Foto: AK "Sicheheit für Rechenzentren"

IT-Sicherheit

Erfolgreiche Arbeitskreissitzung

Ende vergangenen Jahres begrüßte der Vorsitzende des Arbeitskreises Otto Schönbrunner zusammen mit dem Vorstand die Gäste und Teilnehmer zur 29. Arbeitskreissitzung des Arbeitskreises „Sicherheit für Rechenzentren“, die in der Unternehmenszentrale des Mitgliedsunternehmens Amadeus Data Processing GmbH stattfand.

Im Rahmen des Sitzungsprogramms wurde beim Thema „Arbeitskreis-angelegenheit“ noch einigen neuen Mitgliedern ihre Mitgliedschafts-urkunden überreicht. Als wichtiger Punkt der Sitzung wurde den Teilnehmern das Ergebnis der vorherigen Gesamtvorstandssitzung bekanntgegeben. Darin gab der Vorstand bekannt, dass er sich für die Zukunft einen lebendigeren Erfahrungsaustausch im Arbeitskreis und eine verbesserte Außendarstellung vorgenommen hat, was von den Teilnehmern eindeutig begrüßt wurde. Als ebenso bedeutende Punkte wurden die vom Gesamtvorstand erarbeiteten Ergebnisse zum „Ziel und Zweck des Arbeitskreises“, der „Mitgliedschaft im Arbeitskreis Sicherheit für Rechenzentren“ und die „Werte des Arbeitskreises“ in der Sitzung vorgestellt.

Im Anschluss an die Arbeitskreisangelegenheiten wurden verschiedene Vorträge gehalten, so zum Beispiel zu den Themen :

"Notfallübungen – Notwendigkeit oder Zeitverschwendung“ (Otto Schönbrunner, STC):

Warum das Thema „Notfallübungen? Aus dem einfachen Grund, weil man bei dem äußerst wichtigen Thema, wenn man nicht richtig darauf vorbereitet ist, schlimmen Schiffbruch erleiden kann. Wenn die notwendigen Vorsorgemaßnahmen nicht konsequent geplant und gut vorbereitet sind, können in einem echten Notfall die daraus entstehenden Konsequenzen oft fatal sein.

Meistens bleibt bei den Notfallübungen in der Wirtschaft und in Behörden nur der einfache Feueralarm mit dem einfachen Fluchtweg übrig. Echte Notfälle können nicht mehr im allgemeinen Tagesgeschäft abgewickelt werden, sondern erfordern eine gesonderte Notfallbewältigungsorganisation. Notfallübungen sind durchaus eine Notwendigkeit und keine Zeitverschwendung.

„Rechenzentrums- und Service-Provider-Wandel im Cloud-Zeitalter“ (Joachim Astel, Vorstand von Noris Network):

Bei seinem Vortrag trug Astel die Probleme von IT-Outsourcing, Managed Services, Cloud Services und Colocation hervorragend vor. Ebenso erläuterte er den Begriff Cloud und stellte die Arten von Clouds und die Differenzierung dar. Er erläuterte unter anderem beim Unterpunkt Cloud Services, dass bei Infrastructure as a Service (IAAS) durch Managed Service Provider (MSP) folgende Lösungen notwendig wären:

  • modernste , flexible und skalierbare Lösungen von Public oder Private Cloud Services bis hin zu Infrastructure as a Service Code;
  • häufig individuell anpassbar, von dedizierten Netzwerkkomponenten bis hin zu einem komplett selbstadministrierten virtuellen Datacenter;
  • komplette virtuelle Datacenter auf Basis von VMware oder OpenStack;
  • einfache „Pay as you go“-Modelle und
  • Steuerung via API oder Webinterface zur bedarfsgerechten, qualitativen und quantitativen Provisionierung und Konfiguration.

Er sprach auch im Bereich Business Continuity und Security die Datenintegrität beziehungsweise Verfügbarkeit und den Datendiebstahl an. Bei seinem Ausblick fasste er zusammen: Weiterentwicklung der Technologien ermöglichen Remote-Computing ohne Verlust von Trust:

  • Quantenkryptographie,
  • EncryptedRemote Computing über Shannons SharedSecret oder ähnliches (bei entsprechender Rechenleistung in mehr als zehn Jahren).

Die Zukunftsdisziplin ist Lifecyclemanagement über Herstellergrenzen hinweg. Datenschutz und Compliance-Anforderungen im Zusammenhang mit Cloud-Nutzung werden nachhaltig wichtig bleiben.

„Cyber Crime – Was gibt es Neues im Bereich Wannacry und anderer Ransomware“ (Stephan von Gündell-Krohne, Sales Director DACH, Forescout):

Bei Cyber Crime handelt es sich um ein Thema, welches sich in der letzten Zeit immer mehr in der Wirtschaft ausweitet und um das man sich auch zwangsläufig viel mehr kümmern muss. Es gab eine Vielzahl an Fakten, Daten und eine Menge Interessantes zum Thema Cyber Crime zu berichten, da dieser Kriminalitätszweig ständig rasant zunimmt.

Es ist äußerst wichtig, dass sich die Wirtschaft und die Behörden als bedrohte Opfer dieser Kriminalität mehr noch als jetzt diesen kriminellen Handlungen entgegentreten. Was ist Cyber Crime? Zum einen ist es Computerkriminalität im engeren Sinne, wobei für diese Straftaten lediglich ein Computer mit oder ohne Internetnutzung als Tatwaffe eingesetzt wird. Zum anderen ist es die Internetkriminalität, wobei diese Straftaten auf dem Internet basieren oder mit den Techniken des Internets geschehen.

Die Unterscheidung ist, dass unter Internetkriminalität auch viele Straftaten und Vergehen fallen, die auch ohne Internet möglich wären (etwa Verbreitung verbotener Inhalte, Belästigung), während Computerkriminalität sich in diesem Sinne speziell auf den Kontext der elektronischen Daten bezieht.

Von Gündell-Krohne zeigte in seinem Vortrag neben einer Vielzahl von Informationen auch auf, dass 49 Prozent der deutschen Internetnutzer in den letzten zwölf Monaten Opfer von Computerkriminalität geworden sind. Besonders bemerkenswert war der zitierte Ausspruch von Derk Fischer, PwC, vom Oktober 2013: „Die meisten Organisationen verteidigen sich aktuell gegen Bedrohungen von gestern, während ihre Angreifer die Schwachstellen von morgen ausnutzen.“

„Zutritt für Unbefugte verboten – Modernes Identitäts- und Berechtigungsmanagement“ von (Ralph Horner, vormals Vice President DACH, Nexus Technology):

Der letzte globale Cyberangriff über die Ransomware Wannacry hat wieder einmal deutlich gemacht, wie anfällig Unternehmen und Behörden für Angriffe sind. Um potenzielle Einfallstore wirkungsvoll abzudichten, sind Lösungen gefragt, die Identitäten und Berechtigungen zentral verwalten – über deren gesamten Lebenszyklus hinweg.

Produkte, Maschinen und ganze Anlagen sind immer stärker miteinander vernetzt. Zudem wird der Rohstoff Daten immer mehr zum Treiber für Innovationen und neue Geschäftsmodelle – und so zur wichtigen Ressource für Unternehmen.

Daher sind es in einer zunehmend Daten- und wissensbasierten Wirtschaft neben den physischen Gütern vor allem Daten und Systeme, die gegen Angriffe von außen (und innen) geschützt werden müssen. Neben dem Thema IT-Sicherheit wäre es jedoch fahrlässig, den analogen Raum zu vernachlässigen. Aber worauf sollten Unternehmen nun bei der Auswahl eines zentralen Identitäts- und Berechtigungsmanagements achten?

Vor allem sollte ein solches System Sicherheit, Nutzerfreundlichkeit und eine serviceorientierte Betreuung von Mitarbeitern und externen Besuchern optimal miteinander in Einklang bringen. Sie sollte deshalb die Integration bestehender Zutrittskontrollsysteme ermöglichen, um nicht sämtliche bestehenden Prozesse ändern zu müssen und getätigte Investitionen zu schützen.

Ein einfaches Handling und hohe Nutzerfreundlichkeit reduzieren den administrativen Aufwand und erhöhen außerdem die Akzeptanz des Systems. Horner hat mit seinem außerordentlich guten Vortrag einige Beispiele aus der Praxis präsentiert und mit seinem PIAM (Physical Identity Access Management) eine einwandfreie Lösung dargestellt.

Ergebnis der Arbeitskreissitzung

Die Teilnehmer der Arbeitskreissitzung waren begeistert von den Vorträgen, da diese alle professionell und inhaltlich hervorragend gehalten wurden und somit einen Gewinn an Weiterbildung darstellten. Auch über die Arbeitskreissitzung im Ganzen waren alle Teilnehmer durchaus zufrieden, da sie wie üblich in vertraulicher, kollegialer und kooperativer Atmosphäre mit ausgezeichneten Ergebnissen stattfand. Otto Schönbrunner