office365-verschluesselung-cloud-eperi

Office 365-Umgebungen mithilfe von eperi DSGVO-konform absichern

Es soll ja Leute geben, die können sich gar nicht mehr vorstellen, ohne Cloud-Services wie Microsoft Office 365 zurecht zu kommen. Dafür ist der Komfort und der schnelle Zugriff auf sämtliche Applikationen und Daten einfach zu gut, als dass sie jemals wieder darauf verzichten möchten.

Dabei bleibt allerdings leider viel zu oft die Sicherheit auf der Strecke. Denn mit jeder E-Mail, jedem vertraulichen Termin und mit jedem personenbezogenen Datum steigt das Risiko, dass sensible Daten in die falschen Hände geraten. Dabei ist es doch im Grunde so einfach, seine wertvollen Daten gegen den Zugriff von Unbefugten zu schützen.

Wussten Sie eigentlich, dass spätestens mit dem Inkrafttreten der DSGVO am 25. Mai 2018 nicht nur die Datenverantwortlichen eines Unternehmens in der Verantwortung stehen, sondern auch die sogenannten Auftragsverarbeiter? Das sind neben den klassischen Rechenzentrumsbetreibern auch die Anbieter von Cloud-Plattformen und Cloud-Diensten. Dazu zählt also auch Microsoft mit seinem Cloud-Service Office 365. Doch können Sie sicher sein, dass die Cloud Service Provider (CSP) sämtliche Auflagen rund um die DSGVO (und andere gesetzliche Regularien) auch wirklich vollständig einhalten? Sehen Sie, und genau das ist der Knackpunkt an der Geschichte. Und genau an der Stelle kommt das Thema Verschlüsselung ins Spiel.

Denn nur wenn Daten verschlüsselt in der Cloud gespeichert werden, kann man sich sicher sein, dass damit auch kein Unfug angestellt werden kann. Darüber hinaus will man keinen Aufwand generieren, der mit einer möglichen Anpassung der Verschlüsselungstechnik an den Cloud-Service wie Office 365 erforderlich macht. Eine Lösung, die beide Aspekt berücksichtigt, nennt sich eperi Cloud Data Protection (CDP). In diesem Fall geht die Sicherheit der Office-365-Daten noch ein erhebliches Stück weiter: Die Daten liegen faktisch gar nicht innerhalb der Office-365-Cloud-Umgebung, sondern auf einem geografisch und damit physikalisch getrennten Server, dem eperi Gateway.

eperi CDP = sichere Office 365-Cloud-Umgebungen

Damit stellt eperi Cloud Data Protection for Office 365 die ideale Ergänzung zu den Sicherheits- und Datenschutz-Funktionen dar, die Office 365 von Haus aus anbietet, indem es die Microsoft’sche Cloud-Umgebung um zentrale Datenschutz- und Compliance-Funktionen ergänzt. Damit werden sensible Informationen sicher verschlüsselt, bevor sie an die Office 365 Cloud übermittelt werden.

Ein weiterer Vorteil an dieser Lösung: Nur ein kleiner Kreis berechtigter Personen hat Zugang zu den kryptografischen Schlüsseln, die zum Ver- und Entschlüsseln sensibler Informationen in der Office 365-Cloud benötigt werden. Außerdem finden sämtliche Verschlüsselungs- und Entschlüsselungsprozesse ausschließlich unter der Kontrolle des Unternehmens außerhalb der Office 365-Cloud statt. So können nicht einmal Microsoft-Administratoren oder Mitarbeiter in externen Datenzentren auf die Daten im Klartext zugreifen.

Stellt sich nur die Frage, wie wichtige Anwendungsfunktionen, z. B. die Volltextsuche in E-Mails auf Exchange weiterhin funktionieren können, wenn die Daten in der Office 365-Cloud zu jedem Zeitpunkt verschlüsselt sind und die Microsoft Cloud-Services keinerlei Zugriff auf die Schlüssel haben? Die Antwort darauf liefert das eperi Gateway, das die Grundlage aller Cloud Data Protection-Lösungen darstellt, und die Art und Weise, wie es mit der Office 365-Cloud zusammenarbeitet und die Protokolle, die es unterstützt.

Office 365: Protokolle, Schnittstellen, Funktionen

HTTP(S): Mit dem Hypertext Transfer Protocol greifen die Anwender auf die Office-365-Anwendungen über einen Standard-Webbrowser zu. Dabei verschlüsselt HTTPS (Hypertext Transfer Protocol Secure) die Verbindungen zwischen Browser und Server. Hierbei kommt das Übertragungsprotokoll TCP/IP zum Einsatz, die Verschlüsselungstechnik dahinter wird mit SSL (Secure Socken Layer) bzw. TLS (Transport Layer Security) bezeichnet. Auf dem Server muss ein anerkanntes Zertifikat installiert sein, das eine Authentifizierung des Webbrowsers gegenüber des Webservers erlaubt.

SMTP: Mit dem Simple Mail Transfer Protocol werden innerhalb einer Office-365-Umgebung E-Mails versendet. Die Schnittstelle basiert ebenfalls auf dem Übertragungsprotokoll TCP/IP und nutzt SSL/TLS für den verschlüsselten Versand von E-Mails. Im Falle des SSL/TLS-basierten Versands spricht man auch von SMTPS (Simple Mail Transfer Protocol Secure).

Exchange Web Services (EWS): Mit den EWS greifen Anwender sicher und komfortabel auf Office 365-Postfachdaten zu. Dazu gehören E-Mails genauso wie Kalendertermine und Kontakte. Hier kommt auch HTTPS als Zugriffsprotokoll zum Einsatz.

Exchange ActiveSync (EAS): Analog zu den Exchange Web Services greift man mit EAS auf E-Mails, Kalender und Termine zu, allerdings mittels seiner Mobilgeräte wie iPhone und Tablet. Erwähnenswert ist in diesem Kontext die EAS-Funktion „Direct Push“, mit dessen Hilfe E-Mails, Terminen, etc. zwischen Office 365 und dem mobilen Endgerät synchronisiert werden. Die Daten zwischen Server und Mobilgerät werden auch über HTTPS übertragen.

MAPI over HTTP(S): Mit dem Messaging Application Programming Interface lassen sich E-Mail-Nachrichten direkt aus anderen Anwendungen als dem Mail-Programm verschicken. So lassen sich Textdokumente aus Word versendet werden, ohne dass man diese zuvor in den E-Mail-Client von Office 365 kopieren muss. MAPI over HTTPS wurde mit Microsoft Exchange 2013 eingeführt und hat seinerzeit das Vorgängerprotokoll RPC over HTTP abgelöst. Vor allem die deutlich schnellere Verbindung eines tragbaren Rechners mit dem Office 365-Mailserver via MAPI over HTTPS bietet erhebliche Vorteile gegenüber RPC over HTTP.

Müßig zu erwähnen, dass das eperi Gateway diese Protokolle, Funktionen und Schnittstellen von Office 365 unterstützt. Denn nur dann ist eine durchgängige Verschlüsselung innerhalb der Office 365 Cloud-Umgebung möglich.

eperi Gateway & Office 365: ein erprobtes E-Mail-Team

Eine Besonderheit des eperi Gateway ist seine unkomplizierte Verschlüsselungstechnik. Damit muss sich der Anwender nicht um passende Schlüssel oder ähnliche Dinge kümmern. So verfasst er einfach eine unverschlüsselte E-Mail-Nachricht und versendet diese. Diese landet auf dem E-Mail-Server des Empfängers, wo sie unmittelbar nach Erhalt vom eperi Gateway verschlüsselt und dann automatisch an Office 365 weitergeleitet wird. Da nur das Unternehmen des Empfängers über den Schlüssel zum Dekodieren der Nachricht verfügt, können ausschließlich berechtige Anwender des Unternehmens und sonst niemand die Nachricht lesen.

Interessant ist obendrein die Option, über die Outlook Web Apps auf die Office 365-Umgebung zuzugreifen. Da sich zwischen Browser und Office 365 Cloud-Umgebung ebenfalls das eperi Gateway um die Ver- und Entschlüsselung der Nachrichten kümmert, können E-Mails ganz bequem von jedem Ort der Welt via Webbrowser abgerufen werden – und das vollkommen geschützt.

Trotz Verschlüsselung nach E-Mails und Dateien suchen

Mit einem speziellen Trick können Anwender innerhalb einer Office 365 Cloud-Umgebung verschlüsselte E-Mails und Dateien suchen und finden. Hierzu legt das eperi Gateway einen vollständigen Index aller E-Mails und Dateien an, der nicht in der Office 365-Cloud, sondern in der sicheren Kundenumgebung, z.B. auf dem eperi Gateway-Server gespeichert wird. Das entkoppelt die Office-Umgebung vom eperi Gateway, was zusätzlich die Sicherheit erhöht.

Sucht dann ein Benutzer nach einem Datum oder Begriff, wird dieses/r zunächst an das eperi Gateway weitergeleitet. Dort wird die modifizierte Suchanfrage mithilfe der richtigen Datenset-ID an die Office 365-Cloud-Umgebung gesendet, die anhand dieser eindeutigen Nummer das richtige, verschlüsselte Suchergebnis aus der Office 365-Umgebung an das eperi Gateway zurückgibt. Dort wird die E-Mail oder Datei entschlüsselt und dem Anwender als Klartext zur Verfügung gestellt. Damit wird zu jeder Zeit sichergestellt, dass Suchergebnisse wie E-Mails oder Dateien niemals öffentlich vorliegen und damit Office 365-Inhalte auch nicht kompromittiert werden können.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Forrester-Review-Ergebnis als Infografik

Darum ist das frühe Evaluieren von Softwarefehlern so wichtig

In Zeiten von unsicheren Software-Applikationen, die aufgrund von Schwachstellen unerwünschten Eindringlingen wie Hackern zahlreiche Angriffspunkte bieten, wird der Sicherheitscheck von selbst programmierten Anwendungen immer wichtiger. Hierbei werden Firmen von speziellen Tools wie der CAST Application Intelligence Platform (AIP) unterstützt, die innerhalb der gesamten Entwicklungsphase eingesetzt werden können.

Das Ganze nennt sich Static Application Security Testing (SAST) und ist im besten Fall Teil des Software Development Life Cycle (SDLC), was im Deutschen für Software-Entwicklungs-Lebenszyklus steht. Dabei kommt es vor allem darauf an, die entsprechenden SAST-Tools in einem möglichst frühen Entwicklungsstadium der Anwendungssoftware einzusetzen. Denn das erlaubt ein rasches Aufspüren von vorhandenen Schwachstellen und Programmierfehlern, die die Sicherheit von Applikationen gefährden können.

SAST-Tools wie die CAST AIP im Fokus von Sicherheitsexperten und CIOs

Daher verwundert es nicht, dass immer mehr Sicherheitsverantwortliche größerer Firmen die Implementierung von SAST-Werkzeugen in den Software-Entwicklungszyklus entweder bereits realisiert haben oder planen, dies zu tun. Zu diesem Ergebnis kommt zumindest das Marktforschungsinstitut Forrester Research in seiner Umfrage mit dem Titel „Forrester Data Global Business Technographics Security Survey, 2017“.

Dabei stellte sich nämlich heraus, dass schon zahlreiche Unternehmen SAST-Tools einsetzen oder planen dies zu tun. Etwas unverständlich dabei ist allerdings, warum sie damit in vielen Fällen erst zu einem recht späten Zeitpunkt innerhalb des Entwicklungszyklus‘ beginnen, und zwar erst während der Test- bzw. Produktionsphase. Dabei ist das Evaluieren von möglichen Schwachstellen zu einem früheren Zeitpunkt sehr viel sinnvoller.

Forrester-Umfrage zur Implementierung von SAST-Tools

10 Probanden und wichtige Erkenntnisse des Forrester SAST-Reviews

Dasselbe Unternehmen hat ebenfalls erst kürzlich eine umfangreiche Marktbetrachtung samt Funktionstest veröffentlicht, in dem es die zehn bekanntesten SAST-Tools unter die Lupe nimmt. Zu diesem erlesenen Feld gehören unter anderem CA Veracode, CAST, Ceckmarx, Micro Focus, Synopsys und andere Probanden. Der Name diese Studie lautet The Forrester Wave: Static Application Security Testing, Q4 2017.

Download-Tipp: Die detaillierte Auswertung der Studie steht mithilfe einer kurzen Registrierung als Download auf der CAST-Webseite zu Verfügung.

Wichtig dabei war, ob die SAST-Tools Dinge wie das Scannen von Quellcode beherrschen, und das auf möglichst breiter Programmiersprachen-Basis, inkrementelle Scans unterstützen, Meilensteine vorsehen sowie die Integration des SAST-Tools innerhalb der Entwicklungsumgebung ermöglichen, und das alles „Out of the Box“, also ab Werk quasi. Darüber hinaus wurde die aktuelle Vermarktungsstrategie sowie der Marktanteil des jeweiligen SAST-Tools betrachtet und bewertet. Herausgekommen bei dieser Evaluierung sind zahlreiche interessante Erkenntnisse:

Die CAST AIP punktet vor allem in Spezialdisziplinen

Hinter den „Platzhirschen“ Synopsys und CA Veracode tummeln sich drei ernstzunehmende Alternativen, die ihre Stärken vor allem in speziellen Bereichen ausspielen. Im Falle der CAST AIP betrifft dies unter anderem den breiten Support an Programmiersprachen, weswegen die CAST AIP eine sehr gute Option für Unternehmen darstellt, in denen Sprachen wie Javascript, .NET, Java, Python, C++, etc. zum Einsatz kommen.

Aber auch im Bereich „Akkuratesse“ kann die CAST AIP punkten. Hiermit kann der „Gesundheitszustand“ einer Anwendung ermittelt werden, und das runter bis auf Systemebene. Dabei wird vor allem die Qualität der einzelnen Softwarekomponenten sowie deren Verbindungen zueinander gemessen und bewertet.

CAST Application Intelligence Platform (AIP)

Bemerkenswert finden die Marktanalysten von Forrester auch das Dashboard der CAST AIP, mit dessen Hilfe Sicherheitsexperten, Software-Entwickler und CIOs die Qualitätsmerkmale ihrer Software auf einen Blick visualisieren können. Dazu gehören Kriterien wie Robustheit, Effizienz, Anpassbarkeit und Sicherheit der Anwendung. Aus diesen und weiteren Gründen kommt Forrester zu dem Schluss, dass die CAST AIP im Segment „Strong Performers“ anzusiedeln ist, und das wegen einer klaren Marktstrategie und einem soliden Produkt, mit dem sich Schwachstellen innerhalb von Quellcode ausfindig machen lassen.

Forrester-Review-Ergebnis als Infografik

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

Netzwerk-Monitoring - FAQ

Serie: Wichtige Fragen rund um das Netzwerk-Monitoring

Rund um das Thema Netzwerk-Monitoring ranken sich zahlreiche Fragen, die allesamt auf eine Antwort hinauslaufen: Ja, mit dem richtigen Tool können Schwachstellen innerhalb der IT-Infrastruktur aufgedeckt werden, und das zu großen Teilen vollautomatisiert. Daher folgen an dieser Stelle die wichtigsten Fragen zum Thema „Überwachung von eigenen und fremden Netzwerken“. Los geht’s!

Hardware-Probleme/-Engpässe

Warum verhalten sich unsere Anwendungen so langsam?

Warum ist die Datei xy ganz plötzlich verschwunden?

Sind die klimatischen Bedingungen im Serverraum akzeptabel?

Wann wird der Speicherplatz auf dem Dateiserver knapp?

Brauchen wir einen schnelleren Internetanschluss?

Diese und weitere Beobachtungen lassen oft den Schluss zu, dass Netzwerkkomponenten und andere Hardware entweder überlastet sind oder gar einen Defekt aufweisen, der im schlimmsten Fall die komplette Infrastruktur lahmlegen kann.

Sicherheitslücken

Können ungewöhnliche Prozessor- und Speicherlasten auf ungebetene Gäste hinweisen?

Weist die Firewall unbekannte Datenzugriffe bzw. -verbindungen auf?

Ist die Antiviren-Software auf dem neuesten Stand?

Haben Hacker möglicherweise Zugriff auf unser Netzwerk?

Nicht überwachte Netzwerkkomponenten wie Firewalls und Router stellen eine permanent Gefahr dar, da sie das Einfallstor in das eigene Netzwerk sind. Daher sollte man diese Gerätschaften mithilfe geeigneter Tools rund um die Uhr bewachen. Das trifft auf Software natürlich genauso zu. Hierfür gibt es auch die passenden Werkzeuge, mit denen man den aktuellen Zustand und Status von Antivirus und Co. kontrollieren kann.

Ladenzeiten von Webseiten

Warum springen Besucher so schnell von meiner Webseite ab?

Es mehren sich die Kaufabbrüche auf meinem Onlineshop. Warum ist das so?

Wie kann ich feststellen, wenn mehr Besucher als sonst auf meiner Webseite sind?

Ein für Google und Webseitenbesucher relevantes Qualitätsmerkmal sind die Ladezeiten der Online-Präsenz. Denn nichts lässt potenzielle Käufer und Interessenten schneller abspringen als ein, zwei überflüssige Sekunden des Wartens. Daher ist es von größter Wichtigkeit, die Ladezeiten der eigenen Webseite zu kennen und darauf mit entsprechenden Maßnahmen zu reagieren. Aber auch ein erhöhtes Datenaufkommen auf der Internetseite kann mithilfe des geeigneten Monitoringtools identifiziert werden.

Virtuelle IT-Infrastrukturen

Warum stürzen bestimmte virtuelle Maschinen (VM) so häufig ab?

Wie stelle ich sicher, dass CPU und Speicher die gewünschte Leistung bringen?

Ist die zugrunde liegende Hardware der VM der Übeltäter für die Ausfälle?

Virtuelle IT-Umgebungen kommen immer häufiger zum Einsatz, daher ist die Kontrolle derselben unerlässlich. Wichtig ist dabei, das Prozessor- und Speicherverhalten jeder einzelnen virtuellen Maschine zu monitoren. Aber auch die Netzwerkleistung sollte kontrolliert werden. Und wenn man weiß, welche Abhängigkeiten zwischen der virtuellen Maschine und der Hardware bestehen, kann man mühelos feststellen, ob die VM oder der Server der Missetäter für die aufgetretenen Probleme ist.

Audio- und Videoqualität

Warum ist die Tonqualität unserer IP-basierten Telefonate schlechter geworden?

Bei Videokonferenzen und Skype-Chats ruckelt das Bild oft. Warum ist das so?

Gerade in Zeiten der voranschreitenden Umstellung auf die IP-Telefonie kommt der fehlerfreien Datenübertragung von Audiodaten eine immer höhere Bedeutung zu. Daher sollte tunlichst darauf geachtet werden, das eigene Netzwerk permanent auf mögliche Datenverluste und -verzögerungen zu überprüfen, die verantwortlich sein können für schlechte Audio- und Videosignale. Auch dies lässt sich mittels eines Monitoring-Tools überwachen, indem zum Beispiel kontrolliert wird, ob UDP-basierte Datenpakete innerhalb der erforderlichen Zeitabschnitte empfangen werden.

Datenbank-Leistung

Warum lädt die SQL-Datenbank so langsam?

Wie kann ich sicherstellen, dass eine bestimmte Zahl von Anwendern gleichzeitig auf die Datenbank zugreifen kann?

Warum dauert die Datenbanksuche so lange?

Oft liegt es an der Datenbank selbst, und nicht an der Verbindung zu derselben, wenn Daten nicht schnell genug geladen werden. Auch SQL-basierte Webanwendungen wie WordPress reagieren im Falle einer lahmenden Datenbank nicht zufriedenstellend, was den Rückgang von Besuchern zur Folge haben kann. Aber auch die Antwortenzeiten können mittels Monitoring überwacht werden, womit sich langsame Suchanfragen erklären lassen.

CAST Software - Dashboard-Ansicht

Darum sind CAST-Analysetools echte DSVGO-Helfer

Letzten Freitag war ich auf einer IDC-Veranstaltung zum Thema DSGVO. Dabei habe ich zahlreiche Dinge gelernt:

  • Etwa die Hälfte aller deutschen Unternehmen mit mehr als 20 Mitarbeitern sind nicht ausreichend auf die künftige Datenschutzgrundverordnung (DSGVO) vorbereitet. Das bedeutet im schlimmsten Fall, dass sie mit drakonischen Strafen rechnen müssen (die Rede ist von bis zu 20 Millionen Euro oder 4 Prozent vom jährlichen Umsatz der Firma!).
  • Das Thema Datenschutzbeauftragter wird eine ganz neue Bedeutung erfahren. Auch hier hinken viele der von IDC befragten Unternehmen hinterher.
  • Die technische und organisatorische Umsetzung der DSGVO-Kriterien stellt zahlreiche Unternehmen vor erhebliche Herausforderungen, vor allem den Mittelstand.

Und genau an dieser Stelle kommt die Firma CAST ins Spiel. Zwar nicht im organisatorischen, aber im technischen Sinne. Das sieht im Einzelnen wie folgt aus.

Technische Maßnahmen bewerten, die für mehr Sicherheit sorgen

Forderung: Betreiber von Cloud-Plattformen und andere Firmen werden ab Mai 2018 unter anderem daran gemessen, wie sicher Daten verarbeitet und gespeichert werden. Dies erfordert ein gesamtseitliches IT-Sicherheitsmanagement.

CAST-Unterstützung: Die Analysetools von CAST zeigen ganz genau, wie und wo schützenswerte Daten verarbeitet und gespeichert werden. Dabei werden nicht nur einzelne Anwendungen betrachtet, sondern die vollständige Verarbeitungskette, also vom Eingabegeräte bis zum Großrechner. CAST nennt das holistische Analyse. Sobald das Ergebnis dieser umfassenden Analyse vorliegt, wird eine Handlungsempfehlung erstellt, an welchen Stellen der Anwendungen und Schnittstellen nachgebessert werden muss.

Zuverlässigkeit von Anwendungen überprüfen

Forderung: Die DSGVO stellt hohe technische Anforderungen an Systeme und Dienste. Daher müssen deren Anbieter resp. Betreiber regelmäßig deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sicherstellen.

CAST-Unterstützung: Die CAST-Analysewerkzeuge basierten auf objektiven Standards, mit deren Hilfe man die Qualität einer Anwendung oder eines Service in Sachen Sicherheit und Belastbarkeit bewerten kann. Hierzu kommen die Standards des CISQ und der OMG zum Einsatz, die objektive Kennzahlen einer Anwendung bereitstellen. Auf dieser Basis lässt sich feststellen, wie zuverlässig eine Applikation arbeitet, woraus sich notwendige Maßnahmen ableiten und ergreifen lassen.

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

Datenschutz „by Design“ und „by Default“ sicherstellen

Forderung: Zwei wesentliche Grundprinzipien des Datenschutzes rücken verstärkt in den DSGVO-Fokus: „Data Protection by Design“ und „Data Protection by Default“. Damit sollen Anwendungen und Services von Anfang an nur die Daten erfassen, die unbedingt für die Anwendung notwendig sind.

CAST-Unterstützung: Mithilfe einer holistische Analyse lassen sich vollständige Transaktion, also vom Start- bis zum Endpunkt, transparent und damit nachverfolgbar machen. Dies stellt sicher, ob Daten im Sinne der DSGVO richtig verarbeitet werden und nicht auf unangemessene Weise adressiert werden. Dabei helfen Tools, „Data Protection by Design“ zu erzwingen und nachzuweisen.

Risikoeinschätzung selber vornehmen

Forderung: Unternehmen, die besonders sensible Daten verarbeiten und speichern, müssen künftig einschätzen können, mit welcher Wahrscheinlichkeit sich das Risiko eines Datenmissbrauchs, -verlusts, etc. beziffern lässt und welche Folgen daraus entstehen können.

CAST-Unterstützung: Die CAST-Analysetools durchforsten Anwendungen auf sämtliche Schwachstellen hin, die Verstöße und Sicherheitsverletzungen im Sinne des DSGVO zur Folge haben können – und das, bevor eine Anwendung in den Produktionsstatus übergeht. Damit lassen sich mögliche Cyberangriffe im Vorfeld genauso ausschließen wie Compliance-Vergehen aufgrund nicht autorisierter Prozesse. Auch hier kommen die Standards der OMG oder des CISQ zur Anwendung.

Der holistische Analyseansatz von CAST

Der holistische Analyseansatz von CAST

Dokumentationspflicht von Anfang an

Forderung: Die DSGVO fordert künftig von Unternehmen, mögliche datenschutzrechtliche Verletzungen genau zu dokumentieren. Darin müssen alle Fakten beschrieben werden, die eine Datenschutzverletzung ermöglichen können und wie diese Schwachstellen behoben werden sollen.

CAST-Unterstützung: Mithilfe des holistischen Analyseansatzes können CAST-Tools ein genaues Abbild der zu untersuchenden Anwendung erstellen, woraus sich objektive Kennzahlen ableiten lassen, die etwas über die tatsächliche Qualität der Applikation aussagen. Da dieser Vorgang beliebig wiederholt werden kann, erhält man eine zeitbezogene Veränderung der Anwendung, was einer kontinuierlichen Dokumentation entspricht.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

Fortinet-Umfrage: CEOs unterschätzen IT-Sicherheit ihres Unternehmens nach wie vor

Am letzten Freitag war ich auf einer sehr interessanten IDC-Veranstaltung zum Thema DSGVO, und so ergab es sich, dass eine Einladung der Firma Fortinet folgte, die ihrerseits eine in Auftrag gegebene Umfrage präsentieren wollten. Die zugehörige Auswertung ist überschrieben mit dem Titel „The attitudes towards cybersecurity in organizations“.

httpss://twitter.com/mhuelskoetter/status/920554079960686592

Es ging bei der Umfrage, die im August 2017 unter 1.801 weltweit operierenden Unternehmen mit einer Firmengröße von mehr als 250 Mitarbeitern durchgeführt wurde, um eine wichtige Frage:

Wie ernst nehmen Unternehmen das Thema IT-Sicherheit?

Um es vorweg zu nehmen: Das Bewusstsein für funktionierende Sicherheitsmaßnahmen mag ja vorhanden sein, alleine an der Umsetzung hapert es an zahlreichen Stellen.

httpss://twitter.com/mhuelskoetter/status/920561057831313409

Dieses „Ignorieren“ von notwendigen Maßnahmen, die Unternehmen eigentlich verstärkt in Sicherheit investieren müssten, ist umso erstaunlicher, da weltweit 85 Prozent aller Firmen bereits Opfer eines Hackerangriffs waren.

httpss://twitter.com/mhuelskoetter/status/920557173914198017

Die gute Nachrichte offenbarte die Studie immerhin auch: So stiegen die Ausgaben für die IT-Sicherheit während des letzten Jahres weltweit um 71 Prozent, hierzulande waren es 56 Prozent.

So viel investieren Firmen in IT-Sicherheit

Gleichzeitig geben Unternehmen in diesem Jahr weniger für IT-Sicherheitsexperten aus. Was wohl auch damit zu tun hat, dass die Zahl der erforderlichen Spezialisten derzeit am Markt einfach nicht vorhanden sind.

httpss://twitter.com/mhuelskoetter/status/920558965112614912

Interessant an der Studie ist auch die Frage, wie unterschiedlich deutsche Unternehmen im weltweiten Vergleich mit der Frage „Wer ist Schuld bei einem Hackerangriff und deren Folgen“ umgehen. So machen deutsche IT-Verantwortliche zu einem geringeren Prozentsatz die IT-Abteilung oder eine spezifische Person verantwortlich für einen Schadensfall. Interessant daran: Das Bedrohungspotential seitens eines externen IT-Beauftragten wird hierzulande wesentlich weniger gefährlich eingestuft als im weltweiten Vergleich.

httpss://twitter.com/mhuelskoetter/status/920559916120756224

Was ebenfalls anhand der Studie auffällt: Aus einem Schadensfall ergeben sich ganz unterschiedliche Reaktionen. So stellt sich fast jeder zweite deutsche Unternehmensverantwortliche die Frage, warum es zu dem Angriff kommen konnte und was künftig dagegen getan werden kann. Und auch im Bereitstellen notwendiger finanzieller Mittel sind deutsche CEOs deutlich freigiebiger als ihre internationalen Kollegen.

httpss://twitter.com/mhuelskoetter/status/920563812687859712

Aber, und das ist die wesentliche Erkenntnis der Studie: Die CEOs dieser Welt unterschätzen das Thema IT-Sicherheit nach wie vor. So glauben in Deutschland 72 Prozent der CEOs, dass ihr Budget für IT-Sicherheit ausreichend ist. Und gar 44 Prozent räumen dem Thema keine Toppriorität ein.

httpss://twitter.com/mhuelskoetter/status/920568055717093376

Umso erstaunlicher ist es, dass sich so viele Firmen recht sicher fühlen, was ihre gesamte IT-Infrastruktur betrifft. So nimmt die Hälfte aller Befragten tatsächlich an, dass sie in Fragen der inneren und äußeren Sicherheit volle Kontrolle und den vollen Überblick haben. Was sich mit zahlreichen Studien zu dem Thema nicht wirklich deckt.

httpss://twitter.com/mhuelskoetter/status/920577672660635648

Aber, und das mag die abschließend gute Nachricht sein, sehen Unternehmensverantwortliche das Thema Sicherheit durchaus als Herausforderung an, mit der sie heute und morgen konfrontiert werden.

httpss://twitter.com/mhuelskoetter/status/920576636801748993

Bernd Bohne von der SDV-IT zu IBM-Mainframes und der IBM z14

[Video] Bernd Bohne von der SDV-IT zu IBM-Mainframes

Im IBM Watson IoT Center zu München durfte ich mit Bernd Bohne von der Sparda-Datenverarbeitung (SDV-IT) während es großen IBM Z-Events dieses Interview zum Thema IBM-Mainframes führen. Darin nennt er zahlreiche Gründe, warum Sparda-DV IBM-Großrechner einsetzt und warum er das z14-Feature „Pervasive Encryption“ so spannend findet.

IBM-Mainframes kommen bei der SDV-IT seit 1983 zum Einsatz

Die SDV-IT blickt auf eine lange IBM-Mainframe-Historie zurück. So werden die Rechner seit Gründung des Unternehmens im Jahr 1983 eingesetzt. Die Großrechner kommen vor allem im Bereich Transaktionsverarbeitung zum Einsatz, und das sowohl im Zahlungsverkehr als auch bei den Bankgeschäften. Zudem werden die Rechner massiv bei der Stapelverarbeitung verwendet.

Derzeit stehen unter anderem zwei Mainframes vom Typ IBM z13 in den Rechenzentren der SDV-IT, auf denen z/OS und z/VM sowie z/Linux installiert sind.

„Pervasive Encryption erlaubt die umfassende Verschlüsselung, vom Server bis zu den Platten“

Natürlich interessierte mich, wie Herr Bohne das neue Sicherheitsfeature der IBM z14 „Pervasive Encryption“ einschätzt. Er findet dieses neue Feature für einen Banken-IT-Dienstleister natürlich hochinteressant, da sich daraus eine vollständige Verschlüsselung vom Server über die Verbindungswege bis zu den Platten ergibt, wie er im Interview sagt.

„Vom IBM Watson IoT Center gehen wirklich eigene Impulse aus“

Neben den technischen Aspekten der Veranstaltung fand Bernd Bohne auch die Event-Location sehr bemerkenswert. Denn vom IBM Watson IoT Center gehen vollkommen neue Impulse aus und man komme dazu, mal wieder in neue Richtungen zu denken. Und klar, dass er auch wegen der IBM z14 den „weiten“ Weg von Nürnberg nach München auf sich genommen hat.

Bernd Bohne im Videointerview zu IBM Z und mehr

Alle Fans des Bewegtbilds können sich natürlich das Interview mit und von Bernd Bohne per Mausklick oder Fingertipp ansehen und -hören. Na dann: Film ab!

Disclaimer: Für diesen Beitrag hat mich IBM Deutschland als Blogger beauftragt.

Axel Panten von der R+V Versicherung über IBM-Mainframes und die IBM z14

[Video] Axel Panten von der R+V Versicherung zu IBM-Mainframes

Während des großen IBM Z-Events im Münchner IBM Watson IoT Center durfte ich mit Axel Panten von der R+V Versicherung dieses Gespräch führen. Darin verrät er mir, seit wann und warum und welche IBM-Mainframes in seinen Rechenzentren eingesetzt werden. Und was er an der Location so toll findet, sagt er auch.

Z-Mainframes kommen bei der R+V Versicherung schon lange zum Einsatz

Axel Panten leitet bei der R+V Versicherung den gesamten IT-Betrieb und ist obendrein für das Anwendungsmanagement zuständig. Damit ist er auch für die zwei IBM z13 Mainframes zuständig, die in seinen Rechenzentren zum Einsatz kommen. Und das ist nicht der erste IBM-Großrechner, den Herr Panten bei der R+V erlebt, schließlich arbeitet er dort schon seit 17 Jahren.

IBM-Mainframes spielen bei der R+V Versicherung eine strategische Rolle

Und es gibt gute Gründe für die IBM-Mainframes bei der R+V: Die gesamte Bestandsverwaltung und sämtliche Kundendaten liegen auf den Rechnern und stellen damit das Herz der IT-Umgebung dar. Dabei spielt auch eine strategische Entscheidung eine wichtige Rolle, denn offensichtlich vertraut man bei der R+V Versicherung den z-Maschinen so sehr (vor allem in punkto Stabilität), dass ein „Umzug“ der Daten auf einen anderen Großrechner nicht infrage zu kommen scheint.

Sicherheit ist natürlich das Top-Thema bei einer Versicherung

Doch wie garantiert die R+V die Datensicherheit auf den Mainframes? Hierfür kommen diverse Mechanismen wie zum Beispiel der Zugriffsschutz zur Anwendung, damit auch nur Berechtigte an ihre Daten herankommen. Natürlich gibt es auch weitere Abwehrmaßnahmen, wie Firewalls.

Sehr interessiert, wenn auch noch nicht vollständig informiert, zeigte sich Herr Panten beim Thema „Pervasive Encryption“. Aber er war guter Dinge, auf dem Event noch mehr Infos dazu einzuholen.

Watson IoT Center und „Networking“ als Event-Motivation

Beeindruckt zeigte sich Panten auf von der Event-Location. Er wollte sich das IBM Watson IoT Center schon immer einmal ansehen, daher war der Besuch der Z-Veranstaltung eine willkommene Gelegenheit, das endlich zu tun.

Zudem war und ist er auf der Suche nach mehr Infos zur IBM z14, die bei der R+V Versicherung wohl kurz über lang installiert wird. Und der Netzwerkgedanke stand bei der Entscheidung, die Veranstaltung zu besuchen, ebenfalls ganz weit oben auf Herrn Pantens Agenda.

Für alle Informationen aus erster Hand empfehle ich, das Video zu starten. Na dann: Film ab!

Disclaimer: Für diesen Beitrag hat mich IBM Deutschland als Blogger beauftragt.

IBM-Z-Mainframe

#trustIBMz: Live-Coverage des großen IBM Z-Events in München [UPD]

Morgen steht meine x-te Live-Berichterstattung für IBM auf dem Programm. Thema wird dieses Mal die neueste Generation der Mainframe-Serie „Z“ sein, über die ich ja schon auf diesem Kanal berichtet habe. Als Veranstaltungsort wurde das IBM Watson IoT Center zu München ausgewählt, über das ich seinerzeit anlässlich der offiziellen Eröffnung gebloggt habe.

Update: Ich habe eine Zusammenfassung des Events auf diesem, meinem Blog veröffentlicht. Die Video-Blogbeiträge folgen in den nächsten Tagen.

Das IBM-Z-Event findet an zwei Tagen statt, wobei ich nur an einem dabei sein werde, da ich mich morgen Abend direkt ins HQ von IBM nach Ehningen begebe. Dort finden nämlich am Mittwoch und Donnerstag die IBM Storage Strategy Days statt, von denen ich ebenfalls einen ganzen Tag lang im Auftrag von IBM berichten werde.

IBM Z – Mit Sicherheit geht’Z weiter

Das morgige Event aus dem IBM Watson IoT Tower beschäftigt sich vor allem mit der brandneuen Mainframe IBM z14, die Mitte Juli offiziell vorgestellt wurde. Dabei stellt IBM das Thema Sicherheit offenkundig in den Vordergrund. Hierfür wurde sogar eigens der Twitter-Hashtag #trustIBMz geschaffen, unter dem ich – wie viele andere auch – über die Aktivitäten rund um IBM Z per Microblogging berichte.

Die Agenda des ersten Tags des großen IBM-Events sieht interessante Namen und ganz viel „Smalltalk“ rund um IBM Z vor. So wird Martina Koederitz, ihres Zeichens Vorsitzende der Geschäftsführung der IBM Deutschland GmbH, das Event eröffnen und die ersten passenden Worte zum Thema Mainframe und Sicherheit finden.

Viele Infos rund um Mainframes und IBM Z zum Anfassen

Anschließend  werden Martha Bennett von Forrester Research und Jutta Rößner von der DATEV eG die Bühne erklimmen und ihre Sicht der Dinge rund um IBM Z und #trustIBMz erläutern. Das wird Frau Rößner auch auf vor meiner Videokamera tun, die ich natürlich dabei haben werde und mit der ich viele schöne Statements rund um IBM-Mainframes einsammeln möchte.

Zu den geeigneten Videointerview-Kandidaten gehört zweifelsohne auch Paulo Carvao, mit dem ich zum einen auf der CeBIT 2017 ein interessantes Interview geführt habe und der zum anderen ebenfalls einen Kurzvortrags zu IBM Z halten wird. Bin schon gespannt, was mir Paulo dieses Mal erzählen wird.

IBM Z und z14 zum Anfassen und Twittern

Nach diesen vier eher kurz gehaltenen Präsentationen wird es sehr informell auf dem IBM Z-Event, was mir sicherlich die Gelegenheit gibt, das ein oder andere interessante Gespräch mit oder ohne Kamera zu führen. Obendrein werde ich diverse Bilder via Twitter in die Welt senden, sodass es wohl keine schlechte Idee ist, mir auf dem Microblogging-Dienst zu folgen.

Abschließend wird das IBM Watson IoT Center vorgestellt, und Lars Hermann sowie Andreas Thomasch von IBM schließen den ersten Tag mit den passenden Worten ab. Zu diesem Zeitpunkt werde ich mich wohl schon im Zug in Richtung IBM Deutschland befinden. Aber das ist eine andere Geschichte, über die ich morgen berichten werde.

Disclaimer: Für diesen Beitrag samt der morgigen Berichterstattung und der zugehörigen Videointerview-Posts hat mich IBM Deutschland als Blogger beauftragt.

[Videochat] IBM z14: Sicherheit first + „Made in Böblingen“ [Upd]

[Videochat] IBM z14: Mainframes forever, DSGVO-Datenkopfschmerzen und mehr

[Videochat] IBM z14: Machine Learning, Blockchain, Apple Pay & Co.

CeBIT 2017: Paulo Carvao, IBM Systems, über Cognitive Computing

IBM eröffnet das weltweite Watson IoT Center in München [Upd]

[Videochat] Mark Sobol über EU-DSGVO, WannaCry und mehr

Dieses Videointerview ist entstanden auf dem VirtualizationDay 2017 der Firma SVA in Hamburg. Darin erzählt Mark Sobol, warum das Event für die SVA und ihre Kunden wichtig ist, welche IT-Bedrohungen gerade wahrgenommen werden und wie die SVA ihren Kunden hilft, damit besser umzugehen.

Events wie der VirtualizationDay in Hamburg sind aus der Sicht von Herrn Sobol wichtig, um gerade in der norddeutschen Region Präsenz zu zeigen, da sich die SVA dort zu selten gezeigt hat. Dabei ist es ganz wichtig, das breite Lösungsspektrum der SVA zu präsentieren und auch das Unternehmen als solches klarer zu positionieren. Dieser Trend wird sich laut Herrn Sobol in diesem, aber auch in den kommenden Jahren manifestieren.

Mannigfaltige Themen: Virtualisierung, Automatisierung und mehr

Und Themen dafür gibt es genügend: Virtualisierung, Automatisierung, Software-defined Datacenter und natürlich das weite Feld der IT-Security, die in jedem Themengebiet eine maßgebliche Rolle spielt. Weswegen es für die Business Unit von Mark Sobol besonders wichtig ist, bei Events wie diesem anwesend zu sein.

EU-DSGVO, IT-Sicherheitsgesetz und Co. erfordern ein Umdenken

Denn mit der zunehmenden Bedrohung von IT-Anlagen und -Systemen kommen den passenden Security-Lösungen eine enorme Bedeutung zu. Aber auch das Thema Compliance steht bei immer mehr Unternehmen ganz weit oben auf der Agenda. Denn in Zeiten zunehmender Regulierungen wie der geplanten EU-DSGVO oder dem IT-Sicherheitsgesetz kommen viele Firmen gar nicht mehr umhin, passende Sicherheitslösungen umzusetzen und zu implementieren.

Aber auch mit diversen Zertifizierungen und dem Erfüllen staatlicher Vorgaben müssen sich Unternehmen und IT-Verantwortliche verstärkt auseinandersetzen. Und da ist eine professionelle Unterstützung von IT-Sicherheitsexperten wie Mark Sobol und seinem Team sicherlich keine schlechte Idee.

Krypto-Trojaner wie WannaCry können Geld und Image kosten

Aber auch das Thema Cybercrime lässt viele Unternehmer schlecht schlafen. Denn gerade mit Krypto-Trojanern wie WannaCry und Locky lässt sich sehr viel Geld verdienen. Diese Vorfälle haben laut Herrn Sobol vor allem gezeigt, dass viele Firmen nach wie vor sehr schlecht gegen Angriffe von außen geschützt sind. Daher empfiehlt es sich, den Schutz der eigenen Daten und des geistigen Eigentums sowohl auf technischer als auch organisatorischer Ebene deutlich zu verbessern.

Security made by SVA: Penetration Tests und viel Sicherheit

In diesem Kontext hilft die SVA Unternehmen, eine Bestandsaufnahme durchzuführen, um gemeinsam festzulegen, welche Maßnahmen zu ergreifen sind, um das Angriffspotential zu verringern. Sobald dies geschehen ist, helfen die Security-Experten der SVA bei der Implementierung der notwendigen Maßnahmen und Tools. Und sobald das umgesetzt wurde, kann die SVA sogenannte Penetration Tests durchführen, die zeigen sollen, auf welchem Niveau sich die Sicherheitsmechanismen und -maßnahmen befinden.

Na dann: Film ab von und mit Mark Sobol!

Wer das Ganze von Mark Sobol selbst hören möchte, dem empfehle ich ein Mausklick oder Fingertipp auf das eingebettete Videointerview. Viel Spaß damit!

Disclaimer: Dieses Video und der zugehörige Beitrag sind im Auftrag der SVA GmbH/Wiesbaden entstanden. Bei der Auswahl der Interviewfragen und der Erstellung des Blogposts hat mir die SVA völlig freie Hand gelassen.

Studie zeigt: Die Bedrohung durch Locky & Co. ist real

Die Sicherheitsexperten von SentinelOne können es jetzt belegen: Locky & Co. sind real, und das vor allem hierzulande. Das förderte eine groß angelegte Studie zu Tage, die unter IT-Managern mittelständischer und großer Unternehmen in Deutschland, Frankreich, den USA und UK durchgeführt wurde. Demnach wurden innerhalb des letzten Jahres mehr als die Hälfte aller deutschen Firmen von einem Ransomware-Angriff heimgesucht. Dabei war das Einfallstor Nummer 1 die E-Mail, die mit einer 81-prozentigen Wahrscheinlichkeit Hauptverursacherin für infizierte Rechner ist.

Bemerkenswert ist auch, dass das Wiederherstellen sämtliche Daten nach solch einem Angriff rund 33 Stunden benötigte. Das kann de facto nur heißen, dass die meisten der infizierten Firmen keine ausreichenden Schutzmaßnahmen getroffen hatten. Was sich ziemlich gut mit einer Zahl deckt, die sich aus der Umfrage ebenfalls ergibt: So fühlten sich 36 Prozent aller Befragten schutz- und hilflos, was die Abwehr von Ransomware betrifft. Eine alarmierende Quote!

bedrohung-durch-ramsomware-ist-real-quelle-sentinelone