Good Contents Are Everywhere, But Here, We Deliver The Best of The Best.Please Hold on!
Your address will show here +12 34 56 78
Microsoft, Security

Ab dem 25. Mai wird in diesem Jahr wird eine neue Verordnung angewendet, die den Umgang mit personenbezogenen Daten neu regelt. In dieser Serie werden wir einen Ausschnitt der neuen Regelung vorstellen. Anschließend werden diese mit praktischen Tipps und Hinweisen zu hilfreichen Werkzeugen ergänzt, damit der Umstieg auf neue und gesetzeskonforme Arbeitsabläufe gelingt.

Teil 3: Transparenz als ein Grundsatz der DSGVO

Gerade die Artikel der DSGVO, in welchen von den Verantwortlichen Transparenz gefordert wird, halten für Unternehmen Stolpersteine bereit. So zum Beispiel der Artikel 12, welcher Unternehmen verpflichtet, allen von der Datenverarbeitung betroffenen Personen eine Vielzahl von Informationen in Bezug auf die Datenverarbeitung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (Art. 12 Abs. 1). Die Auflistung der weiteren Informationen, die betroffenen Personen zugänglich gemacht werden müssen, sind in der DSGVO ebenfalls aufgelistet (vgl. u.a. Art. 13, 14, 15 DSGVO). Das hat zur Folge, dass es stets durchführbar sein muss, in einfacher Form aus großen Datensätzen oder Datenbanken spezielle Informationen zu isolieren, exportieren und der betroffenen Person zur Verfügung zu stellen. Zur Erinnerung: Auch dieser Vorgang fällt wieder unter die Dokumentationspflicht und muss daher nachvollziehbar ablaufen. Anschließend muss eine Konvertierung der Daten in ein für Laien lesbares Format erfolgen (vgl. Art. 20 Abs. 1), da nicht einfach ein unformatierter Datenbankauszug versendet werden kann. Hierbei entstehen für Firmen enorme Zeitaufwendungen, falls sie unvorbereitet mit vielen Anfragen konfrontiert sind und noch kein System zur einfachen Abarbeitung dieser Anfragen einsetzen. Alle diese immer wiederkehrenden Workflows müssen maschinell ablaufen, da sie zu viel Arbeitskraft erfordern, wenn jeder Schritt von Mitarbeitern einzeln auszuführen ist. Der Zugriff betroffener Personen auf Ihre Daten darf ebenfalls nicht behindert werden. Es ist im Gegenteil explizit die Pflicht zur Erleichterung des Zugriffs vorgeschrieben, der nur in Ausnahmefällen verweigert werden darf (vgl. Art. 12 Abs. 2).

Datensicherheit trotz bekannter Lücken

Ein zusätzlicher mit Problemen behafteter Punkt ist das Thema Sicherheit. Besonders durch die jüngsten Sicherheitslücken bei Prozessoren („Meltdown“ und „Spectre“), von denen fast alle Geräte betroffen sind, zeigen sich auch in der öffentlichen wie medialen Diskussion die Hürden bei der Etablierung sicherer Systeme. Die DSGVO erklärt jedoch ein „angemessenes Schutzniveau“ (vgl. Art. 32 Abs. 1 DSGVO) für personenbezogene Daten zur Pflicht. Schluderige Sicherheitssysteme riskieren daher nicht mehr nur den Ruf von Firmen, sondern stellen auch explizit einen Gesetzesverstoß da. Unternehmen sollten daher allerspätestens jetzt über die Implementierung geeignete Sicherheitssysteme nachdenken und diese so bald wie möglich in ihre Infrastruktur integrieren und dann gemäß üblicher Standards und den Regeln der DSGVO stets auf dem aktuellsten Stand halten (vgl. Art. 3 Abs. 1d DSGVO).

Der nächste Beitrag erscheint in einer Woche zur gleichen Uhrzeit.

Haftungsausschluss
Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
0

Betriebssysteme, Microsoft, Security
Wie sicher und praktikabel ist eigentlich die Biometrische Authentifizierung mit Windows Hello im Unternehmen? In diesem Beitrag berichten wir von unseren Erfahrungen, da wir das System bereits mehrfach durchgetestet und für unsere Kunden produktiv aufgebaut haben. 

Windows Hello for Business im Unternehmen (Bildmaterial: microsoft.com)Als 1983 im James Bond Film „Sag niemals nie“ das Konzept eines Retina Scans als eine Biometrische Authentifizierungsmethode erstmals über die Leinwände flimmerte, wurde auch gleich schon die Idee für den kreativen Hack des Systems mitgeliefert: Die Transplantation einer Kopie der Netzhaut der Zielperson, um endlich an die begehrten Atomsprengköpfe zu kommen.Heute gehören biometrische Methoden – ganz ohne nukleares Bedrohungsarsenal – schon fast zum Alltag. Sei es bei der Entsperrung des Smartphones mittels Fingerabdruck oder seit2015 auch beim Einloggen per Gesichtserkennung mit Windows Hello. Bis heute haben wir jedoch relativ wenig über erfolgreiche Transplantationen fremder Finger, Netzhäute oder ganzer Köpfe gehört, um diese neuen Methoden zu überwinden – soweit zum kleinen Unterschied zwischen der Fiktion der Achtziger Jahre und der heutigen Realität.

 

Kein Nutzer lebt zweimal

Die Idee der biometrischen Authentifizierung ist zwar einfach – die Technologie dahinter allerdings komplex. Statt eines Passworts benutzt man ein „lebendiges“ Körperteil, welches das System aufgrund von zuvor durchgeführten Lernprozessen wiedererkennen kann. Stimmt die gespeicherte mit der gescannten bzw. beobachteten Signatur überein, wird der Zugang bzw. Zugriff für die zugehörige Person gewährt. Mit Windows Hello hat Microsoft 2015 einen Service in Windows 10 implementiert, der erweiterte Eingaben bei der Authentifizierung ermöglicht. Darunter zählen PIN-Eingaben genauso wie Fingerabdrücke oder die Gesichtserkennung. Während Windows Hello vor allem für den Privatgebrauch am persönlichen Gerät gedacht ist, gibt es mit Windows Hello for Business auch ein administrierbares Enterprise Pendant. Damit ist diese Technologie auch zur Anmeldung im Unternehmensnetzwerk nutzbar. Die innovativste und dabei sehr sichere Authentifizierungsmethode ist dabei die Gesichtserkennung, denn Fingerabdrücke sind leichter kompromittierbar und hochwertige Komponenten (Sensoren), die auch eine Lebend-Erkennung über die Kapillaren ermöglichen, sehr kostspielige Anschaffungen. Die Gesichtserkennung eignet sich sehr gut, da ein Gesicht komplexe Merkmale aufweist, die insgesamt einem extrem langen Passwort entsprechen. Nach einer kurzen Anlernphase und der Vermessung des Gesichts wird aus diesen Maßen ein eindeutiger Hash-Wert gebildet. Die Signatur wird dann entweder in einem verschlüsselten Bereich auf der Festplatte oder – wenn in der Hardware vorhanden – in einem lokalen TPM-Chip (Trusted Platform Module) ebenfalls verschlüsselt gesichert. Aus Sicherheitssicht sind die TPM natürlich die bessere Wahl. TPM-Chips in der Hardware sind in eine Reihe sicherheitsrelevanter Windows Features wie Secure Boot, Device und Credential Guard involviert, da sie isolierte Container innerhalb der Gesamtsysteme darstellen und ihre Informationen nicht an andere Komponenten weitergeben (z. B. RAM, Festplatte etc.). Bei der Recherche für den Kauf neuer Hardware ist die Berücksichtigung von TPM-Technologie also von Vorteil. Die persönlichen Signaturen werden auch im Unternehmenskontext niemals das „angelernte“ Gerät verlassen. Selbst wenn sich die Services Dritter (z. B. spezielle Webseiten oder Portale) der Authentifizierungsmethode bedienen, bleiben die biometrischen Daten auf dem Gerät und es werden für die Anmeldung mithilfe von Challenge-Response-Methoden nur Bestätigungen zwischen den Diensten ausgetauscht. Datenschützer dürfen also beruhigt sein und bei richtigem Einsatz bietet das Gesamtpaket ein sehr hohes Sicherheitsniveau.

Schematische Darstellung der grundlegenden Windows Hello-Funktionalität (Bildquelle: microsoft.com)

Schematische Darstellung der grund-
legenden Windows Hello-Funktionalität
(Bildquelle: microsoft.com)

 

Equipment und Briefing

Für den produktiven Einsatz benötigt man Windows 10 Clients auf den Workstations, mindestens einen Windows Server 2016 im Netzwerk und natürlich entsprechende Eingabegeräte. Die Gesichtserkennung erfordert dabei eine Tiefenfeld- bzw. 3D-Kamera. Eingebaute 3D-Kameras bieten derzeit nur das Microsoft Surface und einige Topmodelle von HP, DELL und Lenovo (Liste kompatibler Geräte). Bei der Einführung ist gerade in größeren Unternehmen ein schleichendes Vorgehen sinnvoll, bei dem zunächst erste Erfahrungen in einzelnen Bereichen entstehen. Insgesamt ist der Einführungsaufwand ähnlich komplex wie bei der Etablierung anderer zusätzlicher Sicherheitstechnologien (z. B. RSA-Token-Authentifizierung). Die Authentifizierung gegen ein bestehendes AD im sogenannten Mischbetrieb mit den herkömmlichen Methoden stellt in der Regel kein Problem dar. Die neue Funktionalität ist einfach nur eine zusätzliche Methode und Erweiterung der bisherigen, bewährten Strategie. Im Prinzip stellen PIN und biometrische Daten einen personenbezogenen Schlüssel zu einer Art weiteren Tresor-Box dar, in der alle essentiellen Schlüssel, wie z. B. die diversen Anmeldeinformationen (Benutzername u. Passwort) liegen. Somit können die eigentlichen Zugangsdaten zum Active Directory und weiteren Services nun sehr komplex – also sicherer als bisher – gestaltet und sogar ohne Zutun der User zyklisch geändert werden. Auch das komfortable Single Sign-On über aller Dienste und kompatible Plattformen hinweg lässt sich mit dieser Methode konsequent umsetzen. Eine erhebliche Vereinfachung im digitalen Alltag. Scheiden Mitarbeiter aus dem Unternehmen aus, lassen sich über den Server die entsprechenden lokalen Signaturen natürlich auch für ungültig erklären. Mrs. Moneypenny wäre glücklich.

…biometrisch, praktisch, gut

Unseren Erfahrungen nach ist die Gesichtserkennung mit Windows Hello in der alltäglichen Anwendung sehr zuverlässig und ausgereift. Kaum hat man sich seinem Bildschirm zugewandt, entsperrt sich das Gerät und man ist an allen integrierten Diensten eingeloggt. Das Anlernen des Systems dauert weniger als eine Minute und die User werden ohne Umstände einfach und komfortabel durch den Prozess geführt. Befindet man sich außerhalb der Reichweite, gibt das System Feedback und Hinweise, damit Anlernen oder Authentifizieren doch noch klappen. Das funktioniert sehr geschmeidig und wirkt ausgereift. Keine Chance gibt es für Blofeld, Golfinger & Co, denn die Erkennungsalgorithmen sind sehr feingranular. Schon eine neue Brille oder ein längerer Bart nach dem Urlaub reichen – und das System erkennt einen nicht mehr. Ab welcher Bartlänge es dann soweit ist, haben wir allerdings nicht ausgetestet. Selbst mit sehr gut ausgedruckten 3D-Masken konnte man das System aber bisher nicht überlisten (Test auf Heise Security).

Worauf Q stolz wäre

Neben der eineindeutigen Identifikation eines Nutzers am System, muss man den erheblichen Zugewinn an Sicherheit bei gleichzeitig sehr hoher Usability an vorderste Stelle aller Vorteile nennen. Die Kompromittierung von Zugangsdaten durch diverse Keylogger, Kameraspionage, einfaches Aufschreiben, absichtliche bzw. versehentliche Weitergabe oder Phishing-Attacken ist erheblich erschwert. Ein Gesicht kann eben nicht einfach weitergeben werden. Natürlich kann ein Angreifer noch physische Gewalt anwenden um in das System einzudringen. Gewalt ist jedoch immer das funktionale Ende eines Sicherheitssystems – auch Passwörter bilden da keine Ausnahme. Passwörter können auch vergessen werden oder verloren gehen. Sein Gesicht wird man aber in der Regel immer dabeihaben. Da das System dazu noch sehr genau arbeitet, kann man von einem sehr hohen Sicherheitsniveau ausgehen. Durch die lokale Authentifizierung kann man außerdem darauf verzichten, wiederkehrend nutzerseitige Passwortänderungen einzufordern. Je häufiger Nutzer ein Passwort ändern müssen, desto höher wird die Wahrscheinlichkeit, dass sie sich einfachere Passwörter ausdenken, da diese leichter zu erinnern sind. Solche Passwörter haben natürlich Schwächen oder werden bei strengen Richtlinien am Ende irgendwo notiert. Diese Probleme lassen sich durch die Biometrie natürlich einfach lösen. Eine sichere PIN würde dann nur noch gebraucht, um biometrische Korrekturen (z. B. neue Brille, Frisur, Verletzungen etc.) vorzunehmen. Und selbst diese PIN könnte im Zweifel nur im Bedarfsfall vom IT-Support herausgegeben werden.

Haifischbecken und andere Hürden

Die größte Hürde bei der Einführung: Ein Unternehmen braucht im Idealfall eine Vielzahl personalisierter Geräte, die biometrische Methoden unterstützen. Bei häufig rotierender Workstationnutzung müsste zudem jede Workstation durch jeden der potentiellen Nutzer angelernt werden, da die biometrische Signatur nicht einfach auf andere Geräte übertragbar ist. Ein ungewisse Variable ist die zukünftige Entwicklung und Marktverbreitung der Technologie in Bezug auf die Hardwarebeschaffung, Einführungskosten und den zu erwartenden Langzeitsupport. Die meisten der hochwertigen Sensoren- und Kamerakomponenten sind in größeren Mengen derzeit (noch) nicht einfach von der Stange beziehbar. Ob die Technologie eine erfolgreiche Weiterentwicklung erfährt oder irgendwann eingestampft wird, ist zu diesem Zeitpunkt noch nicht absehbar. Es besteht also ein gewisses Investitionsrisiko. Eher komplex gestaltet sich die administrative Einrichtung im Unternehmensnetzwerk. Die korrekte Einrichtung multipler Gruppenrichtlinien, Einstellungen und Abhängigkeiten erfordert einiges an Aufwand. Biometrische Authentifizierung für Unternehmen kann man nicht einfach kaufen wie ein Produkt mit Wizard und automatischem Setup. Um das Ganze funktional zu gestalten, braucht man ein tieferes Verständnis der Sicherheits- und Netzwerkadministration. Der initiale administrative Aufwand ist also relativ hoch und der Rat eines IT-Sicherheitsexperten ist dafür auf jeden Fall zu empfehlen.

Finaler Mission Report

Mit Windows Hello for Business bietet sich ein weiterer Lösungsansatz zur Potenzierung der IT-Sicherheit. Ein Angreifer müsste schon sehr kreativ werden, um das System erfolgreich auszuhebeln. Ebenfalls steht diese Technik noch am Anfang und die weitere Entwicklung ist nicht absehbar. Allerdings ist der Gewinn an Sicherheit und Usability das Investitionsrisiko wert. Insgesamt ist der Einsatz eher für personalisierte Geräte geeignet. Der erhöhte Einführungsaufwand, die nicht gerade breit verfügbare Hardware und das noch mangelnde Wissen in Form von Guidelines und Best Practices sorgen derzeit noch für Vorbehalte in vielen deutschen Unternehmen. Dabei lohnt sich aber gerade für kleinere bis mittlere innovationsfreudige Unternehmen oder Abteilungen mit überschaubaren Gerätepool der Umstieg von der klassischen zur biometrischen Authentifizierung. Das Phishing-Risiko sinkt deutlich und Mitarbeiter können ihre Passwörter nicht mehr vergessen oder weitergeben. Wie bei jeder Sicherheitstechnologie gilt aber auch für Windows Hello: Bestehende Sicherheitsprobleme lassen sich nicht einfach durch eine neue Technologie lösen. Es gilt zuerst die Probleme zu analysieren und darauf aufbauend passende Sicherheitsprozesse im Unternehmen zu etablieren. Dabei unterstützen wir unsere Kunden natürlich gerne durch professionelle Beratung, umfassende Konzeption sowie beim Aufbau und der Einführung – ob sie nun Unternehmensdaten schützen wollen oder eben ihre Atomsprengköpfe. 

Weiterführende Links

Aktuelle Liste von Laptops, die biometrische Authentifizierung mit Windows Hello unterstützen
Laptops that support Windows HelloSicherheitsbericht und Test der Gesichtserkennung mit Maske Anmeldung per Gesichtserkennung fällt nicht auf Masken rein

0

Abseits des Mainstreams wurde SharePoint 2016 am 6. Mai 2016 relativ leise released. Dabei hätte eines der erfolgreichsten Produkte von Microsoft wesentlich mehr mediale Aufmerksamkeit verdient. Rund um den Globus setzen immer mehr Unternehmen und Konzerne auf diese gereifte Collaboration-Plattform. Grund genug für uns, sich einmal mit der neusten Version des wohl etabliertesten Enterprise Content Management Systems zu beschäftigen.

 

SharePoint 2016 erschien am 06.05.2016

Bildquelle: Microsoft

 

Tobias Gäbler, Leiter unserer SharePoint-Abteilung bei Trans4mation, lächelt während des Interviews für diesen Beitrag wissend in sich hinein. Natürlich will auch ich erfahren, was die neuen Features von SharePoint 2016 sind, welche bedeutenden Änderungen wir zu erwarten haben und wie die neue Version aus der Sicht von Professionals bewertet wird. Und er, bzw. Microsoft haben Glück, denn ich mag SharePoint – ziemlich gern sogar. Wer also einen zu 100% neutralen Bericht erwartet, könnte natürlich an dieser Stelle bereits die Flinte werfen. Ich ermuntere dennoch zum Weiterlesen, denn wir werden hier auch ein wenig die Wermutstropfen kosten und eine sachliche Bilanz ziehen.

Soviel sein schon mal gesagt: Wer bei SharePoint 2016 eine Vielzahl sichtbarer Neuerungen erwartet hat, wird wohl eher ernüchtert sein. Die wesentlichsten Änderungen gibt es vor allem in der Architektur, also im technischen Hintergrund und weniger auf der funktionalen Seite. Microsoft hat sich hier dafür entschieden die Architektur der On-Premise Version identisch mit der Online-Version zu halten und letztere gemäß eines Cloud-First Prinzips zuerst mit Updates zu versorgen. Damit dürften spätere Aktualisierungen der On-Premise Version aufgrund der vorgelagerten Massentests durch Online User wesentlich ausgereifter und stabiler laufen. Überhaupt wurde mit der Version 2016 die  Grundlage für ein SharePoint geschaffen, welches sich dynamisch durch automatisierte Updates und cloudbasierte Feature-Upgrades weiterentwickeln kann – ein neuer strategischer Ansatz, den der Software-Veteran aus Übersee bereits seit Windows 10 stringent verfolgt. Dieser engeren Verbindung folgend, können nun auch Features von OneDrive for Business in On-Premise Versionen genutzt werden. Allem voran ist hier natürlich Microsoft Delve als eine sehr interessante Erweiterung für die interne Suchfunktion zu nennen. Delve liefert als Machine-Learning-Algorithmus je nach Nutzeraktionen im gesamten Office-SharePoint-Ökosystem die automatisch assoziierten bzw. alle zu einem Thema gehörigen Dokumente als Suchergebnisse on-the-fly aus. An diesem Punkt hört man faktisch schon den Aufschrei des Datenschutzbeauftragten – womit wir bei dem Geschmack der ersten Wehrmutstropfen angekommen wären. Denn natürlich müssen zu diesem Zweck alle Dokumente zunächst von einem Cloud Service analysiert und indexiert werden. Ob dieses praktische und technisch raffinierte Feature zum Datenschutzkonzept des eigenen Unternehmens passt, steht natürlich auf einem anderen Blatt und sollte zuvor gründlich abgewogen werden. Doch übermäßige Anspannung ist nicht nötig: Delve kann natürlich einfach deaktiviert werden. Grundsätzlich vereinfacht wurde der Aufbau der Schnittstellen und der Administration für die Option eine On-Premise Umgebung mit einer dedizierten SharePoint Online Umgebung verbinden zu können, was besonders bedeutsam für die Verwendung von SharePoint in Extranent-Szenarien ist. Diese Möglichkeit gab es zwar auch schon in der Version 2013, wurde hier aber gerade mit Blick auf das Sharing besser gelöst. So ist es nun zum Beispiel möglich die Suchfunktion über beiden Umgebungen gleichzeitig laufen zu lassen, so dass sowohl Online als auch On-Premise durchsucht werden kann. Wo wir gerade beim Thema Administration sind: Microsoft führt mit seinem „MinRole-Konzept“ neue Farmmodelle mit SharePoint 2016 ein, was SharePoint Admins freuen sollte. Durch eine Art Template-System wird die Skalierbarkeit heterogenen Farmen gerade auch für größere Konzerne wesentlich beschleunigt. Einem neuen Server wird einfach eine wiederverwendbare „MinRole“ zugewiesen und sofort fügt sich der frische Gehilfe in die ihm zugewiesene Rolle, wie z.B. Datenbankverbindung, Workflows oder User Requests ein. Etwas bitter für kleinere Unternehmen ist die Entscheidung Microsofts, SharePoint Foundation ab sofort nicht mehr kostenfrei mit Windows Server Lizenzen auszuliefern. Für diese Zielgruppe möchte Redmond anscheinend eher seine Cloud-Lösungen Office 356, OneDrive for Business und SharePoint Online positionieren. Allerdings sind sowohl Wartungs- und Administrationsaufwand bei einer On-Premise Lösung für kleinere Betriebe nicht zu unterschätzen, weshalb die Cloud-Angebote vom Microsoft gewiss ihre Marktberechtigung haben.

 

FAZIT

Am Ende konnte ich meiner fachlichen Quelle doch noch eine globale Bewertung und Empfehlung hinsichtlich der neuen Version entlocken. „Das Upgrade auf 2016 ist vor allem für Unternehmen interessant, die ihre Kosten für Wartung und Betrieb senken wollen. Die veränderte Architektur von SharePoint 2016 schafft zudem die Voraussetzungen für stabile sowie validierte Updates und Upgrades, für cloudbasierte Features und einen reibungslosen Hybrid-Betrieb bei effektiver Skalierbarkeit.“ Und da war es dann auch schon im Kasten, das Ganze. Bei Trans4mation testen wir SharePoint 2016 übrigens schon neugierig aus und auch erste Kunden fragen bereits nach Migrationsoptionen, was wir natürlich grundsätzlich begrüßen. Bei Fragen oder Beratungsbedarf stehen unsere erfahrenen SharePoint Consultants immer für Sie bereit! Robert Otto – Trans4mation

 

Links & Quellen

0

Hallo Rico Seidel. Vielen Dank, dass Du Dir heute Zeit für dieses Interview genommen hast. Vielleicht kannst Du zunächst einmal etwas zu Deiner Person hier im Unternehmen sagen. Welche Position hast Du bei Trans4mation inne und was sind Deine Aufgaben?

Ich bin IT-Consultant bei Trans4mation. Meine Aufgabenbereiche umfassen hauptsächlich Netzwerkinfrastrukturen und deren Sicherheit, jedoch auch die generellen Sicherheitsbelange von komplexen IT-Umgebungen. Daraus folgend nehme ich hier im Unternehmen die Rolle des CISO (Chief Information Security Officer) war. Das heißt ich bin Hauptansprechpartner für das Thema IT-Sicherheit bei Trans4mation und schaffe zusammen mit dem Datenschutzbeauftragten die spezifischen Grundlagen, damit dieses Thema im Unternehmen Beachtung findet.

Der Bereich IT-Sicherheit ist ja wie alle Konzepte in der digitalen Welt in stetigem Wandel. Was hat sich denn in den letzten Jahren auf diesem Gebiet getan und wie ist die aktuelle Bedrohungslage einzuschätzen?

Nun, verändert hat sich vor allem die öffentliche Wahrnehmung von IT-Sicherheit. Immer häufiger werden Fälle von Internetkriminalität publik. Ob „geleakte“ Bilder vom Prominenten, gestohlene Nutzerdaten von etablierten Unternehmen oder der „Bundestagshack“ – Beispiele hierfür gibt es viele. Zudem hat die NSA-Spähaffäre das gesellschaftliche Vertrauen in die Daten- und Kommunikationssicherheit erschüttert. Nun ist also den meisten klar: Da gibt es Probleme, die nicht nur theoretischer Natur sind, sondern von denen jeder ganz konkret betroffen sein kann.

 

„Gerätevielfalt, komplexe Vernetzung
und starke Systemabhängigkeit sind
die Basis heutiger Bedrohungsszenarien.“

 

Tatsächlich ist die Bedrohungslage bis heute immer weiter angewachsen, vor allem durch die immer größere Anzahl an unterschiedlichen Devices und den immer umfassenderen Übergriff von IT-Systemen, sowohl im Privat- als auch im Unternehmensbereich. Schaut man sich einfach einmal an, wie groß der Bezug zu IT-Systemen vor 10 Jahren (2005) war und vergleicht dies mit dem heutigen Zustand, ist dieser natürlich enorm angewachsen. Selbst kleinere Unternehmen nutzen mittlerweile vernetzte IT-Systeme, ob bei der Lohnbuchhaltung in der Personalabteilung oder bis hin zu vollständig automatisierten Produktionsstrecken in mittelständischen Unternehmen – ohne Informationstechnik funktioniert heute gar nichts mehr. Dabei haben sich immer stärkere Abhängigkeiten ergeben. Beispielsweise von Mailsystemen, von Terminverwaltungsdiensten, von zentraler Datenhaltung und teilweise von rudimentärsten Dingen, wie z.B. einer elektronischen Zutrittsverwaltung zum Firmengebäude. Auch in privaten Bereich kann man diese Entwicklung sehen: Früher waren Mobiltelefone zum reinen Telefonieren und für das Versenden von SMS gedacht – heute führt man mit dem Smartphone einen mobilen Computer mit sich. Zudem geht der Trend zunehmend zur Heimautomatisierung, wo über eine zentrale Steuerung auf verschiedene Funktionen der Wohnungseinrichtung zugegriffen wird. All diese Einsatzszenarien und die Gerätevielfalt haben exponentiell zugenommen. Durch die gewachsen Komplexität, können vom Einzelnen kaum noch alle Schwachstellen und potentielle Risiken überblickt werden und die Durchführung fachgerechter Schutzmaßnahmen übersteigt häufig das eigene Know-how. Insgesamt resultiert hieraus eine vergrößerte Angriffsfläche und ein teilweise sehr hohes Sicherheitsrisiko  – d.h. die Wahrscheinlichkeit von erfolgreichen Angriffen durch Hacker erhöht sich.

Wie kann man sich typische Hacker den vorstellen? Was sind das für Menschen?

Den typischen Hacker gibt es eigentlich nicht. Grundsätzlich unterscheiden sich Hacker zunächst hinsichtlich ihrer Ziele beim Ausnutzen von Systemschwachstellen. Hier haben wir zum einen junge technikaffine Menschen, die sich einfach erst einmal ausprobieren wollen. Zum anderen gibt es aber auch Gruppen die Hacking betreiben, um daraus einen finanziellen Vorteil zu ziehen.

 

„Hacking an sich, ist ja noch nicht schlechtes.“

 

Bei der ersten Gruppe handelt es sich meist um Menschen, die an IT interessiert sind, ähnlich den Elektronikbastlern in ihren Hobbywerkstätten. Sie wollen schauen wie ein System funktioniert und was man damit machen kann. Hacking an sich, ist ja noch nicht schlechtes. Es kann auch bedeuten, dass man ein System betrachtet und denkt, dass es eigentlich mehr könnte. Um dies zu erreichen, versucht man die Kontrolle über das System zu erlangen und es durch Modifikation dazu zu bringen genau das zu tun, was man beabsichtigt. Das ist dann auch schon Hacking. Hier steht vor allem der Spaß an der Technik im Vordergrund und diese Form des Hackings ist eben nicht darauf ausgerichtet Schaden zu verursachen oder finanzielle Gewinne zu erbeuten. Manchmal werden auf diese Weise sogar kritische Schwachstellen in Systemen und Softwareprodukten entdeckt, die dann an den Hersteller gemeldet werden können. Dies hat schon oft eine sicherheitsrelevante Verbesserung der Produkte ermöglicht. Bei diesen sogenannten White-Hats ist der Focus dann auch eher auf die fachspezifische Reputation gerichtet. Aber natürlich gibt es auch das Hacking der sogenannten Black-Hats, wo es darum geht Sicherheitslücken und Schwachstellen in Systemen auszuspähen, um Daten zu kompromittieren. Beispielsweise kommt es seit Jahren verstärkt zum Versand von Trojaner-E-Mails, die beim Öffnen eine Malware installieren, welche die gesamte Festplatte verschlüsseln kann. Erst nach Zahlung eines Lösegelds wird der Schlüssel zum Entschlüsseln der Daten an den Dateneigentümer übermittelt. Solche Bedrohungen können sich im Unternehmensbereich bis zur gezielten Industriespionage entwickeln.

Kann man Aussagen darüber treffen, wie groß der jeweilige Anteil von Attacken durch Black-Hats und White-Hats ist?

Nein, definitiv nicht. Hier zeigt sich die Komplexität im Bereich IT-Sicherheit: Die wirklich „guten“ Angriffe sind nur sehr schwer zu erkennen. Solche Angriffe sind so verschleiert, dass sie kaum auffallen. Wenn ein Angriff „gut“ durchgeführt ist, z.B. unter Ausnutzung von Zero-Day Exploits und zusätzlich unter Einsatz von Stealth-Mechaniken, kann es passieren, dass unzureichend konfigurierte IDS-/IPS-Systeme (Intrusion Detection und Prevention Systeme) nicht getriggert werden und der Angriff somit unbemerkt bleibt. Daher gibt es eine hohe Dunkelziffer, die valide Aussagen über die Häufigkeit von Angriffen nur schwer ermöglicht. Meist tauchen erfolgreiche Angriffe auch erst in der Statistik auf, wenn entsprechend negative Auswirkungen auf den Unternehmensbetrieb beobachtet wurden.

 

„Die wirklich guten Angriffe sind
nur sehr schwer zu erkennen.“

 

Welche Auswirkungen könnte ein Angriff auf ein Unternehmen haben?

Jeder Ausfall von betriebswichtigen Diensten und Anlagen, wie z.B. dem Mailsystem oder der Steuerungsanlage einer Produktionsstrecke kann gravierende Auswirkungen haben – sowohl finanziell, als auch organisatorisch. Die Herausforderung hier ist einfach, dass immer mehr Geräte, mit immer mehr Funktionalitäten und immer höheren Stellenwert, eine immer höher werdende Aufgabendichte erzeugen und natürlich Ausfälle dort zu gravierenden wirtschaftlichen Verlusten führen können. Sind Kommunikationswege (wie z.B. E-Mail) nicht mehr nutzbar, ist man gerade im Dienstleistungsbereich oft nicht mehr handlungsfähig. Die Folgen durch Datendiebstahl oder Informationslecks sind ebenfalls nicht zu unterschätzen. Der Verlust von sensiblen Daten kann gesamte Projekte ruinieren und die Existenz des Unternehmens selbst bedrohen. Zudem können sich Konkurrenten, die durch Spionage gesammelte Informationen über das Unternehmen erwerben, nachhaltige Wettbewerbsvorteile sichern.

Ok, dass klingt wirklich nach ernsten Problemen. Welchen Bereichen sollte man bei der unternehmensbezogenen IT-Sicherheit heute besondere Beachtung schenken?

Wichtige sicherheitsrelevante Themenfelder sind derzeit z.B. die zunehmende „Cloudifizierung“ von IT-Diensten und IT-Infrastrukturen, der Bereich Mobile Device Security sowie die sogenannte Data-Leakage-Prevention (Vermeidung bewusster und unbewusster Datenabflüsse). Auch klassische Maßnahmen, wie verlässliche Daten-Backups und zeitgemäße Firewall-Konzepte sollten berücksichtigt und neu durchdacht werden.

Dann lass uns gleich einmal mit der „Cloudifizierung“ beginnen. Wie ist die Nutzung von Cloud-Diensten aus der Perspektive von IT-Sicherheit zu bewerten? Sind Clouds sicher?

Clouds sind im Grunde genommen genauso sicher und unsicher, wie eigene IT-Infrastrukturen – nur eben in unterschiedlichen Bereichen. Zum Beispiel können Cloud-Anbieter eine viel größere Zuverlässigkeit bzw. Sicherheit bei der Datenverfügbarkeit garantieren. Meist sind mehrere Rechenzentren oder zumindest verschiedene Brandabschnitte vorhanden, in denen die Daten redundant vorgehalten werden und die Systeme werden von entsprechend qualifiziertem Personal betreut. Diese Sicherheit mit einer eigenen On-Premise-Struktur erreichen zu wollen, würde einiges an finanziellen, personellen und zeitlichen Aufwand bedeuten.

 

„An irgendeinem Punkt sind Daten
immer temporär unverschlüsselt.“

 

Der große Schwachpunkt von Cloud-Diensten gegenüber eigener Infrastruktur ist jedoch, dass alle Daten in irgendeiner Form erst in die  Cloud fließen und dort vorhanden sein müssen, bevor sie verarbeitet werden können. Und genau zu diesem Zeitpunkt entsteht ein Gefahrenpotential, dem man entsprechend entgegentreten sollte. In jedem Fall muss man seinem Cloud-Dienstleister ein gewisses Grundvertrauen entgegenbringen. Dies entlässt einen jedoch nicht aus der Verantwortung, den Anbieter zuvor eingehend auf sicherheitsrelevante Aspekte zu prüfen. Allerdings wird es immer technologieinhärente Sicherheitsrisiken geben, die man nicht hundertprozentig ausschließen kann.

Das heißt also, es wird niemals hundertprozentige Sicherheit in der Cloud geben?

Ich glaube hundertprozentige Sicherheit ist eine Utopie. Die gibt es nirgendwo, weder im Straßenverkehr, noch in einem anderen Lebensbereich. Natürlich kann man kann danach streben, aber letztlich ist das meiner Meinung nach nicht zu realisieren. Wonach ein Unternehmen in jedem Fall streben sollte, ist eine fundiertes Sicherheitskonzept. Das heißt eine vollumfängliche Analyse von potentiellen Risiken und Bedrohungen, sowie den möglichen Auswirken auf das Unternehmen bei einem daraus resultierenden Schadenseintritt. Darauf aufbauend kann ein Konzept hinsichtlich technologischer und betriebswirtschaftlicher Aufwände bei der Umsetzung gezielter Sicherheitsmaßnahmen erfolgen.

„Hundertprozentige Sicherheit ist eine Utopie.“


Generell ist es sinnvoll die Risiken von unabhängiger Stelle bewerten zu lassen. Trans4mation ist zum Beispiel als Dienstleister nicht daran interessiert nur sicherheitsrelevante Produkte zu verkaufen – was eine klare Herstellerperspektive wäre. In erster Linie möchten wir unsere Kunden gut beraten und eine Vertrauensbeziehung aufbauen. Dazu gehört dann eben auch zu sagen, dass diese oder jene Maßnahme aus unserer Sicht wenig Sinn macht auch wenn wir hierbei vielleicht ein gutes Geschäft machen könnten. Was würde es einem Unternehmen denn nützen moderne IDS/IPS-Systeme und Firewalls zu installieren, wenn auf der anderen Seite rudimentäre Sicherheitsmechanismen, wie ein funktionierendes Backup und ein kontrolliertes, zentrales Datenmanagement nicht gewährleistet sind? Bei solchen Bewertungen haben wir oftmals den umfassenderen Überblick.

Mobile Device Security hattest Du ja als einen weiteren Punkt genannt. Wie kann man denn den heutigen Mischbetrieb von stationären und mobilen Geräten in Unternehmen absichern – ist da überhaupt etwas machbar?

Das ist ebenfalls eine große Herausforderung für IT-Verantwortliche. Auf die rasante Entwicklung der letzten Jahre haben die IT-Abteilungen nicht immer zeitnah Antworten gefunden. Im Fall von E-Mails war es in der Vergangenheit so, dass diese von stationären Computern mittels Mailprogrammen abgerufen wurden. Mit dem Aufkommen von mobilen Endgeräten, wie Notebooks, Smartphones und Tablets wuchs natürlich auch der Bedarf, firmeninterne Dienste (z.B. E-Mail, SharePoint, Dateiablage) auch außerhalb des Unternehmens nutzen zu können. Man ist dann sehr schnell dazu übergangen das „irgendwie“ zu realisieren, ohne immer im Blick zu haben, was dies für die IT-Sicherheit des Unternehmens bedeutet. Immer mehr Firmen realisieren, dass es doch einer genaueren Betrachtung bedarf. Natürlich weil diese mobilen Devices verloren gehen, gestohlen werden und in falsche Hände geraten können. Dabei geht es nicht einmal um die Kosten für das physische Gerät selbst, sondern vielmehr um den Verlust der Daten, die auf diesem Gerät vorhanden waren. Vielleicht waren das hochsensible und sicherheitskritische Daten oder es gab kein Backup dieser Daten im Unternehmen. Oft sind damit Arbeitszeit und letztlich natürlich auch Geld verloren. Die wirtschaftlichen Schäden infolge von Datenverlust, digitaler Erpressung oder unautorisierter Datenweitergabe können wie gesagt beträchtlich sein.

Lassen sich die Risiken, die durch den Einsatz von Mobile Devices entstehen, minimieren? Gibt es da Ansätze?

Realistisch gesehen muss man sagen: Das Rad der Zeit lässt sich nur schwer zurückdrehen. Wenn Mitarbeiter auf ihren Mobile Devices z.B. einmal ihren Firmen-E-Mail-Account genutzt haben, ist es nur sehr schwer möglich, ein Unternehmen davon überzeugen zu können, den Mitarbeitern diese Funktionalität wieder wegzunehmen und auf den wirtschaftlichen Zugewinn im Sinne von Homeoffice-Lösungen zu verzichten. Folglich ist es sinnvoll die potentiellen Risiken, die dadurch entstanden sind zu minimieren und Regelungen zu treffen, wie Mitarbeiter sich sicherheitskonform verhalten können.

„Das Rad der Zeit lässt sich nur schwer zurückdrehen.“

Beispielsweise könnte man sich, nach Durchführung eine Risikoanalyse, entscheiden ein sogenanntes Mobile-Device-Management einzusetzen, um z.B. über eine zentrale Verwaltung die Daten auf verlorengegangenen Devices remote löschen zu können.

Eine weitere Maßnahme wäre, das Gerät selbst erst einmal zu schützen. Also eine Regelung im Unternehmen zu etablieren, die festlegt, dass jedes Gerät passwortgeschützt sein muss – ob es nun durch eine PIN oder ein komplexes Passwort geschieht. Zusätzlich kann eine Regel definiert werden, dass nach einer bestimmten Anzahl von fehlgeschlagenen Login-Versuchen, die Daten auf dem Gerät automatisch gelöscht werden. Von den Herstellern gibt es hier bereits viele Funktionalitäten, die einen Teil dieser Maßnahmen auf dem Device umzusetzen. Aber in größeren Unternehmen, die eine Vielzahl von solchen Geräten aufweisen, sollte es eine Möglichkeit geben dies zentral über das Mobile-Device-Management zu steuern, um nicht jedes Device einzeln in die Hand nehmen zu müssen.

Gibt es dafür schon Lösungen auf dem Markt?

Ja, die gibt es natürlich. Und das ist jetzt ein Zweig der immer wichtiger wird. Im Grunde genommen reagiert die Industrie erst jetzt auf diese Vielzahl von Mobile Devices in den Unternehmen. Erst jetzt wird versucht dieser Gerätedichte und diesen enormen Datenmengen, die das Hoheitsgebiet des Unternehmens täglich risikobehaftet verlassen, beizukommen. Diese Lösungen sind meist allerdings noch auf einzelne Geräteklassen beschränkt und unterscheiden sich in Umfang und Funktionalität – je nach dem was man erreichen will. Auch hier ist eine umfassende Sicherheitsanalyse vor der Auswahl einer speziellen Lösung zu empfehlen.

Meine letzte Frage zielt auf das Thema Verschlüsselungstechniken als Strategie gegen Datenabflüsse. Wenn wir z.B. auf die E-Mail-Verschlüsselung blicken – warum hat sich das bis jetzt nicht wirklich durchgesetzt?

Da ist zum einen die Komplexität der Materie zu nennen. Es ist ohne ein gewisses Verständnis der zugrundeliegenden Technologie noch immer nicht ohne Weiteres möglich entsprechende Verschlüsselungstechnologien zu nutzen. Natürlich gibt es mehrere Ansätze, das für den Anwender so einfach wie möglich zu gestalten, aber scheinbar sind diese Ansätze noch nicht auf einem für die breite Masse akzeptablen Stand angekommen. Möglicherweise ist auch das individuelle Problembewusstsein noch zu gering dafür, dass Informationen in E-Mails, die dem Einzelnen vielleicht nicht so wichtig erscheinen, in ihrer kumulierten Masse und unter einem bestimmten Kontext betrachtet, dennoch wichtige Informationen über Personen und deren Beziehung, über Unternehmen und deren Geschäftskontakte sowie über laufende Projekte offenlegen können. Ich denke, dieser Mix aus fehlender Awareness und erhöhtem technologischen Aufwand, ist letztlich der Grund für die spärliche Verbreitung der Verschlüsselung im E-Mailverkehr. Dennoch bin ich davon überzeugt, dass IT-Sicherheit im Zweifel heute jeden betreffen kann, also sogar einen Eremiten auf dem Berg, der alles abschaltet, nichts nutzt und keine Daten anhäuft. Denn vielleicht muss dieser Eremit irgendwann einmal zum Arzt und braucht dann doch seine Gesundheitskarte, auf der Informationen über ihn gespeichert sind, die nach dem Scannen auch über das Netz kommuniziert werden könnten. So hinterlässt jeder von uns einen analysierbaren „Schweif“ an Informationen in der digitalen Welt.

Das ist interessant und führt mich zu dem Gedanken, dass man vielleicht als digitaler Eremit erst recht auffällt. Sozusagen als Lücke in einem riesigen Datensatz.

Dort bewegen wir uns dann allerdings wirklich im Bereich der Verhaltensanalyse. Ist eine Person, die bestimmte Handlungen unterlässt, welche jedoch die meisten anderen Personen in ihrem Umfeld ausführen, dadurch schon auffällig? Solch eine Person, könnte z.B. mit jedem telefonieren, außer mit einer bestimmten anderen Person, mit der sie sich nur verschlüsselte Emails schreibt. Zum Beispiel könnte dies für einen Angreifer schon ein Hinweis auf den Wert der Information sein. Wenn der Angreifer wahrnimmt, dass der gesamte Datenverkehr eines Unternehmens unverschlüsselt ist, ausgenommen eines bestimmten Kommunikationspfades, dann könnte genau dieser Kanal erst interessant für ihn werden, weil er dort vielleicht den Austausch von Betriebsgeheimnissen vermutet. So wird es dem Angreifer sogar noch wesentlich einfacher gemacht seine Attacke gerichtet zu fahren. Eine effektive Gegenmaßnahme wäre es dann, alles zu verschlüsseln – das Wichtige genauso wie das weniger Wichtige. Der Angreifer muss im Zweifel nun auch alle Daten entschlüsseln – was einen deutlich höheren Aufwand für ihn bedeutet. Damit wird es zunehmend unattraktiver das Unternehmen auf dieser Ebene anzugreifen. Genau solche Punkte würde ich mit einem Unternehmen in einer Risikoanalyse durchgehen. Welche Werte hat das Unternehmen? Wie werden diese kommuniziert? Welchen Wert könnten diese Informationen für potentielle Angreifer haben und was müsste er an Aufwand betreiben, um an diese Informationen zu gelangen? Letztlich können wir daraus genau ableiten, wie hoch wir die Schwelle für den Angreifer setzen müssen, um den Angriff für ihn unattraktiv zu machen. Dies wäre aus meiner Sicht ein erster, wichtiger Schritt zu einer Erhöhung der IT-Sicherheit, den ich jedem modernen Unternehmen empfehle.


Rico Seidel, vielen Dank für dieses Interview.

Dieses Interview führte Robert Otto.

0