Das Thema IT-Sicherheit steht bei deutschen Unternehmen auch im kommenden Jahr ganz oben auf der Agenda. Das zeigt eine Untersuchung des European Information Technology Observatory (EITO), in das auch der IT-Branchenverband Bitkom und die Marktforscher von IDC und GfK eingebunden sind. Demnach wollen mehr als zwei Drittel der Unternehmen aller Branchen im Jahr 2014 verstärkt in den Bereich IT-Sicherheit investieren. Warum dem so ist, und was die Anwender vom kommenden Jahr in Security-Fragen erwarten dürfen, verrät unser kleiner Rundflug durch sechs Trendthemen.
Trend 1: Die Qualität der Cloud
Foto: everything possible, Shutterstock.com
Wenn die Deutsche Börse im neuen Jahr ihre Handelsplattform DBCE (Deutsche Börse Cloud Exchange) für den bedarfsgerechten Ein- und Verkauf von Infrastruce-as-a-Service-Diensten (IaaS) startet, wird der Cloud-Markt in Deutschland voraussichtlich kräftig durcheinander gewirbelt. In erster Linie sind die beteiligten Provider dann in der Pflicht, ihre Angebote zu standardisieren und auch sicherheitstechnisch überprüf- und damit zertifizierbar zu machen. Auf Seiten der einkaufenden Anwender werden Fragen nach Zuverlässigkeit, Datensicherheit und Datenschutz noch drängender, als sie es ohnehin bereits sind.
"User von Cloud-Services werden verstärkt Transparenz und Qualität einfordern", meint Olaf Siemens, Geschäftsführer des DBCE-Kooperationspartners TÜV Rheinland i-sec. Er weist die Provider darauf hin, sich verstärkt um Qualitätssicherung und deren Nachweis zu bemühen, um dauerhaft Erfolg am Markt haben zu können. Diese Qualitätssicherung gelte insbesondere für die Verarbeitung personenbezogener Daten, für die es in Deutschland besonders strenge Gesetze gibt, prognostiziert der global agierende Unternehmerverband ISF (Information Security Forum). Gerade Unternehmen, die weltweit tätig sind, haben wegen der unterschiedlichen Gesetzgebungen hier oft noch einen Berg an Hausaufgaben zu erledigen.
Trend 2: Bring your own everything
"Der nach wie vor zunehmende Trend hin zu Bring your own Device (ByoD) und damit die Einbindung privater Smartphones oder Tablets in den Geschäftsablauf, wird Unternehmen auch 2014 vor eine der größten Herausforderungen im Bereich Informationssicherheit stellen", gibt das ISF eine weitere Prognose aus. Es geht aber längst nicht mehr nur um Devices - Buzzphrases wie "Bring your own Cloud" oder "Bring your own Software" zeigen, dass private IT jeglicher Coleur längst in die Unternehmen Einzug gehalten hat und diese in Security-Fragen vor neue Herausforderungen stellt.
"Unternehmen müssen sich im Klaren darüber sein, dass ihre Mitarbeiter immer häufiger vor und nicht hinter der Firewall sitzen. Die traditionelle Trennung zwischen "Innen = Unternehmensnetzwerk und "außen = Internet" wird immer mehr aufweichen", sagt Siemens. Es werde umso wichtiger, den Zugang zu Unternehmensservices und Webapplikationen von außerhalb so sicher wie möglich zu gestalten.
Trend 3: Strengere Compliance
Ob Europa einen noch strengeren Datenschutz bekommt, ist immer noch offen. Werden die Pläne Wirklichkeit, müssen sich Unternehmen auf eine veränderte Risikomanagement-Strategie einstellen. Empfehlenswert ist in jedem Fall, die Pläne einer verbindlichen Meldepflicht bei Datenverlusten oder anderen Datenschutzverletzungen genau zu kennen, um auf alles vorbereitet zu sein.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.
Trend 4: Internet der Dinge
Der kürzlich entdeckte Wurm, der Intel-basierte Systeme jedweder Coleur befallen kann, hat erneut gezeigt, dass längst nicht mehr nur Server, Rechenzentren, stationäre Clients und Mobilgeräte von IT-Sicherheitsrisiken betroffen sein können. In Zeiten von IPv6 sind alle Geräte, die über das Internetprotokoll vernetzt sind, potenzielle Angriffsziele - seien es Smart-TVs, WLAN-Router, Smart Meter oder der schon berühmte, selbst Milch nachordernde vernetzte Kühlschrank. "Für das kommende Jahr ist damit zu rechnen, dass Cyberkriminelle und -aktivisten ihren Fokus verstärkt auf das Internet der Dinge lenken", warnt das ISF. Sowohl Hersteller - die hier häufig auch aus IT-fernen Branchen kommen - als auch Nutzer sind aufgerufen, den Security-Aspekt bei Produktion und Kauf von IP-tauglichen Einrichtungsgegenständen besonders zu beachten.
Foto: Symantec
Trend 5: Industrie 4.0
Von IPv6 ist es nur ein Katzensprung hinüber zum gesamten Komplex "Industrie 4.0". Computacenter-Consultant Dror John-Röcher schrieb schon im August auf computerwoche.de: "Bei der Herstellung von Produkten beschränkte sich der Begriff Sicherheit lange Zeit primär auf den Arbeitsschutz oder die Verhinderung von Industriespionage. Wenn Anlagen und ganze Herstellungsprozesse zukünftig mit Hilfe von Informationstechnik weitestgehend automatisiert und vernetzt werden, müssen sich Unternehmen aber auch verstärkt Gedanken über geeignete und zuverlässige IT-Security-Lösungen machen."
Der Schutz vor gezielten Angriffen auf die Produktionsstraße kann bereits im kommenden Jahr zu einem entscheidenden Wettbewerbsvorteil im deutschen Mittelstand werden. Auf Bundesebene diskutieren Vertreter aus Industrie, Politik und IT bereits seit einiger Zeit mögliche Standards zur Absicherung moderner Produktionsanlagen. Auch, ob sich in diesem Bereich ein Standortvorteil für Deutschland ergeben wird, ist eine weiterhin offene Frage. Bis es hier Ergebnisse zu vermelden gibt, kann es noch dauern. Diejenigen Unternehmen, die das Thema schon heute trotz ihrer sonstigen IT-Ferne auf dem Radar haben oder für spätestens 2014 mit auf ihre Agenda nehmen, sind den Konkurrenten mindestens eine Nasenläge voraus.
- Industrie 4.0 - auch eine Frage des Rechts
Wenn Maschinen die Fäden in die Hand nehmen und Entscheidungen für Menschen treffen, stellt sich automatisch die Frage nach dem juristischen Hintergrund. Hier ist noch vieles offen. Folgende Aspekte sollten Sie im Blick behalten. - 1. Wer handelt im Internet der Dinge?
In unserer Rechtsordnung, ob im Zivilrecht, öffentlichen Recht oder Strafrecht, sind Handelnde und Zuordnungsträger von Rechten und Pflichten immer Menschen oder juristische Personen. Daran ändern auch M2M und IoT grundsätzlich nichts. - 2. Vertragsabschluss durch Softwareagenten?
Was ist, wenn die Initiative zum Abschluss einer Online-Transaktion vollautomatisiert abläuft, also eine Maschine selbst den Bestellvorgang als Nutzer auslöst? Hier stellt sich die Frage, wie sich die Verantwortung für den konkreten Rechtsakt (die automatisierte Willenserklärung und der beidseitig rein elektronische, voll automatisierte Vertragsabschluss) zuordnen lässt. Er beruht ja ausschließlich auf einem zeitlich weit vorausgelagerten, abstrakten Programmiervorgang, einem Rechtssubjekt. - 3. Unternehmensübergreifende M2M-Systeme brauchen Regeln
Werden komplexe M2M-Systeme unternehmensübergreifend aufgesetzt, kommt es nicht nur auf die technische Standardisierung, sondern auch auf die vereinbarten Nutzungsregeln an. Wie dürfen die Teilnehmer mit den Nutzungsergebnissen umgehen, und wie verhält es sich mit regulatorischer Compliance und Rechten Dritter, die der M2M-Nutzung entgegenstehen könnten (etwa Datenschutz, branchenspezifische Regulierung, Verletzung von Softwarepatenten oder sonstiger Rechte Dritter)? - 4. Offene Fragen zu Logistik, Mobilität und Smart Home
Weitgehend ungeklärte Fragen lassen sich an M2M- und IoT-Beispielen zeigen:<br>Doch wem gehören die Daten?<br>Wie steht es um die Produkthaftung - wer ist Hersteller, und welche Regressketten bauen sich auf? <br>Wer haftet für Konnektivitätsausfälle? - 5. Wer haftet in vernetzten Wertschöpfungsketten?
Wenn M2M der Schlüssel für vernetzte Wertschöpfungsprozesse ist, rückt automatisch auch die Frage der Haftung für mögliche Fehler und Ausfälle in den Vordergrund. Man wird zwischen der Haftung für fehlerhafte Datenquellen und Datenerzeugung einerseits und Fehlern in der Datenübermittlung andererseits unterscheiden müssen. - 6. Unternehmen müssen Datenschutz im Blick behalten
Der Datenschutz ist über den weiten Begriff personenbezogener Daten, zu denen auch dynamische IP-Adressen gehören können, und die Möglichkeiten komplexer Datenauslese (Big Data) etwa in den Bereichen Mobilität, Energie und Smart Homes grundsätzlich immer im Blick zu halten. Es gilt sorgfältig zu prüfen und gegebenenfalls mit den Behörden abzustimmen, ob und wie er sich mit "informierter Einwilligung", Inter-essenabwägung und Auftragsdatenverarbeitung wahren lässt.
Trend 6: Sicherheit kritischer Infrastrukturen
Neben den einschlägigen produzierenden Industrien gibt es auch eine ganze Reihe gesellschaftlich lebensnotwendiger IT-Systeme, die im Laufe der Jahre immer komplexe, vernetzter und damit anfälliger geworden sind. Das betrifft beispielsweise die Bereiche Verkehr, Logistik, Gesundheit und Energie. Olaf Siemens bringt es auf den Punkt: "Wenn wir uns die Sicherheit kritischer Infrastrukturen in Europa anschauen, dann müssen wir feststellen, dass die einzelnen Komponenten wie etwa die Wasserwerke oder die Stromversorgung nur rudimentär geschützt sind und dass die technische Umgebung leider noch viel zu oft getrennt von der IT betrachtet wird."
Sowohl die Bereitsteller kritischer Infrastrukturen als auch deren Nutzer - also wir alle - sollten auch im neuen Jahr Augen und Ohren offen halten. Die Anbieter, um die Sicherheit der zunehmend digitalisierten und vernetzten "Systeme und Infrastrukturen des Alltags" zu gewährleisten. Und wir selbst, um uns ihrer wachsenden Risiken bewusst zu sein.
(Quelle Teaserbild Homepage: alphaspirit, Fotolia.com)