IT-SICHERHEIT_6-2022 inklusive Special

HZ212320 · ISSN 1868-5757 · www.datakontext.com Dezember 6/2022 „Geteilte Verantwortung“ beachten Cloud-Dienste sind kein Rundum- sorglos-Paket! Hornetsecurity-CEO Daniel Hofmann klärt im Interview über Risiken und Möglichkeiten zum Schutz der Microsoft 365-Umgebung auf. SPECIAL Microsoft 365 ▪ Warum M 365 im Visier der Cyberkriminellen ist ▪ Wie sich M 365-Daten und -Kommunikation zuverlässig schützen lassen ▪ MS Teams: Compliance- gerechte Kollaboration und Archivierung Telematikinfrastruktur 2.0: Perspektiven für ein sicheres Gesund- heitswesen Cybersicherheit: Security Awareness und Dark Web Monitoring als Schutzschild OpenWebSearch: Freiheit für die Internet- suche in Europa

Cybersicherheit von XM Cyber. Sparen Sie sich das teuerste E-Learning der Welt. XM Cyber ist die einfache Antwort für Ihre Cybersicherheit. Die Software analysiert 24/7 die Schwachstellen Ihrer Infrastruktur aus Sicht der Angreifer – und priorisiert diese. Wir helfen Ihnen, die täglichen Sicherheitsanforderungen richtig einzuordnen, um Ihre wichtigsten Systeme und Daten effektiv zu schützen. Mehr auf xmcyber.com

EDITORIAL AUSSICHTEN AUF EIN DIGITALES GESUNDHEITSWESEN Digitalisierung im Gesundheitswesen weitergedacht – da kommen viele vielversprechende Ansätze zum Vorschein: Apps in Verbindung mit Sensoren oder Wearables am Körper etwa erlauben eine engmaschige Überwachung wichtiger Vitalfunktionen und Werte, kritische Abweichungen werden über das Smartphone direkt zum behandelnden Arzt übermittelt. Telemedizin bringt eine direkte medizinische Versorgung der Patienten, egal wo diese sich gerade aufhalten. Maschinelles Lernen als Teilbereich der künstlichen Intelligenz erschließt Zusammenhänge auf Basis von unstrukturierten Beispieldaten zu Forschungszwecken und zur Analyse. So können etwaige Krankheiten oder Vorfälle wie Diabetes, Adipositas, Schlaganfall, Krebs und vieles mehr bereits im Vorfeld identifiziert werden. Überdies kann künstliche Intelligenz auch die Versorgung der Patienten nachhaltig verbessern. Sogar individuell auf einzelne Patienten zugeschnittene Medikamente sind im großen Stil denkbar – automatisch hergestellt auf Basis der Vorgaben vom Arzt. Gesundheitsapplikationen zur Abrechnung, zur Gesundheitsvorsorge, als elektronisches Rezept oder als Dashboard zum Informationserhalt sind in einem Gesundheitsnetzwerk im Hinblick auf seine Wirtschaftlichkeit unabdingbar. Insgesamt schafft ein modernes digitales Gesundheitswesen äußerst kostensparende Vorsorge-, Diagnostik- und Behandlungsmöglichkeiten und erleichtert die Kommunikation zwischen den Akteuren. Um diese Ziele erreichen zu können, müssen sehr viele Gesundheitsdaten zur Tiefenanalyse, Konsolidierung, Aufbereitung und ubiquitären Verfügbarkeit in Cloud-Infrastrukturen wandern. Das ruft im Hinblick auf den Datenschutz einen sehr stringenten Rechtsrahmen auf den Plan, der alle Teilbereiche der Cloud-Infrastruktur abdeckt und damit für die Digitalisierung verbindliche Mindestanforderungen und Meldepflichten in der kritischen Infrastruktur festlegt. Zugleich muss der Rechtsrahmen auch die höchstmögliche Verfügbarkeit der digitalen Health-Services fördern. In diesem Punkt gelten die Voraussetzungen in Deutschland und der Europäischen Union als vorbildlich. Aber ein der Kritikalität der Daten angemessener Rechtsrahmen ist nur ein Baustein von vielen für ein sicheres Cloud- und KI-gestütztes Gesundheitswesen. Was noch alles dazugehört, hat Professor Norbert Pohlmann vom Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen untersucht (Bericht ab Seite 54). In eigener Sache Über 15 Jahre ist es nun her, dass ich als freier Redakteur für die IT-SICHERHEIT tätig bin – fünf davon in der Funktion der Chefredaktion. Zusammen mit den hoch motivierten Kolleginnen und Kollegen im Verlag ist es gelungen, das Heft inhaltlich und optisch zu professionalisieren und als feste Größe im Umfeld der IT-Security zu etablieren. Durch die strategische Neuausrichtung des Verlags wird die Kernfunktion der Chefredaktion nun wieder ins Haus geholt und neu besetzt. Mit dem Jahreswechsel wird daher mein sehr geschätzter Kollege Sebastian Frank, den Sie wahrscheinlich bereits aus der Stammredaktion unserer Schwesterzeitschrift ‹kes› kennen, hier das Zepter übernehmen Ich selbst werde mich künftig meinen Social-Media- und anderen Projekten widmen – allerdings als Content-Lieferant auch weiterhin der IT-SICHERHEIT verbunden bleiben. Bei unseren Lesern, AutorInnen und Geschäftspartnern möchte ich mich sehr herzlich für ihr Vertrauen und ihre konstruktiven Anregungen bedanken und Sie gleichzeitig bitten, meinen Nachfolger ebenso engagiert zu unterstützen. Viel Spaß beim Lesen wünscht Ihnen, Stefan Mutschler Stefan Mutschler twitter.com/it_sicherheit24 www.itsicherheit-online.com/ newsletter IT-SICHERHEIT_6/2022 3

CLOUD-DIENSTE SIND KEIN RUNDUM-SORGLOS-PAKET! SPECIAL: MICROSOFT 365 27 3 6 8 EDITORIAL Aussichten auf ein digitales Gesundheitswesen NEWS Unternehmens-News Produkt-News AUS DER SZENE CLOUD-INFRASTRUKTUREN FÜR EIN SICHERES GESUNDHEITSWESEN 54 SECURITY MANAGEMENT | MANAGED SECURITY 18 Wie E-Mail-Kommunikation auch bei Serverausfall weiterläuft IM FALLE EINES FALLES: E-MAIL CONTINUITY 20 Warum Security-Kultur fester Bestandteil einer Unternehmensstrategie sein sollte MENSCH – ANGRIFFSPUNKT UND ABWEHRSCHIRM IN SACHEN CYBERANGRIFFE 22 Identifikation und Verifikation mit Körpermerkmalen WAS BIOMETRIE HEUTE LEISTET 24 E-Signatur: Dokumente digital unterschreiben WO STIFT UND PAPIER NICHT MEHR GEBRAUCHT WERDEN 12 Die Lage der IT-Sicherheit in Deutschland 2022 ANGRIFFS- ÜBERTRIFFT VERTEIDIGUNGSGESCHEHEN 27 SPECIAL: Microsoft 365 14 EU-Projekt OpenWebSearch.EU – das „europäische Google“ FREIHEIT FÜR DIE INTERNETSUCHE 16 Maschinelles Lernen in der Sicherheitsforschung birgt subtile Fallstricke CYBERSICHERHEIT AUF DEM PRÜFSTAND 4 IT-SICHERHEIT_6/2022 ENDPOINT | MOBILE SECURITY 47 OWASP Mobile Top 10: Wie Entwickler mobile Anwendungen für User besser absichern können SMARTPHONES UNTER BESCHUSS

INHALTSVERZEICHNIS 14 FREIHEIT FÜR DIE INTERNETSUCHE SECURITY AWARENESS UND DARK WEB MONITORING ALS SCHUTZSCHILD 50 CYBERSICHERHEIT 50 Security Awareness und Dark Web Monitoring als Schutzschild WIE SICH DIE GRÖSSTEN BEDROHUNGEN FÜR DIE IT-SICHERHEIT „ZÄHMEN“ LASSEN 52 Warum sichere Passwörter in der neuen Arbeitswelt Priorität haben sollten RAUS AUS DEM BERMUDA-DREIECK DER CYBER BEDROHUNGEN AUS FORSCHUNG UND TECHNIK 54 Cloud-Infrastrukturen für ein sicheres Gesundheitswesen TELEMATIK INFRASTRUKTUR 2.0 62 Unterschiedliche Schutzziele unter einem Dach WARUM AUF LANGE SICHT IT DIE OT MANAGEN MUSS IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT 65 Warum sich Unternehmen jetzt unbedingt rechtlich fit machen sollten SCHADENSERSATZ NACH DER DS-GVO AUF DEN PUNKT GEBRACHT 65 SCHADENSERSATZ NACH DER DS-GVO AUF DEN PUNKT GEBRACHT SERVICES 69 Webportal 70 VORSCHAU: Ausblick auf Ausgabe 1 | 2023 70 Impressum ADVERTORIAL 11 Modernisierter BSI-Standard 200-4 IT-SICHERHEIT_6/2022 5

NEWS | UNTERNEHMEN NASUNI ERWEITERT EUROPÄISCHE PRÄSENZ IM DACH-MARKT Die Nasuni Corporation hat im Rahmen weltweiter Expansion weitere In- vestitionen im DACH-Markt angekündigt. Der Anbieter ermöglicht es Un- ternehmen, von überall aus auf Dateien zuzugreifen und sie zu schützen. Dies geschieht über moderne Dateidienste, die auf dem cloudnativen globalen Dateisystem von Nasuni aufsetzen. Die Cloud-Lösung soll her- kömmliche Network Attached Storage (NAS) und Datensicherungstech- nologien ersetzen. Dabei konsolidiert sie Dateidaten in einem leicht er- weiterbaren und vergleichsweise kostengünstigen Cloud-Objektspeicher. Auslöser für Nasunis Entscheidung, ein lokales Team aufzubauen, ist das starke Wachstum von Umsatz und Kunden in Deutschland, der Schweiz und Österreich. Eine Umsatzsteigerung von 29 Prozent im ersten Halb- jahr 2022 im Vergleich zum Gesamtjahr 2021 und eine Verdoppelung der Kundenzahl in der Region seit 2019 haben Nasuni dazu veranlasst, seine Mitarbeiterzahl in der Region zu verdreifachen. Nasuni unterstützt be- reits Unternehmen aus unterschiedlichen Branchen in der Region, wobei der Schwerpunkt auf der Fertigungs- und der Automobilindustrie liegt. Um noch besser auf die Bedürfnisse seiner Kunden vor Ort eingehen zu können, hat Nasuni nicht nur die Mitarbeiterzahl aufgestockt, sondern auch zentrale Geschäftsfunktionen in Deutschland eingerichtet. Einer der jüngsten Neuzugänge im DACH-Team von Nasuni ist Michael Wappler, der im Mai als Channel Sales Manager hinzukam, um im deutschsprachi- gen Raum die Beziehungen zu den Geschäftspartnern weiter zu pflegen und auszubauen, sowie Ann Thueland, Head of EMEA Marketing. n JAMF ÜBERNIMMT ZECOPS Apple Enterprise-Management-Anbieter Jamf übernimmt ZecOps, einen führenden Anbieter von Lösungen zur Erkennung und Abwehr von Cyber- angriffen auf mobile Geräte. Die Akquisition von ZecOps ermöglicht es Jamf, IT- und Sicherheitsteams noch effektiver beim Schutz der mobilen Geräte ihrer Unternehmen zu unterstützen. Mit der zusätzlichen Experti- se von ZecOps sieht sich Jamf in der Lage, Untersuchungen zur aktuellen Situation der mobilen Sicherheit in Unternehmen von Wochen auf Minu- ten zu reduzieren, bekannte Indikatoren für einen Angriff (Indicators of Compromise, IOC) in noch größerem Maßstab zu nutzen und komplexe 0- oder 1-Klick-Angriffe in größerem Umfang zu identifizieren. Cyberangriffe zielen verstärkt auf mobile Geräte: Laut dem Verizon Mobile Security Index 2022 gab fast die Hälfte (45 Prozent) der befrag- ten Unternehmen an, dass sie in den letzten 12 Monaten Opfer eines Angriffs auf ein mobiles Gerät geworden sind. „Ich freue mich sehr, die innovativen Funktionen von ZecOps zur Erkennung und Abwehr von Cyberangriffen auf mobile Geräte in die Jamf-Plattform zu integrie- ren“, sagt Dean Hager, CEO von Jamf. „ZecOps hat eine einzigartige und marktführende Lösung entwickelt, die ein sehr wichtiges Bedürfnis vieler Unternehmen erfüllt – die Fähigkeit, Bedrohungen, die auf mobile Nutzer abzielen, zuverlässig zu erkennen und zu untersuchen, damit sie diese leistungsstarken Geräte auch weiterhin für ihre Arbeit nutzen können. Diese Fähigkeit hilft uns dabei, unser erklärtes Ziel weiter zu verfolgen: Die Lücke zwischen dem, was Apple bietet, und den Anforderungen von Unternehmen zu schließen.“ 6 IT-SICHERHEIT_6/2022 ZecOps soll die Jamf-Plattform um wichtige Funktionen erweitern, um dem wachsenden Trend gezielter Angriffe auf mobile Geräte zu begeg- nen. Jamf bietet bereits zuverlässige Verwaltungs- und mobile Sicher- heitsfunktionen für iOS-Geräte. Der Zugang zu umfassenden Einblicken in potenzielle Sicherheitslücken erfordert jedoch physischen Zugriff auf das Gerät. Gerade in einer Remote-Arbeitsumgebung ist dies eine zu- sätzliche technische Herausforderung. ZecOps bietet dafür eine Lösung, die sicherheitsbewussten und für Angreifer attraktiven Kunden zusätzli- che Analyse- und Sicherheitsmöglichkeiten bietet. Sie bietet das gleiche Maß an Transparenz, das derzeit für macOS durch Jamf Protect verfüg- bar ist, aber für iOS, um die Art von komplexen mobilen Bedrohungen zu erkennen, vor denen auch der Lockdown-Modus von Apple schützen soll. Mit ZecOps können Benutzer sowohl den Lockdown-Modus als auch die ZecOps-Software gleichzeitig nutzen. n NORIS NETWORK AG GRÜNDET PROTURITY GMBH noris network AG und die Service-Management-Experten Peter Haitz so- wie Frederik Ranninger haben gemeinsam die Proturity GmbH gegrün- det. Ziel ist es, Unternehmen mit hohen Sicherheitsanforderungen und KRITIS-Unternehmen eine sichere Nutzung von ServiceNow zu ermögli- chen: Proturity übernimmt die Prozessanalyse, die Prozessberatung und die Implementierung. Der Betrieb der Software erfolgt in den deutschen Hochsicherheitsrechenzentren von noris network. Die beiden Proturity- Geschäftsführer Haitz und Ranninger sind seit mehr als 20 Jahren im Be- reich Service-Management tätig und verfügen über mehrere Jahre Erfah- rung mit der Abbildung und Optimierung von Prozessen in ServiceNow. Die Proturity GmbH startet mit zehn festen, erfahrenen und umfangreich zertifizierten Mitarbeitenden sowie einem großen Netzwerk an Service- Now-Expertinnen und -Experten aus dem europäischen Ausland. Haitz: „noris network ist selbst der erste Kunde, wobei das ISO-20000-1-zerti- fizierte Unternehmen besonders viel Wert auf ein optimales IT-Service- Management legt. So haben wir für noris eine hervorragende Lösung gefunden und zugleich einen Markt eröffnet: Im Fokus stehen Unter- nehmen, die besonderen Wert auf ihren Datenschutz und ihren Daten- sicherheit legen oder zu den KRITIS-Unternehmen zählen. Für diese Unternehmen kann noris network die Cloud-Software in ihren eigenen Hochsicherheitsrechenzentren betreiben. Proturity übernimmt dabei die Von links nach rechts: Frederik Ranninger, Ingo Kraupa und Peter Haitz (Bild: noris network)

Abbildung der Prozesse und die Implementierung von ServiceNow. Ne- ben dem Betrieb von ServiceNow nach deutschem Datenschutz, stehen dem Kunden mit der Proturity ServiceNow-Experten zur Verfügung, wo- durch der Kunde alles aus einer Hand erhält.“ „Digitalisierte und automatisierte Workflows bieten ein fantastisches Optimierungspotenzial. ServiceNow ist eine der mächtigsten Plattfor- men, die es dafür gibt. Die Prozessautomation ist allerdings nicht gerade trivial, deshalb geht es nicht ohne einen Partner mit klarem Fokus. Mit der Proturity haben wir diesen starken Partner gefunden. Kunden, die ServiceNow aus unserer sicheren Cloud beziehen, erhalten das Beste aus beiden Welten“, so Ingo Kraupa, CEO der noris network AG. n DARKTRACE UND CONNECTWARE DISTRIBUTIONS GEBEN PARTNER- SCHAFT IM BEREICH CYBERSICHER- HEIT BEKANNT Der IT-Security-Dienstleister Connectware und Darktrace, ein weltweiter Anbieter von Cybersecurity-KI, haben eine Vertriebspartnerschaft ge- schlossen. Ziel ist es, den Kunden von Connectware ein höheres Schutz- niveau anzubieten, indem sie mit der Cyber-KI von Darktrace überall in ihrer gesamten digitalen Infrastruktur laufende Angriffe besser erkennen und schneller reagieren können – von der Cloud, über SaaS-Lösungen, Unternehmensnetzwerke, bis hin zu IoT- und industriellen Steuerungs- systemen. Die autonome Cybersicherheits-KI von Darktrace soll insbe- sondere die von Connectware angebotenen Cyber-Defense-Lösungen ideal ergänzen. n BITDEFENDER UND SHARP KOOPE- RIEREN BEI DER THREAT PREVENTION FÜR MULTIFUNKTIONSDRUCKER Bitdefender, ein weltweit führendes Unternehmen im Bereich Cybersi- cherheit, und Sharp Electronics, einer der weltweit führenden Technolo- giehersteller, haben eine neue Partnerschaft bekannt gegeben, welche die Integration der Bitdefender Anti-Malware-Technologie in Sharps neue Reihe von Future Workplace A3-Multifunktionsdruckern (Multi- function Printer – MFP) ermöglicht. Die Partnerschaft soll den Schutz vor Cyberbedrohungen in Sharps neuer Reihe von professionellen MFPs stärken, die in ganz Europa erhältlich ist. Und das in einer Zeit, in der Cyberkriminelle zunehmend Endpunktgeräte – einschließlich Drucker – angreifen, um Malware einzuschleusen, geis- tiges Eigentum zu stehlen und Spionagekampagnen zu starten. n KAMPF GEGEN CYBERCRIME: STRATE- GISCHE PARTNERSCHAFT VON G DATA UND ENGINSIGHT Die strategische Partnerschaft von Enginsight und G DATA soll ab sofort für mehr IT-Sicherheit im deutschen Mittelstand sorgen. Beide Unterneh- men vereinen ihre Kräfte im Kampf gegen Cyberkriminalität. Kundinnen UNTERNEHMEN | NEWS und Kunden des deutschen Herstellers aus Jena können G DATA Antivirus bequem in der Software hinzubuchen und verwalten. Das Jenaer Team wird bis Jahresende auch alle Features von G DATA Endpoint Protection Business in seine Software integrieren. Die Lösungen beider Hersteller bieten einen umfangreichen Funktions- umfang und ergänzen sich: Enginsight ermöglicht die automatisierte Überwachung der IT-Systeme, indem es Angriff (automatisches Pentes- ting) und Verteidigung (unter anderem Schwachstellenscans, Intrusion Detection & Prevention und Microsegmentierung) in einer Plattform vereint. Die Security-Software des Cyber-Defense-Herstellers G DATA aus Bochum schützt alle Endgeräte im Unternehmensnetzwerk zuverlässig vor bekannten und zukünftigen Bedrohungen. G DATA Endpoint Protec- tion Business enthält zusätzlich einen Policy Manager für die Kontrolle der Einhaltung der Unternehmensrichtlinien in puncto Internet-, Gerä- te- und Software-Nutzung. „Wir sind froh, mit Enginsight einen starken deutschen Partner im Kampf gegen Cyberkriminalität an unserer Seite zu haben. Der deutsche Mittelstand profitiert sehr von unserer Partnerschaft. Enginsight und unsere leistungsstarken und vertrauensvollen Security-Lösungen ergänzen sich perfekt und sorgen zusammen für umfassenden Schutz vor Cybergefahren“, so Hendrik Flierman, Vice Pre- sident Global Sales und Marketing bei G DATA CyberDefense. n Hendrik Flierman, Vice President Global Sales und Marketing bei G DATA CyberDefense (Foto: G DATA) BILLON GROUP UND SYCOPE KO OPERIEREN BEI CYBERSICHERHEIT FÜR BLOCKCHAIN-ANWENDUNGEN Sycope und die Billon Group haben ein Abkommen über eine Technolo- giepartnerschaft unterzeichnet. Im Rahmen dieser Kooperation können die Kunden von Sycope auf die Billon-Plattform zugreifen, die es ihnen ermöglicht, beliebige oder ausgewählte Informationen, Dokumente und Datensätze, die bei der Durchführung von Cybersicherheitsprozes- sen verwendet werden, zu speichern, zu teilen, zu validieren und zu beglaubigen. Die Vereinbarung erweitert das Cybersicherheitsangebot von Sycope um Blockchain-Attribute, welche die Transparenz und Glaubwürdigkeit der Unveränderlichkeit der Journale und die Nachvollziehbarkeit von Audits sowie der Herkunft von Bedrohungen, Protokollen oder Aktionen sicher- stellen. Anwender sollen dabei von der hohen Performance und Skalier- barkeit der Billon-Plattform profitieren. n IT-SICHERHEIT_6/2022 7

NEWS | PRODUKTE EFFEKTIVES CYBERRISK MANAGEMENT Das Allgäuer Unternehmen RIMIAN bewertet IT-Risiken in einem neu- en Kontext und will damit Social Engineering deutlich reduzieren. Dazu transformiert das Unternehmen die Risikoquantifizierung von Geschäfts- prozessen in fundierte Entscheidungsgrundlagen, die einen direkten Einfluss auf die unternehmerische Wertschöpfungskette haben. So wur- de das Produkt LIFEBLOOD jetzt um ein wesentliches Feature erweitert: dem Managen der menschlichen Komponente in der Cybersecurity. Die bestens gewartete IT-Security Infrastruktur hilft einem Unternehmen rein gar nichts, wenn über das sogenannte Social Engineering der Zugang durchs Hintertürchen erfolgt. Beispielsweise geben sich Betrüger als IT- Dienstleister aus und erfragen Passwörter bei Mitarbeitenden. Das einzi- ge Mittel hierfür ist das konsequente und regelmäßige Schulen auf mög- liche Gefahrenquellen – sprich, IT-Security-Awareness schaffen. RIMIAN hat diese Weiterbildungsmaßnahmen jetzt systematisiert und in sein Cyberrisiko-Cockpit LIFEBLOOD integriert. Sowohl die Geschäftsführung, also auch die Personal- und IT-Abteilung, sollen somit immer darüber im Bilde sein, wer welche Maßnahmen durchlaufen hat. n CONTROL PLANE FÜR MASCHINEN- IDENTITÄTS-MANAGEMENT Venafi stellt das Venafi Control Plane für Maschinenidentitäten vor. Das Venafi Control Plane vereinheitlicht das Management von Maschinen- identitäten über alle Identitätstypen in Rechenzentren, Cloud- und Hy- brid-Umgebungen sowie am Netzwerkrand. Die Lösung soll es Kunden ermöglichen, die digitale Transformation zu beschleunigen, die Entwick- lungsgeschwindigkeit zu erhöhen, Sicherheitsrisiken zu reduzieren und Geschäftsunterbrechungen zu vermeiden. Das Venafi Control Plane ist eine Steuerungsebene für das Maschinenidentitätsmanagement, die für Beobachtbarkeit, Konsistenz, Zuverlässigkeit und Wahlfreiheit in Clouds, hybriden Umgebungen, Rechenzentren und am Rande des Netzwerks sorgt. Die Lösung liefert Kernfunktionen direkt, verteilt sie oder delegiert sie innerhalb wiederverwendbarer Muster und Richtlinienkontrollen. Zu- sammen unterstützen diese Funktionen die Orchestrierung des Lebens- zyklus von Maschinenidentitäten, Authentifizierung, Autorisierung und Governance und bieten Kunden einen unmittelbaren Nutzen. „Der Erfolg in der Cloud ist jetzt eine Funktion des Designs und der Architektur, insbesondere wenn Vorstandsmitglieder spezifische Informationen über Zero-Trust-Strategien wünschen“, so Kevin Bocek, Vice President of Threat Intelligence & Security Stra- tegy bei Venafi. „Ohne die richtige Architektur wer- den die mit der Cloud verbundenen Kopfschmerzen, Kosten und Vorfälle mit Sicherheit zunehmen. Das Control Plane für Maschinenidentitäts-Management ist die erste und einzige Lösung, die es Plattform- und Sicherheitsteams ermöglicht, gemeinsam an wiederholbaren Entwurfsmustern und Blueprints zu arbeiten. Von Cloud Native bis Mainframe bietet die Lösung messbare Konsistenz, Beobacht- barkeit und Zuverlässigkeit. Dieser neue Ansatz ermöglicht es Entwicklern, mit den Tools, Clouds und Sprachen zu arbeiten, die sie lieben, während Sicherheit und Plattformen Vertrauen und reibungslose Abläufe haben.“ n Kevin Bocek, Vice President of Threat Intelligence & Se- cu rity Strategy bei Venafi (Foto: Venafi) 8 IT-SICHERHEIT_6/2022 VERBESSERTER DATENSCHUTZ FÜR UNTERNEHMEN Zscaler kündigt Data-Protection-Innovationen an, die auf langjähri- ger Erfahrung bei der Sicherung von bewegten und ruhenden Daten in Cloud-Anwendungen sowie BYOD-Ressourcen aufbauen. In der heutigen mobilen und cloudzentrierten Welt sind Daten über Hunderte von An- wendungen und Workloads verteilt, was das Risiko von Datenverlusten in Unternehmen erhöht. Die Herausforderungen, solch verteilte Daten zu schützen, werden durch die Ergebnisse des neuen 2022 Data Loss Re- port des ThreatLabz-Teams bestätigt. Die Studie zeigt, dass 36 Prozent der Daten von Cloud-Anwendungen über das offene Internet zugänglich sind. Die Analyse von fast sechs Milliarden Verstößen gegen Data Loss- Richtlinien ergab, dass Unternehmen täglich durchschnittlich 10.000 po- tenziellen Datenverlusten ausgesetzt sind, die zu Verlusten von mehr als 4,35 Millionen US-Dollar führen können. Herkömmliche DLP-Lösungen sind nicht in der Lage, verteilte Daten zu schützen, und sie erfordern einen enormen Ressourcenaufwand. Kon- figuration, Wartung und Verwaltung sind nicht nur kostspielig, sondern können zu monatelangen Implementierungszeiten führen, während die Organisationen einem Risiko von Verlusten ausgesetzt sind. Gleichzei- tig hindert das Fehlen automatisierter Workflows die Sicherheitsteams daran, kritische Risiken zu beheben und führt zu langen Zeiträumen für die Schadensbegrenzung und ungelösten Vorfällen. Erschwerend kommt hinzu, dass die Abhängigkeit von Einzelprodukten für verschiedene Kanä- le zu einem erhöhten Risiko, geringerer Transparenz und uneinheitlichen Richtlinien führt. Die neuen Entwicklungen bringen größte Genauigkeit und Skalierbarkeit in Data-Protection-Projekte und reduzieren mithilfe der Zero-Konfigura- tion-Funktionalität für Data Loss Prevention (DLP) die Einführungszeit in den Bereich von Stunden. Durch die Vereinheitlichung des Datenschutzes über alle Kanäle hinweg und den vereinfachten Betrieb mithilfe der Auto- matisierung von Workflows sollen Sicherheitsrisiken gemindert werden. n So präsentiert sich das Data Discovery Dashboard von Zscaler. (Quelle: Zscaler)

DEVOPS-ZENTRIERTE SICHERHEITS- LÖSUNG ZUR KONTROLLE DER SOFT- WARE-LIEFERKETTE JFrog, „Liquid Software“-Anbieter und Schöpfer der JFrog DevOps-Platt- form, stellt JFrog Advanced Security vor – die weltweit erste binär-fokus- sierte DevSecOps-Lösung, die ganzheitliche Sicherheitsabdeckung von jeder Quelle bis zu jedem Ziel bieteen soll. Nativ integriert mit dem Arti- factory Binary Repository und dem Xray Software-Kompositions-Analy- se-Tool, bieten die Fähigkeiten der neuen Sicherheitslösung den Anwen- dern eine positive Plattform-Erfahrung und einen effektiven Schutzschild für umfassende Software-Supply-Chain-Sicherheit. Cyberkriminalität kostete die Welt- wirtschaft im Jahr 2021 6 Billionen Dollar, und es wird ein Anstieg dieser Zahl auf 10,5 Billionen Dollar bis 2025 erwartet. Den größten Bedrohungsvektor bei heutigen Cy- bersecurity-Angriffen stellt offener Quellcode dar, da Bedrohungsak- teure versuchen, schwache Glieder in der Software-Lieferkette eines Shlomi Ben Haim, Mitbegründer und CEO von JFrog (Foto: JFrog) PRODUKTE | NEWS Unternehmens auszunutzen. „Die Tiefe der Sicherheits- und Abhilfelö- sungen, die Anbieter anbieten, wird durch die Daten begrenzt, die sie be- sitzen, schützen und analysieren. Unsere Plattform fungiert als zentraler Speicherort für die Binärdateien des Unternehmens – direkt im Herzen der Software-Lieferkette unserer Kunden. Das bedeutet, dass wir ein- zigartig positioniert sind, um Sicherheitslösungen von innen nach außen anzubieten, mit umfassenden und ganzheitlichen Lösungen", so Shlomi Ben Haim, Mitbegründer und CEO von JFrog. n ASSET-VISIBILITY UND -SICHERHEIT JETZT AUF DEM GOOGLE CLOUD MARKETPLACE Armis, Anbieter einer einheitlichen Plattform für Asset-Visibility und -Sicherheit, gibt die Verfügbarkeit seiner Lösung auf dem Google Cloud Marketplace bekannt. Kunden von Armis können dadurch ihre digita- le Transformation sicher beschleunigen, indem sie Lösungen skalieren, zugesagte Ausgaben nutzen, Einkäufe konsolidieren und den gesamten Beschaffungsprozess von Armis über Google Cloud Marketplace verein- fachen. n Anzeige Systemgestützter Application Security Check – Prüfen Sie Ihre Applikationen bis ins Detail! Schutzbedarfsfeststellung Schwachstellenerhebung Maßnahmenvorschläge Risikomanagement ibi systems GmbH, Franz-Mayer-Straße 1, 93053 Regensburg www.ibi-systems.de/ApplicationSecurityCheck IT-SICHERHEIT_6/2022 9

NEWS | PRODUKTE NEUER NETZWERKVERSCHLÜSSELER MIT 2 X 100 GBIT/S Der IT-Sicherheitsspezialist Rohde & Schwarz Cybersecurity hat den neu- en Hochgeschwindigkeits-Netzwerkverschlüsseler R&S SITLine ETH-XL vorgestellt. Dabei handelt es sich um den ersten Netzwerkverschlüsseler, der 2 x 100 Gbit/s bietet und damit ein Spektrum an Bandbreitenbedarf von 10 Gbit/s – 100 Gbit/s abdeckt. Außerdem präsentiert das Unterneh- men den kompakten Ethernet-Verschlüsseler R&S SITLine ETH-S mit bis zu 10 Gbit/s sowie den vom BSI für VS-NfD zugelassenen VS-Arbeitsplatz auf Basis von R&S Trusted Endpoint Suite. Durch die Digitalisierung steigt in Behörden und Unternehmen die ver- arbeitete Datenmenge stetig an – gleichzeitig erhöhen sich auch die Anforderungen an Datensicherheit und an den Schutz digitaler Kommu- nikation aufgrund von mehr Cyberkriminalität. Hier spielt die Sicherung der standortübergreifenden Kommunikation mittels Layer-2-Verschlüs- selung eine Schlüsselrolle. Der neue Netzwerkverschlüsseler von Rohde & Schwarz Cybersecurity soll der erste sein, der 2 x 100 Gbit/s-fähig ist. R&S SITLine ETH-XL eignet sich für den Einsatz an zentralen Standorten der kritischen Infrastruktur und in Rechenzentren und sichert auch große und komplexe Netze einfach ab. Nutzer profitieren von voller Leitungsge- schwindigkeit bei extrem geringer Latenz. Die Integration in die beste- hende IT-Landschaft ermöglicht ein zentrales Managementsystem mit intuitiver Benutzerführung. Mit R&S SITLine ETH-S stellt Rohde & Schwarz Cybersecurity außerdem eine Basissicherung für standortübergreifende Netzwerkkommunika- tion mit einer Übertragungsrate von bis zu 10 Gbit/s vor. Das zentrale Sicherheitsmanagementsystem des kompakten Ethernet-Verschlüsselers gewährleistet einen einfachen und effizienten Betrieb. Er ist äußerst energieeffizient und geräuscharm durch ein lüfterloses Design. Alle Netz- werkverschlüsseler von Rohde & Schwarz Cybersecurity basieren auf ei- ner 30-jährigen Kryptoexpertise und sind „Security Made in Germany“. n Der neue Netzwerkverschlüsseler R&S SITLine ETH-XL ist 2 x 100 Gbit/s-fähig. (Foto: Rohde & Schwarz Cybersecurity) NEUE INDOOR-KAMERAS Mit den v71, c71 und p71 Indoor-Kameras komplettiert MOBOTIX seine MOBOTIX 7 Kamerareihe. Durch den Verzicht auf den aufwendigen Wet- terschutz sind niedrigere Systempreise gegenüber den Outdoor-fähigen Varianten möglich. Zudem können die Indoor-Modelle besonders ener- giesparend in der PoE-Klasse 3 (max. 12,95 W) betrieben werden. Je nach Anwendungsgebiet werden in vielen Fällen nämlich nicht die maximale Beleuchtungsstärke oder via USB versorgte Peripheriegeräte benötigt. 10 IT-SICHERHEIT_6/2022 Für maximalen Leistungsbedarf kann via Kamerasoftware einfach auf höhere Klasse PoE+ gewechselt werden. Die hemisphärische c71 ist mit einem detailreichen 360°-HiRes-Bildsen- sor mit 4K-Auflösung und automatischer Tag- und Nachtumschaltung plus IR-Licht ausgestattet. Die Indoor-Domes v71 und p71 – mit und ohne Kuppel – sind mit 4K UHD (Ultra High Definition) oder maximal lichtemp- findlichen 4MP Ultra LowLight Tag-& Nacht-Sensoren und Objektiven mit 15° bis zu 120° (120° nur für p71) horizontalem Blickwinkel verfügbar. Besonders auffällig ist die neue p71. Ihre markante Bauform ohne Kup- pel vermeidet potenzielle Lichtreflexionen und sorgt somit für sehr gute Sicht. Geht es um Indoor-Anwendungen mit maximalem Objektiv- und Vandalismusschutz wie beispielweise in öffentlichen Gebäuden, emp- fiehlt sich die robuste Dome-Variante v71 mit IK10-Polycarbonatkuppel. Überhaupt sorgen die große Objektivauswahl, der Einsatz von hochwer- tigen Komponenten und Materialien (zum Beispiel Aluminiumgehäuse), die bei allen Modellen zusätzlich integrierten IR-LEDs und die hochauf- lösenden lichtempfindlichen Sensoren für Zuverlässigkeit, Langlebigkeit und brillante Bildqualität bei allen Lichtverhältnissen. n Die drei Indoor-Modelle v71, c71 und p71 komplettieren die MOBOTIX 7 Kamera reihe. (Foto: MOBOTIX) NEUE FESTPLATTENSERIE MIT 20 TBYTE Toshiba Electronics Europe (TEE) kündigt die Einführung seiner neuen MG10-Serie mit Conventional Magnetic Recording (CMR) und 20 TByte an. Die hohe Speicherkapazität der MG10 basiert auf einem Festplatten- design mit zehn magnetischen Scheiben und Heliumversiegelung. Sie nutzt zudem die FC-MAMR-Technologie (Flux Clontrol Microwave Assis- ted Magnetic Recording) von Toshiba. Die Laufwerke sollen sich für ge- mischte Workloads mit zufälligen und sequentiellen Lese- und Schreib- zugriffen sowohl in Cloud-Infrastrukturen als auch in traditionellen Rechenzentren eignen. Die HDDs der MG10-Serie arbeiten mit 7.200 Um- drehungen pro Minute und sind für eine jährliche Arbeitslast von 550 TB ausgelegt. Die Laufwerke sind mit einer Auswahl von SATA- oder SAS- Schnittstellen verfügbar – alle im energieeffizienten, heliumversiegelten 3,5 Zoll-Formfaktor nach Industriestandard. n Die neue Fest- plattenserie MG10 bietet eine Spei- cherkapazität von 20 TByte. (Foto: Toshiba)

– ADVERTORIAL – Modernisierter BSI-Standard 200-4 Im IT-Grundschutz ist das Business Continuity Management (BCM) bereits seit Jahren fest verankert und bietet mit dem BSI-Standard 100-4 zum Notfallmanagement eine fundierte Hilfestellung. Im Fal- le des Notfallmanagements in einer Behörde oder einem Unterneh- men ist ein systematischer Weg essenziell, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Bisher klärte vor allem der BSI- Standard 100-4 darüber auf, wie der Geschäftsbetrieb im Störfall aufrechterhalten werden kann. Der Standard behandelt die wichtigsten Themen, die bei der Pla- nung und Umsetzung des BCMs berücksichtigt werden müssen. Dazu gehören unter anderem die Identifikation von Risiken, die Ent- wicklung und Überprüfung eines tragfähigen Konzepts sowie die Etablierung von Maßnahmen zur Gewährleistung der Geschäfts- vorfälle in kritischen Situationen. Um den neueren Entwicklungen – aber auch den Eindrücken der Gefährdungslage während der Pandemie – Rechnung zu tragen, wurde dieser Standard weiterent- wickelt. Der modernisierte BSI-Standard 200-4 Business Continuity Management (BCM) definiert die Ziele, die Organisation und die Komponenten eines BCM-Systems. Dieser Standard stellt auch die notwendigen Rahmenbedingungen für das BCM-System dar. Übersicht über wesentliche Weiterentwicklungen Der neue BSI-Standard 200-4 ist die erste Aktualisierung des Stan- dards seit 2009 und trägt den aktuellen Bedürfnissen der Orga- nisationen hinsichtlich Business Continuity Management (BCM) Rechnung. Der Standard basiert auf dem international anerkannten ISO 22301:2012 Standard für das BCM und enthält einige Änderun- gen, um ihn den deutschen Anforderungen anzupassen. Zu den wichtigsten Neuerungen im Standard gehören ein verbessertes Risikomanagement, eine größere Flexibilität bei der Umsetzung des BCMs sowie eine klare Trennung zwischen Business Continuity Plan- ning (BCP) und Crisis Management. Diese ermöglicht es den Unter- nehmen, ihre Bedürfnisse besser zu verstehen und die notwendigen Maßnahmen zu identifizieren. Des Weiteren enthält der Standard einige neue Checklisten und Verfahrensbeschreibungen, die die Im- plementierung des BCMs effektiver gestalten. Auf Basis des ersten Feedbacks zum Community Draft 1.0 des BSI- Standards 200-4 wurden bereits umfangreiche Änderungen vorge- nommen und der Community Draft 2.0 erstellt. Auch hier bot das BSI allen anwendenden Personen die erneute Möglichkeit, die Änderun- gen zu kommentieren, bevor der BSI-Standard 200-4 final veröffent- licht wird. Dies war bis zum 30.11.2022 möglich. Zertifikatslehrgang BSI-Standard 200-4 der Bitkom Akademie Die Bitkom Akademie bietet als anerkannter Schulungsanbieter des BSI einen 2,5-tägigen Zertifikatslehrgang für BSI IT-Grundschutz- Praktiker und Business Continuity Manager an. Sie erhalten einen Überblick über die Neuerungen durch den BSI-Standard 200-4 sowie relevante Updates im IT-Notfallmanagement. Dabei werden auch die einzelnen Handlungsschritte von der Initiierung über den Aufbau bis hin zur Kontrolle und kontinuierlichen Verbesserung behandelt. Durch die praktische Anwendung des Erlernten werden Sie nachhal- tig auf künftige Stör- und Notfälle vorbereitet. Der neue Zertifikats- lehrgang behandelt dabei ausführlich die wichtigsten Neuerungen des BSI-Standard 200-4 und ermöglicht den Teilnehmenden gleich- zeitig, Erfahrungen und Praxistipps untereinander auszutauschen. Zielgruppe Der Lehrgang richtet sich an IT-Sicherheitsbeauftragte, Chief In- formation Security Officer (CISO), Notfallbeauftragte, BCM-Be- auftragte, Verantwortliche im Business-Continuity-Management, IT-Fachleute, IT-Beratende, IT-Leitende, Führungskräfte und In- formationssicherheitspersonal. Grundkenntnisse im Bereich des Notfallmanagements und/oder der Informationssicherheit sollten vorhanden sein. n Für weitere Informationen kontaktieren Sie bitte Vincent Bergner: v.bergner@bitkom-service.de https://bitkom-akademie.de/seminare IT-SICHERHEIT_6/2022 11 Rawpixel.com - Fotolia

AUS DER SZENE Die Lage der IT-Sicherheit in Deutschland 2022 ANGRIFFS- ÜBERTRIFFT VERTEIDIGUNGSGESCHEHEN In seinem diesjährigen Bericht zur Lage der IT-Sicherheit in Deutschland konstatiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicher heitsbehörde des Bundes einen massiven Anstieg der Bedrohungen im Cyberraum. Als Gründe für die hohe Bedrohungslage nennt die Behörde anhaltende Aktivitäten im Bereich der Cyber- kriminalität, Cyberangriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten. Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyberraum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Hinzu kamen ver- schiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine. Ransomware-Angriffe, also Cyberangriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyberbereich. So ist es im Berichtszeitraum zu mehreren Ransomware- Vorfällen gekommen, bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde infolge eines Cyberangriffs von der betroffenen Kom- mune der Katastrophenfall ausgerufen. Der Vizepräsident des BSI, Dr. Gerhard Schab- hüser, sieht in der Cybersicherheit einen wesent- lichen Aspekt der Daseinsvorsorge. Die diene unmittelbar dem Schutz von Bürgerinnen und Bürgen: „Die Bedrohungslage im Cyberraum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. In einer digitalisierten Welt hängt das Wohlergehen der Bevölkerung stärker als jemals zuvor davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben. Jedes Computersystem, das nicht gehackt wer- 12 IT-SICHERHEIT_6/2022 und Hacktivismus-Kampagnen. Beispiele hierfür waren der Ausfall der Fernwartung in deut- schen Windkraftanlagen nach dem Angriff auf ein Unternehmen der Satellitenkommunikation und ein Hacktivismus-Angriff auf deutsche Mi- neralölhändler mit russischem Mutterkonzern. Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyberraum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilwei- se existenzbedrohend kritisch. Bundesinnenministerin Nancy Faeser: „Die seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Cyber-Bedrohungslage erfor- dert eine strategische Neuaufstellung und deut- liche Investitionen in unsere Cybersicherheit.“ Die Bedrohungslage erfordere koordiniertes Handeln. Die aktuellen geopolitischen Verschie- bungen hätten folgende Auswirkungen auf die Sicherheitslage in Deutschland: Gefährdung durch Cyberangriffe Seit Beginn des Krieges besteht ein erhöhtes Risiko. Anstieg einer hybriden Bedrohungslage Desinformationskampagnen insbesondere in geschlossenen Messenger-Gruppen und im Netz haben zugenommen. Dr. Gerhard Schabhüser, Vizepräsident des BSI (Foto: Stefan Mutschler) den kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden, digital vernetzten Gesellschaft. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cybersicherheit keinen Deut nachlassen.“ RUSSISCHER ANGRIFFS- KRIEG GEGEN DIE UKRAINE Bislang gab es in Deutschland in Zusammen- hang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle Bild: kebox - stock.adobe.com

AUS DER SZENE 78.000 neue Webseiten wurden wegen enthal- tener Schadprogramme für den Zugriff aus den Regierungsnetzen gesperrt. Die Lage der IT-Sicherheit in Deutsch- land 2022 im Überblick (Quelle: BSI) Top 3-Bedrohungen je Zielgruppe: Gesellschaft Wirtschaft Staat und Verwaltung Identitätsdiebstahl Sextortion Fake-Shops im Internet Ransomware Schwachstellen IT-Supply-Chain: Abhängig Ransomware APT Schwachstellen, offene oder falsch konfigurierte Online-Server Erster digitaler Katastrophenfall in Deutschland 207 Tage Katastrophenfall Nach Ransomware-Angriff konnten Elterngeld, Arbeitslosen- und Sozialgeld, KfZ-Zulassungen und andere bürger nahe Dienstleistungen nicht erbracht werden. Die Anzahl der Schadprogramme steigt stetig. Die Anzahl neuer Schadprogramm-Varianten hat im aktuellen Berichtszeitraum um rund 116,6 zugenommen. Millionen Hacktivismus im Kontext des russischen Krieges: Mineralöl-Unternehmen in Deutschland muss kritische Dienstleistung einschränken. Millionen Meldungen zu Schad- programm-Infektionen in Deutschland übermittelte das BSI im Berichtszeitraum an deutsche Netzbetreiber. 15 34.000 Mails mit Schadprogrammen wurden monatlich durchschnittlich in deutschen Regierungsnetzen abgefangen. 90% 69% des Mail-Betrugs im Berichtszeitraum aller Spam-Mails im Berichts- zeitraum waren Cyber-Angriffe wie z.B. Phishing-Mails und Mail-Erpressung. war Finance Phishing, d.h. die Mails erweckten betrügerisch den Eindruck, von Banken oder Sparkassen geschickt worden zu sein. 4.400 2020 5.100 2021 Zehn Jahre Allianz für Cyber-Sicherheit: 2022 sind wir bereits 6.220 M i t g l i e d e r . Kollateralschaden nach Angriff auf Satelliten- kommunikation 20.174 Schwachstellen in Software- Produkten (13% davon kritisch) wurden im Jahr 2021 bekannt. Das entspricht einem Zuwachs von 10% gegenüber dem Vorjahr. BSI ist weltweit der führende Dienstleister im Bereich Common-Criteria-Zertifikaten. Kritische Infrastrukturen stehen ganz besonders im Fokus Sabotageakte an der Bahninfrastruktur und den Ostsee-Pipelines verdeutlichen dies. „Die Cybersicherheits-Agenda des BMI bildet die für uns wesentlichen Ziele und Maßnahmen ab. Hier wollen wir als BMI noch in dieser Legislatur- periode wesentliche Fortschritte erreichen und die Cybersicherheit auf ein neues Level heben. Die Modernisierung unserer Cybersicherheitsarchi- tektur mit dem Ausbau des BSI zur Zentralstelle, der weitere Ausbau und die Erneuerung von Net- zen und IT-Systemen der Verwaltung, die Stär- kung der Sicherheitsbehörden zur Verfolgung von Cybercrime sowie die Verbesserung der Abwehr- fähigkeiten gegen Cyberangriffe sind wichtige und notwendige Schritte für eine eng verzahnte föderale Cyberabwehr und eine effektive und effi- ziente Aufstellung im Cyberraum“, so Faeser. CYBERERPRESSUNG BLEIBT PLAGE ERSTER GÜTE Ransomware blieb die Hauptbedrohung be- sonders für Unternehmen. Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber- raum hat sich im aktuellen Berichtszeitraum fort- gesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrier- ten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Löse- geld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen aus- bleibender Zahlungen auf Leak-Seiten veröffent- licht wurden, sind weiter gestiegen. Das nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt: Erstmals wurde wegen eines Cyberangriffs der Katastrophenfall ausgerufen. Bürgernahe Dienst- leistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. ZAHL DER SCHWACHSTEL- LEN NIMMT WEITER ZU Im Jahr 2021 wurden zehn Prozent mehr Schwach stellen in Software-Produkten bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als kritisch wurden 13 Prozent der Schwachstel- len bewertet. Zu ihnen zählt die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheits- verantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen einge- setzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyberangrif- fe auszugehen. AUCH IMMER MEHR DDOS- ANGRIFFE UND ADVANCED PERSISTENT THREATS (APT) Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Bei- spiel Firewalls oder Router zu beobachten. Wäh- rend gezielte APT-Angriffe mittels Schadpro- grammen in E-Mails in der Regel hohen Aufwand erfordern, sind Perimeter-Systeme direkt aus dem Internet erreichbar, vergleichswei- se schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT- Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu kön- nen. Auch die Zahl der „Distributed Denial of Service“-Angriffe (DDoS-Angriffe) hat nach Berichten verschiedener Mitigati- onsdienstleister weiter zugenommen. So verzeichnete etwa der deutsche Dienstleister Link11 für das Jahr 2021 ei- nen Anstieg der DDoS-Angriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche Online- shopping-Event Cyber Week und in der Vor- weihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. WAS DAS GESCHEHEN FÜR „CYBERSICHERHEIT MADE IN GERMANY“ BEDEUTET Die beschleunigte Digitalisierung in allen Berei- chen des alltäglichen Lebens – von den Liefer- ketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistun- gen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – mache laut BSI auch bei der „Cybersicherheit made in Germany“ eine Zeitenwende notwendig. Das vergangene Jahr habe gezeigt, dass unvor- hergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können und Kolla- teralschäden durch Cyberangriffe in Nachbar- ländern auch unmittelbare Auswirkungen auf Deutschland haben können. All dies mache deut- lich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Vor diesem Hintergrund seien die von der Bundesregierung geplante Modernisierung der Cybersicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis wichtige Schritte für eine eng verzahnte föderale Cyberabwehr. S.M. IT-SICHERHEIT_6/2022 13

AUS DER SZENE EU-Projekt OpenWebSearch.EU – das „europäische Google“ FREIHEIT FÜR DIE INTERNETSUCHE Obwohl die Websuche das Rückgrat einer digitalen Wirtschaft ist, wird sie von einigen wenigen großen Technologieanbietern wie Google, Microsoft, Baidu oder Yandex be- herrscht und eingeschränkt. Informationen als öffentliches Gut, mit freiem, unvorein- genommenem und transparentem Zugang, stehen somit nicht mehr unter öffentli- cher Kontrolle. Für das Projekt OpenWebSearch.EU hat sich die Universität Passau mit 13 anderen renommierten europäischen Forschungszentren zusammengeschlossen, um eine offene europäische Infrastruktur für die Onlinesuche zu entwickeln. 14 IT-SICHERHEIT_6/2022

Das große Ungleichgewicht auf dem Suchmaschinenmarkt ge- fährdet nicht nur nach Auffas- sung der OpenWebSearch-Macher die Demo- kratie und schränkt das innovative Potenzial der europäischen Forschungslandschaft und Wirtschaft ein. Vor diesem Hintergrund hat die Europäische Kommission im Spätsommer die- ses Jahres die Finanzierung des Projekts durch „Horizon Europe“ (Horizont Europa) in Höhe von 8,5 Millionen Euro genehmigt. Das Projekt soll einen Beitrag zur digitalen Souveränität Europas leisten und einen offenen, auf den Menschen ausgerichteten Suchmaschinenmarkt fördern. OpenWebSearch.EU ist das erste Projekt, das die EU finanziert, um die Websuche von morgen zum Laufen zu bringen. HORIZONT EUROPA Horizont Europa ist das wichtigste Finanzierungsprogramm der EU für Forschung und Innovation. Es zielt da- rauf ab, eine wissens- und innovations- basierte Gesellschaft und eine wettbe- werbsfähige Wirtschaft aufzubauen und gleichzeitig zu einer nachhaltigen Entwicklung beizutragen. Das Pro- gramm trägt zur Umsetzung der Leitli- nien der Europäischen Kommission bei. „Freier, offener und unverfälschter Zugang zu Informationen – diese Grundprinzipien sind bei der Internetsuche verloren gegangen und müs- sen dringend wiederhergestellt werden“, so Prof. Dr. Michael Granitzer von der Universität Passau und der Open Search Foundation sowie zu- gleich Projektkoordinator von OpenWebSearch.EU. „Deshalb werden wir eine offene europäische Infra- struktur für die Internet- suche schaffen, die auf europäischen Werten und europäischer Rechtspre- chung basiert.“ Prof. Dr. Michael Granitzer (Univer- sität Passau) Foto: Universität Passau Die Aktivitäten sind inzwischen angelaufen und die Pläne nehmen konkrete Gestalt an. In den nächsten drei Jahren wollen die Forscherinnen und Forscher die Basis eines europäischen Open Web Index (OWI) als Grundlage für eine neue Internetsuche in Europa entwickeln. Darüber hinaus will das Projekt die Grundlage für eine offene und erweiterbare europäische Such- und Analyse-Infrastruktur für das Internet (OWSAI, „Open Web Search and Analysis Infrastructure“) schaffen, die auf europäischen Werten, Grund- sätzen, Rechtsvorschriften und Normen beruht. Die geplante Infrastruktur soll nicht nur einen offenen, auf den Menschen ausgerichteten Such- maschinenmarkt wiederherstellen und zur Unab- hängigkeit Europas bei der Navigation und Suche im Web beitragen. Sie soll darüber hinaus auch Europas Forscher, Innovatoren und Unternehmen in die Lage versetzen, das Web systematisch als Geschäfts- und Innovationsressource zu nutzen. DIE VIER KERN ZIELE VON OPENWEBSEARCH.EU Entwicklung einer Kern suite von Such-, Recherche- und Ana- lysediensten zur Erstellung, Pflege und Nutzung der OWI Entwicklung relevanter ver- tikaler Suchmaschinen und neuer Suchparadigmen zur De- monstration der Auswirkungen Aufbau eines Netzwerks aus europäischen High-Perfor- mance-Computing-Infrastruk- tur-, Forschungs- und Unter- nehmensorganisationen, um die OWSAI auf der Grundla- ge der europäischen Werte, Grundsätze, Rechtsvorschriften, Ethik und Normen zu erproben; Stimulierung eines Ökosystems rund um die OWI. „Digitale Souveränität ist ein zentraler Punkt auf der Forschungsagenda unserer Universität. Mit OpenWebSearch.EU setzen wir einen ersten, sehr wichtigen Schritt, um diese Souveränität für die Websuche zu erreichen", so Prof. Dr. Ulrich Bartosch, Präsident der Universität Passau. „Es ergänzt unsere Bemühungen um ein IT-Securi- ty-Netzwerk und erweitert unser europäisches Forschungsnetzwerk im Bereich der Digitalisie- rung. Ich freue mich sehr über den Erfolg von Professor Granitzer und seinem Team.“ Die Universität Passau will sich mit intelligenten, auf maschinellem Lernen basierenden Crawling- Strategien befassen und ein Website-Register aufbauen, das es Website-Betreibern erlaubt, eigenständig die Crawling-Richtlinien und die AUS DER SZENE Datennutzung für ihre In- ternetauftritte festzule- gen. Darüber hinaus arbei- tet das Team um Dr. Jelena Mitrovic daran, anhand der gecrawlten Daten speziel- le, KI-basierte Sprachmo- delle zu trainieren. Dr. Jelena Mitrovic (Universität Passau) Foto: Universität Passau OpenWebSearch.EU ist das erste EU-finanzierte Projekt, bei dem die In- ternetsuche der Zukunft im Fokus steht. Der offizielle Startschuss für das Projekt fiel im Sep- tember 2022. Nach den aktuellen Plänen wollen die 14 Projektpartner für einen Zeitraum von zunächst drei Jahren zusammenarbeiten, bevor über das weitere Vorgehen entschieden wird. Wenn alles nach Plan läuft, könnte es Ende 2025 eine europäische Google-Alternative geben. n S.M. PROJEKTPARTNER BEI OPENWEBSEARCH.EU 1. Universität Passau, Deutschland 2. Leibniz-Rechenzentrum der Bay- erischen Akademie der Wissen- schaften, Deutschland 3. Stichting Radboud Universiteit, Niederlande 4. Universität Leipzig, Deutschland 5. Technische Universität Graz, Österreich 6. Deutsches Zentrum für Luft- und Raumfahrt, Deutschland 7. VSB – Technische Universität Os trava, IT4Innovations, Tsche- chische Republik 8. Europäische Organisation für Kernforschung – CERN, Schweiz 9. Open Search Foundation, Deutschland 10. A1 Slovenija, telekomunikacijske storitve, d. d., Slowenien 11. CSC-Tieteen Tietotekniikan Keskus Oy, Finnland 12. Stichting Nlnet, Niederlande 13. Bauhaus-Universität Weimar, Deutschland 14. SuMa e.V.– Verein für freien Wissenszugang, Deutschland IT-SICHERHEIT_6/2022 15

AUS DER SZENE Maschinelles Lernen in der Sicherheitsforschung birgt subtile Fallstricke CYBERSICHERHEIT AUF DEM PRÜFSTAND Maschinelles Lernen ist zwei- fellos eine Erfolgsgeschichte. Der weitverbreitete Zugang zu spezialisierten Rechenressourcen und großen Datensätzen sowie neuartige Konzepte und Ar- chitekturen für Deep Learning haben den Weg für Durchbrüche beim maschinellen Lernen in verschiedenen Bereichen geebnet, etwa bei der Übersetzung natürlicher Sprachen und der Erkennung von Bildinhalten. Diese Entwicklung hat sich auch auf die Sicherheitsforschung aus- gewirkt: Maschinelles Lernen ist heute eine der wichtigsten Voraussetzungen für die Untersu- Mitwirkende am Papier „Dos and Don’ts of Machine Learning in Computer Security“ TU Berlin TU Braunschweig University College London King’s College London Royal Holloway University of London Karlsruher Institut für Technolo- gie (KIT)/KASTEL Security Research Labs 16 IT-SICHERHEIT_6/2022 chung und Lösung sicherheitsrelevanter Pro- bleme in mehreren IT-Anwendungsbereichen, darunter die Erkennung von Eindringlingen, die Malware-Analyse, die Entdeckung von Sicher- heitslücken und die Analyse von Binärcode. Nicht nur kommerzielle Anbieter werben heute damit, dass ihre von künstlicher Intelligenz (KI) gesteuerten Produkte effizienter und effek- tiver als bisherige Lösungen seien. Auch viele Forschende setzen diese Technik ein, da Algo- rithmen den traditionellen Methoden oft weit überlegen zu sein scheinen. So wird maschi- nelles Lernen zum Beispiel auch eingesetzt, um neue digitale Angriffstaktiken zu erlernen und die Abwehrmaßnahmen an diese Bedrohungen anzupassen. Maschinelles Lernen hat jedoch keine hellse- herischen Fähigkeiten und erfordert Schluss- folgerungen über statistische Eigenschaften von Daten in einem ziemlich heiklen Arbeits- ablauf: Falsche Annahmen und experimentelle Verzerrungen können diesen Prozess so sehr in Frage stellen, dass es unklar wird, ob wissen- schaftlichen Entdeckungen, die mithilfe von Lernalgorithmen gemacht wurden, zu vertrau- en ist. Versuche, solche Herausforderungen und Einschränkungen in bestimmten Sicherheitsbe- reichen wie der Erkennung von Eindringlingen in Netzwerke zu identifizieren, begannen vor zwei Jahrzehnten und wurden in jüngerer Zeit auf an- dere Bereiche wie die Analyse von Malware und das Fingerprinting von Websites ausgedehnt. Unabhängig davon argumentieren die Forschen- den jedoch, dass es allgemeine Fallstricke im Zusammenhang mit dem maschinellen Lernen gibt, die alle Sicherheitsbereiche betreffen und bisher wenig beachtet wurden. Diese Fallstricke könnten zu überoptimistischen Ergebnissen führen und, was noch schlimmer wäre, den gesamten Arbeitsablauf des maschi- nellen Lernens beeinträchtigen. Die Folge wäre ein falsches Erfolgsgefühl, das die Übernahme von Forschungsfortschritten in Wissenschaft und Industrie behindert. Eine solide wissen- schaftliche Methodik ist von grundlegender Bedeutung, um Intuitionen zu unterstützen und Schlussfolgerungen zu ziehen. Die Wissen- schaftlerInnen argumentieren, dass diese Not- wendigkeit besonders im Bereich der Sicherheit von Bedeutung ist, wo Prozesse oft von Gegnern untergraben werden, die aktiv versuchen, Analy- sen zu umgehen und Systeme zu knacken. „In dem Paper liefern wir eine kritische Analyse des Einsatzes von ML in der Cybersicherheitsfor- Bild: H_Ko - stock.adobe.comCybersicherheit ist ein zentrales Thema der digitalen Gesellschaft und spielt sowohl im kommer-ziellen wie auch privaten Kontext eine wesentliche Rolle. Maschinelles Lernen (ML) hat sich in den letzten Jahren als eines der wichtigsten Werkzeuge zur Analyse sicherheitsrelevanter Probleme herauskristallisiert. Eine Gruppe europäischer Forschender unter der Leitung von BIFOLD-For-schern der TU Berlin konnte jedoch zeigen, dass diese Art der Forschung oft fehleranfällig ist. Ihre Veröffentlichung „Dos and Don’ts of Machine Learning in Computer Security“ über Fallstricke bei der Anwendung von Maschinellem Lernen in der Sicherheitsforschung wurde auf dem renom-mierten USENIX Security Symposium 2022 mit einem Distinguished Paper Award ausgezeichnet.

schung", so Erstautor Dr. Daniel Arp, Postdoc an der TU Berlin: „Zunächst identifizieren wir häufi- ge Fallstricke bei der Konzeption, Implementie- rung und Evaluierung von lernbasierten Sicher- heitssystemen.“ Ein Beispiel für solche Probleme ist die Verwendung nicht repräsentativer Daten. Dabei geht es um Datensätze, bei denen die An- zahl der Angriffe im Vergleich zu ihrer Häufigkeit in der Realität überrepräsentiert ist. ML-Modelle, die auf solchen Daten trainiert wurden, können sich in der Praxis als unbrauchbar erweisen. Im schlimmsten Fall könnte sich sogar herausstel- len, dass sie außerhalb einer experimentellen Umgebung gar nicht funktionieren oder zu Fehl- interpretationen führen. In einem zweiten Schritt führten die Forschen- den eine Prävalenzanalyse auf der Grundlage der identifizierten Probleme durch, bei der sie 30 Beiträge von hochrangigen Sicherheitskon- ferenzen untersuchten, die zwischen 2010 und 2020 veröffentlicht wurden. „Zu unserer Besorg- nis mussten wir feststellen, dass diese Fallstricke selbst in sorgfältig durchgeführter Spitzenfor- schung weit verbreitet sind“, so BIFOLD Fellow Prof. Dr. Konrad Rieck von der TU Braunschweig. WO MODERNE CYBER- SECURITY-ANSÄTZE INS STRAUCHELN KOMMEN Auch wenn diese Ergebnisse bereits ein alar- mierendes Signal waren – die möglichen Folgen waren zunächst unklar. In einem dritten Schritt haben die ForscherInnen daher anhand von vier konkreten Fallstudien mit Beispielen aus der Li- teratur gezeigt, wie und wo diese identifizierten Probleme zu unrealistischen Ergebnissen und Interpretationen von ML-Systemen führen. Eine der untersuchten Fallstudien beschäftigte sich mit der Erkennung mobiler Schadsoftware. Aufgrund der großen Anzahl neuer gefährlicher Software für mobile Geräte, haben herkömm- liche Antiviren-Scanner oft Probleme, mit der Schadsoftware Schritt zu halten und bieten nur eine schlechte Erkennungsleistung. Um dieses Problem in den Griff zu bekommen, haben For- scherInnen lernbasierte Methoden vorgeschla- gen und entwickelt, die sich automatisch an neue Malware-Varianten anpassen können. „Leider wurde die Leistung der lernbasierten Systeme in vielen Fällen überschätzt. Da es keine öffentlich zugänglichen Lern-Datensätze von Unternehmen gibt, nutzen ForscherInnen meist eigene Datensätze und führen dazu verschiedene Quellen zusammen“, erklärt Dr. Daniel Arp. „Diese Zusammenführung der Lern-Datensätze aus ver- schiedenen Quellen führt jedoch zu einer Verzer- rung der Stichprobe: Apps aus den offiziellen App Stores der Smartphone-Hersteller bergen ten- denziell weniger Sicherheitsrisiken als Apps, die aus alternativen Quellen mit geringeren Sicher- heitsstandards stammen. Im Ergebnis konnten wir zeigen, dass moderne Cybersecurity-Ansätze dazu neigen, sich bei der Erkennung von Schad- software auf Merkmale zu konzentrieren, die auf die Quelle der App zurückzuführen sind, anstatt reale Malware-Merkmale zu identifizieren. Dies ist nur eines von vielen Beispielen des Papers, die zeigen, wie ein kleiner Fehler bei der Zusammen- stellung der Lern-Datensätze schwerwiegende Verzerrungen im Ergebnis herbeiführt und das gesamte Experiment beeinflussen kann.“ Die Probleme bei der Anwendung von ML-Me- thoden in der Cybersicherheit werden durch die Notwendigkeit, in einem feindlichen Kontext zu arbeiten, noch verschärft. Mit ihrer Veröffentli- chung hoffen die ForscherInnen, das Bewusst- sein für potenzielle Fehlerquellen im experimen- tellen Design zu schärfen und diese möglichst zu vermeiden. S.M. AUS DER SZENE Was die ML-Forschenden genau tun* 1. Identiﬁzierung von Fallstricken „Wir identiﬁzieren zehn Fallstricke als Don’ts des maschinellen Lernens im Sicherheitsbereich und schlagen Dos als umsetzbare Empfehlungen vor, um Forscher dabei zu unterstützen, die Fall- stricke nach Möglichkeit zu vermeiden. Darüber hinaus identiﬁzieren wir of- fene Probleme, die nicht ohne Weiteres entschärft werden können und weitere Forschungsanstrengungen erfordern.“ 2. Prävalenz-Analyse „Wir analysieren die Häuﬁgkeit der identiﬁzierten Fallstricke in 30 reprä- sentativen, hochrangigen Sicherheitspu- blikationen der letzten zehn Jahre. Zu- sätzlich führen wir eine breit angelegte Umfrage durch, in der wir das Feed- back der Autoren dieser Arbeiten zu den identiﬁzierten Fallstricken einholen und auswerten.“ 3. Analyse der Auswirkungen „In vier verschiedenen Sicherheitsberei- chen analysieren wir experimentell das Ausmaß, in dem solche Fallstricke zu experimentellen Verzerrungen führen, und wie wir diese Probleme durch An- wendung der vorgeschlagenen Empfeh- lungen effektiv überwinden können.“ *Zitate von der Website – übersetzt durch die Redaktion Publikation: Daniel Arp, Erwin Quiring, Feargus Pendlebury, Alexander Warnecke, Fabio Pierazzi, Christian Wress- negger, Lorenzo Cavallaro, Konrad Rieck: Dos and Don’ts of Machine Learning in Computer Security, https://www.usenix.org/system/files/sec22-arp.pdf Gestapeltes Balkendia- gramm mit den Fallstricken der 30 analysierten Arbeiten. Die Farben der einzelnen Balken zeigen den Grad des Auftretens eines Fehlers an, und die Breite gibt den Anteil der Arbeiten in dieser Gruppe an. Die Zahl in der Mitte jedes Balkens zeigt die Kardinalität (Anzahl der an einer Bezie- hung beteiligten Entitäten) der einzelnen Gruppen an. IT-SICHERHEIT_6/2022 17

Wie E-Mail-Kommunikation auch bei Serverausfall weiterläuft IM FALLE EINES FALLES: E-MAIL CONTINUITY E-Mail gilt nach wie vor als das häu- figste Einfallstor für Cyberattacken. Zwar besitzen Unternehmen Cyber- security-Lösungen – denn diese sind essenziell in einer Zeit, in der laut einer aktuellen Erhebung des Branchenverbandes BITKOM allein in den vergangenen zwölf Monaten rund 85 Prozent der deutschen Unternehmen Opfer eine Cyber- attacke wurden.[1] Doch hundertprozentige Aus- fallsicherheit ist damit nicht garantiert. Ist die E-Mail-Infrastruktur etwa bei Ransomware-An- griffen erst einmal lahmgelegt, kann dies binnen kürzester Zeit gesamte Geschäftsprozesse zum Erliegen bringen sowie immens hohe Schadens- summen und Imageverluste nach sich ziehen. 18 IT-SICHERHEIT_6/2022 Neben Sicherheitsvorfällen, sollte auch bei Soft- und Hardwareproblemen, Stromausfall, Server- oder Cloud-Downtimes jederzeit sichergestellt sein, dass geschäftskritische E-Mail-Kommuni- kation nahtlos weiterläuft. Für solche Szenari- en fehlt allerdings deutschlandweit fast jedem zweiten Unternehmen ein Plan B. Laut einer ak- tuellen BITKOM-Studie verfügen nur 54 Prozent der Firmen in Deutschland über einen Notfall- plan mit schriftlich geregelten Abläufen und Ad- hoc-Maßnahmen. [2] ware-Angriffs war die Arbeitsfähigkeit erheblich eingeschränkt, eine Kommunikation per E-Mail nicht mehr möglich. Das Geschäft lief nur noch analog und wichtige Ansprechpartner waren lediglich telefonisch zu erreichen. Was dem Ver- bund fehlte, war eine Failover-Lösung, die das nahtlose Fortbestehen der E-Mail-Kommunika- tion für alle Mitarbeiter ermöglicht. IM ERNSTFALL NAHTLOS WEITER KOMMUNIZIEREN Die Folgen bekam erst kürzlich der Sozialver- band Caritas der Erzdiözese München und Freising zu spüren. Aufgrund eines Ransom- Im Zuge des betrieblichen Kontinuitätsmanage- ments gilt es daher, geschäftskritische Kom- munikationsprozesse zu jeder Zeit aufrechtzu- Egal ob Security Incident, Stromausfall, Server- oder Cloud-Downtime – fällt die E-Mail-Infrastruktur erst einmal aus, kommen wichtige Geschäftsprozesse zum Erliegen. Die Kosten für Betriebsausfälle gehen dann schnell in die Millionen. Um im Ernstfall nahtlos weiter kommunizieren zu können, brauchen Unternehmen dringend einen Plan B. Bild: © 2021 Andrey_Popov/Shutterstock.comSECURITY MANAGEMENT | MANAGED SECURITY

erhalten. Idealerweise springt im Ernstfall eine Lösung wie Retarus Email Continuity ein und stellt sicher, dass die E-Mail-Kommunikation des betroffenen Unternehmens unterbre- chungsfrei weiterläuft. Dazu werden die E-Mails über einen externen, vom eigenen E-Mail-Sys- tem unabhängigen sicheren Webmail-Service geleitet. Die Mitarbeiter sind weiter über ihre bekannten Adressen erreichbar. Grundsätzlich gilt es bei der Wahl einer derarti- gen Lösung weitere Faktoren zu beachten: 1. Frühzeitig planen Unternehmen sollten schon frühzeitig in De- saster-Recovery-Plänen festlegen, wann, wie und durch wen die Ausweichlösung im Notfall aktiviert wird. Zudem muss vorab geklärt wer- den, über welchen Kanal die Mitarbeiter die Zugangsdaten für die alternativen Mailboxen erhalten. Denn häufig betreffen Ausfälle nicht nur den jeweiligen E-Mail-Dienst, sondern auch weitere Plattformen und Portale, über die Unternehmen mit ihren eigenen Mitarbeitern kommunizieren. Durch eine kontinuierliche interne Kommunikation vorab stellen Firmen sicher, dass ihre Mitarbeiter jederzeit über alle notwendigen Informationen für den Krisenfall verfügen. Sie müssen beispielsweise wissen, wie sie die E-Mail-Continuity-Postfächer auf- rufen können und wie die Anmeldung konkret erfolgt. 2. Technische Voraussetzungen prüfen Bei einem Ausfall der E-Mail-Infrastruktur müssen die Mitarbeiter möglichst zügig und unterbrechungsfrei auf vorprovisionierte Web- mail-Postfächer zugreifen können. Diese soll- ten für einen schnellen Übergang ohne techni- sche Hürden und ortsunabhängig – im Zweifel auch über private Endgeräte – sicher erreich- bar sein. Um im Bedarfsfall nahtlos auf dem Failover-Dienst weiterzuarbeiten, muss dieses System als „aktives“ Backup ununterbrochen im Hintergrund laufen und die E-Mail-Kom- munikation der letzten Tage bereits vorhalten. Dabei sollten auch die Adressverzeichnisse des Unternehmens (Active Directory) kontinuierlich synchronisiert werden. Denn die Mitarbeiter benötigen neben dem Zugriff auf vergangene E-Mail-Konversationen auch ihre abgespeicher- ten Kontaktdaten, damit sie ohne Unterbre- chung mit ihrer Arbeit und der Kommunikation mit Geschäftspartnern und Kollegen fortfahren können. SECURITY MANAGEMENT | MANAGED SECURITY SÖREN-SCHULTE, Senior Product Marketing Manager bei Retarus IT-SICHERHEIT_6/2022 19 3. Auf alternativen E-Mail-Provider setzenEs empﬁehlt sich zudem, von sicheren Cloud-Services Gebrauch zu machen, die außerhalb der eigenen Unternehmensstruktur laufen und auf Basis alternativer, von großen E-Mail-Providern unabhängigen Produkten und Diensten funktio-nieren. Insbesondere bei größeren Ausfällen und Störungen können sonst auch Backup-Systeme selbst betroffen sein. So kann es mitunter ein Vorteil sein, bei Ausweichlösungen beispiels-weise nicht auf Microsoft-Produkte zu setzen, wenn Unternehmen diese bereits für ihre primä-re E-Mail-Kommunikation nutzen. Denn große, globale E-Mail-Provider sind eben auch stets ein attraktives Angriffsziel für Cyberkriminelle.4. Benutzerfreundlichkeit in den Fokus rückenBestenfalls funktioniert die Failover-Lösung im Wesentlichen wie bekannte Consumer-E-Mail-Dienste. Die Benutzeroberﬂäche sollte dem vertrauten E-Mail-Postfach gleichen und für Endanwender intuitiv bedienbar sein. Individuell auf das jeweilige Unternehmen zugeschnittene Anpassungen wie etwa das gewohnte Corporate Design und „Wording“ steigern das Vertrauen sowie die Nutzererfahrung und damit die Pro-duktivität zusätzlich, sodass sich die Mitarbeiter sofort nach Log-in in der E-Mail-Umgebung zu-rechtﬁnden. Zusätzliche Schulungen seitens der IT-Abteilung sind somit nicht notwendig. Zudem sollten die User idealerweise die Möglichkeit haben, geräteunabhängig und ﬂexibel auf ihr Notfall-Postfach zuzugreifen – sei es von ihrem Rechner, Smartphone oder Tablet aus.5. Strikte Datenschutz-Vorgaben einhaltenEine gute E-Mail-Continuity-Lösung muss zu-dem strikte Datenschutz-Vorgaben einhalten, welchen Unternehmen in Deutschland unterlie-gen. Beim Einsatz einer cloudbasierten Failover-Lösung ist folglich genau zu überprüfen, wo ein Anbieter die Daten hostet und ob eine lokale Datenverarbeitung – optimalerweise vertrag-lich – gewährleistet ist. Insbesondere gilt es, auf einen Provider zu setzen, der die europäische Datenschutz-Grundverordnung (DS-GVO) einhält und im Gegensatz zu amerikanischen Anbietern etwa nicht dem US CLOUD Act unterliegt.6. E-Mail-Security ganzheitlich denkenInsgesamt empﬁehlt es sich für Unternehmen, das Thema E-Mail-Security beziehungsweise -Continuity im Sinne einer ganzheitlichen Sicher-heitsstrategie nicht kleinteilig zu betrachten, sondern mit weiteren Sicherheitslösungen zu verzahnen. Insbesondere wenn Mitarbeiter mobil arbeiten, vervielfachen sich auch die Angriffsvek-toren. Eine Komplettlösung für Business-E-Mail bietet im täglichen Business einen umfassenden Schutz und sichert auch die Ausweichpostfächer ab. Ein holistischer E-Mail-Security-Service erhält weitere Features wie Archivierung, Verschlüsse-lung sowie Schutz vor Advanced Threats. Darüber hinaus stehen Administratoren weitere Funktio-nalitäten für automatisierte Reaktionsprozesse sowie umfassende Monitoring- und Analyse-Möglichkeiten zur Verfügung.FAZITAuch aktuelle Cyberangriffe wie der auf die Ca-ritas zeigen: Business-Continuity-Management muss mehr denn je als integraler Bestandteil der Geschäftsstrategie betrachtet werden. Dem Thema E-Mail-Continuity kommt dabei eine Schlüsselrolle zu, da ansonsten bei Funktionsun-terbrechungen der zentrale Kommunikations-kanal sowohl nach innen als auch nach außen wegbricht. Unternehmen können dieses Risiko minimieren, indem sie auf spezialisierte Anbieter von E-Mail-Continuity-Services aus der Cloud setzen, mit denen sich die E-Mail-Kommunika-tion auch im Falle von Security Incidents oder anderweitigen IT-bedingten Betriebsunterbre-chungen gesichert fortführen lässt. Bestenfalls bietet der Provider dabei einen ganzheitlichen Ansatz und ermöglicht auch die umfängliche Absicherung der E-Mail-Kommunikation im Ta-gesgeschäft. nQuellen:[1] https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022[2] https://www.bitkom.org/Presse/Presseinformation/Notfallplan-Cyberattacken-nur-jedes-zweite-Unternehmen

SECURITY MANAGEMENT | MANAGED SECURITY Warum Security-Kultur fester Bestandteil einer Unternehmensstrategie sein sollte MENSCH – ANGRIFFSPUNKT UND ABWEHRSCHIRM IN SACHEN CYBERANGRIFFE Die Cyber-Bedrohungslandschaft wächst durch immer ausgefeiltere, zunehmend KI-ge- stützte (künstliche Intelligenz) Angriffsmethoden. Hinzu kommt: Durch Ransomware-as-a- Service, also „Schadsoftware zum Mieten“, nutzen Cyberkriminelle heute hochprofessionel- le Geschäftsmodelle mit mehrstufigen Wertschöpfungsketten. Dem gegenüber steht auf Unternehmensseite oft ein unterbesetztes und überfordertes Security-Team. Insbesonde- re kleinere und mittlere Unternehmen stoßen daher bei der Verteidigung schnell an ihre Grenzen. Sie sind gut beraten, eine nach wie vor oft vernachlässigte Ressource in ihre Verteidigungsstrategie einzubinden: ihre Mitarbeitenden. Während also die techni- schen Hürden für Cyber- angriffe immer kleiner werden, steigt die Wahrscheinlichkeit, dass auch kleine und mittlere Unternehmen (KMU) ange- griffen werden, kontinuierlich an. Gleichzeitig 20 IT-SICHERHEIT_6/2022 suchen Unternehmen händeringend auf dem Arbeitsmarkt nach Cybersecurity-Fachkräften, wobei es vor allem KMU im Wettbewerb mit größeren Arbeitgebern hier oft deutlich schwerer haben. Ein Ausweg aus dieser Cybersecurity-Falle liegt darin, Cybersecurity in der Unternehmens- kultur zu verankern und die Weiterbildung zu diesem Thema auf eine breite Basis zu stellen. Dabei gilt es, die Cyber Awareness und Abwehr- fähigkeit in der gesamten Belegschaft durch Schulungen und Trainings zu stärken. Der Fokus sollte aber auch auf Berufsfelder gelenkt werden,

die an die IT angrenzen, wie Ingenieurinnen und Ingenieure. Denn durch das Industrial Internet of Things (IIoT) nimmt nicht nur der Vernetzungs- grad der Maschinen in der Produktion immer weiter zu. Auch bisher „getrennte Welten“, näm- lich die OT (operative Technologie) und die IT (Informationstechnologie) müssen jetzt besser miteinander kommunizieren, gerade weil dort „verschiedene Sprachen“ gesprochen werden. VORSICHT, MAIL VOM CHEF! Phishing-Mails, CEO-Fraud oder Social Enginee- ring – Cyberkriminelle nutzen immer vielfältige- re Methoden, um an sensible Daten zu gelangen. Durch zunehmende Vernetzung und mobiles Arbeiten wächst gleichzeitig die Angriffsfläche. Ein großer Risikofaktor dabei ist nach wie vor der Mensch: 90 Prozent aller Cyberangriffe sind auf Phishing-Angriffe zurückzuführen, bei denen persönliche Daten wie Passwort, Kreditkarten- nummer mit gefälschten E-Mails oder Websites erbeutet werden. Angreifer können solche hochindividualisierte Angriffe heute mit geringem Aufwand durch- führen. Gleichzeitig hinkt die IT-Sicherheit im Unternehmen im technischen Wettlauf oft hinterher. Umso wichtiger wird die „menschli- che Firewall“: Schulungen und Trainings können sie stärken. Aber erst wenn die Mitarbeitenden tatsächlich ihr Verhalten ändern, bewirkt das eine messbare Verbesserung der Informations- sicherheit. Regelmäßige Weiterbildungs- und Sensibilisierungsmaßnahmen zur Informations- sicherheit sind fester Bestandteil bei anerkann- ten Standards wie dem BSI-Grundschutz oder der ISO/IEC 27001. Viele KMU schulen ihre Beleg- schaft regelmäßig. Aber wenden die Mitarbei- tenden im Ernstfall das Erlernte auch an? CYBERSECURITY MESSBAR MACHEN Inzwischen gibt es auf dem Markt Security- Awareness-Plattformen, die Schulungs- und Trainingsmaßnahmen gezielt nach individuel- lem Bedarf steuern und durch Erfolgskennzah- len (KPIs) messbar machen, um Fortschritte zu dokumentieren. Ein Anti-Phishing-Training si- muliert dazu realitätsnahe Spear-Phishing-Mails und sorgt so für ein effektives Lernen. Mitarbei- tende erhalten dazu digitale Micro-Learning- Einheiten zur Vertiefung der Lerninhalte. Auf diese Weise lässt sich eine gelebte Cybersecuri- ty-Kultur etablieren, die auch messbar ist. SECURITY MANAGEMENT | MANAGED SECURITY IN DREI SCHRITTEN ZUR HUMAN FIREWALL CYBERSECURITY BETRIFFT ALLE Security Awareness und sicherheitskonformes Verhalten entstehen in drei Stufen, die aufeinan- der aufbauen: 1. Perception: Mitarbeitende können die Bedrohungslage und Phishing erkennen. 2. Protection: Mitarbeitende wissen, wie sie sich vor Phishing schützen können. In diesen ersten beiden Stufen wird durch Schulungen Wissen aufgebaut und vertieft. 3. Behaviour: Die Mitarbeitenden verhalten sich im entschei- denden Moment sicherheitskonform. In dieser dritten Stufe wird das Gelernte trainiert und angewendet – zum Beispiel mit simulierten Phishing-Angriffen – und so im Verhalten ver- ankert. In jedem Fall sollten Mitarbeitende Teil der Lö- sung „Human Firewall“ sein und nicht das Pro- blem. Das Sensibilisierungsprogramm muss un- ternehmensintern breit kommuniziert sein und nicht zuletzt von den Führungskräften selbst vorgelebt werden. Um das Gelernte tatsächlich im Verhalten zu verankern, ist die richtige Vor- bereitung, Durchführung und Erfolgskontrolle der Maßnahme essenziell. Das beinhaltet auch Erfolgskennzahlen (KPIs) und deren Analyse im Rahmen von Management-Reviews. CHANCEN FÜR QUER- EINSTEIGER Neben einer gut geschulten Belegschaft braucht es natürlich weiterhin dediziert zu- ständige IT-Sicherheitsbeauftragte, um geeig- nete Abwehrmaßnahmen aufzubauen und im Ernstfall schnell zu reagieren. Durch die ange- spannte Situation auf dem Arbeitsmarkt sind diese Fachkräfte allerdings nicht nur schwer zu finden, sondern oft auch sehr teuer. Auch hier kann Weiterbildung eine Lösung sein: Die Hürde, die es für Quereinsteiger zu überwin- den gilt, um in dem Bereich Cybersecurity Fuß zu fassen, kann durch umfängliches Training in Sachen der technisch und organisatorischen Informationssicherheit, IT-Risikomanagement und Security-Awareness-Kampagnen signifi- kant gesenkt werden. Cybersecurity darf nicht als rein technisches Thema betrachtet werden, sondern betrifft die gesamte Organisation. Durch dezentrale Arbeitsmodelle mit mobilem Arbeiten wächst die individuelle Verantwortung der Mitarbeiter, Angriffe und Betrugsversuche frühzeitig und selbstständig zu erkennen. Egal auf welcher Hier archiestufe und in welchem Berufsfeld: Je- der Mitarbeitende ist ein potenzielles Einfalls- tor in das Unternehmensnetzwerk und muss kontinuierlich mit Blick auf neue Bedrohungen sensibilisiert werden. Mit wachsender Digitalisierung gilt: Cybersecu- rity ist ein branchenübergreifendes Thema, das für eine Vielzahl von Berufsfeldern relevanter wird. Der Kompetenzaufbau sollte bereits in der Berufsausbildung beginnen. Er darf dort aber nicht enden, sondern muss rollenüber- greifend weitergepflegt werden. Betriebliche Weiterbildung spielt dabei eine entscheidende Rolle: Die menschliche Firewall kann Cyber- angriffe zwar nicht verhindern, gut geschulte Mitarbeitende können aber dazu beitragen, die Schäden zu begrenzen und sind damit ein wichtiger Baustein für die Informationssicher- heit im Unternehmen. n RAINER SEIDLITZ, Leiter Produktmanagement Safety & Security, TÜV SÜD Akademie IT-SICHERHEIT_6/2022 21 Bild: sdecoret - stock.adobe.com

Identifikation und Verifikation mit Körpermerkmalen WAS BIOMETRIE HEUTE LEISTET Wenn es um Identifikation und Verifikation von Iden- titäten geht, sind biomet- rische Merkmale heute ein unverzichtbarer Be- standteil – zum Beispiel bei der inzwischen weit verbreiteten Multi-Faktor-Authentifizierung (MFA). Grundsätzlich unterscheiden sich biome- trische Verfahren in diesen Einsatzszenarien in der Anzahl der zum Vergleich herangezogenen 22 IT-SICHERHEIT_6/2022 Referenzdatensätze. Bei der Verifikation gibt der User dem biometrischen System seine Identität, in der Regel über Karte oder Ausweis (User-ID), bekannt. Im 1:1-Vergleich vergleicht das System das biometrische Merkmal mit dem zur User-ID passenden Referenzmerkmal. Bei der Identifikation wird der User ausschließ- lich über sein biometrisches Merkmal im 1:n- Vergleich authentifiziert, indem das System dieses mit allen anderen in der Datenbank ge- speicherten Referenzmerkmalen vergleicht. Daher ist die biometrische Verifizierung wesent- lich schneller als die biometrische Identifizierung, wenn die Zahl der biometrischen Referenzen sehr hoch ist. Häufig verwendete biometrische Charakteristika sind Gesichtsgeometrie, Finger- Biometrische Zutrittsverfahren liegen im Trend. Sie sind benutzerfreundlich und als alternativer Authentifizierungsbestandteil bieten sie die Chance zur Kostenre-duktion ohne Sicherheitseinbußen. Die wichtigsten Ziele beim Einsatz biometrischer Verfahren sind die Identifikation und die Verifikation – sie werden aber auch zur Wiedererkennung von Personen eingesetzt.SECURITY MANAGEMENT | MANAGED SECURITY

abdruck, Handgeometrie, Iris/Retina und Hand- venenerkennung. REALISIERUNG UND FUNKTIONSWEISE Ein biometrisches Erkennungssystem setzt sich im Wesentlichen aus den Komponenten Sensor (Messwertaufnehmer), Merkmalextraktion und Merkmalvergleich zusammen. Welche Arten von Sensoren zum Einsatz kommen, hängt vom bio- metrischen Charakteristikum ab. Im ersten Schritt präsentiert der User dem Erfas- sungsgerät sein biometrisches Charakteristikum zum Erfassen und Einlernen. Die Sensorkom- ponente liefert als Ergebnis ein biometrisches Sample. Zusätzliche Informationen, die miter- fasst werden, aber nicht die geforderten Merk- malseigenschaften erfüllen und deshalb nicht benötigt werden, extrahiert ein Merkmalextrak- tor heraus. Durch die fest definierte Verkettung der extrahierten Merkmale entstehen anschlie- ßend sogenannte Templates, die keine Rück- schlüsse auf die eigentlichen Rohdaten zulassen. Denn letztendlich arbeitet jedes biometrische System mit Elementen in einem Vektorraum, also eindeutigen Bildpunkten in einem Koordi- natensystem. Die ausgelesenen Vektoren wer- den als Zahlenpaare dargestellt. Ein Template enthält somit kein echtes Abbild, zum Beispiel des Fingerabdrucks, sondern einen Datensatz, der auf Zahlen basiert und keinen Rückschluss beziehungsweise keine Rekonstruktion auf das biometrische Merkmal ermöglicht. Die Templates werden als Referenzwerte in einer zentralen oder dezentralen Datenbank gespeichert und stehen für einen Abgleich zur Verfügung. Dieser Vorgang des „Kennenlernens“ wird auch als Enrolment bezeichnet und besteht darin, für einen zu erfassenden User einen mit ihr oder ihm verbundenen Enrolmentdatensatz zu erstellen. Sowohl bei der Identifikation als auch bei der Verifikation vergleicht der Merkmalvergleicher das vom User präsentierte biometrische Charak- teristikum mit den/dem in der Datenbank ent- haltenen Template/s aus der Einlernphase. Bei dem Vergleich wird ein Ähnlichkeitswert (Score) errechnet. Dieser Scorewert wird in Bezug zu einem vorab definierten Schwellwert gesetzt. Überschreitet der Scorewert den definierten Schwellwert, leitet sich bei der Authentifizierung SECURITY MANAGEMENT | MANAGED SECURITY CORNELIA LAST, Diplom-Geographin, Datenschutzbe- auftragte (GDDcert. EU), Sicherheits- beraterin der VZM GmbH mit dem Spezialgebiet Datenschutz IT-SICHERHEIT_6/2022 23 folgende Entscheidung ab: berechtigt bezie-hungsweise unberechtigt.Zu beachten ist, dass die von den biometrischen Sensoren gelieferten Samples nicht hundertpro-zentig genau sind und statistischen Schwan-kungen unterliegen, die Falscherkennungen bedingen. Die Zuverlässigkeit wird meist nach zwei Kriterien beurteilt: nach der Zulassungsrate Unberechtigter (FAR = Falschakzeptanzrate) und nach der Abweisungsrate Berechtigter (FRR = Falschrückweisungsrate).ERFASSEN BIOMETRI-SCHER CHARAKTERISTIKAMithilfe optischer, akustischer oder anderer Sen-soren, die Teil des biometrischen Erfassungsge-räts sind, werden die biometrischen Charakteris-tika erfasst. Einige Beispiele in aller Kürze:GesichtserkennungDas Gesicht wird mit Kamerasensor aufgenom-men. Eine Bilderfassung (gegebenenfalls -ver-besserung) lokalisiert das Gesicht und dann im Detail Augen und andere Gesichtsbereiche zur Merkmalextraktion. Daraus erstellt sie das Tem-plate für den Vergleich mit einem oder mehreren zuvor gespeicherten Gesichtern.Retina- und IriserkennungDa Retina und Iris ebenfalls über Kamerasen-soren erfasst werden, ist die Vorgehensweise ähnlich.FingerprintDer Fingerabdruck wird mit einem Fingerab-druckscanner erfasst. Eine Bilderfassung (ge-gebenenfalls -verbesserung) klassiﬁziert darin Muster (Grundmuster, grobe Merkmale wie Schleifen und Wirbel, feinere Merkmale wie Mi-nuzien und Porenstruktur) für die Merkmalex-traktion. Die Merkmale werden mit einem oder mehreren zuvor gespeicherten Datensätzen verglichen.VenenerkennungInfrarotkamerasensoren erfassen Adern und Ve-nen durch elektromagnetische Strahlung im In-frarotbereich. Ein Infrarotprojektor sendet ein im Infrarotbereich codiertes Punktmuster aus. Ein CMOS-Sensor empfängt das von der Gefäßstruk-tur reﬂektierte Bild und berechnet ein Tiefenbild. Dieses wird mit einem zuvor gespeicherten Da-tensatz verglichen.DEZENTRALE SPEICHERUNGDie erfassten biometrischen Daten müssen nicht zwingend in einer Datenbank gespeichert werden. Andere technische Systeme sehen bei-spielsweise das Speichern der biometrischen Referenz als biometrisches Template auf einer Chipkarte oder einem anderen Datenträger vor, der sich im Besitz des Users beﬁndet. Ein „Temp-late on Card“ kann eine reine Speicherkarte ohne Verschlüsselung sein, aber auch eine Chipkarte als Prozessorkarte mit Kryptofunktion. Je nach Erfordernis sind Sicherheitsansprüche variabel erfüllbar. Der kritischen Sicht des Datenschutzes wird be-gegnet, wenn keine zentrale Referenzdatenbank benötigt wird. Werden auf der Chipkarte die Identitätsdaten und die biometrische Referenz des Users gespeichert, lässt sich auch die Wahr-scheinlichkeit der Falsch-Authentiﬁkation durch die Kombination reduzieren. Zur Authentiﬁzie-rung ist die Karte dann zwingend erforderlich. nBild: denisismagilov - stock.adobe.com | Rogatnev - stock.adobe.com (li.); ipopba - stock.adobe.com (re.)

SECURITY MANAGEMENT | MANAGED SECURITY E-Signatur: Dokumente digital unterschreiben WO STIFT UND PAPIER NICHT MEHR GEBRAUCHT WERDEN N ach wie vor denken manche Menschen bei dem Stichwort E-Signatur ausschließlich an eine Unterschrift, die per Hand auf einem Screen erfolgt – etwa bei der Annahme eines Pakets an der Haustür. Eine elektronische Signatur ist jedoch eine Methode, um sein Einverständnis mit einem Dokument auf digitalem Weg zu dokumentieren. Der Namenszug ist nicht mehr zwingend erforderlich. Je nach Art der Signatur beziehungsweise der rechtlichen Anforderun- gen an das jeweilige Dokument ist diese Signa- tur rechtlich bindend – und kann eine hand- schriftliche Unterschrift ersetzen. WAS FÜR DIE E-SIGNA- TUREN SPRICHT Es gibt eindeutige Vorteile gegenüber der klas- sischen Form mit Stift und Papier. Es ist vor 24 IT-SICHERHEIT_6/2022 allem die lange Tradition der handschriftlichen Unterschrift, verbunden mit Bedenken bezüglich einer vermeintlichen Rechtsunsicherheit, die hierzulande für eine eher abwartende Haltung sorgt. Diese ist unberechtigt, denn die Fakten sprechen eindeutig für eine verstärkte Nutzung der elektronischen Signatur. Da sie für die meis- ten Verträge und Dokumente geeignet ist, gibt es kaum eine Branche, in der sie nicht genutzt werden kann. Zahlreiche, auch namhafte Unter- nehmen wenden diese Möglichkeit schon seit einigen Jahren erfolgreich an. Ihre Hauptmotiva- tion liegt im Wesentlichen darin begründet, dass das traditionelle handschriftliche Unterschrei- ben viel Zeit und viele Ressourcen in Anspruch nimmt. Sprich: Es dauert lange und ist teuer. Vor dem Hintergrund gewaltiger Herausforderungen wie Inflation, Energiekosten, Fachkräfteman- gel etc. bekommt dieses Argument zusätzliches Gewicht. KLASSISCH, ABER LANG- WIERIG UND TEUER Dazu einige Zahlen: Interne Berechnungen ha- ben ergeben, dass der Personalaufwand pro zu unterschreibendem Vertrag (mit zwei Partei- en) im Durchschnitt bei mehr als 20 Minuten Arbeitszeit liegt. Die „Liegezeit“ eines Doku- ments beträgt rund drei Tage. Am Ende summie- ren sich die Kosten auf 28 Euro. In vielen Fällen, etwa bei komplexeren Vorgängen, dürften diese Durchschnittswerte weit übertroffen werden. Natürlich liegt der Aufwand beim Einsatz von E-Signaturen nicht bei Null. Er macht, bei korrek- ter Anwendung, allerdings nur einen Bruchteil dessen aus, was die klassische Form erfordert. Nach dem Motto „Kleiner Hebel, große Wir- kung“ können so relativ geringe Investitionen zu einer deutlichen Optimierung von Prozessen beitragen. Während der Umgang mit E-Signaturen in manchen Ländern schon zum Geschäfts-alltag gehört, liegt Deutschland hinsichtlich einer allgemeinen Akzeptanz noch ver-gleichsweise weit zurück. Auch grundlegendes Wissen über die Materie kann nicht flächendeckend vorausgesetzt werden. Dabei spricht vieles für einen Abschied vom Kugelschreiber.Bild: © 2021 Andrey_Popov/Shutterstock.com

DEN MEDIENBRUCH VERMEIDEN Hinzu kommt, als weiteres starkes Argument, der sogenannte Medienbruch bei Prozessen, die in den vergangenen Jahren und Jahrzehnten be- reits eine starke Digitalisierung erfahren haben. In diese kann die E-Signatur nahtlos integriert werden. Das viel zitierte und von nicht wenigen angestrebte „papierlose Büro“ lässt sich mit ana- logen Dokumenten nun einmal nicht erreichen. Nur mit dem Verzicht auf den Stift lässt sich das volle Potenzial der Digitalisierung ausschöpfen. Die vermeintlich größte Hürde für deutsche Un- ternehmen besteht in einer vermuteten Rechts- unsicherheit. Mitarbeitende verlassen sich, um „auf Nummer sicher zu gehen“, lieber auf die „handfeste“ und „bewährte“ Methode. Doch diese Unsicherheit hat keine Faktenbasis. „Die qualifizierte elektronische Signatur, kurz QES, kann in Deutschland gemäß § 126a, 126 Abs. 3 BGB die handschriftliche Unterschrift und damit die Schriftform ersetzen.“, so Dr. Patrick Treitz, Partner und Rechtsanwalt bei RITTERS- HAUS Rechtsanwälte Steuerberater PartmbB. Nicht nur das Bürgerliche Gesetzbuch gibt un- missverständlich Auskunft. Auch auf EU-Ebene findet sich eine Grundlage, in Form der „Verord- nung über elektronische Identifizierung und Ver- trauensdienste für elektronische Transaktionen im Binnenmarkt”, besser bekannt unter der Ab- kürzung eIDAS. Seit 2016 schafft sie den Rahmen für die elektronische Identifizierung und soge- nannte Vertrauensdienste. DREI SICHERHEITSSTUFEN Wichtig für das richtige Verständnis in Sachen Rechtsgültigkeit ist eine zumindest grobe Kennt- nis über die verschiedenen E-Signatur-Standards, wie sie in der eIDAS-Verordnung zu finden sind. Dabei reicht es, sich die drei möglichen Sicher- heitsstufen und ihre Abkürzungen einzuprägen (im Zweifel sollten vor Einführung der E-Signatur beziehungsweise bei speziellen Anwendungen ohnehin juristische Profis hinzugezogen werden). Mit QES ist die qualifizierte elektronische Signa- tur gemeint. Sie ist so etwas wie der Gold-Stan- dard und kann – aufgrund einer erforderlichen Identitätsprüfung durch autorisierte Stellen – die handschriftliche Unterschrift ersetzen. Anwen- dungen findet sie unter anderem bei befristeten Arbeitsverträgen, Elternzeitanträgen, Index- oder Staffelmietverträgen, Gesellschafterdarlehen. SECURITY MANAGEMENT | MANAGED SECURITY Die eIDAS-Verordnung definiert drei E-Signatur-Standards. (Quelle: Skribble) Ablauf beim Erstellen der digitalen Signatur (Quelle: Skribble) IT-SICHERHEIT_6/2022 25 Sollte es zu Auseinandersetzungen vor Gericht kommen, liefert die QES die höchstmögliche Be-weiskraft. Bedeutet: Die QES ist vor Gericht stär-ker als die Signatur auf Papier. Eine Stufe niedriger ist die fortgeschrittene elek-tronische Signatur, kurz FES. Im Fall der FES wird die Identität indirekt geprüft – mittels eines Drittanbieters (E-ID), einer Mobiltelefonnummer oder einer Unternehmens-E-Mail-Adresse. Die FES ist als Unterschrift für all jene Dokumente rechtsgültig, für die das Gesetz nicht ausdrück-lich die Schriftform oder die handschriftliche Unterschrift verlangt. Die einfache elektronische Signatur (EES) bildet dann quasi die Basisversi-on. Für ihre Erstellung gibt es keine festgelegten Anforderungen. Eine eingescannte Unterschrift ist also genauso eine einfache Signatur wie der hingekritzelte Schriftzug auf einem Tablet. Auf-grund ihrer Einfachheit hat die EES nur wenig Beweiskraft. Sie kommt zum Beispiel bei Liefe-ranten-Offerten, organisationsinternen Doku-menten oder Bekanntmachungen zum Einsatz.WIE FUNKTIONIERT DIE TECHNISCHE UMSETZUNG?Technisch gesehen handelt es sich bei der E-Sig-natur um eine Verknüpfung von elektronischen Daten, die auf die Identität des oder der Unter-zeichnenden (Authentizität) und auf die Unverän-derbarkeit des Dokuments (Integrität) rückschlie-

CYBERSICHERHEIT Ablauf bei der Prüfung der digitalen Signatur (Quelle: Skribble) ßen lassen. Ein uraltes Pendant aus der analogen Welt ist das ungebrochene Wachssiegel. In der heutigen Version wird das Wachs sozusagen durch ein Verschlüsselungsverfahren ersetzt, das auf asymmetrischer Kryptografie beruht. Verfah- ren dieser Art sind für die fortgeschrittene und für die qualifizierte elektronische Signatur Pflicht. Dabei ist der Absender im Besitz eines einzigarti- gen, ihm zugeordneten privaten Schlüssels („Pri- vate Key“): Verschiedene Algorithmen machen den Text für Unbefugte unlesbar und für Berech- tigte lesbar. Der Empfänger kann auf einen exakt dazu passenden, öffentlichen Schlüssel („Public Key“) zugreifen. Erzeugt und bereitgestellt wer- den diese Schlüsselpaare durch eine technische Infrastruktur (Public Key Infrastructur, kurz PKI). Sie umfasst unter anderem Zertifizierungsstel- len (wie Swisscom oder die Bundesdruckerei) zur Identitätsprüfung und Zuordnung. Möglichkeiten der Identifizierung sind unter anderem über Live- Video-Call, über Onlinebanking oder App. SICHERHEIT DURCH VERSCHLÜSSELUNG Der Weg, eine digitale Signatur zu erzeugen, ist – ganz im Sinne der Sicherheit – komplex. Trotz- dem ist die E-Signatur massentauglich und kann ohne technisches Wissen genutzt werden. Wich- tig dabei ist, ein E-Signing-Tool zu wählen, das die technische Komplexität durch gute Nutzer- führung und intuitives Design eliminiert und für den Anwender „unsichtbar“ macht. Schauen wir uns den technischen Prozess hinter einer E-Sig- natur näher an. Am Anfang steht die Verschlüs- selung mit einem Hash-Algorithmus: Die Nach- richt wird so in eine „Zeichenkette“ verwandelt. Bei der geringsten Veränderung an der Nachricht ändert sich auch das Ergebnis des Algorithmus. Es folgt eine erneute Verschlüsselung mit dem „Private Key“ des Absenders. Schließlich geht es ans Versenden beziehungsweise Abspei- chern – und zwar sowohl der unverschlüsselten Nachricht als auch der zweifach verschlüsselten Nachricht sowie des Algorithmus. Der Empfän- ger ist in der Lage, die Authentizität und Integ- rität zu prüfen. Und zwar durch einen von ihm angestoßenen Vergleich der Zeichenketten von verschlüsselter und unverschlüsselter Nachricht. Nur wenn sie exakt übereinstimmen, hat alles seine Richtigkeit. PER BROWSER ODER VOLLSTÄNDIG INTEGRIERT E-Signatur-Lösungen lassen sich mittels Schnitt- stelle, das heißt via Standard-Plug-ins oder API, in die bestehende IT-Umgebung und beste- hende Arbeitsabläufe integrieren. So kann zum Beispiel direkt in der Software „unterzeichnet“ werden: SAP, Microsoft Teams und Google Drive Web App sind nur einige Beispiele. Die Integra- tion in den Arbeitsalltag kann auf verschiede- ne Arten erfolgen. Möglich ist zum Beispiel das Signieren via Browser: Dabei wird das Dokument auf eine Anbieter-Plattform per Drag and Drop hochgeladen, der Nutzer erhält dann einen ent- sprechenden Link. Im Rahmen einer vollständi- gen Integration läuft der Workflow dagegen un- bemerkt im Hintergrund. Signiert wird innerhalb der jeweiligen Anwendung. Vieles deutet darauf hin, dass das Thema E-Sig- natur nun auch in Deutschland verstärkt an Fahrt gewinnen wird. So zeigt etwa eine Unterneh- mensumfrage des Brachenverbands Bitkom aus dem vergangenen Jahr, dass künftig 95 Prozent auf digitale Dokumente statt auf Papier setzen werden – und 97 Prozent auf die Nutzung digi- taler Signaturen (Quelle: Bitkom Research). n Die E-Signatur kann nahtlos in die bestehende IT-Umgebung und bestehende Arbeitsabläufe via Standard- Plug-ins oder API integriert werden. (Quelle: Skribble) PHILIPP DICK, CEO & Co-Founder der Skribble AG 26 IT-SICHERHEIT_6/2022

HZ212320 · ISSN 1868-5757 · www.datakontext.com Dezember 6/2022 Komfort und Sicherheit im M 365- Universum Mit zunehmender Nutzung der Microsoft 365-Dienste starten Cyberkriminelle vermehrt ihre Attacken auf Unternehmen. Viel in puncto Sicherheit kommt bereits von Microsoft – vieles aber eben nicht! Warum M 365 im Visier der Cyber- kriminellen ist Wie sich M 365-Daten und -Kommunikation zuverlässig schützen lassen MS Teams: Compliance- gerechte Kollaboration und Archivierung

EDITORIAL 28 SPECIAL_6/2022 Microsoft 365 IMPRESSUM www.itsicherheit-online.com SPECIAL: Microsoft 365 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Stefan Mutschler (S.M.) EMail: stefanmutschler@tonline.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz (Leitung Online) herz@datakontext.com +49 2234 9894980 Lisa Bieder Silvia Klüglich Chiara Schönbrunn Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. DirkM. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. JanPeter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Graﬁk/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 EMail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 9894960 EMail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 27 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 9894999 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 104, inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonne mentpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print Ausgabe sowie eine Lizenz für das OnlineArchiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des OnlineArchivs ist auf der Abonnement rechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 837110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unver langt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zu stimmung des Verlags unzulässig und strafbar. Das gilt ins besondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: Peter Jurik | Sergey Nivens stock.adobe.com Fotos: Firmenbilder; DATAKONTEXT; Andreas Prott stock. adobe.com, buravleva_stock stock.adobe.com, momius stock.adobe.com, ronstik stock.adobe.com; TheDigitalArtist, pixabay.com 28. Jahrgang 2022 · ISSN: 1868-5757 Microsoft 365 – eine Welt, nicht ganz so perfekt wie es scheintM 365 gilt als eine der vollständigsten und best integrierten Ofﬁce- und Kommunikationsplattformen auf dem Markt. Wohl nicht zuletzt deswegen ist seine Beliebtheit in den letzten Jahren sowohl bei Privatanwendern als auch in Unternehmen deutlich gestiegen. In unserem Special zu diesem Thema erfahren die Leserinnen und Leser, was die Plattform alles bietet und was eben nicht. Gerade in Sachen Datensicherheit und Compliance fehlen elementare Funktionen.Einige der wichtigsten Anbieter im Umfeld von M 365 gehen hier ins Detail und geben praxisnahe Tipps, wie die Schwachstellen der Plattform beseitigt werden können – ob mit Bordmitteln oder über Add-on-Pakete oder -Services. So beschäftigt sich ein Beitrag beispielsweise damit, warum ein M 365-Tenant (Hauptkonto) regelmäßig einem Security Check-up unterzogen werden sollte: Jedes Jahr nimmt Microsoft Hunderte von Anpassungen, Änderungen und Erweiterungen vor – da fällt es naturgemäß schwer, den Überblick zu behalten, wenn man daneben noch viele weitere Themen des Tagesgeschäfts auf dem Schirm haben muss. Nüchtern betrachtet sind die Werkseinstellungen für den Microsoft 365-Tenant nicht ausreichend für einen adäquaten Sicherheitslevel.Ein weiteres wichtiges Themenfeld ist die Sicherung der Kommunikation in MS Teams: Fast die Hälfte aller Nutzenden tauscht häuﬁg sensible und geschäftskritische Daten über Microsoft Teams aus, mehr als die Hälfte davon sogar von privat genutzten Geräten. Dies unterstreicht die Notwendigkeit für einen umfassenderen Schutz der über Teams-Channels und User Chats ausgetauschten Daten. Auch lässt das Tool seine Nutzenden allein, wenn es um Archivierung und dabei die Einhaltung von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich. Diese Aufgaben sind ein Beispiel dafür, wo externe Tools einspringen müssen.Unser Special Microsoft 365 soll Sie dabei unterstützen, das Beste aus dem populären Microsoft Cloud-Service herauszuholen und dabei auf der sicheren Seite zu bleiben.Viel Spaß beim Lesen!Stefan Mutschler Stefan Mutschler

Inhalt 28 30 31 32 34 36 39 42 44 Editorial Microsoft 365 in der Praxis Weitgehend vollständig, aber ziemlich unvollkommen M 365 durch leicht anwendbare Kryptografie aufwerten Risiken beim Einsatz von Exchange, Sharepoint, Teams und OneDrive Microsoft 365 im Visier der Cyberkriminellen Gezieltes Training für höheres Sicherheitsbewusstsein Rundum-Schutz für M 365-Daten und -Kommunikation Kommunikation aus MS Teams rechtskonform und revisionssicher speichern Wie sich lebendige Kollaboration und effiziente Datenarchivierung unter einen Hut bringen lassen Interview: Microsoft 365 absichern Mit Microsoft-Bordmitteln Richtung Zero Trust starten Acht Themen, die Betreiber einer Microsoft- Umgebung regelmäßig im Blick haben sollten Gesundheits-Check eines M 365-Tenant Das Beste aus dem Microsoft-Universum rund um M 365 herausholen Wie eine europäische Software-Schmiede Ihren Digital Workplace fit macht SPECIAL_6/2022 Microsoft 365 29

Microsoft 365 in der Praxis Weitgehend vollständig, aber ziemlich unvollkommen Microsoft 365 (ehemals Office 365) ist eine Kombination aus einem Onlinedienst, einer Office-Webanwendung und einem Office-Software-Abonnement von Microsoft Office. Der Service bietet Nutzenden die Möglichkeit, ortsunabhängig von jedem unterstützten Endgerät aus zu arbeiten. Auch wenn die Plattform auf den ersten Blick wie ein lücken- loses Funktionspaket aussieht, offenbaren sich in der Praxis zum Teil gravierende Mängel, vor allem in den Bereichen Datensicherheit und Compliance. Diese wiederum haben bewirkt, dass sich inzwischen ein Marktplatz für Add-ons und Dienstleistungen von Drittanbietern etabliert hat. M 365 gilt damit als eine der vollständigsten und best integrierten Office- und Kommunikations- plattformen auf dem Markt, weshalb seine Be- liebtheit in den letzten Jahren sowohl bei Privatanwendern als auch in Unternehmen deutlich nach oben gegangen ist. Mit M 365 gespeicherte Daten befinden sich in Rechenzen- tren von Microsoft. Die Webanwendungen unter Microsoft 365 Online beinhalten die Onlineversionen von Word, Out- look, PowerPoint, Excel, SharePoint, Exchange und OneDrive sowie je nach gebuchtem Paket auch Teams, Access, Pub lisher, Intune und Azure Information Protection. Als zusätzliche Dienste stehen Microsoft Defender for Business, Teams Essen- tials und Windows 365 zur Verfügung. Die Paketzusammen- stellungen ändern sich des Öfteren, die Funktionalitäten in- nerhalb einzelner Anwendungen und übergeordneter Dienste werden ständig weiterentwickelt. Studien haben gezeigt, dass M 365-Anwender auch häu- fig geschäftskritische und sensible Daten über Teams austau- schen. Das macht die M 365-Umgebung für Angreifer zu ei- nem sehr attraktiven Angriffsziel, um Daten zu kapern. M 365 bietet bereits ab Werk ein umfangreiches Set an Microsoft Security-Technologie. Die einzelnen Microsoft-Bausteine sind auch gut miteinander integriert und bieten als Mehrwert bei- spielsweise, Incidents übergreifend analysieren zu können. Unter dem Strich bringt M 365 sehr viel Sicherheit mit, aber sie funktioniert nicht out of the box, sondern man muss sich darum kümmern. Und das ist keineswegs trivial, wie viele Ex- perten sagen. 30 SPECIAL_6/2022 Microsoft 365 Ohne ein komplementäres Backup und Recovery birgt M 365 zudem Risiken vor Datenverlusten. Viele Unternehmen, die Cloud-Dienste wie Microsoft 365 nutzen, gehen fälschli- cherweise davon aus, dass sie sich nun nicht mehr um Back- ups, Wiederherstellung und die Sicherheit ihrer Daten küm- mern müssten. Weit gefehlt – Microsoft folgt hier dem Prinzip der sogenannten „Shared Responsibility“, also der geteilten Verantwortung. Mit Microsoft 365 sind die Kunden selbst da- für verantwortlich, ihre Datensicherheit zu konfigurieren und gleichzeitig ihre Compliance-Anforderungen zu erfüllen. Auch haftet Microsoft nicht für den Verlust von Daten und E-Mails in Microsoft 365 und bietet bis heute keine nativen Siche- rungs- und Wiederherstellungsoptionen an. Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzen- den allein, wenn es um Archivierung und dabei die Einhaltung von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich. Da für viele Unternehmen kein Weg an M 365 vorbeiführt – trotz der bekannten Schwächen – haben unabhängige An- bieter und Berater ihre Chance erkannt und kommen mit Produkten und Services, welche die Mankos und Risiken aus- gleichen. M 365 wird damit zu einem Ökosystem – und jeder weitere Anbieter stärkt die Position von Microsofts Office- und Kommunikationsplattform. . m o c e b o d a k c o t s - t t o r P s a e r d n A . : Stefan Mutschler d l i B

– ADVERTORIAL – M 365 durch leicht anwendbare Kryptografie aufwerten Andreas Liefeith, Leiter Unternehmenskommunikation der procilon GmbH Um zu vermeiden, dass sensible Daten beim Versand via EMail nicht von unberechtigten Personen oder Systemen mitgelesen werden, kann man auf gebräuchliche Ver schlüsselungstechnologie nach S/MIME oder PGPStandard zurückgrei fen. Doch längst sind nicht alle zu adressierenden Empfänger über diese Verschlüsselungsmethoden zu erreichen. Darüber hinaus gibt es elektronische Kommunikationsszenarien, zum Bei spiel den elektronischen Rechtsverkehr (ERV), in denen vom Gesetzgeber sichere Übertragungswege benannt werden, deren SecurityAnforderun gen weit über einfache EMailVerschlüsselung hinaus gehen. Dazu zählt auch das besondere elektronische Bürger und OrganisationenPostfach (eBO). Mit eBO können natürliche und juristische Personen, soweit sie kein anderes zugelassenes Postfach nutzen können, Dokumente an Ge richte und Behörden auf einem sicheren Übertragungsweg übermitteln. Für den Nutzer eröffnet sich hier das Dilemma, für die an sich einfache elektronische Kommunikation mehrere Systeme nutzen zu müssen. Auf der anderen Seite ist gerade bei OnlineDiensten der Bedarf an benutzer freundlichen Lösungen immens hoch. Add-ins für nutzerfreundliche Sicherheit Als Experte für Kryptografie im Allgemeinen und den ERV im Speziellen hat procilon zwei Addins für Office 365 auf den Markt gebracht, die Nutzern das oben geschilderte Dilemma ersparen. Dabei haben sich die Entwickler eine strikte Ausrichtung auf den Nutzer als oberstes Credo gesetzt. So können beispielsweise mit der Erweiterung des MS/OutlookClients durch proTECTr Mail Connect Dateianhänge mit nur einem Klick für die Empfänger einer EMail stark verschlüsselt werden. Dazu lädt man die Anhänge wie gewohnt direkt in die EMail und aktiviert Mail Connect. Im Ergebnis werden alle Dateianhänge automatisch von der EMail gelöst, verschlüsselt und als verschlüsselte Dateien der EMail wieder zugefügt. Auf diese Art und Weise können sensible Daten auch bei unverschlüsselten EMails geschützt übertragen werden. Ebenso einfach können zugesandte und mit proTECTr verschlüsselte Dateianhänge direkt in Outlook entschlüsselt werden. Ähnlich konzipiert ist die procilon MS/OutlookErweiterung für den elek tronischen Rechtsverkehr. Das Addin wird hier um eine Komponente er gänzt, die eine Suche von adressierbaren Gerichten und Verwaltungen im Teilnehmerverzeichnis des ERV ermöglicht. Selbst an die Erzeugung per Verordnung vorgeschriebener sogenannter XJustizDatensätze ist gedacht worden. Hier geht jeder Bedienschritt nahtlos in den nächsten über, um Nutzer zuverlässig durch den Prozess zu begleiten. Um diese Innovation effizient nutzen zu können, hat procilon ein Komplettpaket zusammen gestellt, das dabei hilft, alle Hürden beim Einstieg in den elektronischen Rechtsverkehr mit eBO zu meistern. Geeignet ist die procilonLösung primär für Unternehmen, privatrechtliche Organisationen und Verbände sowie andere professionelle Verfahrensbeteiligte – wie Dolmetscher, Gut achter, Rentenberater und Sachverständige – die auf sichere Art mit den Gerichten kommunizieren müssen und dies gleich aus ihrer gewohnten EMailUmgebung heraus tun möchten. Insbesondere die Integration von zusätzlichen kryptografischen Möglich keiten in die M 365Infrastuktur eröffnet vielfältige Szenarien. Anwender schulungen können auf ein Minimum reduziert werden und kurze Einfüh rungszeiten werden von den Nutzern positiv wahrgenommen. n SPECIAL_6/2022 Microsoft 365 31

Risiken beim Einsatz von Exchange, Sharepoint, Teams und OneDrive Microsoft 365 im Visier der Cyberkriminellen Angesichts der wachsenden Bedrohungslage und der steigenden Zahl an Cyber angrif fen gegen die Infrastrukturen von Unternehmen wachsen auch die Risiken von Daten verlusten und IT-Ausfällen. Microsoft 365 (M 365) ist dabei nicht nur ein attraktives Ziel der Cyberkriminellen, sondern birgt ohne ein komplementäres Backup und Recovery Risiken vor Datenverlusten. Daniel Hofmann, CEO von Hornetsecurity, klärt im Interview mit IT-SICHERHEIT über Risiken und Möglichkeiten zum Schutz der Microsoft 365-Umgebung auf. ITS: Microsoft 365 ist heute eines der am meisten genutzten Office-Tools in Unter- nehmen. Wie schätzen Sie die Sicherheit der M 365-Umgebung für Unternehmen ein? Daniel Hofmann: Durch die Etablierung hybrider Arbeitsplatzkonzepte in den vergan- genen Jahren wurden auch Kommunikations- und Kollaborationslösungen in Verbindung mit Office- und Productivity-Tools immer stärker in betriebliche Prozesse eingebunden. So zeigen unsere Studien, dass M 365-Anwen- der auch häufig geschäftskritische und sensib- le Daten über Teams austauschen. Das macht die M 365-Umgebung für Angreifer zu einem sehr attraktiven Angriffsziel, um Daten zu kapern oder auch Unzulänglichkei- ten beim schwächsten Glied der Sicherheitskette – dem Men- schen – auszunutzen. Angreifern ist es möglich, M 365-Nut- zer über die MX-Records und Autodiscover-Einträge leicht zu identifizieren und Millionen von Anwendern als potenzielle Angriffsziele auszumachen. Wird schließlich eine neue Sicher- heitslücke entdeckt, eröffnet dies Angreifern viele Möglichkei- ten für Cyberangriffe. Daniel Hofmann, CEO von Hornetsecurity und damit die Kontrolle über Richtlinien sowie das Rollen- und Rechtemanagement. Dem ge- genüber stehen die Nutzer, die nun Richtlinien, Nutzerrollen und Rechte eigenständig mana- gen können. Microsoft 365 erleichtert gar das Rechtemanagement für einzelne Anwender und Gruppen, auch um die Lösung für immer mehr Anwender im zunehmend verteilten Ta- gesgeschäft in hybriden Infrastrukturen at- traktiver zu machen. Auch wenn der Adminis- trator weiterhin die Verantwortung trägt, ist er nicht mehr so leicht in der Lage, die gesamte Infrastruktur zu kontrollieren – was schließ- lich in einem höheren Sicherheitsrisiko für das gesamte Unternehmen resultiert. Ein Beispiel: So erlaubt M 365 Benutzern, Dateien einfach mit Partnern und Kunden außer- halb des Unternehmens zu teilen. Dabei überlässt Microsoft den Nutzern die Kontrolle darüber, die Berechtigungen für Ordner oder einzelne Dateien festzulegen – oder auch nicht. Versäumt ein Nutzer etwa bei der Erstellung eines Sharepoint- Ordners die Zugriffsberechtigungen festzulegen und teilt die- sen per E-Mail mit Personen außerhalb des Netzwerks, kann jeder, der Zugriff auf den Link erhält, auch auf sämtliche ent- haltene Dateien und Unterordner zugreifen. ITS: Wo sehen Sie die größten Gefahren beim Anwender – und inwieweit bietet Microsoft 365 hier Schutz vor Miss- brauch und Manipulation? ITS: Wie steht es denn um die Verantwortung beim The- ma Datenschutz, wenn ein Unternehmen auf die Microsoft 365-Umgebung setzt? Daniel Hofmann: Entscheidet sich ein Unternehmen für den Einsatz des Microsoft 365-Dienstes und den Gang in die Cloud, verliert der Administrator ein Stück weit die Übersicht Daniel Hofmann: Kurioserweise gehen viele Unterneh- men, die Cloud-Dienste wie Microsoft 365 nutzen, fälschlicher- 32 SPECIAL_6/2022 Microsoft 365 . m o c y a b a x p i l , t s i t r A a t i g D e h T i : d l i B

weise davon aus, dass sie sich nun nicht mehr um Backups, Wiederherstellung und die Sicherheit ihrer Daten kümmern müssen. Dies ist jedoch ein weit verbreiteter Irrtum. Denn Microsoft folgt hier dem Prinzip der sogenannten „Shared Res ponsibility“, also der geteilten Verantwortung. So sieht dieses Prinzip vor, dass insbesondere die Verantwortung über Geräte (Smartphones, Notebooks und PC) Konten und Identitäten sowie Informationen und Daten beim Kunden verbleibt. Der Microsoft Service-Vertrag hebt die Notwendigkeit, Inhalte und Daten regelmäßig zu sichern, die in den Diensten oder während der Verwendung von Dritt- anbieter-Apps und -Diensten gespeichert sind, noch hervor. Auch wenn mit kostenpflichtigen Zusatz-Diensten, die einzel- ne Funktionen bereitstellen, einige Mängel in der Sicherheits- kette behoben werden können, wird der Schutz und die Si- cherheit der Daten am Ende dem Endnutzer überlassen. 365 Total Protection Enterprise Backup Lösung von Hornetsecurity (Quelle: Hornetsecurity GmbH) ITS: Können Sie konkrete Beispiele nennen, wo das Leis- tungsspektrum mit den Anforderungen der Nutzer ausein- andergeht? Daniel Hofmann: Durchaus. Zunächst muss jedem klar sein, dass Microsoft keine Verantwortung für die Sicherheit, Verfügbarkeit und Integrität der in Microsoft Services ge- speicherten Daten übernimmt. Das Stichwort „Shared Res- ponsibility“ bedeutet hier, dass die Kunden selbst dafür ver- antwortlich sind, ihre Datensicherheit zu konfigurieren und gleichzeitig ihre Compliance-Anforderungen zu erfüllen. Auch haftet Microsoft nicht für den Verlust von Daten und E-Mails in Microsoft 365 und empfiehlt daher in seinen Nutzungsbe- dingungen einen Drittanbieter zu nutzen, um Daten ausrei- chend vor Serverstörungen und -ausfällen zu schützen. Das betrifft auch einen ausreichenden Schutz vor Zero- Day-Angriffen. Wie in den Allgemeinen Geschäftsbedingun- gen zu ersehen ist, werden nur bereits bekannte Viren er- kannt. Demnach gilt ein Virus als bekannt, wenn weit ver- breitete kommerzielle Virenscanner ihn erkennen können. Das bedeutet im Umkehrschluss, dass es für ein Unternehmen kritisch werden kann, wenn es mit Hilfe eines neuartigen Vi- rus angegriffen wird. Ein weiteres Beispiel: Bucht etwa ein Unternehmen den Servicelevel „Wachsamkeit gegen Spam“ hinzu, greift dieser nur bei E-Mails mit englischsprachigem Inhalt. In Deutschland sind solche Einschränkungen als kri- tisch einzustufen. Daher müssen die Unternehmen selbst ak- tiv werden und mit zusätzlichen Service-Diensten für ein aus- reichendes Schutzniveau ihrer Daten sorgen. Dafür sind die Angriffe, Methoden und Vektoren heute einfach zu vielseitig und ausgeklügelt. ITS: Wie können Unternehmen ein höheres Schutzniveau für ihre Daten und die Microsoft 365 Umgebung erreichen? Daniel Hofmann: Um ein hohes Schutzniveau der eige- nen Daten in Microsoft 365-Umgebungen und eine nachhal- tige Sicherheitskultur im Unternehmen zu schaffen, erfordert es letztlich Security-, Backup- und Wiederherstellungs-Lösun- gen, die nahtlos und plattformübergreifend ineinandergrei- fen, aber gleichzeitig auch den Menschen als (Un-)Si- cherheitsfaktor einbeziehen. Wir wissen, dass dies für Unternehmen mitun- ter eine große Herausforde- rung darstellt, aber es gibt Drittanbieter-Lösungen am Markt, wie Hornetsecurity mit weltweit über 60 Pro- zent Marktanteil, die die bestehenden Lücken schlie- ßen. Damit sind Nutzer nicht nur imstande, E-Mail Security, Backup und Re- covery über eine zentrale Plattform zu managen, sondern auch Governance- und Com- pliance-Anforderungen samt Dokumenten- und Ordnerfrei- gaben bedarfsgerecht und transparent für M 365 SharePoint, Teams und OneDrive zu verwalten. IT-Verantwortliche müssen heute nicht nur den Schutz der IT-Infrastruktur und des Unternehmensnetzwerks sicherstel- len, sondern auch die Inhalte von Kollaborationslösungen, die in vielen Unternehmen noch ein unkontrolliertes Schatten- dasein führen. Zudem bedarf es eines höheren Sicherheits- bewusstseins bei Anwendern, um den „Faktor Mensch“ im Sicherheitskonzept zu berücksichtigen. Mit der Übernahme des Cybersecurity-Trainingsspezialisten IT-Seal im ersten Halbjahr 2022 haben wir unser Leistungsspektrum um au- tomatisierte Security Awareness Trainings erweitert, die auf einer zukunftsweisenden Awareness Engine aufsetzen und sich nach dem tatsächlichen Bedarf der Anwender richten. Mit unseren Security-, Backup-, Compliance und Recovery- Lösungen bieten wir nicht nur einen kompletten Rundum- Schutz für Microsoft 365-Umgebungen, sondern decken auch den gesamten Cybersecurity-Awareness-Zyklus ab – von der Sensibilisierung über die Prävention bis hin zur Erkennung. Das Interview führte Stefan Mutschler für IT-SICHERHEIT. SPECIAL_6/2022 Microsoft 365 33

Gezieltes Training für höheres Sicherheitsbewusstsein Rundum-Schutz für M 365-Daten und -Kommunikation Fast die Hälfte aller Nutzenden tauscht häufig sensible und geschäftskritische Daten über Microsoft Teams aus, mehr als die Hälfte davon gar von privat genutzten Geräten – zu diesem alarmierenden Ergebnis kommt eine aktuelle Studie von techconsult und Hornet- security. Dies unterstreicht nicht nur die Notwendigkeit für einen umfassenderen Schutz der über Teams-Channels und User Chats ausgetauschten Daten, sondern auch nach einer effektiveren Anwenderschulung über den sicheren, Compliance-konformen Umgang mit vertraulichen Daten und der Kommunikationsinfrastruktur des Unternehmens. D ie zunehmende Nutzung von Chat-Diensten hat die Art und Weise, wie Menschen arbeiten und interagie- ren, nachhaltig verändert. Mit dieser Veränderung ist jedoch auch das Risiko von Datenverlusten gestiegen. Unter- nehmen müssen daher angemessene Sicherheitsvorkehrungen treffen, um ihre Geschäftsdaten entsprechend der sich ändern- den Nutzungsgewohnheiten ihrer Anwender besser zu schüt- zen. So ergab eine Studie von techconsult, die im Auftrag von Hornetsecurity erstellt wurde und an der sich insgesamt 540 Mitarbeitende aus Unternehmen aller Branchen beteiligt hat- ten, dass mehr als 41 Prozent der Mitarbeiter mindestens zehn User-Chat-Nachrichten pro Tag in Microsoft Teams senden. Nur etwas mehr als ein Viertel aller Nachrichten (26 Prozent) wer- den in Teams-Channel-Konversationen versendet. Demgegen- über bevorzugen 90 Prozent der Befragten User Chats (Direkt- nachrichten) im direkten Vergleich zu Gruppenunterhaltungen (in einem Teams-Channel), darum sollten Backup-Lösungen zum Einsatz kommen, die alle kollaborativen Funktionen von Teams übergreifend schützen, einschließlich der User Chats. Microsoft-Kunden und -Partner müssen sich ihrer Verantwortung bewusst sein „Die interne Unternehmenskommunikation über Chats hat sich in vielen Unternehmen inzwischen fest etabliert 34 SPECIAL_6/2022 Microsoft 365 und befindet sich damit bereits fast auf dem gleichen Niveau wie die Kommunikation per E-Mail. Während der Schutz und Backups der E-Mail-Kommunikation heute jedoch weitgehend zum Standard in der Geschäftskommunikation gehören, wird ein ausreichender Schutz der Kommunikation über Microsoft Teams noch vielfach vernachlässigt“, mahnt Daniel Hofmann, CEO bei Hornetsecurity, dem Spezialisten für Cloud-Security- und Compliance-Lösungen für Microsoft 365. „Vielen Unter- nehmen ist noch nicht klar, dass sie für den ausreichenden Schutz ihrer Geschäftskommunikation auch eine eigene Ver- antwortung tragen: Das fängt bei Email-Security an und be- zieht die Channels und User-Chats in Teams ebenso ein. Denn wenn es durch einen Cyberangriff oder den Faktor Mensch zum Verlust wichtiger Informationen kommt, liegt es am Kunden selbst, die Daten wieder zuverlässig herzustellen, und zwar auch in Teams.“ Ferner ergab ein auf Basis einer Umfrage von mehr als 2.000 IT-Profis erstellter und im September veröffentlich- ter Hornet security Ransomware Report 2022, dass ein Vier- tel der Befragten entweder nicht weiß oder nicht glaubt, dass Microsoft 365-Daten von Ransomware betroffen sein können. Darüber hinaus gaben 40 Prozent der IT-Exper- ten, die Microsoft 365 in ihrem Unternehmen nutzen, zu, dass sie keinen Wiederherstellungsplan hätten, falls ihre B , t s i t r A a t i g D e h T d : l i . m o c y a b a x p i l i

Microsoft 365-Daten durch einen Ransomware-Angriff ge- fährdet wären. Systeme und Tools sind nur so sicher wie ihre Nutzer Die Antworten aus der Branche zeigen, dass IT-Fachleu- te und Unternehmen häufig nicht ausreichend auf Angrif- fe vorbereitet sind. Besonders besorgniserregend ist jedoch, dass rund 60 Prozent der Angriffe auf Phishing-Versuche zu- rückgehen. „Die E-Mail-Kommunikation ist für Cyberkrimi- nelle nach wie vor das Einfallstor Nummer 1. Viele Angrei- fer nutzen den Menschen dabei gezielt als Schwachstelle für Phishing und Betrug aus. Umso wichtiger ist es, das erforder- liche Schutzniveau auch auf das schwächste Glied in der Si- cherheitskette – den Anwender – auszudehnen. Denn selbst mit dem besten Cybersecurity-System bleibt immer Raum für menschliches Versagen, weshalb viele Anbieter von Cyberse- curity-Versicherungen bereits dazu übergegangen sind, für den Abschluss ihrer Policen Sensibilisierungsschulungen für Mitarbeiter einzufordern“, so Daniel Hofmann weiter. „Securi- ty Awareness Trainings helfen Unternehmen, eine nachhalti- ge Sicherheitskultur innerhalb der Organisation und vor allem entlang der Kommunikations-Touchpoints zu etablieren. Aus unserer langjährigen Erfahrung als Cloud-Security-Spezialist können wir nur unterstreichen, wie wichtig jeder einzelne Wie eine Spear Phishing Engine das Awareness Training optimieren kann (Quelle: Hornetsecurity GmbH) Mitarbeitende für den Datenschutz und die Integrität des ge- samten Sicherheitskonzepts eines Unternehmens ist.“ Automatisiertes Security Awareness Training nach individuellem Bedarf Ein Security Awareness Training setzt den Fokus auf den Faktor Mensch. Es zeigt den Anwendenden nicht nur die Be- deutung von Informationssicherheit und ihre eigene Sicher- heitsverantwortlichkeit innerhalb des Netzwerks auf, son- dern identifiziert gezielt Schwächen und stärkt damit die „menschliche Firewall“ im Informationssicherheitskonzept. Besonders bewährt hat sich das Training der User mithilfe re- alistischer Spear-Phishing-Simulationen und KI-gestütztem E-Training, wodurch das Bewusstsein für Sicherheitsrisiken und Cyberbedrohungen kontinuierlich geschärft und über- prüft wird. Fortschrittliche Lösungen nutzen als technologi- sche Herzstück des Security Awareness Trainings eine Awa- y t i r u c e S t e n r o H : o t o F Viele Angreifer nutzen den Menschen dabei gezielt als Schwachstelle für Phishing und Betrug aus. Umso wichtiger ist es, das erforderliche Schutz- niveau auch auf das schwächste Glied in der Sicherheitskette – den Anwender – auszudehnen.“ DANIEL HOFMANN, CEO von Hornetsecurity reness Engine, die dafür sorgt, dass jeder Nutzende nur so viel Training wie nötig, aber so wenig wie möglich erhält. Die Bereitstellung relevanter E-Trainingsinhalte erfolgt bedarfs- gerecht und vollständig automatisiert. Die patentierte Spear Phishing Engine von Hornetsecurity simuliert realistische Angriffe mit unterschiedlichen Schwierigkeitsgraden, damit Mitarbeiter und Mitarbeiterinnen auch die ausgeklügeltsten Angriffe kennenlernen und in der Lage sind, ihr Wissen über Angriffe und Bedrohungen stetig zu erweitern. Phishing-Szenarien führen Anwender etwa zu gefälschten Log-in-Seiten und enthalten Dateianhänge mit Makros sowie E-Mails mit Ant- wortverläufen. Kennzahl für Security Awareness: ESI – der Employee Security Index Die Ergebnisse werden im Awareness Dash- board gebündelt, in dem alle wichtigen Kennzah- len der Trainings-Gruppen und -Teilnehmer sowie deren Trainingsfortschritte auf der Zeitachse doku- mentiert werden. Mithilfe eines Employee Securi- ty Index, kurz ESI, wird der Security-Reifegrad der Mitarbeitenen realitätsnah, standardisiert und reproduzierbar abgebildet. Der ESI von Hornetsecurity ist ein branchenweit einzigartiger Benchmark, der das Sicherheitsverhalten der Belegschaft im gesamten Unternehmen kontinuierlich misst, vergleicht und gleichzeitig den individuellen Bedarf an E-Trai- ning automatisiert steuert. Der ESI stellt damit ein wirksames Kontrollinstrument für die Effektivität einzelner Schulungs- maßnahmen und bestehender Defizite dar. Die quantitative Analyse der Security Awareness bietet zudem einen direk- ten Vergleich mit anderen Unternehmen ähnlicher Branchen und kann gleichzeitig als Entscheidungsgrundlage für weitere Awareness-Maßnahmen herangezogen werden. n Jannis Blume, Senior Product Marketing Manager bei Hornetsecurity SPECIAL_6/2022 Microsoft 365 35

Kommunikation aus MS Teams rechtskonform und revisionssicher speichern Wie sich lebendige Kollaboration und effiziente Datenarchivierung unter einen Hut bringen lassen Microsoft Teams ist dafür gebaut, eine mobile Workforce dabei zu unterstützen, komforta- bel und über verschiedene Kanäle hinweg in Verbindung zu bleiben. Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzenden allein, wenn es um Archivierung und dabei die Einhaltung von Vorschriften und gesetzlichen Bestimmungen geht. Eine gesetzeskonforme, sichere Speicherung und Verwaltung der MS Teams-Kommunikation ist mit Bordmitteln nicht möglich. Hier müssen externe Tools einspringen. Z u archivierende Informationen fallen heute an sehr vielen unterschiedlichen Stellen eines Unternehmens an. Eine der Quellen mit derzeit steilem Wachstum ist Microsoft Teams. Die Kollaborationsoftware gehört nicht un- bedingt zu den Klassikern, wenn es um das Thema Archivie- rung geht. Die große Frage lautet also: Wie lassen sich neue, moderne Informationsquellen nahtlos in bestehende Archi- vierungskonzepte einbinden? In fast allen Unternehmen gibt es bereits bestehende Prozesse dafür – und ebenso entspre- chende Tools. Wie also Informationen aus Teams darin inte- grieren? Aber das ist nicht die einzige Herausforderung. Mindes- tens ebenso wichtig ist das Compliance Management. Dazu 36 SPECIAL_6/2022 Microsoft 365 . . m o c e b o d a k c o t s - s u m o m d : i l i B

gehören beispielsweise die Einhaltung von Aufbewahrungs- beziehungsweise Löschfristen, eine revisionssichere Ablage und die Umsetzung der DS-GVO. Microsoft Teams speichert nicht nur Nachrichten (inklusive Links und Dateien), sondern auch zahlreiche Meta-Informationen und personenbezogene Daten. Damit gilt es zu beachten, in welchen Systemen ge- nau die Microsoft Teams-Informationen und Dateien gespei- chert werden, beispielsweise in OneDrive for Business oder SharePoint. ARCHIVIERUNG VERSUS BACKUP Der Sinn und Zweck eines Backups ist es, in einem sogenannten Katastrophenfall die Daten des produktiven IT Systems schnellstmöglich wieder verfügbar machen. Ziel ist es, die Ausfallzeit weitestgehend zu minimieren. Backups laufen in bestimmten Intervallen und vordeﬁnierten Schemen ab, wobei ein Teil der früheren Backups regelmäßig durch die neueren Backups überschrieben wird. Es kommt hier also nicht darauf an, einen beliebigen Zeitpunkt der Datengeschichte abrufen zu können, sondern immer den jeweils aktuellsten vor Ausfall des Systems. Demgegenüber geht es bei der Archivierung darum, einen bestimmten Datenstand dauerhaft und unveränderbar festzuhalten. Treiber sind hier meist gesetzliche Auf- bewahrungsfristen. Durch die Auslagerung der Archivdaten aus dem Produktivsystem in separate Speicher wird das Produktivsystem entsprechend entlastet. Dies wiederum hat auch Einﬂuss auf die Menge der Backup-Daten – die Archivdaten bleiben hier außen vor und müssen nicht ständig mit gespeichert werden. Backups werden dadurch schneller. Umgekehrt gilt die Wiederherstellung von Archivdaten im Produktivsystem als wenig zeitkritisch, denn das Produktivsystem läuft ja weiter. Es geht nur darum, einen archivierten Datenpool in einem geplanten Prozess wieder verfügbar zu machen. Ein gutes Archivierungssystem sorgt nicht nur für die rechts- und revisionssichere Speicherung, sondern sie indiziert jede einzelne abgespeicherte Version und macht sie dadurch jederzeit such- beziehungsweise aufﬁndbar. Gerade bei Teams-Daten ist das oft ein schweres Manko. Unternehmen brauchen natürlich sowohl Backups als auch Archivierung. Für das Backup ist es unerlässlich, dass die für das Daten- Lifecycle-Management von Teams verwendete Software in der Lage ist, alle relevanten Informationen aus Teams zu extrahieren und in Systeme zu exportieren, die in den Backup-Prozess eingebunden sind. Darüber hinaus spielt auch der geografische Speicherort der Daten eine gravierende Rolle. Stand heute werden Micro- soft Teams-Nachrichten (inklusive Links, Chats und Dateien) von DACH-Organisationen in den EMEA Rechenzentren von Microsoft Azure aufbewahrt. Bei Microsoft Azure handelt es sich um einen Public-Cloud-Service, ebenso wie bei den zuvor erwähnten Exportmöglichkeiten Azure File Share, OneDrive for Business und SharePoint Online. Tatsächlich weiß ein Großteil der Unternehmen nicht, wo ihre Microsoft Teams-Chats, -Informationen und -Dateien ge- speichert sind, und noch viel weniger haben sie eine Idee, wie sie diese Daten rechts- und revisionssicher in der On-Premises oder Cloud-Lösung ihrer Wahl speichern, mittels Backup si- chern oder archivieren können. Der Gesetzgeber macht keinen Unterschied, aus wel- chen Quellen geschäftsrelevante und/oder personenbezoge- ne Informationen stammen – auch Daten, die über Microsoft Teams erstellt, geteilt und bearbeiten werden, müssen zu je- derzeit gesetzeskonform und sicher aufbewahrt und verwal- tet werden. Damit das gelingt, braucht es einige innovative Funktionen, die Teams eben nicht bietet. Das Teams Daten-Lifecycle-Management Das Daten-Lifecycle-Management in Teams gliedert sich in die drei Bereiche Entstehung, Journalisieren, und Archivie- ren. Die Daten von Microsoft Teams entstehen über die ver- schiedenen Kanäle, Chats etc., dazu Dateien und in Teams ein- gebundene Apps wie etwa Umfragen, Abstimmungen und vieles mehr. Um all diese Daten Compliance-gerecht zu archi- vieren, müssen sie in ein externes System importiert werden, welches dazu in der Lage ist. Mit der inPoint Teams Online Archivierung (TOA) von H&S aus dem Microsoft Store beispielsweise wird ein Set an Skrip- ten bereitgestellt, welche bei der Einrichtung automatisch die Azure-basierenden Infrastrukturkomponenten wie Daten- banken, Speicher, HTML-Admin-Oberfläche etc. implemen- tieren, um die Verarbeitung im Hintergrund durchzuführen. Die Einrichtung eigener Server oder sonstiger On-Premises- Komponenten ist dafür nicht nötig. Über die Admin-Oberflä- che lässt sich dann sehr genau festlegen, was wann und wie in die Archivierung mit aufgenommen werden soll. Mit dem Journalisieren sammeln sich die gewünschten Inhalte bereits in einer gesicherten Form. Aktuell gibt es drei Möglichkeiten, diese gesammelten, journalisierten Daten wie- der zugreifbar zu machen, so auf OneDrive, SharePoint in der Dokumentenbibliothek oder auf dem Azure Fileshare. Bis da- hin liegen alle Daten immer noch komplett in einem eigenen, abgeschirmten Microsoft-Universum. Für die Langzeitarchivierung lassen sich diese Inhal- te manuell oder zeitgesteuert in externe Systeme expor- SPECIAL_6/2022 Microsoft 365 37

Funktionsweise der inPoint Teams Online Archivierung (TOA) von H&S. (Quelle: H&S) tieren. Das kann ebenfalls über OneDrive, SharePoint, oder Azure File Share-Systeme mit entsprechenden Schnittstel- len erfolgen. Alternativ auch in eigene Systeme im eigenen Rechenzentrum, in der Azure-Cloud oder in ein Dokumen- tenmanagementsystem (DMS), welches über eine REST API ankoppelbar ist. Was eine effiziente Microsoft Teams Datenarchivierung bieten sollte Cloudnative Anwendung Es sollte eine native, serverlose MS Azure-Lösung sein, die auf Basis moderner Microsoft-Technologien entwickelt wur- de. So lässt sie sich nahtlos in Microsoft Teams integrieren. Hohe Flexibilität Die Lösung sollte flexible Ressourcenzuweisung und Kos- tenmanagement mit einfachem Pay-as-you-go-Preismodell bieten, sowie ein zentrales Admin-Portal zur Verwaltung aller Teams-Archive. Konnektivität und einheitliche Archivierung Die Lösung sollte den Export von Teams-Daten nach Azure File Share, OneDrive for Business und SharePoint Online un- terstützen sowie die Ablage und Archivierung in digitale 38 SPECIAL_6/2022 Microsoft 365 CRM-/ERP-/ECM-/DMS-Akten, zur revisionssicheren Lang- zeitarchivierung. Zugriff auch ohne Teams Sollte der Service von MS Teams nicht zur Verfügung ste- hen, sollte etwa durch einen periodischen Export dennoch der Zugriff auf archivierte Dateien und Chat-Verläufe möglich sein. Diese Exporte könnten dann auch auf Systeme außerhalb der Microsoft-Welt ausgelagert werden, um ein alternatives Backup zur Verfügung zu stellen. n Stephan Gehling, Leiter BCS und Microsoft Experte bei H&S Information Architects

HZ212320 · ISSN 1868-5757 · www.datakontext.com Dezember 6/2022 Microsoft 365 Microsoft 365 richtig absichern richtig absichern Microsoft 365 Security: Mit Microsoft Bordmitteln Richtung Zero Trust starten Gesundheits-Check eines M 365-Tenant: Acht Themen, die Betreiber einer Microsoft-Umgebung regelmäßig im Blick haben sollten Microsoft 365 sinnvoll ergänzen: E-Mail-Verschlüsselung als Cloud Service Bild: buravleva_stock - stock.adobe.com

Interview: Microsoft 365 absichern Mit Microsoft-Bordmitteln Richtung Zero Trust starten Kaum ein Paradigmen- und Technologiewechsel in der IT hat sich so schnell vollzogen wie der Umstieg auf Cloud Services auf der Basis von Microsoft 365. Durch das New- Work-Modell – in immer neuen Teams, aus dem Homeoffice oder unterwegs und mit immer neuen Cloud-Lösungen – hat sich die Unternehmens-IT deutlich verändert und insbesondere massiv nach außen geöffnet. Deshalb sind grundlegend neue Sicherheits- architekturen wie Zero Trust heute in aller Munde. Doch wo sollte man für die Absiche- rung von Microsoft 365 anfangen, und was ist dabei wichtig? Thomas Welslau vom Microsoft 365-Spezialisten Net at Work schafft im Interview Klarheit. diese Zusammenarbeit in sicheren Bahnen verläuft und Da- ten, Prozesse und Anwendungen vor unberechtigten Zugrif- fen geschützt sind, müssen auch für Microsoft 365 neue Si- cherheitsmechanismen greifen. Die notwendigen Tools und Einstellungen sind da, aber man muss sie individuell einstel- len und nutzen. ITS: Braucht man nun einen Zoo an weiteren Services? Thomas Welslau: Die gute Nachricht ist, dass Micro- soft 365 ein sehr leistungsstarkes Portfolio an Sicherheits- komponenten mitbringt und eine Konsolidierung der Sicher- heitsarchitektur auf Microsoft 365 Security für die meisten Kunden viele Vorteile bietet. Zum einen ist bei der üblichen Lizenzierung bereits ein umfangreiches Set an Security-Tech- nologie von Microsoft enthalten. Warum also mehr ausgeben als notwendig? Zum anderen sind die einzelnen Microsoft- Bausteine von Haus aus gut miteinander integriert und bie- ten auch den Mehrwert, Incidents übergreifend analysieren zu können. Und drittens ist auch die Know-how-Spanne, die das Team abdecken muss, kleiner, wenn man keinen Zoo an Lösungen betreibt. M 365 bringt sehr viel Sicherheit mit, aber sie funktioniert nicht out of the box, sondern man muss sich darum kümmern. ITS: Wie sollte die grundsätzliche Strategie aussehen? Thomas Welslau: Im Grundsatz gibt es zur Absicherung von Microsoft 365 zwei strategische Stoßrichtungen, die letzt- lich beide darauf abzielen, Komplexität und Aufwände zu re- duzieren: mehr Cloud und mehr Konsolidierung. Durch die Nutzung von mehr Cloud Services lässt sich der eigene Sys- tembestand on-premises deutlich verringern. Das reduziert interne Aufwände, entlastet den IT-Betrieb und nimmt Kom- plexität raus. Ein Beispiel dafür sind Services wie Microsoft Update. Auch die angesprochene Konsolidierung der genutz- Thomas Welslau, Competence Lead Security, Net at Work GmbH (Foto: Net at Work) ITS: Warum ist die Absicherung von Microsoft 365 so wichtig? Thomas Welslau: Durch die Nutzung von Cloud Services werden Anwendungen und Daten, die früher innerhalb der Unternehmensgrenzen waren, breit im Netz verteilt ver- waltet und müssen daher anders geschützt werden. Eine der Stärken von Microsoft 365 ist die flexible Zusammenarbeit auch mit Nutzenden außerhalb meiner Organisation. Damit 40 SPECIAL_6/2022 Microsoft 365

Bereich Beispiele M 365 Produkte Ziel und Ergebnis Grundlagen schaffen durch sichere Verwaltung von Identitäten und Geräten Microsoft Intune für MDM, Clients und Alle Geräte und Identitäten sind gemanagt Server Azure MFA Passwortlose Authentifizierung z.B. durch Windows Hello for Business Schutz und Gegenmaßnahmen organisieren Zusammenspiel der M 365Cloud Komponenten schützen und gemeinsam überwachen Defender for Endpoint Defender for Cloud Defender for Identities Defender for Office Defender for Cloud Apps Grundlegende Sicherheit für Geräte und Identitäten Übergreifende Sicherheitsarchitektur für Microsoft 365 etabliert Blick über die M 365Welt hinaus Microsoft Sentinel als SIEM Unternehmensweite Sicherheitsarchitektur etabliert Beispiele und Details zu MS365-Security. (Quelle: Net at Work) ten Produktlandschaft verfolgt dieses Ziel. Microsoft bietet für fast alle Anforderungen gute bis sehr gute Lösungen, die bis- her genutzte Drittprodukte ersetzen können. Also mehr Cloud wagen und konsolidieren, wo es geht, ist eine gute Maxime. ITS: Wie sollte man also vorgehen, gibt es so etwas wie einen Masterplan? Thomas Welslau: Im Prinzip gibt es vier Bereiche, um die man sich bei der Absicherung von Microsoft 365 kümmern muss und die letztlich den Kern einer Zero-Trust-Strategie ausmachen. Im ersten Schritt sollten die Grundlagen geschaf- fen werden, indem man Geräte und Identitäten sauber ver- waltet. Hier kann es zum Beispiel mit Blick auf die Konsoli- dierung sinnvoll sein, mit Microsoft Intune Drittprodukte für MDM wie Mobile Iron zu ersetzen. Im zweiten Bereich geht es darum, den Schutz von Geräten und Identitäten zu eta- blieren und Gegenmaßnahmen bei Angriffen zu organisie- ren. Beispielsweise kann man mit Defender for Endpoint bis- herige Virenscanner ersetzen und mit Defender for Identities bekannte Angriffsmuster wie Golden-Ticket-Attacken schnell erkennen. Im dritten Block schafft man einen übergreifenden Blick auf das Zusammenspiel der verschiedenen M 365-Kom- ponenten. Mit Defender for Office kann die E-Mail-Sicherheit organisiert und der Austausch von Dateien in Teams und Co. geschützt werden. Mit Microsoft Defender für Cloud-Apps lässt sich eine umfassende Transparenz und Kontrolle über den Datenverkehr zwischen Cloud Apps herstellen. Im vierten und typischerweise zuletzt angegangenen Bereich, erfolgt die Zusammenführung der Microsoft 365 Security mit anderen Security-Bereichen in einem übergreifenden SIEM-Konzept. ITS: Ist diese Reihenfolge immer sinnvoll? pragmatisches Vorgehen gefragt. Ist etwa der bisherige Vi- renscanner noch über Jahre hinaus lizenziert, kann man die Ablösung natürlich auch später machen. Man sollte sich davon leiten lassen, mit welchen Maßnahmen individuell der größ- te Sicherheitsgewinn erzeugt werden kann. Ein detaillierter Microsoft 365 Tenant Security Check-up identifiziert die Berei- che, in denen mit vertretbarem Aufwand der höchste Nutzen erzielt werden kann. ITS: Bei aller Konsolidierung – wo gibt es Ausnahmen? Thomas Welslau: Microsoft 365 Security deckt die aller- meisten Bereiche gut ab, aber es gibt natürlich Ausnahmen. Ein Beispiel ist ganz klar die E-Mail-Verschlüsselung, bei der sich viele Kunden die zentrale Nutzung offener Standards wie S/MIME und eine zentrale Zertifikatsverwaltung wünschen. Ein Gateway-basierter Ansatz mit automatischer Zertifikats- verwaltung als Cloud Service wie beispielsweise NoSpam- Proxy ist hier zu empfehlen. ITS: Wie kann man das alles mit seinem Team umsetzen? Thomas Welslau: Es gibt zwei grundlegende Herange- hensweisen: erstens die vollständig externe Vergabe mit der Nutzung eines umfassenden Managed Services oder zweitens, die interne Umsetzung begleitet mit Coaching und Experten- Know-how für Detailfragen. Auch das sollte auf Basis der in- dividuellen Gegebenheiten entschieden werden. Viele unserer Kunden verfügen über sehr gute interne Teams mit großer Erfahrung im Roll-out von Technologien und Konzepten in ihren Unternehmen. Sie sind nah am Business und können mit Microsoft 365 schnell großen Nutzen für ihre Organisation schaffen. Diese Kunden profitieren von Coaching und punktu- eller Beratung. Thomas Welslau: Es gibt natürlich gewisse Abhängigkei- ten zwischen den vier Bereichen, aber grundsätzlich ist ein Das Interview führte Stefan Mutschler für IT-SICHERHEIT. SPECIAL_6/2022 Microsoft 365 41

Acht Themen, die Betreiber einer Microsoft- Umgebung regelmäßig im Blick haben sollten Gesundheits-Check eines M 365-Tenant Mit seinen stetig ausgebauten Möglichkeiten und unzähligen Einstellungen ist die grund- legende Konfiguration eines Microsoft 365-Tenants im Detail schwer zu fassen. Als zentra- le Basis für jede Sicherheitsarchitektur sollte jeder Tenant regelmäßig einem Security Check-up unterzogen werden. Dieser Beitrag liefert eine Übersicht über die acht Themen- felder, auf die Security-Verantwortliche ihr Augenmerk richten sollten. E s gibt viele Szenarien, in denen es sinnvoll ist, einen Microsoft 365 Tenant (Hauptkonto von Microsoft 365) mit Blick auf die Security gründlich auf Herz und Nie- ren zu prüfen: Sei es, dass ein Tenant von einer neuen Toch- terfirma ins Haus steht, umfassende Wechsel im Personal den aktuellen Stand des eigenen Tenants unklar machen, oder dass ein Unternehmen vor der Ausweitung seiner Microsoft 365-Nutzung eine solide Basis für weitere Security-Maßnah- men schaffen will. Gründe für einen umfassenden Check gibt es mindestens ebenso viele: Jedes Jahr nimmt Microsoft Hunderte von An- passungen, Änderungen und Erweiterungen vor – da fällt es naturgemäß schwer, den Überblick zu behalten, wenn man daneben noch viele weitere Themen des Tagesgeschäfts auf dem Schirm haben muss. Nüchtern betrachtet sind die Werkseinstellungen für den Microsoft 365 Tenant nicht aus- reichend für einen adäquaten Sicherheitslevel. Das ändert jedoch nichts an der Wichtigkeit dieser Ein- stellungen – ist die richtige Konfiguration des Microsoft 365 Tenants doch letztlich die Basis für alle weiteren Maßnahmen. Nur wenn die Basiskonfiguration solide bekannt, verstanden und gepflegt ist, können auch Folgeaktivitäten – insbesondere im Bereich IT-Sicherheit – erfolgreich sein. Worauf zu achten ist Das Net at Work M 365 Security-Team führt einen solchen Tenant-Check grundsätzlich bei der Übernahme neuer Be- ratungsmandate durch und hat dafür eine solide Checkliste entwickelt. Als Anregung und Hilfestellung sind hier die acht wichtigsten Bestandteile für einen umfassenden Security Check-up für jeden Microsoft 365 Tenant: 1. Azure AD Connect Hier sind die Einstellungen für das Zusammenspiel des lo- kalen Active Directory (AD) mit dem Azure AD zu prüfen. Ist AD Connect in den richtigen Release-Ständen im Einsatz? Sind wichtige Funktionen wie Password Hash Sync oder Password Writeback aktiviert? Sie werden gebraucht, um weiterführen- de Funktionen im Azure AD zu nutzen, wie etwa ein Password Self-Service-Portal, mit dem Nutzende ihr Passwort zurück- setzen können. 2. Azure-Einstellungen Die Werkseinstellung von Microsoft geht von einer sehr lockeren Handhabung von Nutzungsrechten im AD aus. Hier gilt es detailliert zu prüfen und entsprechende Einschrän- kungen vorzunehmen. Beispielsweise sollte definiert wer- den, wer Gäste einladen und neue Geräte oder Apps einbin- den darf. 3. Identity Protection: Risky Users und Risky Sign-ins Hier sollten die Funktionen zur Erkennung von Gefahren an den Benutzerobjekten wie Leaked Credentials oder unge- wöhnliche Sign-ins aktiviert werden. Meldet sich beispiels- weise eine Person mit zwei Geräten an zwei unterschiedli- chen Standorten an oder werden kompromittierte Credentials verwendet, kann Microsoft 365 entsprechende Alarme sen- den, die wiederum Auslöser für geeignete Maßnahmen sein können. 4. Conditional Access Standardmäßig ist in Microsoft 365 Tenants in Bezug auf die Zugriffsrechte alles recht offen. Mit User/Password ist grundsätzlich von überall Zugriff auf alles möglich. Hier bieten sich Einstellungen an, die das Einschränken – beispielswei- se nur identifizierte Firmengeräte zulassen – oder zumindest für den Fall von Risky Usern oder Sign-ins zusätzliche Hür- den oder Sperren setzen. In fortgeschrittenem Stadium lassen sich mit Conditional Access im Sinne einer Zero-Trust-Stra- tegie auch feingranulare Zugriffsrechte mit Blick auf Inhalte, Nutzende und Geräte etablieren. 42 SPECIAL_6/2022 Microsoft 365 . . m o c e b o d a k c o t s - k i t s n o r : d l i B

5. Geräteeinstellungen mit Intune Hier lassen sich die Betriebssystemtypen eingrenzen, mit denen grundsätzlich Geräte zugelassen werden sollen. Eben- so lässt sich definieren, welche Betriebssystemversionen und Patch-Level zulässig sind. Das sollte im Kontext der Firmen- richtlinien überwacht werden, damit nicht über ungewollte Betriebssysteme oder veraltete Systemstände Sicherheitslü- cken entstehen. 6. Exchange-Hybrid-Konﬁguration Hier sollte überprüft werden, ob die Konfiguration in der Praxis auch so wirkt, wie sie ursprünglich gedacht war. Im- mer wieder finden sich Seiteneingänge für Mail-Flows, die keiner will. 7. Sharing-Einstellungen In diesem Bereich wird das Sharing von Dateien und Ord- nern durch Nutzende in SharePoint, OneDrive und Teams ge- regelt: Sind anonyme Links erlaubt? Laufen Links standard- mäßig ab? Wer kann generell auf Links zugreifen? Müssen sich Gäste grundsätzlich mit MFA anmelden? Dürfen Gäste wiederum andere Gäste einladen? 8. Microsoft 365 Admin Center In diesem Konfigurationsbereich wird die Nutzung vieler kleiner Anwendungen wie beispielsweise Planner geregelt und es werden grundlegende Einstellungen für die Verwen- dung neuer Office-Apps vorgenommen. Werden diese acht Themenfelder in einem Check-up strukturiert geprüft und dokumentiert, entsteht eine verläss- liche Ausgangsbasis für die Planung weiterer Aktivitäten. Lü- cken und Verbesserungsmöglichkeiten, aber auch zukünftige Ausbaupotenziale in der Nutzung der Security-Lösungen von Microsoft 365 werden damit transparent. Secure Score als direkte Feedbackschleife Wichtig ist auch, dass dieser Check-up nicht nur eine Mo- mentaufnahme ist, sondern dass Verfahren für die regelmä- ßige Durchführung etabliert werden. Eine echte Hilfe ist hier der Microsoft Secure Score als Bestandteil von Microsoft 365 Defender. Er bietet systemgestützt eine aktuelle Bewertung der individuell vorgenommenen Konfigurationen in Microsoft 365 in Sachen Sicherheit. Das detaillierte Dashboard kann für das Monitoring von KPI-Zielen (Key Point Indicators – zu Deutsch Schlüsselindikatoren) genutzt oder zum Benchmarking mit vergleichbaren Organisationen herangezogen werden. Microsoft Secure Score bewertet allerdings nicht nur den aktuellen Stand, sondern macht auch proaktiv konkrete Vor- schläge, wie die Sicherheit des Tenants weiter erhöht werden kann. Das können Vorschläge sein, wie etwa eine alte Authen- tifizierungsart abzuschalten oder die Verschlüsselung zu er- höhen. Dieses Tool wird von Microsoft kontinuierlich an den Leistungsumfang von Microsoft 365 angepasst und um die M 365 SECURITY SINNVOLL ERGÄNZEN: E-MAIL-VERSCHLÜSSELUNG ALS CLOUD SERVICE Microsoft 365 ist eine hervorragende Basis zur digitalen Transforma- tion. Leider bietet M 365 jedoch aus mindestens drei Gründen keine praxistaugliche und damit compliancegerechte Lösung für vertrau- liche E-Mail-Kommunikation: 1. Microsofts eigener Verschlüsselungsmechanismus ist proprie- tär und verlangt eine Anmeldung am sendenden Tenant 2. Die Client-basierte Verschlüsselung scheitert in der Praxis, weil bei der Nutzung von mehreren Devices oft nicht die richtigen Schlüssel vorliegen. 3. Das Fehlen einer automatischen Verwaltung von Zertiﬁkaten führt zu enormen Aufwänden in der Administration zur regel- mäßigen Erneuerung der Zertiﬁkate. Die Lösung liegt in der Ergänzung von M 365 – beispielsweise mit dem Verschlüsselungs-Cloud-Service von NoSpamProxy. Die Gate- way-basierte Lösung ist vollständig in M 365 integrierbar und mit automatisierter Zertiﬁkatsverwaltung innerhalb weniger Stunden einsatzbereit. Weitere Pluspunkte: Die Lösung setzt Security made in Germany vollumfänglich um und bietet preisgekrönten Support. neuen Möglichkeiten ergänzt. Es macht also Sinn, einen Pro- zess zu etablieren, um regelmäßig den Secure Score zu ermit- teln und Verbesserungsvorschläge umzusetzen. So bleibt in Sachen Tenant-Sicherheit alles verlässlich stabil. Know-how ist zwingend – ob intern oder extern Für die kontinuierliche Pflege der Basiskonfiguration ist detailliertes Know-how wichtig, um zum einen die Funktio- nalitäten und Hintergründe vollständig zu verstehen und zum anderen auch zukünftige Änderungen in ihrer Wirkung sicher einschätzen zu können. Hier bieten sich grundsätzlich zwei Möglichkeiten an: erstens, eigenes Know-how aufzubauen, oder zweitens, ganz bewusst den Check-up regelmäßig von externen Spezialisten durchführen zu lassen. Bei guter Vor- bereitung und Strukturierung dauert ein solcher detaillierter Check-up inklusive Dokumentation zwei Beratertage, ist also vergleichsweise einfach einzuplanen. Auch hier gilt, wie so oft: Es gibt nichts Gutes, außer man tut es. n Thomas Welslau, Competence Lead Security, Net at Work GmbH SPECIAL_6/2022 Microsoft 365 43

Das Beste aus dem Microsoft-Universum rund um M 365 herausholen Wie eine europäische Software-Schmiede Ihren Digital Workplace fit macht Microsoft 365 trifft in perfekt nutzbarer Art und Weise die Bürobedürfnisse von Unternehmen und Organisationen. Dennoch bleiben an wichtigen Stellen markante Lücken, die Microsoft eben nicht adressiert. Beispiele sind etwa das compliancegerechte Handling von E-Mail-Korrespondenzen und -Dokumenten, die versionierte Synchronisation von Cloud- Dokumenten mit lokalem Content und die Integration mit MS Teams, um Kommunikation dieser Plattform rechtskonform und sicher zu archi- vieren. In allen drei Bereichen bietet H&S Heilig und Schubert Software die perfekte Ergänzung für mehr Produktivität und ein verbessertes Nutzererlebnis mit dem Ziel, die Daten nicht nur in MS Azure, sondern auch in der Hoheit des eigenen Unternehmens zu halten und direkt mit Projekten und Kunden akten in einem ausgewiesenen Datenraum zu verbinden. Die ITWelt ist ständig im Wandel, aber wenn es um die Arbeit im Büro geht, gibt es eine Konstante: Microsoft 365. Als Komplettlösung vereint Microsoft 365 innovative OfficeAnwendungen mit intelligenten Cloud diensten und erstklassiger Sicherheit. inPoint CSE – CONTENT SERVER EXCHANGE Ein Großteil aller Geschäftsprozesse wird heute via EMailKommunika tion abgewickelt – ein Trend, der sich weiterhin fortsetzt. Da EMailDo kumente dem Geschäftsbrief gleichgesetzt sind, sind diese daher auch nach den Grundsätzen des Handels und Steuerrechts aufzubewahren und zu archivieren. Ziel der inPoint CSE EMailArchivierung ist unter anderem die Einhaltung rechtsverbindlicher Aufbewahrungsfristen sowie die optionale Entlastung des MS Exchange Servers durch Auslagern nicht mehr benötigter EMails auf Archivmedien. Mit inPoint CSE können EMails mit Löschschutz (Retention Time) verrie gelt und auf revisionssicheren Speichermedien abgelegt werden. Selbst wenn Anwender versehentlich EMails löschen, bleiben diese bis zum Er reichen der vorgesehenen Lebenszeit im Archiv erhalten. Nutzer erhalten eine leistungsstarke EMailArchivPlattform für On Premise Exchange Server ab Version 2013, wie auch hosted Exchange und natürlich Microsoft 365. Durch die transparente Integration in MS Out look und MS Outlook Web Access (OWA/WebApp) mittels der bewährten ShortcutTechnologie werden die Exchange Server beim Kunden deut lich entlastet, wodurch sich die Sicherungszeiten um bis zu 50 Prozent verkürzen. inPoint CLOUD SYNC. – einfach zu nutzende OneDrive- und SharePoint-Synchronization inPoint Cloud Sync. erlaubt, Dateien aus einer MS CloudQuelle (Share Point, OneDrive, Teams etc.) mit einer Datei in inPoint zu verknüpfen. Legt ein Benutzer eine Datei zum Beispiel in seinem OneDriveVerzeichnis an oder ändert sie, wird diese Datei auch in inPoint zur Verfügung gestellt. inPoint Cloud Sync. ermöglicht Benutzern, die vollen Funktionalitäten von Microsoft 365 zu nutzen und dabei gleichzeitig die rechtlichen und organi satorischen Ablagerahmen und Vorlagen der IT einzuhalten. Am Ende des Tages finden sich alle Dokumente an einem zentralen Ablageort wieder! inPoint TOA – TEAMS ONLINE ARCHIVIERUNG Microsoft Teams ist dafür gebaut, eine mobile Workforce dabei zu un terstützen, komfortabel und über verschiedene Kanäle in Verbindung zu bleiben. Obwohl die Software beeindruckende Funktionen für die Zusammenarbeit und den Chat bietet, lässt sie ihre Nutzenden allein, wenn es um die Archivierung und dabei die Einhaltung von Vorschriften und gesetzlichen Bestimmungen geht. Wenn also die gesetzeskonforme, sichere Speicherung und Verwaltung der MS TeamsKommunikation das Thema sind, ist H&S der richtige Partner: Mit inPoint TOA bietet das Un ternehmen eine innovative, cloudbasierte Lösung zur Microsoft Teams Datenarchivierung. 44 SPECIAL_6/2022 Microsoft 365 – ADVERTORIAL –

– ADVERTORIAL – Ergänzung der klassischen Datensicherung (Backup) MS TeamsDaten periodisch exportieren und außerhalb der Cloud aufbewahren Virtuell getrennte „Brandabschnitte“ einrichten Speichermedien nutzen, die Schutz vor Ransomware bieten OfflineZugriff auf TeamsDateien und Beiträge nutzen, wenn MS Teams nicht zur Verfügung steht Wollen Sie mehr über das Thema Microsoft Teams-Archivierung erfahren? Dann melden Sie sich zu unserem kostenfreien Microsoft Teams Governance Webinar am 21.12.2022 an. H&S Heilig und Schubert Software AG Als europäischer Softwarehersteller entwickelt H&S seit über 30 Jahren Standard lösungen im Bereich Digitalisierung. Besonderen Wert legt das Haus auf den per sönlichen Kundenkontakt. „Microsoft stellt hervorragende Tools und Applikationen zur Verfügung. Wir ergänzen diese durch innovative Lösungen und beschreiten damit neue Wege und Technologien zusammen mit unseren Partnern und Kunden.“ (Stephan Gehling, Leiter BCS und Microsoft Experte) Mit seiner Schlüsselproduktreihe inPoint fokussiert das Unternehmen auf den Digital Workspace für alle Mitarbeitenden und Partner. Dieser digitale Arbeitsplatz verbindet die Abbildung und Orchestrierung digitaler Prozesse mit einer einheit lichen, systemübergreifenden Ablage. Die Integration in bestehende heterogene Umgebungen sorgt für eine reibungslose Zusammenarbeit. Darüber hinaus versteht H&S die europäischen Anforderungen und die hier gel tenden gesetzlichen Vorgaben. So stellt das H&STeam sicher, dass es seine Kund schaft während des gesamten Zyklus – von der Bedarfsanalyse über die Umset zung bis hin zum laufenden Betrieb – bestmöglich unterstützen kann. Dabei gilt: Eine Nummer, ein Ansprechpartner, eine Lösung. Die deutschsprachige Hotline von H&S ist mit eigenen Mitarbeitern besetzt und steht rund um die Uhr für Kunden zur Verfügung. Außerdem bietet H&S einen direkten Draht zum Management. Das Angebot richtet sich an KMU, Behörden und international tätige Unterneh men. Über 500.000 User in Unternehmen aller Größenordnungen und Branchen profitieren von der internationalen Ausrichtung von H&S. Sie schätzen die Lösungskompetenz des Unternehmens für den weltweiten, länderübergreifenden und unabhängi gen Einsatz. Die H&S Gruppe hat Ihren Hauptsitz in Wien mit einer Niederlassung in Nürnberg. dazu hier: Mehr Microsoft 365 Add-ons SPECIAL_6/2022 Microsoft 365 45 Wie inPoint TOA eine effiziente Microsoft Teams Datenarchivierung unterstützt Cloudnative AnwendunginPoint TOA ist eine serverlose MS Azure-Lösung, die in Azure geboren und auf Basis hochmoderner Microsoft Technologien entwickelt wurde. So lässt sie sich nahtlos in Microsoft Teams integrieren. Hohe Flexibilität eingebautinPoint TOA bietet ﬂexible Ressourcenzuweisung und Kostenmanage-ment mit einfachem Pay-as-you-go-Preismodell sowie ein zentrales Admin-Portal zur Verwaltung aller Teams-Archive. Konnektivität und einheitliche ArchivierunginPoint TOA unterstützt den Export von Teams-Daten nach Azure File Share, OneDrive for Business und SharePoint Online sowie die Ablage und Archivierung in digitale CRM-/ERP-/ECM-/DMS-Akten, zur revi-sionssicheren Langzeitarchivierung. Mehr dazu hier: Microsoft Teams – Archivieren, exportieren und wiederherstellen Zugriff auch ohne TeamsSollte der Service von MS Teams nicht zur Verfügung stehen, ermöglicht inPoint TOA durch einen periodischen Export dennoch den Zugriff auf archivierte Dateien und Chat-Verläufe. Diese Exporte können auch auf Systeme außerhalb der Microsoft-Welt ausgelagert werden, um ein alternatives Backup zur Verfügung zu stellen.Für welche Einsatzbereiche inPoint TOA die ideale Lösung istinPoint TOA ist ein sehr mächtiges Tool zur Journalarchivierung der ge-samten MS Teams-Kommunikation. Darüber hinaus leistet inPoint TOA in weiteren Anwendungsfällen wertvolle Dienste, so etwa bei der einfachen und schnellen Verwertbarkeit von Teams-Daten, bei der sinnvollen Ver-knüpfung von Teams- und Kundendaten, sowie als Ergänzung zur klassi-schen Datensicherung: Journalarchivierung der gesamten MS-Teams-Kommunikation -Erfassen und Archivieren der gesamten internen und externen Kommunikation und Dateien -Einhaltung der Archivierungspﬂicht mit inPoint oder anderen DMS-Systemen Sinn und Ordnung in MS Teams bringen -Exportieren und Archivieren abgeschlossener Projekte -MS Teams von veralteten Daten befreien und gegebenenfalls in ein kostengünstiges, externes System sicher auslagern (etwa um gesetzliche Vorschriften einzuhalten) MS Teams-Kommunikation sinnvoll mit Kundendaten verknüpfen -Erfassen und Verbinden kundenbezogener Kommunikation mit dem eigenen CRM/ECM/DMS -Nutzen von eDiscovery-Funktionen zur Suche und Verwaltung von MS Teams-DatenIhr Ansprechpartner:Stephan Gehling, MBALeiter BCS & Microsoft Expertestephan.gehling@hs-soft.comTel. +49 9122 87227-352

. m o c . e b o d a k c o t s - f f o k n e d o r o G © Verantwortliche für IT-Sicherheit direkt erreichen ▪ Newsletter ▪ Content- Marketing ▪ Webinare & Webkonferenzen Schreiben Sie uns: wolfgang.scharf@datakontext.com www.itsicherheit-online.com | www.kes.info

Mobile Apps speichern viele persönliche Informationen wie Fotos, Aufnahmen, Notizen, Zahlungs- und Kontodaten oder Standortdaten. Entsprechend wird erwartet, dass mobile Anwendungen und Dienste diese Informationen sicher aufbewahren, schützen und verantwortungsvoll verarbeiten. Die Geräte- und Betriebssystemhersteller stellen dazu viele innovative Technologien bereit, die kombiniert mit bewährten Methoden und effizienten Werkzeugen leistungsstarke Schutzmaßnahmen bilden können. Doch welche Schutzmaßnahmen sollen oder müssen Entwickler für welche Risiken umsetzen? Orientierung dafür bietet eine zehn Punkte umfassende Liste mit häufigen Risiken, die OWASP (Open Web Application Security Project) Mobile Top 10. 48 IT-SICHERHEIT_6/2022 Anwendungen und Dienste für Smartphones und Tablets stellen andere Sicherheitsanforderun-gen an die Entwickler als bei PCs – nicht nur, weil sie kleiner sind und leichter verloren gehen können. Diese Geräte nutzen andere Sicherheits-konzepte und gehen anders mit Berechtigun-gen um. Hinzu kommen die vielen Kanäle und Technologien, über die mobile Geräte kom-munizieren wie Bluetooth, SMS, E-Mail, USB, NFC, Kamera und Spracheingabe. Ein solches Sicherheitskonzept für Daten und Apps be-trachtet daher vier Schichten: die Hardware, das Betriebssystem (OS), die Plattform-API und die eigentlichen Apps, um deren Sicherheit es geht.ANGRIFFSTECHNIKENDie Bauform und der hohe Grad an Konnektivi-tät eines Smartphones verändert auch die Art und Weise der möglichen Angriffe und deren Folgen. Wird ein Smartphone über einen Denial-of-Service-Angriff daran gehindert, einen Notruf abzusetzen, kann gegebenenfalls der Hersteller des mobilen Geräts rechtlich haftbar gemacht werden. Mobile Geräte sind aufgrund des klei-neren Displays für Spooﬁng anfälliger, wenn wichtige Inhalte vom Angreifer außerhalb des sichtbaren Bereichs dargestellt oder mit ande-ren Inhalten verdeckt werden. Per „überkleb-tem“ QR-Code sind schon mobile Nutzer zum Öffnen einer bösartigen Webseite verführt wor-den, welche anschließend Schadcode nachgela-den hat. Über einen Jailbreak bei Apple-Geräten beziehungsweise über Rooten bei Android-Ge-räten können sich technisch versierte Angreifer Administrationsrechte aneignen, um dann eine beliebige Software auszuführen und auf Daten zuzugreifen.VIER SCHICHTEN MÜSSEN ANALYSIERT WERDENAuf der Hardware-Ebene bieten alle modernen mobilen Geräte eine Vollverschlüsselung und einen geschützten Bootloader. Beide schützen vor Manipulation an der Hardware und an den Speicherinhalten, sodass nur ein unverfälschtes Betriebssystem beim Gerätestart geladen wird.Dieses Betriebssystem stellt eine Sandbox bereit, in der die Apps isoliert und geschützt ablaufen, um Manipulationen am Gesamtsys-tem entgegenzuwirken. Die weiteren Aufgaben des OS sind die sichere Kommunikation mit den verschiedenen Netzen sowie die Benutzerer-kennung mittels PIN oder Fingerabdruck oder Gesichtserkennung.Zusammen mit dem OS stellt das Application Programing Interface (API) die Laufzeitumge-bung für die Apps zur Verfügung. Auf dieser Ebe-ne tauschen Apps Daten untereinander aus wie Bilder und Dokumente, aber auch Inhalte über die Zwischenablage. Über entsprechende Anrufe können Apps auf die Kamera und das Mikrofon zugreifen oder den Standort abfragen. Dabei werden in dieser Schicht die Rechte und Berech-tigungen der mobilen Apps durchgesetzt und im Zweifel der Nutzer gefragt.Die vierte Schicht beinhaltet die Apps und alles, was diese Apps verarbeiten: Nutzerdaten, Pass-wörter, andere Zugänge und generierte Logfiles. Diese Schicht steuert zudem die persönlichen Datenschutzeinstellungen bezüglich Reichwei-tenmessung oder Nutzerstatistiken und die Anbindung von Cloud-Diensten. Letzteres kann direkt über APIs der Cloud-Dienste oder indirekt, beispielsweise durch Backups in die Geräteher-steller-Cloud, erfolgen.Je weiter unten in Richtung Hardware die Schwachstelle angesiedelt ist, umso verheeren-der ist meist die Auswirkung für den mobilen Nutzer und für alle Apps und Daten auf dem mo-bilen Gerät. So kann eine Schwachstelle im Boot-loader schnell das gesamte Gerät gefährden, in-dem Angreifer beispielsweise auf dieser Schicht einen Jailbreak durchführen, um anschließend Schadsoftware zu installieren.TOP 10 DER MOBILEN RISIKEN NACH DER OWASP-LISTEDie Anordnung dieser Top-10-Liste der Risiken ist durch eine Umfrage ermittelt worden. Aus der Reihenfolge sollte aber nicht auf die Relevanz einzelner Risiken geschlossen werden. Entwick-ler erhalten durch die Liste die Chance, aus den Fehlern anderer Entwickler zu lernen und über ENDPOINT | MOBILE SECURITY

ENDPOINT | MOBILE SECURITY DR. DENNIS FELSCH, Senior Cyber Security Consultant bei Materna IT-SICHERHEIT_6/2022 49 direkt am Router oder durch Umleiten der Daten an ihre Adresse an die Rohdaten. TLS ist ressour-censchonend und die entsprechenden Zertiﬁka-te sind kostenlos erhältlich. Es gibt somit keine Rechtfertigung, auf TLS zu verzichten. Allerdings müssen die Zertiﬁkate beim Verbindungsaufbau sorgfältig geprüft werden.Unsichere Datenspeicher für Angreifer immer interessanterMit der stetigen Zunahme der Speicherkapazität in Smartphones und Tablets werden die darin gehaltenen Daten auch für die Angreifer immer interessanter. Das Risiko M2 für Insecure Data Storage gewinnt damit auch für Entwickler im-mer mehr an Bedeutung. Nach einem Diebstahl des Geräts oder während einer Sicherheitskon-trolle am Flughafen soll der Nutzer sich keine Sorgen um seine Daten machen müssen. Die Plattform-APIs der mobilen Betriebssysteme bieten dafür ausgeklügelte Mechanismen, die die Daten verschlüsseln und zur Entschlüsselung die PIN oder den Fingerabdruck beziehungswei-se einen Gesichtsscan erfordern.Falsche Nutzung der Plattform befördert Sicherheitsprobleme M1 für Improper Platform Usage, last but not least, beschreibt Sicherheitsprobleme, die sich aus Un- oder Missverständnis der Plattform-funktionen ergeben können. Die Bandbreite die-ser Schwachstellen ist groß. Sie reicht von Apps mit zu vielen Berechtigungen über eine Bild-schirmtastatur, die ungewollt Passwörter und Antworten auf Sicherheitsfragen lernt, bis hin zu Injection-Angriffen, mit denen Apps ferngesteu-ert werden. Manche Injection-Angriffe gehen so weit, dass über UI-Redressing den Nutzern gefälschte Oberﬂächen und Knöpfe unterscho-ben werden, die ungewollte Anrufe zu teuren Premium-Rufnummern auslösen. nFalschen Nutzeranmeldungen und unberechtigten Zugriffen vorbeugen M6 steht für Insecure Authorization und M4 für Insecure Authentication. Dabei meint Autori-sierung die Vergabe einer Berechtigung und Authentisierung die Identifikation eines Nutzers. Beides kann unsicher umgesetzt sein, was aber meist weniger Apps, sondern vielmehr API-Endpunkte auf Servern betrifft. Ist die Autori-sierungs-Prüflogik nicht genügend abgesichert, besteht die Gefahr, dass Angreifer ohne Berech-tigung auf Funktionen und Daten zugreifen. Schwachstellen innerhalb der Authentisierungs-Prüflogik können Angreifer dafür verwenden, um Apps ebenso wie API-Endpunkten eine fal-sche Identität vorzutäuschen.Transport Layer Security (TLS) kommt in diesem Zusammenhang eine wichtige Rolle zu. Es darf bei keiner Authentisierung und Autorisierung fehlen. Ein Allheilmittel ist TLS dennoch nicht, wie zahlreiche Angriffe auf Single-Sign-on-(SSO-)Protokolle beweisen. Außerdem verhin-dert TLS nicht, dass Angreifer Zugangsdaten über Phishing erbeuten.Offene Geheimnisse durch inkorrekt genutzte Kryptografie-VerfahrenAuch nicht korrekt genutzte Kryptografie-Ver-fahren, M5 Insufﬁcient Cryptography, können gefährliche Einfallstore für Angreifer bilden. Sie entstehen durch den Einsatz veralteter und da-mit unsicherer Algorithmen, aber auch dadurch, dass die Eigenschaften von Algorithmen erwar-tet werden, für die diese nicht entwickelt wor-den sind. Mittels solcher Schwachstellen können Angreifer Daten einzusehen und abgreifen oder sich Zugänge verschaffen. Dass solche Schwach-stellen in der Nutzung von Kryptografie eher die Regel als die Ausnahme sind, verdeutlicht eine Analyse von rund 10.000 Apps im Jahr 2018. Da-nach wiesen 95 Prozent dieser Apps keine voll-ständig korrekte Nutzung von kryptografischen Schnittstellen auf.Netzverbindungen über TLS beziehungsweise HTTPS nicht hinreichend abgesichertM3 für Insecure Communication adressiert das Risiko, dass Entwickler den Netzwerk-Datenver-kehr nicht oder unzureichend über TLS respek-tive HTTPS absichern. In diesen Fällen gelan-gen Angreifer durch passives Belauschen eines WLANs, durch Abgreifen des Datenverkehrs diesen Lernprozess das Gesamtniveau an Sicher-heit und den Reifegrad des Security-Konzepts zu erhöhen.Vergessene Funktionen als potenzielle EinfallstoreM10 für Extraneous Functionality adressiert Funktionen im Programmcode, die Entwickler vergessen haben, nach der Nutzung in der Ent-wicklungsphase zu entfernen. Typische Beispiele sind versteckte Administrations-Schnittstellen und Funktionen zur Vereinfachung von Soft-waretests, beispielsweise für das Deaktivieren einer ansonsten verpﬂichtenden Zwei-Faktor-Anmeldung.Reverse EngineeringM9 zur Rekonstruktion des Quellcodes zur In-formationsgewinnung und M8 für böswillige Code-Veränderung sind eng verwandt. Im ersten Schritt analysieren Angreifer den Maschinen-code einer App oder einer der anderen Schichten, um diesen Code nachvollziehen zu können. Im zweiten Schritt setzen Angreifer dieses Wissen für binäre Code-Veränderungen ein, um das Ver-halten von Apps zu modiﬁzieren oder zusätzliche Funktionen zu integrieren. Auf diese Weise kön-nen Angreifer Schadcode nachladen, Nutzerda-ten auslesen und Lizenzprüfungen umgehen. Manche Apps verfügen über eine Root- (Android) beziehungsweise Jailbreak-Erkennung (Apple), was ihren Start auf derart modiﬁzierten Geräten unterbinden soll. Für Android-Geräte offeriert Google die SafetyNet API als Teil der Google-Play-Dienste. Mit ihr können Apps die Integrität des Geräts prüfen. Aber weder eine Root- noch eine Jailbreak-Erkennung noch SafetyNet API können bösartige Code-Veränderungen vollstän-dig unterbinden.Mindere Codequalität als ManipulationsobjektM7 für Client Code Quality dreht sich um schlech-te Programmierpraktiken oder Speicherkorrup-tionsfehler. Wenn Angreifer diese ausnutzen, können sie bösartigen Code einschleusen und so Daten auslesen oder Apps beziehungsweise das Betriebssystem unter ihre Kontrolle bringen. Diese Fehler lauern oft nicht nur im eigenen Code des Entwicklers, sondern auch in ver-wendeter Drittsoftware wie Frameworks oder Bibliotheken in minderer Qualität. Bestimmte Programmiersprachen, die anfällig für Speicher-korruptionsfehler sind, erhöhen zusätzlich die Gefahr für Entwickler, solch einen Fehler verse-hentlich einzubauen.

CYBERSICHERHEIT Security Awareness und Dark Web Monitoring als Schutzschild WIE SICH DIE GRÖSSTEN BEDROHUNGEN FÜR DIE IT-SICHERHEIT „ZÄHMEN“ LASSEN Der aktuelle BSI-Lagebericht 2022 zeigt, dass sich die bereits zuvor angespannte Lage in der IT-Sicherheit weiter zugespitzt hat. Die Top-3-Bedrohungen für die Wirtschaft und die kritische Infrastruktur sind moderne Ransomware-Attacken, Advanced Persistent Threats (kurz APT-Angriffe) sowie Schwachstellen durch offene oder falsch konfigurierte Server. Wie können sich Unternehmen, Staat und Verwaltung gegen Cyberangriffe wehren? Das Einfallstor Mensch spielt eine zent- rale Rolle und sollte über moderne Security-Awareness-Kampagnen inklusive Phishing-Simulationen geschlossen werden. Durch Dark Web Monitoring besteht die Möglichkeit, den Angreifern einen Schritt voraus zu sein. G ründe für die starke Bedrohung sind erhöhte Aktivitäten in der Cyberkriminalität, Cyber- angriffe im Kontext des russischen Angriffs auf die Ukraine aber auch Schwachstellen in der IT oder Software-Produkten. Die Angreifer agieren meist aus einer Gruppe von Spezia- listen und bringen modernste Techniken zum Einsatz, um Zugriff auf die Netzwerke zu er- langen und verweilen dort sehr lange. Für die betroffenen Unternehmen oder Einrichtungen entstehen oft schwerwiegende Schäden. Da- bei wird meistens Lösegeld erpresst, was den Betrieb oft über Wochen beeinträchtigt oder gar unterbricht. Häuﬁg muss die komplette IT-Infrastruktur mit Hardware und Software neu aufgesetzt werden. Auch die Kosten des 50 IT-SICHERHEIT_6/2022 Managements der Schadensbewältigung, der IT-Forensik, der Rechtsberatung, mögliche Ver- tragsstrafen, Bußgelder und Reputationskosten sowie Verlust von Stammkunden müssen be- trachtet werden. Die Kosten gehen sehr häuﬁg in einen zweistelligen prozentualen Bereich im Vergleich zum Umsatz und sind für das Un- ternehmen existenziell. Oftmals ist Unterneh- mern diese gravierende Bedrohung gar nicht bewusst. Cyberkriminelle monetarisieren die gesamte Verweildauer von durchschnittlich sechs Mo- naten im Netzwerk ihres Opfers. Das heißt: Die Angreifer bewegen sich sechs Monate im Netz- werk des betroffenen Unternehmens, bevor es bemerkt wird. Während dieser Zeit wird die Datensicherung gestört oder manipuliert, es werden die „digita- len Kronjuwelen“ gefunden, gestohlen und an den Wettbewerber verkauft. Die Kommunika- tion wird analysiert und es werden Benutzer- namen und Passwörter der Mitarbeitenden ge- sammelt. Der VPN-Zugang zum Netzwerk wird im Darknet an andere Hacker verkauft. Erst ganz zum Schluss werden alle Server und Computer verschlüsselt, mit der Veröffentlichung weiterer Daten gedroht und ein erhebliches Lösegeld verlangt. INFOS AUS DEM DARKNET Um eine Chance zu haben, sich zu schützen, ist es unabdingbar zu wissen, wie Angreifende Bild: Framestock - stock.adobe.com

vorgehen und auf Informationen aus dem Dark Web zugreifen. Im Dark Web lässt sich erkennen, wer mit welchen Mitteln angreift, und wie weit die Vorbereitungen gediehen sind. Cyberkrimi- nelle gehen sehr gezielt vor und suchen ihre An- griffsziele sehr genau aus, denn das Opfer muss sich den Angriff bei einer erfolgreichen Attacke auch leisten können. Cyberkriminelle untersuchen die Internet- Zugangspunkte des Unternehmens auf bekann- te Verwundbarkeiten. Oftmals zielen sie auf den Menschen ab, da er die geringste Hürde dar- stellt. Sie recherchieren, welche Mitarbeitenden im Unternehmen arbeiten und mit welchen The- men sie sich beschäftigen. Details über Personen werden vielfältig über Social-Media-Kanäle wie LinkedIn, XING oder Kununu in Erfahrung ge- bracht. Mit dieser Recherchearbeit können die Angreifenden zum Beispiel eine E-Mail mit dem richtigen Köder und einem Schadcode verfas- sen, um den Mitarbeitenden zum Öffnen der Anlage oder eines Links zu verleiten. Die dadurch entstandene Sicherheitslücke wird ausgenutzt, und die Malware wird installiert. Sofort funkt die Malware „nach Hause“, updatet sich andauernd, um vom Virenschutz nicht erkannt zu werden und lädt weitere Tools nach, um die gesamte Steuerung des Rechners und später des gesam- ten Netzwerks zu erlangen. Zum Glück gibt es viele Möglichkeiten, um zu verhindern, dass Cyberkriminelle Zugriff auf das Netzwerk erlangen. Zum einen ist es wichtig, dass die Internet- zugangspunkte gepatcht sind und keine be- kannten Schwachstellen aufweisen, welche die Angreifer ausnutzen können. Weiterhin ist es wichtig, die Security Aware- ness jedes einzelnen Mitarbeitenden zu erhö- hen. Die Mitarbeitenden müssen einen Angriff sicher erkennen, egal ob dieser per Phishing- E-Mail, per Telefon, QR-Code, USB-Stick oder sogar persönlich vor Ort oder unterwegs, in der Bahn, am Flughafen oder im Hotel statt- ﬁndet. Ein weiterer Punkt ist die Endpoint Protection, sprich die Antivirensoftware, auf den Rech- nern aktuell zu halten. Last but not least ist es sinnvoll, ein NDR, ein Network Detection and Response System, im Einsatz zu haben. Ein solches System ana- lysiert ständig den gesamten Netzverkehr und meldet Anomalien, die auf einen Hacker hinweisen. 85 Prozent aller erfolgreichen Cyberangriffe erfolgen über den Menschen und nicht über die Maschine. Aus diesem Grund ist es so wich- tig, dass Mitarbeitende Angriffe erkennen und sich richtig verhalten. Dies ist am besten durch moderne Security-Awareness-Trainings und An- griffssimulationen, wie zum Beispiel simulierte Phishing-Angriffe, erreichbar, bei denen der Mit- arbeitende am eigenen Leib eine Attacke erfährt. Informationen aus dem Dark Web können hilf- reiche Dienste leisten, um gezielte Maßnahmen für mehr Sicherheit einzuleiten. WAS MITARBEITENDE ZUR UNTERNEHMENSSICHER- HEIT BEITRAGEN KÖNNEN Um nicht als Einfallstor für Cyberkriminelle miss- braucht zu werden, ist es wichtig, dass Mitar- beitende sich der Bedrohung bewusst sind, und erkennen, wie sie angegriffen werden könnten. Einen wertvollen Beitrag leisten hier Videotrai- nings und Phishing-Simulationen, um einerseits Wissen zu vermitteln und zudem in simulierten Angriffssituationen das Verhalten entsprechend zu überdenken und anzupassen. Entscheidend dabei ist, dass die Mitarbeitenden ihre wichtige Rolle als „menschliche Firewall“ verstehen und die Relevanz der Trainings und Simulationen erkennen. Am besten ist es sicher- lich, den Trainingsbedarf jedes einzelnen Mit- arbeitenden initial mittels eines Assessments festzustellen und nur die jeweils relevanten Bereiche mittels drei- bis fünfminütigen Video- trainings zu schulen. Das hat den Vorteil, dass niemand über- oder unterfordert wird. Die Ak- zeptanz der Trainings ist somit bei den Mitarbei- tenden sehr hoch. Darauf aufbauend können noch rollenbasierte Trainings verteilt werden. Weiterhin empﬁehlt es sich, mindestens 12- oder besser 24-mal im Jahr simulierte Attacken durchzuführen. Diese Attacken werden im Verlauf immer ausgefeil- ter und münden bei vielen sehr exponierten Mitarbeitern sogar in speziell für sie recher- chierten Spear-Phishing-Angriffen. Während der Kampagnenlaufzeit wird das Phishing und Trainingsverhalten einzelner Gruppen analysiert und bedarfsgerecht angepasst. Die Phishing-An- fälligkeit reduziert sich bereits in den ersten drei Monaten über die Hälfte und sinkt kontinuierlich im fortschreitenden Kampagnenverlauf. CYBERSICHERHEIT WIE SICH DAS SICHER- HEITSLEVEL DER BELEGSCHAFT GREIFBAR MACHEN LÄSST Es gibt einschlägige Kennzahlen, die das Sicher- heitslevel der Belegschaft greifbar machen kön- nen. So zum Beispiel der Risk Score, der aus der Phishing-Anfälligkeit des Mitarbeitenden, der Bewertung der Position, einer persönlichen Ein- schätzung des Mitarbeitenden, der Sichtbarkeit seiner Daten aus Leaks im Darknet und mehr berechnet wird. Eine professionelle Security- Awareness-Kampagne sollte jederzeit Kennzah- len ausweisen können, um das Sicherheitsrisiko einschätzen zu können. Am Anfang einer Kam- pagne ist der Risk Score in der Regel noch relativ hoch und reduziert sich während der Laufzeit der Kampagne nachweislich. Dabei ist es wichtig, die Anonymität jedes Ein- zelnen zu wahren und den Betriebsrat bei der Durchführung von Security Awareness-Maß- nahmen einzubeziehen. Die Anonymität jedes einzelnen Mitarbeitenden bleibt sichergestellt, indem rein über Gruppen agiert wird. Es sollten keine Informationen preisgegeben werden, wer gephisht wurde, wer welchen Risk Score hat, oder wie der Einzelne im Training abgeschnitten hat. Über Gruppen lassen sich ebenso wertvol- le Schlüsse ziehen, sodass keiner irgendwelche Repressalien zu befürchten hat. Betriebsräte sehen Security-Awareness-Trainings in der Regel sehr positiv. Zu lange fand eine schnelle Digitalisierung auf dem Rücken der Mitarbeitenden statt, und viele fühlen sich überrollt und nicht mitgenommen. Bei modernen Security-Awareness-Trainings steht der einzelne Mitarbeitende im Mittel- punkt, und er wird dort abgeholt, wo sein Wis- sen über Informationssicherheit aufhört. Als kleinen Zusatzbonus erhält der Mitarbeitende wertvolle Informationen, wie er sich und seine Familie auch privat schützen kann. n NICOLAS LEISER, Geschäftsführer bei Cyber Samurai GmbH IT-SICHERHEIT_6/2022 51

CYBERSICHERHEIT Warum sichere Passwörter in der neuen Arbeitswelt Priorität haben sollten RAUS AUS DEM BERMUDA-DREIECK DER CYBER- BEDROHUNGEN Mit der Einführung flexibler Arbeitsformen haben die Gefahren für die Unternehmenssicherheit deutlich zugenommen. Die Herausforderung: Die IT muss die Kontrolle behalten und es den Anwendern gleichzeitig möglichst einfach machen, sich sicher zu verhalten. In fünf Schritten können Unternehmen diesen Spagat meistern. Anders als oft missverstandene Botschaften anklingen lassen, sind starke Passwörter hier keineswegs out, sondern elementarer Bestandteil einer Mehrfaktor-Authentifizierung. 52 IT-SICHERHEIT_6/2022

Die ist in den vergangenen Jahren deutlich flexibler geworden – nicht zuletzt als Folgeerscheinung der Corona-Pandemie. Diese Flexibilität führt in Kombination mit nur allzu menschlichen Schwä- chen jedoch dazu, dass die Zahl der Cyberan- griffe auch in diesem Jahr weiter zunimmt. 2021 verzeichnete die Polizeiliche Kriminalstatistik für Cybercrime einen Anstieg von mehr als zwölf Prozent gegenüber dem Vorjahr [1]. Insgesamt wurden bundesweit 146.363 Fälle registriert. Die Dunkelziffer dürfte allerdings deutlich höher sein. In einer Studie von August 2021 hat auch der Bitkom die steigende Zahl der Cyberattacken the- matisiert [2]. Demnach waren im Schnitt fast neun von zehn Unternehmen betroffen. Das Home- office spielt dabei eine bedeutende Rolle: 59 Pro- zent der Befragten führen mindestens einen ihrer IT-Sicherheitsfälle, die seit Beginn der Corona- Pandemie in ihrem Unternehmen aufgetreten sind, auf die Arbeit im Homeoffice zurück. Und bei 24 Prozent der Firmen kommen Sicherheitspro- bleme dieser Art sogar häufiger vor. Aber nicht nur durch den Homeoffice-Trend werden die IT-Landschaften immer komplexer: Bring Your Own Device, Cloud, Internet of Things sowie insgesamt mehr Nutzer, Dienste und Ge- räte schaffen neue Angriffsflächen für Hacker. In einer „Work from Anywhere“-Welt muss die IT einen einfachen Zugang zu Unternehmensres- sourcen schaffen und gleichzeitig die Risiken von Cyberattacken minimieren. Mit diesen Schritten gehen Unternehmen in eine sichere Zukunft – raus aus dem Bermuda-Drei- eck der Cyberbedrohungen: Mehr Sicherheitsbewusstsein erzeugen Das Thema Security muss fest in der Unterneh- menskultur verankert sein. Wenn allen Mitar- beitenden bewusst ist, welche Gefahren von kri- minellen Hackern ausgehen und welche Schritte und Tools es zu ihrer Bekämpfung gibt, sinkt das Risiko eines Angriffs. So lässt sich erreichen, dass sich jeder Einzelne umsichtig verhält und keine Sicherheitspannen aus Leichtsinn verursacht. Für sichere Passwörter sorgen Einer der wirksamsten Schritte für mehr IT-Si- cherheit ist ein starkes Passwort-Management. Noch immer gehören Kennwörter zu den größ- ten Sicherheitslücken in Unternehmen. Viele Nutzer verwenden dasselbe, oft auch noch unsi- chere Passwort für verschiedene Anwendungen. Vor allem die unsterblichen Klassiker „123456“, „qwertz“ oder „Passwort“ erfreuen sich noch immer großer Beliebtheit. Abhilfe schafft ein Business-Passwort-Manager. Hier muss sich der Nutzer anstelle von verschie- denen Kennwörtern nur noch ein starkes Mas- terpasswort merken. Damit kann er auf seinen Tresor zugreifen, in dem alle Kennwörter ver- waltet werden. Auf diese Weise können Mitar- beitende per Zufall generierte, sichere Passwör- ter für jedes ihrer Konten vergeben, ohne den Überblick zu verlieren. Single Sign-On und Multi-Faktor- Authentifizierung nutzen Single Sign-On (SSO) reduziert die Anzahl der Passwörter, die Beschäftigte erstellen, sich merken und verwalten müssen. Die SSO-Tech- nologie verbindet Mitarbeitende sicher mit den Business-Anwendungen, die ihnen zugewie- sen wurden – ohne, dass sie ein extra Passwort eingeben müssen. In Kombination mit einem Passwortmanager können Unternehmen damit die vollständige Kontrolle über Kennwörter und Benutzerzugriff erreichen. Bei der Multi-Faktor-Authentifizierung (MFA) müssen sich die Nutzer zusätzlich zum Passwort über einen Einmal-Code oder biometrische Da- ten wie einen Fingerabdruck verifizieren. Erst nach Eingabe des zweiten Faktors wird der An- meldevorgang in Gang gesetzt. Sichere VPN schaffen 45 Prozent der IT-Verantwortlichen gaben in einer Studie von GoTo (ehemals LogMeIn) von 2021 an, dass sich Mitarbeitende zu Hause auf ungesicherte WLAN-Netzwerke verlassen müs- sen [3]. Mit einem VPN können Unternehmen ihr Unternehmensnetzwerk absichern. Die einfache Nutzung, ein einziger Zugangspunkt und eine sichere Datenübertragung bieten zwar viele Vor- teile, sie erhöhen aber auch das Risiko, Cyberan- griffen zum Opfer zu fallen. Um sich Zugang zu sensiblen Daten im Unter- nehmensnetzwerk zu verschaffen, benötigt der Hacker nur einen Satz gestohlener Log-in-Daten oder einen durch Malware kompromittierten Computer. Der Einsatz von MFA bietet die Mög- lichkeit, auch das VPN abzusichern: Unberechtigte Personen erhalten keinen Zugang zum Netzwerk. Sicherheit als fortlaufenden Prozess begreifen Hacker werden immer neue Wege finden, Si- cherheitsmaßnahmen zu umgehen. Daher ist es CYBERSICHERHEIT unerlässlich, den Schutz kontinuierlich weiterzu- entwickeln. IT-Sicherheit ist nicht als statischer Zustand, sondern als fortlaufender Prozess zu verstehen. Nur dann können Unternehmen Ha- ckern immer einen Schritt voraus sein. Viele Firmen müssen Unmengen an Vorfalls- daten, fehlerhaften oder doppelten Datensät- zen und Malware-Mustern über Tausende von Protokollen bewältigen. In Zukunft werden vor allem künstliche Intelligenz und maschinelles Lernen eine größere Rolle spielen, um kriminelle Muster in großen Datenmengen schnell und zu- verlässig zu erkennen und frühzeitig Warnungen anzuzeigen. FAZIT So wie bei einem Autounfall zuerst die Stoßstan- ge das Hindernis trifft, ist auch der Anwender meist das Einfallstor für Sicherheitsangriffe. Und genauso wenig, wie die Stoßstange selbst unsicher ist, sind die Anwender das Problem. Vielmehr müssen die Unternehmen ihre Mitar- beitenden beim Thema Cybersicherheit unter- stützen. Damit die entsprechenden Maßnah- men auf Zustimmung stoßen, sollten sie leicht in den Arbeitsalltag integrierbar sein. Darüber hinaus sollten die eingesetzten Tools den Zugriff auf relevante Programme von jedem Ort und von den eigenen Geräten ermöglichen. Auch die passwortlose Authentifizierung hilft, die Zugangshürden für Nutzer bei gleichbleibender Sicherheit zu senken. n Quellen [1] https://www.bka.de/DE/Presse/Listenseite_ Pressemitteilungen/2022/Presse2022/220509_PM_ CybercrimeBLB.html [2] https://www.bitkom.org/sites/default/ﬁles/2021-08/bitkom- slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf [3] https://www.logmein.com/de/newsroom/press-release/2021/ logmein-study-shows-cyber-threats-productivity-concerns- and-pressure-on-it-support-drives-consolidation-of-remote- access-support-solutions-as-ﬂexible-work-becomes-business- as-usua PETER VAN ZEIST, Principal Solutions Consultant bei LastPass IT-SICHERHEIT_6/2022 53 Bild: David - stock.adobe.com

Damit die medizinische Versorgung weiterhin flächendeckend gewährleistet werden kann und den explodierenden Kosten Einhalt geboten wird, muss ein Gesundheitswesen der Zukunft auf digitalen Technologien basieren. Die Kritikalität der entsprechenden Health-Services ruft IT-Sicherheit auf den Plan – die Sensibilität der im Gesundheits- wesen verarbeiteten Daten den Datenschutz. Ein zukunftsfähiges Gesundheitswesen braucht einen stringenten Rechtsrahmen, eine moderne cloudbasierte Telematikinfra- struktur, die je nach Sicherheitsbedarf in verschiedenen Modellen umgesetzt werden kann, einen restriktiven Umgang mit globalen Public-Cloud-Providern, eine besonders gesicherte, leistungsstarke Forschungsdateninfrastruktur – etwa zur Optimierung von KI-Fähigkeiten, sichere Gesundheitsanwendungen und einiges mehr. Hier ein Ausblick. Der demografische Wandel ist für viele Länder eine zentrale He- rausforderung des 21. Jahrhun- derts. Gerade in den jeweiligen Gesundheitssek- toren fehlen mehr und mehr akademische und medizinisch-helfende Fachkräfte in mehreren Teilbereichen des Gesundheitssektors. Durch die gestiegene Lebenserwartung und eine dadurch einhergehende stetig alternde Bevölkerung stei- gen die Kosten im Gesundheitswesen von Jahr zu Jahr rasant an. 54 IT-SICHERHEIT_6/2022 Ein modernes, digitales Gesundheitswesen schafft kostensparende Vorsorge-, Diagnostik- und Be- handlungsmöglichkeiten. Darüber hinaus erleich- tert es die Kommunikation zwischen den Akteuren erheblich. Mittels Gesundheitsapplikationen kann die Gesundheitsversorgung jedes Einzelnen bes- ser gesteuert werden. Telemedizin erlaubt eine direkte medizinische Versorgung der Patienten, egal wo diese sich gerade aufhalten. Maschinelles Lernen als Teilbereich der künstlichen Intelligenz erschließt künftig Zusammenhänge auf Basis von unstrukturierten Beispieldaten zu Forschungs- zwecken und zur Analyse. Dies ermöglicht, et- waige Krankheiten oder Vorfälle wie Diabetes, Adipositas, Schlaganfall, Krebs und vieles mehr im Vorfeld zu identifizieren. Überdies kann künstliche Intelligenz auch die Versorgung der Patienten nachhaltig verbessern. Um diese Ziele erreichen zu können, müssen Forschungsdatenbanken, welche die benötig- te Menge an Daten sammeln, in die Cloud- AUS FORSCHUNG UND TECHNIKCloud-Infrastrukturen für ein sicheres GesundheitswesenTELEMATIK-INFRASTRUKTUR 2.0

haben im Vergleich zu Deutschland denselben Sicherheitsstandard. Nach den Ergänzungen im HITECH ähnelt dieses Gesetz der EU-DS-GVO und ermöglicht einen umfassenden Datenschutz im amerikanischen Gesundheitssektor. Ergänzend wurden von der Food and Drug Ad- ministration im Jahre 2022 ein aktualisierter Leit- faden zur Gewährleistung der Cybersicherheit von medizinischen Geräten verabschiedet. Ähn- lich dem europäischen MDR müssen demnach Spezifikationen und Maßnahmen zur Cybersi- cherheit umgesetzt werden. Den Leitfaden gab es schon länger – wegen mehrerer Cybersicher- heitsvorfälle in Krankenhausnetzwerken war jedoch eine Anpassung notwendig geworden. Da die gesamten Richtlinien und Bestimmun- gen für das Gesundheitswesen in den USA in nur wenigen Gesetzen geregelt sind, zeigen diese sich außerordentlich unübersichtlich. Aufgrund zahlreicher Überschneidungen wird der HIPAA zu einem schwer verständlichen und kaum zu überblickendem Gesetzeswerk.[1] Unternehmun- gen im amerikanischen Gesundheitssektor er- fordern daher begleitend einen Rechtsbeistand, um Konformität zu erreichen. DIE ZENTRALE KOMPONEN- TE: CLOUD COMPUTING Die Cloud-Architektur kann je nach Sicherheits- bedarf in verschiedenen Bereitstellungsmodel- len umgesetzt werden. Eines dieser Modelle ist die Public Cloud, die der Allgemeinheit zur Verfü- gung steht. Die Alternative dazu ist das Private- Cloud-Modell. Es steht nicht der Allgemeinheit zur Verfügung, sondern nur ausgewählten Be- nutzern innerhalb der entsprechenden Organisa- tion. Die Cloud Services und die IT-Infrastruktur werden auf firmeneigenen Rechenzentren gehostet und befinden sich daher im eigenen Intranet. Zur Kostenreduktion kann das Hosting kann auch auf einen Dienstleister ausgelagert werden, der entsprechend abgeschottete Berei- che anbietet. Die Hybrid Cloud kombiniert die beiden Bereit- stellungskonzepte Public und Private Cloud. Hierbei sollen die Vorteile der jeweiligen Kon- zepte genutzt: Die Datenhaltung wird inner- halb des Unternehmensnetzwerkes organisiert, während über Webapplikationen der öffentli- chen Cloud die Zugangsberechtigten weltweit und jederzeit Zugriff auf die Daten haben. Die Vorteile sind Kosteneffizienz, Skalierbarkeit und Flexibilität bei geringstmöglichem Datenrisiko. IT-SICHERHEIT_6/2022 55 Bild: natali_mis - stock.adobe.comAUS FORSCHUNG UND TECHNIKdas „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“ (E-Health-Gesetz), das strenge Anforderungen an den Aufbau der Infrastruktur des Gesund-heitssektors vorschreibt und die Einführung von digitalen Gesundheitsanwendungen überwacht. Ein weiteres Gesetz ist die Digitale-Gesund-heitsanwendungen-Verordnung (DiGAV), das digitale Anwendungen unter anderem auf die Einhaltung von Sicherheitsanforderungen prüft. Im Jahre 2021 wurde es durch das Digitale-Ver-sorgung-und-Pﬂege-Modernisierungs-Gesetz (DVPMG) ergänzt. Es schreibt eine digitale Mo-dernisierung der Versorgung und Pﬂege vor und überwacht den vorgeschriebenen gesetzlichen Datenschutz.Damit die Interoperabilität im Gesundheitswe-sen gewährleistet wird, wurde die Gesundheits-IT-Interoperabilitäts-Governance-Verordnung (GIGV) ratiﬁziert. Dabei gibt es Überschneidun-gen mit weiteren Gesetzen, wie zum Beispiel dem Sozialgesetzbuch. Auf europäischer Ebene existiert zudem die europäische Medizinpro-dukte Verordnung (Medical Device Regulation (MDR)). Da sie innerhalb der Europäischen Union novelliert wurde, muss sie nicht in nationales Recht umgesetzt werden. Die Verordnung stellt Anforderungen an die Hersteller von Medizin-produkten, die der Qualität und Rückverfolgung der Medizinprodukte dienen. Dazu gehört unter anderem die MDR-konforme Dokumentati-on des User Interfaces, von Risikoanalysen und Produktspeziﬁkationen. Darüber hinaus müssen Zertiﬁkate vom Hersteller bereitgestellt werden. Künftig dürfen Gerätezulassungen in Europa nur erfolgen, wenn Konformität mit der Verordnung besteht.Der Kriterienkatalog C5 (Cloud Computing Com-pliance Criteria Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik (BSI), spezi-ﬁziert die Mindestanforderungen an den Betrieb der zentralen Komponente Cloud Computing.Ein stringenter Rechtsrahmen mit wenigen übergeordneten Gesetzen und vielen juristi-schen Speziﬁkationen für die einzelnen Teilbe-reiche der Infrastruktur Gesundheitswesen ist somit übersichtlich, ﬂächendeckend und da-durch absolut zielführend. Dadurch erleichtern sie Unternehmen den Einstieg in den jeweili-gen Geschäftszweig. Die genannten Vorschrif-ten und Gesetze in den USA sind beispielsweise kompakt in den Gesetzen HIPAA und HITECH verortet. Die Anforderungen an die IT-Sicherheit Infrastruktur eingebunden werden. Denkbar sind auch telemedizinische Netzwerke zur un-mittelbaren Notfallversorgung in Echtzeit, bei-spielsweise bei einem Schlaganfall. Wearables, die Vitalfunktionen zur Lebenserhaltung oder Fernüberwachung beziehungsweise -Steuerung augenblicklich zu übermitteln, wären Teil die-ser Infrastruktur. Möglich ist ein automatischer Informationsaustausch zwischen Maschine und Rechenzentrum oder eine Kommunikati-on der Endgeräte mit einer zentralen Leitstelle als Kontrollinstanz. Gesundheitsapplikationen zur Abrechnung, zur Gesundheitsvorsorge, als elektronisches Rezept oder als Dashboard zum Informationserhalt sind in diesem Gesundheits-netzwerk im Hinblick auf seine Wirtschaftlich-keit unabdingbar.EIN STRINGENTER RECHTSRAHMEN ALS GRUNDLAGEDie Bewahrung der Datenschutzziele ruft einen Rechtsrahmen auf den Plan, der alle Teilbereiche der Cloud-Infrastruktur abdeckt und damit für die Digitalisierung verbindliche Mindestanfor-derungen und Meldepﬂichten in der kritischen Infrastruktur festlegt. Zugleich muss der Rechts-rahmen auch die höchstmögliche Verfügbar-keit der digitalen Health-Services fördern. Die Voraussetzungen für die Umsetzung dieser Anforderungen gelten in Deutschland und in der Europäischen Union als vorbildlich. In Deutsch-land beispielsweise legt das IT-Sicherheitsgesetz einen Standard für die kritische Infrastruktur (KRITIS) fest, zu der neben Energie, Transport, Wasser und Telekommunikation auch der Ge-sundheitssektor gehört. Dieser Mindeststandard schreibt zum Beispiel den Einsatz von Kompo-nenten zur Angriffs- und Anomalieerkennung, die Nutzung sicherer Protokolle zur Datenüber-tragung und vieles mehr vor.Darüber hinaus unterliegen Sicherheitsvorfälle einer Meldepﬂicht, die bei Unterlassung erheb-liche Geldbußen nach sich ziehen. Analog dazu erfolgten Rechtsänderungen im Telekommuni-kations- und Telemediengesetz zur Steigerung der Informationssicherheit im Internet. Die Ver-arbeitung personenbezogener Daten wird inner-halb der Europäischen Union länderübergreifend in der Europäischen Datenschutz-Grundverord-nung (EU-DS-GVO) und für nationale Rege-lungen im Bundesdatenschutzgesetz (BDSG) geregelt. Explizit für den Gesundheitssektor wurden weitere Gesetze erlassen. Dazu gehört

-Regel macht auch Geschäftspartner von betroﬀenen -Anbieter. Gesetzgebung im amerikanischen Gesundheitssektor (Quelle: ifis) 56 IT-SICHERHEIT_6/2022 Eine weitere Möglichkeit der Implementierung ist die Multi-Cloud-Architektur. Der Unterschied zur hybriden Cloud ist die Vielzahl an Cloud-Mo-dellen gleichen Typs. Die Multi-Cloud löst zum Beispiel Abhängigkeiten von einzelnen Cloud-An-bietern auf. Auch die separate Nutzung verschie-dener Infrastruktur-Modelle ist dadurch möglich: Während in einer Cloud Webapplikationen im Software-as-a-Service-(SaaS-)Modell entwickelt und getestet werden, können parallel in der an-deren Cloud im Infrastruktur-as-a-Service-(IaaS-)Modell die Daten verarbeitet werden. Entste-hende Arbeitslast kann aufgeteilt werden. Durch verteilte Backups wird einem möglichen Failover vorgebeugt, die räumliche Nähe zum Provider verbessert die Performance. Die Nachbarschaft zu regionalen Providern garantiert zudem die Anwendung der nationalen Rechtsprechung.Eine Community Cloud ist ein Zusammen-schluss, bei dem mehrere Organisationen einer bestimmten Branche sich die gleichen Rechen-zentren, IT-Infrastruktur und dieselben Anwen-dungen teilen. Sie fassen ihre eigenen privaten Clouds zu einer Community-Cloud zusammen. Der Zutritt ist nur für Teilnehmer möglich. Es entsteht eine Interessengemeinschaft, die sich vertraut und den Datenschutz und die Sicher-heit der privaten Cloud genießt. Die Möglich-keit, sie bei einem Cloud Service Provider zu realisieren, besteht ebenfalls. Dort kann sie von den teilnehmenden Organisationen selbst, oder von einem externen Managed-Service-Provider (MSP) betrieben werden. Durch die gemeinsame Nutzung der verschiedenen Infrastrukturen und Anwendungen kommt es zu einer effektiven Verwendung der Ressourcen. Dies führt zu einer allgemeinen Kostenreduzierung.CLOUD SERVICE PROVIDER ALS VERMIETER FÜR DEN GESUNDHEITSSEKTORDie größten Public Cloud Service Provider (CSPs) wie zum Beispiel Amazon (AWS), Google oder Microsoft haben das ﬁnanzielle Potenzial des Gesundheitssektors bereits seit Längerem er-kannt. AWS for Health, Google und Microsoft HealthCare bieten Dienste wie die elektroni-sche Patientenakte für Kunden an, die dort ihre gesamten Gesundheitsdaten speichern können. Je nach Kundenwunsch kann sie für Ärzte, Kran-kenhäuser etc. freigegeben werden. Darüber hinaus stehen Dienste für Telemedizin, künstli-cher Intelligenz zur Diagnoseunterstützung und Dashboards zur Betriebsverwaltung und vieles mehr bereit. Diese bereits vorhandenen Cloud-Infrastrukturen zu nutzen, birgt aber erhebliche Gefahren. Vor allem bei der Nutzung der Dienste würde sich ein Gesundheitswesen zu stark von AUS FORSCHUNG UND TECHNIKeinem Provider abhängig machen. Häuﬁg nut-zen die einzelnen Provider proprietäre Forma-te und Schnittstellen, die nicht kompatibel mit anderen Anbietern sind. Dies führt dazu, dass die Portabilität einer Infrastruktur auf eine andere Plattform nicht ohne erhebliche Portierungs- und Integrationsprobleme möglich ist – wenn überhaupt. Die Folge wäre eine nicht akzepta-ble Abhängigkeit von einem einzigen Anbieter (Vendor-Lock-in Effekt). Weiterhin betreiben Drittanbieter von Providern ihre Rechenzentren meist außerhalb der Europä-ischen Union. Das Gleiche gilt auch für die Cloud Provider, deren zahlreiche Serverlandschaften in einem internationalen Umfeld angesiedelt sind. Datenschutz, Informationspﬂichten, Insolven-zrecht, Haftung oder Informationszugriff für Dritte bewertet die Judikative in verschiedenen Ländern anders. Die Mehrzahl der Serverland-schaften großer CSPs beﬁndet sich beispielswei-se in den USA. Nach der Europäischen Daten-schutz-Grundverordnung (EU-DS-GVO), dürfen dorthin keine Personendaten übertragen wer-den. Der sogenannte Patriot Act aus dem Jahre 2001 erlaubt es US-Behörden, auf Rechenzentren amerikanischer Provider sowohl im In- als auch im Ausland zuzugreifen und alle Daten, auch die von europäischen Unternehmen und Personen, zu transferieren. Ein Abkommen zwischen der Europäischen Union und den USA vom Jahre 2016 wurde vier Jahre später im Schrems-II-Urteil vom Europäischen Gerichtshof wieder gekippt. Das EU-US Privacy Shield entsprach nicht dem geforderten Sicherheitsniveau der DS-GVO. Trotz der beschriebenen Unwägbarkeiten hat das Oberlandesgericht Karlsruhe am 7. September 2022 in einem Beschluss den Ausschluss von Tochterﬁrmen der US-Cloud-Anbieter bei Ver-gabeverfahren wieder aufgehoben. Bindende Zusagen der Provider, Daten ausschließlich in Deutschland zu verarbeiten, reichen dabei als Zusicherung aus. Als Begründung wurden die Vorschriften zur Ende-zu-Ende Verschlüsselung und Pseudonymisierung herangezogen.AUFBAU EINER FORSCHUNGSDATEN-INFRASTRUKTUR FÜR EIN ZUKUNFTSFÄHIGES GESUNDHEITSWESENDamit zukünftige Fragestellungen im medizini-schen Bereich unter Zuhilfenahme der künst-lichen Intelligenz schneller gelöst werden, ist RuleBreach Notiﬁcation RuleSecurity RulePrivacy RuleEnforcement RuleOmnibus RuleGesetzHIPAAPart 160 und Part 164; Subparts A und CPart 160 und Part 164; Subparts A und EPart 160; Subparts C, D und EPart 164; § 164, 400 - 414HITECHGegenstandNationale Standards zum Schutz persönlicher elektronischer Gesundheitsdaten. Angemessene administrative, physische und technische Schutzmaßnahmen.DatenschutzDurchsetzungsrechte und -pﬂichten der staatlichen BehördenMeldepﬂichten bei ZwischenfällenÄnderung des HIPAA als Teil des HITECH Acts im Jahre 2013. Die OmnibusEinrichtungen für Verstöße haftbar wie z.B. CloudPromotion of Health Information TechnologySubtitle A; Part 1Verbesserung der Qualität, Sicherheit und Eﬃzienz der Gesundheitsversorgung, wie z.B., die Nutzung einer elektronischen Patientenakte und E-RezeptenPrivacySubtitle D; Part 1Verbesserte Datenschutzbestimmungen und Sicherheitsbestimmungen (ähnlich der DSGVO), Meldepﬂichten (u. a. Gesundheitsministerium, Medien)Administration Requirements RulePart 162; Subparts D,F und IStandard Gesundheitskennung für Gesundheitsdienstleister Standard Arbeitgeberkennung Allgemeine Bestimmungen für Transaktionen

IT-SICHERHEIT_6/2022 57 es unerlässlich, große Mengen an Anamnese-, Diagnose- und Prognosedaten zu sammeln. Auch die Sammlung genetischer Daten wird dis-kutiert. Diese Datenerhebungen können helfen, Krankheitsbilder und deren Ursache schneller zu erkennen. Aussagen über den Krankheitsver-lauf oder mögliche Folgeerkrankungen könnten frühzeitig getroffen werden. Behandlungen, die aufwendig und dadurch kostspielig sind, könn-ten bei jedem Patienten individuell und schneller angepasst werden. Mit zunehmender Kennt-nis über individuelle Unterschiede der Patien-ten könnten gezielte und effektive Therapien frühzeitig und unter Vermeidung belastender Nebenwirkungen angewendet werden.Damit in Zukunft in Deutschland eine zentrale Wissensbank mit Datenbeständen zur Verfü-gung steht, gründeten sich vier Konsortien, die im Rahmen der Medizininformatik-Initiative des Bundesministeriums für Bildung und Forschung gefördert werden. Die Konsortien sind ein Ver-bund von Forschungseinrichtungen, Hochschu-len, Unternehmen und Krankenhäusern mit dem Auftrag, Forschungs- und Patientendaten zu sammeln. Diese werden in Datenintegrations-zentren zentral am jeweiligen Sitz verarbeitet und untereinander ausgetauscht. Im wissenschaftlichen Kontext regelt die DS-GVO den Umgang mit diesen sensiblen Ge-sundheitsdaten. Darüber hinaus gestattet das EU-Unionsrecht den Nationalstaaten im Hinblick auf die Verarbeitung von wissenschaftlichen, historischen oder statistischen Forschungszwe-cken eigene Rechtsprechungen. Beispielsweise erlaubt es die Verarbeitung von Daten zu For-schungszwecken, wenn dies im öffentlichen In-teresse liegt. Der Passus der zweckgebundenen Verarbeitung ist nicht immer möglich, da For-schungsziele gerade im medizinischen Bereich oft nicht von Anbeginn festgelegt werden kön-nen. Eine erweiterte Formulierung des Zwecks ist zwar möglich, bedarf aber einer Einwilligung der Betroffenen. Ebenso wird das Gebot der Da-tenminimierung konterkariert, da Forschungs-vorhaben im Bereich KI und ML auf umfangrei-che Forschungsdaten angewiesen sind. Zudem unterliegen sie nicht dem Recht auf Vergessen. Dieses Sonderrecht ermöglicht es, diese Daten über das Forschungsvorhaben hinaus und auf unbestimmte Zeit zu speichern. Obwohl die DS-GVO und das BDSG Forschungsvorhaben an vielen Stellen privilegieren, verpﬂichten sie die Datenverarbeiter auch zu geeigneten Garanti-en für die betroffenen Personen. Dazu gehören vor allem technische und organisatorische Maßnahmen (TOM). Hierzu zählt die Zugangs-, Zugriffs-, Trennungs-, Verfügbarkeits- und Weiterverarbeitungskontrolle. Weitere Kriteri-en sind das Gebot der Pseudonymisierung und Anonymisierung, ein Reaktionsplan bei Sicher-heitsverletzungen sowie datenschutzfreund-liche Voreinstellungen, die das Widerrufsrecht für die Verarbeitung personenbezogener Daten vereinfachen.[2]SICHERE GESUNDHEITSAN-WENDUNGEN ALS TEIL DER CLOUD-INFRASTRUKTURWesentlicher Bestandteil eines modernen di-gitalen Gesundheitswesen sind entsprechende Anwendungen. Gerade mobile Anwendungen tragen dazu bei, die Bereiche Vorbeugung, Dia-gnose, Überwachung und Therapie entschei-dend voranzubringen. Auch innerhalb der Verwaltung können mobile Anwendungen die Abläufe erheblich vereinfachen. Diese Aspek-te tragen dazu bei, dass der gesamte Gesund-heitssektor efﬁzienter und kostensparender operieren kann. Die Problematik ist jedoch, dass die Anwendungen in wichtigen Geschäftspro-zessen in der kritischen Cloud-Infrastruktur des Gesundheitswesens implementiert werden. Eine Vielzahl von Angriffsvektoren zielt direkt auf Sicherheitslücken in den Anwendungen, um sich Zugang zu Daten und Systemen zu ver-schaffen. Mittlerweile gelten sie als die größten Bedrohungen gegen IT-Systeme. Von Vorteil ist es daher, wenn die Entwicklung und das Test-verfahren bereits in geschlossenen Containern innerhalb der Cloud abläuft. Dadurch verlässt die Software bis zur Veröffentlichung nicht das sichere Umfeld der Cloud.Die einfache und schnelle Bereitstellung von Apps im Cloud-Umfeld hat dazu geführt, dass überwiegend Microservice-Architekturen um-gesetzt werden. Der Vorteil der Microservices ist ihre Isolierung gegenüber anderen Services und die Verwendung unterschiedlicher Technologi-en, Programmiersprachen und Datenbanken. Der gesamte Softwarecode, der übersichtlich und klein gehalten wird, ist vor unerwünschten Zugriffspfaden durch zeilenweise Inspektion der Software geschützt. Durch die Separierung in verschiedenen Container wird die Anwendung zudem ausfallsicher. Darüber hinaus wurde ein Designansatz im IT-Umfeld entwickelt, der die Sicherheit der Software über den kompletten Lebenszyklus betrachtet: „Security by Design“ reicht dabei von der Phase der Ideenﬁndung bis zum Lebensende einer Software. Der Vorteil hier ist ein deutlich reduziertes Risiko für Schwach-stellen in der Anwendungssoftware.Die Transparenz aller unternommenen Schritte senkt auch die Wahrscheinlichkeit, Opfer eines Angriffs zu werden. Im Lebenszyklus einer An-wendung können verschiedene Prozesse und Maßnahmen zur Software-Sicherheit getroffen werden. Zu Beginn sollten alle betroffenen Ge-setze und Richtlinien für Anwendungen im Ge-sundheitswesen zum Schutz der Informations-sicherheit betrachtet werden. Ein wichtiges und verpﬂichtendes Werkzeug in Deutschland sind beispielsweise die Sicherheitskonzepte nach dem IT-Grundschutz. Von der O-WASP Foundati-on wird das Software Assurance Maturity Model (SAMM) zur Verfügung gestellt. Es ist ein Soft-waresicherheitsmodell, das eine effektive und messbare Möglichkeit bietet, die Sicherheitslage rund um die Anwendung zu analysieren und zu verbessern. Dieses Modell wurde im Auftrag der Gematik bei einer 360-Grad-Sicherheitsanalyse genutzt, um verschiedene Dienste der Telema-tikinfrastruktur zu bewerten. Weitere Maßnah-men sind die Anwendung von Design-Prinzi-pien, Programmiermuster, die Durchführung einer Bedrohungsanalyse und vieles mehr. Das Security-by-Design-Konzept ist ein kontinuierli-cher Prozess und endet erst mit dem End-of-Life einer Anwendung und der damit verbundenen Außerbetriebnahme.[3]DEZENTRALE DATENVER-ARBEITUNG AM RANDE DER CLOUD-INFRASTRUKTURIn einer künftigen IT-Infrastruktur im Gesund-heitswesen könnte es zwingend nötig sein, dass Daten in Echtzeit verarbeitet werden müs-sen. Das gilt zum Beispiel für Wearables, die Vitalfunktionen erfassen und zur Lebenserhal-tung oder Fernüberwachung beziehungsweise -steuerung auswerten. Um diese Herausforde-rung zu meistern, besteht die Möglichkeit, die Rechenleistung an den Rand des Netzwerkes zu verlagern, möglichst nahe an den Ort, wo die Daten erhoben werden. Mittels Mikrocontrollern am Endgerät oder kleinen Rechenzentren vor Ort ﬁndet die Datenverarbeitung statt.Ein weiteres Modell ist der Aufbau eines Re-chenzentrums in unmittelbarer Nähe zu den Edge-Geräten. Diese Rechenzentren verarbei-ten meistens die Daten mehrerer Sensoren aus AUS FORSCHUNG UND TECHNIK

Darstellung der Verarbeitung von Daten am Rand der IT-Infrastruktur (Quelle ifis) Darstellung der Telematikinfrastruktur (Quelle: ifis) 58 IT-SICHERHEIT_6/2022 einer Region. Diese beiden Modelle nennen sich Edge- und Fog-Computing. Entfernen sich die Serverlandschaften von der Kern-IT, etabliert sich eine Zwischenebene zwischen dem physischen Gerät und der zentralen Cloud. Dadurch wird die Kern-IT besser isoliert und ist weniger von Cybe-rangriffen bedroht. Das Verbleiben der Daten auf dem Endgerät erleichtert zudem, Compliance-Regelungen zu erfüllen. Kleinere Standorte verar-beiten weitaus weniger Daten als eine Haupt-niederlassung, benötigen jedoch die gleichen Sicherheitsmaßnahmen. Zu den Kosten für die Informationssicherheit und die physische Sicher-heit kommt auch der höhere Wartungs- und Ad-ministrationsaufwand hinzu. Weiterhin entste-hen durch viele Endgeräte am Rand des Netzes weitere Angriffspunkte in der IT-Infrastruktur.Künftig könnte zur Übertragung zu den jeweili-gen Layern der Mobilfunk Standard 5G genutzt werden, der ein Network Slicing ermöglicht. Über einen Funkmast stehen diverse Netzwer-ke zur Verfügung, die einen Netzwerkausfall verhindern. Einige Netze sind für eine große Bandbreite und optimierte Latenz ausgelegt, andere wiederum unterstützen sicherheits-kritische Übertragungen mit zusätzlicher Ver-schlüsselung. Diese Möglichkeit schafft nicht nur eine Auswahl für die jeweiligen Anforde-rungen, sondern auch Netzredundanz. Der Stan-dard zur Verschlüsselung der Kommunikation ist im 5G-Netz das TLS-1.3-Protokoll. Dadurch werden Integrität und Vertraulichkeit der Da-ten geschützt. Darüber hinaus unterstützt 5G auch VPN. Software und Router sind für diese Technologie bereits verfügbar. Im 5G-Netz wird zudem die Teilnehmernummer – International Mobile Subscriber Identity (IMSI) – verschlüsselt übertragen. Dadurch bleiben Gesundheitsdaten völlig anonym und der Datenschutz entspre-chend gewährleistet.[4]AUS FORSCHUNG UND TECHNIKDIE UMSETZUNG VON CLOUD-INFRASTRUK-TUREN IM DEUTSCHEN GESUNDHEITSWESENDie Gematik GmbH ist die Dachorganisation der Telematikinfrastruktur (TI). Sie soll übergrei-fende IT-Standards für den Aufbau und den Betrieb einer IT-Infrastruktur im Gesundheits-wesen entwickeln. Das Bundesministerium für Cloud-LayerFog-LayerEdge-LayerEdge-GeräteÜbertragungFog-NodesGatewayMicrocontrollerServerTelematikinfrastruktur (TI)Dezentrale SystemeZentrale TelematikinfrastrukturLE UmgebungPKI…...eGK PKICMSBestandssysteme KrankenkassenVSDDUFSVPN-ZugangsdiensteIntermediär VSDMZentrale DiensteZeitdienstNamens-dienstFachdiensteZertiﬁzierte Cloud-Anbieter Speichern der ePADezentrale Komponenten der TIFachmodul VSDMKonnektorSMC-BHBAFM VSDMMobiles TerminalKartenterminaleGKPrimärsystem

-On Workflow zwischen Service Provider und Identitätsprovider mit Single Sign-on (Quelle: ifis) IT-SICHERHEIT_6/2022 59 Gesundheit hält seit einer Gesetzesänderung im Jahre 2019 51 Prozent der Anteile. Auf Basis des Sozialgesetzbuchs wurde die Gematik verpﬂich-tet, technische und organisatorische Verfahren zu erarbeiten. Sie steuert außerdem den Betrieb der Telematikinfrastruktur, Test und Zulassung der Dienste und Komponenten und reguliert die technischen Speziﬁkationen der erforderlichen Hardware, Software und Datenformate. Dazu wurde der zentrale Verzeichnisdienst Vesta ver-wirklicht, der die technischen und semantischen Standards gewährleistet. Die Interoperabilität zwischen den Komponenten und Anwendun-gen bleibt dadurch erhalten. Die verschiede-nen Berechtigungskarten enthalten digitale Schlüssel und Zertiﬁkate sowie die persönli-chen Daten. Der digitale Schlüssel ist dabei die digitale Identität des Versicherten in der TI. Die Zertiﬁkate ermöglichen dem Inhaber den Zutritt zur Telematikinfrastruktur.Der Trust Service Provider (TSP) X.509-nonQES gehört zur Public-Key-Infrastruktur der Telema-tik und erstellt die Zertiﬁkate für die Leistungs-erbringer zur Authentisierung. Darüber hinaus validiert er diese und führt eine Sperrliste für Zertiﬁkate (Certiﬁcate Revocation List, CRL), deren Schlüsselmaterial kompromittiert wurde, deren Zertiﬁkatsdaten ungültig sind oder die beim Verlassen der PKI-Organisation erloschen sind. Der TI-Konnektor ist das zentrale Gerät für den sicheren Zugang in das Netz der TI. Die gesamten Komponenten sind hinsichtlich ihrer IT-Sicherheit zuvor vom BSI geprüft und zertiﬁziert worden. Der Konnektor arbeitet ähnlich einem Router auf einem sehr hohen Sicherheitsniveau. Er baut ein virtuelles privates Netzwerk (VPN) zur TI auf. Für alle Ereignisse, die vom Konnektor an das Primärsystem gesendet werden, nutzt er das eigene Protokoll CETP (Connector Event Transport Protocol). Dieses leichtgewichtige, proprietäre Protokoll verlangt ein Abonnieren bestimmter Er-eignistypen durch das Primärsystem. So können beispielsweise Ereignisse gezielt abonniert wer-den, sodass nur einzelne Arbeitsplätze die Infor-mationen erhalten. Dies erhöht den Datenschutz innerhalb der Arztpraxis enorm.Das Fachmodul VSDM-Konnektor baut bei-spielsweise eine Verbindung zum Versicher-tenstammdatenverzeichnis der Telematikinfra-struktur auf. Das E-Health-Modul ermöglicht das Speichern und Auslesen des Notfall- und Medikationsplans. Darüber hinaus wird das elektronische Senden und Empfangen der Arzt-briefe ermöglicht. Eine zusätzliche Software kann auf dem Konnektor aufgespielt werden. Weiterhin ist eine Anbindung über den Konnek-tor an das sichere Netz der Krankenversicherer (SNK) gewährleistet. Das SNK ist in die TI mit eingebunden und ermöglicht den Krankenkas-sen in den Fachdiensten Update Flag Service (UFS), Kartenmanagementsystem (CMS) und Versichertenstammdatendienst (VSDD), die Da-ten zu aktualisieren. Beispielsweise können die Abrechnungen über das SNK online eingereicht werden.Das bestehende Konzept wurde bereits zu Be-ginn der 2000er-Jahre entwickelt. Das derzeiti-ge Konzept basiert auf Überlegungen und Vor-aussetzungen der damaligen Zeit. Die gesamte Technologie hat sich mittlerweile in Richtung Mobilität entwickelt, sodass der momentane Status eines abgeschotteten Netzes mit einem Zugang über Konnektoren nicht mehr zeitge-mäß ist. Datensilos, die nur für wenige Bereiche zugreifbar sind, sollen aufgelöst und mobile Patientenversorgung möglich gemacht wer-den. Gesundheitsanwendungen sollen dabei befähigt werden, untereinander und mit den Nutzern frei zu kommunizieren. Darüber hinaus können Videosprechstunden künftig auch per Smartphone erfolgen.AUS FORSCHUNG UND TECHNIKService Provider (SP)Benutzer mit Single SignIdentitätsprovider (IdP)Anfrage ZielressourceIdP identiﬁzierenUmleiten zum SSO-DienstAnfrage vom SSO-DienstBenutzeridentiﬁzierungAntwort mit XHTML TokenAssertion Anfrage an den SPUmleiten zur ZielressourceAnfrage neue RessourceAntwort mit neue RessourceBenutzer navigiert zu der AnwendungSP generiert SAML-Assertion und leitet diese an den IdP weiterBenutzer authentiﬁziert sich beim IdPIdP validiert TokenSignierte Assertion und Token werden vom IdP generiertToken wird über den Browser an den SP weitergeleitetSitzung wird initialisiertWeitere Ressourcenanforderung ohne Authentiﬁzierung

ZUSAMMENFASSUNG Es hat sich gezeigt, dass ein Rechtsrahmen mit übergeordneten Gesetzen für eine kritische Infrastruktur und Gesetzen, die darüber hinaus alle Teilbereiche der IT-Infrastruktur abdecken, im Hinblick auf IT-Sicherheit und Datenschutz eine sehr vielversprechende Strategie ist. Am Rande des Gesundheitsnetzwerkes werden künftig große Mengen Daten zur Überwachung und Betreuung verarbeitet und zu statistischen Zwecken weitergeleitet. Der 5G-Standard bie- tet unter dem Gesichtspunkt Ausfallsicherheit, Bandbreite, Anonymität und Sicherheit hierfür eine geeignete Technologie. Eine Wissensdaten- bank ist zentraler Bestandteil einer Infrastruktur Gesundheitswesen. Mittels künstlicher Intelligenz und maschinel- len Lernens können anhand großer Datenmen- gen künftig Krankheiten frühzeitig erkannt und behandelt werden. Für diese Forschungsdaten- bank hat der Gesetzgeber in Deutschland den Umgang mit diesen Daten bereits gesetzlich bestimmt. Gesundheitsanwendungen müs- sen entlang des Security-by-Design-Konzepts begleitet werden. Da sie oftmals das Einfallstor für Angriffe sind, ist ihre sichere Entwicklung im Cloud-Umfeld unerlässlich. Lediglich die Cloud- Forensik, zum Aufspüren von Sicherheitsvorfäl- len und zum Sammeln sowie Aufbewahren der Datenspuren, konnte in den letzten Jahren nicht mit der voranschreitenden Cloud-Technologie mithalten. Dennoch wird auch sie in Zukunft entscheidende Schritte nach vorn machen. Allen voran das National Institute of Standards and Technology entwickelt Werkzeuge, welche digi- tale Spuren in der Cloud aufspüren und sammeln können.[6] Eine durch Mobilität getriebene IT-Infrastruktur schraubt marginal die Sicherheit herab – durch den Verzicht auf ein geschlossenes Netzwerk mit wenigen Teilnehmern. Es sind jedoch alle Technologien vorhanden, damit auch diese Besonders für Mitarbeitende aus der Pflege sind mobile Einsatzszenarien eine mögliche effek- tive Alternative. Patienten können dann auch mobil auf die TI zugreifen. Mobile Messgerä- te speisen ihre Daten unmittelbar in die neue TI 2.0 ein und sind dadurch schneller verfügbar. Dieses neue Konzept soll bis 2025 umgesetzt werden. Die bisherige Organisation entspricht der Umsetzung einer Community-Cloud, bei der alle Krankenversicherer bei verschiedenen internationalen Providern eigene private Clouds abonniert haben. Einer dieser Provider ist IBM Deutschland. Aufgrund des beschriebenen Dritt- staatenproblems ist IBM Deutschland die frag- mentierte Datenhaltung außerhalb Deutsch- lands untersagt und das Verbot in den Service Level Agreements dokumentiert. Bei Verstößen drohen den zertifizierten Providern nicht nur SLA-Strafgebühren, aus der DS-GVO resultieren zudem zusätzliche, sehr erhebliche Geldbußen. IBM musste sich zudem einem komplexen Zerti- fizierungsprozess der Gematik unterziehen. Die Gewährleistung der Sicherheit und des Da- tenschutzes wird anstelle eines geschlossenen Netzes künftig durch einen Identitätsprovider (IdP) ersetzt. Dieser schränkt den Zugang auf die berechtigten Nutzer ein. Ein Identitätsprovider ist ein Dienst, der in einer Cloud gehostet wird und der mit einem Single Sign-on-(SSO-)Ver- fahren zusammenarbeiten kann. Die Kommu- nikation zwischen IdP und dem Service Provider erfolgt über Sicherheitsprotokolle, wie beispiels- weise SAML, OpenID oder OAuth.[5] Der Prinzi- pal muss nicht zwangsläufig ein menschlicher Benutzer sein. Auch Geräte, wie zum Beispiel Wearables, könnten via ID oder anderer Fakto- ren angemeldet und damit Teil der Infrastruktur werden. Anstelle von Zertifikaten kann die neue TI 2.0 auf andere Identitätsverfahren umgestellt werden. Manche künftige Bereiche der Cloud- Infrastruktur könnten auf Ausfallsicherheit an- gewiesen sein. Da dies für Zertifikate nicht gilt, sind diese beispielsweise auch in Kernkraftwer- ken und Chemieanlagen verboten. Literatur [1] C. Johner: „HIPAA in Kurzform“, Johner Institute, 2022 [2] M. Bäcker, S.Golla: „Handreichung Datenschutz“, BMBF, 2020 [3] I. Wigmore: „Security by Design“, TechTarget, 2022 [4] O. Schonschek – Mehr Bandbreite – mehr Datenschutz, Datenschutz Praxis, 2019 [5] N. Pohlmann: „Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigen-schaften von Cyber- Sicherheitssystemen in der Digitalisierung“, Springer-Vieweg Verlag, Wiesbaden 2022 [6] N. Pohlmann, D. Schwarzkopf: „Blick in die großen „Verstecke“ von Cyberkriminellen – Herausforderung für die digitale Forensik“, IT- Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag, 1/2021 60 IT-SICHERHEIT_6/2022 moderne Telematikinfrastruktur 2.0 geschützt werden kann. Die beschriebene TI 2.0 könnte ein Vorreiter für eine einheitliche europaweite Im- plementierung eines Gesundheitswesens wer- den. Dafür spricht die konsequente Berücksich- tigung aller Aspekte der Informationssicherheit unter Beachtung der Mobilitätskriterien. n DETLEF SCHWARZKOPF studiert im Master Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und beschäftigt sich im Rahmen des Studiums mit Cyber- Sicherheit in Cloud-Infrastrukturen. TOBIAS URBAN ist Postdoktorand im Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsen- kirchen und beschäftigt sich unter anderem mit der Sicherheit im Gesundheitswesen. NORBERT POHLMANN ist Professor für Cybersicherheit und Leiter des Instituts für Internet- Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundes- verbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverban- des – eco. AUS FORSCHUNG UND TECHNIK

Die ehemals vom Grundsatz her separierten Welten der Information Technology (IT) und Operational Technology (OT) wachsen im Zuge der Digitalisierung vermehrt zusammen. Doch was ist dabei aus Sicht der IT/IT-Sicherheit zu berücksichtigen und wem kann oder muss die letztendliche Verantwortung für eine durchgängige IT-Sicherheit des Unternehmens obliegen? Eine nicht ganz leicht zu klärende Aufgabenstellung – insbesondere mit Blick auf den Aspekt, dass die Schutzziele der beiden Unternehmensbereiche nicht einheitlich sind. 62 IT-SICHERHEIT_6/2022 AUS FORSCHUNG UND TECHNIKUnterschiedliche Schutzziele unter einem DachWARUM AUF LANGE SICHT IT DIE OT MANAGEN MUSS

Bei der IT hingegen werden in der Regel weder Produkte oder Lösungen von unterschiedlichen Herstellern eingesetzt – bevorzugt die in ihrem Sektor führenden Unternehmen. Hier ist eher das Problem, dass die genutzten IT-Systeme und -Infrastrukturen nicht sicher genug konzipiert, aufgebaut, konfiguriert und upgedatet sind, um den Angriffen intelligenter Hacker erfolgreich entgegenzuwirken. Ein Beleg dafür, dass die Softwarequalität noch nicht den Anforderungen genügt, wurde im aktuellen „Bericht zur Lage der IT-Sicherheit in Deutschland 2022“ vom Bun- desamt für Sicherheit in der Informationstechnik (BSI) aufgezeigt: Die bekannten Schwachstellen sind um zehn Prozent gestiegen. Doch auch der immer höhere Komplexitätsgrad der IT-Systeme und -Infrastrukturen sorgt für größere Angriffs- flächen. Konträr dazu konzipieren Cyberkriminel- le zunehmend ausgefeilte Methoden, organisie- ren sich in Ökosystemen und investieren einen Teil ihrer Gewinne in neue, immer intelligentere und automatisierte Angriffstools. Daraus resul- tiert nicht nur ein hohes Gefährdungspotenzial mit Blick auf die Büro-IT, sondern auch für die Produktionsumgebung, da Angreifer zumeist die IT als Einfallstor nutzen. PROBLEM ERKANNT: BASIS FÜR EINE GUTE VORGEHENSWEISE Bevor die Befugnisse und Aufgaben für die Ver- antwortlichen im Bereich IT und OT bezüglich der IT-Sicherheit festgelegt werden können, muss als wichtigste Maßnahme die gesamte An- griffsfläche – sowohl physisch als auch virtuell – des Unternehmens eruiert werden. In diesem Rahmen gilt es, die bestehenden Prozesse sowie die zu deren Schutz eingesetzten Maßnahmen zu beleuchten. Dazu gehört auch ein Asset-Ma- nagement zu etablieren, in dem die Kompo- nenten der Netzwerk-Topologie inklusive aller installierten Hard-/Software- und Firm ware- Versionen enthalten sind. Zur Erstellung dieses Profils ist es zudem notwendig, die Informati- onen bezüglich der Kommunikationsflüsse zu erheben. Als weiterer wichtiger Punkt muss das Daten-Management auf der Agenda stehen: Die Kategorisierung aller Daten im Unternehmen – also auch jener in der Produktion – ermöglicht, die sensiblen und unternehmenskritischen he- rauszufiltern. Da diese besonders schützenswert sind, ist es erforderlich, dass die Verantwortli- chen genaue Kenntnisse darüber haben. IT-SICHERHEIT_6/2022 63 Bild: elenabsl - stock.adobe.comAUS FORSCHUNG UND TECHNIKtragen werden, da für die adäquate Nutzung der Produktionsdaten zunehmend künstliche Intelli-genz (KI) zum Einsatz kommt und hierfür ausrei-chend leistungsstarke IT-Systeme zur Verfügung stehen müssen. HERAUSFORDERUNGEN BEZÜGLICH IT-SICHERHEIT BEI OT UND ITDie Herausforderungen in puncto IT/IT-Sicher-heit im Rahmen der OT unterscheiden sich gra-vierend von denen der IT. Die IT wandelt sich in zunehmend kürzeren Zyklen – diese liegen mo-mentan bei durchschnittlich drei Jahren – wo-durch es möglich ist, die IT-Sicherheitsmaßnah-men dynamisch anzupassen. Bei der OT ist eine solche Vorgehensweise nicht möglich. Denn Fakt ist hier, dass die IT-Sicherheit der Systeme in der Produktion originär bei der Entwicklung nicht im Vordergrund stand. Dadurch und bedingt durch die Tatsache, dass es in der Produktion Systeme mit einem extrem langen Lebenszyklus gibt – teilweise bis zu 25 Jahre – sowie der Tatsache, dass in Produktionsstraßen Maschinen von ver-schiedenen Herstellern zum Einsatz kommen und der Anlagenbestand unterschiedlich veraltet ist, muss aufgrund der zunehmenden Vernet-zung in der Produktionsumgebung ein Umden-ken erfolgen. Denn die Verbindung der IT mit der OT führte dazu, dass die ehemals isolierten Ma-schinen übergangslos angreifbar geworden sind.Da jedoch hinsichtlich der Schutzmaßnahmen keine Veränderung stattgefunden hat, ist der hierfür jetzt notwendige Aufwand zur Absiche-rung aus verschiedenen Gründen komplex. Die hohe Komplexität resultiert unter anderem da-raus, dass die Software der einzelnen Kompo-nenten zumeist proprietär ist. Dies stellt, ebenso wie die fehlende Interoperabilität im Hinblick auf den uneinheitlichen Anlagenbestand, ein nicht zu unterschätzendes Sicherheitsrisiko dar. Doch auch wenn Hersteller Software-Updates zur Ver-fügung stellen, so ist es nicht einfach möglich, den Vorgang automatisiert in den vorgegebenen Intervallen durchzuführen, denn dies erfordert eine Stilllegung der gesamten Produktionsanlage oder zumindest Teilen davon – was sich zumeist nicht ohne Weiteres realisieren lässt, da die Pro-duktionszyklen in der Regel auf einen Betrieb 24/7 an 365 Tagen ausgelegt sind. Von daher sind hier Konzepte erforderlich, mittels derer diesen Schwachpunkten entgegengewirkt werden kann. Während es bei der Sicher-heit der IT in erster Linie um den Schutz der Daten beziehungsweise der digitalen Werte eines Un-ternehmens geht, steht im Kontext der OT zur Erhaltung der Betriebskontinuität eine System-verfügbarkeit 24/7 an vorderster Stelle. Aufgrund der hohen Anzahl von Ransomware-Angriffen auf Fertigungsunternehmen – deren Schadens-ausmaß im vergangenen Jahr 22 Milliarden Euro betrug – ist es somit an der Zeit, die genannte Fragestellung genauer zu beleuchten. Ein Ansatzpunkt hierfür ist, detailliert zu be-trachten, wem im Rahmen der Digitalisierung welche Aufgabenstellung zuteilwird. Grund-sätzlich ist die Kernaufgabe der IT Agilität und Geschwindigkeit im Sinne der Geschäftsent-wicklung durch Flexibilität, Kostensenkung, Geschäftseinblick sowie IT-Sicherheit zu ge-währleisten. Im Gegensatz dazu liegt bei der OT traditionell der Schwerpunkt auf Efﬁzienz, Konsistenz, Kontinuität und (mittlerweile auch) IT-Sicherheit. Gemäß der Deﬁnition, dass „OT die produktionsnahe Steuerung aller operativen Abläufe von CPS (Cyber Physical Systems) in der smarten Fabrik umfasst“, müsste die notwen-dige Verantwortlichkeit dafür insgesamt – also auch der Schutz der OT – in den entsprechenden Fachbereichen Produktionsplanung und -steue-rung angesiedelt sein.Faktisch sind jedoch im Rahmen der Digitalisie-rung die Zuständigkeiten von IT und OT nicht mehr genau zu deﬁnieren, und dementspre-chend ist die ehemals klare Aufteilung nicht mehr evident. Das lässt sich anhand eines typi-schen Beispiels gut nachvollziehen: Maschinen und Anlagen sind sowohl zunehmend vernetzt als auch mit IT ausgestattet – etwa Sensoren, die permanent Produktionsdaten liefern. Diese sind nicht nur notwendig im Sinne der Prozess-optimierung, sondern liefern gleichzeitig auch Anhaltspunkte für neue und lohnende Ge-schäftsmodelle wie etwa die Bereitstellung von Services hinsichtlich einer optimierten Instand-haltung via Fernwartung. Von daher hat die Konnektivität zwischen IT und OT eine hohe Be-deutung. Deren Sicherstellung fällt teilweise in die Zuständigkeit der IT-Abteilung. Ebenfalls zu deren Aufgabenbereich gehört das Sammeln so-wie die Analyse und Auswertung der relevanten Daten, die am Rand der Produktionsnetzwerke – Stichwort Edge Computing – zusammenge-

nektivität zur OT auf das notwendige Minimum zu beschränken. Hierfür ist eine Abstimmung zwischen IT und OT unbedingt erforderlich, da nur dann die Initialisierung und Durchführung von Prozessen zur Absicherung der Produkti- onsnetzwerke reibungslos verläuft und Einigkeit über die Priorisierung von notwendigen Projek- ten hergestellt werden kann. Um zu vermeiden, dass insgesamt divergente Konzepte entstehen, die keinesfalls umfassend genug sind, um das erforderliche Schutzniveau zu gewährleisten, muss strategisch gesehen eine Instanz vorhanden sein, die alle Anforde- rungen aus der IT und OT zusammenführt, so- wie entsprechend überwacht. n SIEGFRIED MÜLLER ist VP Advanced Technologies bei der MB Connect Line GmbH, die in den Bereichen Fernwartung, Daten- erfassung und Industrial Security aktiv ist, und hat in einem internen Forschungsprojekt des Instituts für Internet-Sicherheit mitgewirkt. NORBERT POHLMANN ist Professor für Cybersicherheit und Leiter des Instituts für Internet- Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundes- verbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverban- des – eco. Basierend darauf gilt es, strategisch alle Schwach- stellen zu betrachten, um entsprechende IT- Sicherheitsmaßnahmen dagegen zu entwi- ckeln. Zum Beispiel, um möglichen Angriffen entgegenzuwirken: Einige neuralgische Punkte sind vom Ansatz her sowohl bei der IT als auch bei der OT gleich – etwa im Hinblick auf die Authentifizierung oder die Gewährung von Zu- griffsrechten. Natürlich ist die Organisation der Zugriffsrechte für viele Unternehmen eine große Herausforderung, da jedem Mitarbeiter der Zu- griff auf genau die Informationen und Systeme zur Verfügung gestellt werden muss, die er für seine Arbeit benötigt. Dies stellt insbesondere in der Produktion ein Problem dar, weil dort oft- mals keine Benutzerzuordnung vorgesehen ist – allein aus dem Grund, dass die Funktionalität höchste Priorität hat. Von daher werden entwe- der aufgrund der Komplexität, oder der Bequem- lichkeit sehr oft vielen Mitarbeitern in OT und IT zu umfangreiche Zugriffsrechte eingeräumt. Daneben ist es auch bei der Authentifizierung angebracht, über neue Konzepte nachzudenken, denn in beiden Unternehmensbereichen sind vorwiegend schlecht gehandhabte Passwörter im Einsatz. Überall wird dieser Schwachpunkt noch zu selten berücksichtigt. Mit Blick auf die Gegebenheiten in der Produktionsumgebung ist dies jedoch nachvollziehbar: Da es für die OT weder eine vollumfängliche Nutzerverwaltung gibt, noch ein übergreifendes Tool zum Mana- gen der Passwörter – aufgrund der Vielzahl an proprietären Systemen – werden oftmals die vorkonfigurierten Standard-Passwörter einfach übernommen. FAZIT Bei der Entscheidung bezüglich der Verantwort- lichkeiten für die durchgängige IT/IT-Sicherheit 64 IT-SICHERHEIT_6/2022 sind einige Punkte bedenkenswert. Zum Bei- spiel der Aspekt, ob in IT-Abteilungen ein ent- sprechendes Know-how bezüglich der Produk- te, etwa spezielle Firewalls, zur Absicherung von Produktions-Netzwerken und deren Eignung für den jeweiligen Einsatz des angefragten An- wendungszwecks tatsächlich vorhanden sein kann. Auch die Beschränkung der Zugriffsrechte gemäß dem Minimal-Prinzip – das bedeutet, den Zugriff auf Bediensysteme nur Mitarbeitern zu gewähren, die tatsächlich fachlich/disziplina- risch eine Berechtigung haben – ist nicht trivial und setzt entsprechende Kenntnisse voraus, da bestimmte Einschränkungen den Ablauf in der Produktion beeinträchtigen können. Des Weiteren sollte dem Umstand Rechnung getragen werden, dass eine Netzwerksegmen- tierung – die klassische Maßnahme mit un- mittelbar großer Auswirkung auf die IT und IT-Sicherheit – grundsätzlich auch von einem versierten OT-Spezialisten vorgenommen wer- den kann. Das ist allein schon unter dem Aspekt sinnvoll, dass dieser gleich die Implementierung der Produkte, die dezidiert zur Absicherung der Maschinen notwendig sind, initiieren kann. Um jedoch die hohen Anforderungen, die mitt- lerweile an die Absicherung von Unternehmen gestellt werden, zu meistern, müssen IT und OT unbedingt an einem Strang ziehen, Stärken aber auch Schwächen der jeweils anderen Abteilung kennen und permanent im Austausch bleiben, um gut operativ zusammenarbeiten zu können. Dies erfordert, dass der jeweilige Verantwor- tungsbereich bezüglich der IT/IT-Sicherheit klar definiert sowie die Zuständigkeiten eindeutig zugeordnet werden. Die Aufgaben der IT sind dabei grundsätzlich: zum einen alle Maßnah- men zu ergreifen, um Angriffsmöglichkeiten aus dem Internet zu minimieren, sowie die Kon- AUS FORSCHUNG UND TECHNIK

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT Warum sich Unternehmen jetzt unbedingt rechtlich fit machen sollten SCHADENSERSATZ NACH DER DS-GVO AUF DEN PUNKT GEBRACHT V iele Schadensersatzansprüche treten im Kon- text mit Datenschutzvorfällen auf. Beispiels- weise kann das (versehentliche) Versenden von Inhalten und Daten an falsche Adressaten oder das unbefugte Offenlegen von personenbezogenen Daten im Cloud-Kontext dazu führen, dass datenschutzrechtliche Meldepflichten an die betroffenen Personen ausgelöst werden. Auf diesem Weg erfahren Betroffene vom Vorfall und nehmen dies dann zum Anlass, Schadensersatzan- sprüche nach der DS-GVO geltend zu machen. Daneben sind auch nicht selten Fehler bei der Beantwortung von Auskunftsbegehren nach Art. 15 DS-GVO Auslöser für die Geltendmachung eines Schadensersatzanspruchs. WARUM DIE MASSENHAFTE GELTENDMACHUWNG VON SCHADENSERSATZANSPRÜCHEN SO RISKANT IST Risiken bergen vor allem die massenhafte Geltendma- chung von Schadensersatzansprüchen. Oftmals handelt es sich bei Schadensersatzansprüchen nach der DS-GVO um gleichgelagerte Sachverhalte. Über Landingpages ist es dann möglich, ein breites Publikum von Betroffenen aufzurufen, schnell und einfach ihre Rechte geltend zu machen. Rechtliche Bedenken können sich insoweit im Hinblick auf die Frage der Abtretbarkeit von immateriel- len Schadensersatzansprüchen ergeben. Hierzu werden verschiedene Ansichten vertreten, wobei vielfach von der Zulässigkeit entsprechender Forderungsabtretun- gen ausgegangen wird (vgl. zum Beispiel LG Essen, Urt. v. 23.9.2021, Az. 6 O 190/21), während andere diese wegen der ständigen deutschen Rechtsprechung zur Nichtab- tretbarkeit von Entschädigungsansprüchen wegen Per- sönlichkeitsrechtsverletzungen aufgrund des höchstper- sönlichen Charakters ablehnen. WO LIEGT DIE RECHTLICHE GRUND- LAGE FÜR SCHADENSERSATZAN- SPRÜCHE NACH DER DS-GVO? Die rechtliche Grundlage des datenschutzrechtlichen Schadensersatzanspruches ergibt sich aus Art. 82 DS- GVO. IT-SICHERHEIT_6/2022 65 Grafik: alekseiveprev - stock.adobe.comSchadensersatzansprüche im Datenschutz sind seit Geltung der Datenschutz-Grundverordnung (DS-GVO) ganz besonders in den Fokus von Unternehmen, aber auch medial in den Fokus der Öffent-lichkeit gerückt. Inzwischen bestehen aufgrund erster Erfahrungswerte sowie einer Vielzahl rechtskräfti-ger – leider sehr divergierender – Gerichtsentscheidungen wichtige Anhaltspunkte für die Praxis, wie Unternehmen mit Schadensersatzkonstellationen umgehen und wie sie sich gegebenenfalls dagegen verteidigen können. Zunehmend versuchen auch Legal-Tech-Unternehmen Geschäftsmodelle zur massenhaften Geltendmachung von DS-GVO-Ansprüchen zu etablieren. Einige der Fragestellungen, welche sich im Zusammenhang mit (immateriellen) Schadenersatzforderungen für Unternehmen stellen, greifen wir in diesem Beitrag auf und geben mögliche Anhaltspunkte zu ihrer Beantwortung.

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT Grundsätzlich sollten Unter- nehmen davon ausgehen, dass jeder Verstoß geeignet ist, eine Schadensersatz- pflicht auszulösen. Sehr oft sind Verstöße im Verhältnis zu Beschäftigten und damit im Bereich des Beschäf- tigtendatenschutzes zu verzeichnen. WAS SETZT EIN SCHADENS- ERSATZANSPRUCH NACH DER DS-GVO VORAUS? Art. 82 DS-GVO stellt einige Voraussetzungen für das Vorliegen eines Schadenersatzanspruchs auf. Insbeson- dere relevant sind die Folgenden: 1. ein Verstoß gegen die Verordnung oder daten- schutzrechtliche nationale Vorschriften, etwa das Bundesdatenschutzgesetz 2. ein materieller oder immaterieller Schaden einer natürlichen Person 3. die Kausalität: Verursachung des Schadens durch den Verstoß 4. die Beweislast, Verschulden und Haftungs- befreiung WARUM WERDEN SCHADENSER- SATZANSPRÜCHE ZURZEIT SO INTENSIV DISKUTIERT? Bei der Anwendung der Vorschrift in verschiedenen Ge- richtsverfahren vor deutschen Gerichten haben sich zu einzelnen Aspekten und Voraussetzungen unterschiedli- che Meinungen und Ansichten herauskristallisiert. Wäh- rend Arbeitsgerichte tendenziell eine großzügigere Linie verfolgen und häufiger Schadenersatzansprüche zu- sprechen, waren die ersten Entscheidungen von Amts-, Land- und Oberlandesgerichten diesbezüglich eher zu- rückhaltend. Durch unterschiedliche Rechtsprechung ist viel Rechtsunsicherheit für Unternehmen entstanden. 66 IT-SICHERHEIT_6/2022 WIE KANN EINE UNTERSCHIED- LICHE RECHTSPRECHUNG ÜBER- WUNDEN WERDEN? Um die unterschiedliche Auslegung einiger Tatbestands- merkmale von Art. 82 DS-GVO zu verhindern, wurden dem Europäischen Gerichtshof (EuGH) bereits einige Fragen von verschiedenen Gerichten vorgelegt. Dem EuGH kommt gem. Art. 267 des Vertrags über die Ar- beitsweise der Europäischen Union (AEUV) die Aufga- be zu, die Rechtsakte der Europäischen Union, wo- runter auch die DS-GVO fällt, auszulegen. Seitens des EuGH werden nun Entscheidungen zu verschiedenen Voraussetzungen des Schadensersatzanspruchs und wie diese zu verstehen sind, erwartet. Darunter findet sich beispielsweise eine Vorlagefrage des AG München (Beschluss v. 3.3.2022, Az. 132 C 1263/21) insbesonde- re zu Fragen nach dem Verständnis des Charakters des Schadensersatzanspruches nach Art. 82 DS-GVO. Auch das Bundesarbeitsgericht hat mit einem Beschluss vom 26.8.2021 (Az. 8 AZR 253/20) Fragen vorgelegt, die unter anderem die Streitigkeit um eine Verschuldens- oder Gefährdungshaftung betreffen. Die Entscheidungen ste- hen aktuell noch aus. Allseits wird eine baldige Klärung durch den EuGH erhofft. WELCHE QUALITÄT MUSS EIN VER- STOSS GEGEN DIE DS-GVO HABEN? Grundsätzlich sollten Unternehmen davon ausgehen, dass jeder Verstoß geeignet ist, eine Schadensersatz- pflicht auszulösen. Sehr oft sind Verstöße im Verhältnis zu Beschäftigten und damit im Bereich des Beschäftig- tendatenschutzes zu verzeichnen. WIE KÖNNEN VERSTÖSSE AUSSEHEN? Verstöße können vielfältige Gestalt annehmen und bei- spielsweise in der Verletzung von materiellen Rechtmäßigkeitsanforderungen, formalen Vorschriften, nationalem Recht oder speziellen Anforderungen nur an den Auftragsver- arbeiter liegen. WANN LIEGT NACH DER DS-GVO EIN IMMATERIELLER SCHADEN VOR? Auch beim Element des Schadens herrscht Uneinigkeit, ob und in welchem Umfang immaterielle Schäden er- fasst sein sollen. Dem Meinungsstreit liegen im Wesent-

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT lichen zwei Ansätze zugrunde: der weite und der enge Schadensbegriff. WAS VERSTEHT MAN UNTER DEM WEITEN SCHADENSBEGRIFF? Kernthesen des weiten Schadensbegriffs sind unter an- derem, dass prinzipiell jeder Verstoß gegen die DS-GVO zu einem Schaden führen kann und auch Bagatellschä- den erfasst seien, weil nur so der Präventionsfunktion des Schadensersatzanspruches genügend Rechnung getragen würde. Viele Argumentationen greifen auch auf den Erwägungsgrund 146 der DS-GVO zurück. WAS IST IN DIESEM ZUSAMMEN- HANG DER ENGE SCHADENSBE- GRIFF? Vertreter des engen Schadensbegriffs sehen immaterielle Schäden wegen einer möglichen Ausuferung skeptisch und fordern, sogenannte Bagatellschäden auszunehmen. Es müsse erst eine gewisse Erheblichkeitsschwelle über- schritten werden und der Nachteil müsse spürbar sein. Da für die Ausklammerung von Bagatellschäden im Rah- men von Art. 82 DS-GVO keine wirklichen Anhaltspunk- te bestehen, wird der EuGH nach unserer Prognose eher zum weiten Schadensbegriff tendieren, seine Entschei- dung bleibt aber abzuwarten. Ist der datenschutzrechtliche Schadensersatzanspruch nach der DS-GVO eine Verschuldens- oder Gefährdungs- haftung? Unterschiedliche Ansichten herrschen auch zur Frage, ob Art. 82 DS-GVO eine Gefährdungs- oder Verschul- denshaftung normiert. Ausgangspunkt der Diskussionen ist Art. 82 Abs. 3 DS-GVO, der eine Exkulpation regelt. WAS WIRD FÜR DAS VORLIEGEN EINER GEFÄHRDUNGSHAFTUNG VORGETRAGEN? Wenn sich ein Unternehmen exkulpieren kann, heißt das, dass es sich von der Haftung befreien kann. Eini- ge Vertreter der Gefährdungshaftung lesen den Art. 82 Abs. 3 DS-GVO jedoch so, dass sich dieser gerade nicht auf das Element des Verschuldens, sondern auf die Kau- salität beziehen soll. Das hieße in der Praxis, dass der Anspruchssteller nur darlegen müsste, dass ein Verstoß gegen die DS-GVO vorgelegen hat. Der Verstoß würde so- dann das Vorliegen eines kausalen Schadens indizieren. Die Tendenz der arbeitsgerichtlichen Rechtsprechung in Deutschland geht zur Annahme einer Gefährdungs- haftung (vgl. BAG, Beschluss vom 26.8.2021 – Az. 8 IT-SICHERHEIT_6/2022 67 m o e.c b o d k.a c r - sto e u ra H. B

IT-RECHT | DATENSCHUTZ | DATENSICHERHEIT AZR 253/20). Folgt man dieser Ansicht, führt dies zu einer ausufernden Haftung, da bereits die Verletzung der DS-GVO als solche für einen Anspruch nach Art. 82 Abs. 1 DS-GVO ausreicht. WAS WIRD GEGEN DIE GEFÄHR- DUNGSHAFTUNG VORGETRAGEN? Aus dem Wortlaut und der Systematik von Art. 82 DS- GVO wird hingegen durch die Gegner einer Gefähr- dungshaftung überzeugend entnommen, dass Art. 82 Abs. 3 DS-GVO nur hinsichtlich des Verschuldens eine Beweislastumkehr vorsieht und der Anspruchssteller im Übrigen für die haftungsbegründenden Umstände, also zumindest für den Verstoß und den hierdurch einge- tretenen Schaden, darlegungs- und beweisbelastet ist. Das folge direkt aus Art. 82 Abs. 1 DS-GVO, wonach der Schaden gerade „wegen eines Verstoßes“ eingetreten sein müsse, ein Anspruch auf Schadensersatz nur dann bestehe, wenn „ein materieller oder immaterieller Scha- den entstanden ist“ (vgl. OLG Koblenz, Urt. v. 18.5.2022 – 5 U 2141/21; OLG Stuttgart, Urt. vom 31.3.2021 – 9 U 34/21). WAS MACHT DEN RICHTIGEN UMGANG MIT SCHADENSERSATZ- FORDERUNGEN AUS? Im ersten Schritt werden die meisten Ansprüche zu- nächst außergerichtlich gestellt. Anschließend empfiehlt es sich, einige Punkte unternehmensseitig zu beachten und zu prüfen: 1. Eingangsdatum feststellen und den Vorgang an den Datenschutzkoordinator, den Datenschutz- beauftragten oder an das Legal-Team weiterleiten 2. Vorprüfung der Anspruchsberechtigung: Gibt es überhaupt ein vorwerfbares Verhalten? 3. Sachverhalt intern umfassend aufklären 4. Ggf. Hinzuziehen spezialisierter Rechtsanwälte für eine Stellungnahme 5. Möglichkeiten der Gegenargumentation ausloten WIE LASSEN SICH IM UNTERNEH- MEN SCHADENSERSATZRISIKEN VORBEUGEND MINIMIEREN? Anfragen von betroffenen Personen rechtzeitig und vollständig beantworten Korrekte Umsetzung von Widerruf und Wider- spruch sicherstellen Einwilligungen freiwillig einholen, Einwilligungs- texte sauber und informiert ausgestalten Datenverarbeitungsvorgänge sicher vor Datenlecks ausgestalten – Datensicherheit umsetzen Besonderheiten des Beschäftigtendatenschutzes beachten Ein Datenschutzmanagement etablieren WAS HAT DAS EU-VERBANDS- KLAGERECHT MIT SCHADENS- ERSATZANSPRÜCHEN NACH DER DS-GVO ZU TUN? Die EU-Richtlinie 2020/1828 zur Verbandsklage zum Schutz der Kollektivinteressen der Verbraucher vom 25.11.2020 ermöglicht qualifizierten Einrichtungen die gebündelte Geltendmachung der Schadensersatzforde- rungen mehrerer Verbraucher. Die Richtlinie muss bis zum 31.12.2022 umgesetzt werden. Erfolgt eine richt- linienkonforme Umsetzung, müssen sich Unternehmen unter Umständen darauf vorbereiten, in noch größe- rem Umfang mit Schadensersatzforderungen zu tun zu haben. FAZIT Das steigende Bewusstsein unter Betroffenen, dass bei DS-GVO-Verstößen Schadensersatzansprüche gegen Unternehmen bestehen können, ist offenkundig und sollte von Unternehmen unbedingt beachtet werden. In Zukunft ist damit zu rechnen, dass Schadensersatzfor- derungen noch häufiger gestellt werden. Prävention, um bestenfalls keinen Schadenersatzforderungen ausgesetzt zu werden, ist daher von hoher Bedeutung für Unterneh- men. Wenn es dennoch zu Schadenersatzforderungen kommt, gilt es durch richtige Prozesse im Unternehmen möglichst gut vorbereitet zu sein, um klug und planvoll reagieren zu können. n JAN O. BAIER ist Rechtsanwalt und Associated Partner der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf das Urheber-, Medien-, IT-, Datenschutz- und Wettbewerbsrecht sowie den gewerbli- chen Rechtsschutz. Er berät Unternehmen zu rechtlichen und strategischen Fragen der Digitalisierung und ist überdies ein geschätzter Ansprechpartner bei der Vertragsgestaltung im Medienbereich, für IT-Projekte, Cloud Computing und SaaS. Auch zu Fragen von IT-Wartungsverträgen und Lizenzverträgen verfügt er über eine ausgewiesene Expertise. Sein Mandantenstamm ist unter anderem in den Branchen E-Com- merce, Internet und Informationstechnologie, Marketing, Design & PR, Medien, Streaming Services und Software tätig www.srd-rechtsanwaelte.de 68 IT-SICHERHEIT_6/2022 Foto: Kanzlei SRD

WEBPORTAL Das Webportal von IT-SICHERHEIT IM WEB GEHT’S WEITER! Sie haben die IT-SICHERHEIT schon durchgelesen? Unter www.itsicherheit-online.com finden Sie parallel zu den Print ausgaben der IT-SICHERHEIT tagesaktuelle Informationen rund um das Thema IT-Sicher heit. Neben Fachartikeln, Studien- ergebnissen, White papers und Meldungen zu Unternehmen und Produkten können Abonnenten hier ab sofort auch in unserem neuen Zeitschriften-Archiv stöbern. Schauen Sie am besten gleich jetzt und regelmäßig bei uns rein! Weitere FACHINFORMATIONEN zum THEMA IT-SICHERHEIT Zero Trust in einer vernetzten Geschäftswelt: SO SICHERN UNTERNEHMEN APIS GEGEN ANGRIFFE VON AUSSEN In der digitalen Ökonomie, in der Datenströme und Kundenzentrierung die Geschäftsprozesse von Unternehmen bestimmen, nehmen APIs eine entscheidende Position ein. Sie bieten Zugriff auf relevante Daten, Systeme sowie Softwarekomponenten und erlauben Unternehmen, digitale Services und Geschäftsmodelle zu entwickeln und zu gestalten. Dies macht sie zu einem interessanten Ziel für Hacker: Diese versuchen durch Attacken auf APIs und den API-Trafﬁc Daten wie Namen, Kontonummern, E-Mail- und physische Adressen zu stehlen. Das Sichern von APIs und die Integration in eine Zero-Trust-Strategie ist aufgrund ihrer Beschaffenheit für Unternehmen jedoch mit verschiedenen Herausforderungen verbunden, die ein Umdenken in ihrem Sicherheitsansatz erfordern. www.itsicherheit-online.com/Axway-2022-06 Markus Pentzek, Manager Presales Consulting bei Axway (Foto: Axway) Security Operations Center: WARUM JEDES UNTERNEHMEN EIN SOC BRAUCHT Auch kleine und mittlere Unternehmen (KMU) benötigen heute eine ganzheitliche IT-Sicherheitsstrategie, inklusive einer 24/7-Überwachung durch ein Security Operations Center (SOC). Sie verfügen aber meist nicht über die nötigen personellen und ﬁnanziellen Ressourcen, um diese Aufgabe selbst zu stemmen. Mit den richtigen Managed-Security-Angeboten schließen Reseller diese Lücke. www.itsicherheit-online.com/ADN-2022-06 Michael Bölk, Head of Professional Services bei ADN (Foto: ADN) Den Wert der IT-Sicherheit erfassen: FÜNF FAKTOREN FÜR EINE KOSTEN-NUTZEN-ANALYSE IT-Sicherheit hat ein Problem: Sie erzielt keine Gewinne. Für viele verursacht sie einfach immer noch zu hohe Kosten. Der Nutzen der Cyberabwehr durch eine umfassende IT-Sicherheitsplattform lässt sich aber durchaus darstellen. www.itsicherheit-online.com/Bitdefender-2022-06 Jörg von der Heydt, Regional Director DACH bei Bitdefender (Foto: Bitdefender) IT-SICHERHEIT_6/2022 69

VORSCHAU Ausgabe 1|23 FEBRUAR/ MÄRZ SPECIAL: IT-SICHERHEIT IM KRANKENHAUS Eine ebenso unschöne wie hinterhältige Begleiterscheinung der aktuellen Weltkrisen sind Angriffe auf Kliniken und Krankenhäuser. Ohne Hemmungen und ohne Rücksicht auf Leib und Leben von Menschen versuchen Angreifer massiv Einrichtungen des Gesundheitswesens lahmzulegen – meist mithilfe von Ransomware, um von den betroffenen Institutionen Geld zu erpressen. In der nächsten Ausgabe der IT-SICHERHEIT werfen wir einen Blick auf die aktuelle Situation in diesem Bereich und zeigen, wie Krankenhäuser eine erfolgreiche Verteidigung aufbauen können. Weiteres wichtiges Thema ist das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur. (Patientendaten-Schutz-Gesetz – PDSG). SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR E-Mail-Technologie gilt längst nicht mehr als up to date, ist aber nach wie vor der meist genutzte Kommunikationsweg in Unternehmen. Einer ihrer Nachteile ist der fehlende Dokumentencharakter einer E-Mail. Ein nicht zu unterschätzendes Risiko birgt der Übertragungsweg, der nicht End-to-End verläuft. Eine E-Mail springt über diverse unbekannte Server zum vermeintlichen Ziel, und erst dort wird geprüft, ob die Nachricht angenommen werden kann oder nicht. Schließlich erreichen immer perfekter gestaltete SPAM- und Phishing-Mails die Posteingänge ihrer Adressaten – ein Hauptangriffsvektor für Social Engineering als Vorbereitung einer Cyberattacke. Alles, was Sie für den sicheren Einsatz von E-Mails wissen sollten, erfahren Sie in der nächsten Ausgabe. IN UNSEREM VERLAG ERSCHEINEN AUSSERDEM NOCH FOLGENDE ZEITSCHRIFTEN 70 IT-SICHERHEIT_6/2022 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Stefan Mutschler (S.M.) E-Mail: stefan-mutschler@t-online.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz Leitung Online herz@datakontext.com +49 2234 98949-80 Lisa Bieder Silvia Klüglich Chiara Schönbrunn Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. Dirk-M. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan-Peter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Graﬁk/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 27 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 104,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Beilagen: DATAKONTEXT GmbH, Frechen Titelbild: Hornetsecurity Fotos: Firmenbilder; DATAKONTEXT; (alekseiveprev, David, denisismagilov, elenabsl, Framestock, H. Brauer, H_Ko, ipopba, kebox , lienchen020_2, natali_mis, Rogatnev, sdecoret, Sergey Peterman, SimpLine) - stock.adobe.com; © 2021 Andrey_Popov/Shutterstock.com; Rawpixel.com - Fotolia; NASA; christopher burns/unsplash; OpenClipart- Vectors from Pixabay (1293096) 28. Jahrgang 2022 · ISSN: 1868-5757