governance, die faktisch ein Trainingsda- tenregime darstellen, sind eine besondere Herausforde- rung. So schreibt Art. 10 Abs. 3 AIA vor, dass Trainings-, Validierungs- und Testdatensätze fehlerfrei und vollstän- dig sein müssen. Es ist praktisch unmöglich, die riesigen Datenmengen auf Fehlerfreiheit zu untersuchen. Diesem Umstand trägt glücklicherweise eine Änderung im Par- lamentsentwurf Rechnung, die aller Voraussicht nach im finalen Verordnungstext enthalten sein wird. Nach Art. 10 Abs. 3 AIA-ÄndV-P müssen die Trainingsdaten- sätze und gegebenenfalls die Validierungs- und Testda- tensätze einschließlich der Kennzeichnungen, relevant, hinreichend repräsentativ und angemessen auf Fehler überprüft und im Hinblick auf den beabsichtigten Zweck so vollständig wie möglich sein. IT-SICHERHEIT_5/2023 31 m o e.c b o d k.a c er - sto H. Bra u genuinen Kompetenzbereich projektbegleitender juristi- scher Consultants. Trainingsdatenset und Data Governance Hier sind zunächst datenschutzrechtliche Spannungen zu betrachten. Der Einsatz von KI dient häufig dazu, Er- kenntnisse zu gewinnen, die aus Sekundärverarbeitungen herrühren. Dieser Umstand birgt Konfliktpotenzial mit dem Datenschutzrecht. Personenbezogene Daten dürfen nach Art. 5 Abs. 1 lit. b DSGVO nur im Rahmen von vor der Verarbeitung festgelegter, eindeutiger und legitimer Zwecke verarbeitet werden. Jede darüber hinausgehende Verarbeitung bedarf einer separaten Rechtsgrundlage. Dies wird virulent, wenn personenbezogene Daten im Anschluss an die ursprüngliche Verarbeitung als Trai-

IT-RECHT | KÜNSTLICHE INTELLIGENZ Im Rahmen des Trainingsdatenset und der Daten-Gover- nance ist es darüber hinaus wichtig, Datensilos abzubau- en. Für das maschinelle Lernen sind unstrukturierte Da- ten besonders ergiebig. Viele Unternehmen sind jedoch nicht in der Lage, ihren Datenschatz zu heben, da dieser fragmentarisch über mehrere Systeme und Server verteilt brach liegt. Diese Datensilos müssen im Rahmen einer gelungenen KI-Strategie abgebaut werden. Daten sollten innerhalb des Unternehmens als digitale Assets betrach- tet werden; sie müssen über die Bereichsgrenzen hinaus nutzbar sein. Alle erhobenen Daten sollten in einer ein- heitlichen unternehmensweiten Datenplattform konso- lidiert und bereitgestellt werden. Hierfür bietet sich zum Beispiel ein Data Lake als „Single Source of Truth“ an, der ein regelmäßiges Neu- und Nachtrainieren von Modellen ermöglicht. Hier sollten Release-Kriterien definiert wer- den, um auch im notwendigen Zeitpunkt in der erforder- lichen Frequenz auf die Daten zugreifen zu können (das ist unter anderem für Echtzeitanwendungen relevant). Bei der Kuratierung der Daten ist darauf zu achten, dass zu viele Daten die KI funktionsunfähig machen können. Eine Datenhypertrophie führt zu einem Übertrainie- ren von Systemen des maschinellen Lernens. Die Kunst besteht also darin, für die Trainingsdaten die richtige Auswahl in der richtigen Menge zu treffen. Nur so kann auch einem sogenannten „Overfitting“ bei zu geringen Datensätzen entgegengetreten werden. Dabei passt sich das Modell zu stark an den Trainingsdatensatz an. In der Folge reagiert es nur noch sehr schlecht auf ungese- hene Daten. Damit werden Vorhersagen auf neue Daten schwieriger. Die Testphase dient der Probe aufs Exempel. Ein KI-Pro- jekt, das in der Testphase für 1.000 Datensätze funktio- niert hat, wird womöglich bei der Skalierung auf eine Mil- lion Datensätze an zuvor ungesehene Grenzen stoßen, da eine andere IT-Infrastruktur erforderlich ist. Dann lässt sich der Prototyp nicht im Produktivbetrieb skalieren. In diesem Fall müsste das IT-System also auch bei steigen- der Belastung ausgebaut werden können. Damit ist es wichtig, dass in der Testphase die realen Bedingungen der Bereitstellungsphase bereits mitbedacht werden. WEITERE MACHINE-LEARNING- PROZESSSCHRITTE Validierung Modelle werden nach ihrer Erstellung oft in einem über- prüfbaren Modell-Repository mit Versionskontrolle gespeichert, um ihre erneute Verwendung im gesamten Unternehmen zu erleichtern. Bereitstellung Nun erfolgt die Überführung des Modells ins Produktiv- system. Dazu gehört die Freigabe in einer realen Umge- bung oder die Implementierung in die Anwendung, für die es entwickelt wurde. Überwachung Zuletzt gilt es, das Modell kontinuierlich zu überwachen und seine Business- und Performance-Metriken zu ana- lysieren. Werden Abweichungen registriert, so wird das Modell neu trainiert oder es kommen optimierte Modelle zum Einsatz. So wird eine stetige Leistung gewährleistet. FAZIT Für nachhaltigen Erfolg bei der Entwicklung und Implementierung von KI-Anwendungsfällen ist eine durchdachte Herangehensweise von großer Bedeutung. Hierbei kann MLOps als wirksames Instrument dienen. Individuell auf die Bedürfnisse des jeweiligen Unterneh- mens zugeschnitten, ermöglicht MLOps eine beschleu- nigte Entwicklungsphase und entlastet die Teams für Entwicklung, Geschäftsführung und Datenverwaltung. So können diese sich besser auf ihre Kernstrukturen und spezifischen Aufgaben konzentrieren. Durch geschick- te Nutzung von Synergien kann die Einhaltung von KI-Vorgaben gestärkt werden. MLOps hilft dabei, die Anforderungen des AIA in bestehende Prozesse und rechtliche Dokumente zum Datenschutz zu integrieren. Dies ermöglicht eine reibungslosere Umsetzung von der Planung bis zum praktischen Einsatz und mindert das Risiko von Fehlinvestitionen. n PHILIPP MÜLLER-PELTZER ist Rechtsanwalt und Partner der Technologie- kanzlei Schürmann Rosenthal Dreyer Rechts- anwälte und spezialisiert auf das Daten- schutz-, IT-Recht und Digitales Business. Er berät Mandanten bei der rechtskonformen Umsetzung und Konzeptionierung digitaler Geschäftsmodelle. Ein Schwerpunkt seiner Tätigkeit liegt in der Bewertung und Ausarbei- tung von Datenverarbeitungsvorgängen, wobei er sich zuletzt auf die datenschutzrechtliche Ausgestaltung von KI- und Advanced Ana- lytics Anwendungen spezialisiert hat. www.srd-rechtsanwaelte.de ALEXANDER HOLZ ist in der ISiCO Datenschutz GmbH als Analyst tätig. Dort ist er insbesondere spezialisiert auf Datenrecht, KI-Compliance sowie die datenschutzkonforme Entwicklung und Nutzung öffentlicher und privater Blockchains. www.isico-datenschutz.de 32 IT-SICHERHEIT_5/2023 Foto: Kanzlei SRD

www.itsicherheit-online.com Heft im Heft Expo&Congress it-sa 2023 Von DevOps zu DevSecOps Microgateways als Wegbereiter für sichere Softwareentwicklung Mobile-Device- Management Die zehn wichtigsten Heraus- forderungen meistern Marküberblick Relevante Hersteller/Dienst- leister und ihre Angebote

EDITORIAL 34 SPECIAL_5/2023 IT-SA 2023 IMPRESSUM www.itsicherheit-online.com SPECIAL: it-sa 2023 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Sebastian Frank (S.F.) E-Mail: s.frank@kes.de Freie Mitarbeiter dieser Ausgabe: Stefan Mutschler (S.M.), freier Journalist stefan-mutschler@t-online.de Online-Redaktion: Jessica Herz (Leitung Online) herz@datakontext.com +49 2234 98949-80 Lisa Bieder, Konstantin Falke, Silvia Klüglich Janek Mazac, Chiara Schönbrunn Gründer: † Bernd Hentschel Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 29 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 129,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unver- langt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zu- stimmung des Verlags unzulässig und strafbar. Das gilt ins besondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: NürnbergMesse/Thomas Geiger, NürnbergMesse/Frank Boxler Fotos: Firmenbilder; DATAKONTEXT; (APchanel, Apinny, batjaket, Black coffee, Elena, SFIO CRACHO, tippapatt) - stock.adobe.com; BAYOONET; Panuwatccn/Shutterstock, ProStockStudio/Shutterstock; NürnbergMesse/Thomas Geiger, NürnbergMesse/Frank Boxler 29. Jahrgang 2023 · ISSN: 1868-5757 it-sa-SpecialDie Digitalisierung hat zweifellos einen tief-greifenden Einfluss auf unsere Lebens- und Arbeitsweise. Als Leserinnen und Leser der IT-SICHERHEIT ist es für Sie selbstverständ-lich, dass das Thema Informationssicherheit dabei in all seinen Facetten von herausra-gender Bedeutung ist. Sie wissen aber auch, dass es absolute Sicherheit nicht geben kann, wie der Ruf nach Cyberresilienz in den letzten Jahren immer wieder unterstreicht.Unternehmen und Organisationen können die komplexen Heraus-forderungen der Cybersicherheit nicht allein bewältigen. Zusammen-arbeit und Austausch sind unerlässlich, um digitale Infrastrukturen zu schützen. Deshalb trifft sich jedes Jahr ein Großteil der Branche auf der IT-Sicherheitsmesse it-sa in Nürnberg. Über 700 Aussteller prä-sentieren dort vom 10. bis 12. Oktober ihre Produkte, Lösungen und Dienstleistungen.Darüber hinaus erwartet die Teilnehmer ein vielfältiges Angebot: Das frei zugängliche Vortragsprogramm mit Expertenbeiträgen zu aktuellen Sicherheitsthemen aus den Bereichen Technik und Ma-nagement sowie die produktneutralen Vorträge und Diskussions-runden der Reihe „it-sa insights“ bieten Informationen zu aktuellen Angriffsvektoren und Abwehrmaßnahmen sowie zu Produkten und Lösungen. Die Special Keynote der it-sa 2023 hält der Kriminal- und Geheimdienstanalyst Mark T. Hofmann. Er zeigt auf, welche Motive Cyberkriminelle verfolgen, wer sie sind und wie wir uns mit diesem Wissen besser vor ihnen schützen können.Die IT-SICHERHEIT hat die Messe zum Anlass für ein umfang reiches it-sa-Special in dieser Ausgabe genommen. Was Sie in unseren Beiträgen nicht finden, sind Produktneuheiten und Firmenprofi-le. Vielmehr greifen wir aktuelle technische und strategische Trends in der IT-Security auf und erläutern diese anschaulich. Vieles davon werden Sie auf dem Rundgang durch die it-sa wiederfinden und – so unser Plan – einordnen können. Welche Know-how-Träger und Lösungsanbieter auf jeden Fall einen Messebesuch lohnen, erfahren Sie im Marktteil.Die IT-SICHERHEIT finden Sie am Stand von DATAKONTEXT in Halle 7, Stand 503.Viel Spaß bei der Lektüre und eine erfolgreiche Messe wünscht IhnenSebastian Frank

Inhalt 34 Editorial Anbieter 52 Top-Cyberschutz durch All-in-one-Ansatz 54 Sicherheit für Ihre IT-Infra struktur: Schützen Sie Ihr Unternehmen vor digitalen Bedrohungen 56 Kleine und mittlere Unternehmen sind bevorzugte Ziele für Cyberkriminalität 58 Proaktiv gegen Cyberattacken 60 Sicherheitskritische Ereignisse mit Argusaugen überwachen 62 Warum Applikations- und API-Sicherheit verschärfte Aufmerksamkeit erfordern Airlock bringt Top-Themen auf die it-sa 36 Was die Besucher dieses Jahr auf der it-sa erwartet Spitzen-Know-how und Lösungen in konzentrierter Form 40 Sicherheitsgetriebene Digitalisierung: Self-Service für Identity- und Access- Management IT-Security – Schutzschild und Treiber der Digitalisierung 42 So schützen sich mittelständische Unternehmen vor Cyberangriffen Cybersicherheit für das kleine Budget 44 Mit Zero Trust und NAC zur effizienten Sicherheitsstrategie Cyberkriminalität: Mittelstand im Fadenkreuz der Angreifer 46 Neue Studie: IT-Sicherheit im Mittelstand Drei Erkenntnisse, die Unternehmen schützen könnten 48 Wie Mobile-Device-Management Sicher heitsrisiken für Unternehmen reduziert Damit mobile Geräte nicht zum trojanischen Pferd werden 50 Wie Microgateways den Boden für Sicherheit in der Softwareentwicklung bereiten Von DevOps zu DevSecOps SPECIAL_5/2023 IT-SA 2023 35

Was die Besucher dieses Jahr auf der it-sa erwartet Spitzen-Know-how und Lösungen in konzentrierter Form Auf der it-sa Expo&Congress 2023 erwartet die Teilnehmer ein vielfältiges Informationsan- gebot. Das frei zugängliche Vortragsprogramm mit Expertenbeiträgen zu aktuellen Sicher- heitsthemen aus den Bereichen Technik und Management sowie die produktneutralen Beiträge und Diskussionsrunden aus der Reihe it-sa insights bringen das neueste Fach- wissen der Branche nach Nürnberg. Zusätzlich gibt es unter dem Dach Congress@it-sa ein vielseitiges Programm, zum Beispiel die Jahrestagung der IT-Sicherheitsbeauftragten in Ländern und Kommunen. V om 10. bis 12. Oktober 2023 wird das Messezentrum Nürnberg erneut zum „Home of IT Security“, wenn die it-sa Expo&Congress ihre Tore öffnet. Als Europas größte Fachmesse für IT-Sicherheit bietet sie eine beeindru- ckende Plattform für IT-Sicherheitsverantwortliche, Fachleute und Entscheidungsträger. Neben den über 700 bereits ange- meldeten Ausstellern wird den Besuchern ein umfassendes Rahmenprogramm geboten, das die neuesten Entwicklungen, Herausforderungen und Lösungen in der IT-Sicherheitsbran- che beleuchtet. Fachkräftemangel und Frauen in der IT-Sicherheit als Thema Eine der herausragenden Komponenten dieses Rahmen- programms sind die „it-sa insights“. Hierbei handelt es sich um produktneutrale Beiträge und Diskussionsrunden zu hochak- tuellen Themen. Diese reichen von der aktuellen IT-Sicher- heitslage über die europäische KI-Verordnung und den Data Act bis hin zum IT-Sicherheitsgesetz. Ein weiterer Schwer- punkt sind die beliebten Live-Hacking-Sessions, welche 36 SPECIAL_5/2023 IT-SA 2023

◀ Die Eingangshalle der it-sa. (Bild: NürnbergMesse/Thomas Geiger) immer wieder die Aufmerksamkeit eines breiten Publikums auf sich ziehen. Ein besonders drängendes Thema, dem sich die „it-sa in- sights“ widmen, ist der Fachkräftemangel in der IT-Sicher- heitsbranche. Mehrere Panels unter dem Motto „Women in Cybersecurity“ werden sich mit Fragen zur Förderung von Frauen in der IT-Sicherheit beschäftigen. Expertinnen aus IT- Sicherheitsunternehmen, Behörden und Forschungseinrich- tungen werden über Ausbildungsformate, -strategien und den Beitrag von Diversität zur Unternehmensstrategie sprechen. Preis für bestes Cybersecurity-Start-up Der ATHENE Startup Award UP@it-sa würdigt erfolgreiche Neugründungen und aussichtsreiche junge Unternehmen im Bereich IT-Sicherheit und Datenschutz. Innovative Produkte und attraktive Geschäftsmodelle stehen dabei im Mittelpunkt. Zu den Highlights zählt dieses Jahr etwa eine Enclavation- Technologie, die für ein Höchstmaß an Anwendungssicherheit und Datenschutz sorgen soll. Ein anderes Unternehmen prä- Unsere Kunden vergessen gerne, dass wir für sie da sind. Ihre Cyberangreifer nicht. Lassen Sie Cyberangreifer einfach gegen eine unsichtbare Wand laufen! Wehren Sie hochentwickelte und persistente Malware- und Phishing-Angriffe effektiv ab und verhindern Sie, dass Cyberkriminelle sensible Daten stehlen, Systeme lahmlegen, Konten plündern oder Lösegeld erpressen. Mit der patentierten Email Security von Retarus sichern Sie Ihr Unternehmen, Ihre Anwender und Daten zuverlässig gegen alle bekannten Cybergefahren und deren Folgen ab. Als Cloud-Gateway nahtlos integrierbar in jedes E-Mail-System. Egal, ob Cloud, Hybrid oder On-Premises. retarus.de MAKING A VISIBLE DIFFERENCE IN COMMUNICATION. Anzeige HALLE 7 STAND 109 Besuchen Sie Retarus am noris-Stand auf der diesjährigen it-sa in Nürnberg. sentiert eine Technologie für Quantencomputer, die einige ak-tuelle, mathematisch basierte Verschlüsselungstechnologien in Frage stellen werden. Das Start-up-Unternehmen entwi-ckelt Systeme zum Quantenschlüsselaustausch (Quantum Key Distribution, QKD), die auf verschränkten Photonen basieren. Der Pitch der insgesamt fünf Unternehmen um den begehrten Preis als bestes Cybersecurity-Start-up aus dem DACH-Raum ﬁndet am 11. Oktober statt. Der Award wird jährlich auf der it-sa Expo&Congress vergeben.Weitere Informationen zum ATHENE Startup Award UP23@it-sa: www.itsa365.de/up-awardZu den weiteren Preisverleihungen zählt unter anderem der IBCRM Resilience Award, der vorbildhafte Beispiele der engen Verzahnung von Informations- und IT-Sicherheit, Da-tenschutz, Business Continuity Management und anderen Disziplinen würdigt.Congress@it-sa mit Jahrestagung von IT-SicherheitsbeauftragtenParallel zur Messe bündelt Congress@it-sa fast 50 Know-ledge-Angebote und Workshops von Ausstellern. Auch in diesem Jahr ﬁndet die Jahrestagung der IT-Sicherheitsbe-auftragten in Ländern und Kommunen unter dem Dach des

Kongressprogramms zur it-sa statt. Die Themen im Kongress- programm reichen von Live-Vorführungen von Angriffen über rechtliche Informationen zur NIS2-Richtlinie, europä- ischer KI-Verordnung und der Bedrohung durch Quanten- Computing. Bereits am Vortag der Messe findet das Finale des CAST-Förderpreis IT-Sicherheit im Kongress statt, die Sieger werden am ersten Messetag im Forum gekürt. Keynote: „Hacking the Hackers“ Die Special Keynote der it-sa 2023 hält Kriminal- und Ge- heimdienstanalyst Mark T. Hofmann. „Hacking the Hackers“ zeigt, welchen Motiven Cyberkriminelle folgen, wer sie sind und wie wir uns mit diesem Wissen besser vor ihnen schüt- zen. Der Kriminal- und Geheimdienstanalyst gibt dabei Ein- Eindrücke vom Geschehen bei den „it-sa insights“ 2022. (NürnbergMesse/ Thomas Geiger) Forum C Forum D Forum E Forum B Forum Forum A A Service Point ServicePoint Öffnungszeiten: Di., Mi. 9–18 Uhr, Do. 9–17 Uhr Preise: Tageskarte: 55 € Dauerkarte: 90 € Parkticket: 12 €/Tag Verkauf über www.itsa365.de/de-de/it-sa-expo- congress/besuchen/tickets-und-preise Web: www.itsa365.de | www.it-sa.de Hallenplan der it-sa 2023 38 SPECIAL_5/2023 IT-SA 2023

Impressionen von der it-sa 2022. (NuernbergMesse/Frank Boxler) ▶ blicke in das Cyber-Profiling, spricht über die Zukunft des Social Engineering und darüber, wie Unternehmen eine menschliche Firewall aufbauen. Die Special Keynote findet am dritten Mes- setag im internationalen Forum statt. Mehr zum Vortrag erfahren Sie im Interview mit Mark T. Hofmann: www. itsa365/interview-keynote Attraktive Beteiligungs- möglichkeiten im Rahmen der it-sa 365 Weiterhin bietet die Messe auch etwas für alle, die zu Hause bleiben müssen: Über die digitale Plattform it-sa365, auf der sich mittlerweile rund 10.000 Mitglieder regelmäßig in- formieren und austauschen, wird die it-sa parallel zur Ver- anstaltung vor Ort online erlebbar. So werden Vorträge aus der Reihe „it-sa insights“ live ins Internet übertragen, und die User können an Live-Interviews mit Ausstellern teilnehmen. Das Angebot wird über „it-sa@home“ als eigener Programm- punkt auf der Plattform gebündelt. Insgesamt verspricht die it-sa Expo&Congress 2023 er- neut ein spannendes und informatives Event zu werden, das die aktuellen Entwicklungen und Herausforderungen in der IT-Sicherheitsbranche umfassend beleuchtet und einen um- fangreichen Rahmen für Networking und Wissensaustausch bietet. n S.M. Anzeige Wir sind IT-Sicherheit! Besuchen Sie uns auf der it-sa 2023. Halle 7 Stand 503

Sicherheitsgetriebene Digitalisierung: Self-Service für Identity- und Access-Management IT-Security – Schutzschild und Treiber der Digitalisierung In einer vernetzten Welt, in der Bedrohungen aus allen Richtungen lauern, ist IT-Sicherheit von entscheidender Bedeutung. Doch sie kann mehr sein als nur ein Abwehrmechanismus – sie kann auch zur treibenden Kraft hinter der Digitalisierung werden und gleichzeitig Un- ternehmenswerte schützen. Der Schlüssel dazu liegt in gezielten Sicher heits maßnahmen bei der Digitalisierungsstrategie und bei Self-Service-Lösungen, beispielsweise im Bereich des Identity- und Access-Managements. Diese sicherheitsorientierte Digitalisierung birgt vielfältige Vorteile. D igitalisierung ist die Antwort auf die Herausfor- derungen, denen Unternehmen in verschiedenen Branchen gegenüberstehen. Dennoch zeigt ein Blick auf reale Digitalisierungsprojekte in vielen deutschen Unter- nehmen, dass es noch Raum für Optimierung gibt. Zeit- und Budgetbeschränkungen sowie die Furcht vor Sicherheitsrisi- ken sind dabei maßgebliche Faktoren. Unternehmen müssen Expertenrat einholen oder eine dedizierte IT-Sicherheitsein- heit aufbauen, um eine angemessene Strategie zu entwickeln. Darüber hinaus ist es wichtig, Mitarbeiter durch Schulungen für Risiken zu sensibilisieren – eine Investition, die häufig ver- nachlässigt wird. Besteht nicht gleichzeitig das Risiko, Opfer eines Hacke- rangriffs zu werden, wenn Daten und Prozesse digitalisiert werden? Dies ist nur dann der Fall, wenn die Digitalisierungs- strategie Sicherheitslücken und Intransparenz zulässt. Unter- nehmen erkennen oft erst den Wert einer Investition in IT- Sicherheit, wenn bereits Schaden durch interne oder externe Angriffe entstanden ist. Doch es sollte nicht erst so weit kom- men. Die Zeit ist gekommen, um sich bereits im Vorfeld mit sicherheitsorientierter Digitalisierung zu beschäftigen. Wenn IT-Sicherheit zur Voraussetzung wird: kritische Infrastrukturen IT-Sicherheit ist ein Querschnittsthema, das für Unterneh- men branchenübergreifend von Bedeutung ist. Dies kann aus eigenem Antrieb geschehen, aber oft resultiert es auch aus rechtlichen Anforderungen. Unternehmen, die beispielswei- se wegen ihrer großen volkswirtschaftlichen Bedeutung be- sonders im öffentlichen Interesse stehen, unterliegen nun ge- mäß dem IT-Sicherheitsgesetz 2.0 denselben Verpflichtungen wie Betreiber kritischer Infrastrukturen. Dazu zählen etwa Bereiche wie Energie, Wasser und Gesundheit. Die Verpflich- tungen umfassen die Meldung von Sicherheitsvorfällen sowie die Einhaltung von Mindestschutzstandards für IT-Systeme. Die Umsetzung erfolgt durch Selbsterklärungen, Zertifizierun- gen, Sicherheitsaudits und -maßnahmen seitens der Unter- nehmen. Die Anforderungen werden stetig verschärft. Neben dem bundesweit gültigen IT-Sicherheitsgesetz 2.0 gibt es seit diesem Jahr auch die europäische Norm EU NIS-2, welche bis Oktober 2024 in nationales Recht überführt werden muss. Unter NIS-2 sind noch mehr Sektoren und damit eine größere Anzahl von Organisationen von Anforderungen an die IT-Sicherheit betroffen. Deren Nichteinhaltung wird mit hohen Geldstrafen geahndet. Sicherheitsgetriebene Digitalisierung: Wie gelingt der Einstieg? Der Beginn neuer Digitalisierungsinitiativen erfordert eine sorgfältige Abwägung von Risiken und Nutzen. Es ist rat- sam, die internen Prozesse zu analysieren, die immer noch größtenteils manuell ablaufen. Die Digitalisierung des Be- schaffungsantrags für einen neuen Bürostuhl hat dabei einen anderen Stellenwert als zum Beispiel die Prozesse zum Eintritt neuer Mitarbeiter oder das Zurücksetzen eines Passworts für unternehmenswichtige Systeme. Die steigenden Anforderungen, gesetzliche Normen und die ständige Bedrohung durch Hackerangriffe bieten die Mög- lichkeit für IT-Sicherheit, sowohl als Schutzschild als auch als Treiber der Digitalisierung zu fungieren und schnelle Erfol- ge zu erzielen. Fehler, die durch manuelle Prozesse entstehen, können durch spezialisierte Softwarelösungen minimiert werden, was gleichzeitig den Aufwand reduziert. Daher ist die Umsetzung von IT-Sicherheitsmaßnahmen im Kontext sicherheitsorientierter Digitalisierung ein logischer erster Schritt, da sie schnell sichtbare Vorteile bietet. Jedoch darf nicht übersehen werden, dass selbst die beste Sicherheitsstrategie nur dann wirksam ist, wenn sie von allen Mitarbeitern im Unternehmen akzeptiert und kontinuierlich umgesetzt wird. 40 SPECIAL_5/2023 IT-SA 2023

IT-Sicherheit durch Self-Service für Identity- und Access-Management Ein universelles Eintrittsticket für die digitale Unterneh- menswelt – das ist das Wesen des Identity-Managements. Es befasst sich mit der Verwaltung von Mitarbeiteridentitäten und ihren Zugriffsrechten – ein entscheidender Baustein, um Datenschutz und Compliance zu gewährleisten. Ganz gleich, ob über unterschiedliche Konten oder Ordner: Jeder Zugriff wird digital erfasst und nachvollziehbar gemacht – ein Sys- tem, das auf klaren Rollen und Regeln basiert. Doch in vielen Organisationen werden diese Prozesse noch manuell von der IT verwaltet. Laufzettel und Ticketan- fragen sind an der Tagesordnung, während die Dokumen- tation oft in Excel-Tabellen stattfindet. Diese Brüche im Sys- tem und die Hektik bei spontanen Abstimmungen erhöhen das Risiko von Angriffen und schaffen Intransparenz – ein Alptraum bei Audits. Es geht allerdings auch einfacher. Mit einer Software, die Mitarbeitern Self-Service anbietet, ergeben sich zahlreiche Vorteile. Durch aktive Teilnahme am Identity-Management schaffen Unternehmen ein Bewusstsein für IT-Sicherheit und gewinnen die Belegschaft als Verbündete für die Sicher- heitsstrategie. Die IT-Administration wiederum profitiert von weniger Anfragen, da die Selbstbedienung das Identitätsma- nagement erleichtert. Und das Beste: Durch automatisierte Zu- weisungen und Überwachung behalten Unternehmen stets den Überblick. passenden Durchwahlnummer beim Helpdesk? Der Schein von Sicherheit bei dieser Methode trügt leider auch. Viele Unternehmen verlagern die Aufgabe des Password Reset daher an sogenannte Key-User, die vor Ort von den Hil- fesuchenden kontaktiert werden. Dass gerade nach Urlaubs- zeiten Anfragen zum Password Reset stark ansteigen und dort Kapazitäten im Fachbereich binden, wird oftmals in Kauf ge- nommen. Nicht zu vergessen: Auch solche Vorgänge sind nur sehr eingeschränkt auditierbar. Self-Service als Wegbereiter der Digitalisierung? Diese Lösungen bieten Unternehmen und Mitarbeitern gleichermaßen zahlreiche Vorteile. Doch sind sie der Schlüs- sel zur sicherheitsgetriebenen Digitalisierung? Als wichtigste Voraussetzung für den Erfolg gilt Einfachheit. Ein einfaches, verständliches Tool, das nahtlos in den Arbeitsalltag inte- griert werden kann – ohne zusätzlichen Aufwand – steigert die Akzeptanz dank niedriger Hürden. Eine starke Akzeptanz wiederum ist der Schlüssel für den Erfolg einer Digitalisie- rungsstrategie. Beispiel: Password Reset Es ist ein altbekanntes Szenario: Nach dem Urlaub kehren Mitarbeiter zurück und haben ihr Passwort vergessen. Die He- rausforderung: Wie authentifiziert man sie zuverlässig? Bei großen Unternehmen mit vielen Standorten ist persönliche Bekanntschaft oft Fehlanzeige. Dennoch müssen die Identitä- ten bestätigt werden. Da der Helpdesk in der Regel nicht an allen Standorten vor- handen oder sogar komplett ausgelagert ist, besteht für Mit- arbeitende nur in Ausnahmefällen die Möglichkeit, persönlich mit einem Ausweis vorbeizukommen. Außerdem sind solche Prozesse schwer zu auditieren. Das gelegentlich noch prakti- zierte Zufaxen oder der E-Mail-Versand einer Ausweiskopie ist vor allem unsicher, aber auch umständlich. Ein Anruf mit der Eine einfache Lösung bieten Softwarelösungen, die einen Self-Service für das Zurücksetzen von Passwörtern rund um die Uhr ermöglichen. Ein sicherer Schritt in Richtung Digitali- sierung, der sich auch finanziell auszahlt. Fazit: Self-Service für mehr Sicherheit und Effizienz Self-Service ist ein Wegbereiter für die digitale Zukunft. Er schafft eine solide Grundlage für IT-Sicherheit und fun- giert gleichzeitig als Motor für Innovationen. Indem Un- ternehmen auf Self-Service-Lösungen setzen, schaffen sie Raum für ihre IT-Experten. Denn wenn die Mitarbeiter sich nicht mehr um jeden Schritt des Identitätsmanagements kümmern müssen, stehen wertvolle Ressourcen für weite- re Projekte zur Verfügung. n Franziska Weiß ist Head of Sales bei BAYOOSOFT. Julia Pfeffinger ist Content Marketing Managerin bei BAYOONET. SPECIAL_5/2023 IT-SA 2023 41 T E N O O Y A B : d l i B

. . m o c e b o d a k c o t s - e e f f o c k c a B l : d l i B So schützen sich mittelständische Unternehmen vor Cyberangriffen Cybersicherheit für das kleine Budget Kleine und mittlere Unternehmen (KMU) neigen oft dazu zu glauben, dass sie aufgrund ihrer Größe für Cyberkriminelle nicht attraktiv sind. Doch aktuelle Daten verdeutlichen, dass Cyberangriffe vor KMU nicht Halt machen. Laut einer aktuellen Studie zur Cyber- Resilienz [1] hat bereits mehr als ein Viertel (29 Prozent) der befragten deutschen Unter- nehmen mit 100 bis 500 Mitarbeitern einen Cyberangriff erlebt. Die erfreuliche Nachricht ist jedoch, dass KMU ihre Anfälligkeit für solche Angriffe durch einfache, kostengünstige Maßnahmen reduzieren können. D ie Verwendung von robusten Passwörtern ist nach wie vor von größter Bedeutung. Bei sogenannten Brute-Force-Angriffen versuchen Cyberangreifer, Zugriff auf digitale Ressourcen zu erlangen, indem sie eine Vielzahl von Passwörtern oder Passphrasen ausprobieren und darauf hoffen, zufällig die richtige Kombination zu finden. Um diese Art von Zugriff zu verhindern, ist die Einführung einer strengen Passwortrichtlinie unerlässlich. Starke Passwörter sollten mindestens acht Zeichen lang sein und eine Kombination aus Zahlen, Groß- und Kleinbuch- staben sowie Sonderzeichen enthalten. Wenn auch nur der geringste Verdacht besteht, dass ein Passwort kompromit- tiert wurde, ist es von entscheidender Bedeutung, es sofort zu ändern. Eine Sicherheitslösung mit integriertem Passwort- manager erleichtert es, für jede Anwendung ein individuelles Passwort zu verwenden, wobei auf starke, generierte Pass- wörter gesetzt wird, anstatt auf leicht zu erratende Gedanken- stützen. Software up-to-date halten Es ist wichtig sicherzustellen, dass Cyberkriminelle kei- ne Gelegenheit haben, von Sicherheitslücken zu profitieren. Oftmals machen Angreifer von offensichtlichen IT-Schwach- stellen Gebrauch. Eine aktuelle Untersuchung von Kaspersky zeigt, dass bei den befragten kleinen und mittleren Unter- nehmen (KMU) weltweit 54 Prozent der Cyberzwischenfäl- le auf bereits bekannte Schwachstellen in weit verbreiteten Anwendungen wie Microsoft Exchange zurückzuführen sind. Dies bedeutet, dass mehr als die Hälfte dieser Angriffe durch einfache Aktualisierungen hätten verhindert werden können. 42 SPECIAL_5/2023 IT-SA 2023 Daher ist es ratsam, Software-Updates nicht aufzuschie- ben. Wenn ein neues Update verfügbar ist, sollten Betriebssys- tem, Antiviren-Software, Browser, Treiber und alle genutzten Programme umgehend aktualisiert werden. Diese Updates bieten oft nicht nur neue Funktionen oder eine verbesserte Benutzerfreundlichkeit, sondern beheben auch mögliche Si- cherheitsprobleme. Daten sichern Ransomware-Angriffe setzen ihren anhaltenden Trend fort. Fast täglich liest man von Vorfällen in den Nachrichten, bei denen Angreifer Unternehmensdaten verschlüsseln, um Lösegeld zu erpressen. Es empfiehlt sich, regelmäßig Siche- rungskopien Ihrer wichtigsten digitalen Informationen in ei- Zeitnahe Software-Updates und regelmäßige Backups der wichtigs- ten Daten schützen gegen Cyberangriffe. (Quelle: Kaspersky)

AKTIONSPLAN FÜR KMU: SO ENTWICKELN SIE EINEN IT-NOTFALLPLAN Ein Cybervorfall stellt eine stressige Situation dar. Es ist wichtig, im Vorfeld einige Schlüsselfragen zu klären, um für den Ernstfall gut vorbereitet zu sein und rasch handeln zu können: Welche Daten sind geschäftskritisch? Stellen Sie sicher, dass diese Daten ausreichend geschützt sind, und erstellen Sie regelmäßige Sicherungskopien. Wen muss ich im Fall eines Zwischenfalls schnell kontaktieren? Erstellen Sie eine Liste der wichtigsten Kontakte, wie Partner, Zulieferer, Banken, IT-Dienstleister und Incident Response-Services. Was sind Anzeichen für einen Cybervorfall? Mögliche Alarmzeichen für einen Cybervorfall können sein: langsame Computer, häufige Abstürze oder ungewöhnliches Verhalten. Wenn Benutzer nicht mehr auf Konten oder Dokumente zugreifen können oder Lösegeldforderungen auftauchen, sollten Sie umgehend reagieren. Wie bereite ich mich auf den Ernstfall vor? Führen Sie regelmäßige interne Notfallübungen durch wie das vorübergehende Abschalten von IT-Systemen und die Wiederherstellung von Daten aus Backups. Stellen Sie sicher, dass Informationen zu Aktionsplänen und zur Notfallkommunikation offline verfügbar sind. Bereiten Sie ein Kommunikationssystem vor, über das Schlüsselpersonen sofort und sicher kommunizieren können, beispielsweise einen unabhängigen Messenger-Dienst. Erstellen Sie Vorlagen für die Krisenkommunikation, die sofort einsatzbereit sind. setzt sein könnte. Dieses Hintergrundwissen kann auch bei der Bewertung der Effektivität einer Sicherheitslösung helfen. Kostenlose Programme stehen zur Verfügung, jedoch ist der Funktionsumfang in der Regel begrenzt im Vergleich zu kos- tenpflichtiger Software. Bei der Auswahl einer Lösung sollte auf Ergebnisse unabhängiger Tests geachtet werden. Die ge- wählte Software sollte immer von der offiziellen Website des Entwicklers heruntergeladen werden. n (1) Die neue Cyberresilienz-Studie von Kaspersky gibt es hier kostenfrei zum Download: kas.pr/cyberresilienz Waldemar Bergstreiser ist General Manager DACH bei Kaspersky. SPECIAL_5/2023 IT-SA 2023 43 Auch kostengünstige Maßnahmen steigern die Cybersicherheit in klei- nen und mittleren Unternehmen effektiv. (Quelle: Kaspersky) nem Cloud-Service und auf einer alternativen Hardware zu er- stellen. Dadurch haben Sie auch dann Zugriff auf Kopien Ihrer Daten, wenn Ransomware Ihre Originaldaten verschlüsselt. Darüber hinaus ist es hilfreich, die Initiative „NO MORE RANSOM“ zu kennen. Auf ihrer Website finden Sie weitere wichtige Ratschläge und kostenfreie Entschlüsselungstools, die im Notfall als letzte Maßnahme genutzt werden können: www.nomoreransom.org/de Cybersicherheitsbewusstsein der Belegschaft schärfen Die meisten Cybervorfälle sind direkt oder indirekt auf menschliche Fehler zurückzuführen. Es ist daher ratsam, Vorkehrungen zu treffen, um sicherzustellen, dass Mitarbei- ter keine Software eigenständig installieren können. Die Ver- wendung von Standardkonten ohne Administratorrechte ver- hindert, dass Mitarbeiter unbeabsichtigt schädliche Software installieren, die sich als legitime Anwendung ausgibt. Zusätzlich sollten Maßnahmen ergriffen werden, um das Bewusstsein der Mitarbeiter für Cybersicherheit zu stärken. Regelmäßige Schulungen, die nahtlos in den Arbeitsalltag in- tegriert werden können, beispielsweise über eine interaktive Online-Plattform, bieten dem Team die Gelegenheit, gängige Bedrohungen kennenzulernen und sich das richtige Verhal- ten anzueignen. Immer wachsam bleiben Es ist aufschlussreich, den Energieverbrauch aller IT-Ge- räte im Unternehmen im Auge zu behalten. Wenn ein Gerät unerwartet langsamer wird, überhitzt oder im Leerlauf unge- wöhnlich viel Lärm verursacht, könnte dies auf eine Mining- Malware hinweisen, welche die Ressourcen des Prozessors und der Grafikkarte überlastet. Daher ist es empfehlenswert, eine Sicherheitslösung zu verwenden, die nicht nur Schadpro- gramme, sondern auch potenziell unerwünschte Installatio- nen erkennen kann. Wichtig ist auch, die relevanten Nachrichten zur Cybersi- cherheit zu verfolgen. Dies hilft dabei, über mögliche Angrif- fe informiert zu sein, denen das eigene Unternehmen ausge-

Mit Zero Trust und NAC zur effizienten Sicherheitsstrategie Cyberkriminalität: Mittelstand im Fadenkreuz der Angreifer Cyberkriminelle nehmen mittlerweile jedes Unternehmen ins Visier, das potenziell in der Lage ist Lösegeld zu bezahlen. Insbesondere im Mittelstand ist zwar grundsätzlich das Bewusstsein für das denkbare Risiko vorhanden, dennoch sind kleine und mittlere Unter- nehmen (KMU) häufig unzureichend gegen Cyberangriffe geschützt. Die Einführung ei- ner Zero-Trust-Strategie mit Secure Defined Perimeter (SDP) und Network Access Control (NAC) sind heute auch für KMU wichtige Maßnahmen zur Stärkung der Cyber-Resilienz. L aut einer Studie von PwC waren im Jahr 2022 fünf von sechs KMU Ziel von E-Mail-Phishing, und Ransom- ware-Angriffe haben die deutsche Wirtschaft weiter- hin stark belastet – 73 Prozent der befragten KMU wurden im vergangenen Jahr Opfer solcher Attacken. Es ist wichtig, dass Unternehmenslenker sich bewusst sind, dass sie ein be- deutendes Glied in einer anfälligen Lieferkette darstellen und daher für Erpressungsversuche durch Kriminelle interessant sind. gegen die Datenschutz-Grundverordnung (DS-GVO) zu schüt- zen. Die Industrie verlangt von ihren Zulieferern und Dienst- leistern, dass sie bestimmte Standards oder Zertifikate wie die ISO 27001 oder die TISAX (Automobilindustrie) erfüllen, um ihre Informationssicherheit nachzuweisen. Andernfalls droht die Auslistung aus den Lieferantenverzeichnissen. Stabile Lieferketten brauchen stabile IT- und OT-Netzwerke Da die Anforderungen an die Informationssicherheit von Lieferanten und Dienstleistern steigen und diese einen erheb- lichen Einfluss auf die Vertraulichkeit, Integrität und Verfüg- barkeit von Informationen haben, müssen KMU sicherstellen, dass die Informationen, die sie mit der Industrie austauschen oder im Rahmen der Zusammenarbeit verarbeiten, nicht un- befugt eingesehen, verändert oder gelöscht werden können. Hierbei sind geeignete technische und organisatorische Maß- nahmen, einschließlich Mitarbeiterschulungen, erforderlich, um sich vor Cyberangriffen, Datenverlusten oder Verstößen Die Industrie ist auf stabile und sichere Lieferketten, insbe- sondere in ihren globalen Handelsbeziehungen, angewiesen, um die Versorgungssicherheit und Kundenzufriedenheit zu gewährleisten. Die Corona-Pandemie hat jedoch die globalen Lieferketten empfindlich gestört und zu erheblichen Engpäs- sen bei kritischen Gütern geführt. Diese Störanfälligkeit von Lieferketten wurde durch externe Ereignisse, Markteingrif- fe und geopolitische Spannungen verstärkt. Angesichts dieser Veränderungen sind Anpassungen in den Lieferkettenstrate- gien erforderlich. 44 SPECIAL_5/2023 IT-SA 2023 . . m o c e b o d a k c o t s - t t a p a p p i t : d l i B

Kleine und mittelständische Unternehmen (KMU) spielen eine entscheidende Rolle in der deutschen Industrie und tra- gen maßgeblich zur Innovationskraft, Reputation und Wettbe- werbsfähigkeit bei. Oftmals sind sie Weltmarktführer in spe- zialisierten Nischen oder Produkten und zeichnen sich durch hohe Qualität aus. Die digitale Transformation bietet diesen Unternehmen die Möglichkeit, ihre Geschäftsprozesse zu op- timieren, neue Märkte zu erschließen, Kundenbeziehungen zu vertiefen und innovative Geschäftsmodelle zu entwickeln. Die Digitalisierung erfordert jedoch auch im Mittelstand eine An- passung der IT-Infrastruktur, Qualifikationen der Mitarbeiter und Unternehmenskultur an die neuen Anforderungen. KMU sehen sich dabei mit verschiedenen Herausforderungen kon- frontiert, darunter Fachkräftemangel, hohe Investitionskos- ten und mangelnde Standardisierung. Die Cyberresilienz bezieht sich auf die Fähigkeit eines Un- ternehmens, sich gegen Cyberangriffe zu schützen, diese rasch zu erkennen und angemessen darauf zu reagieren. Eine hohe Cyberresilienz erhöht nicht nur die Sicherheit des Unterneh- mens selbst, sondern auch die seiner Kunden und Partner in der Lieferkette. Daher müssen KMU ihre IT-Sicherheitsmaß- nahmen kontinuierlich überprüfen und anpassen, um sich vor den immer raffinierteren und gezielteren Angriffen der Cy- berkriminellen zu schützen. Erhöhte Resilienz dank Zero Trust Eine Zero-Trust-Strategie ist ein Konzept in der IT-Sicher- heit, bei dem keinem Gerät oder Benutzer standardmäßig ver- traut wird, bevor eine sichere Authentifizierung für den Netz- werkzugang durchgeführt wurde. Dieses Konzept folgt dem Prinzip „Nie vertrauen, immer überprüfen“. Um eine Zero-Trust-Strategie umzusetzen, kann Secure Defined Perimeter (SDP) verwendet werden. SDP ist eine praktische Anwendung des Zero-Trust-Ansatzes, bei der die Identität und der Sicherheitsstatus aller Teilnehmer im Netz- werk überprüft werden. Nur autorisierten Nutzern oder Ge- räten wird Zugang zu den benötigten Diensten gewährt. SDP ermöglicht eine flexible, sichere und benutzerorientierte Kom- munikation mit Cloud-Ressourcen, ohne dass ein Virtual Pri- vate Network (VPN) oder eine Firewall erforderlich ist. Zusätzlich kann SDP als Ergänzung zu einer bestehenden Network-Access-Control-(NAC)-Lösung verwendet werden, die die Zugriffskontrolle basierend auf den Identitäten der Endgeräte und deren Sicherheitsstatus im lokalen Netzwerk ermöglicht. Übersicht, Kontrolle und Compliance durch NAC Network Access Control erfüllt im Wesentlichen zwei Hauptanforderungen: Erstens schafft NAC eine umfassende Übersicht darüber, welche Geräte sich im Unternehmensnetzwerk befinden und wo sie angeschlossen sind. Dabei spielt die Art der Endgeräte, wie beispielsweise Computer, Drucker, Produktionssysteme, Geldautomaten, medizinische Geräte, Tablets, Smartphones oder Kühlschränke, keine Rolle. Diese Übersicht verhindert, dass unbekannte oder nicht autorisierte Systeme einfach über WLAN oder ungeschützte Netzwerkdosen auf das Netzwerk zugreifen können. Dadurch wird sichergestellt, dass im Netz- werk nur bekannte und autorisierte Systeme betrieben wer- den können. Zweitens beinhaltet die Compliance-Funktion von NAC die Überprüfung der bereits im Netzwerk befindlichen Endgerä- te, um sicherzustellen, dass sie den Sicherheitsanforderungen und individuellen Sicherheitsrichtlinien des Unternehmens entsprechen. Dies betrifft normalerweise Aspekte wie den Status von Antivirenprogrammen, Desktop-Firewalls oder die Aktualität von Sicherheitspatches. Das Ziel besteht darin, im eigenen Netzwerk nur Endgeräte und Software zuzulassen, die alle erwarteten Anforderungen erfüllen und somit den definierten Sicherheitsrichtlinien entsprechen. Falls ein Gerät diesen Überprüfungen nicht standhält, werden entsprechen- de Gegenmaßnahmen ergriffen, wie beispielsweise die vorü- bergehende Isolierung des betroffenen Geräts und dessen Si- cherheitswiederherstellung. Darüber hinaus können geeignete NAC-Lösungen in Kom- bination mit Identity- und Access-Management (IAM) ver- wendet werden, um eine eindeutige Identifizierung und Rol- lenzuweisung von Benutzern und Geräten sicherzustellen. Zero Trust lohnt sich Laut einer Studie von Statista haben weltweit 72 Pro- zent der Organisationen bereits eine Zero-Trust-Strategie eingeführt oder befinden sich in diesem Prozess. Zusätz- lich berichten 90 Prozent der Organisationen, die Zero Trust implementieren, von einer signifikanten Verbesserung ih- rer Sicherheitslage. Zero Trust bietet auch die Möglichkeit, die Kosten für Sicherheitsvorfälle zu reduzieren. Eine Studie von Forrester Research schätzt, dass Unternehmen mit einer Zero-Trust-Architektur 50 Prozent weniger Sicherheitsvor- fälle erleben und etwa 40 Prozent weniger Zeit für die Behe- bung solcher Vorfälle benötigen. Die Zero-Trust-Strategie ist daher nicht bloß ein theore- tisches Konzept, sondern eine zwingende Notwendigkeit für Unternehmen, die ihre Daten und Ressourcen, einschließlich derjenigen in der Cloud, effektiv schützen möchten. Durch die Kombination von Secure Defined Perimeter (SDP) für die Cloud und Network Access Control für lokale Netzwerke können Un- ternehmen einen umfassenden und detaillierten Zugriffs- schutz für alle Endgeräte und Benutzer gewährleisten. n Sabine Kuch, freie Redakteurin für Unternehmen im Bereich IT & Technologie, unter anderem für die macmon secure GmbH SPECIAL_5/2023 IT-SA 2023 45

Neue Studie: IT-Sicherheit im Mittelstand Drei Erkenntnisse, die Unternehmen schützen könnten Cyberangriffe richten sich nicht nur gegen große Konzerne, sondern sind auch eine ernst- hafte Bedrohung für kleine und mittlere Unternehmen (KMU). KMU verfügen jedoch oft über begrenztere Ressourcen, sowohl finanziell als auch personell, was ihre Fähigkeit zur effektiven Abwehr von Cyberangriffen einschränken kann. Für sie ist es daher hilfreich, die Erkenntnisse aus einer aktuellen Mittelstandsstudie zu nutzen, um ihre Cybersicher- heit zu stärken. W ie steht es um die IT-Sicherheit im Mittelstand? Wie schützen mittelständische Unternehmen ihre Daten und Ressourcen trotz begrenzter Bud- gets und weniger Personal? Im Jahr 2019 wurden kleine und mittlere Unternehmen im Rahmen der Studie „IT-Sicherheit im Mittelstand“ zu ihren Sicherheitspraktiken befragt. Eine aktuelle Neuauflage dieser Studie untersucht, wie sich die Si- tuation in den letzten vier Jahren verändert hat, insbesonde- re unter Berücksichtigung der beschleunigten Digitalisierung, getrieben durch die COVID-19-Pandemie. Erkenntnis 1: Paradigmenwechsel in der Wahrnehmung von IT-Sicherheit Die Studie enthüllt einen bemerkenswerten Wandel in der Wahrnehmung von IT-Sicherheit. Viele Unternehmen haben auf die gestiegene Bedrohungslage reagiert. Vor vier Jahren betrachteten lediglich etwa 55 Prozent der befragten Unternehmen IT-Sicherheit als einen wesentlichen Bestand- teil ihrer übergeordneten Unternehmensstrategie. Heute sind es bereits 70 Prozent. Diese Steigerung verdeutlicht, dass Unternehmen zunehmend die Bedeutung von IT-Sicherheit erkennen und sie entsprechend in ihre strategische Planung integrieren. Trotz dieser positiven Entwicklung besteht jedoch weiter- hin Raum für Verbesserungen: Bei 21 Prozent der befragten Unternehmen werden IT-Sicherheitsmaßnahmen nach wie vor punktuell und ohne eine übergreifende Strategie ergrif- fen. Weitere 8 Prozent reagieren erst, wenn bereits ein Si- cherheitsvorfall eingetreten ist. Dies verdeutlicht, dass es nicht ausreicht, die Bedeutung von IT-Sicherheit lediglich anzuer- kennen – eine konsequente Umsetzung ist entscheidend. Erkenntnis 2: Kosten und Zeit sind Hauptbremsklötze für IT-Sicherheit Ein erhebliches Hindernis bei der Implementierung um- fassender IT-Sicherheitsmaßnahmen sind die wahrgenom- menen Kosten. Die Hälfte der Unternehmen ohne klare IT-Si- cherheitsstrategie betrachtet die finanzielle Belastung als das Hauptargument gegen verstärkte Sicherheitsinvestitionen. Im Vergleich dazu stimmt nur etwa ein Drittel der Unternehmen mit einer etablierten IT-Sicherheitsstrategie der Aussage „IT- Security-Kosten sind zu hoch“ zu. Dies deutet darauf hin, dass Unternehmen mit einer klaren Sicherheitsstrategie eher be- reit sind, in die Sicherheit zu investieren. Ein weiteres Hindernis ist der Mangel an Zeit. Etwa 40 Prozent der Unternehmen ohne Sicherheitsstrategie ge- ben an, nicht über ausreichende zeitliche Ressourcen für die Umsetzung von Sicherheitsmaßnahmen zu verfügen. Es ist bemerkenswert, dass nahezu 30 Prozent dieser Un- ternehmen davon ausgehen, niemals Opfer von Cyberangrif- fen zu werden. Diese Annahme birgt jedoch erhebliche Risiken, denn die Bedrohungslage ist hoch, und ein Sicherheitsvorfall kann teuer und zeitaufwendig sein. Das wirft die Frage nach den potenziellen Schäden durch einen Sicherheitsvorfall auf: Viele mittelständische Unternehmen sehen die Anfangs- investitionen als die größte Hürde für die Umsetzung umfas- 46 SPECIAL_5/2023 IT-SA 2023 . . m o c e b o d a k c o t s - y n n p A i : d l i B

nach wie vor die Grundlage für die Mehrheit der Unter- nehmen. Unternehmen, die eine klare IT-Sicherheitsstrategie verfolgen, setzen darüber hi- naus auf weiterentwickelte und komplexere Lösungen. Dies ist nicht überraschend, da Unternehmen im Rah- men ihrer Sicherheitsstra- tegie auf mehrschichtige Schutzmaßnahmen setzen. Eine robuste IT-Sicherheitsinfrastruktur kann heutzutage nicht mehr allein auf singulären Sicherheitsmaßnahmen be- ruhen. Dies resultiert nicht nur aus der zunehmenden Raffi- nesse der Angriffsmethoden von Cyberkriminellen, sondern auch aus Veränderungen in der Unternehmensstruktur, wie etwa der Einführung von Cloud-Infrastrukturen oder der zu- nehmenden Nutzung von Remote-Arbeit. Diese Entwicklun- gen erfordern eine Anpassung der IT-Sicherheitsmaßnah- men, um effektiv gegen Bedrohungen gewappnet zu sein. Es ist daher von entscheidender Bedeutung, dass Unternehmen ihre Sicherheitsstrategien überdenken und die Bedeutung von mehrschichtigen Sicherheitsmaßnahmen erkennen, um sich wirksamer vor Cyberbedrohungen zu schützen. Investition in IT-Sicherheit muss nicht aufwendig sein Effektive IT-Sicherheit muss nicht zwingend kostenin- tensiv und komplex sein. Wenn Unternehmen aufgrund feh- lender Expertise oder begrenzter Budgets an ihre Grenzen stoßen, können sie die Option cloudbasierter Endpoint-Secu- rity-Lösungen in Erwägung ziehen. Die Vorteile dieser Lösun- gen liegen auf der Hand: Sie ermöglichen es Unternehmen, ihre IT-Sicherheit rasch auf ein höheres Niveau zu heben, ohne umfangreiche Ressourcen für die Verwaltung oder In- frastruktur bereitstellen zu müssen. Dennoch reicht allein die Einführung neuer Sicherheits- technologien nicht aus. Der Mensch bleibt das schwächste Glied in der Kette der IT-Sicherheit. Gezielte Schulungsmaß- nahmen und Sensibilisierungskampagnen sind wirkungsvol- le Instrumente, um das Sicherheitsbewusstsein der Mitarbei- ter zu stärken und die Risiken zu minimieren. n Nicolas Lachaise ist Midmarket Lead bei DriveLock SE. SPECIAL_5/2023 IT-SA 2023 47 sender IT-Sicherheitsmaßnahmen an. Dabei vernachlässigen sie jedoch die verheerenden Schäden, die durch erfolgreiche Cyber angriffe oder Sicherheitsverletzungen entstehen kön- nen. Vor allem erfolgreiche Cyberangriffe sind kostspielig: Fast die Hälfte der betroffenen Unternehmen sah sich mit steigen- den internen Kosten für die Behebung der Sicherheitsproble- me konfrontiert. Unternehmen ohne klare IT-Sicherheits- strategie und Notfallpläne wurden besonders hart getroffen. Tatsächlich gaben 61 Prozent der Unternehmen, die gelegent- lich proaktiv ihre IT-Sicherheit verbessern, und sogar 75 Pro- zent derjenigen, die nur im Falle eines Sicherheitsvorfalls handeln, an, zusätzliche interne Kosten tragen zu müssen. Bei 29 Prozent der Unternehmen entstanden zudem externe Kos- ten zur Bewältigung der Folgen. Neben den finanziellen Auswirkungen sind auch nicht monetär bewertbare Schäden zu berücksichtigen. Zum Bei- spiel haben 31 Prozent der von Cyberkriminalität betroffenen Unternehmen geschäftskritische Informationen verloren, wo- bei Ransomware-Angriffe eine wesentliche Rolle spielten. Bei solchen Angriffen werden Daten verschlüsselt und Lösegeld gefordert. Ohne eine angemessene Wiederherstellungsstra- tegie können diese Daten unwiederbringlich verloren gehen. Ein weiteres Problem stellt der Datenabfluss dar. Wenn sensible Daten in die Hände von Cyberkriminellen geraten, können Datenschutzverletzungen zu Bußgeldern führen. Si- cherheitsvorfälle haben also nicht nur direkte Kosten, son- dern auch indirekte Auswirkungen, insbesondere wenn das Kundenvertrauen durch den Verlust von Daten beeinträchtigt wird. Eine Investition in IT-Sicherheit ist zweifellos die weit- aus klügere Alternative. Erkenntnis 3: Der Mittelstand setzt noch immer nur auf Security-Klassiker Die Betrachtung der Relevanz verschiedener Sicherheits- vorkehrungen verdeutlicht, dass nach wie vor – in ähnlicher Weise wie bereits 2019 – drei zentrale Bereiche der Cyber- sicherheit im Mittelpunkt stehen: E-Mail-Sicherheit, Antivi- ren-Software und Firewalls. Diese Security-Klassiker bilden

Wie Mobile-Device-Management Sicher- heitsrisiken für Unternehmen reduziert Damit mobile Geräte nicht zum trojanischen Pferd werden Mobile Endgeräte sind zu einem unverzichtbaren Bestandteil des modernen Geschäfts- lebens geworden. Sie bieten Flexibilität und Produktivität, aber sie bergen auch ein erheb- liches Sicherheitsrisiko, insbesondere wenn sie Zugriff auf sensible Unternehmensdaten haben. Wo Geschäftsdaten über Smartphones und Tablets zugänglich sind, ist es von ent- scheidender Bedeutung, dass Unternehmen proaktiv handeln, um Sicherheitsbedrohun- gen zu minimieren. Dies ist der Punkt, an dem Mobile-Device-Management (MDM) ins Spiel kommt. L aptops, Smartphones und Tablets haben dazu bei- getragen, dass viele Mitarbeitende heute sowohl im Büro als auch remote arbeiten können. Die Ein- führung hybrider Arbeitsplätze hat allerdings auch die An- griffsfläche der Unternehmen für Cyberattacken vergrößert: Mobile Endgeräte sind nicht nur selbst anfällig für verschie- dene Sicherheitsbedrohungen, mit ihren Sicherheitslücken gefährden sie auch die Daten, auf die sie im Unternehmen Zugriff haben. IT-Administratoren stehen also vor der wichtigen Aufga- be, über ein gutes Mobile-Device-Management sicherzustel- len, dass alle genutzten Endgeräte ausreichend sicher sind, um auch Unternehmensdaten gefahrlos verarbeiten zu kön- nen. Doch MDM ist weit mehr als nur ein technischer As- pekt der IT-Infrastruktur; es ist eine strategische Maßnah- me zur Gewährleistung der Unternehmenssicherheit. Um diese Sicherheit praktisch umsetzen zu können, müssen IT- Administratoren ein tiefes Verständnis für die potenziellen Sicherheitsprobleme entwickeln, die mobile Endgeräte mit sich bringen können. Hier sind die zehn wichtigsten Her- ausforderungen: 1. Unsichere Netzwerke Mitarbeiter, die remote arbeiten, nutzen häufig öffentli- che WLAN-Netzwerke. Um Sicherheit zu gewährleisten, soll- ten Unternehmen sicherstellen, dass sich Unternehmensge- räte nur mit vertrauenswürdigen WLAN-Netzen verbinden. Darüber hinaus ist es ratsam, automatisch eine VPN-Verbin- dung aufzubauen, wenn auf geschäftliche Anwendungen zu- gegriffen wird, um Unternehmensdaten während der Über- tragung zu schützen. 2. Smart-Device-Funktionen Mobile Geräte bieten zahlreiche integrierte Funktionen, die von Herstellern in der Regel mit Sicherheitsmaßnahmen geschützt sind. IT-Administratoren sollten unnötige Funktio- nen einschränken und App-Berechtigungen granular kontrol- lieren. Falls ein bestimmtes Endgerät nur für einen einzigen Zweck eingesetzt werden soll, wie ein Feedback-Terminal für Kunden oder eine digitale Beschilderung, sollte es so konfigu- riert werden, dass nur eine einzige App oder eine bestimmte Gruppe von Apps mit strengen Einschränkungen der Geräte- funktionalität darauf verwendet werden kann. Das verhin- dert, dass Endanwender das Gerät manipulieren können und Zugang zu Unternehmensdaten erhalten. 3. Bring-your-own-device-(BYOD)-Geräte Wenn Mitarbeiter ihre privaten Geräte für die Arbeit nut- zen dürfen, entsteht oft eine Vermischung von Unterneh- mens- und privaten Daten. MDM kann helfen, die Trennung aufrechtzuerhalten, indem es Unternehmensdaten und An- wendungen in einem separaten Arbeits-Container isoliert und die erforderlichen Sicherheitsrichtlinien und Einschrän- kungen ausschließlich für diesen Bereich durchsetzt. Verlässt der Geräteeigentümer das Unternehmen, muss lediglich der Arbeits-Container gelöscht werden, wodurch das Gerät von Firmendaten bereinigt wird. Die persönlichen Dateien blei- ben dabei unangetastet. 4. Schatten-IT Wenn Mitarbeitende das Gefühl haben, dass sie dringend benötigte Apps, Inhalte oder den Zugriff auf Arbeitsgeräte 48 SPECIAL_5/2023 IT-SA 2023 Bild: Panuwatccn/Shutterstock

nicht zeitnah erhalten, neigen sie oft dazu, eigene Lösungen zu suchen. Dies kann zur Entstehung von Schatten-IT führen – ein Phänomen, bei dem Mitarbeiter eigenständig auf Tech- nologien und Dienste zurückgreifen, ohne die IT-Abteilung einzubeziehen. Um diese Gefahr zu minimieren, sollten Un- ternehmen Maßnahmen ergreifen: Vereinfachung der Ressourcenverteilung: Es ist wich- tig, dass benötigte Ressourcen wie Apps, Inhalte und Zugriffs- berechtigungen leicht zugänglich sind. Die IT-Abteilung sollte sicherstellen, dass Teams unkompliziert auf diese Ressourcen zugreifen können. Verwaltung von Dateien und Anwendungen: Dateien und Anwendungen sollten auf der Grundlage der Verzeich- nisgruppen des Benutzers verwaltet werden. Dies stellt si- cher, dass die richtigen Personen Zugriff auf die benötigten Ressourcen haben. Blockierung nicht vertrauenswürdiger Apps: Unter- nehmen sollten Maßnahmen ergreifen, um die Installation von nicht vertrauenswürdigen oder unsicheren Apps auf den Geräten der Mitarbeiter zu verhindern. Dies minimiert das Ri- siko von Sicherheitsverletzungen. Bereitstellung vertrauenswürdiger Apps: Um sicherzu- stellen, dass Mitarbeiter sicher auf Unternehmensdaten zu- greifen können, sollten vertrauenswürdige Apps bereitgestellt werden. Einschränkung des Datenzugriffs: Der Zugriff auf Un- ternehmensserver sollte ausschließlich für verwaltete Geräte erlaubt sein. Dadurch wird verhindert, dass nicht autorisierte Geräte auf Unternehmensdaten zugreifen können. 5. Malware Selbst bei Verzicht auf das Herunterladen von Drittanbie- ter-Apps können mobile Geräte anfällig für Malware sein. IT- Administratoren sollten Antiviren- oder Endpoint-Detection- and-Response-(EDR)-Apps installieren und regelmäßig Geräte scannen, um bösartige Inhalte zu erkennen und zu entfernen. 6. Weitere webbasierte Bedrohungen Sicherheitsrichtlinien für das Senden und Empfangen von E-Mails über mobile Geräte sollten implementiert werden, um webbasierte Bedrohungen zu minimieren. Dazu gehören etwa die Begrenzung der Verwendung von HTML in E-Mails, die Vorgabe, dass geschäftliche Dateianhänge nur mit vertrau- enswürdigen Anwendungen geöffnet werden dürfen und das Blockieren bösartiger Domänen und URLs. 7. Nicht behobene Sicherheitslücken Hacker suchen gezielt nach Sicherheitslücken in Betriebs- systemen (OS) und Apps, um diese auszunutzen. Um das Un- ternehmensnetzwerk zu schützen, ist es ratsam, regelmäßig App- und OS-Updates zu überprüfen und zeitnah zu testen. Diese Updates sollten dann zu einem geeigneten Zeitpunkt verteilt werden, um zu gewährleisten, dass die Geräte, die auf Unternehmensdaten zugreifen, immer auf dem neuesten Stand sind und bekannte Sicherheitslücken behoben werden. Zusätzlich ist es empfehlenswert, Mechanismen zur automati- schen Erkennung von veralteten – möglicherweise durch Jail- break oder Rooting manipulierten – Geräten zu implementie- ren. Das stellt sicher, dass Ihre Daten keinen Sicherheitsrisiken durch solche Geräte ausgesetzt werden. 8. Zero-Day-Schwachstellen Vorbeugende Sicherheitsmaßnahmen, wie die Konfigura- tion von Sicherheitsrichtlinien für Geräte, sind der beste Schutz gegen Zero-Day-Angriffe. Mobile-Device-Management-Tools können bei der Konfiguration von Sicherheitsrichtlinien und -beschränkungen für Geräte helfen und schaffen eine zusätz- liche Sicherheitsebene für Unternehmensdaten. Das schützt sowohl die Geräte als auch die Daten besser vor Angriffen. 9. Smarte Geräte Internet-of-Things-(IoT)-Geräte werden inzwischen in vielen Unternehmen eingesetzt. Allerdings bringen diese Ge- räte auch diverse inhärente Sicherheitsschwachstellen mit sich, die Bedrohungsakteuren völlig neue Angriffsmöglich- keiten bieten. IT-Administratoren sollten diese Geräte zentral verwalten und sicherheitsrelevante Maßnahmen umsetzen. 10. Compliance Um die Sicherheit mobiler Endgeräte zu gewährleisten, ist es wichtig, diese in Echtzeit zu überwachen, um sicherzustel- len, dass sie stets den Unternehmens- und Industriestandards entsprechen. Dafür können die Geräte mit vorgeschriebenen Passwortrichtlinien und Datenverschlüsselung ausgestattet werden, um die Compliance auch dann zu wahren, wenn sich die Daten im Ruhezustand befinden. Die Umsetzung stand- ortbezogener Compliance kann durch das Tracking der Geräte und die Anwendung unterschiedlicher Sicherheitseinstellun- gen je nach Standort erreicht werden. Im Fall von verlorenen oder gestohlenen Geräten ist es möglich, diese zu orten und Unternehmensdaten aus der Ferne zu löschen, um sicher- zustellen, dass sensible Informationen nicht in die falschen Hände gelangen. Mobile Endgeräte sind in der Geschäftswelt unverzicht- bar, bergen jedoch massive Sicherheitsrisiken. Mobile Device Management (MDM) erweist sich als ideales Instrument, um die beschriebenen Herausforderungen umfassend zu adres- sieren. n Jürgen Rinelli, Senior Software Consultant für die ManageEngine-Lösungen bei der MicroNova AG. SPECIAL_5/2023 IT-SA 2023 49

Wie Microgateways den Boden für Sicherheit in der Software- entwicklung bereiten Von DevOps zu DevSecOps In einer zunehmend digitalen und von Software geprägten Welt ist der Erfolg eines Unter- nehmens maßgeblich davon abhängig, wie schnell und sicher es Dienste entwickeln und bereitstellen kann. Ein Schlüsselaspekt hierbei sind DevOps und insbesondere DevSecOps, die für eine Kultur der kooperativen Zusammenarbeit über Funktionen hinweg stehen. Doch die Implementierung dieser strukturellen und technischen Veränderungen ist kei- neswegs trivial. Um erfolgreich zu sein, führt heute kein Weg mehr an Micro gateways vor- bei. Aber das ist nur ein Baustein – das vollständige Bild ist weitaus vielschichtiger. T raditionell haben Softwareentwicklung und -betrieb in einem Unternehmen unterschiedliche Ziele ver- folgt: Softwareentwicklung muss agil, kreativ und auf dem neusten technischen Stand sein, um ständig neue Features liefern zu können. IT Operations ist im Gegensatz dazu auf Stabilität, Sicherheit und Zuverlässigkeit ausgelegt. DevOps vereint diesen scheinbaren Widerspruch zwischen Flexibilität und Stabilität. Dazu wird die gesamte Wertschöp- fungskette von der Softwareentwicklung bis zum Betrieb auf interdisziplinäre Weise kombiniert. Das bricht Silodenken auf, indem es die Gräben zwischen den Silos überbrückt, und rich- tet die Organisation auf das gemeinsame Ziel der schnellen Lieferung neuer Funktionen in stabilen, sicheren Schritten aus. Von DevOps zu DevSecOps – was versteckt sich dahinter? Ursprünglich war Security eine Art „Torwächter“ am Ende des Softwareentwicklungsprozesses, ähnlich wie Operations vor der Einführung von DevOps. Das „Sec“ in „DevSecOps“ be- tont und verdeutlicht die Zusammenarbeit und die Verschie- bung der Verantwortung. In einer DevSecOps-Kultur verfügt jedes agile Team über einen Sicherheitsexperten, der sich um nicht-funktionale Anforderungen kümmert, wie etwa die Klassifizierung von Daten und andere Aspekte der Risikoana- lyse. Dadurch wird sichergestellt, dass der Product Owner bei der Entwicklung auch Sicherheitsaspekte berücksichtigt. Dieser proaktive Ansatz ermöglicht es den Teams, die Ge- samtverantwortung für den Umfang ihrer Services zu über- nehmen. Wenn die Sicherheit zudem asynchron zur Pro- duktentwicklung integriert wird, kann der Product Owner sowohl die Geschwindigkeit als auch die Sicherheit steuern, ohne dabei eines von beiden zu vernachlässigen. Daher erfor- dert eine agile Entwicklung auch agile Infrastrukturen und agile Sicherheit. Die Art und Weise, wie Software vor internen und exter- nen Bedrohungen geschützt wird, entwickelt sich als Reaktion auf die aktuelle Bedrohungslage. Der jüngste Schritt in dieser Entwicklung ist die Einführung von Zero-Trust-Architektu- ren. Bei herkömmlichen Perimeter-Sicherheitsarchitekturen erfolgt die Trennung zwischen einem unsicheren externen Netzwerk und einem sicheren internen Netzwerk am Peri- 50 SPECIAL_5/2023 IT-SA 2023 . . m o c e b o d a k c o t s - t e k a j t a b : d l i B

meter. Hier wird der gesamte Datenverkehr überwacht, und potenziell gefährlicher Verkehr wird blockiert. Bei Zero-Trust- Architekturen wird die Überwachung und Blockierung von Verkehr nicht mehr am Perimeter durchgeführt, sondern di- rekt von den Diensten selbst. Anders ausgedrückt, jeder Dienst prüft seinen eigenen Datenverkehr und erlaubt nur den als sicher erkannten Verkehr. Dies reduziert die Komplexität des Sicherheitssystems und macht es überschaubarer. Die Imple- mentierung einer Zero-Trust-Architektur erfordert Technolo- gien, die denen am Perimeter ähneln, jedoch in kleinerem und ressourcenschonendem Maßstab. Aus dieser Anforderung he- raus entstand die Idee der Microgateways. Microgateways als Enabler für DevSecOps Die Stärke von Zero Trust liegt darin, Ressourcen und Si- cherheitsmaßnahmen überall verteilen und an die Anforde- rungen anzupassen zu können. Sicherheit ist also nicht mehr nur an einem einzigen Ort konzentriert. Aber hier liegt auch eine große Herausforderung, denn nicht alles kann einfach überall verteilt werden. Eine solche Herausforderung betrifft etwa das Identitäts- und Zugangsmanagement (IAM): Um Be- nutzern ein nahtloses Single-Sign-on-Erlebnis zu bieten, ist es am besten, zentrale Authentifizierungs- und Identitätsma- nagementdienste zu verwenden. In diesem Kontext fungiert das Edge Gateway als eine Art Wächter für Sicherheitsrichtlinien. Die eigentlichen Entschei- dungen darüber, wer auf welche Ressourcen zugreifen darf, werden jedoch von einem zentralen IAM-Dienst getroffen. Die Prüfung der Identität der Benutzer und die Autorisierung, was sie tun dürfen, erfolgen durch die einzelnen Dienste und Res- sourcen selbst. Das zentrale Gateway bleibt wichtig Das Aufstellen eines Edge Gateways vor den Microgate- ways ist keine technische Notwendigkeit, sondern eine Ent- scheidung im Designprozess. Diese Entscheidung basiert dar- auf, dass bestimmte Aufgaben besser auf einem sogenannten Edge-orientierten Gerät erledigt werden können, während andere eng mit einem bestimmten Service verbunden sind. Das Edge-orientierte Gateway hat deshalb eine eher generi- sche Konfiguration. Dadurch wird die einfache und reibungs- lose Integration neuer Dienste ermöglicht, die von den einzel- nen Microgateway-Instanzen geschützt werden. Mit anderen Worten, es dient als eine Art zentrale Schnittstelle, die es er- leichtert, neue Dienste in das System aufzunehmen und sie effektiv zu schützen. Das Microgateway macht DevOps- zu DevSecOps-Teams Das Aufgabengebiet für die Integration von Funktionen, wie das Hinzufügen von Ausnahmeregelungen oder das Um- leiten von URLs, liegt normalerweise beim Microgateway. Dieses Gateway ist eine schlanke Sicherheitskomponente, die einen bestimmten Dienst schützt. In einer Zero-Trust-Archi- tektur sorgt jede Dienstinstanz nicht nur für ihren eigenen Schutz vor unerwünschtem Datenverkehr, sondern überprüft auch jede Anfrage, um sicherzustellen, dass nur ordnungsge- mäß authentifizierte Benutzer Zugriff auf die entsprechenden Dienste und Daten haben. Die Entscheidung, ob ein Dienst oder eine Anwendung für externe Anfragen geöffnet wird, kann nach wie vor am Netzwerkperimeter getroffen werden. Das Microgateway wird vom DevOps-Team des geschütz- ten Dienstes verwaltet und unterstützt auf vielfältige Weise: Agilität: Mehrere unabhängige Entwicklungsteams profitieren von der bestehenden Infrastruktur. Da die Konfiguration des Microgateways vom Entwick- lungsteam gewartet wird, erfordert eine neue Service- version wenig bis keine Koordinierung mit dem Gate- way- Administrator. Skalierbarkeit und Verfügbarkeit: Microgateways wer- den direkt mit ihren Services eingerichtet und ska- lieren mit ihnen. Die Funktionen der Microgateways stellen sicher, dass Session-Informationen unabhängig davon zur Verfügung stehen, welche Microgateway- Instanz die Anfrage bearbeitet. Time-to-Market: Microgateways erzwingen die Au- thentifizierung, bevor der Zugriff auf den Dienst er- laubt wird. Das beseitigt die Notwendigkeit, diese Funktionen in jeden einzelnen Dienst einzuarbeiten. Da diese kritischen Sicherheitsaufgaben von der stan- dardisierten Infrastrukturkomponente übernommen werden, können die Entwickler mehr Zeit in Business- Features investieren. Maßgeschneiderte Sicherheit: Microgateways haben einen sehr geringen Ressourcenverbrauch, sodass Ent- wickler sie während des gesamten Entwicklungspro- zesses verwenden können. Dies stellt sicher, dass der Dienst gut mit dem Microgateway funktioniert und er- möglicht es den Entwicklern, Filterregeln für optimale Sicherheit zu konfigurieren. Integrationsschwierigkei- ten und Sicherheitsprobleme werden viel früher im Entwicklungszyklus erkannt, lange bevor der Dienst live geht. Microgateways sind somit ein wichtiges Werkzeug, um den Weg der DevOps-Teams bei der Umsetzung von Zero- Trust-Architekturen zu unterstützen und so zu DevSecOps- Teams zu werden. n Gernot Bekk-Huber, Senior Product Marketing Manager bei der Ergon Informatik AG Erfahren Sie mehr zu diesem Thema auf dem „Cutting Edge Applikations- und API-Sicherheit“-Kongress auf der it-sa 2023. Mehr Informationen und Anmeldung unter https://www.airlock.com/itsa SPECIAL_5/2023 IT-SA 2023 51

– ADVERTORIAL – Top-Cyberschutz durch All-in-one-Ansatz Cyberkriminelle werden immer professioneller – Dienstleistungen wie Malware-as-a- Service boomen im Dark Web. Vor diesem Hintergrund skizziert Waldemar Berg- streiser, General Manager DACH bei Kaspersky, wie ein nachhaltiges und effektives Cybersicherheitsniveau durch einen ganzheitlichen Ansatz basierend auf mehreren Schutzdimensionen, einschließlich Threat Intelligence (TI), erreicht werden kann. Wie schätzen Sie die aktuelle Bedrohungslage ein und was bedeutet das für Unternehmen? Die Analysen des Kaspersky Security Bulletin[1] zeigen, dass Cyberkrimi- nalität zunehmend zu einem Geschäftsmodell wird. Cyberkriminelle optimieren ihr Geschäft, ähnlich wie es auch legitime Unternehmen tun, skalieren zu diesem Zweck ihre Operationen und lagern bestimmte Akti- vitäten aus, weshalb Malware-as-a-Service boomt. So wird es für weniger versierte Cyberkriminelle relativ einfach, Cyberangriffe zu starten: Sie mieten geeignete Malware-Tools. Zugleich werden Angriffsmethoden immer komplexer. Deshalb reichen automatisierte Abwehrsysteme als alleiniges Mittel für eine umfassende Sicherheit nicht mehr aus. Unternehmen müssen die Anzeichen eines drohenden Cyberangriffs sofort erkennen und vorbeu- gende Maßnahmen ergreifen – im Idealfall, be- vor Schaden entsteht. Dazu benötigen sie einen mehrdimensionalen Sicherheitsansatz, der tech- nische Lösungen zur Erkennung und Abwehr von Cyberangriffen und Präventivmaßnahmen mit menschlicher Expertise kombiniert. Reaktion auf Cybervorfälle bieten – entweder vor Ort, in der Cloud oder hybrid. Außerdem muss sie an die jeweilige IT- oder OT-Infrastruktur angepasst werden. Als zusätzliche Schutzdimensionen bieten sich dann solide TI-Funktionen, Managed Security Services rund um die Uhr, Cyber- sicherheits-Awareness-Trainings und professionelle Services wie Audits, Implementierung, Optimierung und Wartung an. Wir nennen das einen All-in-one-Cyberschutz. Welche Rolle spielt Threat Intelligence in diesem Mix? Führungskräfte und Verantwortliche für Cybersecurity benötigen Hilfe, um die Sicherheitsbedrohungen zu verstehen, mit denen ihre Unter- nehmen täglich konfrontiert sind – andernfalls besteht die Gefahr, dass sie sich unzureichend gegen Cyberkriminelle wappnen. Ein vielschichti- ger Ansatz dafür umfasst Bedrohungsdaten, also Threat Intelligence, die öffentlich zugängliche Nachrichtenquellen und Informationen aus den sozialen Medien mit verwertbaren Informationen aus dem Dark Web kombiniert und die dann von Experten ausge- wertet und interpretiert werden. TI liefert so ein umfassendes und aussagekräftiges Verständnis über den gesamten Zyklus des Incident Manage- ments, da Experten einen detaillierten Einblick in Cyberbedrohungen erhalten, die speziell auf ihre Organisation abzielen. Wie sieht ein solcher multidimensionaler Sicherheitsansatz aus? Idealerweise setzt sich eine effiziente Schutz- technologie aus maschinellem Lernen und künstlicher Intelligenz sowie umfassenden Automatisierungsfunktionen zusammen, da- mit sich die unternehmensinternen Cybersi- cherheitsabteilungen auf andere Kernaufga- ben konzentrieren können. Eine solche Lösung sollte fortschrittliche Bedrohungserkennung, eine einfache Untersuchung und automatisierte 52 SPECIAL_5/2023 IT-SA 2023 Ist dies auch ein realistischer Ansatz für kleine und mittelständische Unternehmen? Wie kön- nen diese TI und einen All-in-one-Cyberschutz umsetzen? Häufig denken kleine und mittlere Unterneh- men (KMU) ja, dass sie durch ihre geringe Größe weniger gefährdet sind, weil sie meinen sie be- Waldemar Bergstreiser, General Manager DACH bei Kaspersky

– ADVERTORIAL – Effektive Cybersicherheit durch mehr- dimensionales Schutzkonzept Kaspersky. Denn: Unternehmen können sich auf über 25 Jahre Expertise verlassen, und Partner können sich durch unser TI-Angebot vom Wettbewerb differenzieren sowie ihre Kunden best- möglich schützen. n [1] https://securelist.com/corporate-threat-predictions-2023 [2] kas.pr/cyberresilienz [3] https://www.kaspersky.com/blog/msp-report-2021/ Die Professionalisierung von Cyberkriminalität erfordert ein mehrdimensionales Schutzkonzept, bei dem sich innovative Abwehrtechnologien, vorbeugende Maßnahmen und menschliche Expertise sinnvoll ergänzen. Hier erfahren Sie mehr über den All-in-one-Cyberschutz von Kaspersky: kas.pr/all-in-1 SPECIAL_5/2023 IT-SA 2023 53 fänden sich quasi noch unter der Aufmerksamkeitsschwelle der Cyberkriminellen. Das stimmt allerdings immer weniger, je mehr die Angreifer ihre Methoden perfektionieren. Nach einer aktuellen Studie von Kaspersky hat über ein Viertel der befragten Unternehmen in Deutschland zwischen 100 und 500 Mitar-beitern bereits einen Cybervorfall erlebt.[2] Deshalb brauchen auch KMU dringend einen umfassenden proaktiven Cyberschutz. Unternehmen, die über kein eigenes Sicherheitsteam verfügen, sollten die Auslagerung von Cybersicherheit, inklusive der Erkennung und Reaktion auf Vorfälle, an externe Sicherheitsanbieter in Betracht ziehen. Dies erweist sich oft als kosteneffizienteste Lösung, da sie so die Sicherheits- und Einstellungs-budgets entlasten und gleichzeitig Cyberbedrohungen zuverlässiger und schneller aufdecken – was wiederum die möglichen Folgeschäden erheblich reduziert.Immer mehr Unternehmen setzen dabei auf Managed Security Provider. Können solche MSP-Dienste über einen Experten vor Ort bezogen werden?Genau, immer mehr Unternehmen wenden sich an Managed Service Provider (MSP) und Managed Security Service Provider (MSSP), um ihre digitale Transformation effektiv zu managen. Laut der MSP Market Focus Studie 2021[3] von Kaspersky haben sowohl MSP als auch MSSP ihren Kundenstamm seit 2019 um 91 Prozent bzw. 81 Prozent vergrößert – und dieser Trend setzt sich aktuell fort. Um eine starke Cybersicherheit zu gewährleisten, müssen MSP einen ganzheitlichen Ansatz verfolgen und eng mit einem vertrauenswürdigen Cybersicherheitsanbieter zusammen-arbeiten. Dabei sollten sie besonderes Augenmerk auf dessen Technolo-gie, Fachwissen und spezifische Ressourcen legen. Wir selbst verfügen über ein gut ausgebautes Netzwerk erfahrener Partner, die regelmäßig geschult und zertifiziert werden. Dabei profitieren Partner wie Kunden von der führenden TI sowie der umfassenden Lösungskompetenz von

– ADVERTORIAL – SICHERHEIT FÜR IHRE IT-INFRASTRUKTUR: SCHÜTZEN SIE IHR UNTERNEHMEN VOR DIGITALEN BEDROHUNGEN D ie digitale Transformation hat unsere Welt im Sturm er- obert und Unternehmen enorme Vorteile verschafft. Doch mit den Chancen, die Technologien bieten, geht auch eine wachsende Bedrohung einher. Um Ihr Unternehmen und Ihre sensiblen Daten zu schützen, ist eine robuste IT-Sicherheitsstrategie unerlässlich. Wie Sie Ihr Unternehmen vor digitalen Bedrohungen schützen? Wir stel- len Ihnen Möglichkeiten vor. IT-Sicherheit als Treiber der Digitalisierung Tätigkeiten und Prozesse, die manuell durchgeführt werden, sind fehler- anfällig und nicht gerade effizient. Besonders mit steigender Mitarbeiten- denzahl treten Fehler deutlich häufiger auf, und die IT-Abteilungen sind oft überlastet. Ein beliebtes und einfaches Beispiel ist das Zurücksetzen von Passwörtern. Gerade nach der Urlaubszeit erreichen viele IT-Abteilun- gen diverse Passwort-vergessen-Anfragen, die Zeit in Anspruch nehmen. Softwarelösungen wie der BAYOOSOFT Access Manager tragen dazu bei, solche Aufwände zu senken, Fehler zu reduzieren und Sicherheitslücken zu schließen. Die Digitalisierung von Prozessen wird auf einfache und si- chere Weise vorangetrieben. Aber dazu später mehr. IT-Sicherheit durch Self-Service für Identity- und Access-Management In der heutigen digitalen Ära ist der Schutz von Unternehmensdaten von größter Bedeutung. Eine zentrale Rolle bei der Sicherung sensibler Infor- mationen spielt das Identity- und Access-Management. Doch was verbirgt sich hinter diesem Begriff? Identity- und Access-Management (IAM) bezeichnet die Verwaltung von Benutzeridentitäten und deren Zugriffsrechten in einem Unternehmen. Diese Aufgabe ist von entscheidender Bedeutung, um die Einhaltung von 54 SPECIAL_5/2023 IT-SA 2023 Datenschutzvorschriften sicherzustellen. Jede Person, die in einem Un-ternehmen arbeitet, wird digital identifiziert, um transparent zu machen, wer, wann und über welche Konten auf welche Daten, Ordner und Syste-me zugreift. IAM basiert auf klaren Rollen und Regeln, um die Sicherheit und Integrität der Unternehmensdaten zu gewährleisten.In vielen Organisationen werden IAM-Prozesse immer noch manuell oder von Mitarbeitenden bzw. der IT-Administration verwaltet. Dies bedeutet, dass Formulare, Ticketsysteme und Excel-Tabellen zur Dokumentation verwendet werden. Solche Prozessbrüche und ungeplante Abstimmun-gen können nicht nur kostspielig sein, sondern auch das Risiko von Hacke-rangriffen oder interner Sabotage erhöhen und die Transparenz bei Audits beeinträchtigen. Das kann zum Nichtbestehen solcher Audits führen.So schützen Sie Ihre IT-Infrastruktur effektivMit dem BAYOOSOFT Access Manager, unserer spezialisierten Lösung für automatisiertes Berechtigungsmanagement, reduzieren Sie operative Aufwände nachhaltig, während die Informationssicherheit durch Moni-toring, Auditierung und transparentes Reporting steigt. Die aktive Ein-bindung der Mitarbeitenden in die IT-Sicherheit schafft ein Bewusstsein für Datensicherheit und erhöht gleichzeitig die notwendige Akzeptanz für die Sicherheitsstrategie des Unternehmens. Das intuitiv nutzbare Self-Service-Portal entlastet den IT-Support und schafft Übersichtlichkeit. Automatisieren Sie das Berechtigungsmanagement rund um Fileser-ver, SharePoint, Active Directory und Drittsysteme, und schaffen Sie eine sichere Umgebung für digitale Daten. Etablierte Module wie Password Reset und Fileserver Management helfen dabei, den IT-Support effektiv zu entlasten.

– ADVERTORIAL – Sichern auch Sie Ihr Unternehmen mit dem BAYOOSOFT Access Manager Warten Sie nicht länger, um Ihr Unternehmen vor digitalen Bedrohungen zu schützen. Der BAYOOSOFT Access Manager ist die ideale Lösung für umfassende IT-Sicherheit und Zugriffsmanagement. Kontaktieren Sie uns gern direkt – und gemeinsam finden wir die passende Lösung, um Ihr Unternehmen vor digitalen Bedrohungen zu schützen. Noch unsicher? Auf unserer Website accessmanager.net können Sie den Access Manager 30 Tage lang kostenlos testen. Sie haben gerade keine Zeit, sich umfassend mit dem BAYOOSOFT Access Manager zu beschäftigen? Unsere Expert:innen stellen Ihnen die Soft- ware gerne vor. Vereinbaren Sie einfach einen Termin auf unserer Website oder kontaktieren Sie uns direkt unter info@bayoosoft.com. n SPECIAL_5/2023 IT-SA 2023 55 Mit dem Self-Service-Portal wird die Berechtigungsverwaltung in die Hände der Nutzer:innen gelegt. Das browserbasierte Interface ist intuitiv gestaltet und leicht zu bedienen: Ob zeitliche Befristungen, Profile oder die Zuordnung von Datenverantwortlichen – passen Sie das Berechti-gungsmanagement kinderleicht und sicher an Ihre Infrastruktur an.Der IT-Lead bei ETECTURE machte die Erfahrung, dass „[…] die Option, stets den Überblick über die aktuellen Berechtigungen auf den eigenen Ordner zu haben, sowie die Möglichkeit, selbst proaktiv Berechtigungen bei Veränderungen in der Teamstruktur zu setzen, sehr gut aufgenom-men wurde.“ Der BAYOOSOFT Access Manager arbeitet voll automatisiert, rund um die Uhr. Manuelle Eingriffe gehören der Vergangenheit an, und die IT wird massiv entlastet. Das System überprüft kontinuierlich die Berech-tigungsstrukturen und korrigiert automatisch die technische Umge-bung. Dabei wird natürlich alles auditsicher dokumentiert.Berechtigungen werden am Universitätsklinikum Leipzig zuverlässig durch den BAYOOSOFT Access Manager verwaltet. „Mithilfe des BAYOOSOFT Access Managers konnten wir die über viele Jahre gewachsenen Struktu-ren unseres Fileservers in den Zustand der Compliance zu geltenden Anfor-derungen überführen“, berichtet der Abteilungsleiter Systemmanagement. Wenn wir sagen, alles wird dokumentiert, dann meinen wir das auch so. Berufen Sie sich auf unsere daten- und userzentrierten Auswertun-gen, profitieren Sie von der transparenten Darstellung der Berechti-gungssituation, die auch technische Laien verwenden können, oder verfolgen Sie alle Aktionen im Audit-Trail.„Alle Aktivitäten sind nun entsprechend dokumentiert und der Prozess der Rechtevergabe ist standardisiert“, bestätigt ein Senior Manager im Bereich Infrastructure Architecture der Andritz AG.Sie wollen mehr erfahren?Dann sprechen Sie uns an unserem Stand 7A-120 auf der it-sa an! Wir freuen uns darauf, uns mit Ihnen auszutauschen!

– ADVERTORIAL – Kleine und mittlere Unter- nehmen sind bevorzugte Ziele für Cyberkriminalität Cyberkriminelle haben mittlerweile jedes Unternehmen im Visier, das potenziell in der Lage ist, Lösegeld zu bezahlen. Insbesondere im Mittelstand ist zwar grundsätzlich das Bewusst- sein für das denkbare Risiko vorhanden, dennoch sind kleine und mittlere Unternehmen (KMU) häufig unzureichend gegen Cyberangriffe geschützt. L aut einer Studie von PwC waren im Jahr 2022 fünf von sechs KMU Opfer von E-Mail-Phishing. Auch Ransomware-Angriffe belasten die deutsche Wirtschaft weiterhin stark: 73 Prozent der befragten KMU wurden im vergangenen Jahr Opfer einer Attacke. Un- ternehmenslenker sollten sich bewusst sein, dass sie ein Element in einer vulnerablen Lieferkette darstellen und somit interessant sind für Erpres- sungsversuche durch Kriminelle. Die Anforderungen an die Informationssicherheit von Lieferanten und Dienstleistern steigen, da sie einen großen Einfluss auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen haben. Dies bedeutet, dass KMU sicherstellen müssen, dass die Informationen, die sie mit der Industrie austauschen oder die sie in der Zusammenarbeit verarbeiten, nicht unbefugt eingesehen, verändert oder gar gelöscht werden können. Geeignete technische und organisatorische Maßnahmen wie Mitarbeiter- 56 SPECIAL_5/2023 IT-SA 2023 schulungen müssen ergriffen werden, um sich vor Cyberangriffen, Da- tenverlusten oder Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) zu schützen. Die Industrie verlangt von ihren Zulieferern und Dienstleistern, dass sie bestimmte Standards oder Zertifikate wie die ISO 27001 oder die TISAX (Automobilindustrie) erfüllen, um ihre Informati- onssicherheit nachzuweisen. Ist dies nicht der Fall, drohen Auslistungen. Stabile Lieferketten brauchen stabile IT- und OT-Netze Die Industrie ist auf stabile und sichere Lieferketten insbesondere in ihren globalen Handelsbeziehungen angewiesen, um die Versorgungssicherheit und Kundenzufriedenheit zu gewährleisten. Die Corona-Pandemie hat je- doch die globalen Lieferketten empfindlich gestört und zu einschneiden- den Engpässen bei kritischen Gütern geführt. Die Störanfälligkeit von Lie-

ferketten hat durch externe Ereignisse, Markteingriffe und geopolitische Spannungen zugenommen. Dies erfordert eine Anpassung der Lieferket- tenstrategien an die veränderten Rahmenbedingungen. KMU sind ein wichtiger Bestandteil der deutschen Industrie und tragen maßgeblich zu ihrer Innovationskraft, Reputation und Wettbewerbsfä- higkeit bei. Häufig sind sie Weltmarktführer, spezialisiert auf bestimmte Nischen oder Produkte und bieten hohe Qualität. Die digitale Transfor- mation eröffnet Unternehmen viele Chancen, ihre Geschäftsprozesse zu optimieren, neue Märkte zu erschließen, ihre Kundenbeziehungen zu vertiefen und neue Geschäftsmodelle zu entwickeln. Die Digitalisierung erfordert jedoch im Mittelstand auch eine Anpassung der IT-Infrastruktur, der Mitarbeiterqualifikationen und der Unternehmenskultur an die neuen Anforderungen. KMU stehen dabei vor verschiedenen Herausforderun- gen, beispielsweise fehlendes Fachpersonal, hohe Investitionskosten oder mangelnde Standardisierung. Die Cyberresilienz bezeichnet die Fähigkeit eines Unternehmens, sich gegen Cyberangriffe zu schützen, diese schnell zu erkennen und ange- messen darauf zu reagieren. Eine hohe Resilienz erhöht nicht nur die Sicherheit des Unternehmens selbst, sondern auch die seiner Kunden und Partner in der Lieferkette. KMU müssen daher ihre IT-Sicherheitsmaßnah- men kontinuierlich überprüfen und anpassen, um sich vor den immer raf- finierteren und gezielteren Angriffen der Cyberkriminellen zu schützen. Erhöhte Resilienz dank Zero Trust Eine Zero-Trust-Strategie ist ein IT-Sicherheitskonzept, das darauf basiert, keinem Gerät und keinem Benutzer zu vertrauen, bevor nicht eine sichere Authentifizierung vor dem Zugang zum Netzwerk stattgefunden hat. Die- ses Konzept folgt dem Grundsatz: „Never trust, always verify“. Eine Zero- Trust-Strategie kann für den Zugriff auf Unternehmensressourcen in der Cloud durch Secure Defined Perimeter (SDP) implementiert werden. SDP ist eine praktische Umsetzung des Zero-Trust-Modells, das die Identität und den Sicherheitsstatus aller Teilnehmer im Netzwerk überprüft und nur autorisierten Nutzern oder Geräten Zugriff auf die benötigten Services gewährt. SDP ermöglicht eine flexible, sichere und benutzergesteuer- te Kommunikation mit den Cloud-Ressourcen, ohne dass ein VPN oder eine Firewall benötigt wird. SDP kann eine bestehende Network-Access- Control-(NAC-)Lösung ergänzen, die die Zugriffssteuerung auf Basis der Identität und des Sicherheitsstatus von Endgeräten im lokalen Netzwerk ermöglicht. Überblick, Kontrolle und Compliance durch NAC NAC erfüllt grundlegend zwei Anforderungen: zum einen einen vollständi- gen Überblick, welche Geräte sich im (Unternehmens-)Netzwerk befinden und wo sie angeschlossen sind. Die Art der Endgeräte wie Clients, Dru- cker, Produktionssysteme, Geldautomaten, medizinische Geräte, Tablets, Smartphones oder Kühlschränke spielt dabei keine Rolle. Durch diese Übersicht wird verhindert, dass fremde oder unbekannte Systeme einfach über WLAN oder eine freie Netzwerkdose Zugriff auf das Netzwerk be- kommen. Dadurch können im Netzwerk nur noch eigene und dafür zuge- lassene Systeme betrieben werden. Die zweite Anforderung ist die sogenannte Compliance-Funktion. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den individuellen Sicherheitsricht- – ADVERTORIAL – linien des Unternehmens entsprechen. Das betrifft in der Regel Eigen- schaften wie den Status eines Antivirenprogramms oder einer Desk- top-Firewall, oder ob die neuesten Patches installiert sind. Ziel ist es, im eigenen Netzwerk nur Endgeräte und Software zu betreiben, die alle er- warteten Anforderungen erfüllen und damit den definierten Sicherheits- richtlinien entsprechen. Hält ein IT- oder OT-Netzwerk der Überprüfung nicht stand, werden entsprechende Gegenmaßnahmen eingeleitet. Dazu gehört das virtuelle Verschieben von Geräten in Quarantäne und deren „Heilung“. Geeignete NAC-Lösungen können auch mit Identity Access Ma- nagement (IAM) kombiniert werden, um eine eindeutige Identifizierung und Rollenzuweisung von Nutzern und Geräten zu gewährleisten. Dazu Christian Bücker, Business Director macmon secure: „Unsere NAC-Lösung ermöglicht es Unternehmen, ihre spezifischen Richtlinien für den Zugriff auf die Unternehmensinfrastruktur sowohl für benutzerorientierte Endgeräte als auch für IoT-Geräte zu implemen- tieren. Durch SDP haben wir diesen Schutz auf die Cloud ausgeweitet. Durch unsere Herstellerunabhän- gigkeit und viele Technologiepart- nerschaften bieten wir umfassende Sicherheit für lokale und virtuelle Netz- werke und sind bei unseren Kunden im Fokus ihrer IT- und OT-Sicherheitsstrategie.“ Zero Trust lohnt sich Laut einer Studie von Statista haben 72 Prozent der Organisationen welt- weit entweder bereits eine Zero-Trust-Strategie eingeführt oder sind ge- rade dabei, dies zu tun. Zudem berichten 90 Prozent der Organisationen, die Zero Trust vorantreiben, von einer Verbesserung ihrer Sicherheit. Zero Trust kann auch die Kosten für Sicherheitsvorfälle senken: Eine Studie von Forrester Research schätzt, dass Unternehmen mit einer Zero-Trust- Architektur 50 Prozent weniger Sicherheitsvorfälle haben und 40 Prozent weniger Zeit für deren Behebung benötigen. Eine Zero-Trust-Strategie ist also nicht nur ein Konzept, sondern eine Not- wendigkeit für Unternehmen, die ihre Daten und Ressourcen auch in der Cloud schützen wollen. Durch die Kombination von SDP für die Cloud und NAC für lokale Netzwerke kann sie einen umfassenden und granularen Zugriffsschutz für alle Endgeräte und Nutzer gewährleisten. n www.macmon.eu SPECIAL_5/2023 IT-SA 2023 57

– ADVERTORIAL – Proaktiv gegen Cyberattacken Ressourcenmangel – egal ob Budget, Personal, Zeit oder Know-how. Sie sind das größte Hindernis für die Digitali- sierung in Deutschland. Etwa 99 Prozent der Unterneh- men in der EU sind Kleinstunternehmen oder kleine und mittlere Unternehmen (KMU). Selbst wenn die Bereitschaft besteht, Digitalisie- rungsprojekte umzusetzen, ist es für diese Firmen immer noch äußerst herausfordernd, angesichts der Komplexität des Themas und fehlender Ressourcen umfassend, schnell und sicher zu digitalisieren. Das bestätigt auch die aktuelle Studie der deutschen Industrie- und Handelskam- mer (Grafik, Seite 6). Dabei spielt gerade der deutsche Mittelstand wegen seiner Innovationskraft eine wichtige Rolle in unserer Wirtschaft. Mit den richtigen Rahmenbedingungen schaffen möglichst viele Unternehmen den digitalen Wandel und können von den Vorteilen neuer Technologien profitieren. KMU sind für Cyberkriminelle ein lukratives Ziel, insbesondere die Inno- vationen der „Hidden Champions“ sind Anreiz genug für Cyberspionage (Studie vom Max-Planck-Institut und Fraunhofer Institut). 58 SPECIAL_5/2023 IT-SA 2023 Auch Cyberkriminelle setzen auf neue TechnologienMit dem Einsatz künstlicher Intelligenz (KI) hat sich die Bedrohungs lage für Organisationen jeglicher Art verschärft. Beispielsweise ist die Zahl an Malware-Varianten, die täglich neu in den Umlauf kommen, nochmals um ein Vielfaches erhöht. Antiviren-Programme können mit der Ge-schwindigkeit kaum mithalten, denn sie müssen Schadprogramme erst als solche identifizieren und in die Blocklist aufnehmen. Einen weiteren Wettlauf gegen die Zeit stellen Zero-Day-Exploits dar: Hier müssen Se-cu rity-Teams etwaige Sicherheitslücken in Systemen vor den Kriminellen finden und mit einem Patch schließen, damit kein unberechtigter Zugriff erfolgen kann. Abhilfe schafft hier ein intelligentes Allow-Listing, das au-tomatisch nur verifizierte Programme und Geräte zulässt. Ferner werden dank KI Cyberangriffe nicht nur häufiger, sondern auch immer raffinierter. Phishingmails haben inzwischen eine so hohe Qualität, dass sie für viele nur noch schwer von legitimen Nachrichten zu unterscheiden sind. An dieser Stelle ist der Mensch oft noch das schwächste Glied in der Kette Bild: Elena - stock.adobe.com; SFIO CRACHO - stock.adobe.com

– ADVERTORIAL – SPECIAL_5/2023 IT-SA 2023 59 Lösungen zu setzen. Zum einen fallen keine Schäden beziehungsweise Kosten durch erfolgreiche Cyberattacken an. Zum anderen zielen prä-ventive Maßnahmen darauf ab, jeglichen Angriff außen vor zu lassen. Im Idealfall wird eine schadhafte Aktion so früh verhindert, dass das Ent-decken und Reagieren gar nicht mehr nötig sind. Denn Letztere binden Ressourcen und erfordert Monitoring und Reaktion. Diese Faktoren verdeutlichen jeder für sich, wie wichtig die Rolle von IT-Sicherheit für Unternehmen ist – für den wirtschaftlichen Betrieb, den Erfolg im internationalen Wettbewerb sowie den Schutz von geistigem Eigentum und wertvollen Daten. Die DriveLock-Lösungen schützen di-gitale Arbeitswelten konsequent und schaffen dabei Synergien aus den folgenden Komponenten: Data & Endpoint Protection Data Loss Prevention Data Encryption Security Awareness Risk & Vulnerability Management Security Configuration Management DriveLock arbeitet nach dem Prinzip „never trust, always verify“ und lie-fert Schutzmechanismen wie USB-Port-Kontrolle, Multi-Faktor-Authenti-fizierung, Verschlüsselung von Daten am Speicherort sowie während des Transfers oder Security-Awareness-Trainings für Mitarbeitende. Dies wird flankiert von Lösungen wie einer intelligenten Applikationskontrolle, die beispielsweise nur vorher zugelassene Programme und Dienste erlaubt. Auf diese Weise wird Schadsoftware – egal ob neue oder alte Varianten und ganz gleich, über welchen Weg sie ins System gekommen ist – nicht ausgeführt und kann keinen Schaden anrichten. Zudem sind die DriveLock-Lösungen Device Control und Application Con-trol nach Common Criteria EAL3+ zertifiziert: Diese international aner-kannte Zertifizierung attestiert die hohe Vertrauenswürdigkeit und den Sicherheitsstandard des DriveLock Agents.Mit all diesen Komponenten bietet DriveLock kompromisslose IT-Sicher-heit, um Organisationen, Menschen und Dienste vor Cyberrisiken der digitalisierten Welt zu schützen und digitales Arbeiten für alle sicher zu gestalten. nKontakt: info@drivelock.com von Sicherheitsmaßnahmen. Unternehmen sollten ihre Belegschaft konti-nuierlich und anlassbezogen für die Risiken sensibilisieren. Was heißt das konkret? Nutzt jemand beispielsweise einen mobilen Datenträger, kann eine Pop-up-Meldung ad hoc über mögliche Risiken aufklären. Insgesamt gilt: Unternehmen sollten sich nicht auf singuläre Security-Maßnahmen verlassen, sondern auf eine mehrschichtige Strategie set-zen, die verschiedene präventive Maßnahmen vereint. Laut der aktuellen Studie von Bitkom entstehen der deutschen Wirtschaft jährlich 206 Mil-liarden Euro Schaden durch den Diebstahl von IT-Ausrüstung und Daten sowie zunehmend auch durch digitale Industriespionage und Sabotage. Wirtschaftlicher Erfolg geht daher immer mehr mit effektivem Schutz einher.IT-Sicherheit als Enabler für Digitalisierung Für eine starke Position im internationalen Wettbewerb ist konsequenter Cyberschutz die Basis jeglicher Digitalisierungsmaßnahmen. IT-Sicher-heit muss ressourcenschonend, einfach verfügbar und unkompliziert zu managen sein – und damit Enabler, nicht Verhinderer wichtiger Digitali-sierungsprojekte. Diese Kriterien sind vor allem für KMU, also die breite Masse an Unternehmen, ausschlaggebend, da für sie der Mangel an Fach-personal, Know-how und Budget eine größere Belastung darstellt.Für diese zahlreichen Hidden Champions im deutschen Mittelstand und gegen den Anstieg von Cyberkriminalität bieten lokale Cybersecurity-An-bieter aus Deutschland oder der EU wertvolle Vorteile gegenüber inter-nationalen Mitbewerbern in den Bereichen Datenschutz und Souveräni-tät. So unterstützt beispielsweise der deutsche Spezialist für innovative IT-Sicherheitslösungen DriveLock mit seinen Lösungen die Umsetzung von Richtlinien wie die Datenschutz-Grundverordnung (DSGVO), Anfor-derungen aus NIS2 oder den branchenspezifischen Sicherheitsstandards für Krankenhäuser (B3S). Das erleichtert es Unternehmen, auch lokale Compliance-Vorgaben u. Ä. einzuhalten sowie ihre geschäftskritischen Innovationen zu schützen. Effektiver Cyberschutz: Schnell verfügbar, einfach zu managen und made in GermanyOfferieren die Anbieter ihre Lösungen aus einer europäischen oder deut-schen Cloud heraus, sind kleine und mittlere Unternehmen in der Lage, maximal effektive Sicherheit und Know-how mit minimalem Ressourcen-aufwand zu beziehen. Cloudbasierte Sicherheitslösungen können auf Knopfdruck bereitgestellt werden, sind kosteneffizient und einfach ska-lierbar. Die Migration einer gesamten Unternehmens-IT von On-Premises in die Cloud ist bei spezialisierten Security-Anbietern wie DriveLock meis-tens innerhalb weniger Stunden abgeschlossen, und Endgeräte sind um-gehend abgesichert. Letzteres ist essenziell in Zeiten von Homeoffice und Mobile Work. Der digitale Arbeitsplatz wird zunehmend zu einem festen Bestandteil der Arbeitswelt und ist mitunter ein wichtiger Faktor im Wett-bewerb um Talente. Neben der schnellen Verfügbarkeit und Skalierbarkeit hat Security aus der Cloud noch zahlreiche weitere Vorteile. Unternehmen werten ihre IT-Sicherheit im Handumdrehen auf, ohne viele Mittel für Ver-waltung, Infrastruktur oder Hardware bereitstellen zu müssen. Über die bereits genannten Vorteile hinaus liegt die besondere Stärke der DriveLock-Lösungen im präventiven Ansatz. Vor allem für Unternehmen mit wenig Ressourcen ist es wichtig, auf vorbeugende Cybersecurity-

– ADVERTORIAL – Sicherheitskritische Ereignisse mit Argusaugen überwachen Bei den folgenden fünf Events sollten Sie sich umgehend alarmieren lassen – beispielsweise von der SIEM-Lösung Log360 von ManageEngine. W elche Ereignisse sind wirklich sicherheitsrelevant? Diese Frage lässt sich angesichts der kaum überschaubaren Menge an Log-Dateien meist nur schwer beantworten. Es gibt allerdings fünf Events, die Ihre sofortige Aufmerksamkeit erfordern und für die Sie in einer SIEM-Lösung wie Log360 unbedingt Echtzeit-Alarme einrich- ten sollten. Änderungen an sensiblen Daten Jedes Unternehmen hat vertrauliche Dateien und Datenbanken, die geschützt werden müs- sen. Um im Notfall schnell reagieren zu können, sollten Sie sich bei unautorisierten Zugriffen auf vertrauliche Daten sofort alarmieren lassen. Wir empfehlen zudem einen automatischen Alarm bei Änderungen an den Zugriffskontrolllisten (ACLs), damit Sie wichtige Aktivitäten an Dateien, Ordnern und Datenbanken sofort entdecken und nicht erst beim Überprüfen von Audit-Berichten. Wiederholtes Herunterfahren und Neustarten von Servern Die von kritischen Servern generierten Sicher- heitsprotokolle sollten Sie ebenfalls kontinuier- lich überwachen und sich bei Anomalien alar- mieren lassen. Ein heruntergefahrener Server bedeutet zwar nicht zwangsläufig, dass Sie an- gegriffen werden, Sie sollten sich ungewöhnliche Häufungen allerdings genauer ansehen. Log-in-Fehler und gesperrte Konten Ein kontinuierliches Monitoring der Anmeldeak- tivitäten ist nicht nur aus Compliance-Gründen sinnvoll, sondern hilft auch, wiederholte Log- in-Fehler oder Konten zu erkennen, denen der Serverzugriff verweigert wird. Besonderes Au- genmerk gilt den Aktivitäten privilegierter Kon- ten: Für diese sollten Sie erfolgreiche und fehl- geschlagene Log-ins berücksichtigen, damit Sie die zugehörigen Log-Dateien richtig analysieren können. 60 SPECIAL_5/2023 IT-SA 2023 Vertrieb und deutsch- sprachiger Support MicroNova AG Unterfeldring 6 85256 Vierkirchen Tel.: +49 8139 9300-456 www.ManageEngine.de ManageEngine Log360Die hier vorgestellten Alarme lassen sich zum Bei-spiel mit der umfassenden Log-Management- und AD-Auditing-Lösung Log360 von Manage-Engine schnell und einfach einrichten. Die Lösung kombiniert Threat Intelligence, auf Machine Lear-ning basierte Anomalieerkennung und regelba-sierte Angriffserkennungstechniken, um ausge-klügelte Angriffe zu erkennen. Mit Log360 können Sie Sicherheitsvorfälle schneller erkennen, analy-sieren, priorisieren und beheben, gesetzliche Vor-gaben einhalten und Sie gewinnen einen besseren Einblick in die Netzwerkaktivitäten. nÄnderungen an Gruppen-zugehörigkeiten im Active Directory (AD)Absichtliche oder versehentliche Änderungen an den AD-Sicherheitsgruppen können potenzielle Sicherheitslücken schaffen. Ein Auditing der AD-Änderungen reicht allein aber nicht aus, um bei akuten Sicherheitsbedrohungen zeitnah reagie-ren zu können. Hier helfen Echtzeit-Warnmel-dungen zu kritischen AD-Änderungen, wie das Hinzufügen von Usern zu privilegierten Gruppen, die Sie sich unbedingt einrichten sollten. Änderungen an Firewall-RegelnDie Syslog-Daten von Firewalls sollten eben-falls überwacht und ausgewertet werden, um beispielsweise zunehmende Bedrohungen des Netzwerks auf Perimeter-Ebene zu erken-nen. Meist wird der ein- und ausgehende Traf-fic sehr genau beobachtet, Änderungen an den Netzwerk-Konfigurationen hingegen nicht. Da neu hinzugefügte, gelöschte oder geänderte Firewall-Regeln möglicherweise Schwachstellen für Angreifer bieten können, sollten Sie Änderun-gen mit Echtzeit-Alarmen überwachen. Bild: ProStockStudio/Shutterstock

Warum Applikations- und API-Sicherheit verschärfte Aufmerksamkeit erfordern Airlock bringt Top-Themen auf die it-sa Die itsa 2023 rückt unaufhaltsam näher, und auf dem Stand von Airlock, einer Security Innovation der Ergon Informatik AG, stehen Live-Hacking und faszinierende Gespräche am Messestand bevor. Hier dreht sich alles um den aufregenden Wandel in der Welt der Applikationssicherheit. Besonderes Highlight: Airlock veranstaltet gemeinsam mit den Partnern Secunet, HanseSecure und terreActive einen Kongress zum Thema „Cutting Edge Applikations- und API-Sicherheit in Kubernetes“. Dieses spannende Event findet im Rahmen des offiziellen Programms des it-sa Congresses statt und ist ein absolutes Muss für alle, die sich die neuesten Entwicklungen und Herausforderungen in der Welt der Applikationssicherheit in Kubernetes nicht entgehen lassen wollen. Gernot Bekk-Huber, Senior Marketing Director bei Airlock by Ergon Immer öfter verdrängen API (Application Programming Interface) und Container-Technologien klassische Webapplikationen. Dies geschieht mit dem Ziel, offene Strukturen zu schaffen, Dezentralisierung voran- zutreiben und eine höhere Flexibilität und Agilität zu erlangen. In der IT- Infrastruktur findet gleichzeitig ein Umdenken statt, da man bestrebt ist, die Agilität, Verfügbarkeit und Dynamik im Rahmen der Unternehmensdi- gitalisierung zu steigern. Eine aktuelle Entwicklung ist der Übergang von On-Premises zu hybriden Cloud-Umgebungen, in denen moderne Container-Technologien und Micro- services eine zunehmend wichtige Rolle spielen. Neue Ansätze wie DevSe- cOps und andere innovative Technologien tragen maßgeblich dazu bei, die Sicherheit von Webapplikationen und APIs zu verändern. Dabei verschwim- men die Grenzen zwischen Applikationssicherheit, Zugriffsmanagement und API-Sicherheit zunehmend – auch in Kubernetes-Umgebungen. Studie für Missstände vor Augen Die von IDG im Auftrag von Airolock durchgeführte Studie „App- & API- Security im Container-Umfeld“, die auf der it-sa vorgestellt wird, gibt Auf- schluss darüber, wie weit verbreitet das Konzept von DevSecOps in Unter- nehmen bereits ist. Ein bemerkenswertes Ergebnis der Studie ist, dass bei 64 Prozent der Befragten das obere IT-Management direkt in Entschei- dungen bezüglich DevSecOps-Maßnahmen und -Tools eingebunden ist. Dies verdeutlicht die geschäftliche Relevanz dieses Themas. Gleichzeitig gaben mehr als die Hälfte der Unternehmen an, einen Mangel an Fach- kräften im Bereich DevSecOps zu haben, was zwar nicht überraschend, aber dennoch alarmierend ist. Es zeigt das anhaltende Dilemma, in dem Unternehmen seit Jahren stecken: Ausgerechnet in den entscheidenden Bereichen der IT-Sicherheit mangelt es an ausgebildeten Experten. Die Studie verdeutlicht auch, dass sich diese Problematik weiter ver- schärft. So sagen 21 Prozent der Unternehmen, mangelnde Sicherheit bei ihren Web-Apps könnte ihre Existenz gefährden. Gleichzeitig haben aber 56 Prozent keinen Einfluss auf ihre Web-Apps! Zwei Drittel der Un- ternehmen gaben an, eine große Anzahl von schutzbedürftigen Web- anwendungen und Schnittstellen (API) im Einsatz zu haben, für die das 62 SPECIAL_5/2023 IT-SA 2023 Bild: APchanel - stock.adobe.com– ADVERTORIAL –

– ADVERTORIAL – Airlock lädt alle Messebesucher der it-sa in Halle 7A an den Stand 116 zu Live-Hacking-Sessions mit Florian Hansemann ein. Für das körperliche Wohl und ein wenig Abwechslung sorgt dabei der hauseigene Barista,derBesucherneinMilchschaum-Selfieauf dem Kaffee zaubert. Kongress Termin: Mittwoch, 1. Oktober 2023 Zeit: 10.00 bis 12.00 Uhr oder 14.00 bis 16.00 Uhr; Sie haben die Wahl, welchen Termin Sie bevorzugen. Ort: Kongresszentrum Messe Nürnberg im Raum Riga, NCC Ost auf Ebene 2 Weitere Informationen zum Kongress und zum Messeauftritt finden Sie unter: www.airlock.com/itsa SPECIAL_5/2023 IT-SA 2023 63 protect4use eine starke Authentifizierung ermöglicht und gleichzeitig höchste Sicherheits- und Datenschutzstandards gewährleistet, ohne die Benutzererfahrung zu beeinträchtigen.Im weiteren Verlauf präsentiert Florian Hansemann von HanseSecure eine aktuelle Risikoeinschätzung für Unternehmen im Kubernetes-Umfeld. Marc Bütikofer, Head of Innovation Security Solutions bei Airlock, gibt wertvolle Empfehlungen und stellt ganzheitliche Lösungsansätze vor, um den Herausforderungen der Applikations- und API-Security im Container-Umfeld proaktiv zu begegnen. Wie sich Unternehmen in der aktuellen Bedrohungslage mit einem Security Operations Center (SOC) und Threat Detection schützen und welche Services sich daraus ergeben, erläutert terreActive zum Ab-schluss des Kongressteils. Die Teilnehmer erfahren hier, wie sie nach dem Baukastensystem ihre Cyber Defense aufbauen können. nHinweis: Einen ausführlichen Fachbeitrag zum Thema Microgate-ways, einer Schlüsseltechnologie für die Sicherung von APIs in Kubernetes-Umgebungen,findenSieabSeite50indieserAusgabe.DevSecOps-Konzept besonders geeignet ist. Aber weder DevSecOps, noch containerbasiertes Identitäts- und Zugriffsmanagement, das ebenfalls für die Sicherheit von APIs und Webanwendungen essenziell ist, haben sich bisher im gebotenen Maße durchgesetzt. Unternehmen müssen zwischen getrennten Sicherheitslösungen für Webanwendungen und API oder einer integrierten Lösung wählen. Hierbei herrscht oft Unsicherheit darüber, welcher Weg der richtige ist.Kongress gibt OrientierungEs ist von entscheidender Bedeutung, das Bewusstsein deutscher Unter-nehmen für die essenziellen Themen des API-Managements, der API-Si-cherheit und deren Verbindung zur Sicherheit von Web-Anwendungen zu schärfen. Dies ist die Schlüsselmission der Beiträge im Kongress-Teil des Airlock-Auftritts auf der it-sa.Nach einer inspirierenden Einführung von Thomas Kohl, Senior Business Development Manager Deutschland & International bei Airlock, zeigt Simon Hülsbömer, Senior Project Manager Research Studienprojekte in der Marktforschung von CIO, CSO und Computerwoche, wie deutsche Un-ternehmen bereits auf diese Veränderungen reagiert haben. Er erläutert, welchen Stand sie bei Identity- und Access-Management (IAM) als Service erreicht haben und welche Schritte als nächstes geplant sind.Ein unverzichtbarer Aspekt des Zugriffsmanagements ist eine robuste Authentifizierung. In diesem Kontext erklärt secunet, wie die Lösung

SECURITY MANAGEMENT | BCM Wie BCM und NKM gemeinsam die Unternehmens-Resilienz stärken STABIL IM BUSINESS BCM ist ein proaktiver Prozess, der die Risiken potenzieller Bedro- hungen für eine Organisation identifiziert und wirksame Strategien entwi- ckelt, um die Kerngeschäftsprozesse im Falle einer Unterbrechung wiederherzustellen. Es umfasst in der Regel Risikobewertungen, eine Geschäftsauswirkungsanalyse (Business Impact Analysis, BIA) und die Erstellung von Geschäfts- kontinuitätsplänen (Business Continuity Plans, BCP). Die Hauptziele des BCM sind die Wieder- herstellung der Geschäftstätigkeit in einem ak- zeptablen Zeitraum, die Minimierung finanzieller Verluste und die Vermeidung von Reputations- . m o c . e b o d a k c o t s - r e t e P : d l i B verlusten. Bei der Implementierung hilft zum Beispiel der modernisierte BSI-Standard 200-4. Im Gegensatz dazu konzentriert sich das Not- fall- oder Krisenmanagement eher auf die unmittelbare Bewältigung einer aktuellen oder in Zukunft drohenden Krise. Es beinhal- tet die Entwicklung von Prozessen und Plänen zur effektiven Bewältigung und Milderung der Auswirkungen von Krisen, sobald diese eintre- ten. Das Krisenmanagement konzentriert sich auf Aspekte wie Kommunikation, Notfallhilfe, Sicherheit und die Wiederherstellung des Nor- malbetriebs nach einer Krise. STÄRKUNG DER KATA- STROPHENVOR- BEREITUNG DURCH PARALLELEN EINSATZ VON BCM UND NKM Die Bedeutung der parallelen Umsetzung von BCM und NKM liegt in der Stärkung der Wider- standsfähigkeit eines Unternehmens gegenüber unerwarteten Ereignissen und Katastrophen. Wenn Unternehmen beide Ansätze kombinie- ren, können sie sich nicht nur besser auf mög- liche Katastrophenereignisse vorbereiten, son- IT-SICHERHEIT_5/2023 65 Business Continuity Management (BCM) und Notfall- oder Krisenmanagement (NKM) sind zwei wichtige Disziplinen, die sich mit der Bewältigung von Störungen und Krisen innerhalb einer Organisation befassen. Obwohl sie eng miteinander verbunden sind, haben sie unterschiedliche Schwerpunkte und Rollen. Richtig kombiniert, stärken sie die Widerstandsfähigkeit eines Unternehmens gegenüber unerwarteten Ereignissen.

SECURITY MANAGEMENT | BCM dern auch schneller und effektiver auf aktuelle Krisen reagieren. Zunächst ist es wichtig, die Risiken zu verstehen, denen das Unternehmen ausgesetzt ist. Dies kann durch eine umfassende Risikobewertung erreicht werden, die alle möglichen Bedrohungen identifiziert, sei es Naturkatastrophen, Cyberan- griffe, Betriebsunterbrechungen oder andere Ri- siken. Die Identifizierung der Risiken ermöglicht es dem Unternehmen, gezielte Maßnahmen zu ergreifen, um die Auswirkungen zu minimieren und die Geschäftskontinuität sicherzustellen. BUSINESS IMPACT ANALY- SIS VERSUS EMERGENCY IMPACT ANALYSIS Anschließend sollten die Auswirkungen dieser Risiken auf die Geschäftsprozesse analysiert werden. Eine Business Impact Analysis (BIA) kann dabei helfen, die kritischsten Bereiche und Funktionen zu identifizieren, die im Fall eines Ereignisses Priorität haben sollten. Die BIA be- wertet die potenziellen finanziellen und betrieb- TOOLS FÜR DAS NOTFALL UND KRISENMANAGEMENT Bei der Umsetzung von Notfall- und Krisenmanagement können Werkzeu- ge helfen, die auch als Open Source zur Verfügung stehen: Ushahidi (https://www.ushahidi.com) ist eine Plattform, die speziell für das Informationsmanagement und inter- aktive Mapping in Krisensituationen entwickelt wurde. Sie ermöglicht es Nutzern, Informationen aus verschie- denen Quellen wie E-Mails, SMS, Fotos und Tweets zu sammeln und auf einer Karte zu visualisieren. Crisis Cleanup (https://crisiscleanup.org) ist ein Tool, mit dem Hilfsorganisatio- nen ihre Arbeit koordinieren, priorisie- ren und efﬁzienter gestalten können. Es wird häuﬁg nach Naturkatastrophen eingesetzt, um Aufräumarbeiten zu organisieren. Sahana Eden (https://eden. sahanafoundation.org) Dabei handelt es sich um ein Open- Source-Disaster-Management-System, das eine Vielzahl von Funktionen bie- tet, darunter die Verwaltung von Ver- misstenmeldungen, Notunterkünften, Hilfsgütern und Freiwilligen. CERT (https://www.cert.org) Obwohl CERT selbst keine Open- Source- Software ist, stellt es eine Fülle von Ressourcen und Werkzeugen zur Verfügung, die im Zusammenhang mit Notfall- und Krisenmanagement genutzt werden können. Es ist ein weltweit anerkanntes Forschungszen- trum für Cybersicherheit und Notfall- reaktion. 66 IT-SICHERHEIT_5/2023 THOMAS JOOS, freier Journalist lichen Verluste, die bei einer Unterbrechung der Geschäftsprozesse entstehen könnten. Sie hilft dabei, Prioritäten für die Wiederherstellung von Geschäftsprozessen festzulegen und die ent-sprechenden Maßnahmen zu planen.Die Notfallauswirkungsanalyse (Emergency Impact Analysis, EIA) bezieht sich im Allgemei-nen auf den Prozess der Bewertung der direkten Auswirkungen eines bestimmten Notfalls oder einer Krise auf eine Organisation. Dabei kann es sich beispielsweise um eine Naturkatastrophe, ein technisches Versagen oder einen Sicherheits-vorfall handeln. Während eine BIA in der Regel mehr auf langfristige und strategische Aspekte ausgerichtet ist, konzentriert sich die EIA auf die unmittelbaren Auswirkungen eines Ereignisses und die Maßnahmen, die erforderlich sind, um diesen Auswirkungen zu begegnen.Beide Analysemethoden spielen eine wichtige Rolle im Gesamtprozess des Business Continui-ty Managements und des Krisenmanagements. Während die BIA dabei hilft, eine breite Perspek-tive auf die potenziellen Auswirkungen von Unterbrechungen auf das Geschäft zu erhalten, ermöglicht die EIA eine fokussierte und unmit-telbare Reaktion auf spezifische Notfälle.SO ERGÄNZEN SICH KRISENMANAGEMENT UND BCMDie Entwicklung robuster und detaillierter Pläne für das Business Continuity Management und das Krisenmanagement ist ein weiterer Schritt. Diese Pläne sollten klar darlegen, welche Maß-nahmen im Falle einer Störung oder Krise zu ergreifen sind, und sie sollten regelmäßig aktu-alisiert und getestet werden, um ihre Wirksam-keit zu gewährleisten.Ein weiterer wichtiger Aspekt ist die Kommuni-kation. Stellen Sie sicher, dass sowohl im Krisen-managementplan als auch im Betriebskontinu-itätsplan eine klare Kommunikationsstrategie festgelegt ist. Im Krisenfall ist eine klare und schnelle Kommunikation von entscheidender Bedeutung, um das Vertrauen der Stakeholder zu wahren und effektiv zu handeln.Schließlich sollten Unternehmen eine Kultur der kontinuierlichen Verbesserung fördern. Nutzen Sie die Erkenntnisse aus Tests, Übungen und realen Vorfällen, um Ihre Pläne regelmäßig zu überprüfen und zu aktualisieren. Flexibilität und Anpassungsfähigkeit sind entscheidend, da sich die Risikolandschaft ständig verändert.Insgesamt sind BCM und Krisenmanagement keine einmaligen Aktivitäten, sondern erfordern kontinuierliche Anstrengungen und Engage-ment auf allen Ebenen der Organisation. Durch die parallele Umsetzung von BCM und NKM kön-nen Unternehmen nicht nur ihre Widerstandsfä-higkeit stärken, sondern auch die Geschäftskon-tinuität sicherstellen und effektiv auf Störungen und Krisen reagieren. Es ist ein ganzheitlicher Ansatz, der langfristig zum Erfolg und zur Si-cherheit der Organisation beiträgt. n

Online-Schulungen IT-Sicherheit 2023 Thema Referent/in Termine Das NIS2 Umsetzungsgesetz (NIS2UmsuCG): Was Unternehmen jetzt beachten müssen Tobias Baader Dirk Seeburg 17.10.2023 14.11.2023 05.12.2023 Praxisfall: Herausforderungen und Bewältigung eines Cyberangriffes – vom Angriff bis zur Abwicklung Tobias Baader 07.11.2023 Incident-Response-Maßnahmen – Auf Sicherheitsvorfälle optimal reagieren Tobias Elsner Thomas Wallutis 13.11.2023 Betriebssystem Windows härten und absichern – Eine Schritt für Schritt Anleitung Tobias Elsner 14.11.2023 Netzwerk-Sicherheit – Aufbau von sicheren IT-Netzwerken Tobias Elsner 15.11.2023 IT-Sicherheit von M365 – Sicheres Design und sichere Konfiguration Eric Soldierer 16.11.2023 Die ersten 100 Tage als CISO – Das müssen Sie umgesetzt haben Alexander Jaber 21.11.2023 ISO 27001 et al.: Betrachtung aus Kosten-/ Nutzen-Perspektive Tobias Baader 22.11.2023 Einführung Notfallmanagement nach BSI-Standard 200-4 Tobias Baader 30.11.2023 Jeweils von 10:00 Uhr bis 14:30 Uhr I online Änderungen bei Terminen bleiben vorbehalten. Jetzt anmelden für nur 349,– € zzgl. MwSt.: www.datakontext.com/it-sicherheit-seminare Kompakt lernen IT-Sicherheit im Fokus

SECURITY MANAGEMENT | OPEN SOURCE Cyber Resilience Act SCHICKSALSSCHLAG FÜR OPEN SOURCE IN EUROPA? Die EU hat bereits in der Vergan- genheit Gesetze zur Stärkung der Cybersicherheit verabschie- det, darunter NIS-2 und den Cybersecurity Act. Der CRA stellt eine weitere wichtige Initiative dar. Er würde Hersteller, Vertreiber und Im- porteure dazu verpflichten, Sicherheitsricht- linien für Software während ihres gesamten Lebenszyklus zu erfüllen und regelmäßige Sicherheitsupdates bereitzustellen. Mit ande- ren Worten, der CRA ähnelt einem CE-Logo für Software, das bei jeder stabilen Version aktu- 68 IT-SICHERHEIT_5/2023 alisiert werden muss. Dennoch gibt es einen bedeutenden Haken. Zwar schließt der Entwurf des CRA Open-Source- Software aus, sofern sie nicht für kommerzi- elle Zwecke genutzt wird. Aufgrund der vagen Formulierung besteht jedoch ein erheblicher Interpretationsspielraum, der in der Open- Source-Gemeinschaft für Besorgnis gesorgt hat. Organisationen wie die Open Source Business Alliance (OSBA), Bitkom und die Eclipse Founda- tion haben Bedenken geäußert und Änderungen vorgeschlagen. Das Projekt FileZilla hat sogar aus Protest vorübergehend alle Downloads de- aktiviert. WIE OPEN SOURCE INS ABSEITS BEFÖRDERT WERDEN KÖNNTE Die Open-Source-Community verfolgt die Ent- wicklungen in Brüssel mit großer Sorge. Un- ternehmen, die gegen die Vorschriften des CRA verstoßen, riskieren Millionenstrafen. In seiner . m o c . e b o d a k c o t s - e n M r o t c e V i : d l i B In den letzten Monaten hat die Europäische Union eine Reihe von Gesetzesvorlagen auf den Weg gebracht, um die Sicherheit von Hard- und Software für Anwender zu verbessern. Eine dieser Vorlagen ist der Cyber Resilience Act (CRA), der jedoch auch erhebliche Risiken für die Open-Source-Gemeinde und Europa insgesamt birgt.

ursprünglichen Form könnte der CRA verhee- rende Auswirkungen haben: Softwarehersteller würden einem enormen Haftungsrisiko aus- gesetzt sein, da sie Kunden mit bestehenden Verträgen zwar kontrollieren könnten, aber nicht diejenigen, die Open-Source-Software frei he- runterladen und verwenden. Zudem könnten Juristen Schadensszenarien konstruieren und kleinere Hersteller durch Abmahnungen aus dem Markt drängen. Die Konsequenz könnte sein, dass Unternehmen ihre Open-Source-Akti- vitäten einstellen und zu proprietärer, geschlos- sener Software übergehen. Dies wäre nicht nur das Ende von Open Source in Europa, sondern auch eine erhebliche Schwä- chung für kleine und mittlere Unternehmen. Open-Source-Projekte tragen jährlich zwischen 65 und 95 Milliarden Euro zur EU-Wirtschaft bei, und ein solcher Schlag würde ein riesiges Loch in die Branche reißen. Die Vielfalt in der europäi- schen Softwareindustrie wäre bedroht, während die IT-Giganten ihre Marktdominanz weiter aus- bauen würden. Was in Deutschland und Europa über Jahre hinweg mühsam mit Fördermitteln und Steuergeldern aufgebaut wurde, könnte auf einen Schlag verloren gehen. Wenn es nicht gelingt, eine unabhängige IT-Infrastruktur zu erhalten, könnte der Traum von digitaler Souve- ränität in Europa zunichte gemacht werden. In diesem Fall wäre es sogar sinnvoll, sich an den USA zu orientieren, wo Open Source-Entwickler selbst bei kommerziellen Produkten nicht haft- bar gemacht werden können. Es ist bedauerlich, dass die Vorteile von Open Source in diesem Zusammenhang noch betont werden müssen. Vor nicht allzu langer Zeit hat die deutsche Bundesregierung im Koalitions- vertrag ihre Unterstützung für den Open-Sour- ce-Sektor bekundet. Auch Projekte wie Gaia-X haben die Hoffnung genährt, dass sich der Markt auf dem Weg zu einer starken europäi- schen IT-Infrastruktur befindet. Millionen wur- den investiert, und nun könnte alles umsonst gewesen sein. WIE DAS OPEN-SOURCE- SCHICKSAL NOCH POSITIV BEEINFLUSST WERDEN KANN Aber es gibt noch Hoffnung. Der Gesetzesent- wurf für den Cyber Resilience Act hat bereits ver- schiedene Änderungen durchlaufen. Das Europä- ische Parlament, insbesondere der Ausschuss für SECURITY MANAGEMENT | OPEN SOURCE RICO BARTH, Vorstandsmitglied Open Source Business Alliance und Geschäfts- führer KIX Service Software (Bild: One Moment Pictures) IT-SICHERHEIT_5/2023 69 Industrie, Forschung und Energie (ITRE) sowie der Ausschuss für Binnenmarkt und Verbrau-cherschutz (IMCO), hat sich mit dem CRA befasst. Während der ITRE an den meisten Punkten festgehalten hat, hat sich der IMCO positiver zum Thema Open Source positioniert. Weitere Verhandlungen zwischen dem Parlament, der Kommission und dem Rat der Europäischen Uni-on stehen unmittelbar bevor.Die Open Source Business Alliance hat bereits Verbesserungsvorschläge zu verschiedenen Punkten formuliert, insbesondere zum Ent-wicklungsmodell. Nach der aktuellen Formulie-rung würde die Entscheidung, ob ein Open-Source-Produkt als kommerziell eingestuft wird, auch die Entwicklung berücksichtigen. Da Open- Source-Software aus vielen Komponen-ten besteht, deren Entwicklung oft bereits Jahre zurückliegt und ohne Beteiligung des Anbieters stattfand, sollte dieser Teil aus dem Gesetzes-entwurf gestrichen werden.Auch die Formulierung zum Thema „Entwick-lung durch eine Organisation“ sollte überdacht werden. Die EU betrachtet die kommerzielle Nutzung als erfüllt, wenn eine Software nur von einer einzelnen Organisation oder Community entwickelt und gewartet wird – wie es bei vielen Projekten der Fall ist. Große Unterneh-men könnten diese Vorgabe umgehen, indem sie Tochterunternehmen einbeziehen, während kleinere und mittlere Unternehmen diese Option nicht haben. Die OSBA argumentiert daher, dass dieser Satz nicht in die endgültige Fassung auf-genommen werden sollte.Ein weiterer umstrittener Punkt betrifft die Ent-wickler selbst. Gemäß der aktuellen Version des CRA würde Software als kommerziell eingestuft, sobald Entwickler für ihre Arbeit entlohnt wer-den. Diese Regelung berücksichtigt nicht die Re-alitäten der Open-Source-Entwicklung: Auf der einen Seite engagieren sich etliche Entwickler in ihrer Freizeit ehrenamtlich in verschiedenen Open-Source-Projekten. Andererseits profitieren auch viele Unternehmen von der Unterstützung Ehrenamtlicher und revanchieren sich durch die Förderung derer Projekte. Diese Wechsel-wirkung ist ein integraler Bestandteil von Open Source und wäre ebenso vom CRA gefährdet, weil viele Personen ihre ehrenamtlichen Aktivi-täten einstellen würden.Nach aktuellem Stand des CRA würden auch regelmäßige Spenden an Open-Source-Akteure diese auf einen kommerziellen Stand heben. Dies betrifft sowohl einzelne Entwickler als auch große Stiftungen wie die Linux- oder Eclipse-Foundation. Diese Organisationen sind auf Spen-den angewiesen, um Stabilität und Sicherheit in ihrer Planung zu gewährleisten. Viele Unterneh-men nutzen die Software, die auf diese Weise entsteht. Für sie würde der CRA zusätzliche Pro-bleme schaffen.Die OSBA kritisiert auch die Formulierung im Zu-sammenhang mit Package Managern. Die ITRE-Version des CRA sieht vor, dass „die meisten“ Package Manager als Vertreiber gelten, wenn sie Open-Source-Software hosten. Die Version des Europäischen Rats ist hier spezifischer und be-sagt, dass sie nur zu kommerziellen Aktivitäten beitragen, wenn die Software durch ihr Angebot auf dem Markt erhältlich wird. Beide Formulie-rungen bieten Interpretationsspielraum, aber die Letztere klärt das Thema zumindest etwas genauer.Es bleibt zu hoffen, dass die Gespräche letzt-endlich zu positiven Ergebnissen für die Open-Source-Gemeinschaft führen werden. Wenn die aktuellen Vorgaben beibehalten werden, würden nicht nur zahlreiche Existenzen bedroht, sondern es käme auch zu einem erheblichen Rückschritt für Europa. In einer Zeit, in der ein starker und souveräner Binnenmarkt dringend benötigt wird, um nicht den Anschluss an den Rest der Welt zu verlieren, wäre das äußerst bedauerlich. Obwohl es eine Übergangszeit von mehreren Jahren gäbe, wäre dies kaum mehr als eine Galgenfrist. n

BUCHBESPRECHUNG Kipker: Cybersecurity Rechtshandbuch Die Corona-Pandemie hat die Verletzlichkeit moderner Indus- triegesellschaften in vielerlei Hinsicht deutlich gemacht. Dies betrifft auch die Cybersecurity, die während der Pande- mie erhebliche Herausforderungen erlebte. Dies umfasst Aspekte wie die Sicherheit beim Homeoffice und Homeschooling, den Schutz kritischer Infrastrukturen im Gesundheitswe- sen, die Entwicklung von Corona-Tracking- und -Tracing-Apps sowie den Einsatz von cloudba- sierten Kollaborationstools und Videokonfe- renzsystemen. Die verstärkte Digitalisierung infolge der Pande- mie führte zu einer verschärften Bedrohungs- lage für die Cybersecurity. Dieser Verlust an Sicherheit erstreckte sich jedoch nicht nur auf den digitalen Raum, sondern umfasste auch die Verbreitung von Desinformation (Fake News), die mit Cybersecurity zusammenhängen kann, wenn sie beispielsweise für Social-Engineering- Angriffe genutzt wird. Die Pandemie führte auch zu einer Verschie- bung der Kriminalität in den virtuellen Raum, wobei nicht nur der unberechtigte Zugriff auf IT-Systeme und Datenmanipulation eine Rolle spielte, sondern auch nicht-technische Angriffe zur Beeinflussung von Personen und Prozes- sen. Die Cyberkriminalität nahm in den letzten Jahren erheblich zu und betraf nicht nur kleine und mittlere Unternehmen, sondern auch Groß- konzerne und Behörden, was schwerwiegende Auswirkungen auf Versorgung und Wirtschaft Die Pandemie verdeutlichte auch die Bedeutung digitaler Souveränität, die nun als Technologie- souveränität betrachtet werden kann. Unterneh- men erkennen zunehmend den strategischen Wert der Lokalisierung von Prozessen in der EU, um die Abhängigkeit von globalen Lieferket- ten zu reduzieren. Der Schutz dieser Lieferket- ten ist auch für die Cybersecurity relevant, da Hardware-Komponenten benötigt werden, um technische Steuerungsfunktionen zu erfüllen. Außerdem unterliegen Hardware und Software 70 IT-SICHERHEIT_5/2023 hatte. Insbesondere kommunale Verwaltungen im öffentlichen Sektor waren vermehrt Ziel von Cyberangriffen. aus Drittstaaten zunehmend strengen rechtli- chen Vorschriften, die auch extraterritoriale Aus- wirkungen haben. Seit Februar 2022 hat der Russland-Ukraine- Krieg die Cybersicherheitsbedrohungen auf ein neues Niveau gehoben, da staatliche Akteure und Hacktivisten im virtuellen Raum agieren, parallel zum kriegerischen Geschehen. Dies führte zu erheblichen wirtschaftlichen Schäden und hybriden Bedrohungen für kritische Infra- strukturen. Die digitale Vernetzung und technologische Abhängigkeiten nehmen zu, während National- staaten darauf reagieren, um Abhängigkeiten zu reduzieren. Die Cybersecurity-Gesetzgebung ist zunehmend geprägt von Misstrauen ge- genüber ausländischen Staaten und privaten Akteuren. Das ist der Hintergrund, vor dem sich das Cy- bersecurity Rechtshandbuch als umfassender Ratgeber in allen Cybersecurity-bezogenen Rechtsfragen versteht:

der Europäischen Union, Israel, der Volksrepu- blik China, Japan, der Russischen Föderation, Südkorea, den Vereinigten Staaten und Indien. Das Buch schließt mit einem neuen Kapitel 23, das technisch-organisatorische Best Practices für ausgewählte Anwendungsszenarien der Cybersicherheit vorstellt. INHALTSÜBERSICHT Grundlagen und Strukturen Verfassungsrechtliche Rahmenbedingungen Technische Grundlagen und Schlüsselbegriffe Stand der Technik Normen und Standards, Zertifizierung Branchenübergreifende rechtliche Vorgaben Datenschutz und Datensicherheit Corporate Governance und Compliance Vertragsrecht Haftungsrecht Gewerblicher Rechtsschutz Urheberrecht Arbeitsrecht und Cybersicherheit Prozessuale Fragestellungen Cybersicherheit in der Verwaltung Gesundheit und Sozialwesen Gefahrenabwehr und Strafverfolgung Nachrichtendienstrecht IT-Sicherheitsforschung Neue Technologien und Verbraucherschutz Desinformation Internationale Regulierung der Cybersicher- heit inkl. Länderberichte Völkerrecht und Cyberwarfare Praktische Anwendungsszenarient Der Kommentar wendet sich an IT-Sicherheits- berater und -verantwortliche, CISOs, Zertifi- zierer, Behörden, Gerichte, Forschungseinrich- tungen, Syndikusanwälte und Rechtsanwälte sowie Compliance-Verantwortliche. n Das Rechtshandbuch ist die erste Anlaufstelle für die betriebliche Praxis, da es die wesentli- chen, mit dem Themenkomplex der Cybersi- cherheit verbundenen Rechtsfragen aufgreift und umsetzungsgerechte Lösungsvorschläge liefert. Dabei legt die Darstellung besonderen Wert auf Interdisziplinarität und spricht so- wohl Juristinnen und Juristen als auch Techni- kerinnen und Techniker sowie Ingenieurinnen und Ingenieure an. KOMPLETT AKTUALI- SIERTE UND INHALTLICH DEUTLICH ERWEITERTE NEUAUFLAGE Die zweite Auflage dieses Rechtshandbuchs zur Cybersicherheit reflektiert die stark ge- wachsene Bedeutung und Komplexität dieses Themas seit der ersten Auflage im Jahr 2020. Die Aktualisierung und Vertiefung der beste- henden Kapitel war ein wesentliches Ziel, aber zusätzlich wurden neue Inhalte hinzugefügt, um die Vielschichtigkeit der Cybersicherheit besser abzudecken. Ein neuer Abschnitt zu den verfassungsrechtlichen Grundlagen von Cyber- sicherheit (Kapitel 2) wurde hinzugefügt. Das Kapitel 4, das den „Stand der Technik“ behan- delt, blieb erhalten, wurde aber um ein neues Kapitel zu Normen und Standards sowie zur Zertifizierung (Kapitel 5) erweitert. Das Kapitel zu kritischen Infrastrukturen (Kapitel 14) wur- de komplett aktualisiert und auf den Stand des IT-Sicherheitsgesetzes 2.0 gebracht. Ein neuer Abschnitt zur Verwaltung (Kapitel 15) stellt die komplexe Behörden- und Zuständig- keitsstruktur für Cybersicherheit in der EU so- wie auf Bund-, Landes- und Kommunalebene vor. Das ebenfalls neue Kapitel 16 widmet sich der Datenverarbeitung im Gesundheits- und Sozialsektor und behandelt auch die IT-Sicher- heitsanforderungen an Arztpraxen und Ge- sundheitseinrichtungen unterhalb der Schwel- lenwerte für kritische Infrastrukturen. Das Kapitel 20 enthält Ausführungen zu neuen Technologien und dem Verbraucherschutz wie sichere digitale Identitäten, IoT-Aktualisier- barkeit, Verbraucherkennzeichnungen und Desinformation. Das Kapitel zum internationa- len regulatorischen Rahmen der Cybersicher- heit (Kapitel 21) wurde erweitert und enthält aktuelle Länderberichte zur Cybersicherheit in IT-SICHERHEIT_5/2023 71 Kipker, Cybersecurity C.H.BECK, 2. Auflage, 2023 LIX, 1147 S., Hardcover (Leinen) € 179,- ISBN 978-3-406-79263-2 disziplinenübergreifende Erläuterung aller wichtigen Aspekte in einem Band verständlich, problemorientiert und systematisch aufbereitet unerlässliches Hilfsmittel in der täglichen Beratungsarbeit

AUS DER FORSCHUNG | DS-GVO METHODIK DER STUDIE Für diese Studie wurde eine Onlineum- frage durchgeführt, bei der den Teilneh- mern Fragen zum Datenschutz und zum technischen Wissen gestellt wurden. Es galt festzustellen, wie sich das Daten- schutzbewusstsein der Teilnehmer (ge- messen am Internet Users Information Privacy Concerns – IUIPC Score) auf ihre Fähigkeit auswirkt, Werbeanzeigen im Internet zu identiﬁzieren. Die Umfrage wurde so gestaltet, dass die Teilnehmer eine bestimmte Aufga- be in einer Onlineumgebung erfüllen mussten. Das Hauptziel war es, heraus- zuﬁnden, ob die Teilnehmer in der Lage sind, die Unternehmen oder Personen hinter einer Werbeanzeige zu erken- nen, damit sie ihre Datenschutzrechte ausüben können. Jeder Teilnehmer sah zwei verschiedene Werbeanzeigen: Eine wurde auf einer festen Webseite ange- zeigt, die für alle gleich war, und die an- dere auf einer Webseite mit sich ständig ändernden Inhalten. Die Anweisung lautete: „Identiﬁzieren Sie den Urheber der Werbeanzeige.“ Wenn die Teilneh- mer nach zwei Minuten keine signiﬁ- kanten Fortschritte gemacht hatten, er- hielten sie einen allgemeinen Hinweis. Insgesamt nahmen 30 Teilnehmer aus verschiedenen beruﬂichen Hintergrün- den an der Studie teil (Tabelle 1). Anzahl der Teilnehmer Betätigungsfeld 8 8 6 1 1 1 1 1 1 1 1 Betriebswirtschaft, Volks- wirtschaft, Handel Sonstiges, z. B. Rechtswis- senschaften und Tourismus Bildung, Pädagogik Werbung, Marketing Computer, EDV, IT Baugewerbe Kultur Ingenieurwesen Medizin Naturwissenschaften Politik Tabelle 1: Verteilung der Studienteilnehmer nach Betätigungsfeld IT-SICHERHEIT_5/2023 73 ellen Vorlieben und Gewohnheiten der Nutzer zu präsentieren. Die umfangreiche Daten-sammlung im Rahmen von OBA hat jedoch Datenschutzbedenken aufgeworfen, insbe-sondere in Bezug auf die DS-GVO.SPANNUNGSFELD DES DATENSCHUTZ-BEWUSSTSEINSDatenverarbeiter haben einen starken Anreiz, eine umfangreiche Sammlung und Verarbei-tung persönlicher Daten durchzuführen, um personalisierte Werbung zu ermöglichen. Eine höhere Sensibilisierung der Nutzer für den Datenschutz und ihre damit verbunde-nen Rechte könnte jedoch nachteilig für diese Datenverarbeiter sein. Aus diesem Grund ha-ben sie begrenztes Interesse daran, das Da-tenschutzbewusstsein der Nutzer zu fördern oder die Umsetzung rechtlicher Maßnahmen, die ihre Tätigkeiten einschränken könnten, zu erleichtern. Obwohl Lösungsansätze wie da-tenschutzbewusste Frameworks für gezielte Werbung existieren, sind diese oft komplex und kostenintensiv.Erstmals wurde nun in einer Studie des Insti-tuts für Internet-Sicherheit – if(is) die Bezie-hung zwischen dem Datenschutzbewusstsein der Nutzer, ihren technischen Kenntnissen und ihrem Wissen über die DS-GVO untersucht. Die Studie konzentrierte sich insbesondere auf den praktischen Einfluss der DS-GVO im Kon-text des OBA. Dabei wurde eine Online-Um-frage durchgeführt, um das Wissen der Nutzer über die DS-GVO sowie ihre individuellen technischen Kenntnisse zu erfassen. In diesem Rahmen wurden drei Hypothesen aufgestellt und untersucht:1. Es wurde erwartet, dass ein höheres Wissen über die DS-GVO sich positiv auf die Fähig-keit der Nutzer auswirkt, den Werbetrei-benden in personalisierten Anzeigen zu identifizieren.2. Ein verbessertes technisches Know-how sollte diese Fähigkeit ebenfalls positiv be-einflussen.3. Das Datenschutzbewusstsein der Nutzer wurde als ein weiterer positiver Einflussfak-tor auf die Identifizierung des Werbetrei-benden angenommen.Der Schutz persönlicher sensibler Daten ist ein fundamentales Menschenrecht, das jedem In-dividuum zusteht. Die DS-GVO ist der rechtliche Rahmen in Europa, der sicherstellen soll, dass dieses Recht gewahrt wird. Jedoch ist es von entscheidender Bedeutung, dass alle Nutzer ein angemessenes Bewusstsein für Datenschutz entwickeln, um gleichermaßen von diesen Vorschriften zu profitieren. Dies bedeutet, dass die Nutzer selbst aktiv werden müssen und sich das erforderliche Wissen aneignen müssen. Obwohl die DS-GVO gleiche Rechte für alle vor-sieht, wird dennoch erwartet, dass die Nutzer eigenständig Maßnahmen ergreifen, um ihre persönlichen Daten zu schützen. Dies wirft eine interessante Frage auf: Wie kann die Erwartung an individuelle Eigenverantwortung mit den festgelegten rechtlichen Rahmenbedingungen in Einklang gebracht werden? Diese Thematik gewinnt vor dem Hintergrund sich wandelnder Nutzererfahrungen zunehmend an Bedeutung.Zusammengefasst zeigt sich, dass die DS-GVO den Nutzern zwar theoretisch umfassende Kon-trolle über ihre Daten gewährt, jedoch nicht ihre volle Wirkung entfalten kann, da viele Nutzer ihre Rechte nicht kennen. Die vorliegende Studie belegt beispielsweise, dass Nutzer oft über-rascht sind, in welchem Ausmaß ihre Online-Browsing-Historie für gezielte Werbung genutzt wird.PERSONALISIERUNG: DIE ZUKUNFT DER ONLINE-WERBUNGDie Personalisierung von Werbung für defi-nierte Zielgruppen hat das Online-Marketing zu einem führenden Instrument gemacht, das voraussichtlich bis 2024 rund 65 Prozent der weltweiten Werbeausgaben von fast 700 Milli-arden US-Dollar ausmachen wird. Derzeit liegt der Schwerpunkt im Online-Marketing entwe-der auf einzelnen Personen oder auf Gruppen. Hierfür werden umfassende Verhaltensdaten von potenziellen Käufern erfasst, ein Prozess, der als Online Behavioral Advertising (OBA) be-kannt ist. Dies ermöglicht es, werbliche Inhalte an das Internetverhalten, die Interaktionen auf Websites, Suchanfragen und soziale Medien der Nutzer anzupassen und personalisierte Werbung bereitzustellen. Um dies zu erreichen, werden individuelle Nutzerprofile erstellt, um relevante Werbebotschaften entsprechend den individu-

AUS DER FORSCHUNG | DS-GVO Fähigkeiten und Datenschutzbewusstsein. Dabei stellte sich heraus, dass das Wissen über die DS- GVO nur wenig Einfluss auf die Identifizierung von Werbeanzeigen hatte. Interessanterweise hatte technische Kompetenz einen negativen Zusammenhang mit dem Datenschutzbewusst- sein, während ein höheres Datenschutzbe- wusstsein sich positiv auswirkte. Diese Ergebnisse verdeutlichen die Notwendig- keit einer Verbesserung des Wissens über die DS-GVO und der technischen Kenntnisse bei den Nutzern. Die Studie kann als Grundlage für wei- tere Diskussionen und mögliche Maßnahmen zur Steigerung des Datenschutzbewusstseins und der entsprechenden Kenntnisse dienen. Es ist wichtig zu beachten, dass benutzerfreund- liche Datenschutzmaßnahmen das Daten- schutzbewusstsein erhöhen und die Umsetzung der DS-GVO fördern können. Eine einfache und verständliche Gestaltung erleichtert es den Nut- zern, aktiv am Datenschutz teilzunehmen und ihre Datenschutzrechte effektiv auszuüben. Die Ergebnisse zeigen auch, dass ein höheres Da- tenschutzbewusstsein sich positiv auf die Identi- fizierung der Werbetreibenden auswirkt. AUF DER SPUR DER VERANTWORTLICHEN Die Korrektheitsbewertung zur Authentifikation (CORR) wurde basierend auf der Anzahl der ge- gebenen Hinweise bei der Aufgabenlösung er- mittelt. Eine niedrigere Bewertung zeigt an, dass der Teilnehmer die Aufgabe besser gelöst hat. Von den berechneten Werten wurden vier als ungültig erkannt. Bei den gültigen Werten lag die durchschnittliche Bewertung bei etwa 5,12. Der höchste erzielte Wert war 8, während der niedrigste Wert bei 1 lag. Die Ergebnisse erstre- cken sich über das gesamte mögliche Intervall. Die Ergebnisse in Tabelle 2 zeigen, dass die Erfolgsrate bei der Identifizierung der Verant- wortlichen von Werbeanzeigen auf statischen Webseiten bei 54 Prozent lag, während sie auf dynamischen Webseiten nur 31 Prozent be- trug. Insgesamt ergab sich eine Erfolgsrate von Bild 2: DS-GVO-Wissen bezüglich des Rechts auf Datenlöschung Statische Seite Dynamische Seite Gesamtwertung Erfolgsrate 54 % 31 % 42 % Tabelle 2: Prozentsatz der korrekt gelösten Aufgaben. 74 IT-SICHERHEIT_5/2023 . m o c . e b o d a k c o t s - s c i p k c o t s : d l i B ERKENNTNISSE AUS DER STUDIE: ZUSAMMENHÄNGE ZWISCHEN DATENSCHUTZ, TECHNISCHEM WISSEN UND DS-GVODie Ergebnisse der Studie zeigen, dass viele Teil-nehmer Schwierigkeiten haben, den Zweck von Cookies zu verstehen. 70 Prozent der Teilnehmer gaben falsche Antworten auf Fragen zu diesem Thema, während 7 Prozent angaben, es nicht zu wissen. Nur 23 Prozent konnten die Frage richtig beantworten. Dies zeigt, dass es eine Heraus-forderung im Bereich des technischen Verständ-nisses gibt und dass eine bessere Aufklärung der Nutzer notwendig ist, um die DS-GVO effektiv umzusetzen.Bild 1: Technische Grundkenntnisse bezüglich des Zwecks von CookiesAUSWIRKUNGEN VON WISSEN, TECHNIK UND DATENSCHUTZ AUF DIE IDENTIFIZIERUNG VON WERBETREIBENDENDie Ergebnisse der Studie zeigen, dass das Wis-sen über die DS-GVO und technische Kenntnisse bei den Teilnehmern begrenzt waren. Das Da-tenschutzbewusstsein lag im Durchschnitt bei 54 Punkten, was etwa 75 Prozent des maximal möglichen Wertes entspricht. Einige Teilnehmer hatten niedrigere Werte, der niedrigste betrug 30 Punkte (43 Prozent), während der höchste Wert bei 69 Punkten (99 Prozent) lag.Die Studie untersuchte auch die Beziehung zwi-schen dem Wissen über die DS-GVO, technischen 42 Prozent. Dies könnte darauf hindeuten, dass das Erkennen von Verantwortlichen auf dyna-mischen Webseiten anspruchsvoller ist. Weitere Untersuchungen sind erforderlich, um diese Er-gebnisse zu validieren.Weiter diskutiert die Studie auch Einflüsse be-züglich der Teilnehmerzusammensetzung. So wurde festgestellt, dass es möglicherweise ge-schlechtsspezifische Unterschiede gibt, die sich auf das Datenschutzbewusstsein und die techni-sche Kompetenz auswirken. Frauen haben ten-denziell ein höheres Datenschutzbewusstsein, während Männer im Durchschnitt eine geringfü-gig höhere technische Kompetenz aufweisen.GENERATIONEN IM BLICK: ALTERSSPEZIFISCHE TRENDS UND FOLGERUNGENDie Studienergebnisse zeigen, dass 84 Prozent der Teilnehmer richtig erkannt haben, dass sie das Recht haben, Daten anzufordern. Nur 3 Pro-zent der Antworten waren falsch, und 13 Prozent der Teilnehmer gaben an, es nicht zu wissen. Dies verdeutlicht die Unterschiede im Wissens-stand bezüglich der Datenschutzbestimmungen innerhalb der untersuchten Gruppe. Bild 2 zeigt das Gesamtergebnis des DS-GVO-Wissenstests in Bezug auf das Recht zur Datenanfrage.

AUS DER FORSCHUNG | DS-GVO DSGVO-Wissen Tech. Kompetenz IUIPC-Score Geschlecht Alter 0,06 0,27 -0,1 0,2 0,27 0,23 Tabelle 3: Korrelationen von Geschlecht und Alter in Bezug auf das Wissen über die DS-GVO, technische Kompetenz und den IUIPC-Score. Für den IUIPC-Score ergab sich eine Korrelation von 0,23. Das bedeutet, dass jüngere Teilnehmer einen niedrigeren IUIPC-Score hatten als ältere. Dies deutet darauf hin, dass mit zunehmen-dem Alter das Bewusstsein und die Bedenken hinsichtlich Datenschutzfragen zunehmen. Es könnte sein, dass ältere Menschen aufgrund ihrer Lebenserfahrung und möglicherweise persönlicher Erfahrungen sensibler für Daten-schutzfragen sind, was sich auch auf ihr Wissen über die DS-GVO auswirkt.Die Untersuchung der altersspezifischen Zusam-menhänge ergab interessante Ergebnisse, wie sie in Tabelle 3 dargestellt sind. Die Korrelatio-nen zwischen dem Alter und den verschiedenen Variablen lagen zwischen 0,2 für die technische Kompetenz und 0,27 für das Wissen über die DS-GVO. Diese Korrelationen waren deutlich stärker als die Korrelationen mit dem Geschlecht.In Bezug auf das Wissen über die DS-GVO er-gab sich eine Korrelation von 0,27. Das bedeu-tet, dass jüngere Teilnehmer im Vergleich zu älteren weniger über die DS-GVO wussten. Es ist besorgniserregend, dass gerade die jüngere Generation Jahre nach Inkrafttreten der DS-GVO weniger über ihre Datenschutzrechte informiert ist. Dies könnte dazu führen, dass die durch die DS-GVO gewährten Rechte nicht angemessen wahrgenommen werden.Die Korrelation zwischen Alter und technischer Kompetenz betrug 0,20. Dies bedeutet, dass jüngere Teilnehmer vergleichsweise weniger Wissen über Web-Technologien hatten als äl-tere Teilnehmer. Dies ist überraschend, da man annehmen könnte, dass diejenigen, die mit digitalen Medien aufgewachsen sind, ein höhe-res technisches Verständnis haben. Es scheint, dass bei jüngeren Teilnehmern möglicherweise weniger Interesse an der technischen Umset-zung und Nutzung digitaler Anwendungen und Dienste besteht.WIESO NUTZER KEINE MOTIVATION HABEN, SICH MEHR MIT DEM DATEN-SCHUTZ AUSEINANDER ZUSETZENEs wird deutlich, dass allein der rechtliche Rah-men nicht ausreicht, um Nutzern bei der treffen-den Wahl des Datenschutzes zu helfen, obwohl er eine notwendige Voraussetzung ist. Während Informationen über die DS-GVO verfügbar sind, beeinflussen sie das Verhalten der Nutzer nicht maßgeblich, da ihr Hauptinteresse beim Besuch einer Website darauf gerichtet ist, Informatio-nen zu erhalten oder Produkte zu kaufen. Um wirksame Datenschutzentscheidungen zu tref-fen, müssen Nutzer nicht nur ihre Rechte gemäß der DS-GVO kennen, sondern auch wissen, wie sie diese in die Praxis umsetzen können.Daher ist es wichtig, den Nutzern die Möglich-keit zu geben, sich in rechtlichen Fragen besser

AUS DER FORSCHUNG | DS-GVO zu informieren. Dies könnte beispielsweise durch eine kurze Lerneinheit ermöglicht werden, bevor Internet-Dienste in Anspruch genommen werden können. Eine andere Option wäre die Förderung des Datenschutzbewusstseins durch den Einsatz spielerischer Elemente (Gamification). Die entscheidende Frage ist jedoch, wer für die Schaffung eines angemessenen Datenschutzbe- wusstseins verantwortlich ist: die Internet-An- bieter, die Werbetreibenden, die Regierung oder jeder Nutzer selbst? Bei der Beurteilung dieser Frage muss berück- sichtigt werden, dass die Vorteile des Daten- schutzes nicht unmittelbar ersichtlich und daher schwerer zu erfassen sind. Im Gegensatz dazu sind die potenziellen Folgen des Verlusts der Privatsphäre leichter verständlich. Dies sollte bei der Gestaltung des Lernprozesses berücksichtigt werden. Es genügt nicht, Nutzer nur über ihre Rechte aufzuklären; der Schwerpunkt sollte viel- mehr darauf liegen, ihnen beizubringen, wie sie ihre Rechte effektiv nutzen können. KRITISCHE WÜRDIGUNG DES STUDIEN-DESIGNS Die Ergebnisse der Studie liefern wertvolle Ein- blicke in das Wissen der Teilnehmer über die DS- GVO und ihre technischen Kenntnisse. Es wurde deutlich, dass es in beiden Bereichen erhebliches Verbesserungspotenzial gibt. Diese Ergebnisse können als Grundlage für weitere Diskussio- nen und mögliche Maßnahmen dienen, um das Bewusstsein und Wissen in diesen Bereichen zu verbessern. Es ist jedoch wichtig zu beachten, dass die An- zahl der Teilnehmer in dieser Studie statistisch gering war. Um die berechneten Korrelationen und Schlussfolgerungen robuster zu gestalten, ist es entscheidend, den Datensatz zu erwei- tern. Dies sollte eine Priorität für zukünftige Forschung sein. Um ein umfassenderes und zuverlässigeres Bild vom Wissensniveau der Teilnehmer zu erhalten, könnte die Qualität der Untersuchung verbes- sert werden. Dies könnte durch die Verwen- dung einer größeren Anzahl von Fragen erreicht werden, um verschiedene Aspekte des Wissens abzudecken. Die Fragen könnten sich stärker auf die praktische Umsetzung der Datenschutzrech- te konzentrieren und die Expertise verschiedener Disziplinen berücksichtigen. Es wäre auch sinn- voll, alternative Möglichkeiten zur Bestimmung des Datenschutzbewusstseins der Nutzer zu erforschen, da der IUIPC-Score möglicherweise nicht die beste Wahl darstellt. FAZIT Die Studie hebt die Bedeutung des Datenschutz- bewusstseins als entscheidenden Faktor für die korrekte Lösung der Datenschutzaufgabe hervor. Es ist daher notwendig zu untersuchen, wie die- ses Bewusstsein gesteigert werden kann, insbe- sondere vor dem Hintergrund der allgegenwärti- gen und oft beeinflussenden Werbung. Es gibt zwei Ansätze, um die DS-GVO effek- tiver für mehr Menschen zu machen: Erstens könnte das Datenschutzbewusstsein der Nutzer gestärkt werden, und zweitens könnten tech- nische Lösungen entwickelt werden, um den Datenschutz einfacher zu gewährleisten. Die Umsetzung solcher technischer Lösungen ist je- doch eine komplexe Aufgabe. Im Internet tragen die Anbieter von Inhalten die Verantwortung für die von ihnen bereitgestellten Inhalte und haben die Kontrolle darüber. Die Verlagerung der Da- tenschutzverantwortung auf diese Anbieter ist keine ideale Lösung, da sie oft ihre eigenen In- teressen über den Datenschutz stellen. Obwohl sie die Zustimmung zur Datenverarbeitung ein- holen, gibt es häufig Grauzonen und moralische Bedenken. Basierend auf den Erkenntnissen dieser Stu- die sind weitere Schritte erforderlich, um die Wirksamkeit der DS-GVO zu verbessern. Eine Möglichkeit zur Steigerung der Effektivität be- steht darin, die rechtlichen Grundlagen klarer und konkreter zu gestalten. Die Nutzererfahrung sollte auf klaren Kriterien basieren, möglicher- weise durch die Aufteilung von Entscheidungen in kleinere, besser nachvollziehbare Segmente. Literatur [1] Masterthesis Johannes Meng: „Right to access == Usable Access? The great imbalance in the usability of the GDPR Examination of the usability of Subject Access Requests and assessment of the user’s understanding of the process”, Institut für Internet-Sicherheit – if(is), Westfälische Hochschule Gelsenkirchen [2] N. Pohlmann: „Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber- Sicherheitssystemen in der Digitalisierung“, Springer-Vieweg Verlag, Wiesbaden 2022 76 IT-SICHERHEIT_5/2023 Diese Ergebnisse zeigen, dass nur wenig von den ursprünglichen Inhalten und den Absichten der DS-GVO beim Nutzer angekommen ist. Daher sollte eine Überarbeitung der DS-GVO stärker auf die praktische Umsetzung der Vorschriften aus- gerichtet sein. n JOHANNES MENG studiert im Master Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und beschäftigt sich im Rahmen des Studiums mit Onlinemarketing und mit der Datenschutz-Grundverordnung. TOBIAS URBAN ist Postdoktorand im Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsen- kirchen und beschäftigt sich unter anderem mit dem technischen Datenschutz. NORBERT POHLMANN ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicher- heit – if(is) an der Westfälischen Hoch schule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesver- bands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco.

VORSCHAU Ausgabe 6|23 DEZEMBER/ JANUAR SCHWERPUNKT IT-SICHERHEITSTESTS Sicherheitstests, zum Beispiel Penetrationstests, zählen seit jeher zu den unverzichtbaren Bausteinen umfassender Sicherheit. Doch die Art und Weise, wie die Tester heute vorgehen, hat sich in den letzten Jahren massiv verändert – genauso wie die bösartigen Angriffe auf Unternehmen und Institutionen. In unserem Schwerpunkt „Pene- trations tests“ erfahren Sie, was es bei diesem Thema zu beachten gilt. TRAFFERS Der Diebstahl von Zugangsdaten hat sich zu einer hochprofessionellen Art der Cyber kriminalität entwickelt. Ransomware-Gruppen haben sich vervielfacht, die Preise für Malware sind gestiegen und Traffers sind aufgetaucht. Dabei handelt es sich um organisierte Gruppen von Cyberkriminellen, die sich auf den Diebstahl von Anmeldeinformationen mithilfe von Malware, meist Stealers, spezialisiert haben. Um die Malware so weit wie möglich zu verbreiten, haben sie eine Struktur von Produkt- und Dienstleistungsanbietern sowie spezielle Marktplätze in Form von Telegram-Kanälen gebildet. Was man sonst noch darüber wissen muss, lesen Sie in der nächsten Ausgabe. IN UNSEREM VERLAG ERSCHEINEN AUSSERDEM NOCH FOLGENDEZEITSCHRIFTEN 78 IT-SICHERHEIT_5/2023 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Sebastian Frank (S.F.) E-Mail: s.frank@kes.de Freie Mitarbeiter dieser Ausgabe: Stefan Mutschler (S.M.), freier Journalist stefan-mutschler@t-online.de Online-Redaktion: Jessica Herz Leitung Online herz@datakontext.com +49 2234 98949-80 Lisa Bieder Konstantin Falke Silvia Klüglich Janek Mazac Chiara Schönbrunn Gründer: † Bernd Hentschel Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 29 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 129,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Genderhinweis: Gleichberechtigung ist uns wichtig! Für eine bessere Lesbarkeit unserer Fachtexte verzichten wir jedoch auf die gendergerechte Schreibweise und nutzen das generische Maskulinum als neutrale grammatikalische Form. Personen- bezeichnungen beziehen sich auf alle Geschlechter. Beilagen: DATAKONTEXT GmbH, Frechen Titelbild: Bernd Arnold Photography; iStock.com/ipopba Fotos: Firmenbilder; DATAKONTEXT; (Day Of Victory Stu., H. Brauer, ImageFlow, kerenby, Linus, Nuthawut, Peter, stockpics, Thaut Images, Travel mania, Vasily Merkushev, VectorMine) - stock.adobe.com; iStock.com/ PhonlamaiPhoto, iStock.com/Traimak_Ivan 29. Jahrgang 2023 · ISSN: 1868-5757

. m o c . e b o d a k c o t s - f f o k n e d o r o G © Nelelena Verantwortliche für IT-Sicherheit direkt erreichen ▪ Newsletter ▪ Content- Marketing ▪ Webinare & Webkonferenzen Schreiben Sie uns: wolfgang.scharf@datakontext.com www.itsicherheit-online.com | www.kes.info IT-SICHERHEIT_5/2023 79