:quality(80)/p7i.vogel.de/wcms/e2/95/e295ed97035d3a0496eda1d9e1fdf9cf/0110095026.jpeg "Die Open Source Edge Computing und IoT Cloud Plattform Starling-X ist jetzt verfügbar. Sie gilt als Enabler für Anwendungen, die kurze Latenzzeiten und hohe Leistung erforderten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a3/23/a323aa362947fd3c342863102c787c79/0110072644.jpeg "Für die Digitalisierung industrieller IoT-Systeme hat der IT-Dienstleister Synostik jetzt neue Inspektions-Algorithmen entwickelt, die es erlauben, dass die Anwender Standards vorgeben können, mit denen deren Systeme dann geprüft werden. Hier mehr dazu. (Bild: Carrywise)")
:quality(80)/p7i.vogel.de/wcms/ab/ab/abab6cfd91bcc1fe02cbeb4d01d042ab/0109169011.jpeg "Das Konzept des industriellen Metaverses basiert im Wesentlichen auf der Kombination bereits bekannter Technik wie zum Beispiel digitaler Zwillinge und Virtual oder Augmented Reality. (Bild: frei lizenziert)")
Virtueller Raum :quality(80)/p7i.vogel.de/wcms/75/64/75648b9f5f023e790226f28f801ef240/0110303567.jpeg "Gedruckte Elektronik: Sensoren und Antennen für das Protoyping. Henkel bietet ein Sensor-Toolkit, mit dem sich Ideen schnell umsetzen lassen. (Bild: Henkel)")
:quality(80)/p7i.vogel.de/wcms/d2/9e/d29eb16e2cbea48418def461e6e9d638/0110271051.jpeg "Werden elektronische Teile heute mittels 3D-Druck produziert, kommt ein zweistufiger Prozess zum Einsatz. Ein neues Verfahren der TH Köln verspricht dies einfacher, schneller und kostengünstiger zu gestalten. Es nutzt die vorhandene Prozesswärme des FDM-Druckers gleichzeitig zur Materialsinterung der leitfähigen Strukturen. (Bild: TH Köln)")
:quality(80)/p7i.vogel.de/wcms/7a/f7/7af743e503ea01020fa58c24bf7fcaf4/0110208689.jpeg "Vier neue 3D-Drucker kaufte das BWT Alpine F1 Team für eine Optimierung der Windkanalmodelle. (Bild: 3D Systems)")
:quality(80)/p7i.vogel.de/wcms/5a/39/5a39181b4565500d8c1f2b8d2025480a/0110256958.jpeg "Im Januar 2023 fiel der Startschuss für das Forschungsprojekt „MADE-3D“. Es wird für die nächsten dreieinhalb Jahre mit rund 6,7 Millionen Euro im „Horizon Europe 2022“-Programm der Europäischen Union gefördert. Das internationale Team kam dafür in der Universität Paderborn, u. a. in der Maschinenbauhalle, zusammen. (Bild: Jennifer Bounoua - Universität Paderborn)")
:quality(80)/p7i.vogel.de/wcms/ff/95/ff954950442c193459736c6968b8207a/0110255445.jpeg "Sebastian Kallenberg, Projektingenieur bei Naddcon, mit dem durch Siemens NX optimierten Bauteil: „Unser digitaler NX-Ansatz soll die CEM-Maschinentechnik von AIM3D unter Konstruktionsgesichtspunkten besser erschließen. Hier liegen erhebliche Potentiale für Freiformflächen und bionische Konstruktionsstrategien.“ (Bild: AIM3D)")
:quality(80)/p7i.vogel.de/wcms/bd/67/bd674878a24a7c9fe281e50a23905bde/0109045961.jpeg "Unternehmen sollen Pentests in Zukunft enttabuisieren und für mehr Cyberresilienz einsetzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f2/9b/f29b8d18d6e8b1a1c374fee917145401/0110090005.jpeg "Die Ergebnisse ihres Verbundforschungsprojekts „Sequoia“ haben die Wissenschaftler in einer Studie veröffentlicht. (Bild: Panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/d1/16d130c50f16006103a4b7da8bfab5c6/0110396612.jpeg "Der deutsche Non-Code-Anbieter Smapone bringt die erste Non-Code-Plattform Smapland zu uns, ein digitaler Treffpunkt für Citizen Developer und Non-Coder. Bald gibt es außerdem ein enstprechendes Event zu erleben. Lesen Sie! (Bild: Smapone)")
IT-Security Management Sicherheitsrisiken durch die digitale Transformation
Durch die zunehmende Verlagerung von Diensten und Daten ins Internet entstehen zahlreiche neue Risiken. Generell sind diese bei der Digitalisierung nicht vermeidbar und können nicht gänzlich ausgeschlossen werden. Parallel zur Ausarbeitung einer digitalen Strategie sollten Unternehmen deshalb auch eine stringente Security-Strategie einführen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die analoge Welt ist bereits seit einigen Jahrzehnten bestens abgesichert und gut strukturiert. Der Einfluss, den die digitale Welt bei der Vermischung von beiden Umgebungen hierbei eingenommen hat, ist in vielen Fällen vernachlässigt worden. Die daraus resultierenden erforderlichen Anpassungsmaßnahmen sind entsprechend gar nicht oder nur ungenügend umgesetzt worden. Ein Beispiel der jüngeren Vergangenheit ist der nachlässige Umgang der ehemaligen US-Außenministerin Hillary Clinton im E-Mail Gebrauch, die ihren privaten Server genutzt hat, um auch dienstliche E-Mails zu versenden und die Sicherheitslücken dabei ungeachtet ließ.
So vielfältig die Möglichkeiten der Digitalisierung auch sind, so groß sind aber auch deren Gefahren. Sowohl Staaten als auch Unternehmen sind immer häufiger im Fokus von Cyberangriffen.
Die Qualität der Cyberangriffe hat sich deutlich verändert: Für die Betroffenen sind sie kaum noch vorhersehbar, da es an extrem vielen Stellen des Unternehmens zu Angriffen kommen kann. Die Attacken sind zudem für die Angreifer deutlich effizienter geworden und ermöglichen den Kriminellen damit, dass die Anzahl der Angriffe auch künftig weiter steigen wird.
Dieses Thema betrifft nicht nur staatliche Einrichtungen, Konzerne oder große Industriebetriebe, auch kleine und mittelständische Unternehmen sind in der Pflicht, sich um die Sicherheit ihrer Daten zu bemühen. Sei es die Anbindung, die Integration oder der Schutz von Nebenstellen des eigenen Unternehmensnetzwerks, wie beispielsweise externe Lager, Filialen oder Niederlassungen. Insbesondere die IT ist häufig Dreh- und Angelpunkt in Unternehmen mit hohen Anforderungen an Sicherheit, Zuverlässigkeit und Haftungsaspekten. Viele Unternehmen befinden sich nach wie vor in heterogenen IT-Insellösungen. Diese sollten - wo möglich - in homogene IT-Welten integriert auf Plattform-übergreifende Anwendungen eingebunden werden.
Ständige neue und innovative Bedrohungen
Cyberkriminelle suchen ständig nach neuen innovativen Möglichkeiten, um Unternehmen anzugreifen und Firmendaten oder gar Gelder zu stehlen. Eines der neuesten Phänomene ist das CEO-Fraud. Hierbei handelt es sich um Angriffe mit betrügerischen Geschäfts-E-Mails, um Mitarbeiter dazu zu bewegen, bewusst Geld oder sensible Daten aus dem Unternehmen zu versenden. Unbekannte geben sich als Chefs aus und fordern Mitarbeiter mit fingierten E-Mails auf, Geld oder Daten zu transferieren.
Auch die Chefs von Snapchat und Seagate waren bereits Ziele solcher Attacken. Hierbei wurde nicht ein monetärer Transfer angeordnet, sondern es wurde verlangt, dass wichtige Steuerunterlagen für alle Beschäftigten gesammelt und verschickt werden sollen und damit auch deren Social-Security-Nummer. Mit dieser Nummer kann in den USA auf einfache Weise eine Kreditkarte beantragt werden.
Monika Schaufler, Regional Director Central EMEA, Proofpoint: „Angriffe durch Hochstapler-E-Mails sind anders als die meisten Cyberattacken. Hier wird mit sehr guten Fakes an die Loyalität von qualifizierten und vertrauenswürdigen Mitarbeitern appelliert. Weltweit verwenden Cyber-Kriminelle diese Schwachstellen, um systematisch hoch angesehene Organisationen anzugreifen und zu schädigen. Da die E-Mail ein elementares Kommunikationsmittel in unserer digitalen Gesellschaft ist, versuchen Kriminelle diese stetig zu kompromittieren.“
IT-Sicherheit sollte kein Flaschenhals sein
Selbst das ausgefeilteste Sicherheitskonzept ist nicht in der Lage, das Restrisiko komplett zu eliminieren, jedoch kann es dieses weitestgehend minimieren. Es muss die Balance zwischen der totalen Abschottung sensibler Daten, der Nutzerfreundlichkeit sowie der Wirtschaftlichkeit von IT-Systemen halten.
Ein strategisch erstelltes Sicherheitskonzept kann hierbei helfen, bereits im Vorfeld ganzheitlich Risiken zu erkennen, zu bewerten und mögliche Schäden vom Unternehmen abzuwenden. Der Erfolg des Sicherheitskonzeptes beruht zum großen Teil darauf, dass seine Erstellung und Umsetzung in den richtigen Händen liegt.
Proaktives Handeln
Unternehmen, die lediglich reagieren, werden früher oder später mit Problemen konfrontiert, daher sollte möglichst proaktiv gehandelt werden. Dazu gehört neben der Ausarbeitung von strategischen Maßnahmen und der Einführung von Sicherheitskonzepten auch zwingend, das erforderliche Know-how an Bord zu holen. Die Rekrutierung von Experten kann sogar als Wettbewerbsvorteil verstanden werden.
IT-Sicherheitsexperten sollten direkt im Unternehmen beschäftigt sein, in dem sie auch tätig sind, denn sie haben den besten Überblick über die IT-Infrastruktur und können schnell auf die Entdeckung von Sicherheitslücken reagieren und proaktiv tätig werden. Gleichzeitig ist es für die Unternehmen essenziell, dass die Mitarbeiter dem Unternehmen eng verbunden und möglichst loyal sind, was bei eigenem Personal meistens leichter zu erreichen ist.
Die Rekrutierung von Sicherheitsexperten ist allerdings keine leichte Aufgabe. Viele Arbeitgeber nutzen daher verstärkt externe Unterstützung und sind vielfach bereit, großzügige Zugeständnisse zu machen, um geeignete - eventuell nicht einmal ideale - Mitarbeiter zu gewinnen.
Erforderliche Qualifikationen
Die für den Sicherheitsbereich gesuchten Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein als reine IT-Experten. Effektive Präventionsarbeit und auch die Planung potenzieller Angriffsszenarien gehören zu den Standardaufgaben. Für eine derartige Planung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security und Netzwerkbereich sowie Kryptografie erforderlich.
Der CISO, Security Manager, Manager Informationssicherheit oder die entsprechend betraute Person entwickelt innovative und nachhaltige Lösungen unter Berücksichtigung der fachlichen und technischen Industriestandards und ist gefordert, auf die aktuellsten Technologien und Methoden zurückzugreifen. Idealerweise kann sich der Verantwortliche sogar in die Denkweise der Hacker hineinversetzen, um geeignete Gegenmaßnahmen zu ergreifen. Neben der theoretischen Konstruktion von ‚worst case Szenarien‘ ist es auch erforderlich, mögliche Schlupflöcher im System aufzufinden.
Die wichtigsten Skills für Sicherheitsexperten:
- Präventionsarbeit und Planung von Angriffsszenarien
- Fundierte Kenntnisse im Security- und Netzwerkbereich
- Ausgeprägtes Wissen der Kryptografie
- Gute fachliche und technische Erfahrungen mit Lösungen der industriellen Standards
- Gute Kommunikationsfähigkeiten und analytische Denkweise
Fazit:
Der Mensch selbst ist die größte Bedrohung für die IT-Sicherheit, ob als böswilliger Täter oder gutgläubiger Nutzer – Jäger und Gejagter. Es lohnt sich deshalb, in hochqualifizierte Mitarbeiter und Weiterbildungsangebote zu investieren, um die größtmögliche Expertise im Unternehmen zu bündeln und zu halten.
Über den Autor
Martin Krill ist seit über fünfzehn Jahren für die Hager Unternehmensberatung tätig und wurde 2004 zum Geschäftsführer berufen. Er besetzt gehobene Vertriebs- und Management-Positionen in der Technologiebranche sowie in weiteren ausgewählten Branchen.
Dieser Beitrag ist auf unserem Partnerportal Security-Insider erschienen.
(ID:44583263)
:quality(80)/images.vogel.de/vogelonline/bdb/1881000/1881081/original.jpg "Hacker haben vermehrt auch Endanwender im Visier. (gemeinfrei/Bild von Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947105/original.jpg "Mit einer erhöhten Cyber-Security-Awareness lassen sich Attacken schon frühzeitig verhindern. (gemeinfrei)")