05 Special it sa (Leseprobe)

IT-Sicherheit für OT: Angriffe in Pro duktionsnetz werken erkennen Seite 12 Viel Potenzial, wenig Vertrauen: KI für alle, alle für KI? Seite 15 Verlagsbeilage Oktober 2024 Die Zeitschrift für Informations-Sicherheit m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t it-sa 2024 Trends, Produkte, Lösungen Special

Die härteste IT-Backup-Strategie für maximale Data Protection Ihre Daten sind Ihr Unternehmen. Gehen Sie auf Nummer sicher, wenn es um Cyber Resilience und Ransomware Prevention geht! Unsere Spezialisten unterstützen Sie, eine für Ihre Infrastruktur geeignete Data Protection-Strategie zu finden: von der Analyse, Auswertung und Sicherung, bis hin zur Wiederherstellung Ihrer Daten, auch bei einem Ransomware-Angriff. Denn es ist nicht mehr die Frage ob, sondern wann ein Angriff stattfindet. Jetzt VIKING Data Protection entdecken www.viking-backup.com Ihr Ansprechpartner bei Empalis: Alina Mot Geschäftsführerin Telefon: +49 172 7721782 E-Mail: alina.mot@empalis.com Empalis Consulting GmbH · Wankelstraße 14 · 70563 Stuttgart · info@empalis.com · www.empalis.com

Mitherausgeber Inhalt NIS-2 gilt für einige, „Prevention first“ lohnt sich für alle Alles wie immer, nur schlimmer – also wie immer?! Business-E-Mails: Sicher archivieren und verschlüsseln IT-Sicherheit in Produktions netzwerken KI für alle, alle für KI? Wie Secure by Design hilft, Angriffsflächen zu schließen Die Zeit für eine echte E-Mail-Firewall ist gekommen Cyber-Resilienz erhöhen und Risikomanagement wirksam verbessern mit Zero Trust und KI News und Produkte 5 8 10 12 15 18 20 22 26 Impressum Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Alle Rechte vorbehalten, auch die des auszugs- weisen Nachdrucks, der Reproduktion durch Fotokopie, Mikrofilm und andere Verfahren, der Speicherung und Auswertung für Daten- banken und ähnliche Einrichtungen. Media-Daten: Unsere Mediadaten finden Sie online auf www.kes.de/mediadaten. Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: Dirk Hemke (SatzPro), Krefeld; Markus Miller (Satz + Bild), München Zurzeit gültige Anzeigenpreisliste: Nr. 42 vom 01. Januar 2024 Druck: QUBUS media GmbH Beckstraße 10, 30457 Hannover Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Titelbild: Nürnberg Messe/Thomas Geiger Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30 Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister Amtsgericht Köln, HRB 82299 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 3

it-sa 2024 NIS-2 gilt für einige, „Prevention first“ lohnt sich für alle Der IT-Sicherheitshersteller ESET präsentiert auf der Security-Messe it-sa (Halle 9/335) sein aktuelles Lösungsportfolio und zeigt, warum Prävention der Schlüssel zur Cybersicherheit ist. k c o t s r e t t u h S / I A . k c o t s r e t t u h S : d l i B Von Michael Klatte, ESET Viele Unternehmen atmen auf, weil sie nicht un- ter die strengen Anforderungen der NIS-2-Richtlinie fal- len. Das ist natürlich ein Trugschluss, denn die Gefahr von Cyberangriffen bleibt bestehen. Unternehmen müs- sen sich also weiterhin überlegen, welche Maßnahmen sie ergreifen wollen und wie sie diese sinnvoll kombinieren. Eine wichtige Hilfestellung bietet der IT-Sicher- heitshersteller ESET auf der Security-Messe it-sa mit sei- nem „Prevention first“-Ansatz. Dahinter steht die Idee, potenzielle Bedrohungen frühzeitig zu erkennen und zu neutralisieren, anstatt nur auf Sicherheitsvorfälle zu re- agieren. Prävention gilt mehr denn je als Schlüssel zur Reduzierung von Risiken und operativen Kosten. Proak- tive IT-Sicherheit gewährleistet letztlich einen unterbre- chungsfreien Geschäftsbetrieb sowie die Einhaltung von Vorschriften und Gesetzen. Neue Lösungsversionen und Dienstleistungen mit KI Prevention first umfasst mehrere Schutzebe- nen, um modernen Bedrohungen vorzubeugen. Dies ge- schieht durch den Einsatz effizienter Sicherheitslösungen, fortschrittlicher Technologien mit künstlicher Intelligenz (KI) und Dienstleistungen wie Managed Detection and © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 5

it-sa 2024 Dashboard der ESET Protect Cloud (Bild: ESET) Response (MDR). Der Ansatz kombiniert Sicherheitslö- sungen sowie Services, die Gefahrenquellen im Vorfeld beseitigen und eine Infektion verhindern: ESET Vulne- rability and Patchmanagement, ESET Secure Authentica- tion, ESET AI Advisor sowie ESET Managed Detection and Response. Alle diese Produkte und Services präsentiert der Hersteller in den aktuellen Versionen am Stand 9/335. Die Kombination dieser proaktiven Lösungen bie- tet einen ganzheitlichen Schutz, der die Stärken von reakti- ven Sicherheitsmaßnahmen deutlich erweitert. Das Patch- management reduziert beispielsweise die Angriffsfläche, indem es bekannte Schwachstellen erkennt und schließt, während eine Multi-Faktor-Authentifizierung (MFA) un- befugten Zugriff verhindert. Der ESET AI Advisor und MDR helfen dabei, neue Bedrohungen schnell zu erken- nen, zu neutralisieren und mit den gewonnenen Erkennt- nissen für die Zukunft noch besser gerüstet zu sein. ESET Vulnerability and Patch Management Das Patchmanagement ist ein wesentlicher Be- standteil der IT-Sicherheit. Mit dieser zusätzlichen Sicher- heitsebene werden Schwachstellen in Betriebssystemen und gängigen Anwendungen umgehend erkannt und las- sen sich über unsere Management-Konsole automatisch oder manuell auf allen Endgeräten beheben. ESET Vul- nerability & Patch Management unterstützt Organisatio- nen dabei, Sicherheitslücken in ihren Systemen zuverlässig zu erkennen und zu beheben. Die Lösung scannt Tausen- de gängiger Anwendungen wie Adobe Acrobat, Mozil- la Firefox oder Zoom auf über 35 000 Sicherheitslücken und Gefährdungen (CVEs). Diese automatischen Über- prüfungen sind in den Einstellungen flexibel konfigurier- bar und erlauben auch Ausnahmeregeln. Hat die Software Schwachstellen in Betriebssystemen oder gängigen An- wendungen identifiziert, können Administratoren auto- matisch benötigte Patches installieren lassen oder manuell agieren. Die mitgelieferten Richtlinien vereinfachen den Verantwortlichen die Arbeit und sind individuell anpass- bar. Mithilfe zahlreicher Filteroptionen können Schwach- stellen entsprechend ihres Schweregrads priorisiert wer- den. In der aktuellen Version unterstützt ESET nun auch Linux (Desktops und Server) und macOS, um somit grö- ßere Teile des Unternehmensökosystems abzudecken. Die Software enthält ein neues Dashboard in der cloudbasierten Remote-Management-Konsole ESET PROTECT, das für bessere Sichtbarkeit und Transparenz optimiert wurde. Dies steigert die Benutzerfreundlichkeit und bietet einen sofortigen Überblick über den Schwach- stellen- und Patch-Status im gesamten Netzwerk. Durch die Einbettung in die ESET PROTECT-Plattform ermög- licht dies beispielsweise Schwachstellen-Scans auf Abruf, was einen sofortigen Einblick in den Status bestimmter Endpoints ermöglicht. ESET Secure Authentication (ESA) Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene, die gewährleistet, dass 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024

nur autorisierte Benutzer Zugriff auf Systeme und Daten haben. ESET Secure Authentication Cloud bietet Unter- nehmen eine einfache und flexible Möglichkeit, IT-Syste- me vor unberechtigtem Zugriff zu schützen. Damit um- gehen Geschäftsanwender elegant das Sicherheitsproblem, dass Mitarbeiter häufig dieselben Passwörter für alle ihre Accounts verwenden. Die Implementierung und der Be- trieb der Multi-Faktor-Authentifizierung wurden erheb- lich vereinfacht und erfordern keine lokale Hardware. ESET Secure Authentication Cloud bietet Unter- nehmen jeder Größe eine einfache Möglichkeit, MFA für häufig verwendete Systeme wie VPNs, Remote Desktop Protocol, Outlook Web Access, Betriebssystemanmeldung und mehr zu implementieren. Es ermöglicht auch den Schutz von Web- und Cloud-Diensten wie Microsoft Of- fice 365, Google Apps, Dropbox und andere durch ADFS 3.0 oder SAML-Protokoll-Integration. Die Cloud-Versi- on behält alle bewährten Authentifizierungsmethoden der On-Premises-Lösung bei, darunter biometrische Verfah- ren wie Touch ID oder Face ID, Mobile App, Push-Be- nachrichtigungen, Hardware-Token, FIDO-Schlüssel und SMS-OTP. Die cloudbasierte Version von ESA wurde für die Verwaltung mehrerer Unternehmen oder Standorte entwi- ckelt und verfügt über eine mandantenfähige Verwaltung. Sie bietet die Flexibilität, spezifische Einstellungen für ein- zelne Benutzergruppen zu definieren, wovon insbesondere Managed Service Provider (MSP) profitieren. ESET Managed Detection and Response (MDR) Managed Detection and Response erfreut sich bei Anwendern größter Beliebtheit. Dahinter verbirgt sich ein moderner Ansatz zur Sicherung von IT-Systemen und Da- ten vor Cyberbedrohungen. Im Wesentlichen handelt es sich dabei um einen Service, der von spezialisierten An- bietern bereitgestellt wird und eine umfassende Überwa- chung, Erkennung und Reaktion auf potenzielle Sicher- heitsvorfälle umfasst. ESET MDR übernimmt für kleine und mittlere Unternehmen (KMU) rund um die Uhr Systemüberwa- chung, Bedrohungserkennung und -verfolgung, Vorfall- reaktion sowie erweiterte Erkennungs- und Reaktions- funktionen. Dabei handelt es sich um einen KI-basierten Dienst, der das Netzwerk überwacht und prüft. Alle ESET MDR-Kunden sind mit dem ESET-eigenen Security-In- formation-and-Event-Management-(SIEM)-Tool verbun- den, sodass Bedrohungen erkannt und mit vordefinierten Reaktionsmaßnahmen gestoppt werden können. ESET MDR ist in der Lage, Bedrohungen innerhalb von 20 Mi- nuten zu erkennen und darauf zu reagieren. Dazu nutzt ESET eigene Cybersicherheitstechnologien und Teleme- triedaten, die das Unternehmen weltweit sammelt und auswertet. Für eine effektive Gefahrenabwehr können Kunden zudem auf eine Bibliothek mit vordefinierten Mustern zugreifen und eigene benutzerdefinierte Regeln erstellen. Bei bestimmten Erkennungen oder verdächti- gem Verhalten von Dateien oder Prozessen werden dann entsprechende Aktionen ausgelöst. ESET PROTECT MDR und Ultimate Die Lösungs-Bundles ESET PROTECT MDR (für SMB) und ESET PROTECT MDR Ultimate (für Enterprise) richten sich vor allem an Kunden, die mit Ma- naged Detection and Response die internen Sicherheitsan- strengungen erweitern möchten. Sie beinhalten zum einen die effektivsten und innovativsten Sicherheitslösungen vom Malware-Schutz über Multi-Faktor-Authentifizie- rung und Verschlüsselung bis hin zum Patchmanagement. Zum anderen bieten sie unterschiedliche MDR-Services sowie ergänzende Dienstleistungen für den optimalen Einsatz der ESET-Sicherheitslösungen. ESET AI Advisor Mit dem ESET AI Advisor unterstützt nun eine künstliche Intelligenz Sicherheitsverantwortliche im Se- curity-Alltag. Dieser generative KI-basierte Cybersecuri- ty-Assistent verbessert die Reaktion auf Vorfälle und die interaktive Risikoanalyse. Der digitale Berater kann Ano- malien und verdächtige Aktivitäten identifizieren, bevor sie zu ernsthaften Sicherheitsvorfällen führen. Das ermög- licht eine proaktive Bedrohungserkennung und -abwehr. Mit ESET KI Advisor können Unternehmen die Vorteile von Extended-Detection-and-Response-(XDR)-Lösungen nutzen, selbst wenn sie nur begrenzte IT-Ressourcen be- sitzen. ESET AI Advisor ist beispielsweise in ESET PRO- TECT MDR Ultimate und ESET Threat Intelligence ver- fügbar. Der neue KI-Assistent bietet eine benutzerfreund- liche Oberfläche, die Sicherheitsanalysten aller Qualifi- kationsstufen unterstützt. Er erleichtert die interaktive Risikoidentifikation, -ana- lyse und -reaktion und stellt komplexe Bedrohungsdaten in einem leicht verständli- chen Format dar. Auch we- niger erfahrene IT- und Si- cherheitsexperten können mit diesem Tool effektiv ar- beiten. Damit findet ESET eine weitere Antwort auf den Fachkräftemangel, insbesondere im IT-Sicherheitsbereich: Neben dem bereits vorhandenen Angebot von Managed Detection and Response-Diensten kommt nun die Auto- matisierung mit maschinellem Lernen und KI-gesteuerten Technologien hinzu. ■ ESET Halle 9, Stand 335 www.eset.de/itsa-2024 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 7

it-sa 2024 Alles wie immer, nur schlimmer – also wie immer?! Die Cybersicherheit steht im Fokus der öffentlichen Aufmerksamkeit. Doch wie smart sind wir wirklich im Umgang mit den ständig wachsenden Bedrohungen? Diese Frage klären die Experten David Baier, Dr. Martin Krämer und Thomas Boele in einer Podiumsdiskussion auf der Messe. Von Dr. Bastian Hallbauer-Beutler, Kafka Kommunikation 1989 – mit diesem Jahr verbindet die Cybersi- cherheitsbranche nicht nur die Zentralstelle für Sicherheit in der Informationstechnik (ZSI), den Vorläufer des Bun- desamtes für Sicherheit in der Informationstechnik (BSI), sondern auch die vermutlich erste Ransomware namens PC Cyborg. Seitdem sind 35 Jahre vergangen – eine lange Zeit für eine Branche, die zwar keine hundertprozentige Sicherheit garantieren kann, aber immer mehr Aufmerk- samkeit erfährt. „Die Bedrohung im Cyberraum ist so hoch wie nie“, stellt das BSI in seinem aktuellen Lagebild fest. Das BKA kommt im Lagebild Cybercrime 2024 zu einem ähn- lichen Ergebnis: „Die Zahl der Straftaten im Bereich Cy- berkriminalität ist erneut gestiegen.“ Die Kosten für sol- che Vorfälle steigen auch aufseiten der Abwehr: 15 Prozent in den letz- ten drei Jahren, so der Cost of a Data Breach Investigations Report von IBM: 4,45 Millionen US-Dollar im weltwei- ten Durchschnitt im Jahr 2023. Berich- te wie der DBIR von Verizon zeigen, dass 50 Prozent der kritischen Sicher- heitslücken etwa 55 Tage nach ihrer Veröffentlichung ausgenutzt werden. Check Point Software Halle 6, Stand 232 KnowBe4 Halle 7, Stand 513 Ping Identity Halle 6, Stand 438 „Cybersicherheit ist im Alltag von Gesellschaft, Politik und Wirtschaft angekommen, allerdings existiert noch viel Halbwissen“, bekundet Dr. Martin Krämer, Security Awareness Advocate bei KnowBe4. Da- vid Baier, Senior Sales Engineer bei Ping Identity, sieht die Ursache jedoch weniger in einer proaktiven, sondern reak- tiven Beschäftigung mit der Materie: „Wir haben ein ge- steigertes Bewusstsein für die Bedrohungen, die existieren, hauptsächlich weil heutzutage viel wertvollere Daten on- line sind als 1989.“ Checklistenmentalität Die Politik reagiert auf die wachsende Bedro- hungslage mit einem Dschungel aus Compliance-Richt- linien wie DSGVO, NIS-2, DORA oder dem AI Act. Die Gefahr besteht jedoch darin, dass die Cybersicherheit zur reinen Erfüllung von Checklisten verkommt. Krämer be- tont die Notwendigkeit, diese Vielzahl von Vorschriften im Blick zu behalten. In diesem Kontext sieht Baier für die nähere Zukunft mehr Aufmerksamkeit für digitale Be- rechtigungsnachweise und digitale Geldbörsen: „Das be- ginnt mit eIDAS und wird sich weiterentwickeln, um einen Standard zu bilden, der den Nutzern mehr Kont- rolle über ihre Daten gibt und stärkere, weniger anfälli- ge Sicherheitsmaßnahmen bietet.“ Thomas Boele, Regio- nal Director, Sales Engineering CER/DACH, bei Check Point Software sieht sogar noch mehr Regulierung für 2025: „Aufgrund der steigenden Anzahl von Angriffen auf kritische Infrastrukturen (wie Energieversorgung, Ge- sundheitswesen, Verkehr) wird erwartet, dass Regierungen weltweit verpflichtende Cybersicherheitsstandards und Meldepflichten für Vorfälle in diesen Sektoren einführen. Unternehmen, die in diesen Bereichen tätig sind, werden ihre Cyberverteidigungsmaßnahmen verstärken müssen.“ Play hard, protect smart Wenn man das Motto der Messe „Play hard, pro- tect smart“ hinterfragt, stellt sich die Frage: Wie smart sind die Cybersicherheit und ihre Akteure heute? Wie smart können sie „unter Dauerfeuer“ von Cyberkriminellen und Regulierungsinitiativen überhaupt agieren? Und daraus abgeleitet: Ist die Cybersicherheit heute besser aufgestellt? Antworten darauf finden David Baier, Dr. Martin Krämer und Thomas Boele auf der gleichnamigen Panel Diskus- sion am 23. Oktober 2024 von 13.15 bis 13.45 Uhr im Knowledge Forum D (Halle 7A, Stand 106). ■ 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024

it-sa 2024 Business-E-Mails: Sicher archivieren und verschlüsseln Mit der Retarus Secure Email Platform schützen Unternehmen ihre E-Mail-Infrastruktur. Laut IT-Branchenverband BITKOM gehen in deutschen Unternehmen täglich durchschnittlich 40 E-Mails pro Postfach ein. Dabei tauschen Mitarbeiter auch häufig sensible Informationen aus. Um vertrauliche Daten vor unbefugtem Zugriff zu schützen, müssen Unternehmen ihre E-Mail- Kommunikation bestmöglich absichern. Hierfür erhalten sie mit der cloudbasierten Retarus Secure E-Mail Platform alles Notwendige aus einer Hand. Von Sören Schulte, Retarus Retarus Halle 6, Stand 306 Geschäftliche E-Mails müssen revisions- und rechtssicher archiviert werden. Gesetzliche Vorgaben wie Aufbewahrungspflichten sind dabei herausfordernd für Unternehmen. Hier kommt das Retarus Email Archiv ins Spiel. Es speichert automatisch, zuverlässig und rechtskon- form den ein- und ausgehenden sowie auf Wunsch auch den internen E-Mail- Verkehr im Original-Raw-Format inklu- sive SMTP-Informationen. Das Retarus Email Archiv ist DSGVO-konform und erfüllt alle gängigen Branchenstandards sowie Compliance-Richtlinien. Die E-Mails werden in au- ditierbaren, hochverfügbaren und redundanten Retarus- Rechenzentren in Europa unveränderbar gespeichert. Sichere Ent- und Verschlüsselung von vertraulicher Kommunikation Retarus Email Encryption schützt personenbezo- gene Daten ebenso wie wertvolles Firmen-Know-how. Die Alles aus einer Hand: Die cloudbasierte Retarus Secure Email Platform überprüft ein- und ausge- hende E-Mails auf Malware, Spam und Phishing. Außerdem lassen sich darüber E-Mails revisions- und rechtssicher archi- vieren sowie ver- und entschlüsseln. (Bild: retarus) Lösung entschlüsselt eingehende Nachrichten zentral über die Cloud-Plattform, bevor sie im Originalformat im wie- derum verschlüsselten Archiv abgelegt werden. Im Gegen- satz zu einer Entschlüsselung auf dem Client des Nutzers ist dadurch sichergestellt, dass die Nachrichten auch dann lesbar sind, wenn die jeweiligen privaten Schlüssel zum Zeitpunkt des Zugriffs nicht mehr existieren. Zusätzlich reduziert die User Synchronization for Encryption (USE) von Retarus den Aufwand für Adminis- tratoren deutlich. Mit dieser Funktion lassen sich einzelne Nutzer, Gruppen, Schlüssel/Zertifikate sowie Richtlinien automatisiert verwalten. Der IT-Security-Admin defi- niert, welche Mitarbeiter oder Gruppen welche Schlüssel und Zertifikate benötigen und wie das individuelle Regel- werk aussehen soll. Anhand dieser kundenspezifischen Re- gelwerke werden vertrauliche Nachrichten inklusive aller Dateianhänge automatisch verschlüsselt. Falls der Emp- fänger keine Verschlüsselung nutzt, kann die E-Mail über ein sicheres Webmail-Postfach zur Abholung bereitgestellt werden. E-Mail-Rundumschutz aus einer Hand Das Retarus Email Archive sowie Retarus Email Encryption sind Teil der cloudbasierten Retarus Email Security Services. Ihre Sicherheitsmechanismen überprü- fen ein- und ausgehende E-Mails auf Malware, Spam und Phishing. Darüber hinaus umfasst die ganzheitliche Ab- wehrstrategie die Erkennung und Isolierung unbekann- ter Bedrohungen durch KI-gestützte Mechanismen und Sandboxing. Zum Funktionsumfang zählt außerdem die patentierte Retarus Patient Zero Detection, die bereits zu- gestellte Schad-E-Mails identifiziert. ■ 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024

it-sa 2024 So einfach, so sicher IT-Sicherheit in Produktions- netzwerken Digitalisierung bringt viele Vorteile – und neue Risiken. Eine anonyme Gefahr von außen, eine falsche Handlung intern können den Anlagenstillstand von morgen bedeuten – mit ungeahnten Folgen. Doch es gilt auch Richtlinien einzuhalten: Die Vorbereitung auf NIS-2 ist ein Muss für KRITIS und Industrie. Von Markus Woehl, VIDEC Data Engineering GmbH Die fortschreitende Digitalisierung hat in vielen Bereichen der Produktion zu einer höheren Effizienz ge- führt, bringt aber auch neue Risiken mit sich. Produkti- onsbetriebe, unabhängig von ihrer Größe, stehen vor der Herausforderung, ihre OT-Systeme (Operational Techno- logy, OT) gegen Cyberangriffe von außen und innen ab- zusichern. Meldungen von massiven Produktionsausfällen aufgrund von Cyberangriffen gehen mittlerweile fast täg- lich durch die Presse. VIDEC hat mit IRMA eine Lösung entwickelt, die sich speziell auf die Anforderungen und Besonderheiten von OT-Netzwerken konzentriert. In die- k c o t s r e t t u h S / c i v o k t e P n a s u D : d l i B sem Artikel erfahren Sie, wie IRMA IT/OT-Sicherheits- managern, CIOs, Netzwerkadministratoren, Compliance- Officern und Instandhaltungsmanagern dabei hilft, ihre Produktionsanlagen sicher und effizient zu betreiben. So einfach, so sicher – das ist die Philosophie von IRMA. Einfach in der Bedienung, sicher in der Anwen- dung. OT-Risiken managen Die Verantwortung der IT/OT-Sicherheitsmana- ger in Produktionsbetrieben ist enorm. Die Gefahr, dass OT-Netzwerke zum Ziel von Cyberangriffen werden, wächst mit der zunehmenden Vernetzung der Produkti- onsanlagen. Diese Netzwerke sind besonders verwundbar, da sie oft speziell angepasste und ältere Systeme enthalten, die nicht regelmäßig aktualisiert werden können. IRMA bietet hier eine umfassende Lösung, die es ermöglicht, Ri- siken frühzeitig zu identifizieren und zu managen. Durch eine ständige Überwachung und Analyse des Netzwerk- verkehrs und der Geräteaktivitäten können potenzielle Be- drohungen bereits in einem frühen Stadium erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. Angriffe erkennen Für CIOs und CTOs steht die Betriebsbereit- schaft der OT-Systeme an erster Stelle. Ein Cyberangriff, der nicht schnell genug erkannt wird, kann zu erheblichen Störungen im Produktionsprozess führen. IRMA unter- stützt Führungskräfte dabei, potenzielle Bedrohungen frühzeitig zu erkennen und schnell zu reagieren. Beson- 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024

ders hervorzuheben ist die Fähigkeit von IRMA, verdäch- tige Aktivitäten direkt an ein Security-Information-and- Event-Management-(SIEM)-System weiterzuleiten. Dies ermöglicht eine nahtlose Integration in die bestehende IT- Sicherheitsinfrastruktur und eine effiziente Bearbeitung von Sicherheitsvorfällen. Netzwerkhygiene Netzwerkadministratoren stehen vor der Heraus- forderung, OT-Netzwerke kontinuierlich zu überwachen und sicherzustellen, dass diese stets optimal geschützt sind. Anders als in IT-Netzwerken, wo regelmäßige Up- dates und Sicherheitsmaßnahmen zum Standard gehören, erfordert die Sicherung von OT-Netzwerken ein hohes Maß an Spezialisierung. IRMA bietet Netzwerkadminis- tratoren die nötigen Werkzeuge, um die Sicherheit der ge- samten OT-Infrastruktur zu gewährleisten. Die Lösung überwacht permanent alle verbundenen Geräte und mel- det Unregelmäßigkeiten sofort. Zudem erleichtert IRMA das Management von Updates und Patches, was dazu bei- trägt, das Risiko von Angriffen zu minimieren und die Si- cherheit der Systeme aufrechtzuerhalten. Übersicht im OT-Netz Compliance-Officer tragen die Verantwortung, dass alle Sicherheitsstandards und gesetzlichen Anforde- rungen eingehalten werden. In einem komplexen OT- Netzwerk ist dies keine einfache Aufgabe. Die Notwen- digkeit, alle Aktivitäten im Netzwerk zu überwachen und gleichzeitig sicherzustellen, dass allen Vorschriften entspro- chen wird, erfordert spezielle Tools und Methoden. IRMA bietet Compliance-Officern eine umfassende Transparenz über alle Vorgänge im Netzwerk. Die Lösung ermöglicht es, detaillierte Berichte zu generieren, die die Einhaltung von Vorschriften dokumentieren und potenzielle Verstöße frühzeitig aufzeigen. Dies erleichtert die Arbeit der Com- pliance-Officer erheblich und sorgt dafür, dass das Unter- nehmen jederzeit sicher und rechtskonform arbeitet. Störungen vermeiden Instandhaltungsmanager stehen vor der Aufgabe, sicherzustellen, dass die Produktionsanlagen reibungslos funktionieren und ungeplante Ausfälle vermieden werden. In hochautomatisierten Produktionsumgebungen kann bereits eine kurze Störung erhebliche Auswirkungen auf die Produktivität haben. Durch die kontinuierliche Über- wachung der Systeme und die Analyse von Betriebsdaten unterstützt IRMA Instandhaltungsmanager dabei, Abwei- chungen vom normalen Betriebsverhalten frühzeitig zu identifizieren. Dies ermöglicht es, Wartungsmaßnahmen rechtzeitig durchzuführen und unvorhergesehene Ausfäl- le zu verhindern, wodurch die Produktionsprozesse stabil und effizient bleiben. U O s n o i t c u d o r P f f o k n e d o r o G l i B : d Brücke zwischen IT und OT Fakt ist, IT und OT sind zwei verschiedene Wel- ten. IRMA, in Deutschland entwickelt und seit 2015 im industriellen Einsatz, bildet eine Brücke zwischen IT und OT, da sie durch die Mitarbeit der OT die Netzwerke für die IT verständlich und transparent macht. IRMA ist ein- fach für die OT zu bedienen, bietet aber trotzdem vol- le SIEM- und SOC-Funktionalität durch Weiterleitung sämtlicher Ereignisse, inklusive Bedieneingaben vor Ort. Bedrohungslevel schafft Awareness Der IRMA-Bedrohungslevel ist ein Indikator, der auf einen Blick die Bedrohungslage anzeigt. Jede Ände- rung im Verhalten erhöht den Wert des Bedrohungslevels. Durch Visualisierung dieses Wertes im Leitsystem wird die Mitarbeiter-Awareness zum Thema Cybersecurity noch mehr geschärft. Fazit Die fortschreitende Vernetzung und Digitalisie- rung in der Produktion erfordern eine neue Herange- hensweise an die OT-Sicherheit. Standardlösungen aus der IT reichen oft nicht aus, um die speziellen Anforde- rungen von OT-Netzwer- ken zu erfüllen. VIDEC hat mit IRMA eine Lösung entwickelt, die IT/OT-Si- cherheitsmanager, CIOs, Netzwerkadministratoren, Compliance-Officer und Instandhaltungsmanager dabei unterstützt, ihre Pro- duktionsanlagen sicher und effizient zu betreiben. Durch die maßgeschneiderte Herangehensweise von IRMA las- sen sich sowohl Sicherheitsrisiken minimieren als auch die betrieblichen und rechtlichen Anforderungen der moder- nen Produktionsumgebung optimal erfüllen. ■ VIDEC Data Engineering GmbH Halle 7A, Stand 202 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 13

NIS2-Richtlinie nimmt Unternehmen in die Pflicht – Wettbewerbsfähigkeit steigern durch IT-Sicherheit Unternehmen müssen selbst erkennen, ob sie in den Geltungsbereich der NIS2 fallen TÜV NORD Akademie NIS2 Handlungsschritte Betroffenheit prüfen Rollen im Unternehmen klären Überblick über den Status quo schaffen Risikomanagement etablieren Meldepflichten berücksichtigen Nachholbedarf klären und aktiv werden IT-Sicherheit ist mehr als nur ein Schlagwort. Es ist ein entscheiden- der Faktor für die Wettbewerbs- fähigkeit jedes Unternehmens. Die NIS2-Richtlinie der Europäischen Union setzt hier neue Standards und nimmt Unternehmen in die Pflicht. Die NIS2-Richtlinie hat das Ziel, ein hohes gemeinsames Niveau an Netz- und Informationssicherheit in der EU zu gewährleisten. Sie ist dringend not- wendig, um die wachsenden Cyber- Bedrohungen und die zunehmende Vernetzung und Digitalisierung in der EU zu bewältigen. Gut zu wissen: Die NIS2 verpflich- tet Unternehmen zu umfangreichen Risikomanagementmaßnahmen, auch innerhalb der eigenen Lieferkette. Deshalb sind zahlreiche Zulieferer indirekt von ihr betroffen, angefangen bei IT-Dienstleistern bis hin zu Herstel- lern von Windturbinen. Unternehmen werden sich registrieren müssen und sie werden von niemandem einen offiziellen Hinweis darauf bekommen. Unternehmen müssen selbst erken- nen, ob sie in den Geltungsbereich der NIS2 fallen. Details: www.tuev-nord.de/wissen/nis2 Handlungsbedarf für Unternehmen Unternehmen tun gut daran, die Inhalte der Richtlinie gewissenhaft umzusetzen – nicht nur aus Angst vor möglichen Strafen, sondern auch um für die nächsten Jahre gerüstet zu sein. Diese Qualifikationen unterstüt- zen Sie dabei: NIS2 Experten Ein NIS2 Experte ist der Spezialist für die NIS2-Richtlinie. Er kennt die Anfor- derungen und kann das Unternehmen dabei unterstützen, diese zu erfüllen. Ihre Ziele umfassen:  Analyse der Anforderungen der NIS2-Richtlinie Die NIS2-Richtlinie für Manager und Geschäftsleitung Führungskräfte informieren sich über die Pflichten und Verantwortung der NIS2-Richtlinie und wie sie diese in ihre Unternehmensstrategie integrieren. Ihre Ziele umfassen:  Wichtige Aspekte und Ziele der  Beratung zur Umsetzung der Richtlinie verstehen Richtlinie  Strategische Bedeutung für das  Überwachung der Einhaltung Unternehmen erkennen der Richtlinie NIS2 für Datenschutzbeauftragte und Datenschutzkoordinatoren Datenschutzbeauftragte und -koor- dinatoren, müssen sich mit den Anforderungen der NIS2-Richtlinie vertraut machen.  Rolle der Geschäftsleitung bei der Umsetzung der Richtlinie erkennen NIS2, KRITIS, CER, CRA und Co. – Cyber Security Weiterbildung Verantwortliche verschaffen sich einen Überblick zu den Anforderungen anste- hender Regulierungen im IT-Umfeld. Ihre Ziele umfassen:  Verständnis der NIS2-Richtlinie  Integration der NIS2-Anforderungen in die bestehenden Datenschutz- praktiken  Identifikation und Bewertung von NIS2 relevanten Sicherheitsrisiken Ihre Ziele umfassen:  NIS2-Richtlinie und relevante Sicherheitsstandards analysieren  Erste Schritte zur Anwendung der Richtlinien kennenlernen  Methoden und Tools zur Bewertung von Cyber-Risiken anwenden Ein Schutzschild für Ihr Business! Mit unseren Weiterbildungen qualifizieren Sie sich oder Ihre Mitarbeitenden für diese wichtigen Aufgaben und unterstützen Ihr Unternehmen, die Anforderungen der NIS2-Richtlinie umzusetzen. Stellen Sie die Weichen für eine starke IT-Sicherheit in Ihrem Unternehmen! Alle Details zu den TÜV NORD Akademie Seminaren zur NIS2-Richtlinie

it-sa 2024 Cybersecurity und künstliche Intelligenz KI für alle, alle für KI? KI-gestützte Prozesse sicher und regelkonform abzusichern ist eine enorme Herausforderung. Hier kommen die neuen Funktionen von Trend Micros Zero Trust Secure Access (ZTSA) ins Spiel. Diese wurden gänzlich auf die potenziellen Gefahren der neuen Technologie optimiert. Dabei ist KI jedoch nicht nur als Sicherheitsrisiko zu betrachten. Ihre Fähigkeit, riesige Datenmengen schneller als je zuvor zu analysieren und einzuordnen, ermöglicht es modernen Cybersecurity- Lösungen, den komplexen Bedrohungen unserer Zeit erfolgreich zu begegnen – selbst ange- sichts von Ressourcen- und Fachkräftemangel. Von Richard Werner und Thomas Margner, Trend Micro Künstliche Intelligenz (KI) ist längst kein neu- es Phänomen mehr. Von der E-Mail-Erstellung über Programmierung bis hin zur Chip-Herstellung wird sie mittlerweile in nahezu allen Bereichen eingesetzt. Mit ChatGPT & Co. wurde dann ein neuer Hype ausgelöst. Die Technik verspricht spannende Kommunikationswege, und viele Mitarbeitende entdeckten die Möglichkeiten für sich selbst, ohne die Unternehmens-IT überhaupt zu fra- gen. Viele Entscheider experimentieren teils geplant, teils spontan mit KI-Anwendungen in ihren Prozessen. In vie- len Unternehmen ist KI mittlerweile sogar ein fester Be- standteil des Arbeitsalltags geworden. Aus Sicht der Si- cherheitsverantwortlichen sind diese Experimente jedoch oft riskant, da KI – wie alle disruptiven Technologien – ein ernst zu nehmendes Sicherheitsrisiko darstellt. Wie KI die Sicherheit gefährden kann KI-Modelle sind wie hochbegabte Kinder. Sie ver- arbeiten neue Informationen in erstaunlicher Geschwin- digkeit, doch mangelt es ihnen an einem ausgeprägten Si- cherheitsbewusstsein. Für CISOs bedeutet die Einführung von KI-gestützten Prozessen dementsprechend viel Arbeit. Es gilt, „AI Poisoning“ – etwa durch Manipulation der Trainingsdaten oder gar die direkte Beeinflussung der Modelparameter – einen Riegel vorzuschieben. Weiterhin muss durch richtige Konfiguration sichergestellt werden, dass keine internen Firmendaten an öffentliche KI-Mo- delle abfließen. Nicht zuletzt stellt Prompt Injection eine stets wachsende Bedrohung dar. Bei der Einführung von KI muss Sicherheit also von Anfang an mitgedacht wer- den. Eine detaillierte Auflistung der Herausforderungen, denen sich CISOs bei der erfolgreichen Implementierung und Überwachung von KI stellen müssen, findet sich hier: Sichtbarkeit: Netzwerk- und Security-Operati- ons-Center-(SOC)-Teams haben keinen Einblick in KI- Plattformen. So können sie die Nutzung nicht effektiv überwachen oder kontrollieren und die damit verbunde- nen Risiken managen. Das hat gravierende Auswirkungen auf die allgemeine Sicherheitslage des Unternehmens. Compliance: Es ist äußerst schwierig, unterneh- mensweite Richtlinien umzusetzen und festzustellen, wer im Unternehmen welche KI-Dienste nutzt. Datenlecks: Sensible Daten können versehentlich von Mitarbeitern, die generative künstliche Intelligenz Dienste (GenAI) nutzen, offengelegt werden. Oder die KI selbst stellt durch eine nicht authentifizierte Antwort End- benutzern unzulässige Daten zur Verfügung. Manipulation: Bedrohungsakteure können GenAI-Modelle mit manipulierten Prompts ausnutzen, um unbeabsichtigte Aktionen auszulösen oder ein böswil- liges Ziel zu erreichen (Prompt-Injection-Angriffe). Bei- spiele hierfür sind Jailbreaking/Model-Duping, Virtuali- sierung/Rollenspiele und Sidestepping. Ob und in welchem Umfang KI in die Unterneh- mensprozesse integriert wird, ist letztlich nicht die Ent- scheidung der CISOs. Vielmehr besteht deren Aufgabe darin, Rahmenbedingungen zu schaffen, die es den Ge- schäftsverantwortlichen ermöglichen, frei zu entscheiden. Angesichts des gravierenden Fachkräfte- und Ressourcen- mangels in den IT-Abteilungen ist das jedoch keine leich- te Aufgabe. Das kann schnell zu Spannungen zwischen © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 15

it-sa 2024 den verschiedenen Abteilungen führen. Während die Ge- schäftsführung in der Regel die Einführung von KI vo- rantreiben möchte, haben CISOs vor allem den Sicher- heitsaspekt im Fokus und werden deshalb sehr schnell als Verhinderer wahrgenommen. Wenn die Geschäftsverant- wortlichen neben ihrer Sicherheitsabteilung noch eine ex- terne Beratungsstelle konsultieren, können sich die Grä- ben weiter vertiefen. Es ist dabei weder ratsam, gänzlich auf KI zu ver- zichten, noch die Gefahren der neuen Technologie zu igno- rieren. Stattdessen gilt es, Wege zu finden, KI-Funktionen sicher und compliance-konform zur Verfügung zu stellen. Volles Potenzial, null Vertrauen Der Zero-Trust-Ansatz etwa bietet einen hervor- ragenden Rahmen, um Sicherheitsbedenken auszuräumen und gleichzeitig Unternehmen die Möglichkeit zu geben, die Vorteile von GenAI in vollem Umfang zu nutzen. Trend Micros ZTSA - AI Service Access vereinfacht zudem die Anwendung durch die Bereitstellung einer cloudnati- ven Plattform, die jeden Benutzer schützt, der auf öffent- liche oder private GenAI-Services innerhalb eines Unter- nehmens zugreift. Zu den Kernfunktionen von ZTSA - AI Service Access gehören: Echtzeit-Überwachung aller GenAI-Aktivitäten und sofortige Erkennung von KI-Zugriffsverstößen zentralisierte Verwaltung des Mitarbeiterzugriffs auf GenAI sofortige Überprüfung zur Verhinderung von Da- tenlecks und bösartigen Injektionen Inhaltsfilterung, um sicherzustellen, dass die Compliance-Anforderungen erfüllt werden Abwehr von Angriffen auf große Sprachmodelle (LLM) Trend Micro Halle 9, Stand 303 ZTSA - AI Service Access unterstützt Netzwerk- und Sicherheitsadministratoren auch bei der Bewältigung spezifischer GenAI-Systemrisiken wie unsichere Plugins und Erweiterungen sowie bei Supply-Chain- und Denial- of-Service-(DoS)-Angriffe auf KI-Modelle. Durch die Priori- sierung dieser Risiken und die proaktive Anwendung einer dynamischen risikobasierten Zugriffskontrolle auf GenAI- Services können Sicherheits- teams die Widerstandsfähigkeit des Unternehmens ver- bessern. Auf diese Weise lässt sich das Potenzial der KI voll ausschöpfen, ohne Sicherheits- und Datenschutzverstöße befürchten zu müssen. KI ist aber nicht nur ein Sicherheitsproblem, das gehärtet werden muss, sondern die Funktionen der neuen Technologie lassen sich auch im Rahmen moderner Cy- bersecurity-Lösungen einsetzen, um diese effizienter zu machen. Cybersecurity mit KI: Was ist möglich? Besonders die KI-gestützte Datenverarbeitung wird in Zukunft die Sicherheitsverantwortlichen maßgeb- lich unterstützen. Ein KI-gestütztes Security-Information- and-Event-Management (SIEM) wäre in der Lage, au- tomatisiert Daten aus den verschiedensten Quellen wie Endpoint-Lösungen, Event Logs oder der Cloud zu sam- meln und zu bereinigen. Diese aufbereiteten und trans- formierten Daten lassen sich dann nahtlos in einheitli- che Schemas integrieren, auf Bedrohungen analysieren und übersichtlich darstellen. So bietet Trend Micro Vision One nützliche Datenübersichtsfunktionen wie Dashbo- ards und Report-Management. Das erleichtert die Kom- munikation zwischen Sicherheitsverantwortlichen und Geschäftsführung erheblich. Zudem können die Daten für bis zu sieben Jahre aufbewahrt werden, was bezüglich Compliance-Regelungen essenziell ist. Nicht zuletzt lässt sich auch das SOC mit GenAI-Funktionen wie automati- sierten KI-Vorschlägen zur Detection und Response (AI- Prompt-Book) erweitern. Damit verschwindet allmählich die Grenze zwischen SIEM und Extended-Detection-and- Response (XDR). Ausblick Künstliche Intelligenz ist aus dem modernen Ar- beitsleben nicht mehr wegzudenken. Daher müssen so- wohl Netzwerke als auch Arbeitsabläufe so angepasst wer- den, dass sie für den Einsatz dieser Technologie bereit sind. Andernfalls drohen gravierende Sicherheitslücken und Datenlecks. Gleichzeitig muss sichergestellt werden, dass KI die geltenden Compliance-Vorgaben einhält. Lösun- gen wie AI Service Access schlagen eine Brücke zwischen notwendiger Zugriffskontrolle und den datenintensiven Anforderungen von GenAI. So können Unternehmen das volle Potenzial ausschöpfen, ohne sich über schwerwiegen- de Sicherheitsvorfälle sorgen zu müssen. Mithilfe KI-gestützter Datenverarbeitung las- sen sich Bedrohungen automatisiert in Echtzeit erkennen und entsprechende Gegenmaßnahmen einleiten. In Zei- ten von Fachkräftemangel und knappen Ressourcen wird die Technologie so zu einem unverzichtbaren Bestandteil einer modernen Cybersecurity-Strategie. ■ 16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024

Die erste Cloud, mit der Sie Geheimnisse teilen können. SINA Cloud – Souverän gedacht. Sicher gemacht. QR-CODE SCANNEN UND ZUM KOSTENFREIEN WEBINAR ANMELDEN. Die SINA Cloud für Verschlusssachen bis GEHEIM. Beliebige Mandanten und Sicherheitslevel auf einer Infrastruktur. secunet.com protecting digital infrastructures

it-sa 2024 Interview Wie Secure by Design hilft, Angriffsflächen zu schließen Prof. Dr. Dennis-Kenji Kipker (Bild: Jasmin Lindenthal) Secure by Design ist ur- sprünglich ein Konzept der US Cybersecurity and Infrastructure Security Agency (CISA), um die Sicherheit von Hard- und Soft- ware bereits im Entwicklungspro- zess zu berücksichtigen. Zur kon- kreten Umsetzung dieses Prinzips in Europa hat Software-Hersteller Ivanti eine Partnerschaft mit dem cyberintelligence.institute (CII) aus Frankfurt geschlossen. Aus diesem Anlass hat der Hersteller ein Interview mit Bernhard Stei- ner, Regional Vice President Sa- les Engineering EMEA bei Ivanti, und Prof. Dr. Dennis-Kenji Kip- ker, Research Director des CII, ge- führt. Herr Steiner, Ivanti ist auf der diesjährigen it-sa vertreten. Was erwartet den Besucher auf Ih- rem Stand? Bernhard Steiner (Bild: Ivanti) Steiner: Wir zeigen, wie Unternehmen und Behörden ihre gesamten Endgeräte identifizieren, sichere Netzwerkzugriffe ermögli- chen sowie Risiken und Verwund- barkeiten aufdecken und letztlich beseitigen können. Konkret konzentrieren wir uns auf unserem Stand 610 in Halle 7 auf vier Schwerpunktthemen: Zero Trust Network Access, risikobasiertes Patchmanagement, External Attack Surface Management, also die Möglichkeit, eine IT-Um- gebung durch die Brille eines Angreifers zu sehen sowie praktische Einsatzszenarien von künstlicher Intelligenz (KI). Kommen wir zu Ihrer Zusammenarbeit mit dem CII. Wie kam es dazu? Steiner: Wir haben uns als einer der ersten Soft- warehersteller in den USA der CISA gegenüber freiwillig verpflichtet, Secure by Design unternehmensweit umzu- setzen. In unseren täglichen Entwicklungsprozessen zeigte sich, dass wir diese recht US-zentrierte Initiative für den europäischen Markt anpassen müssen. Hier spielen vor al- lem die Vorgaben von NIS-2, CRA und DORA eine gro- ße Rolle. Daher wollten wir die umfassende technische und juristische Expertise des CII nutzen, um uns in die- sem Prozess weiter voranzubringen. Herr Kipker, ist Secure by Design für Europa ein neuer Ansatz? Kipker: Aus europäischer Perspektive ist das für viele Unternehmen, vor allem außerhalb der IT-Branche, tatsächlich ein recht neuer Gedanke. Allerdings müssen sie sich aus Compliance-Gründen jetzt damit beschäftigen. Denn der Cyber Resilience Act (CRA) der EU enthält ex- plizit die Forderung nach Secure by Design. Die entspre- chenden Vorgaben müssen Unternehmen definitiv in den nächsten Jahren einhalten. Wie sieht das konkret aus? Kipker: Laut dem CRA müssen Unternehmen bei Produkten mit digitalen Elementen in den Phasen De- sign, Entwicklung und Produktion sowie während der Nutzung angemessene Cybersecurity-Maßnahmen eta- blieren. Hersteller haben die Verpflichtung, im gesamten Produkt lebenszyklus Sicherheitslücken zu schließen so- wie Nutzer über behobene Schwachstellen und Vorfälle zu infor mieren. Während der CRA wohl erst in ein paar Jahren umgesetzt werden muss, steht die NIS-2 unmittelbar be- vor. Kipker: Das ist richtig. Bis 17. Oktober müs- sen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht umsetzen. Ob Deutschland diesen Zeitplan einhal- ten wird, ist nicht sicher. Klar ist allerdings, dass zukünf- tig mindestens 30.000 Unternehmen nachweisen müssen, dass ihre Systeme, Produkte und die gesamte digitale Lie- ferkette sicher sind. Hier kann Secure by Design die Com- pliance erleichtern. Ich denke, dies wird in Zukunft ein wichtiges Verkaufsargument für Softwarehersteller. Wenn man als Anbieter bereits Dokumentationen oder Zertifi- zierungen vorlegen kann, ist dies ein guter Weg, um die eigene Compliance mit der digitalen Lieferkette gemäß NIS-2 darzustellen. 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024

Welche ersten Schritte sind zur Einführung von Secure by Design wichtig? Steiner: Bevor man sich die Entwicklungsprozes- se betrachtet, sollte man die Organisationsstruktur und grundsätzliche Arbeitsabläufe prüfen. Zum Beispiel hat- ten wir vor der Einführung von Secure by Design einen seriellen Ablauf. Zuerst arbeitete ein Team an einem Teil des Codes, dann das nächste Team und dann das nächste. Daraus resultierten relativ lange Entwicklungszy klen. Zu- dem: Kaum ein Team konnte den Code auf Fehler der Vor- gängerteams prüfen. Jetzt haben unsere Teams ihre eige- nen Module und dadurch parallele Arbeitswege. Darüber hinaus müssen sie bei ihrem Code strenge Unternehmens- richtlinien befolgen, damit die Module zusammenarbeiten und standardmäßig sicher sind. Wir können dabei für jedes Modul verschiedene Arten von Sicherheit anwenden. So werden statische und dynamische Codeanalysen auf jeder Ebene durchgeführt. Wir verteilen damit den kontinuierlichen Testaufwand über die gesamte Codebasis statt wie bisher auf zyklische Securitytests zu setzen. Da die Funktions- und Codeprü- fungen im laufenden Entwicklungsprozess parallel ablau- fen und nicht mehr am Ende, finden und beheben wir Probleme schneller und vor allem gründlicher. Ivanti ist ein Vorreiter für Secure by Design, wie reagieren andere Unternehmen? Kipker: Zum Beispiel hat Microsoft erklärt, dass Cybersecurity-Anwendungen künftig keinen direkten Zu- griff mehr auf den Kernel der Softwareumgebung erhalten sollen, um die Sicherheit des Betriebssystems zu erhöhen. Wir sehen also, dass selbst eines der größten Softwareun- ternehmen der Welt bis heute Security by Design nicht vollständig umgesetzt hat. Deshalb denke ich, dass Ivanti mit seinem neuen Ansatz hier ein Vorbild sein kann, vor allem in der EU. Finanzabteilung abgeschrieben hat. Doch in dieser Zeit entwickeln sich sowohl die Technologien als auch die Angriffsmethoden ständig weiter. In traditionellen Ent- wicklungsprozessen wird Software immer wieder aktuali- siert, basiert aber weiterhin auf der gleichen Grundlage. Das vergrößert die Angriffsfläche innerhalb einer Soft- warelösung deutlich. Können Sie dafür ein Beispiel nennen? Steiner: Ein bekanntes Beispiel ist Windows. Während der gesamten Produktgeschichte war Abwärts- kompatibilität mit früheren OS-Versionen essenziell. Da- her war es in den letzten Jahrzehnten Standard bei allen Softwareentwicklern, alten Code möglichst nicht zu ent- fernen. Selbst im aktuellen Windows 11 findet man im- mer noch DLLs von NT 4.0. Man hat also buchstäblich 40 Jahre alte Software mit im Installationspaket. Gerade auf solche Überbleibsel haben es Angreifer abgesehen, also älteres Material, das einfach nur da ist und nicht mehr ge- wartet und unterstützt wird. Die Beseitigung solcher An- griffsflächen innerhalb einer Softwarelösung muss hohe Priorität haben. Das heißt, Hersteller müssten regelmäßig die ge- samte Software austauschen? Kipker: Ja, und genau das kann Software as a Ser- vice – richtig eingesetzt – zu einer sinnvollen Lösung ma- chen. Wenn der Kunde die Anwendungen nicht On-Pre- mises nutzt, sondern über die Cloud mietet, kann sie der Anbieter laufend aktualisieren. Das betrifft nicht nur neue Funktionen, sondern vor allem auch die Beseitigung von Schwachstellen. Das ist aber auch ein Grund, warum Ed- ge-Geräte zu einem wichtigen Angriffsvektor geworden sind. Denn diese Geräte werden oft über einen längeren Zeitraum nicht aktualisiert. Aber selbst dann gibt es wohl keine hundertpro- Wird dieses Ziel auch von deutschen Behörden un- zentige Sicherheit? terstützt? Kipker: Absolut. Das BSI hat bereits im vergan- genen Jahr gemeinsam mit anderen nationalen Cybersi- cherheitsbehörden Empfehlungen für Hersteller veröffent- licht, wie sie die Grundsätze von Secure by Design stärker in ihre Produktentwicklung implementieren können. Da- bei geben sie auch Hinweise zur konkreten Umsetzung. Wo liegen die Herausforderungen von Secure by Design im Unternehmen? Steiner: Zuerst einmal muss eine Grundbedin- gung erfüllt sein. Der Vorstand muss eine solche Initiative voll unterstützen. Denn mit der Einführung von Secure by Design ändern sich nicht nur Entwicklungs-, sondern auch Organisations- und Führungsprozesse. Eine zweite Herausforderung liegt in der Nut- zungsdauer der Produkte. Wenn Kunden eine Software kaufen, wollen sie jahrelang damit arbeiten, bis sie die Steiner: Die wird es niemals geben. Dabei investie- ren wir und auch viele andere Unternehmen schon erheb- lich in den Bereich Sicher- heit. Unseren Entwicklern geht es dabei so wie Fuß- ball-Torhütern: Niemand spricht über die Paraden, aber alle über das Gegentor. Secure by Design kann aber systematisch dabei helfen, die Anzahl dieser Tore deut- lich zu verringern. ■ Mehr Informationen, wie Ivanti Secure by Design konkret umsetzt, erhalten Sie auf der it-sa am Ivanti-Stand 610 in Halle 7. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 19

it-sa 2024 Zero Trust für E-Mails Die Zeit für eine echte E-Mail-Firewall ist gekommen Regelmäßig lesen wir von erfolgreichen Cyberangriffen mittels E-Mails. Immer wieder verlieren Unternehmen und andere Organisationen den technischen und personellen Wettlauf mit den Angreifern – auch, weil sie ihr schärfstes Schwert nicht nutzen. Dieser Artikel beschreibt den notwendigen Paradigmenwechsel, um langfristig verlässliche Sicherheit zu erreichen. natürlich der Anhangstyp. Die gute Nachricht ist, dass es technisch bereits alle notwendigen Mechanismen zur Prü- fung der Echtheit des Absenders gibt. Die schlechte, dass sie immer noch zu selten eingesetzt werden. Bewährte Verfahren zur Einschätzung der Absenderreputation exis- tieren seit geraumer Zeit und bieten eine wirkungsvolle Möglichkeit, gefälschte Absenderdomänen zu erkennen und so die tatsächliche Absenderreputation zweifelsfrei einschätzen. SPF, DKIM, DMARC, ARC und DANE – die- se fünf technischen Mechanismen greifen bei der Prüfung der Absender- und Empfängerreputation ineinander und sollen hier nur kurz erläutert werden. SPF ermöglicht es dem empfangenden Server einer E-Mail, eindeutig festzu- stellen, ob der einliefernde Server autorisiert ist, im Namen der absendenden Domäne E-Mails zuzustellen. DKIM be- stätigt, dass eine E-Mail authentisch und auf dem Über- tragungsweg unverändert geblieben ist sowie die Echtheit des im Header-From angegebenen Absenders. DMARC baut technisch auf diesen beiden Verfahren auf und de- finiert, wie der Empfänger die Authentifizierung vorneh- men und was im Fall einer fehlgeschlagenen Überprüfung passieren soll. Durch ARC verfügt der Empfänger über In- formationen zu den Ergebnissen der SPF-, DKIM- und Von Stefan Cink, Net at Work GmbH Niemand bei Verstand würde ein Firmennetzwerk ohne eine effiziente Firewall mit dem Internet verbin- den. Eine Firewall regelt den generellen Zugang zum in- ternen Netz. Jeder Administrator, der seinen Job vernünf- tig macht, hat am Ende seines Regelwerks für die Firewall die berühmte „Any-Any-Drop-Regel“. Sie besagt im Kern, dass alles, was vorher nicht explizit zugelassen wurde, ab- gewiesen wird. Die gängige Praxis in der E-Mail-Kommunika- tion sieht dagegen oftmals leider anders aus. Aus Angst, eine wichtige E-Mail fälschlicherweise abzulehnen, werden E-Mails erst einmal großzügig angenommen, um dann mit viel Aufwand herauszufinden, ob sie schädlich sein könn- ten. Dass dieses Vorgehen im Wettlauf von Mail-Security- Lösungen gegen Cyberkriminelle regelmäßig schiefgehen kann, liegt auf der Hand, und die vielen erfolgreichen An- griffe sind ein Beleg des Scheiterns für diesen Ansatz. Hand auf Herz, wie wahrscheinlich ist es, dass ein unbekannter Absender von einer Domain mit zwei- felhaftem Ruf eine für den Mitarbeiter wichtige E-Mail mit einem potenziell gefährlichen Anhang schickt? Wohl eher unwahrscheinlich. Daher drehen wir den Spieß im Sinne eines Zero-Trust-Ansatzes doch einfach einmal um: Alle E-Mails mit Anhängen, die nicht explizit zugelassen sind, werden abgelehnt. Moderne E-Mail-Security-Gate- ways können – analog zu Firewalls – genau das leisten: un- gewollten Traffic ablehnen, bevor er die E-Mailserver des Unternehmens erreicht. Absenderreputation als entscheidendes Kriterium Dreh- und Angelpunkt für dieses Konzept ist die richtige Einschätzung der Reputation des Absenders und 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 KASTEN EINPrüfmechanismen zur Absenderreputation erklärtEine ausführliche Erläuterung von SPF, DKIM, DMARC, ARC und DANE sowie ihrer Nut-zung ﬁnden Sie in einer Blogartikel-Reihe auf der No-SpamProxy-Website www.nospamproxy.de/de/blog

DMARC-Prüfungen, die durch den ersten Teilnehmer der ARC-Kette vorgenommen wurden – auch, wenn die E-Mail durch Weiterleitungen verändert wurde. DANE schließlich dient zur Sicherstellung der Authentizität von Zertifikaten bei der TLS-Verschlüsselung. Diese einfache und ohne teure Werkzeuge um- setzbare Kette an Prüfungen stellt zweifelsfrei sicher, dass die betroffene E-Mail vom angegebenen Absender stammt und unverändert eingetroffen ist – oder anders ausge- drückt, dass sie ist, was sie vorgibt zu sein. Typische Phi- shing-Kampagnen oder Social-Engineering-Angriffe unter Vortäuschung falscher Identitäten lassen sich damit sicher erkennen und abwehren. Ein weiterer, enormer Fortschritt für die Sicher- heit der E-Mail-Kommunikation ließe sich erzielen, wenn endlich alle Akteure zumindest im B2B-Umfeld ausschließlich verschlüsselte E-Mails versenden würden. Standardmäßig signierte und verschlüsselte E-Mails bie- ten ein deutlich geringeres Potenzial für Missbrauch. Für Unternehmen, öffentliche Einrichtungen und andere Or- ganisationen ist E-Mail-Verschlüsselung mit dem richti- gen E-Mail-Security-Gateway ohne großen Aufwand pra- xisgerecht umsetzbar, kostet ein paar Euro pro User und ist allein schon aus Datenschutzgründen zwingend. Nicht umsonst empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) E-Mail-Verschlüsselung im Rahmen des IT-Grundschutzes. Individuelle Bewertung der Vertrauenswürdigkeit Zero Trust in der E-Mail-Kommunikation zahlt sich aus Die Umkehr der Beweislast – der Sender muss nachweisen, dass er vertrauenswürdig ist und nicht der Empfänger, dass dies nicht der Fall ist – ist der Schlüssel zu mehr Sicherheit in der E-Mail-Kommunikation. Wenn alle rechtschaffenden Akteure ihre eigene Reputation pfle- gen und es üblich wird, die Reputation des Senders beim Empfang gewissenhaft zu prüfen, wird es Cyberkriminel- len deutlich schwerer gemacht. Gute, gewollte E-Mails werden ankommen, zweifelhafte abgelehnt. Als angenehmer Nebeneffekt werden Quarantä- ne-Ordner überflüssig, weil zweifelhafte E-Mails nicht an- genommen werden, sondern der Absender über die Nicht- zustellung informiert wird. So wird nicht nur erheblicher Aufwand bei Nutzern und Administratoren eingespart, sondern auch Rechtssicherheit geschaffen. Dabei ist dieser Ansatz keineswegs Zukunftsmu- sik. Mit dem Produkt NoSpamProxy lässt er sich vollstän- dig umsetzen. Das findet auch das BSI so überzeugend, dass NoSpamProxy die weltweit einzige Mail-Security- Software ist, die vom BSI nach BSZ zertifiziert ist. ■ Ist die Authentizität der E-Mail zweifelsfrei bestä- tigt, kann die Reputation weiter bewertet werden: Unter- schiedliche Top-Level-Domains haben unterschiedliche Wahrscheinlichkeiten, problematische Inhalte zu verbrei- ten. Intelligente Anti-Malware-Services wie 32Guards führen übergreifend Metadaten von E-Mails zusammen und erkennen damit neue Malware-Trends, neuartige Spam-Attacken und weitere Cyberbedrohungen aller Art in kürzester Zeit. Diese Services liefern weitere wichti- ge Anhaltspunkte zur Reputation des Absenders und zur Schädlichkeit von Anhängen oder Links. Ein gutes E-Mail-Security-Gateway weiß zudem, ob mit dem Absender bereits E-Mail-Kontakt besteht oder nicht. Dieses Wissen muss konsequent und intelligent ge- nutzt werden. Verzahnung mit anderen Technologien Die konkrete Bewertung der Reputation eines ein- zelnen Absenders erlaubt einen gestaffelten Umgang mit eintreffenden E-Mails. Beispielsweise wird eine E-Mail mit einem Word-Dokument von einem unbekannten Absender von einer zweifelhaften Domain abgelehnt. Wahlweise kann sie auch zugestellt, das Word-Attach- ment jedoch mittels Content Disarm & Reconstruction (CDR) zu einem harmlosen PDF umgewandelt werden. Nur wenn die E-Mail von einem bekannten Absender mit hoher Reputation kommt, wird sie mit dem originalen Word-Anhang zugestellt – wobei natürlich der Anhang vorher auch auf Malware oder schädliche Links hin un- tersucht wird. Diese abgestufte Reaktion kennen wir doch auch bei der physischen Sicherheit: Das Sicherheitspersonal kennt langjährige Mitarbeitende per Augenschein und lässt sie passieren, während unbekannte Besucher sich aus- weisen, registrieren und ihr Handy abgeben müssen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 21 NoSpamProxy Highlights auf der it-sa 2024Vorstellung der weltweit einzigen Mail-Secu-rity-Software zertiﬁziert vom BSI nach BSZSchutz vor Malware, Ransomware und Spam – aus der Cloud oder auf dem Serverpraxistaugliche E-Mail-VerschlüsselungVortrag „Vom User gefeiert, vom BSI zertiﬁziert“ im Knowledge Forum C, Di 16.30 – 16.45, Mi 15.15 – 15.30Halle 7, Stand 7-429

it-sa 2024 Cyber-Resilienz erhöhen und Risikomanagement wirksam verbessern mit Zero Trust und KI Zero-Trust-Konzepte bieten enorme Verbesserun- gen für das Risikomanagement, da sie Angriffe auf Daten und Systeme deutlich erschweren. Warum ist Zero Trust im Backup-Bereich ein wesentlicher Cyber-Resilienz-Faktor und wie kann künstliche Intelligenz (KI) hier unterstützen? Von Andreas Wagener und Markus Stumpf, Empalis Consulting GmbH Was ist einfacher: einen Fuß- ball durch ein offenes Scheunen- tor zu schießen oder ein fußballgro- ßes Loch hineinzusägen und dann zu versuchen, das Loch zu treffen – während es sich ständig hin und her bewegt? Mit anderen Worten: Wie einfach wollen Sie es Ransomware- Angreifern machen, an interne Da- ten zu gelangen? Zero Trust reduziert die Zu- gangsmöglichkeiten für Cyberkrimi- nelle zu den verschiedenen Systemen und Datenbanken, welche die Da- ten – Herzstück eines jeden Unter- nehmens – verwalten, speichern und organisieren, auf ein Minimum. Das weit geöffnete Scheunentor (Berech- tigungen weit gesetzt, jeder Mitar- beiter darf alles) wird mit Zero Trust zum variablen Fußballloch. Rollen genau zu definieren und Berech- tigungen gezielt nur auf benötigte Zeiträume zu reduzieren, erschwert Angreifern deutlich ihren Job: Sie müssen genau diesen Punkt treffen, um ins System zu kommen. Denn Ransomware ist heu- te tatsächlich für viele im Darknet ein Job, der sich lohnt. Wann ist er erfolgreich? Wenn das Backup kom- promittiert ist, die Daten nach einem Angriff also nicht wieder eingespielt werden können und Lösegeldforde- rungen gestellt werden. Das Eingangsbeispiel ver- deutlicht: Zero Trust ist ein zentra- les Konzept, um sich vor den immer neuen Wegen der Ransomware-An- greifer, aber auch vor internen An- griffen sicherer aufzustellen. Um im Angriffsfall den Fortbestand des Un- ternehmens zu sichern, ist eine Zero- Trust-Architektur, insbesondere unter Einbeziehung des Backup-Bereichs, eine (Über-)Lebensversicherung. Doch dahinter gibt es noch viel mehr. Warum Cyber-Resilienz und Cyber-Security Hand in Hand gehen Bisher lag der Schwerpunkt auf der „Festung“ IT-Sicherheit. Ganze Task-Forces wurden aufge- stellt sowie Abwehr- und Detection- Services errichtet, um den Angreifer 22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024

erst gar nicht einzulassen. Doch was geschieht, wenn er bereits an der Ver- teidigung vorbeigekommen ist und das Backup verschlüsselt hat? Wenn es dann kein „sauberes“ Backup mehr gibt, ist guter Rat buchstäblich teuer – spätestens, wenn der Betrieb stillsteht und man Kunden informie- ren muss. Im Umkehrschluss bedeutet dies, dass man im besten Fall zu je- dem Zeitpunkt weiß, was das beste Backup ist. Cyber-Resilienz ist genau dieses Wissen in Vorbereitung auf den Tag X. Da Angriffe heute unver- meidlich sind beziehungsweise die IT-Security diese nicht garantiert ab- wehren kann, hat die europäische Ge- setzgebung mit NIS-2 und DORA nun auch Cyber-Resilienz-Prinzipien aufgegriffen, um kritische Infrastruk- turen (KRITIS) und die Wirtschaft besser zu schützen. Dazu gehört auch Zero Trust, denn Verschlüsselung, Segmentierung und das Thema Rol- len- und Berechtigungskonzepte re- geln am Ende des Tages auch, wer auf das Backup zugreifen kann – und ob die Daten noch wiederherstellbar sind. Nahezu alle Unternehmen wer- den ab Oktober 2024 zu den Seg- menten gehören, die gemäß NIS-2 geschützt werden müssen beziehungs- weise sich besser schützen sollen. Angesichts hoher Strafen, die bei Cybervorfällen drohen, sind viele Unternehmen zwar mit NIS-2 und DORA befasst. Worauf sollte jedoch geachtet werden, wenn nun bestehende Backup- und Recovery- Konzepte im Hause auf ihre Cyber- Resilienz-Fähigkeit geprüft werden? Proaktiver Resilienz-An- satz auf Basis von Zero Trust und KI Der Markt bietet zurzeit zu- nehmend spannende Wege, Zero Trust im Backup-Bereich einzufüh- ren, ohne dass Unternehmen sehr hohe finanzielle und organisatori- Abbildung 1: Die 3-2-1-Regel (Bild: Empalis) sche Hürden nehmen müssen, wie vergleichsweise in der IT-Security- Umgebung. Predatar ist inzwischen für Rubrik, IBM, Cohesity, Veeam, Pure Storage und weitere Hersteller kompatibel. Wie bei allen Zero-Trust-Ar- chitekturen ist der zentrale Zweck, den Zugang zu Daten größtmög- lich einzuschränken, unter anderem durch Medienbruch und Backup- Kopien auf verschiedenen Medien (Disk, Cloud, Tape). Dies wird durch die 3-2-1-Regel umgesetzt (siehe Ab- bildung 1). Wir raten dazu, die Backup- Umgebung auf gewisse Härtungsfak- toren zu überprüfen: 1. Verschlüsselung (Encryption) 2. Zugriffsbeschränkung (Air gap) 3. Unveränderlichkeit (Immutability) 4. Moderne Offsite Copy (Social Firewall) 5. Automatisiertes Scanning, Detecting und DR-Testing (Automation) Diese fünf Schritte zur Här- tung von Backup-Appliances ba- sieren bereits auf wesentlichen Zero-Trust-Prinzipien, sodass sie cy- berresilienter laufen. Im Zusammen- spiel mit KI-Anomalieerkennung, was regelmäßiges Scannen, Testen und Bereinigen der Backup-Daten auf Basis der Cleanroom-Technolo- gie beinhaltet, stellt man sicher, dass die Backup-Daten wiederherstell- bar sind. Dieser proaktive Cyber- Recovery- Orchestration-Ansatz in Kooperation mit unserem Partner Anstatt erst im Incident-Fall einen Cleanroom aufzubauen (reak- tiver Ansatz), testet die KI mit dem proaktiven Ansatz im Cleanroom die Daten regelmäßig und wird dadurch trainiert. Eine nach Zero-Trust-Prin- zipien ausgestaltete Backup-Archi- tektur inklusive Malware-Detection verhindert, dass sich Schadcode auch im Backup ausbreiten und die Daten verschlüsseln kann. Fazit Zero Trust und KI im Back- up-Bereich minimieren Risiken im Unternehmen an der Stelle, an der die Daten im Fall eines Incidents wiederhergestellt werden müssen. Doch ist Ihr Unternehmen restore- fähig? Im Ernstfall ist es von exis- tenzieller Bedeutung, die Daten wie- derherstellen zu können – und das so schnell und vollständig wie möglich. Dies steht und fällt mit der Resilienz des Unternehmens: Trainieren Sie Ihre Daten? Wann wurde der letzte Re- store getestet? Wie lange dauert der Re- store? Was ist das letzte „gute“ Backup? Ist Ihre Infrastruktur für ei- nen DR-Restore, also eine große An- zahl von Restores zur gleichen Zeit, gewappnet? © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 23

it-sa 2024 Abbildung 2: Proaktiver Ansatz des Clean rooms: KI-basierte An- omalieerkennung (Bild: Empalis) Ein moderner Cyber-Resili- enz-Ansatz verbindet Zero Trust mit KI-basierter Anomalieerkennung und bietet damit die Sicherheit, dass die Daten in einem geschützten Raum liegen, auf welchen nur weni- ge Personen Zugriff haben. Selbst wir als externe Dienstleister haben kei- nen direkten Zugriff auf Daten, die ein Kunde bei uns sichert. Die Da- tencontainer werden mit dem Medi- enbruch sicher verwaltet. Der Vorteil des geschützten Raums ist, dass Daten regelmäßig ge- scannt und getestet werden können, ohne den Produktivbetrieb zu stören. Durch diese Maßnahmen hat man eine erhöhte Resilienz gegenüber der Zerstörung von Daten im Angriffs- fall, indem die Restore-Fähigkeit si- chergestellt wird. Durch den proaktiven An- satz von Zero Trust kann es dem Risi- komanagement gelingen, vorbereitet zu sein, und dabei dank der KI-ba- sierten Automatisierung Ressourcen in IT-Teams für weitere Aufgaben freizuhalten. Eine Win-Win-Situa- tion auf mehreren Ebenen, denn für das Unternehmen bedeutet dies zu- gleich, auch die Anforderungen für mehr Cyber-Resilienz nach NIS-2 und DORA zu erfüllen. ■ Andreas Wagener ist Bereichsleiter Data Protection Consulting. Markus Stumpf ist Business Develop- ment Manager bei der Empalis Con- sulting GmbH. 24 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024 Vorteile einer KI-basierten, isolierten Restore-Umgebung (Cleanroom)Permanentes Scanning, Restore und Testing, um aufwendige DR-Tests zu automatisieren.Der Aufwand, das beste Backup zu ﬁnden und wiederherzustel-len, reduziert sich deutlich.Nutzer können den Cleanroom selbst verwalten.Ein Cleanroom verknüpft dabei viele Eigenschaften eines guten Zero-Trust-AnsatzesBeschränkter Zugriﬀ (Role-based Access)Geprüfte Umgebung (gehärtete Systeme nach den fünf Schritten)Unveränderbarkeit der Daten (Immutability)

it-sa 2024 Die it-sa Expo&Congress feiert Jubiläum Im Oktober steht Nürnberg ganz im Zeichen der IT-Sicherheit. Die Fachmesse it-sa Expo& Congress feiert in diesem Jahr ihr 15-jähriges Jubiläum. Vom 22. bis 24. Oktober wird das Messezentrum Nürnberg wieder zum Hotspot für IT-Sicherheitsexperten aus aller Welt. Mit über 800 erwarteten Ausstellern in vier Hallen und einem umfangreichen Foren- und Kon- gressprogramm ist die diesjährige Veranstaltung die bisher größte. Zu- nehmende Unsicherheiten in den in- ternationalen Beziehungen, Profes- sionalisierung bei Cyberkriminellen und der Einsatz von KI – Heraus- forderungen wie diese machen den Austausch unter IT-Security-Profes- sionals wichtiger denn je. Die Mes- se it-sa bietet dazu eine gute Gele- genheit: Mit derzeit aus 27 Ländern gemeldeten Ausstellern und interna- tionalen Gemeinschaftsständen aus Israel, der Tschechischen Republik und Österreich unterstreicht sie ein- mal mehr ihre Rolle dafür. Neben Ausstellern und Net- working steht der Wissens- und Technologietransfer im Mittelpunkt. Zahlreiche Vorträge, Workshops und Diskussionen ermöglichen einen ver- tieften Einblick in aktuelle Themen wie Cyberresilienz, NIS-2 und die neue KI-Verordnung. Das mit dem Besucherticket frei zugängliche Fo- renprogramm bietet diesmal auf sechs Bühnen. Vorträge, Workshops oder Podiumsdiskussionen weite- rer Aussteller bieten vertiefende In- formationen zu aktuellen Themen. Mehr Informationen zur Messe un- ter www.itsa365.de. Produkte Sicherer digitaler Arbeits platz: Die dataglobal Group, ein An- bieter von Lösungen für den digita- len Arbeitsplatz, ist erstmals auf der it-sa in Nürnberg vertreten. Das Un- ternehmen stellt dort ein integrier- tes, mehrstufiges Sicherheitskonzept für den Schutz von Unternehmens- daten vor, das Informationen über alle Stufen ihres Life-Cycles beglei- tet. Das Sicherheitskonzept für den „Digital Workplace“ besteht aus dem Dreiklang Abwehr, Awareness und Archivierung. Das Konzept kombi- niert sicheres Filtern externer Inhalte wie E-Mails auf Cyberbedrohungen mit einer kontinuierlich geförderten User-Awareness und der sicheren Ar- chivierung sowie Versionierung von Kommunikation und Dokumenten. Halle 6, Stand 213 „Cybersecurity at your Ser vice”: Im Fokus des Messeauftritts von Sophos stehen Managed-De- tection-and-Response-(MDR)-Lö- sungen und Managed-Risk-Services. Darüber hinaus zeigt das Unterneh- men aktuelle und neue Lösungen für Secure-Access-Points, Endpoints und die neuen Firewall-Entwicklun- gen sowie Zero Trust Network Ac- cess. Alle Lösungen und Services sind Teil des integrierten „Sophos Adap- tive Cybersecurity“-Ecosystems und Basis für individuelle Cybersicher- heit, die sich in die IT-Umgebung der Anwender integriert. Abgerundet wird der Messeauftritt durch Vorträ- ge von Sophos im Knowledge-Fo- rum. Halle 7, Stand 227 AllinonePlattform für si cheren Datenaustausch: FTAPI prä- sentiert am Messestand seine All- in-one-Plattform. Die Plattform für sicheren und verschlüsselten Da- tenaustausch ermöglicht die flexib- le Kombination aller Produkte des Software-Anbieters und unterstützt Unternehmen dabei, gesetzlichen Regularien und Compliance-Anfor- derungen zu entsprechen. Zudem wird FTAPI neue Entwicklungen und Lösungen vorstellen. Besonders im Fokus steht dabei die Browser- basierte Ende-zu-Ende-Verschlüsse- lung. Diese Technologie ermöglicht es, Daten direkt im Browser zu ver- schlüsseln – der Prozess erhöht die Sicherheit und verbessert zudem die Benutzerfreundlichkeit. Halle 7, Stand 509 Generativer künstliche In telligenz (KI): Die Einführung und Nutzung von KI-Assistenten wie Mi- crosoft Copilot birgt deutliche Ri- siken für die Datensicherheit von Unternehmen. Wie man diese adres- sieren und minimieren kann, zeigen die Spezialisten von Varonis Systems. Varonis für Microsoft 365 Copilot ist die erste speziell entwickelte Lö- sung zum Schutz des KI-Assistenten. Sie baut auf der bestehenden Mic- rosoft-365-Sicherheitssuite auf und schützt Unternehmen sowohl vor der Einführung als auch während des Einsatzes, indem sie den Zugriff auf Daten in Echtzeit überwacht, abnor- male Copilot-Interaktionen erkennt und den Zugriff auf sensitive Da- ten sowohl durch Menschen als auch durch KI-Agenten automatisch be- grenzt. Halle 7A, Stand 319 ■ 26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa 2024, Oktober 2024

+ Mehr wissen mit Sichern Sie sich Ihren Wissensvorsprung in der Informationssicherheit! ▪ Fachzeitschrift inkl. Specials 6x jährlich per Post und digital. ▪ Zugang zu aktuellen Online-Fachartikeln und Studien sowie zu dem kompletten Online-Archiv. ▪ Exklusiver Zugriff auf über zwanzig neue Online-Premium-Artikel pro Monat sowie auf aktuelle Videos und Webinaraufzeichnungen. ▪ 10 % Rabatt auf DATAKONTEXT- Online-Schulungen im Bereich Informations sicherheit. ▪ nur 199,— € im Jahr (inkl. Mwst. und Versand) Jetzt 30 Tage kostenfrei testen: www.kes-informationssicherheit.de

OT SECURITY NIS2 & IT-SIG 2.0 § Anomalieerkennung, Risikomanagement, Netzplan § Minimaler Aufwand für maximale Transparenz § SysLog Event Manager § Funktionen & Schnittstellen für SIEM Systeme § Unterstützt die Richtlinien vom B3S WA (DVGW W 1060 (M), DWA-M1060) § Umfangreiche Schulungs- und Consultingpakete BEREITS ÜBER 500 INSTALLATIONEN IM ENERGIESEKTOR TREFFEN SIE UNS AUF DER IT-SA IN NÜRNBERG! Erleben Sie OT Security im Einsatz – vom 22.-24.10.2024 live: Stand Nr. 202 in Halle 7A | Jetzt Eintrittsgutschein sichern! Informationen finden Sie hier: videc.de/itsa-messe/

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: www.kes-informationssicherheit.de/print/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Registrieren Sie sich jetzt für Ihren Testzugang: www.kes-informationssicherheit.de/ benutzerbereich/registrierung/ LESEPROBE <kes> AUF DEN FOLGESEITEN

Systeme und ihr Umfeld Passkeys Passkeys Wie steht es um den Standard für passwortlose Anmeldung? Passkeys sollen ein passwortloses Anmelden auf allen Geräten ermöglichen. Das Verfahren wur- de erstmals bereits 2022 angekündigt. Hat es sich durchgesetzt? Wie steht es um die Verbreitung in Deutschland? Welche Vor- und Nachteile zeigen sich? l n o d A n o v t r e i r e n e g d l i B – t o l i p o C t f o s o r c i M : e l l e u Q Von Sven Hillebrecht, Ravensburg In einer Zeit, in der die IT zum fünften Element unseres Lebens geworden ist, sind Passwörter unverzicht- bar. Mit dem Fortschritt der Technik sowie steigenden Cy- berbedrohungen hat der Schutz unserer digitalen Werte eine neue Bedeutung erlangt, allem voran bei mobilen Ar- beitsplätzen. Gleichzeitig bringen Passwörter viele Heraus- forderungen mit sich: Sie öffnen Angreifern* Tür und Tor zu unseren Daten und Informationen. Tatsächlich gibt es jede Sekunde Tausende von Angriffen auf Passwörter und die Häufigkeit hat sich im letzten Jahr verdoppelt. Da- rüber hinaus sind sie in ihrer unübersichtlichen Vielzahl und Änderungsfrequenz schwer zu merken und bringen selbst in Kombination eines Passwortmanagers eine gewis- se Komplexität im Handling mit (siehe auch [1]). wurden, einer IT-Sicherheitsorganisation, die im Februar 2013 offiziell gegründet wurde, um zusammen mit vielen verschiedenen Unternehmen offene und lizenzfreie Indus- triestandards für die weltweite Authentifizierung im Inter- net zu entwickeln. Seit den ersten Tagen von Passkeys hat sich viel an ihrer Nomenklatur und Verfügbarkeit getan. Der Alliance ist es gelungen, dass sich Benutzer mit den geräteübergreifenden FIDO-Anmeldedaten schnell und sicher auf jedem ihrer Systeme ohne Passwort anmelden können. Passkeys setzt sich dadurch immer mehr durch. Was sich jedoch noch verbessern ließe, ist das Wissen über Passkeys, ihre Funktionsweise sowie Vor- und Nachteile. Funktionsprinzip Um im Passwort-Dschungel zu bestehen, wird seit Jahren die passwortlose Authentifizierung forciert. Die letzten Entwicklungen in diesem Bereich sind Passkeys, die von der FIDO Alliance (Fast IDentity Online) getrieben Passkeys sind eine passwortlose Authentifizie- rungsmethode, die Gesichtserkennung, Fingerabdrücke oder Geräte-PINs anstelle traditioneller Passwörter nutzt. Passkey ist keine Marke und kein Produkt, sondern ein 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#5

Verfahren, das Onlinedienste einbinden und für den Log- in anbieten können (vgl. [2]). Diese Methode verspricht eine sichere und benutzerfreundliche Möglichkeit, um sich mit einem als Authenticator dienenden System auf verschiedenen Geräten anzumelden – sie ist widerstands- fähig gegen Phishing und Manipulationen. Technisch basiert diese Methode auf Public-Key- Kryptografie (siehe auch Kasten „Die Kryptografie hinter Passkeys“), die sicherer ist als Passwörter, da keine gemein- samen Passwörter übertragen werden. Stattdessen kommt in bekannter Manier ein Schlüsselpaar zum Einsatz: Der öffentliche Schlüssel (Public Key) wird auf dem Server ge- speichert, während der geheime Schlüssel (Private Key) idealerweise auf dem Gerät des Benutzers verbleibt und niemals geteilt wird. Für die Authentifizierung muss das Clientgerät nachweisen, dass es den geheimen Schlüssel besitzt. Dies erfolgt durch eine Abfrage beim Entsperren des Geräts oder der App mithilfe von Biometrie, PIN oder Muster. FIDO-Protokolle legen großen Wert auf den Da- tenschutz der Nutzer, indem sie verhindern, dass Online- dienste Informationen miteinander teilen oder Benutzer über mehrere Plattformen hinweg verfolgen. Zudem blei- ben alle während des Authentifizierungsprozesses genutz- ten biometrischen Daten auf dem Gerät des Nutzers und werden weder über das Netzwerk noch an den Dienst ge- sendet. Für Benutzer verschwindet diese Komplexität im Hintergrund, sodass nur das einfache Entsperren erforder- lich ist. Passkey und die Zwei-Faktor- Authentifizierung Auch Passkey benötigt einen zweiten Faktor für die Sicherheit. Ohne eine zusätzliche biometrische Hür- de könnte jeder, der ein Smartphone findet oder ein Tab- let stiehlt, die Zugänge des Eigentümers kompromittieren. Der Authenticator muss daher vor der Nutzung entsperrt werden, sodass Passkey sowohl auf den geheimen Schlüssel als auch auf Wissen (z. B. eine PIN) oder Biometrie (z. B. Gesichtsbild) basiert. Dieser zweite Faktor wird ausschließlich gegen- über dem Authenticator präsentiert und nicht bei den Onlinediensten gespeichert. Für Benutzer ist der Aufwand gering, da sie etwa nur ihren Fingerabdruck scannen müs- sen, während die kryptografischen Berechnungen im Hin- tergrund erfolgen. Dadurch bietet Passkey hohen Komfort ohne Sicherheitsverlust. Gerät verloren – und nun? Falls das Gerät, auf dem die Passkeys hinterlegt wurden, verloren gegangen ist, lassen sich die Zugänge mit physischen Backups wiederherstellen – dasselbe gilt, wenn man seine Passkeys in eine Cloud synchronisiert hat. Sollten keine Sicherheitskopien der Passkeys vor- liegen, bieten einige Dienste weitere Möglichkeiten, um die eigene Identität nachzuweisen und so beispielsweise ei- nen neuen Passkey für den Zugang zu erstellen. In selte- nen Fällen kann es aber vorkommen, dass man sich nach dem Verlust eines Geräts nicht mehr einloggen kann – dann hilft nur, den Anbieter zu kontaktieren und den Ac- count wiederherstellen zu lassen. Vor- und Nachteile Vorteile in der Nutzung Handhabung: Passkeys sind smarter als Passwörter, allein schon, weil man sie nicht vergessen kann. Skalierbarkeit auf allen Geräten: Passkeys ermögli- chen einen nahtlosen Zugriff, indem Benutzer denselben Passkey auf mehreren Geräten in einem bestimmten Öko- system verwenden können. Im Gegensatz zu Passwörtern erstellen sie einen Passkey einmal und können ihn über- all einstzen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#5 13 Die Kryptograﬁe hinter PasskeysDie kryptografischen Grundlagen von Passkey basieren auf dem sicheren und bewährten Web-Au-thentication-Protokoll (WebAuthn, [3]). Dieser Stan-dard ist vor allem als zentraler Baustein von FIDO2 bekannt und verwendet asymmetrische Kryptografie zusammen mit einem Challenge-Response-Verfah-ren für sichere Authentifizierung. Für WebAuthn sind immer drei Komponenten erforderlich: die Relying Party, bei der man sich authentifi-zieren möchte, beispielsweise eine Webseite oder ein Onlinedienstder Client, der technisch die Schnittstelle zwi-schen der Relying Party, dem sich authentifizierenden Nutzer und dem Authenticator umsetzt – dieser Cli-ent ist in der Regel innerhalb des Browsers oder des Betriebssystems eines Mobiltelefons eingebettetder Authenticator, der das erforderliche Schlüs-selmaterial erzeugt, benutzt und sicher verwaltet – dies kann ein Hardware-Token sein, aber auch als Teil des Betriebssystems eines PCs, Tablets oder Smart-phones oder als zusätzliche Software realisiert werden

Systeme und ihr Umfeld Passkeys Durchgängigkeit: Mit Passkeys kann man sich auf einem Mobilgerät bei einer App oder einem Dienst an- melden, egal welche Plattform oder welcher Browser ge- nutzt wird. Sicherheitsvorteile Phishing-Resistenz: Passkeys blockieren Social-En- gineering-Angriffe, da sie nur für die Website funktionie- ren, für die sie erstellt wurden – Fake-Websites bleiben außen vor, da ein entsprechendes Gegenstück des Pass keys fehlt. Mehr Sicherheit vor Datendiebstählen: Datenban- ken sind ein Hauptziel für Cyberkriminelle, da sie häu- fig Passwörter und andere persönliche Daten speichern. Da kein gemeinsam gespeichertes Passwort weitergegeben wird, sind die Server für Kriminelle, die Kundenanmelde- informationen stehlen möchten, ein weniger interessantes Ziel. Standardmäßig stark: Im Gegensatz zu Passwör- tern sind Passkeys immer stark und können nie erraten oder gesehen werden, was sie weniger anfällig für Social- Engineering-Angriffe macht. Vorteile für Sicherheitsverantwortliche Integration: Unternehmen können mit Passkeys vorhandene Systeme und Verfahren einsetzen, die Benut- zer kennen und täglich nutzen. Imageförderung: Mit Passkeys wird die Kontosi- cherheit von Kunden und Mitarbeitern gefördert, was ei- nen guten Eindruck hinterlässt. Stärkung der „menschlichen Firewall“: Passkeys re- duzieren den Aufwand in der Sensibilisierung von Mitar- beitern um ein Vielfaches. Einfache Konfiguration: Die Umsetzung wird von den großen Tech-Konzernen nicht nur unterstützt, son- dern mitentwickelt – das macht die Integration einfach. Vorteile für Unternehmen Erhöhung der Konversationsrate: Daten von Google zeigen, dass Benutzer, die sich mit Passkeys authentifizie- ren, mit viermal höherer Wahrscheinlichkeit konvertieren. Weniger Passwörter, weniger Abbrüche: Über 80 % der Kunden brechen eine Kontenerstellung aufgrund komplizierter Passwortrichtlinien ab – Passkeys kann die Benutzerinteraktion und -bindung steigern, indem das mühsame (und unsichere) Eingeben von Zeichenfolgen entfällt. o c i b u Y : o t o F 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#5 Break-Glass-Accounts – ein wichtiges SicherheitsnetzNotfallzugänge, auch „Break-Glass-Ac-counts“ genannt, sind privilegierte Konten, die von Richtlinien befreit sind und nur in Ausnahmefällen aktiviert werden. Solche Situationen können durch falsche Konfigurationen, Hackerangriffe oder andere Gründe entstehen, die Administratoren aus der Ver-waltung aussperren. Ein Notfallzugang für Microsoft 365 dürf-te im Unternehmenseinsatz als Muss im Sicherheits-Stack gelten. Ein Notfall-Admin unter Microsoft Entra ID (vormals Azure AD) ist ein spezielles Konto mit erweiterten Rechten für Notfälle, wenn normale Zugangswege nicht verfügbar sind. Es hat Global-Ad-min-Berechtigungen und soll verhindern, dass man aus dem eigenen Azure Active Directory (AD) aus-geschlossen wird. Solche Konten erfordern keine kos-tenpflichtige Lizenz und sind leicht einzurichten, aber im Notfall sehr nützlich – Microsoft empfiehlt, solche „Notfallzugriff“-Konten anzulegen (vgl. [4]). Diese Zugangsmöglichkeit lässt sich auch mit FIDO2-Keys als MFA-Methode einrichten – entspre-chende Dienstleister können dazu auch die passende ISO-Dokumentation liefern. So kann in einer kriti-schen Situation der Zugang zeitnah und kontrolliert ermöglicht werden.Für den Zugang zum Notfall-Admin-Account lassen sich auch physische FIDO2-Token in verschiedenen Formfaktoren einsetzen (im Bild: YubiKeys der FIPS-140-Familie).

Nachteile Ohne Gerät keine Anmeldung: Das erforderliche Gerät mit dem speziellen Schlüssel muss stets griffbereit sein – geht zum Beispiel das Smartphone verloren, lassen sich Passkeys zwar eventuell wiederherstellen, aber es ist zunächst etwas Aufwand nötig. Mindestanforderungen an Geräte: Passkeys benöti- gen neuere Betriebssystem- (Window 10, MacOS Ventu- re oder iOS16 oder neuer) sowie Browserversionen (Edge 109, Safari 16, Chrome 109 oder neuer) [5]. Bedingter „Lock-in“: Das BSI kritisiert, dass Pass- keys oft an bestimmte Produkte und Ökosysteme ge- bunden sind, was die plattformübergreifende Nutzung erschwert. Nutzer, die weder Apple-, Google- noch Micro- soft-Produkte verwenden wollen, benötigen einfache Pass- key-Alternativen – diese erscheinen zwar nach und nach auf dem Markt, bleiben jedoch neben den großen Anbie- tern häufig unbemerkt. „Un-Teilbarkeit“: Eine Lösung für den Fall, dass mehrere Personen auf einen Account zugreifen müssen, ist derzeit erst in der Entwicklung. Das kann zu Einschrän- kungen im Berufs- oder Familienumfeld führen, da Pass- keys an ein einzelnes Gerät gebunden sind. Stand in Deutschland Obwohl Passkeys noch verbessert werden müssen und nicht völlig „hackersicher“ sind, sehen viele Experten sie als künftigen Ersatz für die Zwei-Faktor-Authentisie- rung (2FA) und die ungeliebten Passwörter. Passkeys verhindern keinen Datendiebstahl, ma- chen es Betrügern aber zumindest heute noch schwer! Das BSI rät Verbrauchern schon jetzt: „Wenn ein vertrauter Diensteanbieter die Einrichtung eines Passkeys vorschlägt, können Sie die Technologie bedenkenlos nutzen und Ihr Passwort ersetzen.“ Mit gutem Beispiel gehen Google und Microsoft voran, die das Einloggen ohne Passwort bereits für ihre Dienste anbieten. Microsoft ist besonders konsequent und erlaubt seinen Nutzern sogar, das Passwort aus dem Ac- count zu löschen, damit Angreifer es nicht als Hintertür missbrauchen können – zudem wurde aktuell ein Benut- zer-Portal für die Passkey-Verwaltung eingerichtet. Genau so sollte eine passwortfreie Zukunft aussehen. Fazit Auch wenn bisher eine breite Akzeptanz seitens der Dienste fehlt, stehen die Chancen gut, dass sich Pass- keys als Standard für die sichere Authentifizierung durch- setzen. Wie schön wäre eine Zukunft, in der man sich per Passkey einloggen kann und nicht dazu aufgefordert wird, ein langes und kompliziertes Passwort einzufügen, für des- sen Sicherheit der Dienst nicht garantieren kann?! Die FIDO-Alliance verbessert mit Passkeys den Sicherheitsstandard und die User-Experience gleicherma- ßen. Passkeys ermöglicht es Benutzern, sich auf dieselbe Weise anzumelden, wie sie ihr Mobilgerät entsperren. Passkeys sind in der Sicherheitswelt vielfach be- liebt, weil Sicherheitsverantwortliche und Anwender gleichermaßen von der Technologie profitieren. Eine Aus- einandersetzung lohnt sich – gleich, ob man das Authen- tifizierungsverfahren in eigene Dienste integrieren oder Accounts von Dritten schützen will. ■ Sven Hillebrecht ist General Manager des IT-Beratungs- unternehmens Adlon. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#5 15 Literatur[1] Norbert Luckhardt, Passwort 2020, <kes> 2020#2, S. 26, www.kes-informationssicherheit.de/print/titel-thema-blockchain-nach-dem-hype/passwort-2020/ (kostenpflichtig)[2] FIDO Alliance, Passkeys 101, Accelerating the Availability of Simpler, Stronger Passwordless Sign-Ins, undatiert, https://fidoalliance.org/passkeys/[3] Jeff Hodges, J. C. Jones, Michael B. Jones, Akshay Kumar, Emil Lundberg (Hrsg.), Web Authentication: An API for accessing Public Key Credentials, Level 2, World Wide Web Consortium (W3C) Recommenda-tion, April 2021, www.w3.org/TR/webauthn/[4] Microsoft Learn, Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID, Mai 2024, https://learn.microsoft.com/de-de/entra/identity/role-based-access-control/security-emergency-access[5] Microsoft Support, Anmelden mit ei-nem Schlüssel, undatiert, https://support.micro - soft.com/de-de/account-billing/anmelden-mit-ei-nem-schl%C3 %BCssel-09a49a86-ca47-406c-8acc-ed0e3c852c6d