Natürlich hatte auch die CeBIT eine eigene Halle, die über IT-Sicherheit informieren wollte. Wer als Aussteller und Besucher jedoch echte Unternehmenslösungen und Antworten auf die drängenden IT-Sicherheitsfragen sucht, wird am ehesten auf der RSA Conference und it-sa fündig.
Nicht erst seit dem NSA-Abhörskandal ist IT-Sicherheit eines der größten medialen Reizthemen. Die Öffentlichkeit ist sensibilisiert, Unternehmen erkennen zunehmend ihren Nachholbedarf und sind teils bereit, zu investieren. Für viele IT- und Technologiethemen wird die CeBIT mehr und mehr zu einer interessanten Business-to-Business-Messe. Wir bei totemo beobachten als Anbieter von sicheren Kommunikationslösungen besonders, was sich in Hannover zum Thema Sicherheit tut. Spannend fanden wir in diesem Jahr die Initiative zur "Volksverschlüsselung" des Fraunhofer Instituts für Sichere Informationstechnologie (SIT). Die Messe markierte laut dem Projektverantwortlichen Michael Helfert einen sehr zufriedenstellenden Startschuss der Registrierungsphase für private Nutzer und besetzte mit E-Mail-Verschlüsselung eines der Top-IT-Security-Themen derzeit.
Messen wie it-sa, CeBIT oder die RSA Conference bieten Unternehmen Raum zum Austausch zu allen Security-Themen. Foto: totemo
CeBIT-Wandel noch nicht abgeschlossen
Weitere Sicherheitsthemen wie Authentisierung, Cloud- und Cybersecurity, Netzwerksicherheit, Firewalls sowie die Absicherung des Internet of Things (IoT) fand man auf der CeBIT zwar – mitunter jedoch verstreut auf verschiedene Hallen. Und der eigentlich dem Thema Security gewidmete Bereich war von anderen Themen durchzogen. Wer im Unternehmen mit Sicherheitsaufgaben betraut ist und sich umfassend dazu informieren wollte, tat sich schwer, die aktuellen Herausforderungen und Lösungen gebündelt zu erfassen.
Im Vergleich geben reine Sicherheits-Fachveranstaltungen wie die RSA Conference und it-sa ein deutlich homogeneres Bild davon ab, was Unternehmen und Experten in Bezug auf IT-Sicherheit gerade umtreibt und wo Entscheider den Hebel ansetzen müssen. Zumindest in diesem Punkt scheint die CeBIT den Wandel zu einer B2B-Messe noch nicht komplett vollzogen zu haben.
Austausch treibt Kernthemen voran
Für mich als IT-Sicherheitsexperte empfehlen sich andere Veranstaltungen, um mit den Top-Entscheidern in Kontakt zu treten. Ich bin beeindruckt von dem Wachstum der RSA Conference in San Francisco. Mit mehr als 40.000 Besuchern hat die weltweit größte IT-Sicherheitskonferenz und -messe im Jahr ihres 25. Jubiläums einen Rekord gebrochen und eine Größe erreicht, die den bisherigen Veranstaltungsort, das Moscone Conference Center in San Francisco, an seine Grenzen bringt. So wird sogar ein Umzug in eine Stadt mit größerem Convention Center diskutiert. Das wäre ein herber Schlag für das angrenzende Silicon Valley - eigentlich undenkbar, und so glaube ich auch nicht wirklich daran.
Thematisch wurde die Konferenz von dem Streit zwischen dem FBI und Apple um die Entschlüsselung des iPhones des Attentäters von San Bernadino beherrscht, hochkarätige Redner wie US-Justizministerin Loretta Lynch und Krypto-Koryphäe Whitfield Diffie bezogen dazu auf der Veranstaltung Stellung.
Mir fiel auf, dass übergeordnete, breit diskutierte Unternehmens-Themen wie Big Data und Internet of Things (IoT) im Dialog vorangetrieben werden. Für beides ist IT-Sicherheit eine entscheidende Voraussetzung.
Neben Verschlüsselung war in diesem Jahr Preventive Analytics als Antwort auf Big Data und IoT in aller Munde. Im derzeitigen IT-Umfeld sind Unternehmen immer stärker darauf angewiesen, mögliche Bedrohungen noch früher zu erkennen. Zumal diese aufgrund der Vernetzung oft sogar außerhalb des eigenen Unternehmens liegen. Gerade für so komplexe Szenarien hilft das zentrale Zusammentreffen der IT-Security-Branche, denn nur dadurch entsteht ein umfassender Blick auf das große Ganze.
Big-Data-Glossar
Die Begriffe rund um Big Data Big Data - was ist das eigentlich? Jeder spricht drüber, jeder versteht etwas anderes darunter. Klicken Sie sich durch unser Glossar mit den wichtigsten und meistgenutzten Begriffen (manche sagen auch "Buzzwords") und verstehen Sie, was damit genau gemeint ist. <br /><br /> <em>zusammengestellt von <a href="http://www.kommunikation-in-sendling.com/" target="_blank">Kriemhilde Klippstätter</a>, freie Autorin und Coach (SE) in München</em>
Ad Targeting Der Versuch, die Aufmerksamkeit des potenziellen Kunden zu gewinnen, meist durch "passgenaue" Werbung.
Algorithmus Eine in Software gegossene mathematische Formel mit der ein Datensatz analysiert wird.
Analytics Mit Hilfe von Software-basierenden Algorithmen und statistischen Methoden werden Daten interpretiert. Dazu benötigt man eine analytische Plattform, die aus Software oder Software plus Hardware besteht und die die Werkzeuge und Rechenpower bereitstellt, um unterschiedliche analytische Abfragen durchführen zu können. Es gibt eine Reihe unterschiedlicher Formen und Einsatzzwecke, die in diesem Glossar näher beschrieben sind.
Automatic Identification and Capture (AIDC) Jede Methode der automatischen Identifizierung und Datensammlung über eine Gegebenheit und die nachfolgende Speicherung in ein Computersystem. Etwa die Informationen aus einem RFID-Chip, die ein Scanner ausliest.
Behavioral Analytics Behavioral Analytics nutzt Informationen über das menschliche Verhalten, um die Absichten zu verstehen und zukünftiges Verhalten vorhersehen zu können.
Business Intelligence (BI) Der generelle Ausdruck für die Identifizierung, Herkunft und Analyse der Daten.
Call Detail Record (CDR) Analyse Diese enthält Daten, die die Telekommunikationsunternehmen über die Nutzung von Mobilfunkgesprächen – etwa Zeitpunkt und Dauer der Gespräche – sammeln.
Cassandra Ein verteiltes Datenbank-Verwaltungssystem für sehr große strukturierte Datenbanken („NoSQL“-Datenbanksystem) auf Open-Source-Basis (Apache).
Clickstream Analytics Bezeichnet die Analyse der Web-Aktivitäten eines Benutzers per Auswertung seiner Klicks auf einer Website.
Competitive Monitoring Tabellen, in denen die Aktivitäten der Konkurrenz im Web automatisch gespeichert werden.
Complex Event Processing (CEP) Ein Prozess, bei dem alle Aktivitäten in den Systemen einer Organisation überwacht und analysiert werden. Bei Bedarf kann sofort in Echtzeit reagiert werden.
Data Aggregation Das Sammeln von Daten aus unterschiedlichen Quellen für die Erstellung eines Berichts oder für eine Analyse.
Data Analytics Ein Stück Software, mit dem Informationen aus einem Datensatz gezogen werden. Das Ergebnis kann ein Report, ein Status oder eine Aktion sein, die automatisch gestartet wird.
Data Architecture and Design Legt dar, wie Unternehmensdaten strukturiert sind. Meist erfolgt das in drei Prozessschritten: Begriffliche Abbildung der Geschäftseinheiten, logische Abbildung der Beziehungen innerhalb der Geschäftseinheit sowie die physikalische Konstruktion eines Systems, das die Tätigkeiten unterstützt.
Data Exhaust Die Daten, die eine Person bei ihrer Internet-Aktivität "nebenbei" erzeugt.
Data Virtualization Der Prozess der Abstraktion verschiedener Datenquellen durch eine einzige Zugriffsschicht auf die Daten.
Distributed Object Ein Stück Software, das es erlaubt, mit verteilten Objekten auf einem anderen Computer zusammenzuarbeiten.
De-Identification Das Entfernen aller Daten, die eine Person mit einer bestimmten Information verbindet.
Distributed Processing Die Ausführung eines Prozesses über verschiedene per Netzwerk verbundene Computer hinweg.
Drill Apache Drill ist eine Open-Source-SQL-Suchmaschine für Hadoop- und NoSQL-Datenmanagement-Systeme.
Hadoop Ein freies, in Java geschriebenes Framework der Apache Foundation für skalierbare, verteilt arbeitende Software in einem Cluster. Es basiert auf dem bekannten MapReduce-Algorithmus der Google Inc. sowie auf Vorschlägen des Google-Dateisystems.
HANA SAPs Software-und Hardware-Plattform mit In-Memory-Computing für Echtzeitanalysen und große Transaktionsvolumen.
In-Database Analytics In-Database Analytics bezeichnet die Integration der Analysemethoden in die Datenbank. Der Vorteil ist, dass die Daten für die Auswertung nicht bewegt werden müssen.
In-Memory Database Jedes Datenbanksystem, das den Hauptspeicher für die Datenspeicherung benutzt.
In-Memory Data Grid (IMDG) Die verteilte Datenspeicherung im Hauptspeicher vieler Server für schnellen Zugriff und bessere Skalierbarkeit.
Machine-generated Data Alle Daten, die automatisch von einem Rechenprozess, einer Applikation oder einer nicht-menschlichen Quelle erzeugt werden.
Map/reduce Ein Verfahren, bei dem ein großes Problem in kleinere aufgeteilt und an verschiedene Rechner im Netz oder Cluster oder an ein Grid aus unterschiedlichen Computern an verschiedenen Standorten ("map") zur Bearbeitung verteilt wird. Die Ergebnisse werden dann gesammelt und in einem (reduzierten) Report dargestellt. Google hat sein Verfahren unter der Marke "MapReduce" schützen lassen.
Mashup Dabei werden unterschiedliche Datensätze innerhalb einer Applikation so kombiniert, dass das Ergebnis verbessert wird.
NoSQL Datenbanken, die nicht relational aufgebaut sind und mit denen sich große Datenvolumina handhaben lassen. Sie benötigen keine festgelegten Tabellenschemata und skalieren horizontal. Beispielsweise ist Apache Cassandra eine NoSQL.
Operational Data Store (ODS) Darin werden Daten aus unterschiedlichen Quellen gesammelt damit noch weitere Operationen ausgeführt werden können, bevor die Daten in ein Data Warehouse exportiert werden.
Pattern Recognition Die Klassifizierung von automatisch erkannten Mustern.
Predictive Analytics Diese Form der Analytics nutzt statistische Funktionen in einem oder mehreren Datensätzen, um Trends oder zukünftige Ereignisse vorherzusagen.
Recommendation Engine Per Algorithmus werden die Kundenbestellungen einer Website analysiert und sofort passende Zusatzprodukte ausgesucht und angeboten.
Risk Analysis Die Anwendung statistischer Methoden auf einen oder mehrere Datensätze, um das Risiko eines Projekts, einer Handlung oder Entscheidung abschätzen zu können.
Sentiment Analysis Dabei werden Einträge von Leuten in sozialen Netzwerken über ein Produkt oder ein Unternehmen statisch ausgewertet.
Variable Pricing Dabei folgt der Kaufpreis eines Produkts dem Angebot und der Nachfrage. Das erfordert die Echtzeit-Überwachung von Konsum und Lagerbestand.
Parallel Data Analysis Ein analytisches Problem wird in Teilaufgaben aufgebrochen und die Algorithmen werden auf jede Problemkomponente zeitgleich und parallel angewendet.
Query Anal In diesem Prozess wird eine Suchanfrage optimiert, um das bestmögliche Ergebnis zu erhalten.
Reference Data Daten, die ein physikalisch oder virtuell vorhandenes Objekt und seine Eigenschaften beschreiben.
it-sa bietet den Rundum-Blick auf IT-Sicherheit
Auch von der Messe it-sa in Nürnberg bin ich überzeugt. Im Jahr 2009 ist sie mit etwa 250 Ausstellern gestartet und heute zur wichtigsten IT-Security-Fachmesse im deutschsprachigen Raum und zu einer der bedeutendsten weltweit herangewachsen, mittlerweile sogar mit einem Ableger in Brasilien. Letztes Jahr waren in Nürnberg 428 Aussteller und gut 9000 Fachbesucher aus 34 Ländern vor Ort. Dadurch können IT-Sicherheitsbeauftragte optimal Termine bündeln und ihren Wissendurst zu Cloud-Sicherheit, Verschlüsselung, IT-Forensik, Datensicherung oder Hosting an nur einem Tag stillen.
Die Top 12 Sicherheitsrisiken in der Cloud
Datenverlust Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.
Gestohlene Benutzerdaten Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst.
Geknackte Interfaces und APIs Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss.
Ausgenutzte Schwachstellen Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.
Account Hijacking Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können.
Insider mit bösen Absichten Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren.
Der APT-Parasit APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.
Dauerhafter Datenabfluss Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden.
Fehlende Sorgfalt Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.
Missbrauch von Cloud-Diensten Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.
DoS-Attacken DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.
Geteite Technik, doppelte Gefahr Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
Es wird spannend sein zu sehen, ob sich die Themen der RSA Conference auch in Deutschland widerspiegeln. Ich erwarte, dass auf der it-sa Preventive Analytics ein Schlagwort sein wird, denn Big Data und IoT treiben die IT-Security-Branche auch hierzulande um und waren auch schon als Schwerpunkte auf der CeBIT zu finden. Vor allem das Thema Industrie 4.0 als Teil von IoT wird uns noch länger begleiten.
Verschlüsselung und das Thema Hintertüren werden dagegen wohl nicht ganz so stark aufgegriffen, da diese im Vergleich zu USA bei den datenschutzbewussten Europäern schon länger heiß diskutierte Themen sind. In jedem Fall ist der gemeinsame Auftritt der führenden Hersteller und Dienstleister an einem Ort aus meiner Sicht eine wichtige Voraussetzung, um die aktuellen Herausforderungen der Branche zu bewältigen.
Nicht erst seit dem NSA-Abhörskandal ist IT-Sicherheit eines der größten medialen Reizthemen. Die Öffentlichkeit ist sensibilisiert, Unternehmen erkennen zunehmend ihren Nachholbedarf und sind teils bereit, zu investieren.
IT-Security braucht eine einheitliche Plattform
Um Endkunden-orientierte Themen wie Volksverschlüsselung ins Rampenlicht zu rücken, bietet die CeBIT nach wie vor eine angemessene Bühne, denn im Bewusstsein der Allgemeinheit ist sie – allein wegen ihrer Größe und gerade auch aufgrund der starken B2C-Fokussierung in der Vergangenheit – einfach präsent und genießt auch in der Politik eine hohe Aufmerksamkeit.
CeBIT-Impressionen
Der coolste Messebesucher Das Gastland Schweiz brachte des Menschen treusten Freund mit.
Bundesministerin Wanka vergibt den CeBIT Innovation Award Preisträger des CeBIT Innovation Award sind Felix Kosmalla und Frederik Wiehr, die Entwickler von "climbtrack". Damit können Klettersportler ihren Trainingsfortschritt dokumentieren.
Sigmar Gabriel ohne Manuskript Die Digitalisierung ist für ihn inzwischen offenbar eine Herzensangelegenheit: Bundeswirtschaftsminister Sigmar Gabriel.
Der Schweizer Bundespräsident Johann Schneider-Ammann Der Schweizer Bundespräsident Johann Schneider-Ammann zeigte sich stolz auf seine eidgenössischen Tüftler.
Bitkom-Präsident mit flammendem Appell Der Chef des größten deutschen ITK-Verbands Bitkom, Thorsten Dirks, forderte auf der CeBIT Welcome Night den digitalen Aufbruch in Deutschland.
Swatch-Gründer Nick Hayek Swatch-Gründer Nick Hayek zeigte die innovative Seite der Schweizer Uhrenindustrie.
Der Schweizer Bundespräsident denkt digital Johann Schneider-Ammann erklärte den Gästen der Welcome Night, wie digital die Eidgenossen längst aufgestellt sind.
Ausgezeichnet mit dem CeBIT Innovation Award Die App Climbtrack gewann den CeBIT Innovation Award. Bundesforschungsministerin Johanna Wanka (rechts) zeichnet die beiden Gründer auf der CeBIT Welcome Night aus.
Telekom-Chef Tim Höttges und Huwai CEO Eric Xu Telekom-Chef Tim Höttges und Huwai CEO Eric Xu mit dem Big Bang für "Open Telekom Cloud".
Der heimliche Messestar... Pepper erobert die Herzen der CeBIT-Besucher im Sturm (Halle 8, Stand A01).
Dronemasters in Halle 16 Wenn Messebesucher noch nicht genug um die Ohren haben: Ab in die Halle 16, wo frei fliegende Drohnen bei der Arbeit sind.
Ein UFO in Halle 4 Einen ungewöhnlich futuristischen Messeauftritt zeigt die Darmstädter Software AG.
Dino Tristan residiert im "Loft" Per Augmented Reality wird längst Ausgestorbenes zum Leben erweckt - in Halle 8.
Unter die Haut Ein CeBIT-Trend: NFC-Chips werden unter die Haut transplantiert - etwa zur schnellen Identifikation von Personen
Global Conferences Gut besuchte Global Conferences in Halle 8
Das starke Wachstum von Fachmessen wie it-sa oder RSA Conference bestätigt jedoch die Notwendigkeit, dem Thema IT-Sicherheit eine eigenständige Plattform zu geben. Ich freue mich darauf, auf der it-sa im Oktober wieder mit allen, die bei IT-Security Rang und Namen haben, zu sprechen. Natürlich wollen wir als Aussteller Unternehmen zeigen, wie sie ihre Datenschutz-Herausforderungen durch sichere E-Mail-Kommunikation bewältigen können, denn trotz aller Messe-Initiativen hat die Wirtschaft hier immer noch allerhand Nachholbedarf. (sh)