HZ212318 · ISSN 1868-5757 · www.datakontext.com Oktober/November 5/2022 Die Zukunft der Authentifi zierung Eine Welt ohne Passwörter ist möglich! Tobias Becker von erklärt, wie Mitarbeitende einfach, nahtlos und komfortabel arbeiten – ob im Büro, im Homeoffice oder von unterwegs. SPECIAL it-sa 2022 Nürnberg, 25. bis 27. Oktober ▪ Orientierung: Was Sie wo auf der it-sa erwartet ▪ Trends: Welche technologischen Trends Sie auf dem Schirm haben sollten ▪ Markt: Welche Anbieter/ Aussteller Sie dafür ansprechen können Safe AI: Wie künstliche Intelligenz nachvoll- ziehbar und sicher werden soll Cybersicherheit: Dreigespann gegen Ransomware Confidential Computing: IT-Sicherheit und Datenschutz in der Cloud

VERTRAUENSWÜRDIGKEIT IST DAS SCHMIERMITTEL DER MODERNEN IT Daten sind heute die Schlüsselkomponente in der Wertschöpfung. Ihre sichere und vertrauens­ würdige Verarbeitung ist daher essenziell – auch in Cloud­Infrastrukturen, die per se erst einmal nicht vertrauenswürdig sind. Während die Daten und der Code der sie verarbeitenden Anwendung hier in gespeicherter Form und bei der Übertragung in der Regel verschlüsselt sind, liegt beides während der Verarbeitung von Anwendungen in einer Cloud­Infrastruktur im Klartext vor und ist somit angreifbar. Confidential Computing soll das ändern. Auf der Basis von Sicherheitsfunktionen im Rechenkern sorgt Confidential Computing dafür, dass Anwendungen auf Cloud­Infrastrukturen mit allem drum und dran in isolierten und verschlüsselten Enklaven verarbeitet werden. Die Inhalte der Anwendung in einer Enklave werden so zuverlässig vor unbefugtem Zugriff geschützt. Auch wenn das alles wenig spektakulär klingt, ist Confidental Computing ein entscheidender Aspekt, der für die Zukunft der IT­Sicherheit unerlässlich ist: Die ständige Interaktion von Soft­ warebausteinen zwischen verschiedenen IT­Umgebungen gehört zum Wesen der Cloud – und dank Confidental Computing kann das nun in gesicherter Form stattfinden. Damit ist die Basis für sicheres Cloud Computing gelegt – moderne IT kann reibungslos genutzt werden. Was es im Einzelnen mit Confidental Computing auf sich hat, lesen Sie im gleichnamigen Beitrag in unserer Rubrik „Aus Forschung und Technik“. it-sa-SPECIAL Erfreulicherweise kann die it­sa auch in diesem Jahr wieder in Präsenz stattfinden. Nach einem etwas vorsichtigen postpandemischen Neustart im vergangenen Jahr sind nun offenbar wieder alle Schleusen offen. Im Vergleich zur bisher größten Veranstaltung im Jahr 2019 belegt die it­sa 2022 mit über 600 angemeldeten Unternehmen noch einmal mehr Ausstellungsfläche. Dabei zeichnet sich ab, dass die diesjährige Ausgabe auch sehr international geprägt sein wird. Aus derzeit 27 Ländern sind die bisherigen Beteiligungen eingegangen. IT­SICHERHEIT hat das zum Anlass für ein umfangreiches it­sa­Special in dieser Ausgabe genommen. Was Sie in unseren Beiträgen nicht finden, sind Produktneuheiten und Firmenlistungen. Vielmehr haben wir aktuelle technische und strategische Megatrends in der IT­Security aufgegriffen und anschaulich erklärt. Vieles davon werden Sie beim it­sa­Rundgang wiederfinden und – so unser Plan – perfekt einzuordnen wissen. Im Marktteil können Sie nachschauen, welche Know­how­Träger und Lösungsanbieter auf jeden Fall einen Besuch auf der Messe lohnen. Die IT­SICHERHEIT finden Sie wie gewohnt am DATAKONTEXT-Stand in Halle 6, Nummer 6-101. Viel Spaß beim Lesen und eine erfolgreiche Messe wünscht Ihnen, Stefan Mutschler EDITORIAL Stefan Mutschler twitter.com/it_sicherheit24 www.itsicherheit-online.com/ newsletter IT-SICHERHEIT_5/2022 3

INHALTSVERZEICHNIS 14 SAFE AI – ABSICHERUNG VON KÜNSTLICHER INTELLIGENZ COMPUTING 82 CONFIDENTIAL ENDPOINT | MOBILE SECURITY 76 Endpunkthärtung und -absicherung in einer sich verändernden Bedrohungslandschaft WAS AUF DIE GERÄTELANDSCHAFT ZUKOMMT DATENSCHUTZ | BACKUP | ARCHIVIERUNG 78 Datenschutz im Unternehmen ALLER GUTEN DINGE SIND DREI CLOUD SECURITY | WEB APP SECURITY 80 Wie Unternehmen die Multicloud- Herausforderung in den Griff bekommen GEFAHR FEHLKONFIGURATION AUS FORSCHUNG UND TECHNIK 82 IT-Sicherheit und Datenschutz in der Cloud CONFIDENTIAL COMPUTING SERVICES 93 Webportal 88 DER DATA ACT ALS TURBO FÜR DATENGETRIEBENE GESCHÄFTSMODELLE IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT 88 Der Data Act als Turbo für datengetriebene Geschäftsmodelle POTENZIALE VON UNTERNEHMENSDATEN AUSSCHÖPFEN 94 Impressum ADVERTORIALS 11 Die Cybersicherheitsagenda des BMI 94 VORSCHAU: Ausblick auf Ausgabe 6 | 2022 IT-SICHERHEIT_5/2022 5

RADAR CYBER SECURITY ERHÄLT MILLIONEN-INVESTMENT Der europäische Anbieter von Cyber­Security­Lösungen Radar Cyber Security gibt den erfolgreichen Abschluss einer Finanzierungsrunde in der Höhe von drei Millionen Euro bekannt. Mit frischem Kapital will der Cyber­Security­Spezialist mit Hauptsitz in Wien auf die massiv gestiege­ ne Nachfrage im Kontext jüngster globaler Entwicklungen reagieren und seine Position bei Cyber Security „Made in Europe“ weiter vorantreiben. „Das Thema Cybersicherheit erlebt aktuell eine Zeitenwende. Eine neue politische Situation in Europa hat zu einer enorm gestiegenen Nachfrage unserer Cybersicherheitslösungen geführt. Unternehmen sowie Institu­ tionen sehen sich mit neuen Herausforderungen zu dieser Aufgabe kon­ frontiert. Diese neue Finanzierung hilft uns als Unternehmen darauf zu reagieren, uns zukunftssicher aufzustellen und uns auf weiteres Wachs­ tum vorzubereiten“, so Ali Carl Gülerman, CEO von Radar Cyber Security. Das Unternehmen will seine Aktivitäten als SOC­Ausstatter mit seiner eigenentwickelten SOC­Technologie für den Eigenbetrieb oder als Ma­ naged Security Service Provider intensivieren und setzt diese mit seinen SOC­as­a­Service Dienstleistungen im eigenen CDC (Cyber Defense Center) in Wien auch weiter selbst ein. Besonderes Augenmerk legt Radar Cyber Security auf den Schutz der kritischen Infrastruk­ tur (KRITIS) vor Cyberbedrohungen sowie auf die Rüstung dieser betroffenen Unternehmen für ge­ setzliche Vorgaben (zum Beispiel NIS2­Richtlinie der Europäischen Union oder deutsches IT­Sicherheits­ gesetz 2.0). Hier setzt Radar Cyber Security neben der selbstentwickelten Technologie auf anerkannte Standards wie etwa ISO 27001 sowie auf Partner­ schaften wie mit der EnBW Cyber Security GmbH, Tochter der Energie Baden­Württemberg. n Ali Carl Gülerman, CEO von Radar Cyber Security (Foto: Radar Cyber Security) AQUA SECURITY STARTET NEUES PART- NERPROGRAMM „AQUA ADVANTAGE“ Aqua Security, Spezialist für Cloud­Native­Security, hat sein neues Chan­ nelprogramm „Aqua Advantage Ecosystem“ und das begleitende Part­ nerportal vorgestellt. Das neue Programm wurde entwickelt, um alle Partner und deren Kunden bei Einführung und Nutzung der Cloud Native Application Protection Platform (CNAPP) zu unterstützen. Ziel ist es, Part­ nern aktiv dabei zu helfen, die digitale Transformation ihrer Kunden zu beschleunigen und sie beim Übergang in die neue Ära von DevSecOps und Cloud Native Applications zu begleiten. Speziell in der EMEA­Region – in der knapp ein Drittel aller Partner beheimatet ist – hat der Anbie­ ter seine Channel­Ressourcen erst kürzlich verdoppelt und regionale technische Bewertungsprogramme eingeführt, um sicherzustellen, dass Partner für die Aqua­Technologie zertifiziert werden können. Das neue Programm geht über kurzfristige Umsatzgenerierung hinaus: Es ist ein komplettes Ökosystem von mehr als 250 branchenführenden Techno­ logiepartnern, Resellern und Dienstleistern. Im Rahmen des neuen Pro­ gramms arbeitet Aqua mit Partnern aus verschiedenen Geschäftsmodel­ len zusammen, um eine für alle Seiten vorteilhafte Strategie mit darauf abgestimmten Zielen zu entwickeln und gleichzeitig umfangreiche Res­ sourcen für den Erfolg bereitzustellen. n UNTERNEHMEN | NEWS ARCTIC WOLF ÜBERNIMMT CYBER- THREAT-INTELLIGENCE-ANBIETER VXINTEL Arctic Wolf gibt die Übernahme von vxlntel, einem führenden Anbieter von Cyber Threat Intelligence, bekannt. Die Malware­Intelligence­Platt­ form von vxIntel analysiert derzeit über 500.000 Dateien pro Tag und über zehn Terabyte Daten pro Monat aus über 100 globalen Datenquellen. Der enorme Umfang der Plattform hat dazu beigetragen, dass das Un­ ternehmen eine der größten Malware­Datenbanken der Welt aufgebaut und sich zu einer wichtigen Threat­Intelligence­Quelle für Organisatio­ nen, Regierungsbehörden und führenden Cybersicherheitsunternehmen auf der ganzen Welt entwickelt hat. Im Mai dieses Jahres hat Arctic Wolf „Arctic Wolf Labs“ angekündigt, eine Initiative, die Sicherheitsforscher, Datenwissenschaftler und Security Development Engineers von Arctic Wolf in einem Team zusammenführt, das sich auf Threat Detection and Response für Kunden, Partner und die gesamte Security Community konzentriert. Das vxIntel­Team soll Teil der Arctic Wolf Labs werden. Sein fundiertes Wissen über die moderne Malware­Landschaft wird eine Schlüsselrolle bei der Verbesserung der Threat­Detection­Funktionalitäten der Arctic Wolf Security Operations Cloud spielen sowie dabei, die operativen Erkenntnisse mit der Cyber­Se­ curity­Forschungsgemeinschaft zu teilen. n NOTARIELLES ONLINE-VERFAHREN IM GESELLSCHAFTSRECHT Als „Meilenstein der Digitalisierung des Notariats“ bezeichnet die Bun­ desnotarkammer die erste Online­Gründung einer GmbH, die am 1. Au­ gust 2022 vorgenommen wurde. Neben der GmbH­Gründung sind nun auch Anmeldungen zum Handels­ und Genossenschaftsregister digital möglich. Für die Konzeption und Neuentwicklung der zentralen Fachan­ wendung zur Umsetzung von Online­Verfahren im Gesellschaftsrecht hat die Bundesnotarkammer den IT­Dienstleister adesso beauftragt. Die von adesso entwickelte Lösung ist eine ergänzende Option zum per­ sönlichen Termin beim Notar vor Ort: Gesellschaftsrechtliche Vorgänge wie Bestellungen zum Geschäftsführer oder die Änderung der Geschäfts­ adresse können ab sofort auch einfach und bequem online erledigt wer­ den. adesso hat die Anwendung im Rahmen eines dreijährigen Soft­ wareentwicklungsprojekts im Auftrag der Bundesnotarkammer erstellt. Die Anwendung besteht aus einem webbasierten System für die Notar­ seite und auf Bürgerseite aus einer Webanwendung und einer kosten­ freien Smartphone­App, die unter der Bezeichnung „Notar“ in den App­ Stores für Android und iOS erhältlich ist. Jens Spitczok von Brisinski leitet bei adesso den Geschäftsbereich Öffentliche Verwaltung und beschreibt die Besonderheit des Projekts: „Wir freuen uns über den erfolg­ reichen Start der neuen Online­Verfahren bei der Bundesnotarkammer. Für adesso war die Anbindung der geschaffenen Lösung an die Bestands­ und Umsysteme im Notarwesen mit Integration moderner Sicherheitsmecha­ nismen wie eID zur elektronischen Fernsigna­ tur und moderner Videokonferenztechnik ein besonderes Highlight.“ n Jens Spitczok von Brisinski (Foto: adesso) IT-SICHERHEIT_5/2022 7

decken die neuen Heimanwen­ derlösungen alle Kategorien des modernen Verbraucherschutzes ab: von Cybersicherheit über Daten­ schutz bis hin zur technologischen Leistungsfähigkeit und Identitäts­ schutz. Um auf die aktuelle Bedrohungs­ landschaft sowie neue Heraus­ forderungen und Bedürfnisse, die unter anderem Smarthome und das Metaverse mit sich bringen, zu reagieren, hat Kaspersky sein Port­ folio für Heimanwender verein­ facht und neu konzipiert; es geht jetzt deutlich über einen reinen Antivirenschutz hinaus und weist den Weg für die kommenden Jahre. Die neue, vereinfachte Produktlinie wurde in drei Kategorien unterteilt – Kaspersky Standard, Kaspersky Plus und Kaspersky Premium. Das So sieht Kaspersky Plus auf Android-Smartphones aus. (Quelle: Kaspersky) PRODUKTE | NEWS aktualisierte Angebot ist nun plattformunabhängig und bietet Schutz für verschiedene Gerätetypen unter Windows, Mac, iOS und Android. Sie sind so konzipiert, dass sie genau den Funktionsumfang abdecken, der den Nutzern im gesamten Kaspersky­Ökosystem zur Verfügung steht. n STORNEXT IN AWS Quantums File System StorNext ist ab sofort als Abonnement im AWS Marketplace verfügbar. Der AWS Marketplace ist ein Katalog mit Tausenden auf Amazon Web Services (AWS) nutzbaren Softwarelö­ sungen unabhängiger Anbieter. Nutzer von AWS können Software im AWS Marketplace einfach finden, testen, kaufen und nutzen. Der AWS Marketplace ist eine der schnellsten Möglichkeiten, um über StorNext gemeinsam nutzbaren Speicher einzurichten. Mit Quantum StorNext in AWS können Kunden ihre Inhalte unter anderem für die Videopro­ duktion hochflexibel verwalten. Sie können im Team von beliebigen Standorten aus Videos in der Cloud bearbeiten, ohne dass Dateien zwi­ schen den Benutzern kopiert oder übertragen werden müssen. Dies vereinfacht die Zusammenarbeit und beschleunigt Workflows für die Postproduktion enorm. Quantum StorNext in AWS Marketplace ist ab sofort verfügbar. n Anzeige Softwaregestützte Informationssicherheit Effektiv und effizient über Ihre gesamte Lieferkette ibi systems GmbH, Franz-Mayer-Straße 1, 93053 Regensburg www.ibi-systems.de IT-SICHERHEIT_5/2022 9

– ADVERTORIAL – Die Cybersicherheitsagenda des BMI Spätestens seit Ausbruch des Ukraine-Kriegs ist sich nicht nur die Politik, sondern auch die Wirtschaft der Notwendigkeit einer Cyber- sicherheitsstrategie bewusst. So haben seit Beginn des Jahres laut repräsentativer Bitkom-Umfrage 43 Prozent der von Cyberangriffen betroffenen Unternehmen mindestens eine Attacke aus China iden- tifiziert (2021: 30 Prozent). 36 Prozent haben Urheber in Russland ausgemacht (2021: 23 Prozent), was einem rasanten Anstieg seit Ausbruch des Kriegs geschuldet ist. In der jüngst vorgestellten Cybersicherheitsagenda des Bundesmi- nisteriums des Innern und für Heimat (BMI) hat Bundesministerin Nancy Faeser Ziele für die Cybersicherheit des Landes festgelegt. Dabei soll sich das Bundesamt für Sicherheit in der Informations- technik (BSI) als Zentralstelle für Sicherheitsfragen in der IT im Bund-Länder-Verhältnis etablieren. Cybersicherheit durch digitale Souveränität Faeser stellt insbesondere Unternehmen der kritischen Infrastruk- tur (KRITIS) in die Pflicht, sich bei voranschreitender Digitalisierung auf neue Bedrohungslagen aus dem Cyberraum vorzubereiten. Doch gleiches gelte auch für neue und disruptive Technologiefelder wie automatisiertes Fahren, Telemedizin und Smart-City-Lösungen. Das BMI strebt deshalb einen Informationsaustausch insbesondere un- ter KMU an, um den Bedrohungen aus dem Cyberraum zu begeg- nen. Außerdem sollen Forschungsprojekte zur Stärkung der digitalen Souveränität und der Ausbau der Kommunikationstechnologien 5G und 6G vor dem Fremdeingriff in Unternehmen und öffentliche Ein- richtungen schützen. Achim Berg, Präsident des Digitalverbandes Bitkom, weist allerdings darauf hin, dass der Erfolg der Cybersicherheitsagenda unter ande- rem von der zeitkritischen Umsetzung abhängt: „Es ist wichtig, dass die angekündigte Cybersicherheitsstrategie nun zeitnah folgt und nicht auf die lange Bank geschoben wird. Die Umsetzung der heute vorgestellten Maßnahmen muss schnell spezifiziert und die kriti- schen Themen müssen geklärt werden.“ Weiterbildungsangebot im Bereich IT-Sicherheit Die Bitkom Akademie bietet zahlreiche Fortbildungen im Bereich IT-Sicherheit an, und ist als anerkannter Schulungsanbieter des BSI in der Lage, die digitalen Kompetenzen zur Umsetzung einer umfassenden Cyberstrategie im Unternehmen zu vermitteln. Unter anderem bilden die Zertifikatslehrgänge zum BSI IT- Grund- schutz-Praktiker und die Aufbauschulung CSN Vorfall-Experte die konkreten Anforderungen des Bundesministeriums im Curriculum ab. Darüber hinaus bietet die Bitkom Akademie Spezialschulungen für Betreiber kritischer Infrastrukturen an, insbesondere im Kon- text des neuen IT-Sicherheitsgesetzes 2.0. Doch auch die kosten- freien Angebote der Akademie können bereits den Stein ins Rollen bringen und den entscheidenden Anstoß zur Aufdeckung interner Sicherheitslücken liefern. Zielgruppe Das Angebot der Akademie richtet sich an Mitarbeitende aller Bran- chen mit Arbeitsbezug und Schnittstellen zur Informationssicher- heit, ganz gleich ob angehende IT-Administratoren, IT-Fachkräfte, Datenschutzbeauftragte, Projektmanager oder Führungskräfte im Allgemeinen. Das Seminarprogramm der Bitkom Akademie beinhal- tet Kurse für Einsteiger als auch erfahrene IT-Fachleute – Vorkennt- nisse sind deshalb von Vorteil, aber nicht zwingend erforderlich. Die Seminare haben didaktisch eine allgemeine Ausrichtung, um auch auf individuelle Fragen und Problemstellungen aller Teilnehmen- den einzugehen. n Für weitere Informationen kontaktieren Sie bitte Vincent Bergner: v.bergner@bitkom-service.de https://bitkom-akademie.de/seminare IT-SICHERHEIT_5/2022 11 florian krumm/unsplash

Das hochkarätige Konferenzprogramm der pro- tekt versammelt namhafte Referenten, die sich aktuellen Themen und Best-Practice-Beispielen widmen, durch interaktive Workshops führen und ihr Fachwissen in Round-Table-Diskussionen teilen. (Foto: protekt) Der große Themenkomplex Cybersicherheit wird von verschiedenen Seiten beleuchtet. Die Konferenzeilnehmer lernen unter anderem Best Practices zur Erkennung und Abwehr von zielgerichteten Angriffen sowie im Vortrag von Harald Wenisch, Sprecher der Experts Group IT Security der Wirtschaftskammer Österreich, zur Forensik bei Großschadenslagen durch Cybercrime und Cyberwar kennen. Über neu­ este Methoden bei Spionage, Sabotage und Cyberangriffen informieren zwei Experten vom Wirtschaftsschutz in Niedersachsen und in Nordrhein­Westfalen. Außerdem steht unter anderem das Thema Fachkräftemangel in kriti­ schen Infrastrukturen im Fokus. In der begleitenden Ausstellung der protekt präsentieren acht Premiumpartner ihre Pro­ dukte und Dienstleistungen, die sich speziell an den Bedürfnissen kritischer Infrastrukturen orientieren. Vertreten sind unter anderem Myra Security als Spezialanbieter für digitale Sicher­ heit, der Beratungsdienstleister TTS Trusted Technologies and Solutions und das Deutsche Rote Kreuz (DRK). HOCHKARÄTIGE UNTER- STÜTZUNG DURCH SCHIRMHERREN, TRÄGER UND PARTNER Den hohen Stellenwert der protekt demons­ trieren ihre prominenten Unterstützer. Die Bun­ desministerin des Innern und für Heimat, Nancy Faeser, und Thomas Popp, Sächsischer Staats­ sekretär für Digitale Verwaltung und Verwal­ tungsmodernisierung, Mitglied der Sächsischen Staatsregierung, haben die Schirmherrschaf­ ten übernommen. Staatssekretär Popp und ein Vertreter des BMI wollen die protekt am ersten Veranstaltungstag mit Keynotes bereichern. Unterstützt wird die protekt von einem kom­ petenten Partnernetzwerk. Als ideelle Träger fungieren der Bundesverband für den Schutz Kritischer Infrastrukturen (BSKI), der Verband für Sicherheitstechnik (VfS), der Bundesver­ band Allianz für Sicherheit in der Wirtschaft (ASW) und der Fachinformationsdienstleister DATAKONTEXT GmbH. n S.M. NAMHAFTE EXPERTEN, AKTUELLE THEMEN UND BEGLEITENDE AUSSTELLUNG Das hochkarätige Konferenzprogramm der protekt versammelt namhafte Referenten, die sich aktuellen Themen und Best­Practice­Bei­ spielen widmen, durch interaktive Workshops führen und ihr Fachwissen in Round­Table­Dis­ kussionen teilen. Themenübergreifende Plenar­ vorträge gehen Hand in Hand mit vertiefenden Vorträgen in den parallelen Tracks IT­Sicherheit und physischer Schutz. Mit Spannung erwartet wird die Keynote von Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er wird interessante Einblicke in die Rolle des BSI bei der Cybersicherheit kritischer Infra­ strukturen liefern. Über „Resiliente Infrastruk­ turen in Zeiten von Krisen und Katastrophen“ berichtet Christian Reuter, Generalsekretär und Vorstands vorsitzender des Deutschen Roten Kreuzes (DRK). Der zweite Konferenztag be­ ginnt im Podium mit einem Round­Table nam­ hafter Experten zum brisanten Thema Versor­ gungssicherheit. Im Anschluss erläutert Prof. Dr. Marcus Wiens von der Technischen Universität Bergakademie Freiberg in seinem Vortrag, wie eine Lebensmittelnotversorgung durch öffent­ lich­private Partnerschaft gelingen kann. 2. – 3.11.2022 kritis. ihr sicherheits- update. je t z t bequem on l ine kon fe ren z - t i cke t bu chen ! www.protekt.de Bilder: phonlamaiphoto - stock.adobe.com (li.); anttoniart - stock.adobe.com (re.)

AUS DER SZENE Ein wichtiges Qualitätsmerkmal von künstlicher Intelligenz (KI) ist deren Sicherheit – zum einen die Sicherheit vor Missbrauch und Schutz der Daten (Security), aber vor allem auch der Schutz der Menschen, die mit dem System interagieren (Safety). Die Forscherinnen und Forscher des Fraunhofer IKS bieten verschiedene Ansatz- punkte zur Absicherung Ihrer KI-Lösung. Für den Einsatz in Fahrzeugen oder in der Industrie ist es besonders relevant, Sicherheit mit Wirtschaftlichkeit zu verbinden. In einer 2020 veröffentlichten Studie be­ fragte der Verband der TÜV e.V. Personen zu ihren Sorgen im Zusammenhang mit künstlicher Intelligenz. Bedenken, dass KI in sicherheitskritischen Anwendungsfällen Fehler machen könnte, wurden von 67 Prozent der Befragten geäußert. 85 Prozent der Befragten sind der Meinung, KI­basierte Produkte sollten erst auf den Markt gebracht werden dürfen, wenn eine herstellerunabhängige Stelle deren Sicherheit überprüft hat. Die Autoren empfehlen daher, KI­Anwendungen nach Sicherheitsrisiko zu priorisieren und sicherheitskritische Produkte wiederkehrend zu prüfen. WARUM NEUE METHODEN ZUR ABSICHERUNG VON KI NÖTIG SIND Im Unterschied zu klassischen Algorithmen besteht bei KI­Anwendungen allerdings das Problem, dass die einzelnen Lernschritte nicht von Menschen interpretiert werden können. Da der Entscheidungsweg der KI undurchsichtig ist, kann die Sicherheit und Zuverlässigkeit der KI bisher nicht ohne Weiteres bewertet werden. Diese Nachvollziehbarkeit ist aber notwendig, um Unsicherheiten der KI messbar zu machen und daraufhin dynamische Sicherheitsmecha­ nismen zu entwerfen. Ziel des Fraunhofer IKS ist es, kognitive Systeme sicherheitsbewusst zu machen. Über eine adaptive, erweiterte Software architektur werden Fehler der KI ab­ gefangen, damit die KI Menschen nicht gefähr­ den kann. Ein weiteres Forschungsziel unter dem Schlag­ wort „Explainable AI“ ist es, neuronale Netze selbst nachvollziehbar zu konzipieren. Dies ist eine Grundvoraussetzung für die Absicherung und Zertifizierung von KI­Systemen. Zudem muss das System lernen können, wie es mit gefährlichen Situationen, unklaren Sensordaten oder Fehlverhalten umgeht. Durch die umfas­ sende Absicherung der KI entstehen sichere und gleichzeitig leistungsstarke kognitive Systeme: safe AI ZUVERLÄSSIGE MASCHI- NELLE WAHRNEHMUNG BEIM AUTONOMEN FAHREN Um in Zukunft autonom fahren zu können, müs­ sen Fahrzeuge in der Lage sein, ihre Umgebung zu erkennen, treffsicher zu interpretieren und daraufhin ihre Handlungen zu optimieren. Das ist nur mit KI­Algorithmen möglich. Bisher ist aber das maschinelle Sehen (Perzeption oder Computer Vision) der KI noch nicht so verlässlich, dass es für den Einsatz in autonomen Fahrzeu­ gen auf öffentlichen Straßen geeignet ist. FRAUNHOFER IKS SAFE AI: UNSICHERHEITEN SICHT- BAR MACHEN Zunächst müssen daher Wege gefunden wer­ den, Unsicherheiten der künstlichen Intelligenz quantifizierbar zu machen, um das Verhalten der KI sinnvoll bewerten zu können. Das Fraunhofer­ Institut für Kognitive Systeme IKS arbeitet daran, nachweisbar verlässliche Systeme zu schaffen, indem es Unsicherheiten der KI zunächst einen interpretierbaren Wert zuweist und sichtbar macht. So kann die bisher intransparente Klassi­ fizierung der künstlichen Intelligenz beherrsch­ bar werden. Nur mit dieser Transparenz können passende und flexible Sicherheitskonzepte ent­ worfen werden, um mit den Unsicherheiten der KI umzugehen. Monitoring Ein Ansatz des Fraunhofer IKS ist es, künstliche Intelligenz um eine erweiterte Softwarearchi­ tektur zu ergänzen. Diese überwacht die KI und prüft die getroffenen Entscheidungen auf Plausibilität. Dieses Monitoring funktioniert über klassische Software, welche mit bewähr­ ten Safety­Methoden beherrscht und überprüft werden kann. Dynamisches Safety-Management Gleichzeitig wird der KI durch den Ansatz des dy­ namischen Safety­Managements mehr Freiraum gegeben als durch klassische Safety­Ansätze, die immer vom Worst­Case­Szenario ausgehen. So können die Vorteile der schnellen Datenverar­ beitung durch maschinelles Lernen genutzt und gleichzeitig mögliche Fehlentscheidungen abge­ fangen werden. Das ist für die Verwendung von kognitiven Systemen in sicherheitskritischen An­ wendungen relevant. Ein typisches Beispiel ist, wenn – wie beim autonomen Fahren – durch Fehlentscheidungen der KI Menschenleben ge­ fährdet wären. Continuous Deployment Kognitive Systeme müssen auf dem Feld ler­ nen können, denn so kann das System neu kennengelernte Situationen wiedererkennen und passend handeln. Das kann allerdings nicht durch lernende Algorithmen geschehen, da sonst wieder Undurchsichtigkeit entstünde. Das Continuous Deployment ist daher ein wichti­ ger Bestandteil des Absicherungskonzepts des Fraunhofer IKS. Das System muss regelmäßig aktualisiert werden, um neuentdeckte Sicher­ heitslücken schnell zu schließen und den Funkti­ onsumfang zu erweitern. Modulare Architekturen Als wichtigen zusätzlichen Schritt der Absiche­ rung entwickelt das Fraunhofer IKS modulare Ar­ chitekturen. Durch eine modulare Safety­Archi­ tektur aus individuellen Blöcken ist eine schnelle und unkomplizierte Erweiterung des Systems möglich. So können die Ergebnisse der Safety­ Analysen kostensparend implementiert werden, indem nur wenige Module ersetzt werden. n FRAUNHOFER IKS/S.M. IT-SICHERHEIT_5/2022 15 Bild: Noah 9000 - stock.adobe.com

LATENZEN DURCH ALGO- RITHMEN UND NEUE MOBIL FUNKTECHNOLOGIE MINIMIEREN Das ist nicht trivial: Denn der digitale Zwilling muss wissen, wo genau sich das Fahrzeug be­ findet, in das die Informationen der Sensorstati­ onen per Funk übertragen werden sollen. Damit das gelingt, setzt Projektpartner Valeo auf ein so­ genanntes IMU­GNSS­System (kurz für: Inertial Measurement Unit – Global Navigation Satellite System), bestehend aus einer Messeinheit und einem Satellitennavigationssystem sowie einem Realtime­Kinematik­Kit. „So schaffen wir ein Koordinatensystem in Echtzeit, das zentimeter­ genau ist“, erläutert Valeo­Experte Schrepfer. Damit nun die Informationen aus den Fahrzeu­ gen und den Messstationen des digitalen Zwil­ lings synchronisiert werden können, nutzen die Forschenden den UTC­Standard, welcher eine einheitliche Zeitbasis liefert. Idealerweise würde sich das digitale Abbild wie eine zweite Schicht über die Perspektive des Autos legen. Allerdings lassen sich Verzögerungen (Latenzen) im Gesamtsystem nicht ganz vermeiden. Von der physikalischen Aufnahme der Sensoren über die Weiterverarbeitung der Daten und Übertragung ins Fahrzeug vergeht Zeit. Daten werden ver­ packt, codiert, versendet und im Auto wieder de­ codiert. Hinzu kommen weitere Randbedingun­ gen, die eine Rolle spielen, etwa wie weit das Fahrzeug vom Sendemast auf der Teststrecke entfernt ist und wie belegt das Übertragungs­ Über einen Mobilfunkmast an der Autobahn A9 werden die Daten des digitalen Zwillings verteilt. (Foto: Stefan Woidig/TUM) AUS DER SZENE Mit dem digitalen Echtzeitzwilling haben die Voraussetzung dafür geschaffen, die Sicht des Fahrzeugs durch eine externe Sicht aus der Vogel- perspektive zu ergänzen“ PROF. ALOIS KNOLL, Technische Universität München. (Foto: Stefan Woidig/TUM) netz ist. In einer Demonstrationsfahrt arbeitete Valeo kürzlich mit LTE (4G)­Funkgeschwindig­ keit, was eine Verzögerung von 100 bis 400 Mil­ lisekunden verursachte. „Ganz vermeiden lassen werden sich diese Latenzen nie, allerdings hilft uns hier eine intelligente Algorithmik“, erläutert Schrepfer: „Noch besser wird das Ergebnis sein, wenn künftig die Funktechnologien 5G oder 6G flächendeckend im Einsatz sind.“ PROTOTYP VON DIGITALEM ECHTZEITZWILLING VER- FÜGBAR Die Voraussetzung dafür, dass diese Daten nun im Fahrzeug genutzt werden können, wurde im Forschungsprojekt Providentia++ gelegt. Ziel war es, einen digitalen Zwilling des Verkehrs zu erzeugen, der echtzeitfähig, skalierbar und hochverfügbar ist. Dafür baute das Forscherteam eine 3,5 Kilometer lange Teststrecke in Garching bei München, bestehend aus sieben Sensorstati­ onen. Der Prototyp wurde so entwickelt, dass er künftig bei Bedarf in Serie einsetzbar ist: ƒ Die Forschenden arbeiten mit dezentralen di­ gitalen Zwillingen, wodurch eine Teststrecke beliebig verlängert beziehungsweise skaliert werden kann. ƒ Um Datenmengen von mehreren Gigabyte pro Sekunde bewältigen zu können, entstand ein Datenverarbeitungskonzept, das die Leis­ tungen der Rechenkernen (CPUs) und Grafik­ karten (GPUs) optimal untereinander aufteilte. ƒ Als besondere softwaretechnische Heraus­ forderungen stellten sich die Sensorkali­ brierung und die Entwicklung der Tracking­ Algorithmen heraus. Eine entsprechende Software gab es noch nicht. „Wir haben nun ein automatisches Kalibrierungsverfahren anhand einer hochauflösenden Straßenkarte (HD­Karte) im Einsatz, das es noch nicht gab und von uns entwickelt wurde“, erläutert der technische Projektleiter Venkatnarayanan Lakshminarashiman aus dem Lehrstuhl für Robotik, künstliche Intelligenz und Echtzeit­ systeme der TUM. Der Leiter des Konsortiums Prof. Alois Knoll von der TUM zieht ein ausgesprochen positives Resü­ mee: „Der digitale Zwilling ist reif für die sich an­ schließende konkrete Produktentwicklung, läuft zuverlässig im 24/7­Betrieb und steht nicht nur auf der Autobahn, sondern auch für Landstraßen und im Kreuzungsbereich zur Verfügung.“ n S.M. IT-SICHERHEIT_5/2022 17

TITEL INTERVIEW Einerseits nehmen Cyberangriffe auf Unternehmen weiter zu, andererseits wollen Mitarbeitende möglichst einfach, nahtlos und komfortabel arbeiten – ob im Büro, im Homeoffice oder von unterwegs. Wie IT-Security-Abteilungen diesen Spagat mana- gen, verrät Tobias Becker, SaaS Sales Leader für die DACH-Region beim Sicherheits- experten LastPass, im Interview. IT-SICHERHEIT_5/2022 19 ITS: Die Zahl der Cyberangriffe auf Unternehmen steigt, das ist wohl eine Tatsache. Wie ist Ihre aktuelle Einschätzung diesbe-züglich? Tobias Becker: Da haben Sie recht. Die Zahl der Angriffe auf Unternehmen, Behörden und Institutionen steigt tatsächlich. Das ist zum einen einer steigenden kriminellen Energie geschul-det, andererseits aber auch den neuen Angriffsflächen, die Un-ternehmen bieten. Nehmen Sie nur Mobility, Cloud, Internet of Things. Unsere IT-Landschaften werden immer komplexer und verändern sich durch neue Nutzer, Dienste und Geräte. Dazu kommen virtu-elle und software-definierte Infrastrukturen. Daraus entstehen eben auch neue Risiken und das verlangt von den jeweiligen Organisationen, die IT-Security anpassungs- und zukunftsfähig zu gestalten. ITS: Wie zeigt sich das in der Praxis?Tobias Becker: Nun, in einer International Data Group Studie haben 66 Prozent der befragten IT-Manager angegeben, gerade auch im Homeoffice seien die Mitarbeitenden zunehmenden Cyberrisiken ausgesetzt. 31 Prozent konstatierten sogar, die Beschäftigten arbeiteten zu Hause mit ungeschützten Geräten. Angesichts dessen ist es klar, dass die IT-Helpdesks immer mehr Probleme haben, die Mitarbeitenden zu schützen.ITS: Also mehr und dickere Bollwerke? Da werden Unternehmen doch zu wahren Festungen?Tobias Becker: Nein, „intelligentere Lösungen“ sollte man sa-gen. Alles in allem müssen wir zwei Dinge gleichzeitig meistern: Durch das neue „Work-from-Anywhere“ den Zugang der User zu ihren Ressourcen erleichtern und andererseits die Cyberrisiken minimieren. Das ist ein Prozess, an dem alle Beteiligten mitar-beiten. ITS: Intelligentere Lösungen – wie ist das zu verstehen?Tobias Becker: Der wichtigste Schritt ist zunächst, das Sicher-heitsbewusstsein zu erhöhen. Egal, ob Mitarbeitende zu Hause oder im Büro arbeiten, ihnen muss klar sein, welche Gefahren von böswilligen Hackern ausgehen und welche Schritte und vladgrin - stock.adobe.comTools zur Bekämpfung eingesetzt werden können. Wichtig ist dabei, dass die Mitarbeitenden nicht nur entsprechend geschult werden, sondern dass das Thema Sicherheit fest in der Kultur der Organisation verankert ist. Nur so können IT-Manager si-cherstellen, dass sich ihre User während der gesamten Arbeits-zeit vorsichtig verhalten und keine Sicherheitspannen durch Leichtsinnsfehler entstehen.ITS: Und dann kommt Passwort-Management ins Spiel ...?Tobias Becker: Ja, einer der wirklich robusten Schritte in Sachen IT-Sicherheit ist ein starkes Passwort-Management. Schwache Passwörter zählen noch immer in vielen Organi-sationen zu den größten Sicherheitslücken, denn sie sind ein einfaches Einfallstor für Hacker. Viele Mitarbeitende verwen-den dasselbe, unsichere Passwort über verschiedene Anwen-dungen hinweg. Und am beliebtesten ist leider noch immer das berüchtigte „123456“. Deshalb müssen Organisationen Kontrolle über die Passwort-Verwendung durch Mitarbeitende haben, um einen Verstoß rechtzeitig zu verhindern aber gleichzeitig keine Mehrarbeit für die Nutzer zu verursachen. Dafür gibt es zahl-reiche Lösungen.

TITEL Worauf sich Unternehmen in Sachen Authentifizierung und Passwortmanagement einstellen müssen Sieben Punkte für die IT-Sicherheit 2022/23 Was sind derzeit die interessanten Themen in der IT-Sicherheit? Mit welchen Herausforderungen in Sachen Authentifizierung und Passwortmanagement müssen Unternehmen rechnen? In sieben Punkten spannen Sicherheitsexperten den Bogen vom Sicherheitsbewusstsein der Mitarbeitenden bis zur nahen Zukunft mit künstlicher Intelligenz (KI) und Machine Learning. Vor allem aber wird deutlich: IT-Sicherheit ist ein permanenter Prozess. W ährend Unternehmen im Kontext von Cloud Services, Hybrid-Arbeit oder Internet of Things (IoT) immer komplexere IT-Struktu- ren aufbauen, wächst zugleich auch das Sicherheitsbedürfnis in diesem Zusammenhang, denn die Zahl der Cyberangriffe steigt weiterhin beträchtlich – und das wird wohl auch so bleiben. Doch worauf genau kommt es jetzt an? 1. NAHTLOSE NUTZERERLEBNISSE Die Praxis in der IT-Sicherheit zeigt, dass eine wichtige Heraus- forderung für Sicherheitsexperten darin besteht, eine angeneh- me Nutzererfahrung für die Mitarbeitenden mit voller Kontrolle für die IT-Abteilung zu verbinden. Mit anderen Worten: Sicher- heit muss gegeben sein, darf aber nicht die Produktivität der IT-SICHERHEIT_5/2022 21 tete_escape - stock.adobe.com

CYBERSICHERHEIT Hacker tarnen die Herkunft ihrer illegitimen Anfragen und ihrer C&C-Kommunikation. (Quelle: ForeNova) KÜNSTLICHE INTELLIGENZ ERKENNT HINWEISE AUF EINEN ANGRIFF IM NETZVERKEHR Alle diese Aktivitäten hinterlassen Spuren im Datenverkehr. Eine Network Detection and Res­ ponse (NDR) erkennt die von der Norm abwei­ chenden Muster durch einen anomalen Netzver­ kehr schon zu einem frühen Zeitpunkt. Einmal eingerichtet, hat sie mithilfe von maschinellem Lernen und künstlicher Intelligenz den gesam­ ten internen und externen Netzwerkverkehr gescannt und den legitimen Normalzustand der Datenübertragung definiert. Danach erkennt sie automatisch, wenn der Datenverkehr von übli­ chen und damit in der Regel legitimen Mustern abweicht, etwa durch: ƒ Unbekannte Teilnehmer Logfiles protokollieren die Interaktion mit den unbekannten Servern der Initial Access Broker. ƒ Unklare Herkunft Hacker verbergen die verräterische Herkunft ihres Command­and­Control­Servers. In ei­ nem ersten Schritt agieren sie von einer ge­ kaperten legitimen Domain und lenken dann die Antwort des angegriffenen Endpunkts auf eine bösartige IP­Adresse um. Bei kom­ plexen Attacken generieren sie selbst per KI und Algorithmen zahlreiche Zufallsdomänen als Ziel adressen, die alle auf die eigentliche Hacker­IP verweisen. Die Malware wechselt in ihrer Kommunikation zwischen diesen Domä­ nen, um unentdeckt zu bleiben. ƒ Verschlüsselung ƒ Datenabfluss C&C­Server und von ihnen in Beschlag ge­ nommene Systeme senden ihre Daten ver­ schlüsselt, damit Sicherheitsaudits sie nicht erkennen. Ein lang andauernder, weil ver­ schlüsselter Datenfluss zeichnet sich durch die Metadaten zum Datenverkehr aus. ƒ Brute-Force-Attacken Angreifer probieren eine hohe Anzahl von Nutzernamen und Passwort­Kombinationen durch, um Zugriffsrechte zu erlangen. Intel­ ligentere Attacken der IABs tarnen ihr Vorge­ hen, indem sie die Log­Versuche senken oder Angriffe verteilt durchführen. Diese Muster erkennt die KI ebenso wie die typischerweise kurze Dauer einer erratischen Zugriff­Session, die Protokolle und die Kommunikation des Brute­Force­Tools mit dem C&C­Server. ƒ Verdächtige Bewegungen im Netz Legitime Nutzer und Applikationen kennen sich im System aus und bewegen sich gezielt dorthin, wo sie hinwollen. Ein Datenmanager, der nach wertvollen Daten oder zugleich nach zu verschlüsselnden Backups sucht, geht oft mehrere Endpunkte nacheinander ab. Oder er springt erratisch von System zu System. ƒ Atypische Zugriffszeiten, -orte, und -häufigkeiten Wer in den Morgenstunden etwa mit einer ungewöhnlichen IP auf ein System zugreift, ist vielleicht ein Hacker. KI erkennt die Lesevorgänge, Exporte oder Kopien der böswilligen Datenmanager durch den erhöhten Datendurchsatz, den solche Prozesse verursachen. KI UND MENSCHLICHE INTELLIGENZ IN KOMBINATION Die KI erkennt Anomalien auf der Basis einmal erhobener und durch Machine Learning stän­ dig kontrollierter und optimierter statistischer Werte. Doch selbst ein feinkörniges Modell des Netzverkehrs kann zu Fehlalarmen führen und analysiert nicht die weitergehenden Absichten der Kill­Chain­Mitglieder. Schon das einfache Beispiel der unbekannten IP­Adresse zeigt, dass eine KI die Expertise von Sicherheitsexperten und das Unternehmenswis­ sen von IT­Administratoren benötigt. Ein Part­ ner, eine neue Niederlassung oder ein Mitarbei­ ter im Homeoffice beziehungsweise auf Reisen erklärt und legitimiert nämlich eine auf den ers­ ten Blick ungewöhnliche IP­Adresse aus einem anderen geografischen Raum. Ein IT­Administ­ rator, der über das notwendige Unternehmens­ wissen verfügt, und der von ihm informierte Si­ cherheitsexperte können daher einen atypischen oder neuen, aber legitimierten Nutzerzugriff vom Hackerangriff unterscheiden. Sie berücksichtigen bei der Analyse der Zugriffe auch Informationen, die im Netzverkehr nicht sichtbar sind – wie etwa zum neuen Standort IT-SICHERHEIT_5/2022 25

HZ212318 · ISSN 1868-5757 · www.datakontext.com Oktober/November 5/2022 Wieder auf Wachstumskurs: it-sa 2022 erwartet mehr als 600 Aussteller Das „Home of Security“ bringt Unternehmen, Verbände und Organisationen aus dem Bereich der Cybersicherheit im Messe­ zentrum Nürnberg zusammen. Orientierung: Was Sie wo auf der it-sa erwartet Trends: Welche technologischen Trends Sie auf dem Schirm haben sollten Markt: Welche Anbieter/Aussteller Sie ansprechen können

28 Editorial 30 it-sa 2022, Nürnberg ausgebucht Das „Home of Security“ erwartet mehr als 600 Aussteller 32 Warum moderne App-Infrastrukturen neue Sicherheitsansätze fordern Microservice-, Container- und (Multi-) Cloud-gerechte Security 36 Welche Technologien und Trends die IT-Security aktuell bestimmen Reifeprüfung für die Sicherheit 42 Starkes Interesse an EDR, Zero Trust und Made in EU it-sa 2022: Drei aktuelle Trends bestimmen die IT-Security 46 Wie Managed Detection and Response (MDR) vor komplexen Bedrohungen schützt Gut gewappnet gegen fortschrittliche Angriffe 48 Interview: Vorausschauend statt reaktiv im Kampf gegen Cyberangriffe Threat Intelligence ist mehr als nur ein Buzzword 50 Interview: Eindeutige Bewertungs- kriterien für eine sichere Digitalisierung Cybersicherheit muss auf den Prüfstand! 52 Warum Managed Service Provider auch IT-Sicherheit anbieten sollten Outsourcing als Strategie gegen komplexe Security 54 PKI, Kryptologie, X.509-Zertifikate und Cybersicherheit Warum Vertrauens bildung ein Update braucht Inhalt Anbieter 56 IT-Sicherheit neu gedacht – integrierte Cyber Protection Daten mit einer einzigen Lösung vor allen Bedrohungen schützen 58 Security Awareness als Schutzschild gegen Cyberangriffe 60 PKI, Kryptologie, X.509-Zertifikate und Cybersicherheit 62 Endpoint Detection and Response erreicht den Mittelstand ESET kommt Hackern und Schwachstellen frühzeitig auf die Spur 64 Cybersecurity-Expertise von macmon secure auf der it-sa: Stand 224, Halle 7 Zero Trust Network Access – Übersicht und Kontrolle lokaler Netzwerke und Cloud-Infrastrukturen 66 So gelingt Unternehmen die Workflow-Automatisierung des E-Mail-Verkehrs 68 Managed Detection and Response: r-tec vereint modernste Technik mit Expertenwissen SPECIAL_5/2022 IT­SA 2022 29

zu schaffen, die das weitere Wachstum des IT-Sicherheits- marktes fördern. So forderte Luigi Rebuffi, Generalsekretär der European Cyber Security Organisation, die Stärkung des Cybersicherheitssektors im europäischen Wirtschaftsraum. Der Markt für IT-Sicherheit in Europa leide im internationa- len Vergleich unter einer Finanzierungslücke von mehr als vier Milliarden Euro jährlich. Rahmenprogramm it-sa Expo&Congress 2022 Während der it-sa Expo&Congress 2022 erwartet die Teil- nehmer ein vielfältiges Informationsangebot. Das frei zu- gängliche Vortragsprogramm mit Expertenbeiträgen zu ak- tuellen Sicherheitsthemen aus den Bereichen Technik und Management und die produktneutralen Beiträge und Diskus- sionsrunden aus der Reihe it-sa insights bringen das neueste Fachwissen der Branche nach Nürnberg. Zusätzlich bietet das Kongressprogramm Congress@it-sa ab dem 24. Oktober in Ko- operation mit namhaften Verbänden und Organisationen ei- nen intensiven Austausch zu aktuellen Themen der IT-Security. Der begleitende Congress@it-sa bietet intensive Wis- sensvermittlung und vertiefte fachliche Diskussionen mit Verbänden, Branchenvereinigungen und Anbietern von IT- Security-Lösungen. Abseits des Messetrubels ein perfekter Rahmen für Know-how aus erster Hand und intensive Dia- loge mit Experten. Das Kongressprogramm mit hochrangi- ger Beteiligung findet im im NCC Ost statt und startet bereits am 24. Oktober 2022. Auch die offenen Vortragsbühnen sind ein regelmäßiger Besuchermagnet. An drei Messetagen findet ein attraktives Nonstop-Programm in den Fachforen der it-sa statt. Aussteller und Partnerverbände der it-sa zeigen in den Fachvorträgen, Studienanalysen und Diskussionen, wohin die Reise in der IT- Sicherheit geht. In den it-sa insights geben Experten produkt- Bilder: itsa 2021-Eindrücke (Fotos: Stefan Mutschler) it-sa Expo&Congress – ÜBERBLICK Veranstaltungsort: Messezentrum Nürnberg Veranstaltungstermin: Dienstag, 25., bis Donnerstag, 27. Oktober 2022 Öffnungszeiten it-sa Expo Dienstag, 25. Oktober 2022: 09:00–18:00 Uhr Mittwoch, 26. Oktober 2022: 09:00–18:00 Uhr Donnerstag, 27. Oktober 2022: 09:00–17:00 Uhr Congress@it-sa Montag, 24., bis Donnerstag, 27. Oktober 2022 SPECIAL_5/2022 IT­SA 2022 31 neutrale aktuelle Einblicke in Branchen, Trends, Rechtsfragen und Spezialthemen. Mit Startups@it-sa bietet die it-sa jungen internationalen IT-Security-Unternehmen auch in den Foren eine Plattform, sich den Fachbesuchern zu präsentieren. nS.M.

analysiert den eingehenden Datenverkehr. Ein WAAP konzen- triert sich nur auf die Anwendungsschicht. Warum die Identität zunehmend in den Mittelpunkt rückt Der große Vorteil von Virtual Patching und WAAP: Sicher- heitslücken werden zentral und vor allem schnell beseitigt – ohne dass sofort die gesamte Web-App geprüft und umge- schrieben werden muss, getreu dem Motto „Secure now, fix later“. Eine klassische Web Application Firewall (WAF) reicht dafür heute nicht mehr: Auch APIs und Microservices müs- sen geschützt werden und das nicht nur On-premises, son- dern auch in verteilten Cloud-Umgebungen. Durch die Herausforderungen von diesen stark verteil- ten Systemen mit Multicloud-Ansätzen in heterogenen Ar- chitekturen wurde auch Zero Trust zur neuen Pflicht: Damit rückt die Identität stärker in den Mittelpunkt der Application- und API-Security. Denn wenn es um Sicherheitsentscheidun- gen geht, steht fast immer die Identität im Zentrum. Der Satz „Identität ist der neue Perimeter“ wurde zum neuen Security- Paradigma. Security in die Entwicklungsprozesse einbinden Nutzer, ob Mitarbeiter, Lieferanten, Kunden etc., greifen auf Hunderte Micro Services zu, die über unterschiedliche Stand- orte verteilt sind. Sie alle kommen mit verschiedenen Rollen ins Netzwerk, während Software gerade entwickelt, ausgerollt oder schon produktiv geschaltet ist. Die IT-Landschaft ändert sich also ständig. In einem solch dynamischen Szenario ist es nicht zielführend, am Ende noch kurz die Security anzuschau- en. Es ist wichtig, dass auch Security agil wird. Agile Sicherheit bedeutet, dass es klare Prozesse gibt. Das wiederum bedeu- tet beispielsweise, dass standardmäßig automatisierte Tests durchgeführt werden. Ein weiterer wichtiger Aspekt von Agi- le Security ist Security by Design: Entscheidend ist, Security be- reits beim Design zu berücksichtigen, kontinuierlich weiterzu- entwickeln und damit ein Shift-Left der Security zu vollziehen. Die gesamte Infrastruktur muss regelmäßig nach Schwach- stellen durchsucht werden. Das vielleicht Wichtigste ist jedoch, schnell auf Fehler, neue Bedrohungen und neue Erkenntnisse reagieren zu können. In einem agilen Unternehmen arbeiten Entwicklung und Betrieb als ein Team zusammen (DevOps). Wo – wie dringend zu empfehlen – auch agile Security inte- griert ist, handelt es sich um ein DevSecOps-Team. Hier wird die Sicherheit bereits in der Entwicklung integriert. Microga- teways können als eine Art kleine WAAP direkt den jeweiligen Container absichern und schon während der Entwicklung und des Testens eingesetzt werden. Die anwendungsspezifischen Sicherheitsregeln werden dabei vom Entwickler definiert. DevSecOps: Ein wichtiger Aspekt von Agile Security ist Security by De- sign: Entscheidend ist, Security bereits beim Design zu berücksichti- gen, kontinuierlich weiterzuentwickeln und damit ein Shift-Left der Security zu vollziehen. Identität schafft Vertrauen, auch in der digitalen Welt. Viele Security-Entscheidungen setzen voraus, dass der Be- nutzer vertrauenswürdig ist und seine Identität mittels Au- thentifizierung bestätigt ist. Um beispielsweise zu entschei- den, welche Berechtigungen ein Benutzer erhält, muss zuerst seine Identität geklärt werden. Langwierige und komplexe Authentifizierungsprozesse sind dabei jedoch kontraproduk- tiv. Die Authentifizierung muss vielmehr benutzerfreundlich in etablierte Prozesse integriert werden. Wie die Praxis zeigt, werden Nutzer ansonsten sehr kreativ, zu hohe Sicherheits- anforderungen zu umschiffen. Zur Lösung dieser Spannung – Sicherheit versus Benutzerfreundlichkeit – haben sich risi- kobasierte Authentifizierungsverfahren bewährt. Risikobasierte Authentifizierung Vertrauen ist nicht binär: Zwischen blindem Vertrauen und totalem Misstrauen gibt es beliebig viele Zwischenstu- fen. Welches Vertrauensniveau für einen digitalen Zugriff ef- fektiv notwendig ist, hängt von der Risiko-Empfindlichkeit ab. Der Zugriff auf besonders sensible Daten setzt ein höheres Vertrauen voraus als der Download eines öffentlichen Doku- ments von der Webseite. Bei der risikobasierten Authentifi- zierung (RBA) wird das Vertrauensniveau in die Entscheidung über die Häufigkeit und Stärke des Log-ins mit einbezogen. Statt also bei jedem Log-in einen zweiten oder gar dritten Faktor vom Benutzer einzufordern, wird der Kontext eines Zugriffs analysiert und mit vergangenen Sitzungen desselben Nutzers verglichen. Dabei wird berücksichtigt, in welchem Netz sich ein Benutzer befindet, von wo er sich einloggt oder welchen Browser er nutzt. Wenn sich zum Beispiel ein Benut- zer von seinem gewohnten Arbeitsplatz im Intranet oder aus seinem Homeoffice anmelden möchte, kann auf den zweiten Faktor verzichtet werden. Mittels der Remember-Me-Funkti- on wird zudem die Benutzeridentität im Browser hinterlegt und bei künftigen Anmeldungen wiederverwendet. Continuous Adaptive Trust Vertrauen ist allerdings nicht konstant über die Zeit. Auch ein Vertrauensverlust zwischen zwei Menschen kommt oft schleichend. Das Vertrauen in eine Person kann sich ändern, wenn sich diese unerwartet oder verdächtig verhält. Auch in der digitalen Welt sollte das Vertrauen nicht nur beim Log-in beurteilt werden. Stattdessen muss das Verhalten eines Be- nutzers analysiert und das Vertrauen bei Bedarf angepasst werden. So wird bei längerer Inaktivität oder unüblichem SPECIAL_5/2022 IT­SA 2022 33

HZ212318 · ISSN 1868-5757 · www.datakontext.com Oktober/November 5/2022 Technologietrends: Reifeprüfung für die Sicherheit . . m o c e b o d a k c o t s - n a m e a Z l OT- und IoT- Cyber Security: Immer bedeutsamer für die Produktionsbranche Ganzheitliche Endpoint Protection Platformen (EPP): Ideal als Managed Services Hochspezialisierte Cyber- Security-Dienstleistungen: Incident Response, Aufbau von Frühwarn- systemen sowie Sicherheitsoptimierung durch Angriffssimulationen

ƒ Endpoint Detection und Response (EDR) Endgeräteforensik in Verbindung mit signaturbasie- renden Endgerätesicherheitslösungen (klassischer AV- Schutz) mit der Möglichkeit, verseuchte Endgeräte in die Quarantäne zu schicken. Unternehmen, die sich auf ihre Kernkompetenzen kon- zentrieren möchten und nicht auf technische Cybersecurity- Experten zugreifen können, bedienen sich Managed Detec- tion und Response (MDR) Services. MDR-Services vereinigen menschliche Cybersecurity-Expertise mit Cybersecurity- Technologien. Es geht dabei um Vorfall-Reaktions-Dienstlei- tungen (Incident Response, kurz IR) mit oder für bestimmte XDR-Technologien. In der Praxis gibt es MDR in zwei Ausprägungen: 1. MDR mit Incident Response für den eigenen XDR-Stack 2. MDR mit Incident Response einschließlich eines ex- ternen XDR-Stacks des Incident-Response-Anbieters. Sollte es keinen eigenen XDR-Stack, geben, kommt aus- schließlich diese Variante in Frage. Da mittelständische Unternehmen in der Regel keinen nennenswerten XDR-Stack haben, überwiegen hier MDR- Projekte mit Incident Response einschließlich eines externen XDR-Stacks. Managed Endpoint Protection Services Vor allem kleinere und mittlere Unternehmen greifen ver- mehrt auf Managed Endpoint Protection Services, um die IT- Gesamtkosten zu senken und die IT-Ressourcen zu optimie- ren, ohne dabei auf einen hohen IT-Grundschutz verzichten zu müssen. Konsolidierung von verschiedenen IT­Sicherheitstechnologien Aus den verschiedensten Gründen gibt es immer noch Un- ternehmen, die IT-Sicherheitstechnologien verschiedener An- bieter auf einem Endgerät nutzen. Bei der Analyse der einge- setzten IT-Sicherheitslösungen auf einem Endgerät lassen sich in der Regel drei der folgenden Lösungen finden: 1. Anwendungskontrolle 2. Endgeräteforensik (Endpoint Detection und Response) 3. Patchmanagement 4. Schnittstellenkontrolle 5. Schutz vor Malware (signaturbasiert) 6. Schwachstellenmanagement 7. Verhinderung von Datenklau (Data Leakage/ Loss Prevention) 8. Verschlüsselung von Daten Durch die Konsolidierung aller Funktionalitäten in eine ganzheitliche und zentral verwaltbare Plattform lassen sich Kosten sparen, das Trouble Shooting der Supportabteilung op- timieren und das Sicherheitsniveau verbessern. EXKURS: THREAT INTELLIGENCE Detection- und Response-Technologien können die Erken- nungs rate von Cyberbedrohungen durch den Einsatz von Threat Intelligence (TI) signifikant erhöhen. Unter Threat Intelligence versteht man Informationen über Cybersecurity-Bedrohungen und Gefährdungspotenziale. ƒ Eine Cybersecurity-Bedrohung ist zum Beispiel eine Website mit einem Spionagetrojaner oder eine Darknet- Information über einen geplanten Cyberangriff. ƒ Informationen über Schwachstellen oder Informationen über gefährdete Branchen für einen bestimmten Angriff sind Beispiele für Cyber-Security-Gefährdungspotenziale. Unternehmen vertrauen heute gern auf die Kombination von kostenfreier und kommerzieller Threat Intelligence. Bei der Nutzung von kommerzieller Threat Intelligence hat sich die Notwendigkeit herauskristallisiert, verschiedene Anbieter aus verschiedenen geografischen Regionen miteinander zusam- menzuführen. Ein Threat-Intelligence-Mix aus unterschiedlichen Anbietern aus dem Westen (USA), Europa und Asien (Singapur) ist das Fundament für Risikomanagement bei dieser Technolo- gie, denn nicht jeder Anbieter erkennt jede Bedrohung. Mit Digital Risk Protection (DRP) hat sich eine neue Lösungs- kategorie im Threat-Intelligence-Bereich etabliert. DRP beschäftigt sich mit Bedrohungen, die aus der Interaktion von Web und sozialen Medien entstehen können: ƒ Identifizierung und Validierung von relevanten und realen Bedrohungsinformationen im Darknet und in sozialen Medien ƒ Schutz vor betrügerischen Inhalten und Falschinformationen ƒ Schutz vor modernen Bedrohungen gegen eine bestimmte Marke (VIPs, Firmenbrands) Bei Identifizierung von relevanten Bedrohungsinformationen, betrügerischen Inhalten, Falschinformationen etc. können solche Inhalte mittels Take-Down-Services zum Schutz der Marke aus dem entsprechenden Forum entfernt werden. Threat-Intelligence-Plattformen (TIP) sorgen für eine effektive Nutzung durch Visualisierung, Priorisierung und Orchestrierung der verschiedenen Threat-Intelligence-Anbieter. Dem Einsatz von Threat-Intelligence-Technologien werden sehr große Marktpotenziale zugesprochen. Sie sind eine wichtige Grundlage für den Aufbau von Cybersecurity-Frühwarnsystemen. SPECIAL_5/2022 IT­SA 2022 37 ) . e r ( . . m o c e b o d a k c o t s - o d u t S i l t e n a P e u B l ; ) . i l ( . m o c e b o d a k c o t s - e f i l i . I g D : r e d l i B

EXKURS: IDENTITY RISK ASSESSMENT Durch einen Hack wurde in diesem Jahr aufgezeigt, dass Identity- und-Access-Management-(IAM-)Technologien kompromittierbar sind. Zur Aufdeckung dieser Risiken haben sich sogenannte Identity Risk Assessments sehr bewährt. Ein Identity Risk Assessment dauert zwei bis drei Stunden läuft folgendermaßen ab: ƒ Analyse, ob die Kombination eines Benutzernamens samt Passwort auf einem Endgerät auffindbar ist. ƒ Bei Identifizierung solch einer Kombination sollten diese Informationen augenblicklich auf dem Endgerät gelöscht werden. ƒ Angreifer können mit solchen Informationen beziehungs- weise Benutzername-Passwort-Kombinationen eine „Firma lahmlegen“, diese für Seitwärtsbewegungen miss- brauchen oder im Darknet für viel Geld veräußern. Angriff standhält. Aufgrund der Dynamik der Cybersecurity- Angriffe kann die heutige Konfiguration durch neu entdeckte Schwachstellen morgen schon veraltet sein. Durch eine Angriffssimulation mit bekannter Malware oder neuen gezielten Angriffsmustern können aktuell vor- handene Schwachstellen sowie eine fehlerhafte oder unzurei- chende Konfiguration der eingesetzten Technologie frühzeitig erkannt und somit deren Effizienz in der Erkennung messbar optimiert werden (Cybersecurity-Improvement). Ziele des durchgeführten Cybersecurity-Stresstests sind Netzwerk-, E-Mail- und Endgeräte-Sicherheitstechnologien. Des Weiteren liefern solche Stresstests auch Entscheidungs- hilfen dazu, ob eine wenig effektive Cybersecurity-Technolo- gie besser gegen eine effektivere ausgetauscht werden soll- te. Angriffssimulationen werden oft auch „Breach und Attack Simulation (BAS)“ sowie „Security Validation“ genannt. OT­ und IoT­Cybersecurity Der Begriff „Operational Technology“ (OT) bezieht sich auf die Methoden und Werkzeuge, die zum Schutz von Personal, Eigentum und Daten einer Organisation eingesetzt werden, die sich mit der Überwachung und/oder Steuerung von Ma- schinen, Anlagen und anderen mechanischen oder elektroni- schen Systemen beschäftigt. Digitale Risiken in produzieren- SPECIAL_5/2022 IT­SA 2022 39 ƒ Threat-Intelligence-Plattform: Orchestrierung der verschiedenen Threat-Intelligence-Technologien ƒ Branchenbezogene Cybersecurity-Bedrohungsanaly- sen, wenn die Angreifer bestimmte Branchen im Visier haben ƒ Individuelle Cybersecurity-Bedrohungsanalysen (maßgeschneiderte Threat Intelligence Reports) ) . o ( . m o c e b o d a k c o t s - o n N E o c N i i . l ; ) . i l ( . . m o c e b o d a k c o t s - t e r o c e d s : r e d l i B ƒ Einbindung aller Informationen über Bedrohungen in das zentrale SIEM ƒ Regelmäßige Übungen mit definierten Prozessen für den Ernstfall unter Einbindung von Management, Compliance-Beauftragten, Abteilungsleitern, Netz- werk- und Cybersecurity-Administratoren, SOC-Ana- lysten etc. Regelmäßige Angriffssimulation und Risk Assessments Es ist eine Tatsache, dass Unternehmen hohe Invest- ments in Cybersecurity-Technologien tätigen, aber aus Zeit- und Ressourcenmangel die Konfiguration der Technologien bei den Standardeinstellungen belassen. Aber auch bei regel- mäßiger Anpassung der bestehenden Konfiguration gibt es keine Garantien, dass diese einem gezielten Cybersecurity-

State-of-the-Art Cybersecurity Framework Gratis-Ticket mit dem Code: 479752itsa22 Wir freuen uns auf Ihren Besuch! Halle 7 - Standnummer 7-122

und andere Anwendungen unabhängig von Nutzern, Standort oder Geräteart zu schützen. Ein wichtiger Bestandteil von Zero Trust ist dabei die kritische Sicht nach innen. Also, wer macht was und darf er oder sie das; womit dann wieder das Thema EDR ins Spiel kommt. elle Reaktion eines IT-Sicherheitsexperten oder eine automa- tische, zuvor definierte Verhaltensweise sein. Und genau auf diese Veränderungen an Dateien, Protokol- len und ausgeführten Diensten springen die EDR-Lösungen beinahe in Echtzeit an – und starten sofort die Überprüfung. Zudem bieten sie eine weitere wichtige Einsatzmöglichkeit: Anhand von EDR können nach einer Cyberattacke forensi- sche Untersuchungen eingeleitet werden. Ähnlich wie etwa bei einem Mordfall werden möglichst viele Informationen ge- sammelt und „Alibis“ – in diesen Fällen die ordnungsgemä- ßen Arbeitsweisen – überprüft. Administratoren erkennen so zuverlässig, wie der Angriff ablief, welche Schwachstellen konkret ausgenutzt und welche Veränderungen im Netzwerk vorgenommen wurden. Dazu kann der Verantwortliche auf Informationen von Reputationssystemen zurückgreifen und/ oder anhand des MITRE ATT&CK Frameworks die Attacke nachvollziehen. . . m o c e b o d a k c o t s - a n a D s i i TREND 2: Von EDR zu Zero Trust ist es nur ein kurzer Schritt m e t r A Hinter Zero Trust steht die Idee einer konzeptionellen Leit- linie für alle IT-Security-Maßnahmen, die auf Vorsicht und Skepsis beruht. Es handelt sich also nicht um eine Blaupause für ein IT-Sicherheitssystem oder eine technisch ausgefeilte Security-Lösung. Laut Forrester beruht die Prämisse von Zero Trust darauf, keiner Entität zu vertrauen, weder intern noch extern. Mit anderen Worten: „Vertraue nie, überprüfe immer“. Experten beschreiben Zero Trust als ein perimeterloses Modell. Dieses muss ständig aktualisiert werden, um Daten, Software ESET hat ein Reifegradmodell entwickelt, das die unter- schiedlichen Stufen und Maßnahmen von Zero Trust anschau- lich darstellt. Der Ansatz besteht aus einer dreistufigen Pyrami- de. Je höher die Stufe ist, desto sicherer ist die Schutzwirkung – also „reifer“. Das Modell startet mit der Basisstufe „Grund- schutz Plus“, die dem Prinzip des „Multi Secured Endpoint“ (MSE) folgt. Im Zusammenspiel von Malwareschutz mit einer Festplattenverschlüsselungs- und Multi-Faktor-Authentifizie- rungslösung sowie Cloud Sandboxing, verwandeln Administ- EINSATZBEREICH SCHUTZLEVEL Data- feeds A P T - p o r R e s t GANZHEITLICHES LAGEBILD AUSSENSICHT Stufe 3: Bietet tiefe Einblicke in die globale Bedrohungslandschaft als Grundlage für einen SOC-/SIEM-Betrieb Endpoint Detection & Response M a n a e t p o n s d D e s e g & R e c t i o n e Cloud- Sandboxing Microsoft 365 Bedrohungs- schutz - c h l ü s e l u n g r s s V e t o r - r u n g k a F M u l t i - A u t h e n t i fi z i e Schutz von Clients & Mobilgeräten Schutz von Fileservern Zentrale Management-Konsole z v o n e v r e r n S c h u t M a il s t r o s o f r n e v r e z v o n M i c e P o i n t S r S c h u t S h a Support Services GEFAHRENSUCHE UND ABWEHR INNENSICHT Stufe 2: Gewährleistet die Wirksamkeit der IT-Sicherheit mittels Anomalie-Erkennung, Schwachstellen- analyse und Incident Management GRUNDSCHUTZ PLUS Stufe 1: Empfohlene zusätzliche Absicherung für Cloud-Anwendungen, Daten und Zugänge sowie erweiterter Schutz vor Zero-Days GRUNDSCHUTZ BASIS Stufe 0: Mindestabsicherung für Endgeräte und Server ESET-Reifegradmodell: Je höher die Stufe ist, desto sicherer ist die Schutzwirkung. SPECIAL_5/2022 IT­SA 2022 43

HZ212318 · ISSN 1868-5757 · www.datakontext.com Oktober/November 5/2022 Eugene Kaspersky, CEO und Firmengründer von Kaspersky, im Datenzentrum in Zürich Managed Detection and Response (MDR) Gut gewappnet gegen fortschrittliche Angriffe Kampf gegen Cyberangriffe: Threat Intelligence ist mehr als nur ein Buzzword Sichere Digitalisierung: Cybersicherheit muss auf den Prüfstand!

menschlicher Expertise zu kombinieren, um Sicherheitsvor- fälle zu analysieren, zu bewerten und entsprechend darauf zu reagieren. Hier ist es ausschlaggebend, dass die Lösung auf aktueller Threat Intelligence basiert. Denn durch einen steten Abgleich der Informationen können Taktiken, Techniken und Vorgehensweisen der Angreifer frühzeitig erkannt und somit Angriffe abgewehrt werden. Entsprechende Angriffsindika- toren sorgen dafür, dass selbst Bedrohungen abseits von Mal- ware, die legitime Aktivitäten vortäuschen, erkannt werden. Vor diesen Angriffen fürchten sich Entscheidungsträger in Deutschland. Eine schnelle Erkennung und eine umfassende Reaktion auf Sicherheitsvorfälle sind heute entscheidend, um die Aus- wirkungen eines Angriffs möglichst gering zu halten. MDR ermöglicht eine umfassende Transparenz über alle Geräte im Unternehmensnetzwerk hinweg und bietet überlegene Ab- wehrmaßnahmen, sodass auch Unternehmen ohne die nöti- ge interne Expertise vor komplexen Bedrohungen nachhaltig geschützt sind. Wie finden Unternehmen den passenden MDR­Anbieter? 1. Starke Technologie: Bei der Auswahl einer entsprechenden Lösung sollten Un- ternehmen mehrere Faktoren beachten, welche die eigenen Anforderungen und Bedürfnisse berücksichtigen. Die hinter einer Lösung stehende Technologie sollte umfassend schüt- zen – auch ohne Beteiligung der externen Sicherheitsana- lysten oder internen Cybersecurity-Mitarbeiter. Hierfür sind maschinelle Lernalgorithmen nötig, die bei der Alarmverar- beitung unterstützen. Da diese Automatisierung Routineauf- gaben übernimmt, können sich die Sicherheitsanalysten mit ernst zu nehmenden Vorfällen viel früher befassen und so die Reaktionszeit auf einen Angriff reduzieren – bevor die Kom- promittierung zum Problem wird. 2. Flexible Response-Optionen: Welche Response-Fähigkeiten sind Teil des Anbieterport- folios? Idealerweise sind diese flexibel abrufbar und können mit zwei Optionen kombiniert werden: Entweder führt ein MDR-Team die Reaktionsmaßnahmen per Fernzugriff durch oder die internen Mitarbeiter können nach Anweisung und unter Verwendung eines bereitgestellten Toolstacks selbst- ständig reagieren. Letzteres ist oft zu Beginn einer Zusam- menarbeit hilfreich, da ein Unternehmen meist sicherstellen möchte, dass die erhaltenen Empfehlungen auch gut funkti- onieren und die Besonderheiten des eigenen Netzwerks und der Geschäftsprozesse berücksichtigt werden. Außerdem zie- hen es einige Unternehmen vor, bei Angriffen auf kritische Assets, beispielsweise Computer von Führungskräften, selbst aktiv zu werden. 3. Klar definierter Service 24/7: Darüber hinaus sollte darauf geachtet werden, dass der Vertrag in den Service Level Agreements eine klare Reakti- onszeit auf Vorfälle festlegt – abhängig von der zugewiese- nen Priorität eines erkannten Vorfalls. Generell müssen MDR- Anbieter schnell auf Vorfälle reagieren können, und das rund um die Uhr. 4. Transparenz aus einer Hand: Im Idealfall wählen Unternehmen einen Anbieter, der so- wohl die technische als auch die menschliche Expertise mit- einander vereint. Der Ansatz, einen einzigen, vertrauenswür- digen und transparenten Cybersecurity-Partner mit einer Open-Door-Policy zu beauftragen, der alles aus einer Hand lie- fern kann, zahlt sich aus. Neben der technischen Komponen- te einer robusten Managed-Detection-and-Response-Lösung [4] sollten demnach auch ein fachkundiges Verständnis, die Un- terstützung durch die neuesten automatisierten Bedrohungs- daten sowie ein einheitliches Framework, das alle Aufgaben erfüllt, zum Repertoire des Partners zählen. Entscheidungsträger in kleinen, mittleren und großen Un- ternehmen müssen Cybersicherheitsherausforderungen pro- aktiv angehen. Sie benötigen dafür aktuelles, fundiertes und umfassendes Wissen über globale Cyberbedrohungen und die Bedrohungslandschaft im Allgemeinen. Sie benötigen Unter- stützung in Form der neuesten Bedrohungsinformationen aus der ganzen Welt, die dazu beitragen, eine Immunität auch gegen bisher unbekannte Bedrohungen aufrechtzuerhalten. Möglich wird dies durch ein einheitliches Framework, das ein integriertes Toolkit mit einer Bedrohungserkennung auf meh- reren Ebenen verbindet. Konkret heißt das eine Kombinati- on aus automatisierter Sicherheitslösung (Endpoint Detection and Response) und MDR, bei der externe Sicherheitsexperten Unternehmenskunden aktiv dabei unterstützen, Cyberangrif- fe so früh wie möglich zu erkennen und zu neutralisieren. n Quellenverweise [1] https://www.kaspersky.com/blog/it-security-economics-2020-part-2/ [2] https://go.kaspersky.com/rs/802-IJN-240/images/Kaspersky_IT%20Security%20Economics_ report_2021.pdf [3] https://box.kaspersky.com/f/346436ee3a9e46159cb2/ [4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response Christophe Biolley, Head of Presales Central Europe bei Kaspersky SPECIAL_5/2022 IT­SA 2022 47

Weltweit anerkannte Bedrohungsjäger: das Global Research and Analysis Team (GReAT) von Kaspersky (Foto: Kaspersky) satz solcher Reports. Nahezu die Hälfte greift auf Sicherheits- evaluierungen – etwa über das TIBER-Framework (Threat Intelligence-based Ethical Red Teaming) – sowie auf Tools zur Entdeckung zielgerichteter Attacken zurück. Mehr als ein Drit- tel (34 Prozent) ist der Auffassung, das eigene Unternehmen sollte solche technologischen Werkzeuge zukünftig einsetzen. Das Bewusstsein für die Bedeutung von Threat-Intelligence- Services scheint also in der Finanzbranche inzwischen recht hoch zu sein. ITS: Was raten Sie Unternehmen, worauf sie bei der Aus- wahl eines Anbieters achten sollten? Waldemar Bergstreiser: Um gegen Bedrohungen ge- wappnet zu sein, müssen Unternehmen durchgehend alle As- sets im Blick haben. Generell sollten sie sich für einen Anbie- ter entscheiden, der das System rund um die Uhr überwacht und analysiert, damit er jederzeit Schwachstellen finden und sofort entsprechende Sicherheitsmaßnahmen einleiten kann. Außerdem sollte der Anbieter stets topaktuelle Unter- suchungsdaten nahezu in Echtzeit bereitstellen. Eine qualitativ hochwertige Threat Intelligence muss sich auf ein anerkanntes Expertenteam mit nachgewiesener Er- fahrung in der Aufdeckung komplexer Bedrohungen stüt- zen und sich reibungslos in die bestehenden Sicherheitsab- läufe des Unternehmens integrieren können. Denn eine gute Threat Intelligence entlastet interne Cybersecurity-Abteilun- gen durch umfassende Automatisierungsmöglichkeiten; so können sich diese auf vorrangigere Ziele konzentrieren. ITS: Kaspersky bietet ja auch entsprechende Threat- Intelligence-Dienste an, die auf jahrelanger Erfahrung be- ruhen … Waldemar Bergstreiser: Genau, die Threat Intelligence von Kaspersky bietet Zugriff auf alle Informationen, die zur Abwehr von Cyberbedrohungen benötigt werden. Wir ha- ben über 20 Jahre Erfahrung mit der Entdeckung und Ana- lyse von Cyberbedrohungen, und unser Team aus internati- onalen Forschern und Analysten ist weltweit anerkannt. Mit Kaspersky Threat Intelligence [2] erhalten Unternehmen einen direkten Zugang zu technischer, taktischer, operativer und strategischer Threat Intelligence. Zum Kaspersky-Portfolio gehören unter anderem Threat Data Feeds, die Threat-Intel- ligence-Plattform CyberTrace, Threat Lookup, Threat Analysis mit einer Cloud Sandbox und Cloud Threat Attribution Engine sowie eine Reihe an Threat-Intelligence-Berichtsoptionen. Be- sonders interessant für Spezialisten sind unsere APT & Crime- ware Reportings. Zusätzlich bieten wir den Service „Ask the Analyst“, sodass sie bei Bedarf Experten von Kaspersky di- rekt um Rat fragen können. Sehr stolz sind wir außerdem auf die jüngste Kooperation zwischen Kaspersky und Microsoft, durch die unsere Threat Data Feeds jetzt in Microsoft Sentinel integriert sind. ITS: Allerdings warnt das BSI vor dem Einsatz der Produkte. Was sagen Sie dazu? Waldemar Bergstreiser: Die BSI-Warnung bezieht sich „nur“ auf unsere Virenschutzprodukte und nicht auf die Threat-Intelligence-Dienste von Kaspersky. Und: wie eine Re- cherche des Bayerischen Rundfunks und Der Spiegel zeigen, spielten technische Argumente und Fakten keine Rolle bei der Warnung durch das BSI. Kaspersky hat dem BSI seit Februar umfangreiche Informationsangebote gemacht und es zu Tests und Audits eingeladen. Es ist unser Ziel, den langjährigen kon- struktiven Dialog mit dem BSI fortzusetzen, um gemeinsam auf der Basis faktenbasierter Bewertungen für ein Höchstmaß an Cybersicherheit für die deutschen und europäischen Bür- ger sowie Unternehmen einzutreten. ITS: Vielen Dank für das Gespräch! Derzeit bietet Kaspersky Unternehmen unter dem Shortlink kas.pr/threat-intelligence einen kostenfreien Zugang zu seinen Threat- Intelligence-Services. Der Zugang wird zunächst für einen Monat gewährt. Quellenverweise: [1] https://kas.pr/h2ia [2] https://www.kaspersky.de/enterprise-security/threat-intelligence SPECIAL_5/2022 IT­SA 2022 49

Industrie- und Handelskammern waren Ziel eines massi- ven Cyberangriffs, weswegen deren Internetangebote nicht erreichbar waren und digitale Servicedienstleistungen nicht zur Verfügung standen. Oder medi, Hersteller von medizini- schen Hilfsmitteln, meldet einen Cyberangriff, weswegen die Bayreuther Firma IT-Systeme heruntergefahren hat und „nur sehr stark eingeschränkt erreichbar“ war. Gefangen im Hamsterrad Woran liegt es, dass sich Security-Teams wie Hamster füh- len, obwohl 2021 die Ausgaben für IT-Security in Deutschland laut IDC auf ein neues Allzeithoch von 6,2 Milliarden Euro ge- stiegen sind? Und obwohl inzwischen in größeren Unterneh- men weit mehr als 20 verschiedene Security-Tools im Einsatz sind. Die Antwort: Die Vielfalt an Tools macht IT- und Security- Teams gleich zweifach zu schaffen. Durch digitale Transfor- mation mit Virtualisierung, Software Defined Infrastructure, Multi Cloud, Remote Work oder Internet of Things steigt die Komplexität der IT-Infrastruktur und mit ihr auch die Secu- rity-Aufgaben. Wenn alles miteinander vernetzt ist und im- mer mehr Mitarbeiter von überall auf Software und Daten zugreifen können, entstehen unzählige Schwachstellen und damit Angriffspunkte auf die IT-Systeme. 29 Prozent der Be- fragten einer Cybersecurity-Umfrage von IDC in Deutschland bewerten daher das Thema „Sicherheitskomplexität“ als größ- te IT-Sicherheitsherausforderung – noch vor den eigentlichen Angriffsformen wie Ransomware, Phishing oder Advanced Persistent Threats. Wie reagieren die Unternehmen auf diese Herausforde- rung? Noch glauben laut IDC-Umfrage rund 66 Prozent der Befragten daran, dass sie aus eigener Kraft und ohne externe Dienstleister und Experten, IT-Sicherheitsbedrohungen be- wältigen könnten. Sie investieren in alles, was der Security- Markt hergibt: von IAM-Lösungen über SASE, Cloud Security Posture Management bis hin zu forensischen Analysetools. Teurer Tool­Schrott landet auf dem Abstellgleis Nicht immer laufen die Anschaffungen zugunsten des dringend notwendigen Zusammenspiels. Manche Tools lan- den daher teuer bezahlt schon nach kurzer Zeit auf dem Ab- stellgleis. Andere Tools werden nicht mehr genutzt, da nie- mand sie richtig anwenden kann. Und einige Security-Teams verzweifeln, da sie so viele Alerts auf den Tisch bekommen, dass sie nicht hinterherkommen, sie zu bewerten, geschweige denn bei Bedarf Maßnahmen einzuleiten. So langsam scheint sich aber die Meinung zu ändern, wie sich mit wachsender Bedrohung und fehlendem Fachwissen den Security-Herausforderungen begegnen lässt. Die Ent- wicklung ist vergleichbar mit dem Trend hin zu Managed Ser- vices. Die Ergebnisse einer IDC-Umfrage zeigen, dass Unter- nehmen anstelle eines Best-of-Breed-Ansatzes – also kaufen, was der Markt hergibt, zunehmend auf ein Security-Ökosys- tem umschwenken – Plattformen und Outsourcing an Mana- ged (Security) Service Provider (MSSP). Expertenmangel und Skaleneffekte als Chance für MSSP Für die MSSP entwickeln sich dadurch neue Wachstums- chancen. Nachdem Cloud Computing und Software as a Ser- vice das Ende des Outsourcings einzuläuten schienen, spielen den MSSP jetzt die Themen Komplexität und Fachkräfteman- gel zunehmend in die Karten. Die Unternehmen kommen nicht mehr hinterher, für die Vielfalt an IT- und Security-Auf- gaben die passenden Fachkräfte zu bekommen. Die MSSP ha- ben den Vorteil, dass sie gleichzeitig für mehrere Kunden IT- und Security-Systeme managen können und von Skalen- und Kompetenzeffekten profitieren. Daher denken inzwischen 43 Prozent der für die IDC-Deutschland-Studie befragten Un- ternehmen daran, auch Security-Aufgaben an einen MSSP outzusourcen. Doch sind Security-Kompetenzen den klassischen Mana- ged Service Providern nicht automatisch in die Wiege gelegt. Auch sie müssen ihr Security-Know-how weiter ausbauen. Sie selbst verzeichnen Cyberangriffe, und Hacker versuchen in die IT-Systeme ihrer Kunden einzudringen. In ihrer Rol- le als Service-Provider mehrerer Unternehmen könnten die MSPs jedoch von einem erheblichen Vorteil profitieren, wenn sie Security-Aufgaben in ihr Portfolio integrieren. So wäre ein erheblicher Anteil klein- und mittelständischer Unternehmer bereit, ihren MSP zu wechseln, wenn der neue MSP eine ge- eignete Cyber-Security-Lösung mitanbieten würde. Genauso viele würden aus diesem Grund erstmals in Erwägung ziehen, einen Managed Service Provider zu beauftragen. Cyber Protection für Managed Services Bisher fußte die „Security-Taktik“ von MSPs meist auf ei- ner Backup- und Wiederherstellungsstrategie. „Lieber Kun- de, mach dir keine Sorgen, wenn du Opfer eines Cyberan- griffs wirst, stellen wir dir deine Systeme und Daten wieder aus dem Backup her.“ Cyberkriminelle wissen das aber längst und löschen beispielsweise bei Ransomware-Angriffen auch die Backup-Dateien. Allein aus diesem Grund kommt den MSP eine zusätzliche Aufgabe zu. Sie sollten ihre Managed Services um Security zu einem Cyber-Protection-Angebot erweitern, der Backup, Disaster Recovery, KI-basierten Malware-Schutz, Remote-Unterstützung und Cyber Security in ein einziges, schnelles, effizientes und zuverlässiges Tool integriert. n Christian Anding, Regional Marketing Manager DACH, Acronis Germany SPECIAL_5/2022 IT­SA 2022 53

ƒ Zertifikatsperrliste (Certificate Revocation List, CRL): Eine Liste mit Zertifikaten, die vor Ablauf der Gültigkeit zurückgezogen wurden. Gründe sind die Kompromittie- rung des Schlüsselmaterials, aber auch die Ungültigkeit der Zertifikatsdaten (zum Beispiel E-Mail) oder das Ver- lassen der Organisation. Eine Zertifikatssperrliste hat eine definierte Laufzeit, nach deren Ablauf sie erneut aktuali- siert erzeugt wird. Anstatt der CRL kann auch eine Positiv- liste, die sogenannte White-List, verwendet werden, in die nur alle zum aktuellen Zeitpunkt gültigen Zertifikate ein- getragen werden. Prinzipiell muss eine PKI immer eine Zertifikatsstatusprüfung anbieten. Hierbei können jedoch neben der CRL (Online Certificate Status Protocol) oder der White-List) als Offline-Statusprüfung auch sogenannte Online-Statusprüfungen wie OCSP (oder SCVP (Server- based Certificate Validation Protocol)) zum Einsatz kom- men (siehe Validierungsdienst). Online-Statusprüfungen werden üblicherweise dort eingesetzt, wo die zeitgenaue Prüfung des Zertifikats wichtig ist, zum Beispiel bei finan- ziellen Transfers etc. ƒ Verzeichnisdienst (Directory Service): Ein durchsuchbares Verzeichnis, das ausgestellte Zertifi- kate enthält, meist ein LDAP-Server, seltener ein X.500- Server. ƒ Validierungsdienst (Validation Authority, VA): Ein Dienst, der die Überprüfung von Zertifikaten in Echt- zeit ermöglicht wie OCSP oder SCVP. ƒ Dokumentationen: Eine PKI führt eines oder mehrere Dokumente, in denen die Arbeitsprinzipien der PKI beschrieben sind. Kern- punkte sind der Registrierungsprozess, die Handhabung des privaten Schlüssels, die zentrale oder dezentrale Schlüsselerzeugung, der technische Schutz der PKI-Sys- teme sowie eventuell rechtliche Zusicherungen. In X.509- Zertifikaten kann das CPS in den Extensions eines Zer- tifikats verlinkt werden. Die nachfolgend aufgeführten Dokumente sind teilweise üblich. ƒ CP (Certificate Policy): In diesem Dokument beschreibt die PKI ihr Anforderungs- profil an ihre eigene Arbeitsweise. Es dient Dritten zur Analyse der Vertrauenswürdigkeit und damit zur Aufnah- me in den Browser. ƒ CPS (Certification Practice Statement): Hier wird die konkrete Umsetzung der Anforderungen in die PKI beschrieben. Dieses Dokument beschreibt die Um- setzung der CP. ƒ PDS (Policy Disclosure Statement): Dieses Dokument ist ein Auszug aus dem CPS, falls das CPS nicht veröffentlicht werden soll. tifikate an Personen ausgab, die sich fälschlicherweise als Mi- crosoft-Mitarbeiter ausgegeben hatten. Mit diesen Zertifikaten hatten die Betrüger nun einen augenscheinlich vertrauens- würdigen Beleg dafür, dass sie zur Firma Microsoft gehörten. Es wäre zum Beispiel möglich gewesen, Programmcode im Namen von Microsoft zu signieren, so dass er von Windows- Betriebssystemen ohne Warnung installiert würde. Obwohl diese Zertifikate sofort widerrufen wurden, nachdem der Feh- ler bemerkt wurde, stellten sie doch weiterhin ein Sicherheits- risiko dar, da die Zertifikate keinen Hinweis darauf enthielten, wo ein möglicher Widerruf zu finden ist. Dieser Fall ist ein Zeichen dafür, dass man sich nicht immer auf die Vertrauens- würdigkeit von Zertifikaten und die Sorgfalt von Zertifizie- rungsstellen verlassen kann. Die Sperrung eines Zertifikats ist nur dann effektiv, wenn bei der Prüfung aktuelle Sperrinformationen vorliegen. Zu diesem Zweck können Zertifikatsperrlisten (CRL) oder Online- prüfungen (zum Beispiel OCSP) abgerufen werden. Das Gartner Institut hat eine Studie zu diesem Thema durchgeführt und eine Vielzahl von Themen identifiziert. Laut dieser Studie werden für 58 Prozent der Angriffe Zerti- fikate genutzt. Ebenfalls werden in Unternehmen fast alle Si- cherheitsprodukte und -mechanismen über zertifikatsbasier- te Methoden abgesichert. Somit bekommt das Zertifikat eine unternehmenskritische Bedeutung. Bekannt sind unter ande- rem folgende Problembereiche: Gültigkeitsdatum, Verschlüs- selungsmethode und Stärke, Hashgenerierung, Aussteller, Nutzungsrechte/Privilegien, Schlüsselablageorte, Schlüssel- speicher. Ausblick auf Alternativen Durch die laufende technische Entwicklung gibt es ver- schiedene Versuche, den Einsatz einer PKI durch andere Kon- zepte zu ersetzen. Beispiele dafür sind: ƒ SPKI (Simple Public Key Infrastructure) SPKI soll die den alten X.509-Standard ablösen und Zerti- fikate vielseitiger gestalten. Dabei wird besonderer Wert auf die Art der Autorität, die durch ein Zertifikat übertra- gen wird, gelegt. ƒ SDSI (Simple Distributed Security Infrastructure) SDSI ist wie SPKI ein Ansatz zur Verbesserung des alten X.509-Standards. Es ist das Konzept, das am stärksten mit dem alten Standard bricht, da es keine Certificate Revoca- tion Lists mehr verwendet. Es wird bei diesem Konzept be- sonderer Wert auf Benutzergruppen und die Vergabe von Zugriffsrechten für World-Wide-Web-Objekte gelegt. n Problembereiche Probleme wurden beispielsweise durch einen Vorfall deut- lich, bei dem VeriSign auf die Firma Microsoft ausgestellte Zer- Dr. Alexander Löw, Geschäftsführung/Owner Data-Warehouse GmbH SPECIAL_5/2022 IT­SA 2022 55 . . m o c e b o d a k c o t s - 5 1 e t s u g n a l : d l i B

– ADVERTORIAL – Acronis auf der it­sa 2022 Vom 25. bis 27. Oktober zeigt Acronis in Halle 7 auf Stand 320 die komplette Bandbreite der Acronis Cyber­Protection­Lösungen und demonstriert wichtige Trends der IT in drei inspirierenden Vorträgen. Für ein Gratis-Ticket oder auch einen Gesprächstermin können sich Interessierte hier kostenfrei registrieren. SPECIAL_5/2022 IT­SA 2022 57 ƒVerwaltung Zentrales Protection­Management. Bewertung von Systemschwach­stellen und Sicherheitslücken in Systemen. Überblick dank Monito­ring­ und Berichtsfunktionalitäten. ƒDisaster Recovery Spezielle Wiederherstellungsoption, die über eine Offsite­Recovery­Site die Hochverfügbarkeit von geschäftskritischen Daten und Syste­men sicherstellt. ƒFile Sync & Share Unternehmensinhalte jederzeit, von überall und mit jedem Gerät er­stellen und sicher teilen. ƒNahtlose Integrationen und Automatisierung Administrativen Aufwand minimieren, da Integrationen in gängige Systeme (wie RMM­ und PSA­Tools, Webhosting­Verwaltungskonso­len und Abrechnungssysteme) bestehen. Security Checkliste für UnternehmenSpeziell für Unternehmen mit überschaubaren IT­Budgets und ­Mitarbei­tern hat Acronis eine Security-Checkliste entwickelt, mit der Interessier­te einfach und schnell ihre eigene Cyber Protection bewerten und planen können. Mehr Informationen und ein Live Demo zu Acronis Cyber Protect finden sich auf der Herstellerwebseite. n

– ADVERTORIAL – https://cyber-samurai.net SPECIAL_5/2022 IT­SA 2022 59 Wie wird eine nachhaltige Sensibilisierung erreicht? Trainingserfolg nach drei Monaten – Fehlerrate um fast 50 Prozent gesenktJeder dritte ungeschulte Mitarbeiter fällt auf Cyberattacken herein. Die Häufigkeit des Fehlverhaltens kann durch eine Security­Awareness­Kam­pagne in nur 90 Tagen um etwa die Hälfte – auf nur 17,6 Prozent – redu­ziert werden. Bei konsequenter Umsetzung des Trainings sinkt der Wert nach einem Jahr auf durchschnittlich 5 Prozent.12 Monate späterDurchschnitt 5%MONATE (Datenbasis 9,5 Mio Nutzer)Quelle: KnowBe4 – Phishing-Risiko nach Branchen: Benchmarking-Report 2022Initiale Phish-Anfälligkeit vor TrainingsbeginnDurchschnitt 32,4%3 Monate späterDurchschnitt 17,6%30%27%24%21%18%15%12%9%6%3%0Minimaler Aufwand für wirksame Cybersicherheit – Security Awareness as a ServiceDie Bereiche IT oder IT­Security sind vor allem im Mittelstand tendenziell eher unterbesetzt, sodass oftmals nicht genügend Personal zur Verfü­gung steht. Ein Dienstleister wie Cyber Samurai kann hier mit zusätzlicher Manpower professionell zur Seite stehen. Security­Awareness­Spezialisten haben den Vorteil, dass sie sich mit den einzusetzenden Tools, Trainings und aktuellen Angriffen umfassend aus­kennen. Sie können Security­Awareness­Kampagnen sehr viel schneller, effizienter und kostengünstiger umsetzen und das Risiko für einen Cyber angriff nachweislich senken. Mit Security Awareness as a Service erreichen Sie mit minimalem Aufwand eine nachhaltige und wirksame Cyber Awareness.Der IT­Security Dienstleister Cyber Samurai GmbH hat sich auf eine mo­derne, nachhaltige und wirksame Schulung der Belegschaft im Security­ Awareness­Bereich spezialisiert. Die Cyber Samurais stehen bei der Aus­wahl der passenden Tools und Herangehensweise zur Seite und führen Trainings­ und Phishing­Kampagnen in mittelständischen Unternehmen sowie internationalen Konzernen durch. Security Awareness als Full­Service­Dienstleistung entlastet unterneh­menseigene Ressourcen, erhöht die Effizienz und steigert nachweislich die Sicherheit. Stärken Sie Ihre menschliche Firewall in nur vier Schritten:1) Baseline Phishing-Test durchführen:Dieser Test wird im Vorfeld zu den Trainings durchgeführt. Er dient als Kennzahl für das Gefährdungspotenzial der Belegschaft. 2) Nutzer durch zielgerichtete Trainingsmodule schulen:Interaktive und kurze Online­Module schulen die Belegschaft bedarfsgerecht und rollenbasiert. 3) Nutzerverhalten durch simulierte Phishing-Angriffe testen:Simulierte Phishing­Angriffe testen punktuell das Nutzerverhalten und zeigen, ob die Lerninhalte erfolgreich angewendet werden. 4) Ergebnisse analysieren:Analysen zeigen auf, wie die Belegschaft auf Trainings und Phishing­Tests reagiert und der Lernfortschritt voranschreitet. Durch transpa­rente Kennzahlen können Folgemaßnahmen eingeleitet werden.Ihre Vorteile mit Cyber SamuraiDie Cyber Samurai GmbH versteht sich im übertragenen Sinn als „Dienen­der“ und „Beschützender“ vor den Herausforderungen der Digitalisierung. Sie bietet Ihnen einen Full­Service bei der Planung, Umsetzung und Doku­mentation von Security­Awareness­Kampagnen.Ihre Vorteile: ƒExperten­Know­how hinsichtlich marktführender Tools ƒProfessionelle Kampagnenplanung je nach Kenntnisstand ƒErfahrenes Projektmanagement samt transparentem Reporting ƒBedarfsgerechte, multilinguale Trainingsinhalte ƒZeit­, Ressourcen und Kostenersparnis im KampagnenverlaufIT-Security-Dienstleistungen: ƒKostenfreie Erstberatung ƒInteraktive Security Awareness Kampagnen ƒSimulierte Phishing­Tests ƒIT­Security­Checks ƒLivehacking, Cyber­Security­Vorträge und ­Webinare ƒVulnerability Scans & Pentesting ƒISMS Tool Implementierungen ƒNetwork Detection and ResponseWir beraten Sie, wie Sie eine nachhaltige und wirksame Security­Aware­ness­Kampagne in Ihrem Unternehmen umsetzen. Sprechen Sie uns an. n

– ADVERTORIAL – Über Data­Warehouse: Die Data-Warehouse GmbH ist seit 1987 am Markt erfolgreich tätig und hat sich zu einem Systemhaus mit eigenem Produktportfolio im Be- reich gesamtheitliches, qualitätsgesichertes Informationsmanagement, Logistik- und Prozessoptimierung, gesamtheitliche Sicherheitsstrategie und Datenschutzberatung entwickelt. Wir schaffen auf Wunsch ein hocheffizientes IT­Umfeld mit minimalem Consultingbedarf und produktneutraler Beratung. Unsere Bandbreite umfasst alle Tätigkeiten von der klassischen Beratung über den Aufbau von IM­Strategien über die Optimierung existierender Lösungen (Pro­ zesse, Architekturen), Datenkonsolidierung, bis hin zur Umsetzung und dem Betrieb. Im Hochsicherheitsumfeld bieten wir Erfahrungen in Projekten zum Beispiel mit nationalen und internationalen Partnerschaften (zum Bei­ spiel Airbus, ESG und weitere) auf erfolgreiche Unterstützung von Kun­ den wie Airbus, BAESystems, Alenia, CASA, der Luftwaffe, Heer, Marine und dem österreichischen Bundesheer zurückgreifen. Unsere Services werden weltweit in jeder Projektgröße angeboten. Unsere Strategie unterstützt die Philosophie der agilen, individuellen Lösungsfindung und ist seit Jahrzehnten in der Industrie bewährt bei der Durchführung von Informationskonsolidierungen, Prüfung und Etablierung von Computersicherheit, schrittweisen Ablösung von IT­ Systemen, Unterstützung von ERP­Systemen, Qualitätssicherung von Daten und Informationen, Aufbau von zentralen Informationssystemen und automatisierter Langzeitarchivierung. Durch eigene hocheffizien­ te Produktlinien im Bereich Datenmanagement, Cybersicherheit und Softwareentwicklung können (fast) alle Themenbereiche individuell mit standardisierter Plattform und minimalem Aufwand gelöst werden. Produkte: IQIMS-OC für die transparente, revisions­ und rechtssichere Speiche­ rung von Informationen. Ermöglicht iterative und evolutionäre, hoch­ effiziente und langfristig aktuelle Lösungen, bei gleichzeitiger Senkung von IT­Kosten, Entlastung des eigenen IT­Personals, transparente Ein­ bindung in IT­Landschaften (ERP/SinN), Minimierung der Programmie­ rung und Abhängigkeiten. IQIMS Ebus-J: Vollständige ausgereifte 4 GL zur aufwandsminimier­ ten, iterativen crossplattformkompatiblen Produktion von Software­ lösungen mit eigener Datenbank. Schnell erlernbare Programmierspra­ che (BASIC) für sichere, schnelle auch komplexe Lösungen in C, Java, n­tier Java, HTML. Einbindung von beliebigen Bibliotheken, DB. Keine Exportbeschränkungen durch Drittstaaten da „Made in Bavaria“. Tixxle: Mobile Collaboration & Kommunikationslösung (Notizzettel für das Internet), Verbindung mobiler zu stationärer Kommunikation usw. PCert: Mandantenfähiger Key­ und Zertifikatsscanner zur Auditie­ rung des Unternehmens. Unternehmensweite Sammlung, Analyse und Auswertungen, Detektion und Identifikation ungültiger, doppelter Zertifikate als Schwachstelle. Unterstützung der Compliance, Risk und Unternehmenssicherheit. Referenzen: z.B. Dt. Luftwaffe, Österr. Bundesheer, Eurofighter GmbH, NATO, Airbus , Airbus DS, Cassidian Cyber Security, Dt. Post, EV Group, 1&1 AG, IKK,KZV, Telefonica O2, Dt. Börse AG, Dresdner Bank AG und viele mehr. SPECIAL_5/2022 IT­SA 2022 61 eine Crypto­Agilität, um auf diese Bedrohung zu reagieren. Ohne Automa­tisierung des gesamten IT­Trust­Bereichs werden alle Sicherheitsmaßnah­men unnötig geschwächt. Ebenfalls ist eine anstehende Migration zu Post Quantum sicheren Verschlüsselungsmethoden vorzubereiten. Dieses Thema ist nicht mehr manuell zu lösen, deswegen setzt hier PCert an. Um den Überblick über die interne Struktur zu bekommen, gibt es zwei Ansätze:1. Der Anwender erlaubt nur vertrauenswürdige Software zur Installation und bekommt von der Herstellerfirma eine Zertifikatsübersicht.2. Der Anwender verifiziert die Zertifikatslandschaft mit einer automatisier­ten Softwarelösung und definiert seine Vertrauenslandschaft selbst.Beide Ansätze erfordern Kenntnis der vollständigen Vertrauenslandschaft ohne Silos von Hersteller oder Zulieferer. Unsere langjährige Erfahrung in der Erstellung von militärischen und luft­fahrttechnischen Softwareprodukten sowie Certificate Authorities und Pu­blic­Key­Infrastrukturen ist in die Entwicklung von PCert eingeflossen und dadurch wurde auf höchstmögliche Softwarequalität geachtet. Zusätzlich wurde ein weites Spektrum von Sicherheitsrichtlinien von Anfang an in die Produkte mit einbezogen, sodass bei Bedarf eine herausragende Sicherheit auch auf staatlichem Level mit minimalen Aufwendungen erreicht werden kann.PCert entdeckt Ihre Computer-Vertrauensbeziehungen (Krypto-Assets wie X.509, SSH, PGP, Keystores) und unterstützt Sie dabei, sie gemäß Ihren Un-ternehmensregeln unabhängig von Einzelpersonen und Silos zu verwalten und Ihren Cybersicherheitsansatz (SOC, CIT) mit einer neuen leistungsstar-ken Cybersicherheitsfähigkeit zu stärken.PCert­ScannerErmöglicht Ihrem Unternehmen das Sammeln und Überwachen alle X.509-Zertifikate, Keystores (+Schlüssel) auf Ihren Computern (bis zu 400k pro Gerät), Servern (bis zu 200k pro Gerät) oder anderen Geräten. Verschaffen Sie sich einen unternehmensweiten Überblick und Risikobe-wertung für die Einhaltung gesetzlicher Vorschriften (zum Beispiel SOX, ISO 27.001) oder bereiten Sie die Neugestaltung Ihrer Vertrauenslandschaft (bei-spielsweise PKI, HSM) vor. PCert AIO­PlattformSammelt alle Scan-Ergebnisse, generiert eine unternehmensweite Über-sicht, setzt Policies durch, tauscht, verknüpft und registriert Zertifikate mit den Geräten, bietet Management und Verifikation Ihrer IT-Trust Landscape und hilft Ihnen, auch unbekannte Cyberrisiken oder Schwachstellen zu verstehen und Eindringlinge zu erkennen. n

IT-Sicherheit ist Vertrauenssache Eine No-Backdoor-Garantie ist für uns selbstverständlich – denn: Als IT-Sicherheitshersteller aus der EU stehen wir zu 100 % hinter den demokratischen Werten der Europäischen Union. – Holger Suhl, Country Manger DACH, ESET Deutschland GmbH 25.-27. Oktober in Nürnberg www.eset.de/itsa Stand 7-530

Besuchen Sie uns auf der it-sa 2022 Halle 7A Stand 111 Die Zukunft der Applikationssicherheit — Agil und benutzerfreundlich Auf unserem Kongress am 26. Oktober können Sie in hilfreichen Vorträgen erfahren, wie sich die Welt der Applikationssicherheit durch neue Technologien und Ansätze für höhere Agilität und Benutzerfreundlichkeit verändert hat. Simon Hülsbömer, Senior Project Manager Research Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE, gibt spannende Einblicke, wie deutsche Unternehmen auf die Veränderungen bereits reagiert haben, auf welchem Status sie stehen und welche nächsten Schritte geplant werden. In einem Anwendungsbeispiel der V-Bank erfahren Sie, wie das Unternehmen in eine agile Welt mit agiler Security aufgebrochen ist. Abschließend rückt die Identität in den Mittelpunkt der Applikationssicherheit: Das Prinzip von Continuos Adaptive Trust wird vorgestellt, die Vorteile dieses Ansatzes sowie die technologi- schen Anforderungen werden erklärt. Registrieren Sie sich gleich und erhalten Sie ein kostenloses Ticket: airlock.com/itsa Kostenloses itsa Ticket und Anmeldung zum Kongress Airlock – Security Innovation by Ergon Informatik AG

– ADVERTORIAL – Sie sind neugierig geworden und wollen mehr über die Retarus Secure Email Platform und die Predelivery Logic erfahren? Dann besuchen Sie Retarus auf der diesjährigen it-sa in Nürnberg in Halle 7, am Stand 502. www.retarus.de SPECIAL_5/2022 IT­SA 2022 67 werden automatisiert umgeschrieben. Auf diese Weise treten Mitarbeiter gegenüber Kunden und Partnern stets professionell in Erscheinung, sei aus Marketing- oder aber aus juristischen Gründen. Zusätzlich lässt sich per Retarus Email Live Search Monitoring der Weg einer Nachricht durch die gesamte Verarbeitungskette nachvollziehen. Wie bei anderen Regeln der Retarus Predelivery Logic können Administratoren die Richtlinien jederzeit individuell anpassen und beispielsweise das Rewriting nur für bestimmte Abteilungen oder einzelne Benutzer vornehmen lassen. Umfassender Support und höchste Daten­schutz­StandardsRetarus stellt die Predelivery Logic als zentralen Self-Service über das webbasierte Enterprise Administration Services (EAS) Portal bereit. Alle Regeln lassen sich dort transparent über einen Editor anlegen, verändern und priorisieren. In die eigentliche E-Mail-Infrastruktur des Unterneh-mens wird dazu nicht eingegriffen. Darüber hinaus stehen die Retarus-Experten Kunden bei der Umsetzung individueller Regeln für eine effi-ziente E-Mail- und Workflow-Automatisierung per 24/7-Support in der jeweiligen Landessprache beratend zur Seite. So lassen sich Probleme durch Zeitmangel oder noch unklare Organisationsstrukturen vermeiden und auch vorübergehende Maßnahmen schnell und mit geringem Auf-wand umsetzen. Die Fehleranfälligkeit manueller Eingriffe reduziert sich dadurch deutlich. Auch hinsichtlich Datenschutzes, gesetzlichen Vorgaben und Compliance sind Unternehmen, die auf die Retarus Secure Email Plat-form setzen, auf der sicheren Seite. Denn Retarus setzt gezielt auf Local Processing, verarbeitet alle Daten in selbst betriebenen, auditierbaren Rechenzentren und erfüllt neben branchenspezifischen Standards und DS-GVO-Vorgaben auch höchste Compliance-Anforderungen. nwerken weiterverarbeitet. Folglich verfügen IT-Verantwortliche wieder über mehr Ressourcen, Innovationen voranzutreiben, die sich positiv auf Geschäftsprozesse und -umsatz auswirken.Umfassende Kontrolle des eingehenden E­Mail­VerkehrsMit der Predelivery Logic von Retarus lässt sich der eingehende E-Mail-Verkehr automatisiert und effizient kontrollieren. Flexible Kombinations-möglichkeiten aus Bedingungen und Aktionen ermöglichen beim Definie-ren der Regelwerke nahezu unbegrenzte Einsatzszenarien. Dabei spielt es keine Rolle, ob das Unternehmen seine E-Mail-Infrastruktur On-Premises oder in der Cloud betreibt. Der Service spielt sogar gerade in hybriden Umgebungen seine Vorteile voll aus. Mit der Predelivery Logic werden E-Mails schon zum Zeitpunkt der Interaktion mit der Retarus Enterprise Cloud auf Ebene des Secure Email Gateways weiterverarbeitet. Dies er-möglicht maximale Flexibilität, die serverseitige oder auf einzelne Postfä-cher beschränkte lokale Regelwerke nicht bieten können. Denn wenn sich die E-Mail erst einmal in der eigenen IT-Landschaft befindet, lassen sich viele Sicherheitsregeln und -maßnahmen nicht mehr umsetzen.Innovative Vorselektion anhand Sprache und InhaltDer Funktionsumfang der Retarus Predelivery Logic reicht deutlich über den einer Policy Engine hinaus. Denn neben einem User-abhängigen Routing von E-Mails an bestimmte Server beziehungsweise Standorte des Firmennetzes oder Tochterfirmen liefert die Predelivery Logic einen entscheidenden Beitrag, um Geschäftsprozesse zu automatisieren. Es ist beispielsweise möglich, E-Mails anhand ihres Inhalts oder ihrer Sprache zu verarbeiten. So lassen sich etwa Nachrichten an Funktionspostfächer automatisch vorsortieren. Die E-Mail wird dann direkt an die Server der richtigen Landesgesellschaft oder an die zuständige Abteilung eines Un-ternehmens geroutet, sobald sie empfangen wird. Durch die automati-sche Vorselektion (etwa an info@- oder support@-Adressen) profitieren beispielsweise Contact Center von einer deutlich effizienteren E-Mail-Bearbeitung. Darüber hinaus ist es möglich, E-Mails vollautomatisch und regelabhängig zu verändern – vom Umschreiben der Adresse bis hin zum Hinzufügen eines Schlagworts in der Betreffzeile.Automatische Isolierung basierend auf GeoIPZusätzlich erlauben es die Regelwerke der Predelivery Logic, E-Mails nach landesspezifischer Herkunft („Source IP Country“) zu identifizieren und entsprechende Maßnahmen automatisch einzuleiten, beispielsweise wenn seitens des Unternehmens aufgrund der aktuellen politischen Lage der Bedarf entsteht, alle Nachrichten aus bestimmten Regionen oder Län-dern vorsorglich zu isolieren – sei es aus reinen Sicherheitserwägungen oder auch aufgrund interner Compliance-Vorgaben. Je nach Konfiguration lassen sich Nachrichten beispielsweise in die User-Quarantäne leiten oder komplett blockieren. Professionelle Kommunikation über den Out­bound­KanalMit der Retarus Predelivery Logic lassen sich individuelle Regelwerke nicht nur für eingehende Nachrichten, sondern auch für den Outbound-Kanal festlegen. Ob Spin-off von Tochtergesellschaften, Carve-out, Zukäufe, Fusi-onen oder schlicht ein Rebranding – idealerweise sollen Mitarbeiter bereits zum Stichtag unter dem richtigen Firmennamen auftreten. Mit der Pre-delivery Logic lassen sich beispielsweise die Unternehmensbezeichnung oder -Domain überprüfen. Fehlerhafte oder nicht aktuelle Firmennamen Bild: pavel siamionov - stock.adobe.com

– ADVERTORIAL – Dr. Stefan Rummenhöller Weitere Informationen zum r-tec-MDR-Service finden Sie im Internet unter www.r-tec.net/mdr SPECIAL_5/2022 IT­SA 2022 69 Da Managed Detection and Response als Full-Managed-Service an-geboten wird, entsteht für Kunden bei der Angriffserkennung nur ein geringer Aufwand. r-tec übernimmt von der Implementierung der tech-nischen Komponenten über die Anomaliequalifizierung bis hin zur Er-stellung von Maßnahmenempfehlungen alle anfallenden Aufgaben.Incident Response Service hilft bei der Angriffs­bewältigungAuch im Angriffsfall können sich Unternehmen auf das r-tec-Team verlassen. Im MDR-Service ist nämlich ein Incident Response Service inbegriffen. Das heißt, auf Wunsch unterstützen die Experten ihre Kun-den außerdem bei der Angriffsbewältigung. Sie kümmern sich unter anderem um die Eindämmung von Attacken sowie um die Wiederher-stellung des Normalzustandes im jeweiligen Betrieb. „Unser MDR-Team informiert nach der Identifikation eines Angriffs sofort das Incident-Response-Team, das innerhalb garantierter Reaktionszeiten zur Ver-fügung steht“, erklärt der r-tec-Geschäftsführer. „Möchten unsere Kunden diesen Service in Anspruch nehmen, definieren wir bereits bei der Implementierung gemeinsam sinnvolle Meldewege und legen fest, wie im Angriffsfall agiert werden soll. So können wir bei Bedarf schnell reagieren.“In Kombination mit dem Incident Response Service stellt Managed De-tection and Response eine umfassende Lösung dar, mit deren Hilfe das Wuppertaler Unternehmen seine Kunden in jeder Phase eines Angriffs unterstützt. Kunden erhalten somit alle MDR-Leistungen aus einer Hand.MDR­Service für aktuelle und zukünftige He rausforderungenDa die Lösung komplett aus der Cloud betrieben wird, lässt sich die An-griffserkennung zudem ganz unkompliziert an die individuellen Bedürf-nisse des jeweiligen Unternehmens anpassen. Falls nötig, können zu-sätzliche Produkte aus der Cloud hinzugebucht werden. Auf diese Weise lässt sich das System in Zukunft kostengünstig auf neue Entwicklungen einstellen. Betrieben wird der Cloud-Service in einem DS-GVO-konformen Rechenzentrum.„Wir sorgen dafür, dass Unternehmen für den Ernstfall gerüstet sind – und es in Zukunft auch bleiben“, verspricht Stefan Rummenhöller. „Da unser MDR-Team sämtliche IT-Sicherheitsherausforderungen löst, können sich unsere Kunden ohne Ablenkung um ihr Kerngeschäft küm-mern. Um die Konsequenzen einer möglichen Attacke müssen sie sich keine Sorgen machen.“ nVerhaltensbasierte Umgebungsprüfung versus Use­Case­EinsatzUnternehmen profitieren außerdem von einer enormen Zeitersparnis. „Im Vergleich zu herkömmlichen SIEM-Systemen verursacht das von uns eingesetzte Next Generation SIEM nur einen minimalen Einrichtungs-aufwand, da Use Cases und Regelwerke nicht händisch an das jeweilige Unternehmen angepasst werden müssen“, erklärt r-tec-Geschäftsführer Dr. Stefan Rummenhöller. „Stattdessen erlernt unser Next-Generation-SIEM-System im Rahmen einer sechs- bis achtwöchigen Anlernphase automatisch den Normalzustand.“ Alle dafür benötigten Daten werden mithilfe von Site-Kollektoren aus den Logquellen des Kunden gesam-melt und verschlüsselt in eine Cloud übertragen.„Da immer wieder neue Angriffsmuster in der IT-Welt auftauchen, müssen herkömmliche SIEM-Lösungen ständig mit Use Cases gefüttert werden“, gibt Stefan Rummenhöller zu bedenken. „Dies führt wiederum zu einem Anstieg der Alarme und Fehlermeldungen, die Unternehmens-mitarbeiter analysieren, einstufen und bearbeiten müssen. Ab einem bestimmten Zeitpunkt ist die Masse an Meldungen allerdings kaum noch händelbar.“ Beim Einsatz eines Next-Generation-SIEM-Systems sei das regelmäßige Einpflegen von Use Cases aufgrund der verhaltensba-sierten Umgebungsüberprüfung nicht mehr notwendig. „Daher bietet diese moderne Form der Angriffserkennung Unternehmen die Möglich-keit, Ressourcen und Kosten zu sparen.“Fachkundige Experten beurteilen AnomalienWerden Anomalien erkannt, leitet das System diese an das r-tec-MDR- Expertenteam weiter, das die betreffenden Events manuell untersucht und klassifiziert. „Eine vollständig autonome Angriffserkennung, die in erforderlichem Maße auf einen Angriff reagieren kann, gibt es derzeit nicht“, erläutert Rummenhöller. „Selbst wenn ein Unternehmen über die beste technische Lösung verfügt, sollte auf eine Qualifizierung durch sachkundige Spezialisten nicht verzichtet werden.“Identifizieren die Experten einen Security Incident, bestimmen sie im nächsten Schritt dessen Kritikalität. Besteht ein hohes Risiko, werden anschließend alle relevanten Personen über den Vorfall informiert, so-dass schnellstens geeignete Maßnahmen ergriffen werden können.Durch die Kombination aus technischer Lösung und manueller Ex-pertenanalyse gelingt es r-tec letztlich, auch neue Angriffsversuche aufzudecken, die von herkömmlichen IT-Security-Komponenten nicht erkannt werden können.Bild: Adobe stock - stock.adobe.com

Software Bill of Materials REZEPTUR FÜR MEHR CODE-SICHERHEIT IT-Sicherheit beginnt auf Codeebene. Um die Software-Supply-Chain transparenter und Anwendungen sicherer zu machen, müssen Entwickler bei der Verwendung von Open-Source-Software-(OSS-)Komponenten genau Buch führen. Gut, dass mit der Software Bill of Materials (SBOM) dafür bereits ein Template bereitsteht. IT-SICHERHEIT_5/2022 71 SECURITY MANAGEMENT | MANAGED SECURITYBild: Ratul Ghosh/Unsplash

SECURITY MANAGEMENT | MANAGED SECURITY SBOM Kreislauf (Quelle: Revenera) NICOLE SEGERER, VP of Product Management & Marketing, Revenera (Foto: Nicole Segerer) IT-SICHERHEIT_5/2022 73 4. Integration in die Threat IntelligenceDie Software-BOM versteht sich als Sicherheits-instrument und sollte dementsprechend in die unternehmensübergreifende IT-Sicherheit inte griert werden. Das gilt insbesondere für die Threat Intelligence. Bekanntgewordene Schwach-stellen, geleakte Code-Fragmente und im Dark-net angebotene Exploits stellen unmittelbare Bedrohungen für Anwendungen dar. Software-Anbieter müssen im Ernstfall in der Lage sein, das Risiko für ihre eigenen Produkte einzuschätzen. Die SBOM liefert hier die Informationsgrundlage für einen schnellen Abgleich. Sind Anwendun-gen betroffen, schlagen die Systeme automatisch Alarm und helfen in der Regel auch, Maßnahmen zur Mitigation (zum Beispiel Patches) zu priori-sieren und durchzuführen. Gleichzeitig können Software-Anbieter ihre Kunden informieren und besorgte Anfragen bezüglich möglicher Sicher-heitsrisiken souverän beantworten. nWie oft auch immer Unternehmen ihre Soft-ware-Stücklisten aktualisieren, in jedem Fall heißt es, klare Prozesse und Best Practices be-züglich der Rollenverteilung und der Terminie-rung zu definieren und zu implementieren. Die SBOM sollte dabei weniger als Ad-hoc-Instru-ment verstanden werden, sondern als fester Bestandteil der Entwicklungsarbeit bzw. der IT-Sicherheit.3. Zentralisierte Teams: OSPO und OSRBUm ein entsprechendes, SBOM-konformes Framework aufzustellen, braucht es dezidierte Teams in Unternehmen. Im sogenannten Open Source Program Office (OSPO) beispielswei-se arbeiten Vertreter aus den Bereichen Recht, Technik, Produkt und Sicherheit zusammen, um ganzheitliche Strategien intern zu implemen-tieren (Inbound-Use-Case) und Code innerhalb von Open-Source-Projekten in die Community einzubringen (Outbound-Use-Case).Die Aufgabe von Open Source Review Boards (OSRB) besteht darin, diese Prozesse kontinu-ierlich zu verfeinern. Gemeinsam mit dem Ent-wicklungsteam wird daran gearbeitet, die Nut-zung von Open Source und Drittanbieter-Code zu dokumentieren und zu überwachen. Auch hier sollten idealerweise Stakeholder aus den jeweiligen Rechts-, Entwicklungs-, Sicherheits-, IT- und Führungsteams zusammenkommen.Standardformate (zum Beispiel SPDX, CycloneDX, SWID) helfen Entwicklern darüber hinaus, Infor-mationen einheitlich zu dokumentieren und zu teilen. Darüber hinaus sollten Unternehmen ei-nige grundlegende Best Practices in den Erstel-lungsprozess von SBOM implementieren.1. Automatisierung und ZusammenarbeitEin zentrales Kriterium der SBOM ist ihre Auf-bereitung. Der Datensatz sollte nicht nur formal und abfragbar, sondern auch maschinenlesbar sein. Der Grund: Nur so lässt sich die nötige Au-tomatisierung beim Erstellen sowie beim Durch-suchen einer SBOM realisieren. Softwarepro-dukte sind komplex und legen mit jeder neuen Version und jedem neuen Update an Code-Um-fang zu. Wer sich hier manuell an das Auflis­ten von Code­Fragmenten und Abhängigkeiten macht, läuft nicht nur Gefahr, kontinuierlich ei­nen Schritt hinter dem aktuellen Entwicklungs­stand der Anwendung zu bleiben. Es passieren auch Fehler.Entwicklerteams mangelt es schlichtweg an Ressourcen. Zudem fehlt es oft an spezifischem Wissen, was die Open Source­Lizenzierung und sichere Codierungsverfahren angeht. Ent­wickler sind zudem nicht im Alleingang für die Software­BOM verantwortlich. Im Gegenteil, die Software­BOM setzt die Mitarbeit von Rechtsex­perten, Produktmanagern und Sicherheitsteams voraus. Automatisierte Software Composition Analysis­Tools unterstützen diesen kollabora­tiven Ansatz, scannen den Code, gleichen die gefundenen Komponenten mit externen Quellen (zum Beispiel Open­Source­Wissensdatenban­ken) ab und erstellen eine detaillierte Auflistung für alle Stakeholder.2. Kontinuierliche Überprüfung und AktualisierungSelbst bei vollständiger Automatisierung braucht die Erstellung einer SBOM Zeit. Die Aktualisie­rung der Software­Stückliste wird daher von den wenigsten Anbietern täglich durchgeführt, sondern erfolgt in regelmäßigen Abständen und/oder zu bestimmten Anlässen (zum Beispiel Veröffentlichung einer Schwachstelle, neues Re­lease). Wie häufig es zu SBOM­Updates kommt, hängt sowohl von der Anwendung selbst, als auch vom Unternehmen ab. Wichtige Faktoren sind unter anderem die Anzahl der Releases, die Größe des IT­Portfolios, die vorhandenen Ressourcen sowie die SBOM­Expertise. Auch mit dem Kunden vertraglich vereinbarte Services so­wie Compliance­Richtlinien sind entscheidend.Bilder: Passatic - stock.adobe.com (re.); nb_factory - stock.adobe.com (li.)

Dies geschieht am wirksamsten im Rahmen gezielter Informationskampagnen, die vom Management, den Führungskräften und IT- Sicherheitsverantwortlichen getragen und über unterschiedliche Kanäle verbreitet werden: zum Beispiel in Team-Meetings, Videos und Rund- mails. Dabei sollten die Mitarbeiter anhand kon- kreter Zahlen und Fakten sowie bekanntgewor- dener Sicherheitsvorfälle in der eigenen Branche ein Bewusstsein für die Gefahren von Phishing- angriffen entwickeln. So verlor zum Beispiel der österreichisch-chinesische Maschinenbauer FACC rund 43 Millionen Euro, als die Buchhaltung auf mehrere gefälschte E-Mails des angeblichen Firmenchefs hereinfiel und wiederholte Über- weisungen auf ausländische Konten vornahm. Um solche Horrorszenarien zu vermeiden, sollten die Unternehmen eindringlich an die Eigenverantwortung und Selbstwirksamkeit der Beschäftigten appellieren. Sie dürfen kei- nesfalls Angst vor Spear Phishing entwickeln, sondern müssen lernen, dass ihr Einsatz und ihre Aufmerksamkeit mitentscheidend für das Funktionieren des gesamten Unternehmens sind. Dies betrifft auch die achtsame Nutzung von Social-Media-Kanälen, wie eine Studie der Technischen Universität (TU) Darmstadt und IT-Seal zeigt.[2] Danach nutzen Cyberkriminelle verstärkt persönliche Daten, die die Mitarbeiter in den sozialen Netzwerken zugänglich machen, zum Aufbau gezielter Spear-Phishing-Mails. Ziel der Informationskampagne ist es, das richtige Mindset zu schaffen und die Mitarbeiter so auf die folgenden Security-Awareness-Trainings vorzubereiten. SKILLSET: SCHNELLE ENTSCHEIDUN- GEN FÖRDERN Awareness-Trainings entfalten dann ihre größ- te Wirkung, wenn sie theoretische Präsenz- schulungen, E-Learnings und Webinare mit praxisnahen Spear-Phishing-Simulationen SECURITY MANAGEMENT | MANAGED SECURITY DAVID KELM, Mitgründer und Geschäftsführer der IT-Seal GmbH IT-SICHERHEIT_5/2022 75 kombinieren. Diese verwenden echte Unter-nehmens- und Mitarbeiterinformationen, um reale Angriffe nachzustellen. Doch statt am Haken der Betrüger landet der Mitarbeiter auf einer interaktiven Erklärseite, wo er Hinweise auf die Merkmale der gefälschten E-Mail er-hält: von Buchstabendrehern in der Adresszeile über Fake-Subdomains bis hin zu zweifelhaf-ten Links. Simulierte Spear-Phishing-Angriffe nutzen den „Most teachable Moment“ eines Mitarbeiters, indem sie ihn im richtigen Moment über sein potenziell schadhaftes Verhalten aufklären. Das stärkt sein schnelles, intuitives Entscheidungs-vermögen und bewirkt, dass er künftig vorsich-tiger mit eingehenden E-Mails umgeht. Um ei-nen nachhaltigen Lerneffekt zu erzielen, sollten die Spear-Phishing-Simulationen kontinuierlich wiederholt und an die aktuellen Angreiferme-thoden angepasst werden. Zudem hat es sich als vorteilhaft erwiesen, dass die simulierten Phishingattacken am individu-ellen Schulungsbedarf der Mitarbeiter ausge-richtet werden und eine kennzahlenbasierte Dokumentation der Lernfortschritte erlauben. Diese Kennzahlen dienen der Ermittlung des Si-cherheitsbewusstseins der Mitarbeiter und kön-nen sich beispielsweise danach richten, wie die Mitarbeiter auf Phishing-Simulationen verschie-dener Schwierigkeitsgrade reagieren. Die Un-ternehmen können damit jederzeit feststellen, wo Defizite und Handlungsbedarfe bestehen und weitere Schulungsmaßnahmen abgeleitet werden sollten.TOOLSET: INNOVATIVE SICHERHEITS-TECHNIK NUTZEN Wer den Phishing-Angreifern noch deutlicher Paroli bieten möchte, sollte ergänzend auf geeignete IT-Sicherheitswerkzeuge setzen – neben 2- oder Multi-Faktor-Authentifizierung (2FA/MFA) bieten sich Password Manager an, die einfach zu integrieren sind und eine zentrale Speicherung und Verwaltung di-gitaler Identitäten erlauben. Damit lässt sich verhindern, dass die Mitarbeiterin-nen und Mitarbeiter aus Bequemlich-keit immer die gleichen Log-in-Daten für alle wichtigen Konten wählen. Gelingt es Spear-Phishing-Angreifern, ein be-stimmtes Passwort zu stehlen, stehen ihnen nicht mehr automatisch alle an-deren Nutzerkonten offen, wenn ein Password Manager im Einsatz ist.Einen weiteren Schutz vor Spear-Phishing-Be-trügern können spezielle Tools zur Erkennung und Meldung zweifelhafter E-Mails bieten. Ein Beispiel bieten sogenannte Reporter Buttons, die direkt in Microsoft Outlook integrierbar sind. Erhalten Nutzer eine verdächtige E-Mail, lässt sich damit per Knopfdruck prüfen, ob diese auch tatsächlich das Werk von Betrügern ist. Sind sich die Mitarbeiter dann immer noch unsicher, können sie diese E-Mail per zweitem Knopf-druck zur Analyse an die IT-Sicherheitsverant-wortlichen weiterleiten. Wird die E-Mail dann tatsächlich als gefälscht identifiziert, wird sie un-verzüglich gesperrt. Das reduziert die Gefahren-quellen, während die IT-Sicherheitsverantwort-lichen einen fundierten und fast tagesaktuellen Überblick über die Phishing-Bedrohungslage im Unternehmen erhalten. FAZITMindset – Skillset – Toolset: Mit dieser Kombi-nation aus didaktischen, organisatorischen und technischen Maßnahmen können die Unter-nehmen ein Bollwerk gegen die wachsenden (Spear)-Phishing-Gefahren errichten. Sie setzen bei einer der größten Schwachstellen in der Si-cherheit eines Unternehmens – den Mitarbeite-rinnen und Mitarbeitern – an und nutzen ergän-zende IT-Sicherheitstechnik. nQuellen[1] Bitkom: „Wirtschaftsschutz 2021“, 5. August 2021 [2] Anjuli Franz und Evgheni Croitor, Technische Universität (TU) Darmstadt: „Who bites the Hook? Investigating Employees‘ Susceptibility to Phishing: A randomized Field Experiment“, 2021

ckeln. Die Motive solcher Kampagnen variieren zwischen Spionage, Diebstahl von Zugangsda- ten und Finanzbetrug. schalten, auf die sich die Öffentlichkeit für eine zuverlässige Kommunikation verlässt ƒ kritische Infrastrukturen im Visier von An- Potenzieller „Spillover“ von Cyberaktivitäten, die EU-Ziele betreffen: Die Cybersecurity and Infrastructure Security Agency (CISA) und andere multinationale Cyber- agenturen haben wiederholt ihre Besorgnis dar- über geäußert, dass sich die in Russland und der Ukraine beobachteten Cyberaktivitäten über die Konfliktzone hinaus ausbreiten und Organisatio- nen in den USA, der EU oder westlichen Gebieten beeinträchtigen könnten. Die Beteiligung von Hacktivisten erhöht das Risiko: Hacktivistische Handlungen in geopolitischen Konflikten laufen Gefahr, von beiden Seiten falsch zugeordnet zu werden, als staatlich ge- förderte, feindliche Aktivitäten interpretiert zu werden und die Spannungen ungewollt zu ver- schärfen. Hacktivismus (auch wenn er noch so gut gemeint ist) kann die kinetischen Aktivitäten auf dem Schlachtfeld eskalieren lassen und die Risiken im Cyberspace erhöhen – eine Tatsache, die Menschenleben fordern, kritische Infra- strukturen zerstören oder zu Vergeltungsmaß- nahmen führen kann, die sich gegen diejenigen Nationen richten, von deren Staatsgebiet die Angriffe ausgehen. Ein aktuelles Beispiel, das dieses Phänomen verdeutlicht, ist das Bekannt- werden von Conti-Daten (einschließlich des Quellcodes). Diese wurden von einem ukraini- schen Hacktivisten aus der Ransomware-Gruppe gestohlen – als Reaktion auf Contis öffentliches Versprechen, Russland in dem Konflikt zu un- terstützen. Der Code von Ransomware ist schon früher durchgesickert, wie zum Beispiel bei der Babuk-Ransomware, und hat zur Wiederver- wendung und Modifizierung der Ransomware durch neue Bedrohungsakteure geführt. Dies ist auch hier ein echtes Risiko. Auch wenn vieles des bisher gesagten mit den Cyberauswirkungen eines bestimmten geopoli- tischen Konflikts zusammenhängt, prognostizie- ren Experten mehrere Gefahren, die sich schon bald auf die Cyberbedrohungslandschaft auswir- ken werden. Einige davon haben bereits begon- nen, sich bemerkbar zu machen. Organisationen sollten sich auf Folgendes einstellen: ƒ anhaltende Beeinflussungskampagnen und Versuche von staatlich unterstützten Akteu- ren, sichere Kommunikationskanäle auszu- griffen ƒ steigende Kraftstoff-/Energiepreise, wirt- schaftliche Instabilität und Cyberversiche- rungen, die weniger abdecken und mehr verlangen ƒ vermehrte Angriffe auf Open-Source-Biblio- theken und -Pakete sowie andere Technolo- gien, die in Lieferketten enthalten sind ƒ Ransomware: - zunehmende Ransomware-Aktivitäten, wobei der Schwerpunkt wieder auf Ver- brauchern, KMU und mittelständischen Unternehmen liegt - zunehmende Konzentration von Cyberkri- minellen (mit Ransomware und BEC an der Spitze) auf SaaS- und Cloud-Technologie - Die Veröffentlichung des Conti-Quellcodes könnte zu neuen Varianten führen, die von neuen Akteuren genutzt werden, wie es bei der Veröffentlichung des Codes der Babuk- Ransomware der Fall war. - Entstehen neuer, lose verbundener Hacker- gruppen, wie im Russland/Ukraine-Krieg beobachtet ƒ das wahrscheinliche „Durchsickern“ von Mal- ware, die in Konflikten eingesetzt wird, in die Hände von Cyberkriminellen, die sie nach ei- genem Gutdünken verändern und umfunktio- nieren können – und umgekehrt ƒ Zunahme von mehrgleisigen Cyberangriffen, wie zum Beispiel Ransomware-Angriffe in Kombination mit Beeinflussungskampagnen, DDoS, zerstörerische Malware, Operationen unter falscher Flagge etc. In dieser sich schnell verändernden Landschaft ist das, was Sicherheitsverantwortliche heute tun, entscheidend für die Bereitschaft und Reak- tionsfähigkeit im Fall eines Cyberangriffs. Bran- chenunabhängig sollten alle Unternehmen ihre IT-Infrastruktur so ausstatten, dass das Risiko und die Angriffsfläche reduziert werden. WARUM ENDPUNKTHÄR- TUNG UND -VORBEREI- TUNG SO WICHTIG SIND Der beste Zeitpunkt, um Asset-Management und Patching-Workflows einzurichten, war ges- tern. Der zweitbeste Zeitpunkt ist heute. Wäh- rend sich viele Angreifer derzeit auf Systeme in Ländern konzentrieren, die in einen aktiven militärischen Konflikt verwickelt sind, haben ENDPOINT | MOBILE SECURITY Forscher und Spezialisten für Bedrohungsdaten auf einen wahrscheinlichen Anstieg der Cyber- kriminalität hingewiesen, da die Auswirkungen von Sanktionen im Zusammenhang mit diesen Konflikten zu wirtschaftlicher Unsicherheit in verschiedenen Teilen der Welt führen. Unter- nehmen sollten diese Zeit unbedingt nutzen, um Lücken in der Patch-Verwaltung für Betriebssys- teme und Tools von Drittanbietern zu schließen und ihre Richtlinien zu optimieren, um Ihre An- griffsfläche zu verringern. Höchste Priorität haben die Beseitigung von Abdeckungs- und Sichtbarkeitslücken, die Be- hebung von Patch-Fehlern und die Aktualisie- rung von Drittanbieter-Software. Die aktuelle Bedrohungslandschaft toleriert keine Endgeräte, die länger als 30 Tage nicht upgedatet wurden. Sicherheitsverantwortliche sollten diese Gele- genheit nutzen, um alle Systeme, einschließ- lich Server und Workstations, auf den neuesten Stand der Betriebssystem-Patches und der Soft- ware von Drittanbietern zu bringen. In der unmittelbaren Zukunft sollte den folgen- den Maßnahmen Vorrang eingeräumt werden: ƒ Beantragung einer Notfall-Änderungsgeneh- migung, um verpasste Patches schnellstmög- lich aufzuspielen ƒ Einsatz einer Patch-Management-Lösung oder Behebung von Patch-Fehlern ƒ Patches für das Betriebssystem aufspielen ƒ Aktualisieren der Software von Drittanbietern ƒ Entfernung von nicht autorisierter, inaktiver oder nicht unterstützter Software ƒ Anwendung von Richtlinien zur Reduzierung der Angriffsfläche ƒ Sicherstellen, dass Pläne zur Reaktion auf Vorfälle von den genutzten Tools unterstützt werden ƒ Warnungen und Anweisungen des BSI beach- ten und unverzüglich umsetzen n ZAC WARREN, Senior Director Cybersecurity Advisory EMEA bei Tanium IT-SICHERHEIT_5/2022 77

Besonders kleine und mittlere Unternehmen (KMU) stehen oft vor dem Problem, dass ihnen das notwendige Fachwissen zu Datenschutz- und IT-Sicherheitsthemen fehlt oder Fachpersonal nur schwer am Arbeitsmarkt zu bekommen ist. Zur Unterstützung können sie auf unabhängige Berater und externe Datenschutzbeauftragte zurückgreifen. Aber auch Unternehmen selbst können Einiges tun, um eine gute Basis für Da- tenschutz und IT-Sicherheit zu schaffen. Sie be- ruht auf drei Elementen: Menschen, Prozessen und Technologie. MITARBEITENDE WEITERBILDEN Der erste Schritt, um das Thema Datenschutz im eigenen Unternehmen voranzutreiben, ist eine entsprechende Sensibilisierung der eigenen Mitarbeitenden. Sie müssen geschult werden, damit sie sich darüber im Klaren sind, was per- sonenbezogene Daten sind und wie mit diesen umgegangen werden muss. Es sollte auch klar sein, welche Strafen bei Missachtung der DS- GVO drohen. Datenschutz muss zu einem festen Bestandteil der Unternehmenskultur werden. Besonders dort, wo vermehrt mobiles Arbeiten zum Berufsalltag zählt, gilt, dass die Belegschaft ausreichend für Datenschutz und IT-Sicherheit sensibilisiert sein muss. Die Angriffsmöglichkei- ten auf sensible Unternehmensdaten sind durch das Homeoffice deutlich gewachsen. Unternehmen ab einer gewissen Größe müssen einen Datenschutzbeauftragten benennen, der sowohl intern als auch extern gegenüber Behör- den als Ansprechpartner dient. Dabei muss es sich allerdings nicht zwingend um ein Mitglied der eigenen Organisation handeln, auch Externe können diese Aufgabe übernehmen. So bieten unabhängige Prüforganisation den Unterneh- men nicht nur ausführliche Schulungen für ihre Belegschaft an, sondern stellen auch externe Datenschutzbeauftragte. PROZESSE GESTALTEN Im zweiten Bereich geht es um die Betrachtung der Abläufe und Prozesse innerhalb der Orga- nisation, bei denen personenbezogene Daten, etwa von Kunden oder Beschäftigten, verarbei- tet werden. Beispielsweise werden personen- bezogene Daten häufig über die Webseite des DATENSCHUTZ | BACKUP | ARCHIVIERUNG Unternehmens verarbeitet. Dort werden Daten von Besuchern unter anderem mittels Cookies erfasst – regelmäßig erfordert dies die Zustim- mung des Nutzers. Das Unternehmen ist dazu verpflichtet, sich diese Zustimmung über ein Cookie-Banner einzuholen, das bei dem ersten Besuch der Webseite angezeigt wird. Was genau das Banner an Informationen für den Nutzer enthalten muss und ab wann eine Einwilligung rechtens ist, wird durch die DS-GVO vorgege- ben. Ebenso ist bestimmt, wie im Anschluss mit den Daten umgegangen werden darf. Wer hier Fehler vermeiden will und kein geeignetes Fach- personal zur Verfügung hat, sollte auf die Hilfe unabhängiger Experten zurückgreifen. Mobiles Arbeiten gewinnt weiter an Bedeutung. Auch mit Blick hierauf ergeben sich neue Anfor- derungen für den Datenschutz im Unterneh- men: Mit Mitarbeitenden im Homeoffice sollte der Abreitgeber idealerweise eine Vereinbarung treffen, die alle im Einzelfall zutreffenden Pflich- ten und Schutzvorkehrungen dokumentiert. In diesem Vertrag können dann auch Abwehrmaß- nahmen und Kontrollrechte festgelegt sein. TECHNISCHE INFRA- STRUKTUR INTELLIGENT NUTZEN Der dritte Eckpfeiler des Datenschutzes ist die IT-Infrastruktur, die innerhalb des Unterneh- mens eingesetzt wird. Dabei steht die Technolo- gie zum Speichern und Verschlüsseln personen- bezogener Daten besonders im Fokus. Welchen Anforderungen die IT-Abschirmung laut DS-GVO dabei gerecht werden muss, ergibt sich aus einer objektiven Bewertung der Daten, die verarbeitet werden. Grundsätzlich gilt: Je sensibler die Daten sind, umso besser müssen sie durch technische Maßnahmen geschützt werden. Besonders drei Aspekte sollten hierbei berücksichtigt werden: Die Vertraulichkeit, die Integrität und die Verfüg- barkeit von Daten – in der IT-Sicherheit auch als C.I.A.-Triade bekannt (Confidentiality, Integrity, Availabilty). Es muss sichergestellt sein, dass Da- ten für unbefugte Personen unzugänglich sind, dass Daten nicht unbefugt verändert werden können und dass Daten nicht verloren gehen. Zur Gewährleistung dieser Anforderungen soll- ten die verwendeten IT-Systeme regelmäßig geprüft werden – so lässt sich sicherstellen, dass keinerlei Datenschutzvorfälle geschehen, weil Sicherheitslücken übersehen wurden. Viele unabhängige Prüfstellen bieten entsprechende Untersuchungen und Zertifizierungen an. Immer wichtiger werden internetfähige Geräte und Systeme. Als Teil des stetig wachsenden Inter- net of Things (IoT) sind sie Schnittstellen nach außen, dadurch wächst auch die Verletzbarkeit für Angriffe von außen. Entsprechend arbei- ten Gremien von Behörden sowie unabhängige Prüfstellen daran, Normen und Standards für IoT-Geräte zu etablieren, damit sich einheitliche Sicherheitsstandards durchsetzen. Mobiles Arbeiten muss bei der Betrachtung der IT-Infrastruktur und IT-Sicherheit eben- falls Berücksichtigung finden. Konkret bedeutet das: Keine Nutzung privater Endgeräte, alle Ar- beitsrechner dürfen nur über ein Virtual Private Network (VPN) auf die Firmensysteme und In frastruktur zugreifen und durch Sicherheits- lösungen geschützt sein. Dabei ist es essenzi- ell, dass private und geschäftliche Daten strikt getrennt werden. DATENSCHUTZ SCHAFFT VERTRAUEN Datenschutz ist ein wichtiger Grundstein für das Vertrauen der Kunden, Mitarbeitenden und Geschäftspartner in ein Unternehmen. Es reicht aber nicht, gesetzliche Richtlinien und Anfor- derungen einzuhalten, auch die notwendige Transparenz bei Sammlung und Verarbeitung der personenbezogenen Daten muss gewähr- leistet sein. Die drei Elemente eines guten Da- tenschutzkonzepts – der Mensch, die Prozesse und die Technik – dienen Unternehmen dabei als Orientierung. n STEFFEN REIMANN, Produkt- und Partnermanager, TÜV SÜD Akademie IT-SICHERHEIT_5/2022 79 Bilder: Daniel Berkmann - stock.adobe.com; peach_adobe - stock.adobe.com

CLOUD SECURITY | WEB APP SECURITY der Entwicklungsphase Fehlkonfigurationen zu vermeiden. CSPM-Lösungsansätze helfen, die wichtigsten Herausforderungen wie Komplexi- tät, Datenabfluss und Compliance der Infra- strukturen zu adressieren. Inkonsistente Sicher- heitsausstattungen und Mindestanforderungen in den unterschiedlichen Phasen des Software- Entwicklungszyklus und mehreren Cloud-Um- gebungen verkomplizieren die Steuerung und die Kontrolle von Sicherheitsmaßnahmen. Par- allel zur Ransomware-Bedrohung hat sich auch die Bedeutung von Governance, Risk und Com- pliance (GRC) in den Unternehmen entwickelt. Hier steht und fällt das Risikomanagement von Cybergefahren mit den Fähigkeiten und Erfah- rungen der Mitarbeitenden sowie deren Ein- fluss auf die Geschäftsführungsebene. Fehlkonfigurationen von Cloud-Anwendungen zählen zu den häufigsten Ursachen für unge- wollten Datenabfluss. Sie kosten die Organi- sationen nicht nur viel Zeit und Geld, sondern können auch den Ruf beschädigen, wenn es zu einem Cybersicherheitsvorfall mit Datenverlust kommt. Ein Beispiel sind die nach einem Ran- somware-Vorfall mit doppelter Erpressungsme- thode veröffentlichten Kundeninformationen zu Verträgen, personenbezogenen Daten sowie Unternehmensinterna. Die dezentrale Bereit- stellung von Anwendungen für unterschiedliche Standorte und User-Gruppen erschwert zudem ihre einheitliche Absicherung unter Einhaltung aller geltenden Vorschriften wie der DS-GVO, bei KRITIS dem IT-Sicherheitsgesetz 2.0 sowie zahl- reichen branchenspezifischen oder international geltenden Anforderungen. Die folgenden sieben Faktoren helfen den Ver- antwortlichen dabei, die für sie richtige CSMP- Lösung auszuwählen: 1. Ermittlung Die Bestandsermittlung aller Assets und deren Inventarisierung ist die Grundvoraussetzung vor der Auswahl eines Ansatzes. In Multicloud-Im- plementierungen wird diese Art Informationen jedoch oftmals in Silos vorgehalten. Unabhängig vom Cloud-Anbieter ist eine einheitliche Datener- fassung ein Muss, und die Auswahl eines Anbie- ters mit einer agentenlosen Architektur gewähr- leistet eine schnelle und umfassende Erkennung. 2. Priorisierung Bei der Risikobewertung sollte eine klare Prio- ri tätensetzung erfolgen im Einklang mit der Risikotoleranz der Organisation. Die Verantwort- lichen müssen sicherstellen, dass die Lösung kontextabhängig arbeitet und die Aufmerk- samkeit auf die Dinge lenkt, die am wichtigs- ten sind, basierend auf dem Bedrohungsniveau, der jeweiligen Industrie und der Sensibilität der Umgebung. 3. Konformität Das Augenmerk sollte darauf gelegt werden, dass die Lösung mit einem Klick Berichte zum Nachweis der Konformität mit gängigen Daten- standards wie PCI, DSS, NIST und anderen bereit- stellen kann. Damit entfällt der komplexe manu- elle Aufwand des Sammelns von Daten und der Erstellung von Reports. 4. Optimierung Die Lösung sollte in der Lage sein, eine Schritt- für-Schritt-Anleitung mit relevanten und um- setzbaren Handlungsanweisungen zu liefern – aufbauend auf der Diagnose. Allzu oft entdecken Tools ein Problem, ohne einen entsprechenden Plan zur Behebung zur Verfügung zu stellen, wodurch sich die Komplexität der Fehlerbehe- bung erhöht. 5. Integration Eine Integration von IDE-Plattformen, DevOps- Tools und Code-Repositories hilft dabei, Pro- bleme auf Code-Ebene bereits in der Generie- rungsphase zu erkennen. Es ist einfacher, Fehler frühzeitig zu beheben, bevor sie in der Produk- tionsphase erkannt werden. Die Devise sollte „Vorbeugen“ lauten und nicht „nachträgliches Beheben von Fehlkonfigurationen“. 6. Konsolidierung Zur Komplexitätsreduktion bietet sich die Kon solidierung von IT-Umgebungen an, was gleichzeitig zu einer besseren Interoperabilität beiträgt. Sicherheitslösungen wie Cloud Infra- structure Entitlement Management (CIEM), Data Loss Prevention (DLP) oder das Scannen auf Schwachstellen können dazu in einer ein- zigen Plattform zusammengeführt werden. Damit steht Security-Analysten eine Übersicht aus einer Bandbreite an Datenquellen auf einen Blick zur Verfügung. 7. Automation Wert sollte ebenfalls auf die Automatisierung und „Selbstheilung“ zur Fehlerbehebung gelegt werden. Der Fachkräftemangel sowie die sich stetig verändernde Bedrohungslandschaft erfor- dern den Einsatz von KI, um die beschriebenen Prozesse so weit wie möglich zu automatisieren. FAZIT: CSPM ALS TEIL VON CNAPP Eine umfassende Cloud Native Application Protection-Plattform (CNAPP) unterstützt Orga- nisationen durch Erkennen, Priorisieren und Be- heben von Risiken in Cloud-Infrastrukturen und nativen Anwendungsbereitstellungen in allen Multicloud-Umgebungen. Durch proaktive Identifizierung und Korrektur von Fehlkonfigurationen in IaaS und PaaS trägt die CSPM als Bestandteil zur Reduzierung von Risiken sowie Gewährleistung der Konformität mit allen geltenden Vorschriften in AWS, Azure und Google-Cloud-Plattform bei und unterstützt die Aufrechterhaltung eines robusten Sicher- heitsstatus. Ein solches Vorgehen unterstützt bei der Umsetzung von IT-Sicherheits- und Compli- ance-Maßnahmen durch Abgleich mit vordefi- nierten Richtlinien. Diese Richtlinien decken ein breites Spektrum von Standards und Best Practi- ces ab. Unternehmen müssen auf ihrem Weg in die Multicloud die IT-Sicherheit von Anfang an mitdenken, um gefährliche Konfigurationsfehler zu vermeiden. n MARTYN DITCHBURN, Director of Transformation Strategy bei Zscaler IT-SICHERHEIT_5/2022 81

Abbildung 1: Trusted Execution Environment/Enklave prüfe immer“ (siehe dazu zum Beispiel den Absatz „Remote Attestation“). Unterschiedliche Hersteller haben eigene Confidential-Computing-Lösungen auf dem Markt gebracht: ARM mit TrustZone, Intel mit SGX (SoftwareGuard Extension) und der Intel Management Engine sowie AMD mit SP (Se- cure Processor) und Secure Encrypted Virtual Machines. Allerdings ist Intel SGX im Bereich Confidential Computing zurzeit die vorherr- schende Lösung am Markt und soll als Basis für weitere Betrachtungen dienen. INTEL SGX Intel SGX wurde von Intel mit Mikroprozessoren der sechsten Generation im Jahre 2015 einge- führt. Intel SGX steht für Software Guard Exten- sion und ist eine Erweiterung der x86-Architek- tur, die es erlaubt, sichere Enklaven zu erstellen und zu verwalten. Remote Attestation, Sealing, Runtime Speicher-Verschlüsselung und Isolie- rung gehören zu den Kernfunktionen von SGX. Problematisch bei einer lokal nicht zur Verfü- gung stehenden und nicht durch TEEs ge- schützten, vertrauenswürdigen Ausführungs- umgebung ist die mangelnde Kontrolle über potenzielle Angriffe. Dies ist ein wichtiger Punkt, da es eine Vielzahl von Angriffsflächen gibt – zum Beispiel das Betriebssystem, den Hypervi- sior oder die virtuellen Maschinen. Das Ziel von SGX ist, den Bereich, auf dem Angriffe auf die Inhalte einer Enklave ausgeübt werden können, so klein wie möglich zu halten. IT-SICHERHEIT_5/2022 83 Bild: blackboard - stock.adobe.comAUS FORSCHUNG UND TECHNIKfür die Sicherheit und Vertrauenswürdigkeit der Enklaven verantwortlich sind und sie umsetzen.CONFIDENTIAL COMPUTING AUF DEM PUNKTConfidential Computing ist ein wichtiger und zukunftsorientierter Aspekt in der IT-Sicherheit, der aus dem Bedarf der Interaktion zwischen verschiedenen IT-Umgebungen hervorgegangen ist. Mithilfe von Confidential Computing ist es möglich, remote die Daten und den Code einer Anwendung vertrauenswürdig im verschlüs-selten Zustand als Enklaven auf einem fremden IT-System wie Cloud-Infrastrukturen sicher zu verarbeiten. Alle dafür notwendigen Sicherheits-funktionen sind in der CPU implementiert. Damit haben Hacker, Malware und Insider mit krimi-nellen Absichten keinen Einfluss mehr auf die Sicherheit der Anwendung in der Cloud. Folglich muss dem Cloud Provider nicht mehr vertraut werden, sondern nur noch der CPU mit ihren Sicherheitsfunktionen und dem eigenen Code in der Enklave.Confidential Computing erfüllt zwei wesentliche Sicherheitsaspekte: ƒZum einen wird der Stand der Technik in Be-zug auf Datenschutzanforderungen bei der Nutzung von Cloud-Anwendungen automa-tisch erfüllt. ƒZum anderen ist Confidential Computing Teil des Zero-Trust-Prinzips, bei dem das Sicher-heitsparadigma lautet: „Vertraue nie, über-Vertrauenswürdigkeit ist das Schmiermittel der modernen IT sowie der Digitalisierung. Das Vertrauen von Unternehmen in Cloud-Anwen-dungen ist heute jedoch noch eher gering – aus Angst, dass Unbefugte Zugriffe auf vertrauliche Daten und den Code einer Anwendung in der Cloud erlangen könnten.Der Code ist das Softwareprogramm, mit dem die Daten in der Anwendung verarbeitet wer-den. Bei der Betrachtung moderner Software-Stacks ist festzustellen, dass die Anwendungen meist in virtuellen Maschinen laufen, die häufig in Cloud-Infrastrukturen gehostet werden. Im Rahmen dieser Konfigurationen werden die Daten während der Verarbeitung im Hauptspei-cher nicht geschützt. Prinzipiell können sie so-mit zum Beispiel durch gezielte Angriffe – etwa solche, die Schwachstellen ausnutzen oder ei-nen sogenannten Seitenkanal-Angriff – gezielt ausgelesen werden, da die Daten im Klartext verarbeitet werden.Mit Confidential Computing besteht die Mög-lichkeit, diesen und anderen Angriffen effektiv entgegenzuwirken. Die Daten und der Code werden in einer sogenannten Trusted Executi-on Environment (TEE) geschützt verarbeitet, die eine sichere beziehungsweise vertrauenswür-dige Laufzeitumgebung für Anwendungen zur Verfügung stellt. Enklaven stellen dabei eine Realisierungsform von TEE dar. Die grundsätz-liche Idee hierbei ist, die Angriffsfläche sehr stark zu reduzieren. Die Anzahl der erzeugbaren Enklaven kann beliebig groß sein, steht aber in Abhängigkeit zur Performance der eingesetzten CPU. Enklaven können auch miteinander kom-munizieren, zum Beispiel wenn eine Webser-ver-Enklave ein Datenbank-Enklave nutzt.In Abbildung 1 ist die prinzipielle Einbindung von Enklaven als TEEs dargestellt. Es ist zu erkennen, dass nur der nicht geschützte Teil der Anwen-dungen Zugriff auf die ihnen zugeordneten Enklaven mit dem geschützten Teil der Anwen-dung (Code und Daten) haben. Die Nutzerinter-aktion erfolgt über die Anwendung außerhalb des TEEs. Es ist außerdem zu erkennen, dass die Enklaven stark voneinander isoliert sind und es keine ungewollten Kommunikationskanäle zwischen ihnen gibt. Um Confidential Compu-ting umsetzen zu können, werden CPUs mit erweiterten Sicherheitsfunktionen benötigt, die

Abbildung 3: Remote Attestation bei Confidential Computing Abbildung 4: SGX Hardware/Software IT-SICHERHEIT_5/2022 85 werden kann, wenn sie auf einer fremden IT-Infrastruktur verarbeitet wird, oder zwei Enkla-ven miteinander in diese kommunizieren. Es ist so möglich festzustellen, ob die entsprechenden Daten und der Code in der Enklave nicht mani-puliert und damit original sind. Im Folgenden werden zwei Varianten der Attestation beschrie-ben. Zum einen die Local Attestation und zum anderen die Remote Attestation.Local AttestationLocal Attestation beschreibt den Prozess, wenn zwei Enklaven auf derselben Cloud-Infrastruktur laufen. Ziel ist es, ein Vertrauensverhältnis zwi-schen zwei lokalen Enklaven aufzubauen. Die zu prüfende Enklave erstellt dabei einen Report und signiert diesen mit ihrem privaten Schlüssel, der in der CPU gespeichert ist.Die andere Enklave kann nun mit dem passen-den öffentlichen Schlüssel der prüfenden En-klave diese Signatur verifizieren. Zwischen den Enklaven ist bereits eine sichere Verbindung, zum Beispiel basierend auf dem Diffie-Hellman-Verfahren, hergestellt worden.[2] Der Report be-inhaltet den Hashwert des Codes und der Daten in der Enklave, ihre Konfiguration sowie weitere Attribute.Remote AttestationMit Remote Attestation kann die Vertrauens-würdigkeit eines sich auf einer fremden IT-Infrastruktur befindlichen Enklave festgestellt werden, zum Beispiel einer in der Cloud laufen-den Enklave, bevor mit dieser Daten und Code verarbeitet werden. Es wird also überprüft, ob die richtige Anwendung auf der richtigen Cloud-Infrastruktur läuft. Die benötigten Schlüssel für die Attestation werden bei der CPU-Herstellung von Intel generiert. Für die Remote Attestation ist es zum einen möglich, den Intel-Attestie-rungsdienst zu verwenden und zum anderen, einen eigenen Attestierungsdienst aufzubauen.In Abbildung 3 ist der Ablauf von Remote Attes-tation bei Confidential Computing schemenhaft dargestellt. Im ersten Schritt (1) wird von der prüfenden Instanz eine Challenge an die An-wendung gesendet, um zu überprüfen, ob die richtige Anwendungs-Enklave auf der richtigen IT-Infrastruktur läuft. Die Anwendung gibt die Challenge an die Anwendungs-Enklave weiter (2). Die Challenge dient dem Zweck, zu bewei-sen, dass die betreffende Anwendungs-Enklave nicht manipuliert wurde (Daten und Code). Au-ßerdem wird von der Anwendungs-Enklave ein Report erstellt, mit dem der Code, die Daten, die Konfiguration und weitere Attribute der Anwen-dungs-Enklave überprüft werden können.In Schritt (3) sendet die Anwendungs-Enklave die Antwort der Challenge und den Report an die Anwendung. Diese schickt die Informationen an die sogenannte Quoting Enklave. Dies ist eine von Intel bereitgestellte Enklave, die als vertrau-enswürdiger Zwischenhändler fungiert. Der von der Anwendungs-Enklave erstellte Report und die Lösung der Challenge wird nun zur Quoting Enklave gesendet (4) und dort mit dem gehei-men Teil des Root Provisioning Keys, der sicher in der CPU gespeichert ist, signiert. Das Ergebnis ist nun der sogenannte Quote, ein Zertifikat. Der Quote wird über die Anwendung (5) zur Verifi-kation an die zu überprüfende Instanz gesendet (6). Die überprüfende Instanz verwendet den von Intel bereitgestellten Attestierungsdienst oder einen selbst gehosteten, um die Quote-Signatur der Quoting Enklave zu verifizieren. Der Attestierungsdienst hat Zugriff auf die Daten-bank, in der alle öffentlichen Schlüssel der Root Provisioning Key aller Intel-CPUs gespeichert sind. Dies wird dadurch ermöglicht, da Intel bei der Produktion den Schlüssel generiert und den öffentlichen Teil in einer Datenbank abspeichert. Anschließend checkt die überprüfende Instanz den Inhalt des Reports und stellt sicher, dass die erwartete Antwort auf die Challenge enthalten ist.[2], [3]SGX HARD- UND SOFTWAREDamit Confidential Computing in Betrieb ge-nommen werden kann, müssen verschiedene Parteien innerhalb der IT-Infrastruktur zusam-menarbeiten. Die User Runtime stellt in diesem Kontext das Bindeglied zwischen der eigentli-chen Hardware und den Enklaven dar. Die User AUS FORSCHUNG UND TECHNIK

16.–18.11.2022 online & in Köln m o c . e b o d a . k c o t s - o t s a k © Hybrider Datenschutz- Kongress DATENSCHUTZ – GESTALTUNGSAUFTRAG IM ZEITALTER DER DIGITALISIERUNG 46. DAFTA & 41. RDV-Forum Jetzt anmelden: datakontext.com/dafta-2022

Damit umfasst der Data Act unter anderem Regeln für die Nutzung von Daten, die solche vernetzten Geräte, Maschinen und Produkte generieren. Nutzende kön- nen dabei Unternehmen als auch Verbraucher sein. Der Data Act soll es den Nutzenden ermöglichen, diese Da- ten auszuwerten und unter bestimmten Bedingungen an Dritte weiterzugeben. Unter Daten werden darunter sowohl personenbezogene als auch nicht personenbezo- gene Daten verstanden, womit der Anwendungsbereich des Data Act klar über den der DS-GVO hinausgeht. Der Zugang zu Daten und deren Nutzung soll zwischen Un- ternehmen sowie zwischen Unternehmen und Behör- den erleichtert werden. Angestrebt ist zudem ein ausgewogenes Verhältnis zwi- schen dem Recht auf Zugang zu Daten und Anreizen für Investitionen in Daten. Die Regelung des Zugangs und der Nutzung industrieller Daten, also gerade auch nicht personenbezogener Daten, durch Verbraucher und Un- ternehmen ist insofern Kernelement des Entwurfs („Ac- cessability by Design“). Ebenso soll durch den Entwurf und die entsprechenden Regelungen die Eröffnung ei- nes Wettbewerbsmarktes für Daten geschaffen werden. Ziel des Data Act ist es also, Fairness in Bezug auf Da- ten zu schaffen, Rechte der Nutzenden transparent zu machen, ihnen die Ausübung der Rechte zu erleichtern sowie eine Kohärenz zwischen Zugriffsrechten zu ge- währleisten – und das sowohl für die Privatwirtschaft als auch den öffentlichen Sektor. WANN KOMMT DER DATA ACT ZUR ANWENDUNG? Der sachliche Anwendungsbereich des Data Act betrifft Regelungen über die Bereitstellung von Daten, die bei der Nutzung eines Produkts oder verbundenen Diens- tes erzeugt werden. In Art. 2 Data Act-E findet sich eine Reihe von Begriffsdefinitionen, die die Elemente des sachlichen Anwendungsbereiches definieren und damit auch näher abgrenzen. Daten sind gemäß Art. 2 Data Act-E „jede digitale Darstellung von Handlungen, Tat- sachen oder Informationen, sowie jede Zusammenstel- lung solcher Handlungen, Tatsachen oder Informatio- nen, auch in Form von Ton-, Bild- oder audiovisuellem Material“. Während IoT- oder IIoT-Geräte, also Produkte, die durch ihre vernetzten Funktionen Daten über unter an- derem die Umgebung erlangen, erzeugen oder sammeln können, unter die Verordnung fallen sollen, sind bei- spielsweise Tablets, Smartphones, Kameras, Webcams oder Textscanner von ihr ausgeschlossen. Gravieren- der Unterschied und Grund dafür ist, dass für Letztere ein menschlicher Beitrag zur Generierung von Daten notwendig ist, während dies bei den zuerst genannten IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT Während IoT- oder IIoT- Geräte, also Produkte, die durch ihre vernetzten Funktionen Daten über unter anderem die Umgebung erlangen, erzeugen oder sammeln können, unter die Verordnung fallen sollen, sind beispielsweise Tablets, Smartphones, Kameras, Webcams oder Textscanner von ihr ausgeschlossen. Geräten vollständig automatisiert möglich ist. Hin- sichtlich virtueller Assistenten, die häufig in Smart- Home-Umgebungen mit IoT eng zusammenspielen, aber nicht in direkter Verknüpfung mit einem Produkt stehen, fordert die Verordnung ihre Geltung ein. Hier müssen Unternehmen dann aber genau differenzie- ren, für welche Daten der Data Act Anwendung finden kann. Dies soll nur für diejenigen Daten gelten, die aus der Interaktion zwischen dem Nutzenden und dem Pro- dukt über den virtuellen Assistenten stammen. Vom virtuellen Assistenten erstellte Daten, die nicht mit der Verwendung eines Produkts zusammenhängen, sind nicht Gegenstand des Data Act. Für Unternehmen ist es daher entscheidend, welche Produkte sie herstellen, anbieten oder gar selbst nutzen, um von den einzelnen Rechten des Data Act profitieren zu können. WEN ADRESSIERT DER DATA ACT? In Art. 1 Abs. 2 Data Act-E wird festgelegt, für wen die Verordnung gelten soll. Das sind: ƒ Hersteller von Produkten und Erbringer verbunde- ner Dienste, die in der Union in Verkehr gebracht werden, ƒ Nutzende solcher Produkte oder Dienste, ƒ Dateninhaber, die Datenempfängern in der Union Daten bereitstellen, ƒ unter bestimmten Voraussetzungen öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der Union, sowie ƒ Anbieter von Datenverarbeitungsdiensten, die Kunden in der Union solche Dienste anbieten. IT-SICHERHEIT_5/2022 89

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT In diesem Zusammenhang sind auch die Vorschriften zur Erleichterung des Wechsels zwischen Anbietern von Cloud-Diensten zu sehen. Es sollen nach dem Kapitel VI des Data Act-E, das den Wechsel zwischen Datenverar- beitungsdiensten regelt, unter anderem keine Hinder- nisse beim Anbieterwechsel bestehen. Weiterhin sind beispielsweise auch Höchstgrenzen bei Kündigungsfris- ten (vgl. Art. 23 Abs. 1 lit. a Data Act-E) vorgesehen. Der Entwurf des Data Act sieht außerdem Regelungen vor, die den Zugang zu Daten, die im Besitz des Privat- sektors sind, durch Behörden zu gewissen Zwecken er- möglichen. Als Sanktionsmittel, die bei Verstößen gegen den Data Act zum Einsatz kommen können, verweist der Entwurf zum Data Act zum Teil (vergleiche zum Beispiel Art. 33 Abs. 3 Data Act-E) auf die Regelungen der DS-GVO zu den allgemeinen Bedingungen für die Verhängung von Geldbußen sowie auf die dort genannten Beträge für Geldbußen. WIE IST DAS VERHÄLTNIS ZWISCHEN DATA ACT UND DS-GVO? Das Verhältnis zur DS-GVO nimmt der Data Act in Art. 1 Abs. 3 Data Act-E in den Blick und stellt klar, der Data Act grundsätzlich nicht die Anwendbarkeit der DS-GVO berührt. Hier muss zunächst festgehalten werden, dass die DS-GVO die Regulierung personenbezogener Daten betrifft, wohingegen der Data Act gerade auch nicht personenbezogene Daten mit einbezieht. Zudem liegt der Fokus der DS-GVO unter anderem darin, mögliche Rechtsgrundlagen für die Verarbeitung personenbezoge- ner Daten zu schaffen. Auch wenn der Data Act vertrag- liche Regelungen als Datenverarbeitungsgrundlagen berücksichtigt, ist das Anliegen dieses Entwurfs in erster Linie, den Verkehr und die Zugänglichmachung nicht personenbezogener Daten zu ermöglichen und nicht Rechtsgrundlagen für deren Verarbeitung zu erschaffen. Bei der Nutzung eines Produkts oder verbundenen Dienstes können allerdings auch Daten erzeugt werden, die sich auf eine identifizierte oder identifizierbare na- türliche Person beziehen (und damit personenbezogene Daten darstellen). Die Verarbeitung solcher Daten un- terliegt weiterhin den Vorschriften der DS-GVO, auch wenn personenbezogene und nicht personenbezogene Daten häufig in einem Datensatz untrennbar mitein- ander verbunden sind. Daraus dürften sich auch eine Menge offener Abgrenzungsfragen zum Anwendungs- bereich der jeweiligen Vorschriften ergeben. Für Unternehmen, die unter den Anwendungsbereich des Data Act fallen, ist von großer Bedeutung, wann eine spezielle Rechtsgrundlage notwendig wird, etwa IT-SICHERHEIT_5/2022 91 m o e.c b o d k.a c r - sto e u ra H. B

WEBPORTAL Das Webportal von IT-SICHERHEIT IM WEB GEHT’S WEITER! Sie haben die IT-SICHERHEIT schon durchgelesen? Unter www.itsicherheit-online.com finden Sie parallel zu den Print ausgaben der IT-SICHERHEIT tagesaktuelle Informationen rund um das Thema IT-Sicher heit. Neben Fachartikeln, Studien- ergebnissen, White papers und Meldungen zu Unternehmen und Produkten können Abonnenten hier ab sofort auch in unserem neuen Zeitschriften-Archiv stöbern. Schauen Sie am besten gleich jetzt und regelmäßig bei uns rein! Weitere FACHINFORMATIONEN zum THEMA IT-SICHERHEIT Die drei Schlüssel zu Business-Resilienz WIDERSTANDSFÄHIGKEIT STÄRKEN Inflation, unterbrochene Lieferketten und massive Umbrüche in der Arbeitswelt haben das Bewusstsein dafür geschärft, dass sich die Geschäftswelt immer schneller auf Veränderungen einstellen muss. Das erfordert neue Konzepte, um sich frühzeitig darauf vorzubereiten. Um die Widerstandsfähigkeit von Unternehmen zu stärken, sind drei Bausteine essenziell. www.itsicherheit-online.com/Dell-2022-05 Der Datenlebenszyklus als Sicherheitsmodell BESSERE SICHT IM INFORMATIONSDSCHUNGEL Im Zuge der Digitalisierung sind für Kriminelle nicht nur Wertsachen wie Bargeld, Schmuck und Gold, sondern auch Daten eine gut verwertbare Beute. Für Unternehmen ist der Schutz derselben ein schwieriges Unterfangen. Denn im Gegensatz zu physischen Gütern müssen sich Daten in der Regel frei zwischen Kunden und Partnern bewegen können. Sie benötigen daher Schutzmaßnahmen, die in einer Vielzahl von möglichen Szenarien zuverlässig greifen, ohne jedoch die Unternehmensprozesse, von denen sie Bestandteil sind, sowie alle daran Beteiligten, zu beeinträchtigen. Das Modell des Datenlebenszyklus kann dabei unterstützen, lückenlose Sicherheit über alle Verarbeitungsprozesse hinweg zu etablieren. www.itsicherheit-online.com/HelpSystems-2022-05 Wenn Hacker Benutzer mit MFA-Anfragen bombardieren BEST PRACTICES GEGEN MFA-PROMPT-BOMBING-ATTACKEN MFA Prompt Bombing ist eine relativ einfache, aber effektive Angriffsmethode, die darauf abzielt, Zugang zu einem System oder einer Anwendung zu erhalten, die durch Multi-Faktor-Authentifizierung (MFA) geschützt ist. Der Angreifer sendet dabei in kurzer Zeit eine Vielzahl an MFA-Genehmigungsanfragen an einen Benutzer, in der Hoffnung, dass das Opfer durch die Anfragen so überfordert ist, dass es schließlich aufgibt und unwis- sentlich dem Angreifer Zugang gewährt. Für eine höhere Erfolgsquote wird der Angreifer den Benutzer in den meisten Fällen zu einem ungünstigen Zeitpunkt herausfordern, zum Beispiel spät in der Nacht. www.itsicherheit-online.com/Silverfort-2022-05 Tim van Wasen, Geschäftsführer von Dell Technologies in Deutschland (Foto: Dell Technologies) Michael Kretschmer, Vice President DACH, HelpSystems (Foto: HelpSystems) Haiko Wolberink, Vice President of Sales EMEA, Silverfort (Foto: Silverfort) IT-SICHERHEIT_5/2022 93

Der neue Themenguide IT-Sicherheit Nelelena www.itsicherheit-online.com/themen Wir bedanken uns bei unseren Partnern: Makro Asset Management Group ttootteemmoo securing data in securing data in motionmotion Jetzt mitmachen und Firmenpartner werden: wolfgang.scharf@datakontext.com IT-SICHERHEIT_5/2022 95