Sergej Schlotthauer, Matrix42, über aktuelle Sicherheitssthemen

[Videoblog] Sergej Schlotthauer über Matrix42, EgoSecure und aktuelle Sicherheitsthemen

Während einer IDC-Veranstaltung zum Thema IT-Sicherheit habe ich dieses Interview mit Sergej Schlotthauer von Matrix42 geführt. Darin spricht er über das „Center of Excellence for Security“, über Endpoint Management und die wichtigsten, aktuellen Security-Themen.

Sergej Schlotthauer verantwortet „Center of Excellence for Security“

Mit dem Zusammenschluss der beiden Firmen Matrix42 und EgoSecure entstanden für Matrix42 ganz neue Möglichkeiten, die im „Center of Excellence for Security“ mündeten. Dieser neuen Einrichtung steht Sergej Schlotthauer vor, in der unter anderem die Themen Endpoint Security und Software Management im Vordergrund stehen. Und genau mit diesen Schwerpunkten wollen und werden Matrix42 und EgoSecure künftig den Markt mit neuen Lösungen versorgen.

So gibt es beispielsweise gemeinsame Aktivitäten im Kontext der DSGVO, denn hierfür müssen Daten verschlüsselt und Zugriffe darauf verhindert werden. Und genau darum kümmert sich künftig Matrix42 mit der Expertise von EgoSecure.

Endpoint Management wird immer wichtiger

In Zeiten, in den Daten eine wahre Goldgrube darstellen, wird der Schutz derselben immer wichtiger. Daher müssen künftig vor allem die möglichen Einfalltore noch besser geschützt werden. Neben den klassischen Desktop- und Notebook-Rechnern sind das verstärkt Smartphones, Tablets und andere Geräte, auf denen Daten liegen oder die ihre Daten auf dem Firmenserver speichern wollen. Hierfür sind erprobte Managementlösungen und sichere Verschlüsselungsverfahren erforderlich.

Aktuelle Sicherheitsthemen: externe Angriffe und Datenschutz

Sieht man sich die aktuellen Sicherheitsrisiken an, mit denen IT-Beauftragte konfrontiert werden, lassen sich vor allem zwei Themen nennen: Angriffe von außen und der Datenschutz im Geiste der DSGVO.

Im Falle der externen Bedrohungen ist es zwingend erforderlich, mehr und mehr über die Automatisierung von Sicherheitsmaßnahmen nachzudenken. Denn die Bedrohungen von außen werden immer intelligenter und zielgerichteter, sodass es nicht mehr reicht, einen IT-Adminstrator vor eine Konsole zu setzen in der Hoffnung, dass er die Angriffe abwehren kann. Daher sind intelligente Systeme erforderlich, die vollautomatisch Angriffe erkennen und diese eliminieren können.

Beim zweiten Thema Datenschutz fällt auf, dass die Akzeptanz der hierfür notwendigen Maßnahmen verbessert werden sollte. Denn immer noch herrscht bei vielen Anwendern der Eindruck vor, dass Datenschutzmaßnahmen ihre Effizienz negativ beeinträchtigen – was zwar eine sehr subjektive, aber durchaus ernstzunehmende Wahrnehmung ist. Um dem vorzubeugen, sind die richtigen Mittel und Wege erforderlich, um den Anwendern das Gefühl zu geben, dass ihr Arbeitsplatz einerseits sicher und andererseits genauso produktiv wie vorher ist. Oder vielleicht sogar noch sicherer und noch produktiver als vorher.

Das vollständige Interview mit Sergej Schlotthauer

Rita Pleus über Sicherheitsvorkehrungen auf der IBM Mainframe

[Videochat] Rita Pleus (IBM) zu Sicherheitskonzepten auf Mainframe-Maschinen

Während der IBM Z-Roadshow habe ich dieses Interview mit Rita Pleus von IBM geführt. Darin spricht sie über die aktuelle Sicherheitslage, über die Sicherheitsebenen der Pervasive Encryption und über zuverlässige Sicherheitskonzepte.

„Wie schätzen Sie die aktuelle IT-Sicherheitslage ein?“

Laut Rita Pleus ist dieses Thema ein äußerst komplexes, und je nachdem, wen man fragt, wird es unterschiedlich bewertet. So zeigt beispielsweise das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland, dass aufgrund der „zunehmenden Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything Cyber-Angreifern fast täglich neue Angriffsflächen“ geboten werden. Hinzu kommen zahlreiche regulatorische Vorschriften wie die DSGVO und der PSIDSS, die natürlich auch von IBM-Kunden eingehalten werden müssen.

Doch sollte das Thema Sicherheit im eigenen Unternehmen laut Frau Pleus nicht ausschließlich von diesen und anderen Vorschriften bestimmt werden, sondern auch aus der Erkenntnis heraus entstehen, dass IT-Security ein allumfassendes Thema sein sollte, zu dem unter anderem das Thema Datenverschlüsselung zählt.

„Auf welchen Ebenen findet Pervasive Encryption statt?“

Das mit der IBM z14 eingeführte Sicherheitskonzept Pervasive Encryption ist ja kein Produkt, wie Rita Pleus im Interview klarstellt. Es handelt sich vielmehr um eine fundierte Strategie, die auf allen Ebenen der Mainframe seinen jeweiligen Beitrag zur Sicherheit beiträgt. Das beginnt ganz unten auf der Hardware-Schicht, wo dedizierte Hardware-Module mit z/OS-Features wie CP Assist for Cryptographic Functions (CPACF) für explizite Sicherheit sorgen, aber auch Kryptokarten kommen hierfür zum Einsatz. Beides stellt laut Rita eine solide Grundlage für Pervasive Encryption dar, da die Hardware die Sicherheitsmaßnahmen erheblich beschleunigt.

httpss://twitter.com/mhuelskoetter/status/986989333377888256

Wichtig sind aber auch die gespeicherte Daten in diesem Kontext. Hierfür kommt eine mehrstufige Datenverschlüsselung zum Tragen, was bei IBM unter dem Begriff Data Set Encryption läuft. Damit lassen sich vor allem Daten anhand der Anwendungen oder logischen Datenhaltung trennen, je nachdem, welche Schlüssel für das Encryption-Verfahren eingesetzt werden. Hinzu kommen weitere Möglichkeiten der Verschlüsselung, zum Beispiel auf Cluster- und Netzwerkebene, mit der sich sehr transparent zeigen lässt, welche Daten gerade verschlüsselt werden – und welche nicht.

Wichtig ist aber auch das Thema Secure Service Container, mit dem das Verschlüsseln virtueller Umgebungen möglich ist. Hierfür bietet die IBM z14 ZR1 insgesamt 40 LPARs, mit denen virtuelle Bereiche geschaffen werden können, in denen sich verschlüsselte Container mit all ihren Daten und Anwendungen sehr sicher befinden.

Schließlich weist Rita Pleus noch auf das äußerst wichtige Schlüsselmanagement hin, das eine profunde Grundlage für das Verschlüsseln der Daten darstellt. Denn nur wenn das zugehörige Managementtool sicherstellt, dass Schlüssel über einen längeren Zeitraum valide und verfügbar sind, kann Pervasive Encryption zuverlässig funktionieren.

httpss://twitter.com/mhuelskoetter/status/986992404166258688

„Was gehört denn noch zu einem guten Sicherheitskonzept?“

Neben den aufgezeigten Features, die allesamt unter dem Begriff Pervasive Encryption zusammengefasst werden, hält Rita Pleus obendrein das Thema Identity Management für unabdingbar, wenn es um sichere Mainframe-Umgebungen geht. Denn nur wenn sichergestellt werden kann, dass ausschließlich bestimmte Anwender oder Anwendergruppen auf klar definierte IT- und Datenbereiche zugreifen dürfen, funktioniert das IT-Sicherheitskonzept vollumfänglich. Dies kann beispielsweise mithilfe einer Mehrfaktor-Authentifizierung erreicht werden, so wie sie IBM versteht und ihren Kunden zur Verfügung stellt.

Das Interview mit Rita Pleus in voller Länge

Disclaimer: Für diesen Video-Blogpost hat mich IBM Deutschland als Blogger engagiert.

CAST Software - Dashboard-Ansicht

Darum sind CAST-Analysetools echte DSVGO-Helfer

Letzten Freitag war ich auf einer IDC-Veranstaltung zum Thema DSGVO. Dabei habe ich zahlreiche Dinge gelernt:

  • Etwa die Hälfte aller deutschen Unternehmen mit mehr als 20 Mitarbeitern sind nicht ausreichend auf die künftige Datenschutzgrundverordnung (DSGVO) vorbereitet. Das bedeutet im schlimmsten Fall, dass sie mit drakonischen Strafen rechnen müssen (die Rede ist von bis zu 20 Millionen Euro oder 4 Prozent vom jährlichen Umsatz der Firma!).
  • Das Thema Datenschutzbeauftragter wird eine ganz neue Bedeutung erfahren. Auch hier hinken viele der von IDC befragten Unternehmen hinterher.
  • Die technische und organisatorische Umsetzung der DSGVO-Kriterien stellt zahlreiche Unternehmen vor erhebliche Herausforderungen, vor allem den Mittelstand.

Und genau an dieser Stelle kommt die Firma CAST ins Spiel. Zwar nicht im organisatorischen, aber im technischen Sinne. Das sieht im Einzelnen wie folgt aus.

Technische Maßnahmen bewerten, die für mehr Sicherheit sorgen

Forderung: Betreiber von Cloud-Plattformen und andere Firmen werden ab Mai 2018 unter anderem daran gemessen, wie sicher Daten verarbeitet und gespeichert werden. Dies erfordert ein gesamtseitliches IT-Sicherheitsmanagement.

CAST-Unterstützung: Die Analysetools von CAST zeigen ganz genau, wie und wo schützenswerte Daten verarbeitet und gespeichert werden. Dabei werden nicht nur einzelne Anwendungen betrachtet, sondern die vollständige Verarbeitungskette, also vom Eingabegeräte bis zum Großrechner. CAST nennt das holistische Analyse. Sobald das Ergebnis dieser umfassenden Analyse vorliegt, wird eine Handlungsempfehlung erstellt, an welchen Stellen der Anwendungen und Schnittstellen nachgebessert werden muss.

Zuverlässigkeit von Anwendungen überprüfen

Forderung: Die DSGVO stellt hohe technische Anforderungen an Systeme und Dienste. Daher müssen deren Anbieter resp. Betreiber regelmäßig deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sicherstellen.

CAST-Unterstützung: Die CAST-Analysewerkzeuge basierten auf objektiven Standards, mit deren Hilfe man die Qualität einer Anwendung oder eines Service in Sachen Sicherheit und Belastbarkeit bewerten kann. Hierzu kommen die Standards des CISQ und der OMG zum Einsatz, die objektive Kennzahlen einer Anwendung bereitstellen. Auf dieser Basis lässt sich feststellen, wie zuverlässig eine Applikation arbeitet, woraus sich notwendige Maßnahmen ableiten und ergreifen lassen.

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

Datenschutz „by Design“ und „by Default“ sicherstellen

Forderung: Zwei wesentliche Grundprinzipien des Datenschutzes rücken verstärkt in den DSGVO-Fokus: „Data Protection by Design“ und „Data Protection by Default“. Damit sollen Anwendungen und Services von Anfang an nur die Daten erfassen, die unbedingt für die Anwendung notwendig sind.

CAST-Unterstützung: Mithilfe einer holistische Analyse lassen sich vollständige Transaktion, also vom Start- bis zum Endpunkt, transparent und damit nachverfolgbar machen. Dies stellt sicher, ob Daten im Sinne der DSGVO richtig verarbeitet werden und nicht auf unangemessene Weise adressiert werden. Dabei helfen Tools, „Data Protection by Design“ zu erzwingen und nachzuweisen.

Risikoeinschätzung selber vornehmen

Forderung: Unternehmen, die besonders sensible Daten verarbeiten und speichern, müssen künftig einschätzen können, mit welcher Wahrscheinlichkeit sich das Risiko eines Datenmissbrauchs, -verlusts, etc. beziffern lässt und welche Folgen daraus entstehen können.

CAST-Unterstützung: Die CAST-Analysetools durchforsten Anwendungen auf sämtliche Schwachstellen hin, die Verstöße und Sicherheitsverletzungen im Sinne des DSGVO zur Folge haben können – und das, bevor eine Anwendung in den Produktionsstatus übergeht. Damit lassen sich mögliche Cyberangriffe im Vorfeld genauso ausschließen wie Compliance-Vergehen aufgrund nicht autorisierter Prozesse. Auch hier kommen die Standards der OMG oder des CISQ zur Anwendung.

Der holistische Analyseansatz von CAST

Der holistische Analyseansatz von CAST

Dokumentationspflicht von Anfang an

Forderung: Die DSGVO fordert künftig von Unternehmen, mögliche datenschutzrechtliche Verletzungen genau zu dokumentieren. Darin müssen alle Fakten beschrieben werden, die eine Datenschutzverletzung ermöglichen können und wie diese Schwachstellen behoben werden sollen.

CAST-Unterstützung: Mithilfe des holistischen Analyseansatzes können CAST-Tools ein genaues Abbild der zu untersuchenden Anwendung erstellen, woraus sich objektive Kennzahlen ableiten lassen, die etwas über die tatsächliche Qualität der Applikation aussagen. Da dieser Vorgang beliebig wiederholt werden kann, erhält man eine zeitbezogene Veränderung der Anwendung, was einer kontinuierlichen Dokumentation entspricht.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

Fortinet-Umfrage: CEOs unterschätzen IT-Sicherheit ihres Unternehmens nach wie vor

Am letzten Freitag war ich auf einer sehr interessanten IDC-Veranstaltung zum Thema DSGVO, und so ergab es sich, dass eine Einladung der Firma Fortinet folgte, die ihrerseits eine in Auftrag gegebene Umfrage präsentieren wollten. Die zugehörige Auswertung ist überschrieben mit dem Titel „The attitudes towards cybersecurity in organizations“.

httpss://twitter.com/mhuelskoetter/status/920554079960686592

Es ging bei der Umfrage, die im August 2017 unter 1.801 weltweit operierenden Unternehmen mit einer Firmengröße von mehr als 250 Mitarbeitern durchgeführt wurde, um eine wichtige Frage:

Wie ernst nehmen Unternehmen das Thema IT-Sicherheit?

Um es vorweg zu nehmen: Das Bewusstsein für funktionierende Sicherheitsmaßnahmen mag ja vorhanden sein, alleine an der Umsetzung hapert es an zahlreichen Stellen.

httpss://twitter.com/mhuelskoetter/status/920561057831313409

Dieses „Ignorieren“ von notwendigen Maßnahmen, die Unternehmen eigentlich verstärkt in Sicherheit investieren müssten, ist umso erstaunlicher, da weltweit 85 Prozent aller Firmen bereits Opfer eines Hackerangriffs waren.

httpss://twitter.com/mhuelskoetter/status/920557173914198017

Die gute Nachrichte offenbarte die Studie immerhin auch: So stiegen die Ausgaben für die IT-Sicherheit während des letzten Jahres weltweit um 71 Prozent, hierzulande waren es 56 Prozent.

So viel investieren Firmen in IT-Sicherheit

Gleichzeitig geben Unternehmen in diesem Jahr weniger für IT-Sicherheitsexperten aus. Was wohl auch damit zu tun hat, dass die Zahl der erforderlichen Spezialisten derzeit am Markt einfach nicht vorhanden sind.

httpss://twitter.com/mhuelskoetter/status/920558965112614912

Interessant an der Studie ist auch die Frage, wie unterschiedlich deutsche Unternehmen im weltweiten Vergleich mit der Frage „Wer ist Schuld bei einem Hackerangriff und deren Folgen“ umgehen. So machen deutsche IT-Verantwortliche zu einem geringeren Prozentsatz die IT-Abteilung oder eine spezifische Person verantwortlich für einen Schadensfall. Interessant daran: Das Bedrohungspotential seitens eines externen IT-Beauftragten wird hierzulande wesentlich weniger gefährlich eingestuft als im weltweiten Vergleich.

httpss://twitter.com/mhuelskoetter/status/920559916120756224

Was ebenfalls anhand der Studie auffällt: Aus einem Schadensfall ergeben sich ganz unterschiedliche Reaktionen. So stellt sich fast jeder zweite deutsche Unternehmensverantwortliche die Frage, warum es zu dem Angriff kommen konnte und was künftig dagegen getan werden kann. Und auch im Bereitstellen notwendiger finanzieller Mittel sind deutsche CEOs deutlich freigiebiger als ihre internationalen Kollegen.

httpss://twitter.com/mhuelskoetter/status/920563812687859712

Aber, und das ist die wesentliche Erkenntnis der Studie: Die CEOs dieser Welt unterschätzen das Thema IT-Sicherheit nach wie vor. So glauben in Deutschland 72 Prozent der CEOs, dass ihr Budget für IT-Sicherheit ausreichend ist. Und gar 44 Prozent räumen dem Thema keine Toppriorität ein.

httpss://twitter.com/mhuelskoetter/status/920568055717093376

Umso erstaunlicher ist es, dass sich so viele Firmen recht sicher fühlen, was ihre gesamte IT-Infrastruktur betrifft. So nimmt die Hälfte aller Befragten tatsächlich an, dass sie in Fragen der inneren und äußeren Sicherheit volle Kontrolle und den vollen Überblick haben. Was sich mit zahlreichen Studien zu dem Thema nicht wirklich deckt.

httpss://twitter.com/mhuelskoetter/status/920577672660635648

Aber, und das mag die abschließend gute Nachricht sein, sehen Unternehmensverantwortliche das Thema Sicherheit durchaus als Herausforderung an, mit der sie heute und morgen konfrontiert werden.

httpss://twitter.com/mhuelskoetter/status/920576636801748993