Cloud, ByoX, Compliance, Internet der Dinge, Industrie 4.0, kritische Infrastrukturen: Die Aussichten für das kommende Jahr sind vielseitig und von einem enormen Innovationstempo bestimmt - auf Seiten der Industrie genauso wie auf Seiten des Untergrunds.
Das Thema IT-Sicherheit steht bei deutschen Unternehmen auch im kommenden Jahr ganz oben auf der Agenda. Das zeigt eine Untersuchung des European Information Technology Observatory (EITO), in das auch der IT-Branchenverband Bitkom und die Marktforscher von IDC und GfK eingebunden sind. Demnach wollen mehr als zwei Drittel der Unternehmen aller Branchen im Jahr 2014 verstärkt in den Bereich IT-Sicherheit investieren. Warum dem so ist, und was die Anwender vom kommenden Jahr in Security-Fragen erwarten dürfen, verrät unser kleiner Rundflug durch sechs Trendthemen.
Trend 1: Die Qualität der Cloud
IaaS an der Börse: Der freie Handel mit Cloud-Kapazitäten ist eröffnet. Foto: everything possible, Shutterstock.com
Wenn die Deutsche Börse im neuen Jahr ihre Handelsplattform DBCE (Deutsche Börse Cloud Exchange) für den bedarfsgerechten Ein- und Verkauf von Infrastruce-as-a-Service-Diensten (IaaS) startet, wird der Cloud-Markt in Deutschland voraussichtlich kräftig durcheinander gewirbelt. In erster Linie sind die beteiligten Provider dann in der Pflicht, ihre Angebote zu standardisieren und auch sicherheitstechnisch überprüf- und damit zertifizierbar zu machen. Auf Seiten der einkaufenden Anwender werden Fragen nach Zuverlässigkeit, Datensicherheit und Datenschutz noch drängender, als sie es ohnehin bereits sind.
"User von Cloud-Services werden verstärkt Transparenz und Qualität einfordern", meint Olaf Siemens, Geschäftsführer des DBCE-Kooperationspartners TÜV Rheinland i-sec. Er weist die Provider darauf hin, sich verstärkt um Qualitätssicherung und deren Nachweis zu bemühen, um dauerhaft Erfolg am Markt haben zu können. Diese Qualitätssicherung gelte insbesondere für die Verarbeitung personenbezogener Daten, für die es in Deutschland besonders strenge Gesetze gibt, prognostiziert der global agierende Unternehmerverband ISF (Information Security Forum). Gerade Unternehmen, die weltweit tätig sind, haben wegen der unterschiedlichen Gesetzgebungen hier oft noch einen Berg an Hausaufgaben zu erledigen.
Trend 2: Bring your own everything
"Der nach wie vor zunehmende Trend hin zu Bring your own Device (ByoD) und damit die Einbindung privater Smartphones oder Tablets in den Geschäftsablauf, wird Unternehmen auch 2014 vor eine der größten Herausforderungen im Bereich Informationssicherheit stellen", gibt das ISF eine weitere Prognose aus. Es geht aber längst nicht mehr nur um Devices - Buzzphrases wie "Bring your own Cloud" oder "Bring your own Software" zeigen, dass private IT jeglicher Coleur längst in die Unternehmen Einzug gehalten hat und diese in Security-Fragen vor neue Herausforderungen stellt.
Die 12 Typen des BYOD-Mitarbeiters -
Die 12 Typen des BYOD-Mitarbeiters Viele Mitarbeiter nutzen BYOD schon. Dabei haben sich im Alltag einige Typen herauskristallisiert. Wer BYOD voran getrieben hat und wer BYOD ausnutzt, erfahren Sie hier.
1. Die Millennials Die Generation Y ist schuld daran, dass BYOD überhaupt gestartet ist. Immer mehr Millennials kommen von der Uni in der Arbeitswelt an. Sie fordern von IT und Management, dass sie ihre eigenen Geräte im Beruf nutzen dürfen - und nicht etwa einen zwei Jahre alten Blackberry. Das wäre nicht mal retro. Die Millennials arbeiten lieber flexibel und zu ungewöhnlichen Zeiten, auch mal am Wochenende. Dafür dürfen sie dann auch während der Arbeitszeit privat surfen. Dass Privates und Berufliches immer mehr miteinander verschmelzen, ist ihnen egal und vielleicht sogar recht.
2. Die Techies Techies sind begeistert von BYOD. Noch bevor es BYOD gab, hatten sie immer schon eigene Geräte im Unternehmen am Laufen - nur hatte sich niemand dafür interessiert. Der Techie hat, was BYOD angeht, klare Vorlieben: Android vor Apple. Die Marke mit dem Apfel, mitsamt den iPads und iPhones, ist ihnen zu simpel. Android dagegen bietet den Techies viel mehr Möglichkeiten und hat ein paar nette Apps, die Technikfans lieben, etwa Software, die eine Fernsteuerung ermöglichen und andere IT-Funktionen.
3. Die CEOs Die CEOs sind auch in Sachen BYOD die Chefs. Sie wollen ein bestimmtes Gerät nutzen, das die Firmensoftware eigentlich nicht unterstützt? Da sollte sich die IT besser ranhalten. Der Entscheider bestimmt auch bei diesen Geräten, wo es langgeht. Der Geburtsort von BYOD ist obersten Stockwerk des Unternehmens anzusiedeln.
4. Die Generation X Nicht jeder Mitarbeiter mag BYOD oder kommt damit zurecht. Trotzdem verdonnern einige Firmen ihre Mitarbeiter dazu. Eine Umfrage von Gartner unter CIOs hat ergeben, dass 2017 die Hälfte aller Arbeitgeber ihre Mitarbeiter dazu zwingen, ihre eigenen Geräte zu nutzen. Sie müssen das teure Smartphone und das kompatible Notebook selbst anschaffen. Wie gut die Generation X damit zurecht kommt, ist vielen Firmen egal.
5. Die Sales-Mitarbeiter "Darf ich Ihnen die neue Präsentation auf dem neuen iPad mit Retina-Display zeigen?" Ein Satz, den man von Sales-Mitarbeitern garantiert häufiger hört. Zwar wurden in den Anfangsjahren des Tablet-Hypes die Geräte noch von den Firmen gestellt. Inzwischen erwarten die Unternehmen, dass die Mitarbeiter sich selbst um die Geräteanschaffung kümmern. Die tun das auch prompt. Die Präsentation ist einfach zu schön mit einem Tablet. Der Trend: Sales-Mitarbeiter und BYOD ist bald Selbstverständlichkeit.
6. Die Stundenarbeiter In Deutschland das gängige Modell: Die 36-Stunden-Woche. Wer, anders als Führungskräfte, nicht nur nach Leistung, sondern auch auf Zeitbasis bezahlt wird, bekommt meistens kein Gerät von der Firma. Die Stundenarbeiter, die dem deutschen Durchschnittsarbeiter entsprechen, nutzen BYOD mit Begeisterung. Sie genießen damit deutlich mehr Freiheiten. Andererseits: So bekommen sie auf einmal E-Mails nach Feierabend, wenn sie sich schon längst ausgestempelt haben.
7. Die chronischen Nörgler "Das ist doch alles Mist, so kann das nicht funktionieren, ich mache da nicht mit." Kennen Sie diesen Satz? Dauernörgler gibt es in jedem Unternehmen. Sie sind mit nichts zufrieden - vor allem nicht mit BYOD. Dabei waren sie eine der treibenden Kräfte hinter dem Ganzen. Unbedingt wollten sie ihre eigenen Geräte nutzen, weil sie nicht ständig zwei Smartphones herum schleppen wollten. Jetzt beschweren sie sich, dass sie Sicherheitsbestimmungen einhalten müssen und auf den Geräten nicht jede Anwendung laufen lassen dürfen, die sie wollen.
8. Die Sozialen Netzwerker Wer ständig auf Facebook, Twitter und Co. unterwegs ist, liebt BYOD. Der Typus "Sozialer Netzwerker" ist für Firmen ein großes Problem: Sie fürchten, dass die Produktivität der Mitarbeiter sinkt. Einige Unternehmen verbieten daher die Facebook-App.
9. Die schwarzen Schafe In den falschen Händen kann BYOD katastrophal sein. Eines ist sicher: In jeder Firma gibt es Angestellte, die gern woanders arbeiten möchten. Verlassen sie die Firma, nehmen sie gern vertrauliche Daten mit. BYOD erleichtert es ihnen, Informationen zu stehlen, schließlich verschwimmen persönliche und berufliche Informationen auf den Geräten und die Nachverfolgung wird schwieriger. Diese Gefahr war zwar früher nicht kleiner, heute fällt der Informationsklau im Unternehmen aber leichter.
10. Die Freelancer Selten stellt den Freelancern die Firma ein Gerät zur Verfügung. Das war vielleicht mal - heute wird erwartet, dass der Freelancer schon alles hat. Die meisten arbeiten lieber mit ihren eigenen Geräten, als sich von anderen etwas aufdrücken zu lassen. Fremdbestimmt arbeiten mag der Freelancer überhaupt nicht.
11. Die Home Office Mitarbeiter Wer zum Teil oder ganz von zuhause aus arbeitet, für den ist BYOD ohnehin schon Alltag. Anstatt sich vor das kleine Firmen-Laptop zu quetschen, arbeitet man lieber bequem vorm großen Bildschirm aus. Wenn das Firmentelefon immer auf das Smartphone umgeleitet ist, nimmt man doch lieber gleich das Privathandy.
12. Die CIOs Er hat den Überblick über alle Geräte im Unternehmen: der CIO. Zumindest sollte er ihn haben, denn er ist dafür verantwortlich, dass BYOD funktioniert. Er muss sich zunächst um eine Policy kümmern, die eine Balance zwischen dem Sicherheitsbedürfnis der Firma und der Wahrung der Privatsphäre der Mitarbeiter darstellt. Zudem muss der CIO eine schöne neue Welt basteln aus mobiler Device-Management-Software, Sicherheits-Tools, Know-how unterschiedlichster Geräte, Enterprise-App-Stores und sozialen Support-Netzwerken statt der traditionellen Help Desks. Gleichzeitig muss er mit der Personal-, der Rechts- und der Finanzabteilung sowie den Fachbereichen zusammenarbeiten. Viel Glück!
"Unternehmen müssen sich im Klaren darüber sein, dass ihre Mitarbeiter immer häufiger vor und nicht hinter der Firewall sitzen. Die traditionelle Trennung zwischen "Innen = Unternehmensnetzwerk und "außen = Internet" wird immer mehr aufweichen", sagt Siemens. Es werde umso wichtiger, den Zugang zu Unternehmensservices und Webapplikationen von außerhalb so sicher wie möglich zu gestalten.
Trend 3: Strengere Compliance
Ob Europa einen noch strengeren Datenschutz bekommt, ist immer noch offen. Werden die Pläne Wirklichkeit, müssen sich Unternehmen auf eine veränderte Risikomanagement-Strategie einstellen. Empfehlenswert ist in jedem Fall, die Pläne einer verbindlichen Meldepflicht bei Datenverlusten oder anderen Datenschutzverletzungen genau zu kennen, um auf alles vorbereitet zu sein.
Governance-, Risk- and Compliance-Tools, auch für Facebook und Cloud -
IT-Grundschutz Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten.
RSA Archer: SOX-Compliance Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen.
RSA Archer: Cloud-Standards Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren.
Verinice: Vorgabenkatalog Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen.
NogLogic: Policy Management Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.
Trend 4: Internet der Dinge
Der kürzlich entdeckte Wurm, der Intel-basierte Systeme jedweder Coleur befallen kann, hat erneut gezeigt, dass längst nicht mehr nur Server, Rechenzentren, stationäre Clients und Mobilgeräte von IT-Sicherheitsrisiken betroffen sein können. In Zeiten von IPv6 sind alle Geräte, die über das Internetprotokoll vernetzt sind, potenzielle Angriffsziele - seien es Smart-TVs, WLAN-Router, Smart Meter oder der schon berühmte, selbst Milch nachordernde vernetzte Kühlschrank. "Für das kommende Jahr ist damit zu rechnen, dass Cyberkriminelle und -aktivisten ihren Fokus verstärkt auf das Internet der Dinge lenken", warnt das ISF. Sowohl Hersteller - die hier häufig auch aus IT-fernen Branchen kommen - als auch Nutzer sind aufgerufen, den Security-Aspekt bei Produktion und Kauf von IP-tauglichen Einrichtungsgegenständen besonders zu beachten.
Wie anfällig IP-vernetzte Geräte sind, zeigte erst kürzlich der Wurm "Linux.Darlloz". Foto: Symantec
Trend 5: Industrie 4.0
Von IPv6 ist es nur ein Katzensprung hinüber zum gesamten Komplex "Industrie 4.0". Computacenter-Consultant Dror John-Röcher schrieb schon im August auf computerwoche.de: "Bei der Herstellung von Produkten beschränkte sich der Begriff Sicherheit lange Zeit primär auf den Arbeitsschutz oder die Verhinderung von Industriespionage. Wenn Anlagen und ganze Herstellungsprozesse zukünftig mit Hilfe von Informationstechnik weitestgehend automatisiert und vernetzt werden, müssen sich Unternehmen aber auch verstärkt Gedanken über geeignete und zuverlässige IT-Security-Lösungen machen."
Der Schutz vor gezielten Angriffen auf die Produktionsstraße kann bereits im kommenden Jahr zu einem entscheidenden Wettbewerbsvorteil im deutschen Mittelstand werden. Auf Bundesebene diskutieren Vertreter aus Industrie, Politik und IT bereits seit einiger Zeit mögliche Standards zur Absicherung moderner Produktionsanlagen. Auch, ob sich in diesem Bereich ein Standortvorteil für Deutschland ergeben wird, ist eine weiterhin offene Frage. Bis es hier Ergebnisse zu vermelden gibt, kann es noch dauern. Diejenigen Unternehmen, die das Thema schon heute trotz ihrer sonstigen IT-Ferne auf dem Radar haben oder für spätestens 2014 mit auf ihre Agenda nehmen, sind den Konkurrenten mindestens eine Nasenläge voraus.
Industrie 4.0 - auch eine Frage des Rechts -
Industrie 4.0 - auch eine Frage des Rechts Wenn Maschinen die Fäden in die Hand nehmen und Entscheidungen für Menschen treffen, stellt sich automatisch die Frage nach dem juristischen Hintergrund. Hier ist noch vieles offen. Folgende Aspekte sollten Sie im Blick behalten.
1. Wer handelt im Internet der Dinge? In unserer Rechtsordnung, ob im Zivilrecht, öffentlichen Recht oder Strafrecht, sind Handelnde und Zuordnungsträger von Rechten und Pflichten immer Menschen oder juristische Personen. Daran ändern auch M2M und IoT grundsätzlich nichts.
2. Vertragsabschluss durch Softwareagenten? Was ist, wenn die Initiative zum Abschluss einer Online-Transaktion vollautomatisiert abläuft, also eine Maschine selbst den Bestellvorgang als Nutzer auslöst? Hier stellt sich die Frage, wie sich die Verantwortung für den konkreten Rechtsakt (die automatisierte Willenserklärung und der beidseitig rein elektronische, voll automatisierte Vertragsabschluss) zuordnen lässt. Er beruht ja ausschließlich auf einem zeitlich weit vorausgelagerten, abstrakten Programmiervorgang, einem Rechtssubjekt.
3. Unternehmensübergreifende M2M-Systeme brauchen Regeln Werden komplexe M2M-Systeme unternehmensübergreifend aufgesetzt, kommt es nicht nur auf die technische Standardisierung, sondern auch auf die vereinbarten Nutzungsregeln an. Wie dürfen die Teilnehmer mit den Nutzungsergebnissen umgehen, und wie verhält es sich mit regulatorischer Compliance und Rechten Dritter, die der M2M-Nutzung entgegenstehen könnten (etwa Datenschutz, branchenspezifische Regulierung, Verletzung von Softwarepatenten oder sonstiger Rechte Dritter)?
4. Offene Fragen zu Logistik, Mobilität und Smart Home Weitgehend ungeklärte Fragen lassen sich an M2M- und IoT-Beispielen zeigen:<br>Doch wem gehören die Daten?<br>Wie steht es um die Produkthaftung - wer ist Hersteller, und welche Regressketten bauen sich auf? <br>Wer haftet für Konnektivitätsausfälle?
5. Wer haftet in vernetzten Wertschöpfungsketten? Wenn M2M der Schlüssel für vernetzte Wertschöpfungsprozesse ist, rückt automatisch auch die Frage der Haftung für mögliche Fehler und Ausfälle in den Vordergrund. Man wird zwischen der Haftung für fehlerhafte Datenquellen und Datenerzeugung einerseits und Fehlern in der Datenübermittlung andererseits unterscheiden müssen.
6. Unternehmen müssen Datenschutz im Blick behalten Der Datenschutz ist über den weiten Begriff personenbezogener Daten, zu denen auch dynamische IP-Adressen gehören können, und die Möglichkeiten komplexer Datenauslese (Big Data) etwa in den Bereichen Mobilität, Energie und Smart Homes grundsätzlich immer im Blick zu halten. Es gilt sorgfältig zu prüfen und gegebenenfalls mit den Behörden abzustimmen, ob und wie er sich mit "informierter Einwilligung", Inter-essenabwägung und Auftragsdatenverarbeitung wahren lässt.
Trend 6: Sicherheit kritischer Infrastrukturen
Neben den einschlägigen produzierenden Industrien gibt es auch eine ganze Reihe gesellschaftlich lebensnotwendiger IT-Systeme, die im Laufe der Jahre immer komplexe, vernetzter und damit anfälliger geworden sind. Das betrifft beispielsweise die Bereiche Verkehr, Logistik, Gesundheit und Energie. Olaf Siemens bringt es auf den Punkt: "Wenn wir uns die Sicherheit kritischer Infrastrukturen in Europa anschauen, dann müssen wir feststellen, dass die einzelnen Komponenten wie etwa die Wasserwerke oder die Stromversorgung nur rudimentär geschützt sind und dass die technische Umgebung leider noch viel zu oft getrennt von der IT betrachtet wird."
Sowohl die Bereitsteller kritischer Infrastrukturen als auch deren Nutzer - also wir alle - sollten auch im neuen Jahr Augen und Ohren offen halten. Die Anbieter, um die Sicherheit der zunehmend digitalisierten und vernetzten "Systeme und Infrastrukturen des Alltags" zu gewährleisten. Und wir selbst, um uns ihrer wachsenden Risiken bewusst zu sein.