365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Dieser Preis hat mich besonders gefreut. Bei der Auszeichnung bewerten Studierende in Deutschland verschiedene Kriterien und wählen in vier Wissenschaftsbereichen ihre Favoriten. Sie hoben bei mir insbesondere meine Betreuung während des Studiums und meine Unterstützung beim Einstieg in die Arbeitswelt hervor. Beides Aspekte, die mir in meiner Arbeit als Professor sehr wichtig sind.
Unser Forschungsinstitut hat ca. 50 Mitarbeiter, dadurch decken wir viele Themen ab. Ein derzeitiger Schwerpunkt ist die risikobasierte adaptive Authentifikation. Dahinter steht die Frage, durch welche moderne IT-Sicherheitstechnologie zukünftig Passwörter abgelöst werden können. Das Projekt findet sehr viel Anklang. Aber auch Künstliche Intelligenz und Blockchain sind bei uns große Forschungsfelder. Ein sehr spannendes Projekt kümmert sich gerade um die Sicherheit von IoT-Komponenten: Hier im Ruhrgebiet werden einige stillgelegte Zechen mit Wasser geflutet, um sie als Wärmespeicher zu nutzen. Damit sind verschiedene Risiken verbunden. Wenn beispielsweise ein Angreifer das Wasser zum Kochen brächte, würde das Ruhrgebiet zusammenbrechen. Sensoren oder Steuerungskomponenten müssen also besonders sicher gestaltet werden.
Üblicherweise wird dazu eine Risikoanalyse durchgeführt. Bei Cyber-Angriffen geht es in der Regel um Werte, die in Bits und Bytes gespeichert sind. Deren Risiken lassen sich in verschiedene Kategorien unterteilen, etwa das unberechtigte Lesen der elektronischen Werte, wie beispielsweise Kunden- oder Entwicklungsdaten. Aber auch die Manipulation von Daten, wie die Veränderung des Lagerbestandes, wodurch vielleicht niemand mehr weiß, welche Artikel vorhanden sind. Ein Lieferant oder ein Online-Shop ist dann eventuell kaum noch handlungsfähig. Auch Sabotage kann ein Grund sein, zum Beispiel, indem Angreifer versuchen, die Verfügbarkeit der IT-Systeme zu beeinflussen oder vernetzte Produktionsanlagen anzuhalten oder diese nicht brauchbare Produkte herstellen zu lassen. Sicherheitsverantwortliche müssen abschätzen, welche Gefährdung bei ihnen gegeben ist und worauf es Angreifer abgesehen haben könnten.
Für die Feststellung des Schutzbedarfs ist das Grundschutzhandbuch vom BSI (Bundesamt für Sicherheit in der Informationstechnik) ein guter Ausgangspunkt. Ziel der Schutzbedarfsfeststellung ist es, zu klären, welche elektronischen Werte welchen Schutz benötigen und damit die Auswahl angemessener IT-Sicherheitsmaßnahmen für diese einzelnen Werte zu steuern. Schutzziele sind dabei Vertraulichkeit, Integrität und Verfügbarkeit.
Der Schutzbedarf von elektronischen Werten orientiert sich an dem Ausmaß der Schäden, die entstehen können, wenn seine Funktionsweise beeinträchtigt ist. Dazu werden Schutzbedarfskategorien definiert, abhängig von den Auswirkungen eines Schadensereignisses.
Unternehmen sind damit fast immer überfordert. Der IT-Grundschutz des BSI ist mit der Zeit zunehmend umfangreicher und komplexer geworden. Schon eine Bewertung der Risikodimension fällt oftmals schwer: Wie wertvoll sind bestimmte Informationen? Nehmen wir als Beispiel ein junges innovatives Unternehmen, das Design-Arbeiten für einen großen Automobilkonzern übernimmt. Wenn die Firma den Wert ihrer Daten mit 20.000 Euro angibt, aber das Auftragsvolumen rund eine Million beträgt, stimmt etwas nicht. Denn natürlich müsste hier das Auftragsvolumen zugrunde gelegt werden und der Wert wäre mit rund einer Million zu benennen. Das ist eine andere Dimension.
Das kann durchaus hilfreich sein, insbesondere wenn es um Zertifizierungen, wie ISO-27001 geht. Dazu müssen oft hunderte Fragen beantwortet werden. Kleine Unternehmen können dies manchmal nicht alleine umsetzen, weil Personal und Erfahrung fehlen. Es gibt aber zunehmend Initiativen, um insbesondere Mittelständlern mit Kurzberatungen zu helfen, damit auch diese sich angemessen schützen können.
Ich empfehle Unternehmen oft eine alternative Sichtweise: Cyber-Sicherheitsstrategien. Dahinter steht die Frage, welche strategische Wirkung Cyber-Sicherheitsmechanismen haben. Zu diesen Strategien gehören die Vermeidung von Angriffen, Datensparsamkeit oder eine Verringerung der Angriffsfläche. Der Fokus liegt dabei auf Vermeidung. Manchmal helfen schon ganz einfache Strategien, etwa die Verwendung eines zweiten Browsers. Wenn dann einer ein Sicherheitsloch hat, nehme ich einfach den Zweiten. Das hilft schon, Angriffe abzuwehren. Es ist auch sinnvoll, darüber zu diskutieren, ob die sogenannten Kronjuwelen über mehrere Server verteilt sein müssen. Oft können schützenswerte Daten auf einem besonders gesicherten Server zusammengefasst und so wesentlich besser geschützt werden. Das reduziert die Angriffsfläche.
Eine weitere Strategie ist das Entgegenwirken von Angriffen: Wenn ich erst mal weiß, welche Daten gefährdet sind, kann ich diese beispielsweise verschlüsseln und damit Angriffen entgegenwirken. Es geht darum, viele passende IT-Sicherheitslösungen einzusetzen, um es Angreifern schwer zu machen.
Wenn einem Angriff nicht entgegengewirkt werden kann, sollte die dritte Strategie umgesetzt werden: das Erkennen von Angriffen. Dafür setze ich Erkennungs-Tools, wie zum Beispiel SIEM (Security Information and Event Management) ein, um so schnell wie möglich Attacken zu erkennen und abwehren zu können. So lässt sich wenigstens der Schaden minimieren. Diese Strategie ist nicht zu unterschätzen: Zukünftig wird sehr viel mehr digitalisiert und dadurch werden weitere Angriffsflächen entstehen, die noch gänzlich unbekannt sind und für die es noch keine IT-Sicherheitslösungen gibt, mit denen entgegengewirkt werden kann.
Autor: Uwe Sievers
