2023-06_kes_Special 06 Netzwerk (Leseprobe)

Verlagsbeilage, Dezember 2023 Special Netzwerksicherheit Mit SASE sicher bis an den Netzwerkrand Echtzeit-Sichtbarkeit von Netzwerken mit Infraray BICS So integrieren Unternehmen NDR in ihre Cyber-Defense- Strategie Nutzer- und Privacy-fokussierte Zero-Trust-Architekturen Seite 2 Seite 7 Seite 10 Seite 13 Mitherausgeber Impressum GmbH Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t Bild: Linus - stock.adobe.com

Verlagsbeilage Netzwerksicherheit Konsistente Security für komplexe Infrastrukturen Mit SASE sicher bis an den Netzwerkrand Der verstärkte Einsatz von Public-Cloud-Lösungen und die deutlichen Veränderungen durch Arbeitsplatzkonzepte wie Homeoffice und Remote-Work verlangen neue Sicherheitskon- zepte. Denn die klassische perimeterbasierte Security ist nicht mehr effektiv, um die heu- tigen komplexen, verteilten Umgebungen angemessen zu schützen. Mit der Einführung von SaaS-Anwendungen und der Arbeit an Remote-Standorten brauchen Unternehmen flexible Netzwerke, die es ermöglichen, dass Benutzer und Geräte von jedem Standort aus sicher auf Ressourcen in der Cloud und vor Ort zugreifen können. Von Stefan Schachinger, Barracuda Networks Viele Mitarbeiter nutzen heutzutage von unterwegs Security- as-a-Service-(SaaS)-Anwendungen wie Ofﬁce 365, um mit sensiblen Daten zu arbeiten. Damit sich Un- ternehmen gegen Datenlecks und Angriffe wie Ransomware verteidi- gen und zugleich die Vorteile des standortunabhängigen Arbeitens voll ausschöpfen können, reicht es jedoch nicht aus, eine bisher zentra- lisierte Security-Infrastruktur einfach in die Cloud zu verlagern. Stattdessen benötigt es überall dezentralisierte und cloudnative Sicherheitskontrol- len, die sich direkt über die Cloud verwalten und überwachen lassen und einen sicheren Zugriff auf Diens- te und Anwendungen gewährleisten. SASE: Einheitliche Sicherheit durch dezen- trales Konzept Da die Public Cloud als zen- traler Hub für Unternehmen eine immer größere Rolle spielt, ist der Eintrittspunkt in diese Architektur am Netzwerkrand – dem sogenann- ten Edge – ein entscheidender Ort, um für zuverlässige Konnektivität und Sicherheit sorgen. Secure Access Service Edge (SASE) ist eine Technologie, die softwaredeﬁnierte Netzwerkkonnek- tivität (SD-WAN) mit Netzwerksi- cherheitsdiensten zusammen führt, um einen dynamischen, sicheren Zu- gang zu Ressourcen zu ermöglichen, und Unternehmen dabei unterstützt, einen einheitlichen Sicherheitssta- tus durch die Imple mentierung eines dezentralen Konzepts zu erreichen. Bei SASE wird Security un- abhängig vom Standort direkt am Edge bereitgestellt. Das Management aller beteiligten Komponenten erfolgt jedoch über eine zentrale Benutzeroberﬂäche in der Cloud. Die Grundidee ist eine neue und verteilte Security-Architektur, die herkömm- liche Burg- und Wassergrabenkon- zepte ersetzt und gleichzeitig das Management und die Konﬁguration ihrer Komponenten vereinheitlicht und vereinfacht. Als Cloud-Plattform ver- bindet und sichert SASE jede Art von Endgerät, wie zum Beispiel ein mobiles Gerät, ein Internet-of- Things-(IoT)-System oder Geräte in einer Zweigstelle oder an einem Edge-Computing-Standort, auf der Grundlage der Benutzeridentität und dessen Echtzeitmerkmale wie Gerät und Standort. Die SASE-Technologie bietet somit nahtlosen, konsistenten und sicheren Netzwerkzugang für jeden Benutzer zu jeder Zeit und an jedem Ort und kann, im Gegensatz zu zentralisierten On-Premises- Lösungen, auch die Herausforderun- gen der zu nehmenden Remote- und Hybrid arbeit bewältigen. Zentrale Plattform statt Insellösungen Hinsichtlich Netzwerk- sicherheit war es in der Vergangen- heit üblich, mehrere Lösungen für verschiedene Sicherheitsaspekte einzusetzen. Diese unterschiedli- chen Lösungen, möglicherweise von diversen Anbietern, erforderten auch unterschiedliche Manage- mentsysteme, was die Komplexität noch weiter steigerte. Mit SASE werden diese unterschiedlichen Ansätze vereinheitlich und auf einer Plattform gebündelt. Unternehmen profitieren dabei durch den Wegfall der Investi- 2 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023

tionskosten, die bei der Anschaffung und Installation mehrerer Lösun- gen zur Ausführung von lokalen Netzwerk- und Sicherheitsfunkti- onen erforderlich sind. Auch die Betriebskosten, die für die Wartung und Administration der Lösungen notwendig sind, entfallen, und Mitarbeiter können sich anderen wichtigen Aufgaben widmen. Beim „As-a-Service“-Modell von SASE er- setzt eine regelmäßige, kalkulierbare Servicegebühr die Investitionsaus- gaben und kann in vielen Fällen die Betriebskosten senken, da die Cloud- Services so optimiert werden kön- nen, dass sie genau das erforderliche Leistungs- und Serviceniveau bieten. Mehr Leistung, weniger Komplexität Ein SASE-Konzept, das mehrere Dienste in seiner Architektur kombiniert, bietet ein globales Netz an Netzwerk- und Sicherheitsfunk- tionen, die nach Bedarf eingesetzt werden können, und ermöglicht eine umfassende, ganzheitliche cloudbasierte Sicher heitslösung. Dabei ist SASE wesentlich efﬁ zienter als eine Sammlung von WAN- und Sicherheitslösungen, die miteinander gekoppelt sind und ge- trennte Funktionen ausführen. Die Leistung von Anwendungen, die auf Latenzzeiten angewiesen sind, wird durch die optimierte Bereitstellung über einen einzigen Dienst verbes- sert, und die Konsolidierung von Technologie-Stacks reduziert sowohl die Komplexität als auch die Kosten. Ein zentrales Management- Interface bietet Administratoren und Service-Providern dabei erhebliche Vorteile bei der Implementierung von Einstellungen über mehrere Anwendungsszenarien hinweg, die früher mit einzelnen Lösungen un- terschiedlicher Her steller abgedeckt werden mussten. Ob Firewalling in der Cloud oder lokal, Webﬁ lterung, sichere Fernzugriffe oder zuverlässige Standortvernetzung – die techno- Abbildung 1: SASE als integrierter Service bietet einen umfassenden sicheren Zugang für moderne IT-Umgebungen, die Komplexität und Kosten durch die Konsolidierung von Technologie- Stacks reduziert, den betrieblichen Aufwand verringert und die Einführung neuer Technologien beschleunigt. logische Integration verringert den Arbeitsaufwand durch die zentrale Verwaltung und sorgt für ein lü- ckenloses, einheitliches Sicherheits- konzept. Die Bausteine von SASE im Überblick Bei der Auswahl einer SASE- Lösung sollten Unternehmen darauf achten, dass die folgenden Dienste integriert sind, um ein efﬁ zientes Sicherheitsniveau zu gewährleisten: ––——— SD-WAN (Software Deﬁ ned Wide Area Network): Hiermit kön- nen mehrere Standorte kostenefﬁ zi- ent und ausfallssicher miteinander verbunden werden. ––——— Firewall-as-a-Service-Funk- tionen zum SD-WAN-Netzwerk erhöhen die Sicherheit des Unter- nehmensnetzwerks zusätzlich. ––——— Zero-Trust-Network-Access (ZTNA) fügt eine zusätzliche Sicher- heitsebene hinzu, indem Benutzern der Zugriff auf Daten oder Anwen- dungen erst nach einer detaillierten Überprüfung der Berechtigungen gewährt wird. ––——— Ein Secure Web-Gateway (SWG) verhindert, dass nicht auto- risierter Datenverkehr in das Unter- nehmensnetzwerk gelangt. ––——— Extended Detection and Response (XDR) bietet eine 24/7-Be- drohungserkennung, die über das bloße Warten auf Vorfälle hinaus- geht. ––——— Ein Cloud Access Security Broker (CASB) gewährt Benutzern auf Basis ihrer Berechtigungen den sicheren Zugriff auf Cloud- Dienste. Engmaschige Sicherheit mit SASE Mit der Zunahme der Re- mote-Arbeit und Abhängigkeit von der Cloud hat sich in der Cybersi- cherheitsbranche die Abkehr von der traditionellen Perimeter-Sicherheit rapide beschleunigt. Remote- und Hybridarbeit führte zu unterschiedli- chen Sicherheitsniveaus für einzelne Mitarbeiter. Unternehmen, deren Mitarbeiter mit einer Vielzahl von Geräten und von verschiedenen Standorten aus auf ihre Netzwerke zugreifen, benötigen deshalb eine © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023 3

Verlagsbeilage Netzwerksicherheit Abbildung 2: Eine umfassende SASE-Lösung sollte Cloud-Sicherheit für Niederlassungen, Endpunkte und Zero Trust Application- Access kombinieren. Unabhängig davon, wo die Anwendung gehostet wird, von wo aus auf sie zugegriffen wird und unabhängig von welchem Gerät. Möglichkeit, um sicherzustellen, dass der gesamte eingehende Daten- verkehr legitim ist. Auslaufmodell VPN VPNs sind dieser Heraus- forderung nicht mehr gewachsen, denn sie sind häuﬁ g mit zu vielen Nutzern überlastet und gewähren oft Usern Zugriffsrechte, die sie gar nicht benötigen. Der Versuch, Benutzer vor Social Engineering und Malware zu schützen, hat in vielen Fällen zu Kombinationen von Firewalls, VPNs, Web-Gateways und Netzwerk- zugangskontrolllösungen geführt – eine komplizierte Infrastruktur, die schwer zu verwalten und zu verstehen ist. Denn bei Patchwork- Sicherheitsinfrastrukturen fehlt es an integrierter Transparenz, sodass es schwierig ist, festzustellen, wer von wo aus auf verschiedene Teile des Netzes zuzugreifen versucht und ob dies legitim ist. Daher brauchen IT-Teams eine Methode, um sicherzustellen, dass Mitarbeiter nur auf die Daten und Systeme zugreifen können, die sie auch wirklich benötigen. Denn Cyberangreifer nutzen laxe Zugriffs- kontrollen und übermäßige Zugriffs- rechte von Benutzerkonten aus und nehmen mit Vorliebe privilegierte Benutzer mit einem hohen Maß an Berechtigungen wie etwa Administ- ratoren ins Visier. Einsatz von Zero-Trust- Network-Access (ZTNA) mit SASE Mit SASE kann ein Zero- Trust-Network-Access (ZTNA) im gesamten Unternehmen mit naht- losem und konsistentem Sitzungs- schutz eingesetzt werden. Zero Trust basiert auf dem Paradigmenwechsel weg von der traditionellen perime- terbasierten Sicherheit. Stattdessen geht man davon aus, dass sich Schwachstellen und Bedrohungen bereits im Netzwerk beﬁ nden und jeder Versuch, auf Unternehmensres- sourcen zuzugreifen, eine potenzielle Gefahr ist. Daher muss jeder Zugriff auf seine Legitimität hin geprüft und das Prinzip der geringsten Privilegien (Least Privilege) durch- gesetzt werden, was bedeutet, dass autorisierte Benutzer nur Zugriff auf die Ressourcen bekommen, die sie auch benötigen. Dadurch wird die Reichweite eines Berechtigungs- missbrauchs durch kompromittierte Anmeldedaten reduziert. Hoher Automatisierungs- grad und zuverlässige Protokollierung ZTNA blockiert automatisch alle aufgrund fehlender Berechti- gungen verdächtigen Zugriffsversu- che auf das Netzwerk und erlaubt nur deﬁ nierte Applikationen. Ein weiterer Vorteil von ZTNA ist ein zu- verlässiges Protokoll-System: Gerät, Standort und Identität aller Benutzer, die versuchen, auf das Netzwerk zu- zugreifen, werden aufgezeichnet. IT- Teams erhalten ein Audit-Protokoll und verfügen so über ein zusätzliches automatisiertes Erfassungs-Tool. Die- se Informationen sind nicht nur im Hinblick auf die Sicherheit, sondern auch für Compliance- und Audit- Zwecke nützlich. Die durch die Au- tomatisierung eingesparte Zeit und der kürzere Anmeldevorgang sowie die Vorteile eines besseren Fernzu- griffs, verbesserter Performance und Produktivität machen ZTNA zu einer Lösung, die die Sicherheit für alle Benutzer erhöht. Fazit Durch Public Cloud und Remote-Work sind komplexe, ver- teilte Umgebungen entstanden, deren große Angriffsﬂ äche durch traditionelle Sicherheitskonzepte nicht mehr angemessen geschützt werden können. SASE-Technologien bieten Unternehmen eine neue dezentrale und vielschichtige Si- cherheitsstrategie, mit der sie ihre Netzwerkinfrastruktur sowie sen- siblen Daten und Assets umfassend gegen die sich schnell entwickelnden Bedrohungslandschaft verteidigen können. n Stefan Schachinger ist Senior Product Manager Network Security bei Barracu- da Networks. 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023

Cyberkriminalität auf dem Vormarsch: Sichern Sie Ihr Unternehmen effektiv Entdecken Sie die besten Strategien und Praxistipps von Experten, um sich vor den wachsenden Bedrohungen zu schützen. Drei Tipps für Unternehmen: Priorisierung von Maßnahmen: Klare Maßnahmen und Ver- antwortlichkeiten im Fall von Sicherheitsvorfällen definieren. Kombination von Schutz- maßnahmen: Auf Perimeterschutz, Endgerä- teschutz und sichere Back-ups setzen. Schulung und Investition ins Personal: Dafür sorgen, dass Sicherheits- verantwortliche die erforder- lichen Kenntnisse haben, eine geeignete Sicherheitsmanage- mentmethode zu finden, bevor Tools zum Einsatz kommen. Proaktiver Schutz für Ihr Bu siness: Verhindern Sie Cyberangriffe, bevor sie passieren! Mit unserem Seminar gewinnen Sie einen umfassenden Über- blick und erkennen Zusam- menhänge, um die Netzwerk- sicherheit und den Einsatz von Firewalls in Ihrem Unternehmen sicherzustellen. Netzwerksicherheit und Firewall Schulung für IT-Sicherheitsbeauftragte/ Informationssicherheits- beauftragte ISO 27001, ISO 27033, ISO 27035, BSI IT-Grundschutz – Grundlagen, Techniken und Anforderungen Alle Details zur TÜV NORD Akademie Netzwerksicherheit und Firewall Schulung (Kuhn-Informatik Thomas Kuhn GmbH) Sicherheitsbeauftragter, IT- Sicherheitsexperte und Referent der TÜV NORD Akademie, beobachtet einen Wandel in der Qualität der Cy- berangriffe. Ransomware-Attacken, Spyware, Malware-Angriffe und Sa- botage gehören zu den häufigsten Bedrohungen. Der finanzielle Schaden ist nicht das Hauptproblem – vielmehr sind Pro- duktionsausfälle und Geschäftspro- zessstörungen gravierender. Große Unternehmen können Verluste erlei- den, während kleinere Betriebe exis- tenziell gefährdet sind. Aber KMU sind keineswegs machtlos. Denn schon mit wenig Aufwand und einem guten Plan lassen sich Schutzmaß- nahmen realisieren, die im Ernstfall das Schlimmste verhindern. Risikoabwägung ist entscheidend IT-Sicherheit ist Chefsache. Auch Unternehmen mit begrenzten Res- sourcen sollten bestimmte Maß- nahmen nie vernachlässigen. Für kleine Unternehmen, die kein umfas- sendes IT-Sicherheitsmanagement- system einführen können, empfiehlt Thomas Kuhn ein leichtgewichtiges ISMS nach ISO 27001 oder dem BSI- Grundschutz. Die wichtigsten Cyber-Security-Maßnahmen Sicherheitsverantwortlicher im Un ter nehmen: Jedes Unternehmen sollte jemanden benennen, der für IT-Sicherheit verantwortlich ist und Maßnahmen priorisiert. Die Vorbereitung auf Sicherheits- vorfälle ist entscheidend. Perimeterschutz und End- geräteschutz: Die Kombination aus Firewall und Endgeräteschutz schützt die IT-Infrastruktur. Eine Firewall allein reicht nicht aus. Back-up und Restore: Nach einem Angriff müssen Daten wiederhergestellt werden können. Dafür ist ein offline und offsite geschütztes Back-up entscheidend. Die richtige Perspektive: Schutz statt Unüberwindbarkeit Es ist unmöglich, unüberwindbare Mauern gegen Cyberangriffe zu errichten. Stattdessen sollten Un- ternehmen eine ausreichend hohe Hürde errichten, die Angreifer ab- schrecken und die Sicherheit ge- währleisten.

Verlagsbeilage Netzwerksicherheit Echtzeit-Sichtbarkeit von Netzwerken mit Infraray BICS Der Berliner Netzwerkspezialist Infraray hat sein hoch- skalierbares Multitalent für Network-Discovery, -Visibility, -Management und -Sicherheit großer IT-Infrastrukturen in diesem Jahr noch einmal deutlich erweitert. Von Hartmut Bolten, Infraray GmbH Von einem deutschen Inge- nieurteam mit langer Erfahrung im IT-Operations-Management 1998 gegründet, hat Infraray in den ver- gangenen Jahren zahlreiche Projekte bei mittleren und großen Unterneh- men erfolgreich durchgeführt, zum Beispiel bei der Deutschen Bahn, den Berliner Wasserbetrieben, REWE und der Finanz Informatik. Kerngeschäft sind Lösungen für Netzwerkmanage- ment, -sicherheit und -automatisie- rung, IT-Infrastrukturmanagement und die Steuerung der kompletten Geschäftsinfrastruktur. Erst im Frühjahr dieses Jahres hatte das zur Beta Systems gehörende Unternehmen mit der Umbenennung von Auconet GmbH zu Infraray GmbH ein neues Kapitel seiner Firmengeschichte aufgeschla- gen. Mit Infraray BICS (Business Infrastructure Control System) ent- stand in den vergangenen Jahren ein hochskalierbares Multitalent für Network-Discovery, -Visibility und -Management großer IT-Infrastruk- turen und darauf aufbauend deren Überwachung und Schutz. Wie mit einem Röntgenblick (X-Ray) durch- leuchtet BICS IT-Infrastrukturen bis auf die unterste Ebene und schafft damit die Voraussetzung für Kon- trolle und Sicherheit. Dies ist die Basis für die einfache, effektive und herstellerunabhängige NAC-Lösung, die Layer-2 und IEEE 802.1x basierte Zugangskontrolle in einer zentralen Plattform verbindet. Dieser Pro- duktcharakter manifestiert sich künftig sowohl im Produkt- als auch im neuen Unternehmensnamen Infraray. BICS geht IT-Infrastrukturen auf den Grund und durchleuchtet, visualisiert sowie sichert und schützt sie aus einer zentralen Anwender- oberﬂäche heraus. Die Software ist hochskalierbar für Netzwerke jeg- licher Größe bis über eine Million Endpunkten und sichert über ihre Multi-Tenant- und Head/Sub-Archi- tektur alle angebundenen Assets. In- fraray BICS bindet Geräte beliebiger Hersteller an, die über eine zentrale Conﬁguration-Management-Daten- bank verwaltet werden. IT-Infrastrukturen auf den Grund gehen In den letzten Monaten hat Infraray eine Reihe von Produktop- timierungen vorangebracht. Eine verbesserte Analyse der Routing- Informationen erlaubt die Netz- werk-Discovery über Seed Router sowie die exakte Erkennung von Netzwerkgrenzen zur Lokalisierung von Edge-Geräten. Im Bereich des Flow Reporting gibt es detailliertere Beobachtungssätze für industrielle beziehungsweise vorhersehbare Umgebungen. Des Weiteren kann man den Netzwerkverkehr mittels Verweigerungs-/Zulassungslisten überwachen sowie verfügbare Zu- sammenstellungen von Command- and-Control-Servern automatisch importieren und deren Nutzung alarmieren. Dies erlaubt eine früh- zeitige Erkennung von potenziellen Infektionen durch Ransomware. Auf der Infraray-Roadmap für 2023/2024 stehen die Visuali- sierung einer Layer-3-Topologie, die Path-Detection kommunizierender Komponenten, die Erneuerung und Erweiterung der Administrations- GUI zum Self-Management der Ap- pliance (Self-Deployment: Patches und Software-Updates), die erweiter- te Unterstützung virtualisierter Um- gebungen sowie die Verbesserung des Endpoint-Proﬁlings. Berliner Wasserbetriebe nutzen Infraray BICS Die Berliner Wasserbetriebe versorgen 3,9 Millionen Menschen mit frischem, sicherem Wasser. Als das Versorgungsunternehmen die Sicherheit für sein IT-Netzwerk er- höhen wollte, löste sie das Problem mit Infraray BICS. Die Software wur- de noch erweitert, um den Betrieb mit einer zentralen Steuerung der industriellen Infrastruktur des Ver- sorgungsunternehmens zu automa- tisieren. Ergebnis: Die Produktivität des Betriebspersonals vervierfachte sich, und die Servicekosten sanken um 90 Prozent. Um der zunehmenden Be- drohung kritischer industrieller Leit- systeme (Industrial Control Systems, ICS) zu begegnen, haben die Berliner Wasserbetriebe, die jährlich über 5 000 Meilen Wasser liefern, Maß- nahmen zum Schutz und zur Auto- matisierung ihres IT-Netzwerks sowie Tausender von Industriegeräten er- griffen, die über SCADA-Gateways an allen ihren neun Wasserwerken, acht Pumpstationen und über 20 Druck- erhöhungsanlagen angeschlossen sind. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023 7

Verlagsbeilage Netzwerksicherheit Nach einem einwöchigen Proof of Concept entschied sich das Versorgungsunternehmen für BICS mit SCADA, auch weil es die Steu- erung seiner 1000 Brunnen, Filter und mehr als 100 Wasserpumpen, die koordiniert arbeiten müssen, auf einem einzigen Paneel zentralisieren würde – unter Einhaltung der Sicher- heitsanforderungen. Die meisten IT-Operations- Management-(ITOM)-Lösungen für Netzwerksicherheit und -kontrolle konnten nur die Produkte eines bestimmten Herstellers verwalten. BICS zeichnet sich durch seine Fä- higkeit aus, jeden Router, Switch und Endpunkt jedes Herstellers zu erkennen, zu überwachen und zu verwalten. Nur Infraray konnte eine Echtzeit-Sichtbarkeit sowie den Echtzeitschutz aller Endpunkte und Uplinks bieten. Implementierung: BICS, SCADA, and CMDB Integration Innerhalb eines Tages nach der Installation entdeckte BICS alle Router, Switches und Endgeräte. Es dauerte nur zwei Tage, um das Sys- tem für die SCADA-Schnittstellen zu konﬁgurieren und weniger als drei Wochen, um es in die bereits vorhan- dene Conﬁguration-Management- Database (CMDB) zu integrieren, die die virtuelle CMDB von BICS nun vollständig und aktuell hält. Mit BlCS hat die Betriebsleit- stelle schnell eine zentrale Konsole zur Steuerung aller Netzwerkports, Router und Switches eingerichtet. Das System erkennt, autorisiert und sichert jetzt jeden Endpunkt im IT- Netzwerk – und tut noch viel mehr. Die automatisierte Selbstheilung hat die Kosten für Servicetechniker um 90 Prozent gesenkt. Von einem Arbeitsplatz aus schützen und steuern die Bediener jetzt auch Wasserpumpen, Lüfter und sogar Heizung, Lüftung, Kli- rettende Geräte den Zugang zu den benötigten Netzwerkressourcen. Die KAGes betreibt in ihren Netzwerken insgesamt rund 50 000 Switch-Ports und 23 000 Endgeräte. Für jeden einzelnen eine Zugangskontrolle (Network Access Control, NAC) im Handbetrieb zu gewährleisten, kann die IT-Abteilung allein kaum bewerk- stelligen. Ein Sicherheitsaudit hatte diese Schwachstelle aufgedeckt. Die CMDB der KAGes ist mit der virtuellen Datenbank von BICS synchronisiert. Dies hilft auch bei der internen Abrechnung, indem die Softwarelösung die Nutzung jedes Ports erkennt. „Wir haben mit der NAC-Lösung eine vollständige Mehr- Mandanten-Umgebung etabliert“, erklärte Karl Kocˇever, damaliger Lei- ter IT-Infrastruktur und Administra- tive Systeme bei der KAGes Services/ OE. „Jedes Krankenhaus und jede Einrichtung innerhalb der Gruppe hat eine vollständige Echtzeitsicht des eigenen Netzwerks mit Sicher- heit, Kontrolle und Verwaltung für jeden Port und jedes Endgerät. Und im Headquarter können wir alle Netzwerke von einer zentralen Kon- sole aus überwachen.“ Dadurch sind Patientenda- ten und medizinische Geräte der KAGes jetzt sicher. Wichtige medi- zinische Geräte können in jedem Krankenhaus sicher auf das entspre- chende Netzwerk zugreifen, was schnellere Tests und Behandlungen ermöglicht. n Hartmut Bolten ist Geschäftsführer der Infraray GmbH. matechnik und Türen im Rechen- zentrum. Wenn eine Pumpe oder eine zugehörige Maschine nicht mehr funktioniert, kann BICS einen Neustart versuchen und sofort War- nungen an das zuständige Personal senden, wenn der Selbstheilungsver- such fehlschlägt. In über 15 Jahren des rei- bungslosen Betriebs konnte die Zahl der Beschäftigten, die für die Bewirt- schaftung und Aufrechterhaltung der Wasserversorgung der Berliner Wasserbetriebe benötigt werden, von 170 auf 40 reduziert werden. KAGes: Patientendaten und Netzwerke gleicher- maßen geschützt Ein weiteres Erfolgsprojekt realisierte Infraray im Gesundheits- sektor bei der Steiermärkischen Kran- kenanstaltengesellschaft m.b.H. (KAGes). Der regionale Gesund- heitsdienstleister betreibt Kranken- häuser und Landespﬂegezentren an 24 Standorten mit mehr als 55 000 Betten und 18 000 Beschäftigten, die jährlich 1,2 Millionen Patient:innen ambulant und stationär versorgen. Aufgrund ihrer Offenheit gegenüber neuen Technologien zur Verbesserung der klinischen Ver- sorgung und des Patientenkomforts hat die IT der KAGes vor einiger Zeit BICS eingeführt. Die Software dient der Kontrolle, dem Schutz und der Einhaltung von Sicherheitsvor- schriften für die mandantenfähige IT-Netzwerkinfrastruktur. Lebensrettende Geräte brauchen Netzwerk- ressourcen In der sich äußerst schnell verändernden Landschaft der Me- dizintechnik muss eine Kranken- hauskette all ihre Netzwerke und sensiblen Patientendaten schützen. Gleichzeitig brauchen jedoch medi- zinische Testinstrumente und lebens- 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023

Verlagsbeilage Netzwerksicherheit So integrieren Unternehmen NDR in ihre Cyber-Defense-Strategie Network Detection and Response (NDR) ist heute unverzichtbar, um Cyberbedrohungen schnell zu erkennen. Dafür müssen Unternehmen in der Lage sein, kontinuierlich Telemetrie- daten zu sammeln und zu analysieren. Am besten gelingt das eingebettet in ein ganzheit- liches XDR-Konzept. Von Richard Werner, Trend Micro Das Netzwerk bildet die Basis der IT-Umgebung und spielt daher auch eine integrale Rolle für die Cyberse- curity. Früher standen dabei Abwehrmaßnahmen im Vor- dergrund – insbesondere am Netzwerkrand. Heute reicht das längst nicht mehr aus. Denn mit dem zunehmenden Cloud-Einsatz, dem Internet of Things (IoT) und hybriden Arbeitsmodellen verschwimmen nicht nur die Grenzen zwischen innen und außen. Unternehmen sehen sich auch mit einer kommerzialisierten cyberkriminellen Sze- ne konfrontiert, die Ransomware und andere Angriffsfor- men als Geschäftsmodell betreibt. Die Akteure sind häuﬁg professionell organisiert, setzen moderne Technologie ein und gehen strukturiert vor. Früher oder später werden sie einen Weg ﬁnden, auch die beste äußere Verteidigung zu überwinden. Unternehmen müssen daher immer damit rechnen, dass einmal ein Angriff erfolgreich ist. Dann geht es darum, ihn möglichst schnell aufzudecken und zu stoppen. Dafür spielt Network Detection and Response (NDR) eine wichtige Rolle. Was ist NDR? NDR bedeutet, dass man den Datenverkehr im Netzwerk kontinuierlich überwacht, analysiert, verdächti- ges Verhalten erkennt und schnell mit Gegenmaßnahmen reagiert. Dabei ist es entscheidend, nicht nur den Nord- Süd-Verkehr, also eingehenden und ausgehenden Trafﬁc zu monitoren, sondern auch den Ost-West-Verkehr in- nerhalb des Netzwerks. So kann man Bedrohungsakteure entlarven, die bereits eingedrungen sind. Die Analyse des Netzwerk-Trafﬁcs hilft dabei zu ermitteln, welche Nutzer Abbildung 1: Ansicht der XDR Work- bench der Cybersecurity- Plattform Vision One und Systeme in der IT-Umgebung aktiv sind und wie sie miteinander kommunizieren. Das schafft Transparenz über alle installierten Komponenten und Applikationen, macht Schatten-IT sichtbar und deckt Verhaltensweisen auf, die auf einen Cyberangriff hindeuten könnten. Gibt es zum Beispiel verdächtig viele Login-Versuche von ein- zelnen Nutzern? Oder nimmt der Datenverkehr plötzlich enorm zu? Ein ungewöhnlich hohes Trafﬁc-Volumen könnte ein Anzeichen für eine Datenexﬁltration sein, die im Rahmen einer Ransomware-Attacke erfolgt. Denn meist greifen Cyberkriminelle Daten ab, bevor sie Syste- me verschlüsseln. Ihre Beute nutzen sie anschließend als zusätzlichen Erpressungshebel, drohen mit Veröffentli- chung oder verkaufen sie im Darknet. In Umgebungen, in denen sich Endpunkt-Securi- ty-Lösungen nicht oder nur schwierig installieren lassen – etwa in der Produktion oder Medizintechnik – spielt Netzwerk-Security eine besonders wichtige Rolle. Denn hier ist sie eine der wenigen Möglichkeiten, Systeme zu schützen. Zu den Best Practices zählt daher, das Netzwerk zu segmentieren und sensible Bereiche mit zusätzli- chen Kontrollen abzutrennen. Durch kontinuierliches Netzwerk-Monitoring können Security-Teams anomales Verhalten dann frühzeitig aufdecken und – bei hohem Risiko – gegebenenfalls die Netzwerkkommunikation zwischen den Segmenten sofort unterbrechen. Mit NDR lässt sich eine solche Reaktion auch regelbasiert mithilfe von Playbooks automatisieren. Was gehört zu einem NDR-Konzept? Um NDR umzusetzen, brauchen Unternehmen einen Netzwerksensor, der Telemetriedaten sammelt, und eine Plattform, die die Daten analysiert. Dabei kommt meist eine künstliche Intelligenz (KI) zum Einsatz, die an- hand der Telemetriedaten lernt, zwischen normalem und verdächtigem Verhalten zu unterscheiden. Je nach Szena- rio gehören zu einem NDR-Konzept zudem Systeme für In- trusion Prevention (IPS) und/oder Breach Detection (BDS). Der Netzwerksensor ersetzt diese nicht, sondern ergänzt sie. 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023

Abbildung 2: Ansicht des Net- work Analytics Report der XDR Workbench von Trend Micro Wo liegen die Unterschiede und wie spielen die Lösungen zusammen? IPS und BDS identifizieren Schwachstellen, Malware und Bedrohungsindikatoren, die bereits in der Security-Forschung bekannt sind. Sie arbeiten regelbasiert, können auch SSL- und TLS-verschlüsselten Datenverkehr untersuchen sowie automatisiert reagieren, indem sie zum Beispiel Trafﬁc blockieren, Sandbox-Analysen durchfüh- ren und Malware in Quarantäne nehmen. Während IPS und BDS Daten zu erkannten Gefahren liefern, sammelt der Netzwerksensor dagegen wertungsfrei sämtliche Netzwerk-Telemetriedaten, darunter http, https, ftp, SMB/ SMB2 oder Kerberos, und stellt sie für die Analyse bereit. Das ermöglicht es, Transparenz über alle Aktivitäten im Netzwerk zu schaffen und auch Bedrohungen aufzude- cken, die bisher noch unbekannt waren. Bei der Analyse ist es wichtig, Netzwerk-Tele- metriedaten nicht isoliert zu betrachten, sondern in ein ganzheitliches Extended-Detection-and-Response- (XDR)-Konzept einzubinden. Denn häuﬁg offenbaren sich Informationen aus dem Netzwerkverkehr erst dann als verdächtig, wenn man sie mit Security-Daten aus anderen Vektoren, etwa Endpunkten, E-Mail, Server und Cloud im Kontext betrachtet. Genau das ermöglicht Trend Micro Vision One. Hier ﬂießen die Informationen sämtlicher angeschlossenen Systeme in einem Data-Lake zusammen, werden KI-gestützt korreliert und analysiert. So entsteht aus vielen Puzzleteilchen, die für sich allein genommen womöglich unauffällig sind, ein Angriffsbild. Auch externe Security-Informationen spielen dabei eine wichtige Rolle. Deckt sich zum Beispiel ein identiﬁziertes Verhaltensmuster mit der Vorgehensweise bestimmter cyberkrimineller Banden, die gerade aktiv sind? Indem neueste Erkenntnisse aus der internationalen Sicherheits- forschung in die Analyse einﬂießen, lassen sich Bedrohun- gen noch besser erkennen und bewerten. Die NIS-2-Richtlinie erfüllen Umfassende Netzwerk-Sensorik und eine vekto- rübergreifende Auswertung auf einer zentralen Cyber- Defense-Plattform sind heute für alle Unternehmen wichtig. KRITIS-Organisationen können damit auch zen- trale Anforderungen der NIS-2-Direktive erfüllen: Risiko- management, Angriffserkennung und Incident Response. Alle drei erfordern eine fundierte Datenbasis. Indem die Cyber-Defense-Plattform interne und externe Security- Informationen korreliert, zeigt sie die individuelle Risi- koexposition eines Unternehmens. Security-Teams sehen in einer Ampeldarstellung, wie gefährlich die ermittelten Risiken sind, und können gezielt Maßnahmen ergreifen, um die Angriffswahrscheinlichkeit zu reduzieren. Gelingt es Cyberkriminellen trotzdem, ins Netzwerk einzudrin- gen, erkennt die KI-Analyse auffälliges Verhalten. XDR korreliert die Daten mit anderen Security-Informationen, schlägt Alarm und liefert ein detailliertes Angriffsbild. Das versetzt Security-Teams in die Lage, schnell und richtig zu reagieren. Auch wenn ein Cybervorfall bereits fortgeschrit- ten ist und ein Incident-Response-Team eingeschaltet werden muss, sind Netzwerk-Telemetriedaten Gold wert. Mit ihrer Hilfe kann das Einsatzteam ermitteln, was genau passiert, wie sich der Hacker im Netzwerk bewegt und was er voraussichtlich als Nächstes plant. So können die Spezialisten den Angriff schnell eingrenzen und eine weitere Ausbreitung verhindern. Außerdem benötigen sie die Daten, um den Vorfall zu dokumentieren und gerichtssichere Beweise zu sammeln. Falls NDR bereits vor dem Cybervorfall installiert war, kann das System darüber hinaus mit historischen Daten arbeiten, die zum Beispiel für die Forensik wichtig sind. Selbst nachdem die Systeme wiederhergestellt sind, ist ein kontinuierliches Netzwerk-Monitoring wichtig, um sicherzustellen, dass sich der Angreifer nicht doch noch irgendwo versteckt hält. Am Ende helfen die Erkenntnisse der Untersuchung auch dabei, Sicherheitslücken zu erkennen, zu schließen und die Security zu verbessern. Fazit Daten bilden die Grundlage für eine zielgerichtete, efﬁziente Cybersecurity. Sie ermöglichen es, Cyberrisiken individuell zu bewerten, die richtigen Gegenmaßnahmen zu ergreifen, Angriffe schnell zu erkennen, zu stoppen und im Ernstfall zu untersuchen. Netzwerk-Telemetriedaten spielen dabei eine besondere Rolle, weil sie viele Infor- mationen enthalten, die sonst nicht sichtbar wären. Aber erst, wenn man diese im Kontext mit Daten aus anderen Security-Vektoren betrachtet, entsteht ein ganzheitliches Bild. Trend Micro erleichtert das mit der Vision One- Plattform, in der alle Security-Informationen zusammen- ﬂießen. Netzwerk-Telemetriedaten gewinnt sie aus dem Virtual Network Sensor, der sich ganz einfach als virtuelle Maschine installieren lässt. Dieser kann eigenständig oder als Add-on zur BDS-Lösung Deep Discovery Ins- pector eingesetzt werden. Ein Add-on für die IPS-Lösung TippingPoint folgt. n Richard Werner ist Business Consultant bei Trend Micro. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023 11

Transparenz und Kontrolle im Netzwerk mit Infraray BICS BICS CORE MODUL NETWORK MANAGEMENT NETWORK SECURITY ASSET MANAGEMENT Discovery & Visualisierung Administration & Monitoring Schutz & Sicherheit Inventarisierung & CMDB Mit der Infraray BICS Suite die komplette IT-Infrastruktur entdecken, visualisieren, sichern und steuern: Zentrale automatisierte Steuerung in Echtzeit Ermittlung aller Netzwerkkomponenten und angeschlossenen Endgeräte Erstellung und Visualisierung von Netzwerktopologien und deren Verwaltung Identifikation von neuen, unzulässigen und kompromittierten Geräten Erfahren Sie mehr unter: www.infraray.com powered by

Verlagsbeilage Netzwerksicherheit Nutzer- und Privacy- fokussierte Zero-Trust- Architekturen Zero-Trust-Architekturen gewinnen für die IT-Sicherheit im- mens an Bedeutung. In Enterprise-Umgebungen konzentrie- ren sie sich auf den Schutz von Unternehmensdaten. Stehen jedoch die Sicherheit sensibler privater Daten und die Daten- souveränität im Fokus, erfordert dies andere Herangehens- weisen. Von Steffen Ullrich, genua GmbH Zero-Trust-basierte Architek- turen erlauben es, Sicherheit auch in mobilen und dezentralisierten Um- gebungen, wie zum Beispiel bei der Telearbeit, durchzusetzen. Sie haben zum Ziel, den sicheren Zugriff auf Da- ten zu ermöglichen und gleichzeitig den möglichen Schaden durch kom- promittierte Anwender oder Systeme zu minimieren. Zum einen erfolgt dies durch eine granulare, strikte Beschränkung der Möglichkeiten: Es werden nur so viele Zugriffsrechte wie nötig erlaubt und dies nur so lange wie erforderlich. Zum ande- ren wird durch starke Methoden der Nutzerauthentisierung und die Überprüfung des Zugangsgerätes sichergestellt, dass das vom Nutzer erreichbare Sicherheitsniveau zum Schutzbedarf der Daten passt. Enterprise-Architekturen schützen klassisch Unter- nehmensdaten Empfehlungen zur Umset- zung von Zero-Trust-Architekturen, wie beispielsweise die NIST SP 800- 207, fokussieren im Allgemeinen auf Enterprise-Umgebungen. In Enterprise-Umgebungen steht der Schutz von Unternehmensdaten im Mittelpunkt. Sicherheitsanforderun- gen werden typischerweise durch Einschränkungen an der Privatsphä- re, Hoheit über die Endgeräte und Usability sowie legale Konstrukte wie Verträge mit Dienstleistern und Mitarbeitern durchgesetzt. Beim Zu- griff durch Mitarbeiter, Partner oder Dienstleister werden eine Kontrolle über die Zugangsgeräte sowie eine Verhaltensauswertung der Nutzer- zugriffe im Allgemeinen als wich- tige Sicherheitsfaktoren akzeptiert. Notwendige Risikoabwägungen im Zielkonﬂikt zwischen Efﬁzienz, Usability, Privacy und Datenschutz können auf Unternehmensebene getroffen werden. Risiken beim Umgang mit den Daten tragen dabei primär die Unternehmen und nicht die einzelnen Mitarbeiter. Wenn Privacy und Daten- souveränität in den Mit- telpunkt rücken Jenseits des Unternehmens- kontextes sind die Rahmenbedin- gungen und Anforderungen jedoch häuﬁg andere. Im Gesundheitswesen zum Beispiel geht es um den Schutz besonders sensibler Patientendaten. Der Zugang erfolgt dabei in der Re- gel nicht mittels Unternehmens-IT, sondern über private Endgeräte von Patienten beziehungsweise mehr oder weniger sicher verwaltete Gerä- te bei Leistungserbringern in Praxen oder Kliniken. Entsprechend dem Verständnis hinsichtlich Privacy, Datensouveränität und Datenschutz in Deutschland und der EU sollte ein tiefgehender Eingriff in diese Geräte zur Überprüfung der Sicher- heit vermieden werden. Auch muss eine Verhaltensanalyse im Kontext von Zero Trust, wie sie bei Unterneh- men-IT üblich ist, berücksichtigen, dass Zugriffsmuster gegebenenfalls bereits medizinisch relevante per- sonenbezogene Daten darstellen. Ebenso lassen sich Patientendaten betreffende Risikoabwägungen nicht treffen, ohne die Interessen der Pati- enten einzubeziehen. Dazu gehört auch das Risiko, dass sich kritische Dienstleister wie beispielsweise Identitätsprovider beim Betrieb einer Zero-Trust-Architektur universellen Zugriff auf Patientendaten verschaf- fen. Die Problematik der hohen Anforderungen an Privacy und Datensouveränität im Gesundheits- wesen ist auch auf Behörden oder Verwaltung übertragbar. Hier geht es um den Schutz von personen- bezogenen Daten von Bürgern bei der Digitalisierung von öffentlichen Vorgängen in der Verwaltung. Aber auch mit Blick auf Enterprise- Architekturen ist es ein Gewinn, wenn die Sicherheitseigenschaften Abbildung 1: Demonstrator für die mögliche neue Telematikinfrastruktur TI 2.0: Über einen Zero Trust Authenticator könnten Teil- nehmer der zukünftigen TI sicher und einfach über ihr Mobiltelefon Zugriffe auf Dienste im eigenen Namen zulassen oder ablehnen. Der Endanwender behält zu jeder Zeit die Souve- ränität über seine Daten. (Bild: genua, CGM) © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023 13

Verlagsbeilage Netzwerksicherheit sicher und privacy-freundlich ist, sondern auch einfach benutzbar, performant, skalierbar, ﬂ exibel, offen und zukunftssicher. Datenallmacht verhindern Eine wesentliche Anforderung war die Vermei- dung von Allmacht. Das bedeutet, dass sich kein Dienst- leister in der Infrastruktur universellen Zugriff auf Daten verschaffen kann. Als spezielles Risiko wurden Identitäts- provider gesehen. Deren Kompromittierung könnte dazu führen, dass ein Angreifer verschiedene Nutzeridentitäten annehmen kann. Das Problem wurde gelöst, indem der Identitätsprovider nicht alleinig über den Zugriff entschei- den kann. Es sind immer mehrere unabhängige Parteien involviert. Im Detail heißt das, dass der Zugriff nicht nur von einem authentiﬁ zierten Nutzer, sondern auch von einem registrierten Gerät durchgeführt werden muss. Die Geräteregistrierung ﬁ ndet mittels einer vom Identitäts- provider unabhängigen Authentiﬁ zierung des Nutzers statt. Die separaten Zugangsprüfungen werden von einem lokalen Policy-Enforcement-Point in der Kontrolle des jeweiligen Fachdienstes vorgenommen, bevor ein Zugriff auf die dort vorliegenden dienstspeziﬁ schen Patientenda- ten beziehungsweise deren Verarbeitung erlaubt wird. Für die Speicherung sehr sensitiver Daten wie in der elektro- nischen Patientenakte erfolgt wie bisher zusätzlich eine clientseitige Verschlüsselung als weitere Schutzschicht. Um tiefe Eingriffe in die Geräte der Anwender zu vermeiden, wird für die Attestierung der Sicherheit auf existierende Plattformdienste der Betriebssystemanbieter zurückgegriffen, die ohne erweiterte Rechte auf dem System benutzbar sind. Um eine möglichst hohe Vielfalt von Endgeräten bei gleichzeitig einfacher Benutzbarkeit für die Anwender zu unterstützen, sind die Sicherheitsan- forderungen an den Schutzbedarf angepasst: Die eigenen Daten auf den Endgeräten der Patienten selbst werden als eine andere Risikoklasse behandelt als die Sammlung von Daten verschiedener Patienten auf den Endgeräten der Leistungserbringer. Eine Architektur mit vielen Chancen Eine detaillierte Beschreibung der Architektur ﬁ ndet sich im umfangreichen Feinkonzept (160 Seiten), welches im Fachportal der gematik der Öffentlichkeit kostenfrei zur Verfügung steht. Das Feinkonzept folgt etablierten Zero-Trust-Konzepten und nutzt für eine hohe Zukunftssicherheit so weit wie möglich anerkannte offene Standards. Es wurde für die besonderen Rahmenbedin- gungen im Gesundheitswesen entwickelt, bietet aber große Chancen über den Anwendungsbereich der TI 2.0 hinaus. n Steffen Ullrich ist IT-Sicherheitsexperte bei der genua GmbH. Abbildung 2: Steffen Ullrich (links, gemeinsam mit Projektleiter Sebastian Rassel, beide Teil des gematik-Projektteams): „Alle Bereiche mit hohen Anforderungen an Privatsphäre, Datenschutz und Nutzerfreundlichkeit können von einem Nutzer- und Privacy-fokussierten Zero-Trust-Ansatz proﬁ tieren. Dabei folgt das vorgestellte Feinkonzept etablierten Zero- Trust-Konzepten und nutzt für eine hohe Zukunftssicherheit so weit wie möglich anerkannte offene Standards.” (Bild: genua) von Zero-Trust-Architekturen unter Berücksichtigung der Privatsphäre von Mitarbeitern ausreichend gewährleistet werden können. Auch Risiken durch Dienstleister, die für den Betrieb einer Zero-Trust-Infrastruktur einbezogen werden, haben an Aufmerksamkeit gewonnen. Dies ist nicht zuletzt Vorfällen geschuldet wie: ––——— Sicherheitslücken beziehungsweise unsichere Prozesse bei Microsofts Management von Keys und Zu- griffsberechtigungen, ––——— die teilweise Kompromittierung des Identitäts- anbieters Okta und ––——— die vielfältigen Sicherheitslücken in Zugriffs- kontrollprodukten verschiedener Sicherheitshersteller, welche die Zuverlässigkeit der Zugriffskontrolle oder auch die Sicherheit der Endgeräte gefährdet haben. Anforderungen im grundlegenden Design verankern Im Herbst vergangenen Jahres hatte die gematik als nationale Agentur für digitale Medizin ein aus deut- schen Herstellern bestehendes Konsortium beauftragt, für die künftige Telematikinfrastruktur ein Feinkonzept für eine Zero-Trust-Architektur zu erarbeiten. Dieses be- rücksichtigt die besonderen Anforderungen des Gesund- heitswesens grundlegend im Design, anstatt zu versuchen, bestehende Designs durch Zusatzlösungen halbwegs passend zu machen. Im Konsortium, bestehend aus der genua GmbH in der Rolle des Konsortialführers, der Bun- desdruckerei GmbH und der D-Trust GmbH (alle drei Un- ternehmen gehören zur Bundesdruckerei Gruppe GmbH) sowie der CompuGroup Medical Deutschland AG und dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, brachten jeweils alle Teilnehmer ihre speziellen Erfahrungen und Fähigkeiten in die Konzeption der Architektur ein. So konnte in enger Zusammenarbeit mit der gematik ein Feinkonzept entstehen, das nicht nur 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Netzwerksicherheit, Dezember 2023

Secupedia – das Portal für Sicherheitsinformationen . m o c . e b o d a k c o t s - r o h t u a m o c : d l i B Wir bedanken uns bei unseren Sponsoren:

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales E-Magazin kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes-informationssicherheit.de/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes-informationssicherheit.de/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN

Management und Wissen Open-Source-Security Brückenbauer statt Vormund Die Rolle des Staates bei Open-Source-Software-Sicherheit „Freiheit“ und Selbstorganisation sind wesentliche Aspekte von Open-Source-Software (OSS). Das OSS-Ökosystem besteht aus einer Vielzahl von Akteuren, von Individuen und Communities über Stiftungen bis zu Firmen. Kann und sollte auch der Staat – mit Finger- spitzengefühl und Respekt – an dieser Stelle Aufgaben übernehmen, um OSS und deren Sicherheit voranzubringen? Von Sven Herpig, Berlin Open-Source-Software (OSS) ist eines der wich- tigsten Elemente digitaler Infrastrukturen weltweit. Stu- dien unter anderem von Sonatype [1] und Synopsys [2] zeigen, dass zwischen 78 % und 96 % jedes Software-Stacks OSS enthalten. Darüber hinaus hängt eine große Anzahl der Codebasen kritischer Infrastrukturen von OSS ab. OSS wird heutzutage von jedem benutzt, und zwar überall – so fasste es die Autorin Chinmayi Sharma in einer weiteren Studie treffend zusammen [3]. Diese Abhängigkeit ganzer Volkswirtschaften und Gesellschaften von OSS bedeutet aber auch, dass ihre IT- Sicherheit von entscheidender Bedeutung für den Staat und die nationale Sicherheit ist. Welche Konsequenzen Schwachstellen in OSS haben können, haben zuletzt die unter Ausnutzung von Log4Shell entstandenen IT-Sicher- heitsvorfälle verdeutlicht. Wenn OSS überall zu ﬁnden ist und Schwachstellen darin massive Auswirkungen auf Wirtschaft und Gesellschaft haben können, welche Rolle sollte dann der Staat mit Blick auf ihre IT-Sicherheit ausfüllen? Vielen Expert:inn:en zufolge sollte der Staat eine tragende Rolle bei der Verbesserung der IT-Sicherheit im OSS-Ökosystem spielen – jedoch scheint es bisher nicht so, als ob Regierungen ihre genaue Rolle deﬁniert und mit entsprechenden politischen Maßnahmen verknüpft hätten. Das liegt mitunter auch daran, dass die Interak- tion mit dem komplexen Ökosystem aus kommerziellen Unternehmen, Projekt-Communities, Freiwilligen und Stiftungen keine leichte Aufgabe für staatliche Stellen ist. Deutlich wurde dies jüngst, als mehrere Praktiker:innen und Wissenschaftler:innen den Entwurf des EU Cyber- Resilience-Acts (CRA) kritisierten. Sie bemängelten, dass gerade Projekt-Communities und Freiwillige mit rechtli- chen Auﬂagen überfordert würden, obwohl dies nicht zu mehr nachhaltiger Produktsicherheit führe. Staatliche Rolle(n) bei OSS Für staatliche Stellen gibt es im OSS-Ökosystem unterschiedliche Rollen, in denen sie die IT-Sicherheit zu fördern vermögen: Sie können intern koordinieren, Vorbild sein, das Ökosystem unterstützen und/oder regu- lieren. Bei jeder dieser Rollen ist es wichtig, einen zielgrup- pengerechten Ansatz zu wählen. Ein solcher Ansatz kann auf Leitlinien wie Respekt, Zusammenarbeit, Kooperation und Aufrichtigkeit basieren. Vor allem sollte klar sein, dass eine gute, belastbare Arbeitsbeziehung zwischen staatli- chen Stellen und anderen Akteuren im OSS-Ökosystem keine Einbahnstraße sein darf. Nun ist es natürlich so, dass Regierungen zwar eine gewisse „Beinfreiheit“ haben, um effektiv mit In- teressensvertretern im Ökosystem zu interagieren und ihnen gegebenenfalls auch entgegenzukommen – an vielen Stellen sind sie jedoch an (gesetzliche) Vorgaben gebunden, können ihre Verhaltens- und Vorgehensweise also nicht ohne Weiteres ändern. Um hier keine falschen Erwartungen zu wecken oder Ärger hervorzurufen, sollten sie klar und deutlich kommunizieren, wo dies der Fall ist – und Spielräume und Kompromissmöglichkeiten dort ausschöpfen, wo es sie gibt. Alle Seiten müssen sich in einem Prozess engagieren, der von gegenseitigem Respekt geprägt ist. Der Staat als Koordinator Wenn Regierungen beschließen, eine aktivere Rolle bei der Förderung der OSS-Sicherheit zu überneh- 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#6

men, könnte die Überprüfung ihrer eigenen Strukturen ein guter Ausgangspunkt sein. Es ist entscheidend, dass jeder Teil der Regierung versteht, wer als Koordinator und Ansprechpartner für die OSS-Sicherheit fungiert. Hierbei handelt es sich nicht notwendigerweise um eine Person, sondern idealerweise um eine Organisationseinheit in einer Behörde. Auf diese Weise wissen alle anderen Stel- len, an wen sie sich in Bezug auf OSS-Sicherheitsfragen wenden können. unterstützen und zur Verbesserung der OSS-Sicherheit beizutragen, indem man Schwachstellen und andere si- cherheitsrelevante Informationen mit OSS-Projekten teilt. Ein Vorbild zu sein bedeutet ebenfalls, ein verant- wortungsbewusster OSS-Nutzer zu sein. Konkret heißt das zum Beispiel, OSS-Projektentwickler:innen zu kontaktie- ren, wenn eine Schwachstelle entdeckt oder ein Patch für den eigenen Gebrauch entwickelt wird. Regierungen sollten auch eine Bestandsauf- nahme der verwendeten OSS und etwaiger laufender OSS-Sicherheitsinitiativen in verschiedenen Behörden auf Bundes- und Landesebene durchführen. Zu wissen, welche OSS-Artefakte von staatlichen Stellen verwendet werden, ist eine wesentliche Voraussetzung für die Pri- orisierung staatlicher Aktivitäten zur Verbesserung der OSS-Sicherheit. Die staatliche Stelle, die für die OSS-Koordination zuständig ist, muss keineswegs all das selbst erledigen; vielmehr sollte sie als eine Art Informationsdrehkreuz fun- gieren. So sollte eine OSS-Koordinationsstelle über beste- hende (vertrauenswürdige) Beziehungen zwischen Staat und OSS-Communities im Bilde sein, (extern entwickelte) Tools zur Verbesserung der OSS-Sicherheit, Bildungsma- terialien und OSS-speziﬁsche IT-Sicherheitsrichtlinien bereitstellen und proaktiv kommunizieren. Der Staat als Vorbild Um die OSS-Sicherheit nachhaltig zu fördern, sollten staatliche Stellen die Community-Standards, Richtlinien und bewährten Verfahren befolgen, die im Ökosystem existieren, wo immer das möglich und zumutbar ist. Ein Vorbild für andere Akteure zu sein, die das OSS-Ökosystem stärken wollen, bedeutet unter anderem, transparent mit den eigenen Anstrengungen für OSS-Sicherheit umzugehen, die Verwendung sicherer OSS in allen staatlichen Digitalisierungsmaßnahmen zu Zusätzlich müssen Regierungen erkennen, dass das OSS-Ökosystem von Natur aus international ist. Die Maintainer, Contributors und andere Akteure in der OSS- Lieferkette von Softwareprojekten kommen aus verschie- denen Ländern. Darüber hinaus können Akteure unter Pseudonymen agieren, ohne dass ihre echte Identität der Community oder den Nutzer:inne:n ihrer OSS-Projekte bekannt ist. Obwohl dieser Aspekt für weitere sicher- heitsbezogene Interventionen berücksichtigt werden muss, sollte dies nicht zwangsläuﬁg zum Ausschluss von Vergabeverfahren und anderen Prozessen führen. Vielmehr sollte es bedeuten, dass Regierungen über das entsprechende Fachwissen und/oder über vertrauenswür- dige Dritte mit diesem Fachwissen verfügen, sodass sie die Sicherheit von OSS bewerten können. Der Staat als Unterstützer Als interner Koordinator und als Vorbild ist die Rolle der Regierung vorrangig auf interne Belange aus- gerichtet. In seiner Rolle als Unterstützer hingegen sollte der Staat bewusst und aktiv Ressourcen einsetzen, um die Sicherheit im OSS-Ökosystem für alle Beteiligten zu erhöhen. Als Unterstützer müssen Regierungen sich am Kapazitätsaufbau beteiligen, an OSS-Projekten mitarbei- ten und Mittel bereitstellen. Es gibt eine Vielzahl von Initiativen und Projekten, bei denen sich staatliche Stellen ﬁnanziell oder anderweitig engagieren können, um die Werden Sie Fachkraft für IT-Sicherheit! Kostengünstiges und praxisgerechtes Fernstu- dium ohne Vorkenntnisse. Vorbereitung auf das SSCP- und CISSP-Zertifikat. Ein Beruf mit Zukunft. Beginn jederzeit. GRATIS-Infomappe gleich anfordern! Te s t s t u d i u m o h n e R i s i k o ! Fernstudium Datenschutz- beauftragter TÜV FERNSCHULE WEBER - seit 1959 Telefon 04487 / 263 - Abt. C99 Telefon: 04487 / 263 www.fernschule-weber.de www.fernschule-weber.de

Management und Wissen Open-Source-Security Sicherheit des OSS-Ökosystems zu verbessern. Beispiele für konkrete Aktivitäten sind die Überführung von Software in Memory-safe-Programmiersprachen, Sicherheitsaudits, Schwachstellenkoordination, Hilfe bei der Dokumenta- tion, Prämienprogramme für Patches und Fonds für die Vorfallsbearbeitung. Zusätzlich können Regierungen Sicherheitsres- sourcen wie Leitlinien oder Tools zur Verfügung stellen und unter bestimmten Umständen sichere, abgespaltene Weiterentwicklungen (Forks) veranlassen oder verwaiste Pakete übernehmen und weiterpﬂegen – zum Beispiel bei aufgegebenen OSS-Projekten, die in kritischer Infra- struktur oder Behörden zum Einsatz kommen. Darüber hinaus können staatliche Stellen Entwicklungsressourcen einsetzen, indem sie etwa Beiträge zu Open-Source-Biblio- theken von Dritten beisteuern oder Open-Source-Code veröffentlichen. Der Staat als Regulierer Das OSS-Ökosystem ist komplex. Es ist deshalb eine anspruchsvolle Aufgabe, dieses Ökosystem gut zu regulieren – ohne also Innovationen zu behindern oder die Sicherheitslage zu verschlechtern. Das bedeutet nicht, dass der Staat gar nicht regulierend tätig werden sollte. Regulierung kann jedoch nur dann positive Auswir- kungen haben, wenn staatlichen Stellen ihr Verständnis des OSS-Ökosystems durch Dialog und Zusammenarbeit verbessern und wenn sie nuanciert und inklusiv vorgehen. In seiner Rolle als Regulierer sollte der Staat vor- nehmlich Barrieren für OSS-Communities beseitigen. Das bedeutet zum Beispiel, die Rechtsunsicherheit für IT- Sicherheitsforscher:innen zu verringern oder jene Hürden abzubauen, die OSS-Projekte so schwer kompatibel mit dem öffentlichen Beschaffungswesen machen. Anforde- rungen in öffentlichen Ausschreibungen wie teure Zerti- ﬁzierungen oder Gewährung exklusiver Nutzungsrechte an der Software – die standardmäßig mit den meisten OSS-Lizenzen unvereinbar sind – entmutigen oder schlie- ßen Bewerbungen von OSS-Projekten von vornherein aus. Die Änderung dieser Bedingungen und damit die Möglichkeit für OSS-Communities, einfacher an öffentlichen Beschaffungsprozessen teilzunehmen, wird sicherlich das OSS-Ökosystem stärken und insgesamt zu mehr Wettbewerb und besseren Auswahlmöglichkeiten für staatliche Stellen führen. Wenn OSS-Projekte leichter an öffentlichen Beschaffungen teilnehmen können, wird dies auch zu mehr Mitteln für das OSS-Ökosystem und zur breiteren Verwendung von OSS führen. Literatur Staatliche IT-Sicherheit-Open-Source- Programmbüros [1] Sonatype, 2020 State of the Software Supply Chain, August 2020, www.sonatype.com/2020ssc (Registrierung erforderlich) – siehe auch www.sonatype.com/state- of-the-software-supply-chain/open-source-supply-and- demand [2] Synopsys, 2023 Open Source Security And Risk Analy- sis Report, www.synopsys.com/software-integrity/resour- ces/analyst-reports/open-source-security-risk-analysis. html (Registrierung erforderlich) [3] Chinmayi Sharma, Tragedy of the Digital Commons, August 2022, in: North Carolina Law Review Vol. 101 Nr. 4, Mai 2023, https://scholarship.law.unc.edu/nclr/ vol101/iss4/6 [4] Aeva Black, Gil Yehuda, Open Source Security Policy Conundrum, Blogpost, Januar 2023, https://aeva.online/ blog/2023-oss-security-conundrum/ [5] Dr. Sven Herpig, Fostering Open Source Software Security – Blueprint for a Government Cybersecurity Open Source Program Ofﬁce, Mai 2023, www.stiftung-nv. de/sites/default/files/snv_fostering_open_source_soft- ware_security.pdf Der erste Schritt zur Vereinfachung und Koordi- nierung politischer Maßnahmen der Regierung im Bereich von OSS kann die Einrichtung eines Open-Source-Pro- grammbüros (Open Source Program Ofﬁce, OSPO) sein. OSPOs dienen in der Industrie und in anderen Sektoren als Kompetenzzentrum für Open-Source-Aktivitäten und beraten in Rechtsfragen. In Deutschland wird diese Rolle vermutlich das Zentrum Digitale Souveränität (ZenDiS) ein- nehmen – unterstützt wird es hierbei durch die Aktivitäten des Sovereign Tech Funds (STF). Betrachtet man jedoch die Herausforderungen, vor denen das OSS-Ökosystem beim Thema IT-Sicherheit steht, wird deutlich, dass weitaus mehr staatliche Ressour- cen notwendig sind. Es sollte daher in Betracht gezogen werden, ein staatliches OSPO mit speziﬁschem Fokus auf die Förderung von OSS-Sicherheit zu gründen. Auch hierzu muss keine neue staatliche Stelle geschaffen werden: Ein entsprechendes OSPO könnte als Organisationseinheit im Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt werden. Dort beﬁnden sich deutschlandweit die vermutlich meisten bereits existierenden Anknüp- fungspunkte zur IT-Sicherheit von OSS. Die Beziehung zwischen diesem OSPO und ande- ren staatlichen OSPOs wäre ähnlich der Beziehung zwi- 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#6

schen Chief-Information- (CIO) oder Chief-Technology- Ofﬁcers (CTO) und Chief-Information-Security-Ofﬁcer (CISO): CIO und CTO konzentrieren sich auf die Verwal- tung der Informationstechnik und der entsprechenden Ressourcen, während der CISO gewährleistet, dass die Digitalisierung so sicher wie möglich stattﬁndet. In dieser Konstellation sollte der CISO idealerweise so unabhängig wie möglich vom CIO/CTO sein, während er auf das gemeinsame Ziel einer effektiven und sicheren digitalen Infrastruktur hinarbeitet. Das auf OSS-Sicherheit spezialisierte OSPO würde andere staatliche Stellen dabei unterstützen, die oben genannten Rollen einzunehmen. Es würde notwendige Ressourcen mobilisieren, sie in Abstimmung mit den OSS- Communities in Projekte und Initiativen investieren und politische Maßnahmen ergreifen, welche die Sicherheit des OSS-Ökosystems verbessern. Weitere Informationen über den Aufbau und die Funktion einer solchen Orga- nisation ﬁnden sich in der im Mai 2023 erschienenen Policy-Studie „Fostering Open Source Software Security Blueprint for a Government Cybersecurity Open Source Program Ofﬁce“ der Stiftung Neue Verantwortung [5]. Fazit ser macht einen großen Teil des Software-Stacks aus, der in ihren IT-Systemen läuft. Je anfälliger der OSS-Code ist, desto wahrscheinlicher ist es, dass diese Organisationen gestört, ausspioniert und sabotiert werden. Es liegt daher im staatlichen Eigeninteresse, Res- sourcen strategisch zu investieren und politische Maß- nahmen zu ergreifen, um die OSS-Sicherheit kurz- und langfristig zu verbessern. Dabei ist es entscheidend, dass Regierungen ihre Rolle im OSS-Ökosystem bestimmen. Das betrifft auch die Kultur der Zusammenarbeit: Fra- gen von Vertrauen und das Finden einer gemeinsamen Sprache mit den unterschiedlichen Akteuren des OSS- Ökosystems sind dabei mindestens genauso wichtig wie rechtliche und ﬁnanzielle Aspekte. Das erfordert von staatlicher Seite Fingerspitzengefühl und Ernsthaftigkeit. Es wäre daher wichtig, dass der Staat einen Brückenbauer ernennt (z. B. ein OSPO mit Fokus auf IT- Sicherheit), der Regierungsressourcen und -werkzeuge in Koordination und Zusammenarbeit mit anderen Akteuren im OSS-Ökosystem zur Förderung der OSS-Sicherheit einsetzt. Für den Staat würde dies wiederum eine bessere IT-Sicherheit seiner Behörden, kritischen Infrastrukturen, Wirtschaft und Gesellschaft – und damit einen wichtigen Beitrag zur nationalen Sicherheit bedeuten. ■ Regierungsbehörden und andere für die nationale Sicherheit wichtige Institutionen, beispielsweise kritische Infrastrukturen, sind stark auf OSS-Code angewiesen. Die- Dr. Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung (SNV). © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#6 9