Verlagsbeilage, Oktober 2022 Die Zeitschrift für Informations-Sicherheit m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t Special Automatisierung: So sparen CISOs Zeit und Geld S. 43 SAP- und OT-Sicherheit: Wenn plötzlich nichts mehr geht S. 49 it-sa 2022 Trends, Produkte und Lösungen

Liebe Leserinnen und Leser der <kes>, man mag darüber streiten, was konkret unter dem Begriff „Cyber-Resilienz“ zu ver- stehen ist, klar ist: Die Fähigkeit, Cyberangriffe zu erkennen, abzuwehren, als Organi- sation zu überstehen und den Geschäftsbetrieb aufrechtzuhalten ist heute wichtiger denn je. Die aktuellen internationalen Entwicklungen zeigen, dass Bedrohungen aus dem Cyberraum ernst zu nehmen sind. Alleine in Deutschland beziffert eine Erhebung des Bitkom den Schaden durch Cyberangriffe auf jährlich über 200 Milliarden Euro. Als „Home of IT Security“ bietet Ihnen die it-sa Expo&Congress vom 25. bis 27. Oktober die Gelegenheit, sich mit anderen Experten auszutauschen und Ihre Netzwerke im gemeinsamen Streben für mehr IT-Sicherheit zu stärken. Über 670 ausstellende Unternehmen erwarten Sie in Nürnberg! Das beliebte Forenprogramm mit fünf Bühnen und rund 350 Bei- trägen für Management und technisch orientierte Anwender bietet Ihnen Know-how und aktuelles Fachwissen. Zu den Highlights zählen die it-sa insights, produktneutrale Vorträge und Diskussions- runden. Einen Schwerpunkt bilden hier drei Vorträge aus der Reihe „Women in Cybersecurity“. Hochrangige Vertreterinnen, darunter seitens der Kommission der Europäischen Union und der Agentur der Europäischen Union für Cybersicherheit, sprechen aus ihrer Perspektive über (Karriere-) Chancen und den Umgang mit Hürden. Zu meinen persönlichen Messe-Highlights zählt wie immer die Special Keynote. Wir konnten zur it-sa 2022 eine Expertin gewinnen, die zwei spannende Perspektiven verbindet: Jaya Baloo ist als CISO von Avast bestens mit Fragen vertraut, die sich IT-Sicherheitsverantwortliche stellen und zugleich in der Industrie zuhause. Sie blickt in die Zukunft der Cybersicherheit und erklärt, wie Quantencomputer die Branche verändern werden. Dass IT-Security ein globales Thema ist, davon zeugen die drei internationalen Ge- meinschaftsstände: Ich freue mich sehr, dass wir wieder einen Stand mit Firmen aus der Tschechischen Republik und einen gemeinsamen Auftritt österreichischer Unter- nehmen auf der it-sa haben. Zum ersten Mal begrüßen wir auch IT-Sicherheitsanbieter aus Süd-Korea, eine echte Bereicherung des Messeangebots! Mit dem ATHENE Startup Award UP22@it-sa küren wir Innovationen im deutschspra- chigen Raum. Freuen Sie sich darauf, den diesjährigen Gewinner TrustCerts kennen- zulernen. Das Gelsenkirchener Startup konnte beim Jury- und Publikumsentscheid überzeugen und freut sich jetzt darauf, ihren Blockchain basierten Nachweis-Service auf der it-sa zu präsentieren. Ich lade Sie herzlich ein, die it-sa Expo&Congress zu besuchen. Mit unserer digitalen Dialogplattform it-sa 365 lässt sich Ihr Besuch in Nürnberg optimal vorbereiten. Sie fi nden unter itsa365.de alle Aussteller, Produkte und Ansprechpartner, können diese direkt kontaktieren und sich bereits vor der Messe mit anderen Mitgliedern vernetzen. Zur Messe bietet die it-sa 365 dann ausgewählte Highlights auch als virtuelles Angebot. Lassen Sie sich inspirieren und nutzen Sie die it-sa zum Dialog – ich freue mich auf Sie! Frank Venjakob, Director Exhibition it-sa, NürnbergMesse © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 3

IT-Notfallmanagement nach BSI und ISO Herausforderungen und qualifiziertes Personal Zu einem wirksamen Notfallmanagement gehören abteilungs- und aufgabenüber- greifende Maßnahmen, die die folgenden Aspekte berücksichtigen: technisch personell organisatorisch intrastrukturell Wie Unternehmen hier am besten vorgehen kann beispielsweise in einem Training der TÜV NORD Akademie erlernt werden. Ihr direkter Weg zur Schulung „Business Continuity Manager“ Lesen Sie den kompletten Blog-Beitrag zum Thema „IT-Notfallmanagement“ in unserer IT-Themenwelt: www.tuev-nord.de/wissen/it Die Corona-Pandemie hat es eindrucks- voll gezeigt: Unternehmen müssen ihre Informationen nicht nur vor Cyberkri- minalität schützen, sondern brauchen auch einen IT-Notfallplan. Das Not- fallmanagement ist ein Teil der Infor- mationssicherheitsstrategie. Es soll kritische Geschäftsprozesse bei Not- fällen aufrechterhalten oder wiederher- stellen. Nur so können sie ihr Überleben während und nach Krisen sicherstellen – und möglichst gut weiter operieren. Eine ehrliche Bewertung dessen, was man zum Überleben braucht, und das Dokumentieren der Entscheidungen, die man trifft, stellen für viele Unternehmen eine große Hürde da. Wann ist ein Notfallmanagement sinnvoll? Insbesondere im produzierenden Gewerbe ist das IT-gestützte Notfall- management von jeher ein großes Thema, für kritische Infrastrukturen ist es sogar vorgeschrieben. Aber auch immer mehr andere Branchen und Behörden erkennen heute, wie wichtig es ist, in Krisenzeiten weiter arbeiten zu können – nicht zuletzt, weil die Gesellschaft es von ihnen fordert. TÜV NORD Akademie Ihr Weiterbildungsspezialist im Bereich Informationsmanagement Mit unseren zertifizierten Seminaren im Bereich Informationsmanagement schaffen Sie Sicherheit für die digitalisierten Informationen Ihres Unternehmens Hier finden Sie alle IT-Seminare: www.tuev-nord.de/it-seminare L e r n e n S i e We i t e r b i l d u n g n e u k e n n e n !

breiten Einsatz: im Internet, in Un- ternehmensnetzwerken und für den E-Mail-Verkehr. PQC-Verfahren werden kon- tinuierlich erforscht und optimiert. Auch Rohde & Schwarz Cyberse- curity engagiert sich. Um PQC für den breiten Einsatz bereitstellen zu können, wird aktuell die Open-Sour- ce-Kryptografie-Bibliothek Botan um gegen Quantencomputer resistente Verfahren erweitert. In dem vom Bundesministerium für Bildung und Forschung geförderten Projekt wer- den auch Angriffe gegen die neuen Verfahren analysiert und geeignete Gegenmaßnahmen entwickelt und umgesetzt. Die Krux: Auch PQC-Al- gorithmen können irgendwann eventuell gebrochen werden, falls zukünftig entsprechende Quanten- oder klassische Algorithmen gefun- den werden. Physik statt Mathematik Für Hochsicherheitsanwen- dungen, beispielsweise den Schutz von Behördendaten, sollte daher nicht allein auf PQC-Verfahren vertraut werden. Eine wirksame Ergänzung ist die „Quantenschlüs- selverteilung“ – bekannt als „Quan- tum Key Distribution“(QKD). Sie ist besonders sicher, denn QKD setzt nicht auf Algorithmen, sondern auf quantenphysikalische Gesetze. QKD verwendet die Quantenzustände einzelner Photonen, also Lichtteil- chen, um sogenannte Qubits von einem Kommunikationspartner zum anderen zu senden und daraus einen symmetrischen und sicheren Schlüs- sel zu erzeugen. Da der Quantenschlüssel- austausch auf physikalischen Geset- zen und nicht auf mathematischen Problemen beruht, spielt die Re- chenleistung von Computern keine Rolle mehr. Sie sind damit besonders zukunftssicher – eine korrekte und si- chere Umsetzung vorausgesetzt. Der Nachteil: QKD ist ein kostspieliges Verfahren und nicht für beliebige Anwendungen nutzbar. QKD wird daher vor allem für den Hochsi- cherheitsbereich entwickelt. Das BSI empfiehlt hier einen hybriden Ansatz: Eine Kombination aus PQC- und QKD-Verfahren – um eine um- fassendere Sicherheit zu erreichen. Entwicklung läuft auf Hochtouren Zahlreiche Forschungspro- jekte widmen sich derzeit der techni- schen Umsetzung Quanten-resisten- ter Verschlüsselungsmethoden. Das BSI treibt aktuell vor allem das Thema PQC voran, da es sich am schnellsten ausrollen lässt, beschäftigt sich aber ebenfalls mit QKD. Ein BSI-Projekt ist die bereits genannte Erweiterung der Botan-Bibliothek um PQC-Algorith- men, an dem auch Rohde & Schwarz Cybersecurity beteiligt ist. Rohde & Schwarz Cybersecurity engagiert sich auch bei der QKD-Forschung. Hier besteht die besondere Herausforde- rung darin, robuste Hardware- und QKD-Key-Management-Systeme zu entwickeln. Rohde & Schwarz Cyber- security stellt seine kryptografische Expertise und Erfahrung bei der Konstruktion und der Implementie- rung sicherer Geräte und Systeme in Forschungsprojekten zur Verfügung. Fazit Quanten-resistente Ver- schlüsselungssysteme müssen in den kommenden Jahren die gängige Kryptografie ersetzen. Dafür werden Lösungen für verschiedene Einsatz- bereiche benötigt. Nationale und europäische QKD- und PQC-For- schungsprojekte bündeln aktuell die Expertise aus Unternehmen, Wissen- schaft und Praxis. Sie legen damit die Basis für eine zukunftssichere Verschlüsselungstechnologie. n Messestand Rohde & Schwarz Cybersecurity: Halle 7A, Stand 7A-306 QKD-Forschungsprojekte Hardwarebasierte Quantensicherheit (HQS) (2017 bis 2019) Ziel des abgeschlossenen BMBF-Projek- tes war es, Hardware für Quantenkryptografie zu entwickeln und eine darauf aufbauende hochsi- chere Kommunikation umzusetzen. An einem Netzwerkverschlüsselungsgerät von Rohde & Schwarz Cybersecurity wurde eine Schnittstelle implementiert, über die mit QKD-Geräten von anderen Projektpartnern kommuniziert werden kann. Die Forschungsprojektversion wird aktu- ell von Instituten und Forschungsprojekten in Tests und Demonstratoren eingesetzt. QuNET-Initiative (Start: 2019) Ziel des BMBF-Projektes ist es, eine si- chere Kommunikation zwischen Behörden, für Bankennetze und in kritischen Infrastrukturen zu schaffen. Dazu wird ein Pilotnetz zur Quan- tenkommunikation in Deutschland erschaffen, das eine abhör- und manipulationssichere Da- tenübertragung gewährleistet. Open European Quantum Key Distribution Testbed (OpenQKD) (2019 bis 2023) Das breit angelegte EU-Projekt simu- liert den Einsatz von QKD in verschiedensten Anwendungsszenarien. Für Rohde & Schwarz Cybersecurity steht das Zusammenspiel der eigenen Produkte mit QKD-Geräten verschie- dener Partner, die mit der Quantentechnologie vertraut sind, im Fokus. Munich Quantum Network (MuQuaNet) (2021 bis 2024) In diesem QKD-Projekt steht die Quan- tenübertragung innerhalb eines Netzwerks mit mehreren Teilnehmenden im Fokus. DemoQuanDT (2022 bis 2024) Ziele des BMBF-Projekts, das von der Deutschen Telekom koordiniert wird, sind die Erforschung, Entwicklung und Demonstra- tion eines sicheren und netzübergreifenden QKD-Netzwerkmanagementsystems innerhalb einer Telekommunikationsinfrastruktur. Es wird angestrebt, das längste Quantennetzwerk Deutschlands aufzubauen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 7

CYBERSECURITY KANN SCHÖN SEIN. Cyberbedrohungen sind bösartig und hässlich. Die Welt wird immer komplexer. Deshalb benötigen Sie vernetzte Lösungen und Transparenz über Ihre gesamte IT-Infrastruktur. Mit Trend Micro können Sie sich besser schützen, mehr erkennen und schneller auf Bedrohungen reagieren. Denn wenn Sie das große Ganze im Blick haben, kann Cybersecurity schön sein. Das ist die Kunst der Cybersecurity. Erfahren Sie mehr unter TheArtofCybersecurity.com Das Kunstwerk zeigt die Erkennung und Bekämpfung Das Kunstwerk zeigt die Erkennung und Bekämpfung von Bedrohungen über mehrere Angriffsvektoren durch von Bedrohungen über mehrere Angriffsvektoren durch Trend Micro. Erstellt auf Basis echter Sicherheitsdaten Trend Micro. Erstellt auf Basis echter Sicherheitsdaten vom Künstler Brendan Dawes. vom Künstler Brendan Dawes.

First-Level-Mitarbeiter auf der Matte und wollen wissen, was los ist. Seine Werkzeuge, um der Situation Herr zu werden? Zig verschiedene Tools und Programme, mit denen er in all dem Chaos versucht, herauszufinden, was hier gerade passiert. Auch remote und an den Arbeitsplätzen direkt kommt er nicht weiter. Allerdings ist es in diesem Moment ohnehin schon zu spät. Denn schon steht der Chef vor ihm – der Angreifer hat sich mit einem höflichen Gesuch bei diesem gemeldet. Alle Daten sind gesperrt, nichts geht mehr. Die geforderte Summe: horrend. Die Frage, die bleibt: Warum wurde nicht früher gesehen, dass das Antivirus-System auf dem PC in der Buchhaltung längst hätte upgedatet werden müssen? Und dass die Fire- wall ebenfalls auf einem veralteten Stand war? Wie sichere Punkt- landungen gelingen Zugegeben, ein krasses Bei- spiel. Und doch durchaus realistisch, zumal es national wie international immer häufiger zu erpresserischen Hacking-Attacken auf Unterneh- men und Betriebe aller Art kommt. Nun kann ein Tool im Service-Desk natürlich kein Allheilmittel für das wuchernde Übel der stetig wachsen- den Cyberkriminalität darstellen. Doch es kann zumindest eines: das Risiko senken. Das Stichwort dabei lautet Transparenz. Und genau hier setzt die Consulting4IT an. Denn ihre neue Herangehensweise und der Denkansatz, einen Mehrwert für den First-Level-Support zu schaffen, führte zur ersten Eigenentwicklung des Systemintegrators, welche auch im Bereich der IT-Security Vorteile schafft: F4SD – First Aid Service Desk. Die Software wurde als Er- gänzung zu allen gängigen Help- desk-Tools entwickelt und speziell für die Bedürfnisse des First-Level-Sup- ports konzipiert. Diese sind im Grunde schnell umrissen: Alle nö- Das Tool First Aid Service Desk wur- de speziell für die Bedürfnisse des First-Level-Sup- ports konzipiert. tigen Informationen zu Ursachen und Risikoquellen auf einen Blick erkennen und eine Möglichkeit ha- ben, Incidents direkt zu lösen sowie grundlegende Sicherheitsmängel zu beheben. F4SD bietet genau das und erfüllt die beschriebenen Anforde- rungen auf umfassende Weise. Denn die Kumulierung von Echtzeitinfor- mationen mittels übersichtlichem Ampelsystem zeigt Zustand und Compliance ausgewählter Clients in Sekundenschnelle – gebündelt in ei- nem Cockpit, das die Nutzung unzäh- liger Zusatztools überflüssig macht. Mittels hinterlegter Quick-Actions auf PowerShell-Basis können darüber hinaus viele Standardfälle mit einem Klick sofort gelöst werden. Sofern es sich um ein kom- plexeres Sicherheitsproblem han- delt, welches an den Second-Le- vel-Support weitergegeben werden muss, können alle Informationen übersichtlich zusammengefasst und an diesen weitergeleitet werden. Das bedeutet ein Ende des zeit- und ner- venaufreibenden Ticket-Ping-Pongs im IT-Support. Vor allem anderen bedeutet es aber eine schnellere Früh- erkennung und die Möglichkeit, be- stehende Einfallstore gegebenenfalls auch über den Second-Level rasch schließen zu können. Dem First-Level-Support ermöglicht das Tool Klarheit und ef- fektive Hebel zur Handlung, bei gän- gigen Alltagsproblemen ebenso wie bei sicherheitsrelevanten Vorfällen. Aus einem Blindflug wird ein präziser Einsatz mit perfekten Punktlandun- gen – ohne Lecks und irreparable Schäden an der Maschine. Die Moral von der Geschichte Angesichts steigender Risi- ken im IT-Umfeld von Unterneh- men und täglicher Meldungen von Hacking-Vorfällen wird klar, wie wichtig neben einem ganzheitlichen Sicherheitskonzept bereits die Bün- delung relevanter Informationen im First-Level-Support ist. Denn Informationen wie der Firewall- oder Antivirus-Status, Bitlocker-Ver- schlüsselungen oder der Patch-Status können direkt aufzeigen, wie compli- ant ein Client ist und wo Lücken im Sicherheitsnetz eines Unternehmens bestehen. Darüber hinaus können diese Risiken mit den hinterlegten Quick-Actions gegebenenfalls sogar direkt behoben werden. Das Tool bildet damit das kleine 1 x 1 der IT-Security ab, welches grundsätzlich in jedem Unternehmen vorhanden sein sollte, es aber leider nach wie vor nicht immer ist. Die Moral der Geschichte sollte damit klar sein: Der First-Le- vel-Support und seine Wichtigkeit – auch in Sicherheitsfragen des Un- ternehmens – sollten definitiv nicht unterschätzt werden. Zumindest nicht, wenn man sein Unternehmen sicher durch jeden Sturm steuern möchte. n Messestand Consulting4IT GmbH: Halle 7A, Stand 210 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 11

zient als auch sicher ihren täglichen Aufgaben nachgehen. Kontrolle von Anwen- dung und ihrem Verhalten In Organisationen werden in der Regel viele Anwendungen ge- nutzt, die eine Angriffsfläche bieten können. Um die Ausführung unbe- kannter Programme zu verhindern, müssen Anwendungen aktiv kon- trolliert werden. Diese dritte zentrale Sicherheitsmaßnahme ist daher die Anwendungskontrolle (Application Control). Ein erster Schritt hierfür ist der Whitelisting-Ansatz im Gegen- satz zum Blacklisting von Antivi- ren-Scannern, das lediglich auf be- kannte Bedrohungen reagiert. Doch was passiert mit bisher unbekannten Programmen? Zero-Trust-Security setzt genau hier an: Die Whitelist de- finiert exakt welche Anwendungen zugelassen werden. Applikationen, Skripte und Programmbibliothe- ken, die nicht explizit erlaubt sind, dürfen gar nicht erst im Ökosystem eines Unternehmens zur Ausführung kommen. Diese aktive cloudbasierte Kontrolle schützt dementsprechend auch vor unbekannten Bedrohun- gen. Trotz Device Control und Application Control kann es passie- ren, dass eine im IT-System zugelas- sene Anwendung missbraucht wird. Als vierte Schutzmaßnahme greift hier schließlich Application Behavi- our Control: die Überwachung und Kontrolle des Verhaltens zugelasse- ner Anwendungen. Werden beispielsweise plötz- lich Unmengen von Daten auf einen USB-Stick kopiert oder speichert der Browser an ungewöhnlichen Orten Dateien ab, ist das verdächtig. Durch die Zuweisung von Rollen innerhalb des Unternehmens werden derartige Verdachtsfälle automatisch gemel- det, zum Beispiel an die Adminis- tratoren oder Helpdesk-Mitarbei- Eine zentrale Plattform integriert alle relevanten Sicherheitslösungen und den Faktor Mensch. tenden. Diese können dann direkt die relevanten Verantwortlichen benachrichtigen und zum Handeln auffordern. Application Behaviour Control gewährleistet auf diese Weise, dass nicht erlaubte Aktionen oder unerwünschte Skripte und Schadsoftware sofort erkannt und gestoppt sowie Angriffe frühzeitig unterbunden werden. Zentrale Plattform Viele Unternehmen nutzen die BitLocker-Festplattenverschlüs- selung, das Microsoft Defender An- tivirus Programm oder die Microsoft Defender Firewall. Dabei ist es nicht immer leicht, diese Tools zentral zu konfigurieren und zu managen. Die DriveLock Zero Trust Platform vereint in einem integrierten Ansatz die genannten Microsoft-Lösungen mit den vier beschriebenen Sicher- heitsebenen Verschlüsselung, Device Control, Application Control und Application Behaviour Control in einer übersichtlichen Benutzerober- fläche. Neben diesen technischen Mitteln wird auch der „Faktor Mensch“ – eine weitere Sicherheits- ebene – berücksichtigt. Wird zum Beispiel ein USB-Stick genutzt, der nicht autorisiert ist, kann – je nach Konfiguration – automatisch eine Security-Awareness-Kampagne ge- startet werden. In dieser werden Mit- arbeitende spielerisch und genau zum richtigen Zeitpunkt über ein sicher- heitsrelevantes Thema aufgeklärt. Vorgänge teilweise automatisiert, was die Verwaltung der DLP-Maß- nahmen wesentlich vereinfacht. Dank intuitiver Visualisierungen können Security-Teams den Sicher- heitsstatus des gesamten Unterneh- mens auf einen Blick erfassen. Auch der Status einzelner Abteilungen lässt sich transparent einsehen. Unter anderem aufgrund dieser Stabilität wurde DriveLock 2022 als Leader im Bereich Data Leakage/Loss Pre- vention (DLP) des „ISG Provider Lens“-Reports „Cybersecurity – Solu- tions and Services 2022“ identifiziert. Die cloudbasierte Zero Trust Platform bringt schnell ein hohes Maß an Sicherheit auf die Endgeräte und das unabhängig davon, ob sie innerhalb oder außerhalb des Unternehmens- netzwerks aktiv sind und wie viele Geräte geschützt werden sollen – ob 100 000 Endpoints eines weltweiten Konzerns oder eine kleine IT-Um- gebung eines mittelständischen Unternehmens. New Work bedeutet, dass Unternehmen Mitarbeitenden heute ein effizientes und sicheres Arbeiten ermöglichen müssen – egal ob lokal, virtuell, im Büro, Zuhause oder von unterwegs aus. Mit der DriveLock Zero Trust Platform werden Daten dort verarbeitet und gespeichert, wo es notwendig und erlaubt ist. Umge- kehrt werden unautorisierter Daten- abfluss, unerwünschtes Eindringen in das System oder unerwünschte Ak- tivitäten von Anwendungen inner- halb des Systems unterbunden. n Sämtliche Tools und Maß- nahmen werden also vereint und Messestand DriveLock SE: Halle 7A, Stand 7A-520 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 13

Unser gemeinsames Ziel: für Ihr Unternehmen Mehr Resilienz Besuchen Sie uns in Halle 7, Stand 102. Um sicher in Krisen agieren zu können, ist gerade in der heutigen Zeit Resilienz eine wichtige Kompetenz für Unternehmen! Ein umfassendes Business Continuity Management ist die unerlässliche Basis dafür. BC Consulting, Marktführer für BCM-Beratung und BCM-Software in Österreich, liefert dafür Beratung, Software und Schulungen aus einer Hand. Zusammen mit der FCMS aus Berlin erweitern Sie Ihre Expertise im Resilience Management. INCIDENT MANAGEMENT INFORMATIONSSICHERHEIT BCM DATENSCHUTZ ITSCM RESILIENZ RISIKOMANAGEMENT KRISENMANAGEMENT PROZESSMANAGEMENT AUSLAGERUNGSMANAGEMENT BC Consulting GmbH www.bc-consulting.at office@bc-consulting.at iBCRM e.V. www.ibcrm.de info@ibcrm.de FCMS GmbH www.fcms.online contact@fcms.online

auch im alltäglichen Leben. Glei- chermaßen wollen viele Mitarbeiter die Bequemlichkeit der gewohnten Authentifizierung per Smartphone auch in ihrem Arbeitsalltag inte- grieren. Dies ermöglicht eine kon- tinuierliche Weiterentwicklung und Anpassung der IAM-Maßnahmen hin zu einem modernen Identitäts- und Zugangsmanagement, dass mit einem begrenzten zusätzlichen Aufwand vor Kompromittierungen schützt und trotzdem auf breite Zustimmung trifft. Was danach kommt? Möglicherweise wird das Panel eine Antwort auf diese Frage geben können. Das Panel findet auf der it-sa am 26. Oktober 2022 in Halle 7, International Forum B von 13:00 bis 13:45 Uhr statt. Moderiert wird der Expertentalk von <kes>-Chefredak- teur Norbert Luckhardt. Unter den Teilnehmern werden sich, neben den im Text zitierten, weitere fachkundi- ge IAM-Experten befinden. n Messestand Yubico AB: Halle 7, Stand 7-420 Messestand Ping Identity: Halle 6, Stand 6-214 Federated Identity-Management (Fed IAM) oder WebAuth, FIDO 2.0 oder einen „Secure Quick Reliable Login“ (SQRL) noch mehrere Jahre weiterhin Bestandteil der Zugriffssi- cherheit von Anwendungen und On- line-Services sein werden. Schneider (Ping) geht sogar noch einen Schritt weiter und meint, dass Passwörter ausgedient haben, weil sie eine der Hauptursachen für Sicherheitsvor- fälle und -verstöße sind. Ihm ist dagegen wichtig, dass Unterneh- men möglichst flächendeckend das Konzept der Multi-Faktor-Authen- tifizierung einsetzen. Koch (Yubico) sieht hier schon erste Erfolge, denn immer mehr Unternehmen würden auf „Passwordless“ setzen. Standardisierungen unterstützen Bei der Diskussion welche Standards bei der Adaptierung moderner IAM-Konzepte helfen, einigen sich die Experten schnell auf FIDO, merken jedoch an, dass es viele Initiativen gibt, die in die richtige Richtung weisen. Koch (Yu- bico) erklärt sich die Stärke durch die Einfachheit und die Verbreitung. Er sieht jedoch auch die Unterstützung von FIDO von vielen Anwendungen sowie die nahtlose Integration in bestehende Unternehmensprozesse. Für Schneider sind dann auch viele der Standards hilfreich, weil sie die Integration von Anwendungen er- leichtern, was sich wiederum auf die Innovation im Bereich der Benutzer- freundlichkeit auswirkt. Rehm sieht neben FIDO vor allem WebAuthn und Fed IAM. IAM 2023 – Trends und Perspektiven Angesprochen auf die IAM- Trends des kommenden Jahres vermutet Schneider (Ping), dass die Themen Autorisierung und Identi- tätsüberprüfung stärker in den Vor- dergrund gerückt werden. Vielfach werde sich zu oft auf die Authenti- fizierung konzentriert, die Autori- sierung sei in einer Zero-Trust-Ar- chitektur jedoch zur Verbesserung der Kundenerfahrung in Bezug auf Betrug oder bei Call-Center-In- teraktionen unerlässlich. In der Identitätsüberprüfung sieht er eine wesentliche Technologie für di- gitale Ausweise, Mitarbeiter-On- boarding, Betrugsbekämpfung und Know-Your-Customer-(KIY)-Initiati- ven. Auch Koch (Yubico) sieht Zero Trust im Mittelpunkt der nächsten Jahre. Erfolgreiche IAM-Ansätze wür- den sich weiter vom Perimeter weg und hin zum End-User verlagern. Einen weiteren Trend macht er in Phishing-resistenten Authentifizie- rungsverfahren und Sicherheitsme- chanismen aus. Rehm sieht in nähe- rer Zukunft Technologien wie SQRL in der Pole-Position, die möglichst einfach in der Nutzung und effektiv im Schutz sind. Bei der Umsetzung von IAM-Cybersicherheitskonzep- ten sieht er eine Zunahme von Moni- toring- und Alert-Funktionen, damit IT-Sicherheitsfachleute noch früher vor Sicherheitsvorfällen gewarnt werden. Die schnellere Sperrung von kompromittierten Accounts soll dann eine weitere Ausbreitung der Infektion mit Schadsoftware einschränken. Fazit IAM, hier sind sich die drei Experten einig, wird in den kom- menden Jahren weiter an Bedeutung gewinnen. Neue Ansätze und Lö- sungen werden hinzukommen, den Aufwand für den Endnutzer weiter reduzieren, die Nutzerfreundlichkeit weiter erhöhen und Unternehmen und Behörden helfen, die Sicherheit und das Kundenerlebnis ihrer IT-In- frastruktur weiter zu verbessern. Der Auf- und Ausbau einer effektiven Zero-Trust-Architektur wird für die meisten in den kommenden Jahren an erster Stelle stehen. Die schrittwei- se Heranführung viele Mitarbeiter an passwortlose Zugangskonzepte in ihren Organisationen bei Fernzu- griff & Co. hilft bei der Akzeptanz zusätzlicher Sicherheitsmaßnahmen © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 17

© DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 19

Eine kontinuierliche Überwachung dieser Daten- ströme und Geräte, um sicherzustellen, dass es keine Ano- malien gibt und dass sie wie erforderlich funktionieren, ist daher unerlässlich. Software-Updates sollten regelmäßig eingespielt werden. Da es sich um eine Vielzahl von Gerä- ten handelt, die Daten erzeugen, sammeln, speichern und übertragen, müssen diese verlässlich verschlüsselt werden, um sie vor jeglicher Art von Diebstahl oder Manipulation zu schützen. Die „Human Firewall“ macht den Unterschied Ein wichtiger Aspekt im industriellen Produkti- onsumfeld ist die Sensibilisierung der Mitarbeitenden, von der Unternehmensspitze bis hin zu den Mitarbeitenden in der Produktion, um auf diese Weise eine solide Grund- lage für die Cyberhygiene zu schaffen. Dies beinhaltet regelmäßige Schulungen für die Mitarbeitenden in der Fertigung, die neben der funktionalen Sicherheit auch die Cybersicherheit umfassen. Im Wettlauf mit den realen Cyberbedrohungen hinkt die IT-Sicherheit im Unternehmen leider häu- fig hinterher. Umso wichtiger wird die „menschliche Firewall“: Regelmäßige Aus-, Weiterbildungs- und Sensi- bilisierungsmaßnahmen zur Informationssicherheit für Mitarbeitende sind ein fester Bestandteil bei anerkannten Standards wie dem BSI-Grundschutz oder der ISO 27001. Viele Unternehmen schulen ihre Mitarbeitenden bereits regelmäßig. Die Kernfrage bleibt aber: Verhalten sich die Mitarbeitenden im Ernstfall auch entsprechend und wenden sie das Erlernte an? Eine regelmäßig gestärkte „menschliche Firewall“ ist neben aller Technik der Erfolgs- faktor, um die Erfolgswahrscheinlichkeit von Cyberangrif- fen im industriellen Umfeld zu minimieren. In jedem Fall sollten Mitarbeitende Teil der Lö- sung „Human Firewall“ sein und nicht das Problem. Das Sensibilisierungs-Programm muss unternehmensintern breit kommuniziert sein und nicht zuletzt von den Füh- rungskräften selbst vorgelebt werden. Damit das Gelernte tatsächlich im Verhalten verankert wird, sind die richtige Vorbereitung, Durchführung und Erfolgskontrolle der Maßnahme essenziell. Das beinhaltet auch Erfolgskenn- zahlen (KPIs) sowie deren Analyse und Auswertung im Rahmen von Management-Reviews. Risikobewertungen durch neutrale Dritte Sicherheitsmaßnahmen in Produktionsumge- bungen werden oft zu stark vereinfacht. Das führt dazu, dass das volle Ausmaß des Risikos durch Cyberangriffe in der Regel nicht ausreichend berücksichtigt wird. Maßnah- men beschränken sich oft auf grundlegende Cybersicher- heitskontrollen für funktionale Sicherheitskomponenten oder einfache Ergänzungen zu bereits bestehenden Proto- kollen, die die negativen Folgen eines Cyberangriffs nicht erkennen und bewältigen können. Um die Cyberrisiken in diesem Bereich umfassend zu verstehen, sollten auch die Motive der Cyberangriffe berücksichtigt werden. Dazu können die Gefährdung der industriellen Sicherheit, Datendiebstahl, die Beein- trächtigung der Produktsicherheit und betriebliche Pro- duktivitätsverluste gehören. Es ist wichtig, sich darüber im Klaren zu sein, dass ein Cyberangriff nicht nur die Gesamtprozesse eines Unternehmens gefährden kann und damit die Business-Continuity, sondern auch seinen Wettbewerbsvorteil, indem er Mitarbeitende, Kunden und Industrieprodukte in Gefahr bringt. Sinnvoll sind daher regelmäßige und umfassende Cyber-Risikobewertungen durch neutrale Dritte, die die Umgebung prüfen können, ohne gegenüber einem be- stimmten Hersteller oder einer bestimmten technischen Lösung voreingenommen zu sein. Solche Risikobewer- tungen können eine Analyse der in solchen Umgebungen bestehenden Gefahren und Schwachstellen umfassen, welche die Sicherheit gefährden könnten. Darüber hinaus ist eine Risikobewertung einschließlich der Festlegung von Schutzmaßnahmen und einer klaren Dokumentation erforderlich, um ein hohes Maß an Sicherheit in solchen Umgebungen zu gewährleisten. Bessere Cyberhygiene durch Zertifizierung Um Cyberrisiken im industriellen Umfeld zu minimieren und die Sicherheit von Entwicklungspro- zessen zu gewährleisten, gibt es in diesem Ökosystem verschiedene ISO- und IEC-Zertifizierungen. Diese sind zwar kein Sorgenfrei-Paket für mehr Cybersicherheit, Zertifizierungen wie die IEC 62443 tragen jedoch dazu bei, eine grundlegende Cybersicherheit im industriellen Umfeld zu schaffen, ganz nach dem Prinzip „Security by Default“. Dabei ist Cybersicherheit als „Voreinstellung“ im Produkt immer berücksichtigt. Wenn Prozesse und Produkte von einer unabhängigen dritten Organisation zertifiziert sind, steigt das Vertrauen in die Nutzung dieser Produkte in industriellen Netzwerken. Andererseits sorgen Zertifizierungen auch dafür, dass ein Mindestmaß an Standardsicherheit weltweit und branchenübergreifend einheitlich festgelegt wird. Mehr Informationen darüber, wie TÜV SÜD das industrielle Umfeld im Bereich Cyber- sicherheit unterstützen kann, gibt es unter www.tuvsud. com/cybersecurity. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 21

E I N E P L AT T F O R M I E I N A G E N T I E I N E S I C H T Schützen Sie Ihre digitale Reise Sichtbarkeit erhöhen Komplexität verringern Risiken reduzieren © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 23

Modellierung Das Kommunalprofil nennt konkrete, auf den Informationsverbund einer Institution anwendbare Sicherheitsanforderungen, welche durch Umsetzung entsprechender Maßnahmen zu erfüllen sind. Es handelt sich um eine Teilmenge der Anforderungen aus dem IT-Grundschutz-Kompendium, um das Sicherheitsniveau schnell und ressourcenschonend in der Breite anzuheben. Zugleich weist das Profil auf die Notwendigkeit der an die Erstabsicherung von Geschäftsprozessen und Fachver- fahren anschließenden, fortlaufenden Verbesserung des Sicherheitsniveaus hin, mit dem Ziel, ein Sicherheitskon- zept gemäß der Standard-Absicherung zu erstellen und kritische Verfahren mit Maßnahmen für den erhöhten Schutzbedarf abzusichern. Das ISMS-Tool DocSetMinder unterstützt die Verantwortlichen in Kommunalverwaltun- gen bei der Modellierung des Informationsverbundes. Es bildet vollständig das Schichtenmodell des BSI IT-Grund- schutz-Kompendiums ab und schlägt die zur jeweiligen Schicht und dem Objekttyp passenden Bausteine vor. Bau- steine, welche für Schichten und Objekte beziehungsweise Objektgruppen gleichen Typs genutzt wurden – im selben oder anderen Informationsverbund – können kopiert oder verknüpft werden. Für die Dauer der Erstabsicherung kann in DocSetMinder eine Sicht mit im Kommunalprofil genannten Sicherheitsanforderungen verwendet werden (Teilmenge des Kompendiums). Die Kreuzreferenztabellen, welche in den Bausteinen hinterlegt sind, unterstützen die Verantwortlichen bei der Durchführung einer expliziten Risikoanalyse, wenn das gegebene Objekt beziehungs- weise die Objektgruppe erhöhten Schutzbedarf aufweist; das ISMS-Tool DocSetMinder schlägt in diesem Fall die zu betrachtenden Gefährdungen automatisch vor. Risikoanalyse Zwar wird die Risikoanalyse im IT-Grund- schutz-Profil Basis-Absicherung Kommunalverwaltung nicht eingehend behandelt. Dennoch wird darin auf die Notwendigkeit eines angemessenen Umgangs mit Risiken im Zuge der kontinuierlichen Verbesserung des Sicherheitsprozesses und Erhöhung des Sicherheitsni- veaus in der Institution hingewiesen. Die Risikoanalyse im ISMS-Tool DocSetMinder ist aus dem BSI-Standard 200-3 abgeleitet. Risiken werden auf Basis des G0-Kataloges aus dem IT-Grundschutz-Kompendium identifiziert und in einer 4x4-Matrix gemäß den definierten Parametern Auswirkung und Eintrittswahrscheinlichkeit bewertet. Bei Bedarf kann die Dimensionierung der Risikomatrix angepasst werden. Im Anschluss an die Bewertung wird die Behandlungsmethode für das Risiko gewählt: Akzeptanz, Vermeidung, Verlagerung oder Reduktion. Grundsätzlich werden im Zuge der Risikobehandlung Sicherheitsmaßnahmen geplant und umgesetzt und das nach der Umsetzung verbleibende Restrisiko neu bewer- GOVERNANCE UND COMPLIANCE ISMS UND IT-STANDARDS ORGANISATION UND IMS EU-DS-GVO / VdS 10010 IKS (IDW PS 261, PS 951) CMS (IDW PS 980) Verfahrensdokumentation GoBD BSI IT-Grundschutz / ISO 27001 CISIS12 / VdS 10000 BCM (BSI 2/100-4, ISO 22301) VDA ISA PCI DSS ISO 9001 ISO 14001 ISO 45001 etc. IT-Dokumentation | Leitsysteme | ICS | IoT Aufbau und Struktur | Prozesse und Verfahren | Richtlinien, Verträge, … Organisation MS SQL Server® DocSetMinder ist modular aufgebaut. tet. Das ISMS-Tool DocSetMinder ermöglicht, ähnlich wie im Fall der Objekte beziehungsweise Objektgruppen und Bausteine, ein Kopieren und Verlinken von bereits durchgeführten Risikoanalysen. Reporting Für die laufende Auswertung vom Informations- sicherheitszustand im Zuge der Umsetzung des Kommu- nalprofils und der anschließenden Fortschreibung des Sicherheitskonzeptes gemäß der Standard-Absicherung bietet das ISMS-Tool DocSetMinder vorgefertigte und leicht an den Styleguide der Institution anpassbare Berich- te (A0-A6). Die Berichte können zudem problemlos nach gegebenen Dokumenteigenschaften, zum Beispiel nach dem Umsetzungsstatus der Maßnahmen, Stichtag oder nach Verantwortlichkeiten gefiltert und die Ergebnisse zu grafischen Übersichten (Balken- und Kreisdiagramme) aggregiert werden. Ein Export der Berichte in gängige Formate wie PDF, MS Excel, HTML oder RTF ist auf Knopf- druck möglich. Fazit Das ISMS-Tool DocSetMinder bildet die BSI-Stan- dardreihe 200 inklusive des IT-Grundschutz-Profils Ba- sis-Absicherung Kommunalverwaltung vollständig ab. Durch die im Tool vordefinierte Dokumentationsstruktur und Inhaltsklassen mit Plausibilitätschecks und Interak- tionen (z. B. für die Schutzbedarfsvererbung) werden die an der Erstellung des Sicherheitskonzeptes beteiligten Mitarbeiter effektiv und effizient unterstützt. Der Funk- tionsumfang des Tools macht den Einsatz weiterer Tools oder Office-Produkte überflüssig. DocSetMinder ist Best Practice – und Sie sind jederzeit „Ready for Audit“. n Messestand Allgeier GRC GmbH: Halle 6, Stand 6-300 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 25

Schützen Sie Ihre SAP- und OT-Systemlandschaft. Etablieren Sie SAP- und OT-Sicherheit als Geschäftsprozess. Produktions- und Versorgungsunternehmen sind auf funktionierende SAP- und OT-Systeme angewiesen. Um Hacker-Angriffen wirkungsvoll vorzubeugen, sind Daten systemübergreifend zu konsolidieren, zu korrelieren und zu analysieren. Nur so können Firmen auf akute Bedrohungen adäquat reagieren. Arvato Systems Reinhard-Mohn-Straße 18 33333 Gütersloh cybercare@arvato-system.de arvato-systems.de Wie genau Sie sich vor Hacker-Angriffen schützen und warum es wichtig ist, SAP- und OT-Sicherheit als Geschäftsprozess zu verstehen, erfahren Sie in unserem Fachbeitrag ab Seite 49. Besuchen Sie das Arvato Systems Team am Stand von Microsoft in Halle 7 auf der it-sa 2022. We Empower Digital Leaders.

sungen den strengen europäischen Datenschutzbestimmungen entspre- chen. Das Siegel signalisiert nicht nur Vertrauen, sondern bringt Produkte und Technologien aus der EU in den Fokus von Wirtschaft und Govern- ment. So können beispielsweise Be- hörden bei Ausschreibungen davon ausgehen, dass eine mit dem Siegel „IT-Security made in EU“ ausgezeich- nete Lösung höchsten Anforderun- gen genügt. Organisationen und Anwender stellen damit sicher, dass sie auf die Leistungsfähigkeit und Zu- verlässigkeit der gekennzeichneten Technologien und Lösungen ebenso vertrauen können wie auf deren be- dingungslose Gesetzeskonformität. Denn mit diesem Siegel verpflichten sich Hersteller mit Hauptsitz in der EU freiwillig dazu, dass ihre Securi- ty-Lösungen vertrauenswürdig sind, strengsten Datenschutzauflagen entsprechen und keinerlei versteckte Backdoors enthalten. Einen Punkt möchte ich explizit hervorheben: Egal, ob beim Kampf gegen Malware staatlicher Behörden oder bei den Forderungen danach, bei der Entwicklung der Sicherheitssoftware „Hintertürchen“ offenzulassen – unverändert gilt: Die Sicherheit der Nutzer steht an erster Stelle. Diese sogenannte „No backdoor guarantee“ gibt ESET als europäischer Hersteller all seinen Kunden. Auch dies sucht außerhalb der Europäischen Union seines- gleichen. n Messestand ESET Deutschland GmbH: Halle 7, Stand 7-530 ten Krimis werden möglichst viele Informationen gesammelt und „Ali- bis“, in diesen Fällen die ordnungs- gemäßen Arbeitsweisen, überprüft. Administratoren erkennen dann zuverlässig, wie der Angriff ablief, welche Schwachstellen konkret aus- genutzt und welche Veränderungen im Netzwerk vorgenommen wurden. Dazu kann der Verantwortliche auf Informationen des Reputations- systems (wie z. B. ESET LiveGrid) zurückgreifen und/oder anhand des MITRE-ATT&CK-Frameworks die Attacke nachvollziehen. Trend 2: EDR und Zero Trust EDR und Zero Trust werden oft in einem Atemzug genannt. Was verbindet die beiden Trendthemen? Hinter Zero Trust steht die Idee einer konzeptionellen Leitlinie für alle IT-Security-Maßnahmen, die auf Vorsicht und Skepsis beruht. Es handelt sich also nicht um eine Blaupause für ein IT-Sicherheitssys- tem oder eine technisch ausgefeilte Security-Lösung. Laut Forrester beruht die Prämisse von Zero Trust darauf, keiner Entität zu vertrauen, weder intern noch extern. Mit ande- ren Worten: „Vertraue nie, überprüfe immer“. Experten beschreiben Zero Trust als ein perimeterloses Modell. Dieses muss ständig aktualisiert werden, um Daten, Software und an- dere Anwendungen unabhängig von Nutzern, Standort oder Geräteart zu schützen. Ein wichtiger Bestandteil von Zero Trust ist dabei die kritische Sicht nach innen. Also, wer macht was und darf er das. Womit wir dann wieder beim Thema EDR wären. Wir haben ein Reifegradmo- dell entwickelt, das die unterschied- lichen Stufen und Maßnahmen von Zero Trust anschaulich darstellt (vgl. Abbildung). Unser Ansatz besteht aus einer dreistufigen Pyramide. Je höher die Stufe ist, desto sicherer ist die Schutzwirkung – also „reifer“. Das Modell startet mit der Basisstufe „Grundschutz Plus“, die dem Prinzip des „Multi Secured Endpoint“ folgt. Diese eignet sich unabhängig vom individuellen Schutzbedarf für jede Organisation und sollte die Min- destanforderung jeder IT-Abteilung abbilden. Daran schließen sich zwei Zero-Trust-Stufen mit weiter stei- genden Security-Maßnahmen und -Diensten an. Trend 3: Kunden bevorzugen „Made in EU“ Aufgrund der Ereignisse rund um die Ukraine hat definitiv ein Umdenken eingesetzt – und ein regelrechter „Run“ auf Security-Un- ternehmen wie ESET begonnen. Natürlich sind die Qualität der IT-Sicherheitslösungen sowie die begleitenden Services immer noch die wichtigsten Faktoren bei der Auswahl des Herstellers. Aber: Immer mehr Unternehmen oder Verwaltun- gen hinterfragen die Herkunft der Sicherheitslösungen und schauen verstärkt auf das Label „Made in EU“. Ihnen stellt sich zwangsläu- fig die Frage: Ist der Hersteller des Malwareschutzes, den meine Or- ganisation einsetzt, auch wirklich vollumfänglich vertrauenswürdig und vor allem für meine Sicherheit verlässlich? Wer garantiert mir, dass jeder Schadcode gefunden, Updates vollständig bereitgestellt und keine Hintertüren durch die Software ge- öffnet werden? Oder gar Regierungen im Hintergrund Druck ausüben und Backdoors einbauen lassen? Die Herkunftsbezeichnung „Made in EU“ steht für eine Top-Qua- lität und die Einhaltung strikter Vorgaben. Insbesondere im Bereich der IT-Security sind Unternehmen aus der Europäischen Union weltweit führend und bestechen zudem durch eines: Vertrauen der Kunden in die Technologie und den Schutz der Kundendaten. Mit diesem Vertrau- enssiegel können sich europäische Hersteller von IT-Security-Lösungen von ausländischen Mitbewerbern abheben und zeigen, dass ihre Lö- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 29

Abbildung 2: Über das Self- Service-Interface von tenfold können Benutzer eigenständig Ressourcen anfordern. IAM-Lösungen wie tenfold versetzen Unternehmen in die Lage, den Zugriff auf Ressourcen aktiv zu steuern und auf ein sinnvolles Min- destmaß zu beschränken. Anstelle der aufwendigen Verwaltung in unter- schiedlichen Diensten erfolgt die Ver- gabe und Kontrolle von Zugriffsrech- ten in tenfold über eine zentrale und weitgehend automatisierte Plattform, die alle notwendigen Änderungen in die jeweiligen Zielsysteme überträgt. Sobald etwa ein Benutzer angelegt oder angepasst wird, stattet tenfold diesen anhand von Faktoren wie Standort und Abteilung automatisch mit den vorgesehenen Rechten aus beziehungsweise löscht nicht mehr benötigte Zugänge. Die mühsame und fehleranfällige Wartung durch Admins entfällt, Zugriffsrechte blei- ben stets auf dem neuesten Stand und sämtliche Änderungen werden nachvollziehbar und revisionssicher dokumentiert. Goldlöckchen-Prinzip In Folge wachsender Komple- xität, Bedrohungen und Complian- ce-Anforderungen, steigt der Bedarf nach IAM-Lösungen im Mittelstand stark an. Doch wie können Organisati- onen unter zahlreichen Anbietern die richtige Software finden? Bestimmt kennen Sie das Märchen von Gold- löckchen, die im Haus der drei Bären feststellt, dass ein Bett zu weich, eines zu hart und eines genau richtig ist. Mit der Auswahl eines Identity-und-Ac- cess-Management-Anbieters verhält es sich genauso: Die richtige Lösung darf nicht zu klein und nicht zu groß sein, sondern genau richtig. Simple Auditing- oder Da- ta-Governance-Tools können das Reporting von Rechten zentralisieren, mangels der automatischen Vergabe neuer Rechte lösen sie jedoch nicht das Grundproblem hinter dem Be- rechtigungschaos. Der Aufwand durch die manuelle Verwaltung wird so nicht gesenkt. Hingegen können zu große IAM-Systeme, die für die Nut- zung im Enterprise-Bereich konzipiert sind, in mittelgroßen Firmen und Be- hörden nicht effektiv eingesetzt wer- den. Der hohe Feature-Umfang dieser Produkte steht in keinem Verhältnis zu den Anforderungen mittelständischer Organisationen, schlägt neben erheb- lichen Kosten jedoch mit monate- bis jahrelangen Projekten zu Buche, in- klusive langwieriger Einschulung und eigens programmierten Schnittstellen. Mit tenfold kann die Ver- waltung von Benutzerkonten und Berechtigungen schnell, effektiv und ohne großen Aufwand automatisiert werden. Die Inbetriebnahme der Access-Management-Lösung ist dank Import-Funktionen, Setup-Assisten- ten und vorgefertigter Schnittstellen schon in wenigen Wochen möglich. Somit sorgt tenfold in kürzester Zeit für die Entlastung von Admins und die optimale Sicherheit für Ihre Daten. Erfolgsfaktoren für IAM-Projekte Damit ein IAM-Projekt gelingt und eine spürbare Verbesserung im IT-Betrieb erzielt, muss die Software zu den Bedürfnissen der Organisation passen. Entscheidend ist etwa, dass das gewählte System Berechtigungen in al- len Anwendungen verwalten kann, die im Geschäftsalltag verwendet werden. Dazu zählen neben Windows-Diens- ten wie Active Directory und dem File- server in der Regel auch die Microsoft Cloud (Azure AD, Teams, Exchange, SharePoint) und Drittanwendungen wie HR-Software, Helpdesk-Tools und Branchenlösungen. Schnittstellen zu den wichtigsten Systemen garantieren eine einfache Anbindung. Sonderfälle wie Eigenentwicklungen können über APIs integriert werden. Zur Entlastung von Fach- kräften ist es weiters ratsam, Endan- wendern den Zugang zu häufigen Tätigkeiten wie Passwort-Resets oder Zugriffsrequests zu erleichtern. ten- fold stellt zu diesem Zweck eine umfangreiche Self-Service-Plattform bereit, über die User bei Bedarf Zu- gang zu neuen Ressourcen anfordern können. Die Freigabe erfolgt anhand selbst festgelegter Workflows und der Zustimmung des jeweiligen Datenei- gentümers innerhalb der Abteilung. Die Verwaltung eigener Ressourcen erfolgt somit direkt in den Fachberei- chen – ohne Umweg über die IT. Um sicherzustellen, dass diese Freigaben Geschäftszwecken dienen und auf dem neuesten Stand sind, werden sie im Rahmen der Rezertifizierung regel- mäßig auf Aktualität geprüft. Mit der Einbindung aller Systeme und Fachbereiche schafft Identity- und Access-Management die Grundlage für eine sichere und effiziente Verwaltung über den ge- samten Informationsverbund hin- weg. Über die zentrale IAM-Plattform lassen sich Berechtigungen nicht nur automatisch steuern, sondern auch übersichtlich aufbereiten und jeder- zeit nachvollziehen. Die Vorbereitung auf Compliance-Audits wird dadurch ebenso erleichtert, wie die alltägliche Verwaltung und der Schutz kritischer Daten. n Messestand tenfold Software: Halle 7, Stand 7-230 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 31

<kes> Special zur it-sa 2022 secunet auf der it-sa 2022 Vertrauenswürdige Lösungen für den Schutz digitaler Infrastruk- turen Unsere vernetzte Welt funktioniert auf der Basis digitaler Infrastrukturen. Wie diese sich schützen und vertrauenswürdig gestalten lassen, zeigt secunet auf der diesjährigen it-sa. Von Marc Pedack, secunet Security Networks AG In der vernetzten Welt von heute ist digitale Souveränität ein ho- hes Gut. Die digitale Transformation hat uns unzählige Vorteile gebracht und Innovationen ermöglicht. Doch sie hat auch neue Abhängigkeiten geschaffen, die dazu führen können, dass Organisationen die Hoheit über ihre Daten verlieren – oder dass sie im Fall eines erfolgreichen Cyberangriffs innerhalb kürzester Zeit mit einem größeren Ausfall konfrontiert werden. Im Idealfall sollte daher bereits beim Aufbau digitaler Infrastrukturen der Sicher- heitsaspekt mitbedacht werden. Ist das nicht möglich, etwa weil bereits bestehende Systeme neu vernetzt werden, stehen auch für diesen Fall IT-Sicherheitslösungen bereit, die sich flexibel an sehr unterschiedliche Einsatzszenarien anpassen lassen. Auf der it-sa 2022 zeigt secunet un- ter dem Motto „Protecting Digital Infrastructures“, wie Behörden und Unternehmen digitale Souveränität erreichen können. Sichere Netze Den ganzheitlichen Sicher- heitsanspruch von secunet ver- körpert idealtypisch die Sichere Inter-Netzwerk-Architektur (SINA). Aufeinander abgestimmte Netzwerk- komponenten und Clients sorgen für eine wirksame Verschlüsselung und Trennung unterschiedlich klas- sifizierter Daten – lokal und beim Transfer über offene Netze. Die SINA Workstation vereint diese Vorteile in verschiedenen Formfaktoren vom Office-Client bis zum mobi- len Notebook und ermöglicht als All-in-One-Lösung die standortun- abhängige und sichere Bearbeitung von Verschlusssachen (VS), je nach Ausführung bis zum Einstufungsgrad GEHEIM. Papierakten und Botengän- ge adé: Dank SINA Workflow, dem einzigen durchgängigen digitalen Managementsystem für VS, werden alle notwendigen Sicherheits- und prozeduralen Anforderungen der Verschlusssachenanweisung (VSA) erfüllt, um Daten bis GEHEIM zu bearbeiten. Mit wenigen Mausklicks lassen sich eingestufte Dokumente und andere sensible Daten sicher verteilen. Auch ein kollaboratives Ausarbeiten von Inhalten ist mit SINA Workflow möglich, um in- terne Abstimmungsprozesse mit Mitzeichnungen umzusetzen. Da- bei werden Dokumente nach dem Prinzip „Kenntnis nur, wenn nötig“ weitergeleitet. Sichere Telefonie Die SINA-Infrastruktur lässt sich um weitere Kollaborations- möglichkeiten erweitern. Für si- chere Telefonie und künftig auch für Chats und Videokonferenzen steht der SINA Communicator H bereit, der die Anforderungen ge- heimer Sprachkommunikation mit den Gewohnheiten des modernen Arbeitsalltags vereint. Mit großem Display und Touch-Navigation er- innert der SINA Communicator H eher an ein Tablet als an ein Schreib- tisch-Telefon. Er nutzt bewährte Internetstandards für Voice-over-IP (VoIP) und unterstützt damit vor- handene, kommerziell beschaffte, Session-Initiation-Protocol-(SIP)-fä- hige Vermittlungsinfrastrukturen. Zusätzlich setzt er Protokolle der NATO um und ermöglicht so etwa eine abgesicherte Kommunikation mit internationalen Bündnispart- nern. Der SINA Communicator H ist für die Einstufungsgrade VS-NfD und GEHEIM zugelassen, Nutzer:innen können einfach über das Display zwischen den verschiedenen Sicher- heitsdomänen wechseln. Auch die alltägliche Kom- munikation zwischen Mitarbeiten- den in Behörden oder Unternehmen sollte sicher gestaltet werden. Dafür gibt es den Messenger stashcat. Im Jahr 2021 übernahm secunet die stashcat GmbH aus Hannover, die die App 2016 auf den Markt gebracht und erfolgreich etabliert hatte. Der © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 33

Ransomware-Angriffe auf weitere Branchen Angriffe auf andere Bran- chen haben sich im Vergleich zum Vorjahr zudem mehr als verdoppelt. Dienstleistungsanbieter waren am stärksten betroffen (14 Prozent). Unabhängig davon, ob sie IT-Dienste oder andere Unternehmensdienst- leistungen anbieten, sind diese Arten von Organisationen attraktive Ziele für Ransomware-Banden, da sie Zu- gang zu den Systemen ihrer Kunden haben. Der Zugang zu potenziellen Opfern vervielfacht sich, wenn die Angreifer mit ihrer Landes- und Ex- pansionsstrategie erfolgreich sind. Ransomware-Angriffe auf Unterneh- men aus den Bereichen Automobil, Gastgewerbe, Medien, Einzelhandel, Software und Technologie haben ebenfalls zugenommen. Die meisten Ransomwa- re-Angriffe finden allerdings nicht den Weg in die Schlagzeilen. Viele Opfer entscheiden sich dafür, den Angriff nicht zu melden. Die Atta- cken sind oft raffiniert ausgeführt und für kleine Unternehmen extrem schwer zu bewältigen. Um einen genaueren Blick auf die Auswirkun- gen von Ransomware auf kleinere Unternehmen zu werfen, findet sich im Folgenden ein Beispiel aus der Praxis: Angriff der Karakurt- Hackergruppe ––——— Ursprünglicher Bedro- hungsvektor: Im Oktober 2021 führte ein Brute-Force-Angriff auf eine VPN-Anmeldeseite zur Kompro- mittierung mehrerer Domänencont- roller. Die Cyberkriminellen nutzten dann das Remote-Desktop-Protokoll (RDP), um auf die kompromittierten Systeme zuzugreifen. Im November 2021 begannen die Angreifer, die Firewall-Regeln zu ändern. ––——— Lösegeldforderung: Das Unternehmen erhielt die Löse- geldforderung im Januar 2022 und wandte sich über seinen Managed- Service-Provider an das SOC-as-a- Service-Team, um Hilfe zu erhalten. ––——— Reaktion auf den Vorfall: Das Sicherheitsteam analysierte die Ereignisprotokolle und isolierte die infizierten Systeme. Auf der Fire- wall wurde eine Geoblockierung eingerichtet, und die gefundenen Kompromittierungsindikatoren (IOCs) wurden blockiert. Auch die File-Storage-Cloud und Remo- te-Desktop-Anwendungen wurden blockiert. Das Unternehmen wurde in die Überwachung einbezogen, das kompromittierte Konto wurde zu- rückgesetzt und es wurden spezielle SIEM-Regeln erstellt. ––——— Wiederherstellung: Das Unternehmen arbeitete mit einem Drittanbieter für die Wiederherstel- lung und Forensik zusammen. ––——— Durchgesickerte Daten: Die während des Angriffs gestohlenen Daten wurden im Februar 2022 on- line gestellt. Es gibt immer noch viele erfolgreiche Angriffe auf VPN-Sys- teme ohne stärkere Authentifizie- rungsverfahren. Die rasche Verla- gerung auf Fernarbeit aufgrund der COVID-19-Pandemie hat diesen Bereich als Schwachstelle für viele Unternehmen offengelegt. Cyber- kriminelle werden weiterhin versu- chen, bestehende Schwachstellen auszunutzen, daher ist es dringend zu empfehlen, dass Unternehmen ihre Authentifizierung optimieren. Schutzmaßnahmen Es gibt sechs Schritte, die Unternehmen umsetzen sollten, um sich gegen diese Art von Angriffen zu schützen: ––——— Deaktivieren von Makros: Die Ausführung von Makros wird verhindert, indem Makroskripte in Microsoft-Office-Dateien, die per Abbildung 2: Ransomware-An- griffe auf Schlüssel- industrien 2021 und 2022 im Vergleich Abbildung 3: Ransomware-Angriffe auf andere Branchen © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 37

Besuchen Sie uns auf der it-sa in Nürnberg! Stand 7A-627 HiScout Vorträge in Halle 7 – Forum D Dienstag, 25.10.2022 von 15:45 bis 16:00 Uhr Geschäftsfortführungsplanung mit HiScout – Einstieg und Umsetzung leichtgemacht Wie Sie in einem Tool bereits vorhandene Daten und bestehende Strukturen effizient und unkompliziert nutzen können Donnerstag, 27.10.2022 von 11:00 bis 11:15 Uhr TIA – Jetzt aber richtig! DSGVO-konform Daten in das Ausland übertragen Neue Rechtsprechung seit 2022: Wir zeigen Ihnen, wie Sie Daten mit dem Transfer Impact Assessment rechtskonform in das Ausland übertragen HiScout GRC-Suite Gemeinsame Datenbasis und Synergien für: IT-Grundschutz nach BSI-Standard 200-1, 200-2 und 200-3 ISM nach ISO 27001/2 Datenschutz nach EU-DSGVO BCM nach ISO 22301 und BSI-Standard 200-4 Wir haben ein Kontingent kostenfreier Eintrittskarten für Sie reserviert: www.hiscout.com/it-sa

Bedrohungskampagnen und Tech- niken von APT-Akteuren auf dem Laufenden hält. Über ein Viertel wünscht sich den Einsatz solcher Reports. Nahezu die Hälfte greift auf Sicherheitsevaluierungen – etwa über das TIBER-Framework (Threat Intelligence-based Ethical Red Tea- ming) – sowie auf Tools zur Entde- ckung zielgerichteter Attacken zu- rück. Mehr als ein Drittel (34 Prozent) ist der Auffassung, das eigene Unter- nehmen sollte solche technischen Werkzeuge zukünftig einsetzen. Das Bewusstsein für die Bedeutung von Threat-Intelligence-Services scheint also in der Finanzbranche inzwi- schen recht hoch zu sein. Was raten Sie Unterneh- men, worauf sie bei der Auswahl eines Anbieters achten sollten? Um gegen Bedrohungen gewappnet zu sein, müssen Unter- nehmen durchgehend alle Assets im Blick haben. Generell sollten sie sich für einen Anbieter entscheiden, der das System rund um die Uhr überwacht und analysiert, damit er jederzeit Schwachstellen finden und sofort entsprechende Sicher- heitsmaßnahmen einleiten kann. Außerdem sollte der Anbieter stets topaktuelle Untersuchungsdaten nahezu in Echtzeit bereitstellen. Eine qualitativ hochwertige Threat Intelligence muss sich auf ein anerkanntes Expertenteam mit nachgewiesener Erfahrung in der Aufdeckung komplexer Bedrohun- gen stützen und sich reibungslos in die bestehenden Sicherheitsabläufe des Unternehmens integrieren kön- nen. Denn eine gute Threat-Intelli- gence entlastet interne Cybersecu- rity-Abteilungen durch umfassende Automatisierungsmöglichkeiten; so können sich diese auf vorrangigere Ziele konzentrieren. Kaspersky bietet ja auch entsprechende Threat-Intelligen- ce-Dienste an, die auf jahrelanger Erfahrung beruhen… Weltweit anerkannte Bedrohungs- jäger: das Global Research and Analysis Team (GReAT) von Kaspersky Genau, die Threat Intelligen- ce von Kaspersky bietet Zugriff auf alle Informationen, die zur Abwehr von Cyberbedrohungen benötigt werden. Wir haben über 20 Jahre Erfahrung mit der Entdeckung und Analyse von Cyberbedrohungen, und unser Team aus internationalen Forschern und Analysten ist weltweit anerkannt. Mit Kaspersky Threat Intelligence [2] erhalten Unterneh- men einen direkten Zugang zu tech- nischer, taktischer, operativer und strategischer Threat Intelligence. Zum Kaspersky-Portfolio gehören unter anderem Threat Data Feeds, die Threat-Intelligence-Plattform CyberTrace, Threat Lookup, Threat Analysis mit einer Cloud-Sandbox und Cloud-Threat-Attribution-Engi- ne sowie eine Reihe an Threat-Intel- ligence-Berichtsoptionen. Besonders interessant für Spezialisten sind unsere APT & Crimeware Reportings. Zusätzlich bieten wir den Service „Ask the Analyst“, sodass sie bei Bedarf Experten von Kaspersky direkt um Rat fragen können. Sehr stolz sind wir zudem auf die jüngste Kooperation zwischen Kaspersky und Microsoft, durch die unsere Derzeit bietet Kaspersky Unter- nehmen unter dem Shortlink kas.pr/threat-intelligence einen kostenfreien Zugang zu seinen Threat-Intelligence-Services. Der Zugang wird zunächst für einen Monat gewährt. Threat-Data-Feeds jetzt in Microsoft Sentinel integriert sind. Allerdings warnt das BSI vor dem Einsatz der Produkte. Was sagen Sie dazu? Die BSI-Warnung bezieht sich „nur“ auf unsere Virenschutz- produkte und nicht auf die Threat-In- telligence-Dienste von Kaspersky. Und: Wie eine Recherche des Bayeri- schen Rundfunks und Spiegel zeigt, spielten technische Argumente und Fakten keine Rolle bei der Warnung durch das BSI. Kaspersky hat dem BSI seit Februar umfangreiche Informati- onsangebote gemacht und es zu Tests und Audits eingeladen. Es ist unser Ziel, den langjährigen konstruktiven Dialog mit dem BSI fortzusetzen, um gemeinsam auf der Basis faktenba- sierter Bewertungen für ein Höchst- maß an Cybersicherheit für die deutschen und europäischen Bürger sowie Unternehmen einzutreten. n Messestand Kaspersky: Halle 7, Stand 7-311 Literatur [1] https://kas.pr/h2ia [2] https://www.kaspersky.de/enter- prise-security/threat-intelligence © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 41

<kes> Special zur it-sa 2022 So sparen CISOs und CIOs Zeit und Geld für die Cybersicherheit Die schnell wachsende Zahl von Cyberangriffen setzt heute viele Unternehmen unter Druck. Sie können weder die Risiken für ihre kritischen Geschäftsprozesse richtig einschätzen, noch wissen sie, ob sie vertrauliche und datenschutzrelevante Informationen schützen können. Die meisten CISOs und CIOs unterliegen einem falschen Gefühl von Sicherheit, zurückzufüh- ren auf einen Mangel an ganzheitlicher Sichtbarkeit und unzureichender Automatisierung. Von Stefan van Vlerken and Chantal ‘t Gilde, Qualys Die meisten Unternehmen wissen heute längst, wie wichtig das Thema Cybersicherheit ist und beschäf- tigen sich intensiv damit. Sie investieren viel in Sicher- heitslösungen, setzen diese aber oft nur für Teilbereiche ihres Asset-Bestandes ein. Darüber hinaus verwenden viele Unternehmen gleichzeitig eine Vielzahl verschiedener Sicherheitslösungen, in der Regel eigenständige Tools (auch Punktlösungen oder Silos genannt), was zu einer Fragmentierung der Informationen führt. In der Folge kommt es zu erheblichen Verzögerungen bei den Reakti- onszeiten. Es dauert lange, Daten zu potenziellen Risiken zunächst zu sammeln und sie dann zu analysieren. Bis zur Reaktion auf die Daten und der Einleitung von Schritten zur Behebung vergeht zu viel Zeit, wenn Schwachstellen eine sofortige Reaktion erfordern. Je größer das Unternehmen ist, desto mehr solcher Silos gibt es. Dadurch bleiben viele Assets außer Sichtweite, darunter etwa Laptops, PCs, Server, Drucker, Netzwerkkomponenten, IoT-Geräte, OT-Systeme und Cloud-Anwendungen. Noch mehr Unklarheit herrscht häufig darüber, wie all diese Assets untereinander und mit der Netzwerkumgebung verbunden sind. Dieser Mangel an Information liegt in der fehlenden Sichtbar- keit begründet, denn man kann nicht sichern, was man nicht sieht oder nicht kennt. Für CISOs und CIOs besteht also die erste Aufgabe darin, genau zu erfassen, was sich im Unternehmen befindet. Das bedeutet, dass alle Assets ordnungsgemäß aufgeschlüsselt werden müssen – es muss jedoch auch klar sein, welche darunter für das Unterneh- men und die Geschäftsprozesse am wichtigsten und daher besonders schutzbedürftig sind. Grundlegende Abläufe bei der Asset- Verwaltung fehlen Übersicht über unverwaltete Assets die Priorisierung von Schwachstellen, Konfigurationsein- stellungen und Patches sowie die Automatisierung des Patch-Prozesses. Grundlage dafür ist der Überblick über die Systeme, die in jeder Unternehmensumgebung zu finden sind: Server, Netzwerkkomponenten, Drucker, Computer, Anwendungen, Datenbanken, Cloud-Plattformen und Betriebssysteme. Darüber hinaus gibt es in allen Unternehmen viele nicht identifizierte Ressourcen wie Geräte, die von den Mitarbeitern selbst mitgebracht werden. Diese blei- ben häufig unentdeckt und erhöhen damit das Risiko von Sicherheitsvorfällen. Es ist daher unerlässlich, ein Inventar aller bekannten und unbekannten Assets zu erstellen und diesen Datensatz in einer Konfigurationsma- nagement-Datenbank (CMDB) auf dem neuesten Stand zu halten. Auch der Einblick in den Status dieser Assets ist von grundlegender Bedeutung. Ein Unternehmen sollte seine Schwachstellen kennen und wissen, wie die Priori- täten bei der Beseitigung dieser Schwachstellen gesetzt werden sollten. Schließlich ist es unmöglich, alle sofort zu beheben. Unzureichende Automatisierung Die Verwaltung des IT-Ökosystems sollte in jedem Unternehmen einigen grundlegenden Abläufen folgen. Dazu gehören die Bestandsaufnahme aller IT-Ressourcen, Praktisch alle Unternehmen verwenden eine brei- te Palette von Sicherheitslösungen wie Endpoint-Detecti- on-and-Response-(EDR)-Systeme, Antivirenlösungen und © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 43

Was tun Sie bei einem Hackerangriff? Entspannt bleiben – denn mit secunet sind Daten und Infrastruktur premiumsicher. Wo Daten und IT-Infrastrukturen vor Cyberangriffen geschützt werden müssen, steht secunet bereit. Als IT-Sicherheitspartner der Bundesrepublik Deutschland bieten wir Behörden und Unternehmen Expertenberatung und premiumsichere Lösungen zum Schutz von Kommunikation und Daten. secunet.com protecting digital infrastructures

Business-IT- Alignment – zunächst ein Projekt, dann ein Prozess bare IT-Bebauungspläne, ausgerichtet an der Geschäftsstra- tegie und den Business-Prozessen der Organisation. Im Mittelpunkt stehen hierbei Managementsyste- me, um mehr Überblick und Kontrolle über die Abläufe zu erhalten. Dazu gehören beispielsweise das Informations- sicherheits- und Datenschutz-Managementsystem (ISMS/ DSMS), das Risikomanagement, die Business-Impact-Ana- lyse oder das interne Kontrollsystem (IKS). Was sind die Vorteile eines Business-IT-Alignments? Durch standardisierte Anforderungs- und Ent- scheidungsprozesse, klare Rollen und einen belastbaren IT-Bebauungsplan werden Missverständnisse und System- brüche vermieden und zugleich die Mehrfach-Nutzung bestehender Architekturbausteine gefördert. Die Vorteile: ––——— nachvollziehbare Entscheidungen im Business führen zu nachvollziehbaren IT- Lösungen zur optimalen Unterstützung der Organisation ––——— anerkannte Standards befreien IT-Lösungen vom Zufall ––——— optimale Synergieeffekte durch die strukturierte Steuerung von Business und IT – Mehrfachnutzung vor- handener Lösungen statt fragmentierter Inselsysteme ––——— durchgängige IT-Sicherheit, bessere Einhaltung von Compliance und Datenschutzanforderungen ––——— passgenaue IT-Lösungen statt IT-Silos und Schat- ten-IT ––——— Managementsysteme ohne Systembrüche schaf- fen Transparenz ––——— IT-Portfolio-Entwicklung setzt Innovationskraft der IT-Experten für die Linienunterstützung frei ––——— hybride Produktion in einem homogenen IT-Port- folio Standardisierung als Lösung vieler Probleme Viele Projekte oder Services scheitern daran, weil sie neu sind und es keine Best-Practice-Ansätze gibt. Das zeigt sich vor allem im IoT- und KI-Bereich. Für nicht wenige Umsetzungen existieren Ideen, aber noch keine Vorzei- geprojekte, die realisiert wurden. Unternehmen müssen sich deshalb auf neues Terrain begeben, wenn sie sich an die Realisierung wagen. Das Internet wimmelt bereits von Beispielen, was schieflaufen kann, insbesondere bei ERP- und CRM-Systemen. Da solche gescheiterten Projekte viel Zeit und Geld kosten, bildet eine Standardisierung die Basis des Business-IT-Alignments. Hierbei setzt man auf Blueprints, Tools und Frameworks, die erprobte Vorgehensmodelle und Konzepte bieten. Wer diesen folgt, reduziert automatisch das Risiko, einen falschen Weg einzuschlagen und dabei das Budget zu überschreiten. Die Nachteile von Business-IT-Alignment Natürlich hat auch dieses Konzept Nachteile. Das Zusammenführen von Business und IT ist sicher eine gute Idee, aber standardisierte Prozesse können auch die Freiheit einengen, Neues auszuprobieren. Darüber hinaus gibt es Geschäftsvorfälle, die so einzigartig sind, dass noch gar keine IT-Blueprints existieren. Alles nach der gleichen Schablone zu formen, ist in diesem Fall nicht hilfreich und braucht andere beziehungsweise individuelle Lösungen. Fazit Mit Business-IT-Alignment wird ein Konzept vor- gestellt, das vielen Unternehmen schmerzhaft vor Augen führt, was in den letzten Jahren falsch gelaufen ist. Der ständige Ruf nach Digitalisierung und IT-Outsourcing hat nicht immer dazu geführt, dass alles besser läuft. Viele Firmen haben sich im Digitalisierungs-Labyrinth verlaufen und tun sich schwer damit, die Geschäftsstrategie mit der IT-Abteilung auf eine Linie zu bringen. Am Anfang dieser Handlungsfelder steht die Rol- lenklärung – soll die IT-Abteilung das Business als Kunden begreifen, stellt sich die IT als Cost-Center dar oder sogar schon als Profit-Center? Ein IT-Servicekatalog ist zu erstel- len – und jeder einzelne produzierte Dienst muss sich den berechtigten Fragen nach der Wirtschaftlichkeit, IT-Risi- ken und Wertbeitrag für das Business stellen können. Ein gesteuertes Anforderungsmanagement ist dabei für die Mehrheit der Unternehmen nichts weniger als ein Kul- tur-Change, doch dieser ist notwendig. Business und IT werden in jedem Fall zusammen- finden müssen. Fragmentierte IT-Landschaften und hek- tisch integrierte Insellösungen sind teuer im Betrieb, bergen enorme Sicherheitsrisiken und verhindern schlagkräftige IT-Lösungen zur Hebung von Wettbewerbsvorteilen. n Messestand AirITSystems GmbH: Halle 7, Stand 7-307 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 47

<kes> Special zur it-sa 2022 SAP- und OT-Sicherheit Wenn plötzlich nichts mehr geht Produktions- und Versorgungsunternehmen sind auf funktionierende SAP- und OT-Systeme angewiesen. Um Hacker-Angriffen wirkungsvoll vorzubeugen, sind Daten systemübergrei- fend zu konsolidieren, zu korrelieren und zu analysieren. Nur so können Firmen auf akute Bedrohungen adäquat reagieren und im Zweifel Menschenleben schützen. Von Andreas Nolte, Arvato Systems Greifen Cyber-Kriminelle zum Beispiel sensible Kunden- oder Unternehmensdaten ab, ist das sehr unangenehm für die betroffene Firma. Eine solche Attacke kann weitreichende finanzielle Folgen haben. Noch kritischer ist es, wenn SAP-Systeme oder die Betriebstech- nologie (Operational Technology, OT) von einem Angriff betroffen sind. Legt ein Hacker das SAP-System lahm, steht mitunter die komplette Produktion still. Zudem sind Ferti- gungslinien zumeist unverzichtbare Bestandteile komplexer Lieferketten. Ein Angriff kann also vielgliedrige Supply Chains empfindlich stören und die Existenz der betroffenen Fir- men gefährden. Wirklich verheerend können die Konsequenzen bei einem Angriff auf sogenannte kritische In- frastrukturen (KRITIS) sein: Hacker- angriffe auf Energieversorger oder Manipulationen von Ampelschal- tungen in einer Großstadt können die Gesundheit oder gar das Leben von Menschen bedrohen. Als omnipräsenter Backbone ist SAP vielerorts für einen reibungs- losen Geschäftsablauf notwendig. Gleiches gilt für die Betriebstech- nologie. Es liegt also im ureigensten Interesse von Unternehmen, ihre SAP- und OT-Systemlandschaft bestmöglich zu schützen. Doch in der Praxis tun sich Lücken auf. Im Mai 2021 haben Hacker Colonial Pipelines als kritische Infrastruktur in den USA angegriffen. Als Folge der Ransomware-Attacke war die Benzin- versorgung in einigen Bundesstaaten eingeschränkt. Das führte zu Panik- käufen, was wiederum die Treib- stoffknappheit vergrößerte. Etwa zeitgleich war ein weiterer Angriff in Florida bekanntgeworden. Angreifer sind über eine Remote-Desktop-Pro- tocol-(RDP)-Schwachstelle auf ei- nem Windows-Gerät in die Systeme einer Kläranlage eingedrungen und hätten beinahe das Wasser vergiftet. Die Bevölkerung und die Wasserlei- tungen waren ernsthaft gefährdet. Insbesondere im Versorgungsbereich nehmen Attacken schnell eine neue Dimension an: OT-Ransomware exfiltriert und verschlüsselt Daten nicht nur, sie übernimmt die Kon- trolle über die kritischen Systeme. Gestrige Maßnahmen sind keine Antwort auf heutige Bedrohungen Um dem vorzubeugen, ist es erforderlich, SAP- und OT-Sicherheit als Geschäftsprozess zu verstehen, der mit Bedacht zu modellieren, mit Metriken zu steuern, mit Tools zu überwachen und kontinuierlich zu optimieren ist. Daneben müssen die Mitarbeitenden aus Management, IT und Produktion einen interdis- ziplinären Dialog beginnen. Denn die Blue Collar Worker wissen ganz genau, wie sich ein Stillstand von Maschine A auf Fertigungslinie B auswirkt. Zudem braucht es leis- tungsstarke Security-Lösungen. In den vergangenen Jahren hat sich die Technologie stark weiterentwickelt: von Netzwerkanalysen über die sys- temübergreifende Detection bis hin zu Plattform-Security. Netzwerkanalyse Noch vor einiger Zeit war es üblich, das Netzwerk zu analysieren und Log-Dateien mit einem Securi- ty-Information-and-Event-Manage- ment-(SIEM)-System zu korrelieren, um Hinweise auf mögliche Bedro- hungen zu erhalten – eine reine Detection-Maßnahme. Zwar lässt sich aus den Korrelationsergebnissen eine zielgerichtete Response ablei- ten, aber nicht direkt umsetzen. Da die Datenübertragung heute meist verschlüsselt erfolgt, sind alleinige Netzwerkanalysen nicht mehr State of the Art. Systemübergreifende Detection Um sensorische Daten aus unterschiedlichen Quellen zu verar- beiten, haben sich mit Endpoint-De- tection-and-Response (EDR) und Extended-Detection-and-Response (XDR) zwei neue Methoden etab- liert. Mit einem EDR-Tool lassen sich Ereignisse, wie etwa eine Nutzeran- meldung, das Öffnen einer Datei und aufgebaute Netzwerkverbindungen, auf Endgeräten wie PCs, Notebooks, © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 49

I TS A H A L L E 7A S TA N D 210 W W W.C O N S U LT I N G 4 I T. D E/ I T S A2 0 22. H TM L ITSECURITY ENTERPRISE SERVICE MANAGEMENT CLIENT ANALYT ICS WIR MACHEN KUNDEN ZU HELDEN! Erfahren Sie, wie Sie zum Helden in Erfahren Sie, wie Sie zum Helden in Erfahren Sie, wie Sie zum Helden in Erfahren Sie, wie Sie zum Helden in Ihrem Unternehmen werden! Ihrem Unternehmen werden! Ihrem Unternehmen werden! Ihrem Unternehmen werden! Wir zeigen Ihnen die führenden Lösungen aus den Bereichen IT-Security, Enterprise Service Management und Client Analytics. it-sa | Halle 7A | Stand 210 www.consulting4it.de C O M P E T E N C E P A R T N E R 2 0 2 2 D I A M O N D

Fällt das Unternehmen aufgrund seiner Größe oder Branche ins Beu- teschema aktueller Gruppierungen und hat es Schwachstellen, die gera- de häufig ausgenutzt werden? Dann ist das Risiko für einen Cyberangriff hoch. Das Monitoring und die Be- wertung von externen Security-Quel- len sind für Unternehmen jedoch fast noch schwieriger als die Analyse der Angriffsfläche. Denn täglich ver- öffentlichen Security-Hersteller, Poli- zeiorganisationen, Regierungsbehör- den, Non-Profit-Organisationen und Analysten unzählige Informationen zum cyberkriminellen Geschehen. Sie alle im Auge zu behalten und in der nötigen Detailtiefe zu verfolgen ist für interne Teams kaum machbar. Hier können Security-Hersteller un- terstützen, indem sie die externen Se- curity-Informationen sammeln, ana- lysieren und den Kunden proaktiv über relevante Risiken informieren. Das individuelle Risiko- Level bestimmen Trend Micro verfügt über tagesaktuelle globale Threat-In- telligence aus verschiedensten Quellen, zum Beispiel Telemetrie- daten der installierten Security-Sys- teme, Schwachstellenforschung der Zero-Day-Initiative, Studien, Untergrund-Forschung und Ver- öffentlichungen aus der Branche. Diese Informationen fließen in eine übergreifende Security-Manage- ment-Konsole ein und werden dort mit internen Informationen aus der Extended-Detection-und-Respon- se-(XDR)-Lösung korreliert. So ent- steht eine realistische, individuelle und stets aktuelle Risikoanalyse. In einem Risk-Score sehen Unterneh- men auf einen Blick, wie gefährdet sie gerade sind und wo ihre größten Risiken liegen. Sie können dann gezielt Maßnahmen ergreifen, um diese Risiken zu mindern. Solche Prozesse – etwa unter bestimmten Bedingungen Accounts zu sperren oder Passwörter zu ändern – lassen sich auch anhand eines zuvor defi- nierten Regelwerks automatisieren. Zur Berechnung des Risk-Scores wird die gesamte Angriffsoberfläche herangezogen. (Quelle: Trend Micro) XDR als Baustein für Zero Trust Fazit Laut dem aktuellen Allianz Risk Barometer sind Cybervorfälle heute das größte Geschäftsrisiko. Die Bewertung und das Manage- ment von Cyberrisiken sind für Unternehmen daher unverzichtbar. Es wird immer Risiken geben, mit denen man leben muss. Entschei- dend ist, die individuell größten Gefahren zu priorisieren und dann mit gezielten Maßnahmen die Ein- trittswahrscheinlichkeit und den möglichen Schaden zu reduzieren. Da sich sowohl die interne als auch externe Sicherheitslage dynamisch verändert, muss Risikomanagement kontinuierlich erfolgen. Trend Micro unterstützt dabei proaktiv. n Die XDR- und Threat-Intel- ligence-gestützte Risikobewertung ist ein wichtiger Baustein für die Umsetzung einer Zero-Trust-Strate- gie. Diese umfasst technische und organisatorische Maßnahmen, um Angriffsrisiken zu mindern. Zero Trust bedeutet: vertraue niemandem. Durch umfangreiche interne und externe Security-Kontrollen gilt es sicherzustellen, dass nur autorisierte Nutzer auf Systeme, Anwendungen und Daten zugreifen können. Ein umfassendes Zero-Trust-Modell umzusetzen, ist jedoch sehr auf- wendig und kann Jahre dauern. In der Regel müssen Unternehmen dafür ihre Netzwerke weitreichend umstellen. XDR lässt sich dagegen in wenigen Wochen einführen und ermöglicht sowohl eine proaktive Bewertung als auch Minderung von Risiken. Die Technologie sammelt und korreliert Telemetriedaten und Warnmeldungen aller angeschlosse- nen Security-Systeme und analysiert sie KI-gestützt unter Berücksichti- gung globaler Threat-Intelligence. Dadurch können Unternehmen Zero-Trust-Maßnahmen ganz gezielt dort umsetzen, wo ihre größten Risiken liegen. Im Fall eines Cyber- angriffs ermöglicht XDR zudem eine schnelle Erkennung und Reaktion. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2022 53

Mitherausgeber

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

seits erscheinen CI[S]Os und Sicherheitsteams vielen als regelrechte Bremsklötze, die als „Bedenkenträger“ Produk- tivität, Agilität und Innovationen ausbremsen. Obwohl alle Mitarbeiter:innen letztlich die glei- chen Ziele im Sinne der Organisation verfolgen, ergeben sich daraus oft dysfunktionale und teils „kämpferische“ Beziehungen zwischen verschiedenen Teams (vgl. [1,2,3]). Und diese bremsen ein Unternehmen tatsächlich aus! Mit einer zweigeteilten Strategie können CI[S]Os und Sicher- heitsteams diese Bremse lösen – am Erfolg wird dann die gesamte Organisation partizipieren. Friktionen und Dysfunktionen abbauen Bedauerlicherweise gibt es kein Patentrezept für den Weg dorthin – hier muss jedes Unternehmen und damit jede:r CI[S]O eine eigene, angepasste Vorgehens- weise entwickeln. Die Basis bildet jedoch immer die müh- selige Arbeit, die Bedeutung der Cybersecurity transparent und offen zu kommunizieren – und zwar gegenüber allen Beschäftigten in allen Abteilungen. Hier bedarf der/die CI[S]O gerade auch der Unterstützung der (erweiterten) Geschäftsleitung, um die folgenden Gesichtspunkte im Bewusstsein der Mitarbeiter:innen zu verankern: Digitale Geschäftsmodelle können nicht ohne digi- tale Sicherheit gedacht werden: Apps, Online-Dienste und digitale Lösungen interagieren eben an vielen Stellen direkt mit den Kund:inn:en und tauschen teilweise sehr kritische Daten aus. Ohne Cybersecurity ist dies schlicht und ergreifend nicht möglich und kann das Geschäft nachhaltig schädigen. „New Work“ fordert Mobilität und Flexibilität: Auch das kann ohne Sicherheit nicht funktionieren, schließlich hantieren die Beschäftigten mit schützenswerten und geschäftskritischen Informationen. Compliance und Regulierung geben einen engen Rah- men vor: CI[S]Os sind auch gegenüber der Geschäftsleitung für die Einhaltung der Compliance mitverantwortlich. Daraus ergeben sich Zwänge und Rahmenbedingungen, die stellenweise unter sehr strengen Auflagen umzusetzen sind. Und Verstöße gegen die Compliance können exis- tenzbedrohend für eine Organisation sein, wie zahlreiche Beispiele eindrucksvoll demonstrieren – egal ob es um Bußgelder bei Verstößen gegen die Datenschutzgrundver- ordnung (DSGVO) geht oder das Verbot, Neukund:inn:en zu akzeptieren, das die Bundesanstalt für Finanzdienst- leistungsaufsicht (BaFin) in der jüngsten Vergangenheit gegenüber bestimmten Fintechs ausgesprochen hat. scheinlichkeit der Ausbreitung eines potenziellen Angriffs zur Folge: Denn Cyberkriminelle ruhen nicht und auch der Schaden infolge kleiner Fehler kann bis zur Betriebsun- terbrechung führen. Um das Bewusstsein für die Risiken, die Bedeutung der Sicherheit und die Notwendigkeit der genannten As- pekte in der Organisation zu verankern, sind teamübergrei- fende Gespräche eine vielversprechende erste Maßnahme. CI[S]Os müssen die Führungskräfte aller Abteilungen – wie Entwicklung, Operations und Sicherheit, aber auch Ver- trieb und Marketing – auf das gemeinsame Sicherheitsziel ausrichten. CI[S]Os sollten dazu den Beschäftigten eine Platt- form zum Austausch von Erfahrungen und Wissen rund um das Thema Cybersecurity bieten. Dort wäre auch der Ort, an dem Bereiche, Abteilungen und Teams regelmäßig Erfolge und Best-Practice-Beispiele präsentieren. Um den Sicherheits- und Compliance-Gedanken noch tiefer in das Unternehmen zu tragen, bietet es sich an, in jedem Team eine:n Sicherheitsexperten/in zu identifi- zieren oder Mitarbeiter:innen aufgrund ihrer Skills in diese Rolle zu entwickeln. Damit sollte sich die Konfrontation auf lange Sicht auflösen, weil hier sprichwörtlich Betrof- fene zu Beteiligten gemacht werden. An der Schnittstelle zwischen Entwicklung und Operations kann die Weiter- entwicklung von DevOps zu DevSecOps ein aussichtsreicher Weg sein (vgl. [4,5]). Ein weiterer Hebel ist auch die Verlagerung von Risiko- und Nutzenanalyse direkt in die jeweiligen Teams der verschiedenen Bereiche. Bei diesem Ansatz werden die Beschäftigten zwar zunächst wahrscheinlich ein Coaching benötigen, um belastbare Aussagen zu Eintrittswahrschein- lichkeiten, Schadenswirkungen und zu tolerierenden Risiken zu gewinnen. Aber die gemeinsame Entscheidung mit CI[S]O oder beauftragten Personen erhöht letztlich die Akzeptanz der Sicherheit und baut Barrieren ab. Die Adressierung und Einbeziehung der Mit- arbeiter:innen stärkt die IT-Sicherheit selbst – doch erst mit einer zeitgemäßen Sicherheits-Strategie und unter- stützenden Tools kann diese ihr Potenzial als Treiber für Wachstum und Innovationen richtig entfalten. Denn relevantes „An-Ort-und-Stelle“-Coaching – der einzige Ansatz, der nachhaltig funktionieren kann – ist nur systemgestützt realisierbar,was zum zweiten Teil der über- geordneten CI[S]O-Strategie führt: Intelligente Sicherheit hilft Agilität und Innovation Fahrlässiges Handeln im Bereich der Sicherheit hat eine vermeidbar breite Angriffsfläche sowie eine erhöhte Wahr- In vielen Unternehmen bildet der erwähnte klassische Sicherheitsansatz auch weiterhin den Kern der © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2022#5 65