Cyber-Security-Zertifizierungen von TÜV SÜD. Eine sichere IT-Infrastruktur ist in fast jedem Unternehmen die Basis für gute Geschäfte. Mit ihr steht und fällt das Vertrauen von Kunden und die Motivation der Mitarbeiter. Mit unseren systematischen Cyber-Security-Zertifizierungen legen Sie ein belastbares Fundament – für eine sichere IT und langfristiges Vertrauen Ihrer Stakeholder. ISO/IEC 27001 Zertifizierung ISO/IEC 20000-1 – Zertifiziertes Service-Management (in der IT) Zertifizierung nach IT-Sicherheitskatalog KRITIS – Nachweis über angemessene IT-Sicherheit nach §8a BSIG TISAX® – Der Nachweis für IT-Sicherheit in der Automobilbranche ISO 22301 – Business Continuity Management (BCM) ISO/IEC 27701 – Privacy Informationssicherheits-Managementsystem (PIMS) www.tuvsud.com/cyber-security-zertifizierungen TÜV SÜD Management Service GmbH Ridlerstr. 57, 80339 München, Deutschland Tel. +49 89 5791-2500 ms-anfragen@tuvsud.com www.tuvsud.com/tms

SCHWERPUNKT PENTESTING 18 PENETRATIONSTESTS – WIE ES WIRKLICH UM DIE IT-SICHERHEIT STEHT 20 Praxis: Penetrationstest am Beispiel eines Unternehmens ANGRIFFSPLAN ENTWICKELN SCHWERPUNKT: PENTESTING 24 Wie Unternehmen in Sachen Cybersecurity oft fatal falsch ticken PENETRATIONSTESTS ALS WICHTIGER BAUSTEIN BEIM AUFBAU VON CYBERRESILIENZ 28 Formen und Vorgehensweisen bei Penetrationstests DER IT AUF DEN ZAHN FÜHLEN DATENSCHUTZ | BACKUP | ARCHIVIERUNG 32 „Real-Time Bidding“ – das große Business hinter den Kulissen WARUM DATENSCHUTZ BEI GMAIL & CO. EIN FREMDWORT IST 33 SPECIAL: IT­Sicherheit in der Automobilbranche MANAGEMENT | MANAGED SECURITY 49 Dezentrales Connectivity-Management IOT MEETS BLOCKCHAIN SPECIAL: IT-SICHERHEIT IN DER AUTOMOBILBRANCHE 33 3 6 8 EDITORIAL Penetrationstests – IT-Sicherheit im Reality-Check NEWS Unternehmens-News Produkt-News AUS DER SZENE 12 TUM Hightech-Summit 2022 auf der automatica KI UND ROBOTIK – FORSCHUNG MEETS INDUSTRIE 14 Blaupause für den Aufbau hochsicherer Netzwerke QUANTENSICHERE KOMMUNIKATION 16 DMA/DSA – Europäische Rechtsgrundlage für digitale Dienste „GRUNDGESETZ“ FÜR DAS INTERNET TITEL CYBERSICHERHEIT Interview mit Götz Schartner und Tobias Kopf, 8com PENETRATIONSTESTS – WIE ES WIRKLICH UM DIE IT-SICHERHEIT STEHT 52 Wie sich KI und Sicherheitsexperten für eine Analyse des Netzwerkdatenverkehrs optimal ergänzen VIERAUGENPRINZIP FÜR DIE CYBERABWEHR IT­SICHERHEIT_4/2022 18 4

NEWS | UNTERNEHMEN DNS­KONGRESS AUF DER SECURITY ESSEN Nach dem coronabedingen Aussetzen öffnet die Security Essen wieder vom 20. bis 23. September ihre Tore. Die Fachmesse ist internationaler Treffpunkt der physi- schen Sicherheitsbranche und findet im modernisierten Gelände der Messe Essen statt. In den Ausstellungshallen geht es um die Themenbereiche „Dienstleistungen“, „Zu- tritt, Mechatronik, Mechanik und Systeme“, „Perimeter“, „Video“ sowie „Brand, Einbruch und Systeme“. Darüber hinaus ist Cybersecurity ein Thema: Durch IoT- Devices und die Internet-Anbindung von Produkten und Dienstleistungen, die bisher rein physisch oder autark funktionierten, ergeben sich neue mögliche Angriffsziele für Cyberkriminelle, so die Messe. Smarthomes, digitale Firmengebäude, Videoüberwachung und Zutrittskontrolle in der Cloud seien nur einige Beispiele dafür, dass die Auseinandersetzung mit Datenschutz und Informations- sicherheit künftig auch für die physische Sicherheitswelt unausweichlich ist. Deswegen veranstalte man innerhalb des Rahmenpro- gramms einen passenden Kongress: Auf der ersten Digital Networking Security Konferenz am 20. und 21. September berichten Experten über aktuelle Vorfälle, wichtige Schnittstellen zwischen der Corporate- und IT-Security sowie rechtliche Vorgaben und geben praktische Umsetzungsbeispiele. So zeigt der Sachbuchautor Thomas R. Köhler in seiner Keynote zum Thema „Zwischen Cybercrime und Cyberwarfare – wa- rum Cybersicherheit Chefsache ist“ anhand von aktuel- len Fallbeispielen auf, was die wesentlichen Gefahren für Unternehmen sind, welche Risiken im Internet der Dinge drohen, warum Fabrikautomatisierung und Logistik die neuen Spielfelder der Cybercrime-Szene werden und wie man sich und seine Mitarbeitenden bestmöglich schüt- zen kann. Der Kongress findet in Halle 7 statt und ist für Messebesucher kostenlos. Weitere Informationen gibt es unter www.security-essen.de/impulsgeber/ programm/dns-konferenz/ QUANTENBASIERTE VERSCHLÜSSE­ LUNGSTECHNOLOGIE: IQ INNO VA TIONS- PREIS MITTELDEUTSCHLAND 2022 GEHT NACH JENA Bisher wird der Daten- und E-Mail-Verkehr von Regierungen, kritischen Infrastrukturen und Privatpersonen durch mathematische Algorith- men gesichert, die theoretisch immer zu knacken sind. Die Quantum Optics Jena entwickelte einen völlig neuen Ansatz, der Daten mithilfe von Lichtteilchen abhörsicher verschlüsselt. Für die Quantentechnologie- Innovation wurde das Unternehmen jetzt mit dem Clusterpreis Informa- 6 IT­SICHERHEIT_4/2022 tionstechnologie sowie dem Gesamtsieg des 18. IQ Innovationspreis Mit- teldeutschland ausgezeichnet. „Hackerangriffe auf Behörden oder andere kritische Informationsträger häufen sich und sind zu einer ernsten Bedrohung geworden. Dabei ent- stand ein Wettlauf um die größte Rechenleistung, mit der Sicherheitssys- teme immer wieder zu knacken sind. In der Quantum Optics fanden sich in Jena einige der wenigen Experten, die das Zukunftsfeld Quantentechno- logie überhaupt beherrschen und zudem praktisch anwenden. Sie heben damit Cybersicherheit auf ein völlig neues Level – und das mit einfacher Integration in die Praxis. Kombiniert mit der ansteckenden Motivation und Begeisterung des Gründerteams sehen wir hier das Potenzial für eine echte Schlüsseltechnologie, von der die gesamte digitalisierte Gesellschaft profitiert“, begründet Jörn-Heinrich Tobaben, Geschäftsführer der Metro- polregion Mitteldeutschland Management, die Entscheidung der Jury. n Quantum Optics in Jena gewinnt den IQ Innovationspreis Mitteldeutschland 2022. (Foto: Quantum Optics) TANIUM KOOPERIERT MIT SCREEN- MEET FÜR KOMFORTABLE REMOTE- DESKTOP-SITZUNGEN Converged Endpoint Management (XEM)Anbieter Tanium ist eine stra- tegische Partnerschaft mit ScreenMeet eingegangen. ScreenMeet bietet eine cloudnative Remote-Support-Lösung, die vollständig in führende ITSM-Dienstleister integriert ist. Durch die Kooperation sollen Screen- Meet-Sitzungen mit einem Klick über die Tanium-Plattform bereitge- stellt werden können. Tanium will die ScreenMeet-Software als Zusatzfunktion zur Tanium XEM-Plattform weitervertreiben, die eine 99-prozentige Cloud-Zuver- lässigkeit und eine nahtlose Remote-Desktop-Erfahrung bietet, bei der nicht zwischen verschiedenen Lösungen gewechselt werden muss. Die Tanium-Architektur macht die ScreenMeet-Software bei Bedarf von je- dem Endpunkt aus verfügbar. „ScreenMeet nutzt die Vorteile der Tanium-Plattform, um eine sofortige Remote-Desktop-Lösung bereitzustellen, ohne einen weiteren Agenten in die Kundenumgebung einzubinden“, so Rob Jenks, SVP of Corporate Strategy bei Tanium. „Da Tanium die vollständige Kontrolle über den End- punkt hat, kann ScreenMeet sicher mit erhöhten Berechtigungen gestar- tet werden, was gleichzeitig die Sicherheit und die Helpdesk-Zeit bis zur Lösung verbessert.“ n

NEWS | PRODUKTE ERWEITERTE OWNCLOUD-INTEGRATION IN MICROSOFT 365 Die Open-Source-Datenplattform ownCloud bietet ab sofort eine erwei- terte Integration in Microsoft 356. Dateien in der geschützten Umgebung von ownCloud lassen sich jetzt online mit den bekannten Office-Tools der Microsoft Suite bearbeiten. So können direkt aus ownCloud heraus Word-, Excel- und PowerPoint-Dateien mit dem Online-Editor von Microsoft 365 erzeut, geöffnet, bearbeitet und in ownCloud gespeichert werden. Damit bietet sie Organisationen eine Kombination aus Usability und Sicherheit: Statt im Public-Cloud-Dienst Microsoft OneDrive können sie sensible Da- teien in ownCloud vorhalten. Diese Datenplattform können sie als Private Cloud selbst hosten oder von einem Dienstleister ihrer Wahl betreiben lassen. Dadurch haben sie die Datenspeicherung komplett unter eigener Kontrolle. Das ermöglicht ihnen nicht nur eine geschützte Umgebung für ihre Dateien zu schaffen. Sie können durch gezielte Maßnahmen auch das Risiko von Ausfallzeiten oder Datenverlusten minimieren. „Die Integration von ownCloud in die Office-Tools von Microsoft 365 gibt Organisationen die Mög- lichkeit, das Beste aus beiden Welten miteinander zu kombinieren“, sagt Tobias Gerlinger, CEO von ownCloud. „Sie können sensible Dateien in einer Private Cloud selbst hosten und kontrollieren – und ihren Mitarbeitern trotzdem die Möglichkeit geben, sie mit den komfortablen Werkzeugen der Microsoft Suite produktiv zu bearbeiten.“ n Tobias Gerlinger, CEO von ownCloud (Foto: ownCloud) SKYLIGHT SOLL XDR IN MASCHINEN- GESCHWINDIGKEIT BRINGEN SentinelOne, Anbieter einer autonomen Cybersicherheitsplattform, stellt SentinelOne Skylight vor. Die Lösung vereinigt Sicherheits- und Unterneh- mensdaten in einer einzigen Ansicht, die ein besseres Verständnis und autonomes Handeln ermöglich en soll. Zudem wird eine vollständige Da- tentransparenz, -aufnahme und -speicherung ermöglicht, ebenso wie die Integration von Daten, auch von Drittanbietern, in SentinelOne Storylines. Mit Daten und Kontext an einem Ort – über den Endpunkt hinaus – sind Sicherheitsteams in der Lage, bessere Entscheidungen zu treffen, Arbeits- abläufe zu automatisieren und einen größeren Nutzen aus vorhande- nen Technologien und Sicherheitstools zu ziehen. Es handelt sich bei der Lösung um eine Weiterentwicklung der Singularity XDR-Plattform und der Anbieter unterstützt damit den ganzheitlichen Ansatz im Bereich der Cybersicherheit, indem er Sicherheitsteams mit der Leistungsfähigkeit von Technologie in Maschinengeschwindigkeit ausstattet. Die Basis bildet hierbei die Fähigkeit von DataSet, Da- ten aus beliebigen Quellen aufzunehmen, zu korre- lieren, zu durchsuchen und zu verarbeiten. „Skylight führt Unternehmen in die Ära von XDR ein“, so Yonni Shelmerdine, Vice President of XDR Products bei SentinelOne. „Es erleichtert die Arbeit mit herkömm- lichen SIEM-Produkten und liefert Sicherheitsteams einen neuen Kontext und eine Korrelation von Dritt- anbieterdaten, um Cyberangriffe autonom zu ver- hindern, zu erkennen und darauf zu reagieren.“ n Yonni Shelmerdine, Vice President of XDR Products bei SentinelOne. (Foto: SentinelOne) 8 IT­SICHERHEIT_4/2022 CYBERSICHERHEITSSERVICE FÜR DEN MITTELSTAND Für mittelständische Unternehmen sind Cyberrisiken substanzielle Be- drohungen. Mit dem Fokus auf ihre spezifischen Bedarfe bietet Dyrisk eine Komplettlösung aus Analyse und Beratung für ein wirksamesCyber- risikomanagement und ein zielgerichtetes Mehr an IT-Sicherheit. Das neugegründete Tochterunternehmen von Munich Re baut mit seinen Software-Lösungen auf der langjährigen Cyberrisikoexpertise des Rück- versicherers auf. Geschäftsführer von Dyrisk sind die beiden Gründer Ale- xander Slepitschka und Sven Sigel. Sven Sigel, Mitgründer von Dyrisk (Foto: Dyrisk) Alexander Slepitschka, Mitgründer von Dyrisk (Foto: Dyrisk) Dyrisk nimmt in der Komplettlösung neben den vorhandenen IT-Si- cherheitsschwachstellen und der aktuellen Bedrohungslandschaft auch potenzielle Schadenkosten in den Blick. Die KI-gestützte Softwarelösung von Dyrisk wird über Netzwerkschnittstellen an alle Expertensysteme des Asset-, Schwachstellen-, Bedrohungs- und Geschäftsprozessma- nagements eines Unternehmens angedockt. Die Analyse der erfassten Daten geschieht auf der Basis einer von Munich Re entwickelten, spezi- ellen Risikobewertungsmethodik. Der Dienstleister denkt qualitative und quantitative Risiken zusammen – und macht die Einflussfaktoren in den Analyseergebnissen für Anwender transparent. n NEUE LÖSUNG ZUM SCHUTZ VON SCHULEN VOR CYBERANGRIFFEN Apple-Spezialist Jamf hat für primären und sekundären Bildungsbereich jetzt Jamf Safe Internet eingeführt. Die Erweiterung wurde entwickelt, um Schulen dabei zu helfen, Minderjährige vor schädlichen Inhalten im Internet zu schützen. Jamf Save Internet ermöglicht es Administratoren, Nutzungsrichtlinien durchzusetzen, die einen verantwortungsvollen Um- gang sicherstellen, ohne dabei die Lernerfahrung auf Apple-Geräten zu beeinträchtigen. Mehr Sicherheit in Schulen mit Jamf Safe Internet. (Foto: Jamf)

NEWS | PRODUKTE NEUE ERGEBNISORIENTIERTE CYBER- DEFENSE-PLATTFORM BlueVoyant, Anbieter einer integrierten End-to-End-Cyber-Defense- Plattform, gibt die Markteinführung von BlueVoyant Elements bekannt. Dabei handelt es sich um eine ergebnisorientierte, cloudbasierte Cyber- abwehrplattform, die interne und externe Cybersecurity-Funktionen zusammenführt und dadurch einzigartige Transparenz, Genauigkeit und Handlungsfähigkeit bieten soll. Elements kann als Komplettlösung oder als einzelne Module je nach Bedarf eingesetzt werden: ƒ BlueVoyant Core: MDR (Managed Detection & Response) Schafft Stabilität und Stärke innerhalb der Unternehmensnetz- werke zum Schutz vor der sich verändernden Bedrohungslandschaft außerhalb. ƒ BlueVoyant Terrain: 3PR (Third-Party Cyber Risk Management) Identifiziert schnell von außen sichtbare kritische Sicherheitslücken und -probleme im Ökosystem von Drittanbietern eines Kunden und arbeitet direkt mit dem Anbieter zusammen, um das Problem zu lösen. ƒ BlueVoyant Sky: DRP (Digital Risk Protection) Eine End-to-End-Lösung zur Erkennung und Beseitigung von Cyber- bedrohungen in der frühesten Phase der Cyber-Kill-Chain. ƒ BlueVoyant Liquid: PS (Professional Services) Ausgezeichnetes Fachwissen, das Kunden bei der Bewertung, Prävention und Reaktion auf Cyberbedrohungen und -vorfälle unterstützt „Die Einführung der Plattform ‚Elements‘ ist der Höhepunkt von fünf Jahren Arbeit, um End- to-End-Funktionen für die interne und externe Cyberabwehr in einer einzigen Plattform zu vereinen", so James Rosenthal, CEO von Blue- Voyant. n James Rosenthal, CEO von BlueVoyant. (Foto: BlueVoyant) DATENSCHUTZLÖSUNG FÜR DEVSEC- OPS-TEAMS Technologie- und Sicherheitsanbieter Thales kündigt die CipherTrust Plat- form Community Edition an, die es DevSecOps-Teams ermöglicht, Daten- schutzkontrollen in Multi-Cloud-Anwendungen innerhalb von Minuten statt Wochen einzuführen. Die CipherTrust Platform ist die nach Angaben von Thales weltweit am weitesten verbreitete Verschlüsselungs- und Schlüsselverwaltungslösung für Datenschutzanwendungen. IT-Teams auf der ganzen Welt nutzen sie, um sensible Datenbestände zu schützen. Die CipherTrust Platform Community Edition ist eine Version der CipherTrust Platform, die sich an Entwickler und DevSecOps-Teams richtet, um die Lö- sung zu testen und in ihre Workflows und Build-Pipelines zu integrieren. Mit der CipherTrust Platform Community Edition können Entwickler und DevSecOps-Teams sicher sein, dass sie eine Lösung auf Unterneh- mensniveau implementieren, die, wenn sie skaliert oder in Produktion gehen soll, nahtlos auf die CipherTrust Enterprise Platform erweitert werden kann. Die Community Edition umfasst die meisten Funktionen der CipherTrust Enterprise Platform und eignet sich gut für kleine oder entwicklungsorientierte Infrastrukturen. Sie besteht aus einer kostenlo- sen Version von CipherTrust Manager und zwei CipherTrust Connectors, 10 IT­SICHERHEIT_4/2022 CipherTrust Transparent Encryption for Kubernetes und CipherTrust Data Protection Gateway. Der Schutz von Schlüsseln und Zertifikaten, die mit Anwendungen und Containern verbunden sind, ermöglicht es DevSecOps-Teams, ein ent- scheidendes Element der Sicherheitsstrategie eines Unternehmens zu verwalten. Mit der Community Edition können Entwickler die Schlüs- selverwaltung und Verschlüsselungsrichtlinien für Multi-Cloud-Anwen- dungen zentralisieren. „Unternehmen werden sich zunehmend der Not- wendigkeit bewusst, Zero-Trust-Lösungen in ihre Sicherheitsstrategien zu integrieren“, so Todd Moore, Vice President of Encryption Products bei Thales. „Ebenso fordern DevSecOps-Teams, dass Sicherheitspraktiken automatisiert und in jede Phase des Anwendungsent- wicklungszyklus integriert werden, um die Risiken der digitalen Transformation zu mindern. Thales bietet jetzt eine kostenlo- se Version seiner CipherTrust Data Security Platform an, um Endanwendern die Werk- zeuge an die Hand zu geben, mit denen sie Datenschutzkontrollen in Multi-Cloud- Anwendungen innerhalb weniger Minuten implementieren können.“ n Todd Moore, Vice President of Encryption Products bei Thales (Foto: Thales) AKKU­BOX BIETET SCHUTZ BEI DEFEKTEN GERÄTE-AKKUS IN NOTEBOOKS & CO. Explodierende Akkus von Firmen-Laptops und -Smartphones sind ein Albtraum vieler Nutzer in Büro und Homeoffice gleichermaßen – für Unternehmen stellt sich die Frage nach Versicherung und Haftung umso stärker, wenn Mitarbeitende das Arbeitswerkzeug selbst transportieren und auch zu Hause nutzen. Neben der Sicherheit von Mensch und Mate- rial spielt auch die Datensicherheit eine große Rolle: Denn oft kann man die Datenträger mit sensiblen Unternehmensdaten nicht aus IT-Geräten mit sicherheitskritisch defekten Akkus entfernen und steht vor der Frage: Wie stellt man sowohl den sicheren Transport der Geräte als auch Daten- sicherheit bei der Entsorgung sicher? Gefragt ist eine sowohl gefahrgut- als auch datenschutzkonforme Lö- sung, die vor brennenden und explodierenden Akkus schützt, sowie Lage- rung und Transport absolut datensicher ermöglicht. AfB social & green IT bietet neben den klassischen Dienstleistungen rund um IT-Remarketing nun auch eine spezielle Akku-Box für ADR-konforme Lagerung und Trans- port von Geräten mit strukturell veränderten Akkus. Dank des behördlich zertifizierten Sicherheitskonzepts absorbiert die AfB Akku-Box giftige Rauchgase und schützt bei einer Akku-Explosion vor Splittern. AfB über- nimmt auch den DS-GVO- wie ADR-konformen Trans- port sowie die sichere und zertifizierte Datenvernichtung inklusive Vernich- tungsnachweis. Wer die AfB Akku-Box benötigt, kann sie beim Unternehmen bedarfsgerecht mieten. n Akku-Box für ADR-konforme Lagerung und Transport von Geräten mit strukturell ver- änderten Akkus. (Foto: AfB social & green IT)

TUM Hightech-Summit 2022 auf der automatica KI UND ROBOTIK – FORSCHUNG MEETS INDUSTRIE Die Digitalisierung von Maschinen gehört mit Sicherheit zu den faszinierendsten Entwicklungsfeldern der IT: Intelligenz zieht in Systeme, Netzwerke und nicht zuletzt Roboter, die mit Menschen interagieren. Auf dem zweiten Hightech-Gipfel im Rahmen der Messe munich_i haben Wissenschaft und Industrie gezeigt, was eine KI-gestützte Robotik zu leisten vermag. Der Event war hochkarätig besetzt beziehungsweise besucht – aus der Forschung war neben der Technischen Universität München (TUM) unter anderen das Imperial College London und die Delft Universität mit dabei, die Robotik war durch Boston Dynamics und Berkshire Grey vertreten, aus IT und Industrie kamen beispielsweise Vertreter von SAP, Google und Roche. Das große Rahmenthema des Gipfels war, wie Technologie die Welt zum Positiven verän- dern kann. Wie diese Technologie aussehen kann, erläuterte Prof. Sami Haddadin, Leiter des Munich Institute of Robotics and Machine Intelligence (MIRMI) und neben Ethikprofes- sorin Alena Buyx im Direktorium der munich_i: „Wir wollen Technologie entwickeln, welche 12 IT­SICHERHEIT_4/2022 die Gesellschaft voranbringt und sich an den Bedürfnissen der Nutzer orientiert. Dazu ge- hört auch, die ethischen und sozialen Kontexte von künstlicher Intelligenz mitzudenken.“ Es geht also nicht nur um die reine Technik, son- dern auch um Sicherheit und Sozialverträg- lichkeit für den Menschen. Dabei sieht Hadda- din den Standort als einen wichtigen Faktor. Der Freistaat Bayern fördert die entsprechen- de Forschung mit 3,5 Milliarden Euro, davon rund eine halbe Milliarde Euro in KI. BLICK ÜBER DEN TELLERRAND Für Haddadin ist das erstmals in Präsenz vor Ort stattfindende Expertentreffen High- tech Summit – unter dem Motto „Meet the AUS DER SZENE

AUS DER SZENE Blaupause für den Aufbau hochsicherer Netzwerke QUANTENSICHERE KOMMUNIKATION An der Universität der Bundeswehr München wurde im dtec.bw- geförderten Projekt „MuQuaNet“ das europaweit erste kommerziell erhältliche verschränkungsbasierte System zur Quanten- schlüsselverteilung in Betrieb genommen. Das ist ein wichtiger Meilenstein im Projekt, dessen Ziel der Aufbau, Test und Forschungsbetrieb quantensicherer Kommunikation als Blaupause für den Aufbau hochsicherer Kommunikationsnetze ist. 14 IT­SICHERHEIT_4/2022 Bild: ©James Thew - stock.adobe.com

AUS DER SZENE DMA/DSA – Europäische Rechts- grundlage für digitale Dienste „GRUNDGESETZ“ FÜR DAS INTERNET Ende April 2022 haben sich Rat, Euro- päisches Parlament und Europäi- sche Kommission im Rahmen des fünften Trilogs über den „Digital Services Act“ – die Verordnung über digitale Dienste (DSA) – ge- einigt. Anfang Juli hat das EU-Parlament nun for- mal sowohl über den Digital Services Act (DSA) und den Digital Markets Act (DMA) abgestimmt. Damit sollen die Regeln der E-Commerce- Richtlinie aus dem Jahr 2000 fit für die Zukunft gemacht werden. Erstmals besteht mit dem DSA ein einheitliches Regelwerk zu Pflichten und 16 IT­SICHERHEIT_4/2022 Verantwortlichkeiten von Online-Plattformen. Je größer die Plattform ist, desto mehr Pflichten hat sie zu erfüllen. Damit entstehen neue Mög- lichkeiten, digitale Dienste grenzüberschreitend anzubieten — bei hohem Schutzniveau für alle Nutzerinnen und Nutzer, unabhängig davon, wo in der EU sie leben. Der Staatssekretär im Bundesministerium für Wirtschaft und Klimaschutz, Sven Giegold, sieht in dem Plattformgesetz eine entschei- dende Errungenschaft der Europäer: „Europa schafft mit dem Digital Services Act weltweit die schärfsten Standards für ein freies und de- mokratisches Internet. Nicht zuletzt vor dem Hintergrund des Ukraine-Kriegs und den damit einhergehenden Desinformationskampag- nen wird das Internet entscheidend gestärkt. Mit dem DSA werden Verbraucherinnen und Verbraucher und deren Grundrechte im Inter- net geschützt. Gemeinsam mit dem Digital Markets Act untermauert Europa so auch die internationalen Gesetze. Es ist damit klar, dass nicht das Recht des Stärksten gilt.“ Letzteres Nach der politischen Einigung zum Digital Markets Act (DMA) haben sich die EU-Ins-titutionen und Mitgliedstaaten auch auf einen gemeinsamen Digital Services Act verständigt (DSA). Im Fokus des DSA steht ein einheitlicher Rechtsrahmen für den digitalen Binnenmarkt, der unter anderem Online-Marktplätze und soziale Netzwer-ke stärker in die Verantwortung nimmt. Sehr großen Online-Plattformen mit mehr als 45 Millionen Nutzern wie Facebook, Amazon und Google obliegen dabei die meisten Pflichten. Kleine Unternehmen und Start-ups sollen durch entsprechende Ausnahmen vor unverhältnismäßigem Aufwand geschützt sein.Bild: ©JBillionPhotos.com - stock.adobe.com

TITEL Interview mit Götz Schartner und Tobias Kopf, 8com Penetrationstests – wie es wirklich um die IT­Sicherheit steht 8com gilt als ein etablierter Managed Security Service Provider (MSSP) mit rund 70 Mitarbei- tern und Kunden in über 40 Ländern. Begonnen hat 8com im Jahre 2004 mit Penetrations- tests (Pentests), neben SOC-basierten SIEM-, EDR- und zahlreichen weiteren Services auch heute noch ein wichtiges Standbein des deutschen Unternehmens. Das Unternehmen setzt dabei sowohl auf initiale Penetrationstests zur Überprüfung vorhandener Schutzmaßnah- men als auch auf wiederkehrende Sicherheitsüberprüfungen, die zur kontinuierlichen Erprobung und Weiterentwicklung der Managed Security Services beitragen. Im Interview mit IT-SICHERHEIT verraten Götz Schartner, Geschäftsführer und Gründer der 8com und Tobias Kopf, Leiter Penetration Testing, worauf es bei Penetrationstests heute ankommt und worauf Unternehmen bei der Durchführung unbedingt achten sollten. ITS: Was genau ist eigentlich ein Penetrationstest und was bringt die Durchführung für Unternehmen? Tobias Kopf: Ein Penetrationstest ist ein Angriff auf Computer- systeme, der die IT-Sicherheit überprüft und bewertet. Bei ei- nem Penetrationstest verwenden erfahrene Tester die gleichen Werkzeuge und Software wie echte Angreifer. Dies ermöglicht das Aufdecken von Schwachstellen, die bei einer Analyse der Netzwerkkonfiguration oder des Programmcodes nur schwer zu finden sind. Bei einem Penetrationstest liefern wir eine Liste mit Schwachstellen und schlagen geeignete Gegenmaßnahmen zur Behebung vor. Diese sind im Abschlussbericht vermerkt. Zusätzlich führen wir auch gern einen Workshop mit den Ent- wicklern oder der IT-Abteilung des Kunden durch, in dem wir die Funde besprechen. Hierbei kommt es regelmäßig zu einem beidseitigen Wissenszuwachs. ITS: Wann machen Pentests strategisch Sinn? Götz Schartner: Grundsätzlich macht die Durchführung ei- nes Penetrationstests fast zu jedem Zeitpunkt Sinn, sobald ein gewisses Mindestmaß an IT-Sicherheitsmaßnahmen vorhan- den ist. Es ist wichtig zu verstehen, dass ein Pentest nur eine Momentaufnahme des zu testenden Systems darstellt. Wenn Sie beispielsweise in der Entwicklung eines Produkts sind und schon viele sicherheitsrelevante Funktionen implementiert haben, wie die Authentifizierung oder das Session Management, kann ein Pentest sehr schnell Schwachstellen auffinden, die bei der Im- 18 IT­SICHERHEIT_4/2022

TITEL Praxis: Penetrationstest am Beispiel eines Unternehmens Angriffsplan entwickeln Damit ein Penetrationstest erfolgreich stattfinden kann, stellt die Vorbereitung sei- tens der Penetrationstester sowie des zu testenden Unternehmens die essenzielle Basis dar. Hierbei wird der Umfang/Scope des Penetrationstests besprochen sowie abgeklärt, welche Systeme, Netze und Anwendungen wann getestet werden sollen und mit welchem Szenario gestartet wird. Angriffspfade eines Penetrationstests B ei den Angriffsszenarien gibt es verschiedene Mög- lichkeiten zur Auswahl. Die Tester können bei- spielsweise versuchen, einen Server zu kompromit- tieren, der in einer DMZ steht und somit Zugriff auf das Internet sowie das interne Netz hat (Pfeil 1 in der Grafik). Eine andere Möglichkeit ist ein (simulierter) Phishing-Angriff, bei welchem ein Benutzer Schadcode ausführt, den die Tester per Mail schicken (Pfeil 2 in der Grafik). Dieser Schadcode kann 20 IT­SICHERHEIT_4/2022 in vielen unterschiedlichen Formen kommen, zum Beispiel in einem Office-Dokument mit Makro, einer .lnk, .iso, oder .exe Datei. Phishing-Test-Kampagnen zeigen, dass ein hoher Anteil an Benutzern auf fremde Links in E-Mails klickt und teilweise Anhänge öffnet. Durch das initiale Ausführen des Schadcodes bekommen die Tester als Angreifer einen weiteren Fuß in das interne Unternehmensnetz. In der Grafik ist dies durch den „Of- fice PC 1“ dargestellt. Nun haben die Tester Zugriff auf alle Da- ten, die auch der Benutzer des Office PCs sehen kann.

– ADVERTORIAL – @-yet („Et jeht“, Hochdeutsch: „es geht“) Digitale Souveränität durch IT­Sicherheit und Datenschutz Die Corona-Pandemie hat die Digitalisierung in Unternehmen stark beschleunigt, sodass das Thema Cybersicherheit im Laufe des vergangenen Jahres international zum Topthema avanciert ist. Die Bedrohungslage für Unternehmen, öffentliche Einrichtungen und kritische Infrastrukturen hat sich massiv verschärft. tionstests, Code-Reviews und vielen technischen Analysen stellt @-yet den Status quo fest und trägt mit konkreten Konzepten und Maßnahmen zur nachhaltigen Verbesserung der IT-Sicherheit bei. Prävention spart viel Geld Häufig suchen Kunden in der IT-Sicherheit erst dann Unterstützung, wenn das Kind bereits in den Brunnen gefallen ist und sie gehackt wor- den sind, statt sich präventiv vor Angriffen zu schützen. Schuld sind feh- lende Aufmerksamkeit, völlige Unterschätzung der Bedrohung und bei weitem nicht ausreichende präventive Maßnahmen. „Und sollte der Hacker doch erfolgreich sein, dann helfen wir mit Incident Response, IT-Forensik und Notfallmanagement sowie Wie- deranlaufunterstützung“, sagt der @-yet CEO und ergänzt: „Schwach- stellenanalyse, Angriffssimulationen, physikalische Integrität, Code- Überprüfung: Es wird mithilfe modernster Methoden, Standards und Technologien alles getestet, was es zu testen gibt und nachhaltig Resilienz aufgebaut.“ Dabei bindet die rheinländische Firma den Faktor 22 IT­SICHERHEIT_4/2022 Durch die Digitalisierung öffnen sich Unternehmen immer mehr zum Internet und webbasierten Prozessen. Das erhöht die Angreifbarkeit von Systemen und Netzwerken und gefährdet ohne ausreichenden Schutz den Nutzen. Ransomware-Angriffe, die IT-Infrastruktur und Produktion wochenlang außer Gefecht setzen, haben dramatisch zugenommen – nicht nur, aber auch verstärkt im Mittelstand. Totalverschlüsselungen und Erpressungsszenarien beein-trächtigen die Wertschöpfung von Unternehmen gravierend. Digital souverän mit @-yetSeit 20 Jahren beraten und unterstützen die in Leichlingen (zwischen Köln und Düsseldorf gelegen) sitzende @-yet GmbH und die @-yet Industri-al IT-Security GmbH (Aachen) Unternehmen auf ihrem Weg zu digitaler Souveränität. „Darunter verstehen wir ein sicheres und selbstbestimm-tes Handeln in allen Bereichen der Digitalisierung. Zentraler Baustein ist dabei die Cybersicherheit“, sagt @-yet CEO Wolfgang Straßer. Vor allem die technische IT-Resilienz von Anwendungen, Infrastrukturen und Cloud-Installationen steht im Vordergrund. Mithilfe von Redteaming, Penetra-Bild: ©Olga - stock.adobe.com

SCHWERPUNKT: PENTESTING Wie Unternehmen in Sachen Cybersecurity oft fatal falsch ticken PENETRATIONSTESTS ALS WICHTIGER BAUSTEIN BEIM AUF- BAU VON CYBERRESILIENZ Cybersecurity kostet Geld. Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es oft schwer, die Mittel zu investieren, die nötig wären, um Risiken zu reduzieren und den rei- bungslosen Betrieb auch in Zukunft zu gewährleisten, das heißt: Cyberresilienz herzustellen. Wenn Unternehmen ihr Cyberrisiko systematisch unterschätzen, hat dies mit einer Reihe verschiedener Fehlannahmen zu tun, die sich allerdings bei gesamtheitlicher Betrachtung leicht ausräumen lassen. Regelmäßige Penetrationstests (kurz: Pen-Tests) spielen dabei eine entscheidende Rolle – vorausgesetzt, sie werden in angemessener Form durchgeführt. C ybersecurity in Unternehmen ist eine ungeliebte Aufgabe. Dabei haben IT-Administratoren und -Administratorinnen in vielen Fällen schon eine recht gute Vorstellung davon, woran es in ihrem Unternehmen hapert und wie die eigene IT prin- zipiell auf den Prüfstand zu stellen wäre, damit Sicherheitslücken identifiziert und abgemildert oder gar ausgemerzt werden können. Dies heißt aber noch nicht, dass das Administrationsteam beim Management mit seinen Vorschlägen auch durchdringt. Schuld sind Irrtümer, die dort sehr weit verbreitet sind. ANNAHME 1: ES TRIFFT SOWIESO NUR DIE ANDEREN. „Unser Unternehmen ist für eine Cyberattacke doch gar nicht interessant genug.“ Diese Ein- schätzung ist alles andere als selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die nicht zielgerichtet waren. Anders gesagt: Die allermeisten Angriffe laufen nach dem Motto Spray-and-Pray ab. Im Gießkannenprinzip lan- 24 IT­SICHERHEIT_4/2022 cieren Cyberkriminelle einen allgemeinen An- griffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, bei welchen Unternehmen oder Organisationen beispielsweise die E-Mail mit dem Phishing-Link zum Erfolg führt. Leider ist bei vielen Unternehmen die Hürde für eine initi- ale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Den Angreifern und Angreiferinnen spielt dies in die Karten. Zumal dann, wenn sie vor allem finanzielle Interessen haben und das Unterneh- men beispielsweise durch eine Verschlüsselung per Krypto-Trojaner beziehungsweise Ransom- ware erpressen wollen. Hier ist der Spray-and- Pray-Ansatz für Cyberkriminelle in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer. Politisch motivierte Angriffe grenzen sich davon deutlich ab: Hier ist der Erfolg letztlich nur eine Frage der verfügbaren Arbeitskraft, denn bei einer ideologisch begründeten Attacke spie- len monetäre Kosten-Nutzen-Abwägungen eine völlig nachrangige Rolle. In solchen Fällen kommen häufiger auch Zero-Day-Angriffe zum Einsatz, die noch nicht öffentlich bekannte Si- cherheitslücken in einer Software ausnutzen. Mit einem Zero-Day-Exploit spielt der Angreifer gleichsam einen Joker aus. Denn wenn die neue Angriffsmethode durch ihren Einsatz publik wird, ist dieser Angriffsvektor letztlich ver- brannt, weil Softwarehersteller dann entspre- chende Sicherheitsupdates ausrollen. ANNAHME 2: ANGRIFFE AUS DER SUPPLY-CHAIN SPIELEN KEINE GROSSE ROLLE. Tatsächlich nimmt die Zahl von Supply-Chain- Angriffen zu. Bei dieser Klasse von Cyberangrif- fen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen zugeliefert werden und die es für seine Geschäftstätigkeit einsetzt, als die Angriffsvektoren. So handel- te es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokol- lierungsbibliothek. Log4j dient dazu, Protokol- lierungsinformationen aus Software, Anwen- dungen und Hardware-Appliances zu erstellen und zu speichern. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief Bild: ©Sergey Nivens - stock.adobe.com

SCHWERPUNKT: PENTESTING Unternehmen natürlich technische Maßnahmen gegen solche Angriffe. Aber ebenso wichtig ist es, die Wahrscheinlich- keit erfolgreicher Phishing-Versuche zu verrin- gern, indem ein Bewusstsein für die Gefahren von Social-Engineering-Angriffen ganz allgemein geschaffen wird. Social Engineering bedeutet, dass die Angreifenden Täuschung anwenden, um unautorisiert Daten oder Zugriff zu bekommen. Dabei werden Methoden der Humanpsychologie dazu missbraucht, Mitarbeiter oder Mitarbeite- rinnen zu manipulieren und sie zur Übermittlung von Informationen oder zu bestimmten Hand- lungen zu bewegen – wie etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nen- nung des Passworts gegenüber vermeintlichen Support-Mitarbeitenden am Telefon. ANNAHME 4: DER UMFANG DIESER SICHERHEITSPRÜFUNG WIRD SCHON AUSREICHEN. Die Cybersicherheit im Unternehmen durch Pe- netrationstests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyberresilienz. Wählt man dabei allerdings den Umfang des Pen-Tests zu klein, ist wenig gewonnen, denn so entsteht ein vermeintliches Gefühl von Si- cherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen, weil sie ja – so heißt es dann – sowieso bald abgeschaltet oder er- setzt werden. Solange sie noch nicht abgeschal- tet sind, bieten aber gerade diese Altsysteme oft den verführerischsten Angriffsvektor. Ein anderes Beispiel: Auf dem Server, der eine zu prüfende Webanwendung betreibt, läuft eben auch noch ein FTP-Dienst, der die vollständige Kompromittierung des Servers ermöglicht – aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Ebenso kommt es vor, dass beispielsweise ein Finanzinstitut den Umfang seiner Prüfung nur so groß wählt, wie es regulatorisch vorgeschrieben und offiziell erforderlich ist. Auch hier wäre das Resultat eine trügerische Scheinsicherheit. Wenn Pen-Tests wirklich aussagefähig werden sollen, dürfen sie sich nicht nur auf einen Aus- schnitt der Unternehmens-IT richten. Vielmehr müssen sie holistisch angelegt sein. Denn das Ziel eines Pen-Tests ist es nicht, dem Manage- ment ein positives Gefühl in Sachen Cybersicher- heit zu vermitteln – er soll wirkliche Sicher- heitslücken und potenzielle Angriffsvektoren 26 IT­SICHERHEIT_4/2022 identifizieren, damit diese behoben werden können, bevor sie von kriminellen Angreifern ausgenutzt werden. ANNAHME 5: PENETRATIONS- TESTS KANN DIE IT-ABTEILUNG NEBENHER ÜBERNEHMEN. Pen-Tests können in den meisten Unterneh- men keine Inhouse-Aufgabe sein. Denn IT- Administratoren haben vor allem eines zu tun: Sie müssen dafür sorgen, dass die Systeme im Unternehmen zuverlässig laufen. In der Regel ist das Administrationsteam mit seinen operativen Aufgaben bereits voll ausgelastet und nicht sel- ten überlastet. Zudem verlangen Penetrations- tests ein hoch spezialisiertes und hochaktuelles Fachwissen, über das die eigene IT-Abteilung in der Regel nicht verfügen kann. Das Manage- ment muss verstehen, dass ein Pen-Test nichts ist, was sich einfach nebenher erledigen ließe. Gleichzeitig müssen sich die Mitarbeiter und Mitarbeiterinnen der internen IT klarmachen, dass es bei einer Sicherheitsprüfung nie darum geht, ihre eigene Arbeit in Sachen Cybersecurity zu diskreditieren, sondern zu stärken. Ein aussa- gefähiger Penetrations-Test wäre mit Inhouse- Ressourcen nicht durchführbar, weil Know-how und Zeit dafür fehlen. Anders sieht dies nur aus, wenn das Unternehmen groß genug ist, um sich ein eigenes, dediziertes Red-Team – die Angrei- fer – für mehr oder minder kontinuierliche Pen- Tests zu leisten. Diesem Red-Team steht dann ein dediziertes Blue-Team mit den Verteidigern gegenüber. Aber sogar ein eigenes Red-Team kann mitunter sehr von externer Unterstützung durch Ethical Hacker profitieren. ANNAHME 6: UNSERE BACK- UPS RETTEN UNS IM NOTFALL. Vor etwas mehr als fünf Jahren mag diese Aus- sage vielleicht noch zutreffend gewesen sein. Heute ist sie das nicht mehr ohne Weiteres. Schadsoftware hat sich in den letzten Jahren massiv weiterentwickelt. Krypto-Trojaner, die Unternehmensdaten zu Erpressungszwecken verschlüsseln, tun dies heute nicht mehr unver- züglich. Es gibt inzwischen Ransomware, die sich zuerst in den Backups eines Unternehmens einnistet und diese nach und nach zerstört. Erst Monate später, wenn das Backup unbrauchbar geworden ist, macht sich der Krypto-Trojaner dann daran, die Daten des Unternehmens zu verschlüsseln – und die eigentliche Erpressung beginnt. Darum ist es heute wichtig, Backups erstens mit geeigneten Schutzkonzepten vor Mal ware zu sichern und sie zweitens regelmäßig zu prüfen. Nur auf ein unbeschadetes Backup ist im Notfall Verlass. Unternehmen sollten darum ihre Disaster Recovery regelmäßig testen, üben und ausprobieren. Und wenn ein Unternehmen sein Backup aus Sicherheitsgründen verschlüs- selt: Auch dieser Backup-Schlüssel selbst ist ein möglicher Angriffspunkt, denn Cyberkriminelle können natürlich auch den Backup-Schlüssel des Unternehmens verschlüsseln. Das Backup wäre dann wiederum unbrauchbar, und der Erpres- sungsversuch durch die Verschlüsselung der Unternehmensdaten könnte beginnen. Darum ist es wichtig, dass Unternehmen ihre Krypto- Schlüssel für das Backup offline aufbewahren und auch ihr Notfalltraining in Sachen Disaster Recovery offline dokumentieren. FAZIT Die Gefahr von Cyberangriffen hat nicht abge- nommen, im Gegenteil. Wollte ein Unternehmen aus einer glimpflich verlaufenen Vergangenheit schließen, dass es auch in Zukunft vor Cyber- kriminalität sicher ist, wäre dies vielleicht die gravierendste Fehlannahme von allen. Operative Zuverlässigkeit lässt sich in der IT nur herstellen, wenn ein Unternehmen seine Cyberresilienz mit geeigneten, holistischen Konzepten und Maß- nahmen etabliert, aufrechterhält und weiterent- wickelt. Sich damit auseinanderzusetzen, lohnt die Mühe in jedem Fall, denn der finanzielle Schaden wiegt im Ernstfall um ein Vielfaches schwerer als das vorausschauende Investment in die Cybersicherheit. Wie in der Medizin gilt auch in Sachen Cybersecurity: Vorbeugen ist bes- ser als heilen. n MICHAEL NIEWÖHNER und DANIEL QUERZOLA, beide Manager und Penetration- tester bei Ventum Consulting in München

SCHWERPUNKT: PENTESTING Formen und Vorgehensweisen bei Penetrationstests DER IT AUF DEN ZAHN FÜHLEN Bei externen Penetrationstests nehmen Experten die im Internet exponierte IT-Infrastruktur unter die Lupe, suchen nach Lücken und möglichen Einfallstoren – ohne beim Unternehmen vor Ort zu sein. In einer vorgelagerten Informations- beschaffungsphase (Reconnaissance) werden öffentlich verfügbare Informationen über das Unternehmen und seine IT-Infrastruktur im Rah- men von Blackbox-Tests ermittelt. Dies stellt das übliche Vorgehen der Angreifer nach, bei dem zunächst passiv und aus öffentlichen Quellen möglichst viele Informationen über das Ziel ge- sammelt werden. Hierzu gehören zum Beispiel 28 IT­SICHERHEIT_4/2022 IP-Adressbereiche, DNS-Einträge, E-Mail-Adres- sen, Technologie-Informationen und Metadaten aus Dokumenten. Sind die Erkenntnisse gesich- tet und finale Zielsysteme für die weiterfüh- rende und tiefe, aktive Überprüfung festgelegt, werden die Tests in Form von Greybox-Tests fortgeführt. Es folgt ein umfassender Penetrati- onstest auf alle relevanten Systeme und Dienste der über das Internet erreichbaren IT-Infrastruk- tur, um Optimierungspotenziale und Schwach- stellen zu identifizieren sowie behebende Maß- nahmen zu empfehlen. Hierbei können auch Informationen wie Zugangsdaten bereitgestellt werden, um beispielsweise Angriffsszenarien mit den Berechtigungen von Bestandskunden oder Mitarbeitenden nachzustellen. FALLSTRICKE ODER ZU WENIG KNOW­HOW? Systeme, die aus dem Internet erreichbar sind, werden häufig nicht gut genug abgesichert. Nicht alle Applikationen sind von Haus aus si- cher, sondern müssen durch Veränderungen an der Konfiguration separat abgesichert wer- den. Meist fehlen Logging-, Monitoring- und Alerting-Strategien für die Systeme, die aus dem Internet erreichbar sind. Daher bekommen viele Zurzeit spüren Unternehmen vor allem im Mittelstand schmerzlich die Auswirkung eines über Jahre aufgebauten Schuldenberges im Bereich der Cybersicherheit. Durch falsche Fokussierung oder generellen Mangel an Investitionen in diesem Sektor werden viele Unternehmen kompromittiert und haben kaum eine Chance, Angriffe zu erkennen und auf diese zu reagieren. Hier ist Handeln angesagt. Und zwar als fortlaufender Prozess – bei weitem nicht nur, aber auch zum Beispiel in Form von Penetrationstests.Bild: ©Cristian - stock.adobe.com

– ADVERTORIAL – Methoden zur Schwachstellenidentifikation: DIESE LÖSUNGEN DECKEN SICHERHEITS­ LÜCKEN AUF Mit Vulnerability Scans, Pentesting und Red Teaming können Schwachstellen in Netzwerken identifiziert werden. Die r-tec IT Security GmbH unterstützt Unternehmen bei der Auswahl der passenden Lösung. Nach der Implementierung umfassender IT-Security-Lösun- gen stellt sich in Unternehmen meist ein beruhigendes Sicherheitsempfinden ein. Doch dieses Gefühl trügt: Da Cyberkriminelle zunehmend komplexere Angriffsmuster entwickeln, ent- stehen immer wieder neue Bedrohungen und Sicherheitslücken, die von klassischen Sicherheitssystemen nicht erkannt werden können. Zudem kommt es vor, dass ergriffene Maßnahmen nicht optimal auf die individu- ellen Anforderungen der jeweiligen Umgebung abgestimmt sind. Dadurch entstehen ebenfalls Schwachstellen, die oft unbemerkt bleiben. „Hundertprozentige Sicherheit gibt es in der Cyberwelt nicht“, warnt Dr. Stefan Rummenhöller, der vor 25 Jahren die r-tec IT Security GmbH grün- dete. Das Team des Wuppertaler Unternehmens ist darauf spezialisiert, Geschäftskunden vor Cyberrisiken zu schützen und geeignete Sicherheits- Dr. Stefan Rummenhöller 30 IT­SICHERHEIT_4/2022 standards in IT-Umgebungen aufzubauen. „Selbst der Einsatz qualitativ hochwertiger Security-Produkte garantiert nicht zwangsläufig das Errei-chen des angestrebten Sicherheitsniveaus. Aus diesem Grund sollten Sys-teme regelmäßig auf ihre Wirksamkeit und Umgebungen auf vorhandene Schwachstellen hin überprüft werden.“Breit angelegte oder tiefgehende Schwach-stellensuche?Für die Bewältigung dieser Aufgabe stehen mit Vulnerability Scans, Pene-trationstests und Red Teaming gleich drei Methoden zur Verfügung. Diese unterscheiden sich durch verschiedene Vorgehensweisen und die Größe ihrer Einsatzgebiete. Welche Aufgabenbandbreite abgedeckt wird, lässt sich anhand eines von r-tec entwickelten Sicherheitsframeworks aufzei-gen: Der an den NIST-Standard angelehnte Leitfaden besagt, dass Maß-nahmen zur Identifikation von Schwachstellen und Bedrohungen (Iden-tify), zum Schutz vor Angriffen (Protect), zur fortlaufenden Überwachung von Systemen (Detect), zur Reaktion auf Angriffe (Respond) und zum Be-trieb eines Informationssicherheitsmanagements (Manage) durchgeführt werden müssen, um das höchstmögliche Sicherheitsniveau zu erreichen.Vor der Wahl einer geeigneten Methode muss zunächst analysiert wer-den, welche dieser Bereiche überprüft werden sollen. Das heißt, Un-ternehmer müssen entscheiden, ob sie eine breit angelegte oder eine tiefgehende Analyse benötigen.Automatisiert arbeitendes Vulnerability AssessmentBeim Vulnerability Assessment wird in mehreren Systemen nach Schwachstellen, Fehlkonfigurationen und veralteten Software-Versi-onen gesucht. „Da es sich um einen automatisierten Schwachstellen-Bild: christopher burns/unsplash

DATENSCHUTZ | BACKUP | ARCHIVIERUNG „Real-Time Bidding“ – das große Business hinter den Kulissen WARUM DATENSCHUTZ BEI GMAIL & CO. EIN FREMDWORT IST A ls eines der größten RTB-Un- ternehmen sieht sich Google derzeit mit einer Sammelklage im Vereinigten Königreich konfrontiert, weil es angeblich vertrauliche medizinische Daten von 1,6 Millionen Personen ohne deren Zustimmung oder Wissen verwendet hat. Ein aktueller Bericht des Irish Council for Civil Liberties (ICCL) erklärt, dass die Daten eines durchschnittlichen europä- ischen Nutzers 376 Mal pro Tag über RTB weiter- gegeben werden. Wenn Nutzer Websites oder Apps besuchen, die Werbeplätze versteigern, werden ihre Profildaten an ein riesiges Netz von Werbetreibenden gesendet, die ihre persönli- chen Interessen und Vorlieben, einschließlich Rasse, Religion, sexuelle Vorlieben und mehr, offenlegen. Der ICCL führt derzeit einen Rechts- streit mit der Datenschutzkommission und argu- mentiert, dass niemand jemals ausdrücklich in diese Praxis eingewilligt habe. RTB stützt sich auf die „Schattenprofile“, die Google und andere Unternehmen durch das Sammeln von Daten über Nutzer und ihre In- teressen erstellen – und einer der wichtigsten Wege, auf dem sie diese Daten sammeln, ist 32 IT­SICHERHEIT_4/2022 Gmail. Google hat sogar zugegeben, die Google Mail-Nachrichten seiner Nutzer zu scannen, um eine Liste ihrer Einkäufe zu erstellen. All die ver- traulichen finanziellen, medizinischen und ande- ren persönlichen Daten, die Gmail-Nutzer jemals per E-Mail ausgetauscht haben, werden von Googles KI gescannt, um ein „Schattenprofil“ zu erstellen, das oft über RTB weiterverkauft wird. Eine der wichtigsten Möglichkeiten, die Menge der von Google und anderen Unternehmen ge- sammelten Daten einzuschränken, besteht also darin, von Google Mail zu einem überwachungs- freien E-Mail-Anbieter wie Open Web Systems zu wechseln. Open Web Systems ist eine Kooperation zwi- schen The Open Co-op und Collective Tools und wird von seinen Mitgliedern als Genossenschaft verwaltet. Basis ist ein transparentes, vollstän- dig quelloffenes Community-Entwicklungsmo- dell, das frei von Sperren, Paywalls, Werbung und verdeckter Überwachung ist. Das Unter- nehmen positioniert sich als eine private Alter- native zu den „kostenlosen“ E-Mail-Diensten mit militärischer Sicherheit und End-to-End- Verschlüsselung. Oliver Sylvester-Bradley, der Gründer von Open Web Systems, erklärt: „Mit RTB verdient Google den größten Teil seines Geldes – indem es Ihre persönlichen Daten zu Geld macht. Sie manipulieren ihre Nutzer systematisch und täglich – so funktioniert ihr Geschäft. Wenn Ihnen Ihre Privatsphäre wich- tig ist und Sie Hacks, Datenschutzverletzungen und andere unerwartete Verwendungen Ihrer Daten vermeiden wollen, besteht die nahelie- gende Lösung darin, zu einem kostenpflichtigen E-Mail-Dienst zu wechseln.“ Open Web Systems bietet seinen Nutzern Datei- speicher, Kontakte, Kalender, Notizen, Karten und Aufgaben für das Projektmanagement – alles über einen überwachungsfreien Dienst, der nach eigenen Aussagen mit erneuerbarer Ener- gie betrieben wird. S.M. Der Beitrag stammt aus einem Text von Open Systems. Er wurde von der Redaktion übersetzt und bearbeitet. Die Daten eines durchschnittlichen europäischen Internetnutzers werden 376 Mal pro Tag weitergegeben. Real-Time Bidding (RTB) ist eine über 117 Milliarden Dollar schwere Industrie, die hinter den Kulissen von Websites und Apps arbeitet. Sie ver-folgt, was User sich ansehen, einschließlich privater oder sensibler Informationen, und zeichnet auf, wohin die Daten gehen. Jeden Tag werden diese Daten an eine Vielzahl von Unternehmen weitergegeben, damit diese ein Profil erstellen können.Bild: ©metamorworks - stock.adobe.com

EDITORIAL Stefan Mutschler 34 SPECIAL_4/2022 IT-SICHERHEIT IN DER AUTOMOBILBRANCHE Cybersicherheit von Fahrzeugen noch im FrühstadiumJe intelligenter und kommunikationsfreudiger Fahrzeuge werden, desto größer wird auch die Angriffsfläche für Cyberkriminelle. Schon heute sind Fahrzeuge im Grunde Computer auf Rädern – neben dem Hauptmotor mit bis zu 200 zusätzlichen Klein-motoren ausgestattet, die über ein zentrales Steuersystem und ein beträchtliches internes Netzwerk im Auto gesteuert werden. Kommen nun noch all die Technologien für selbstfahrende Fahrzeuge hinzu, wird das Auto in gewisser Weise sogar ein eigenes kleines, wenn auch sehr spezialisiertes Rechenzentrum. Manipulationen an der internen und externen Kommunikation könnten zu Störungen oder sogar Fehl-funktionen führen. Da Fahrzeuge nun mal auch Menschen transportieren, müssten sie die höchsten Standards erfüllen, die im IT-Bereich überhaupt möglich sind. Davon ist die Auto mo-bilbranche derzeit noch weit entfernt. Erst kürzlich warnte beispiels weise Volexity vor einer kritischen Sicherheitslücke auf einer bei vielen Herstellern eingesetzten Platt-form. Hacker könnten sich diese Schwachstelle zunutze machen, um unautorisierten Programmiercode auf den betroffenen Servern oder Rechenzentren auszuführen. Im schlimmsten Fall könnte diese (inzwischen geschlossene) Schwachstelle die Sicherheit künftiger Fahrzeugmodelle gefährden – angesichts der komplexen Liefer ketten in der Automatisierungsbranche ein absoluter Worst Case. Auch eine Schwachstelle im Pro-tokoll des Fahrzeugnetzwerks wurde kürzlich entdeckt (CANCAN). Und auch durch sie war die Sicherheit in nahezu allen modernen Fahrzeugen ernsthaft bedroht.UN und EU unternehmen große Anstrengungen, die Cybersicherheit von Fahrzeugen nachhaltig zu verbessern: So ist beispielsweise ohne Nachweis der Umsetzung der UNECE-Regelungen UN-R 155 und UN-R 156 seit Juli 2022 keine Typzulassung von neuen Fahrzeugen in den 64 UNECE-Mitgliedstaaten mehr möglich. Darunter fallen neben ganz Europa auch andere wichtige Märkte wie Japan, Australien, Südkorea oder Südafrika. Gleiches gilt für ältere Fahrzeugarchitekturen ab Juli 2024. Diese Regelungen sind sicher ein wichtiger Schritt, aber gerade mit dem Einzug künstlicher Intelligenz ins Automobil werden die Schrauben für die Cybersicherheit noch deutlich umfassender angezogen werden müssen.Unser kleines IT-Sicherheit in der Automobilbranche-Special in Kooperation mit der Fachzeitschrift ATZ – Automobiltechnische Zeitschrift gibt wichtige Antworten zu Gefahren, Regelungen, aktuellen Trends und Entwicklungen im Bereich der Fahrzeugindustrie – angereichert mit praxisnahen Lösungen.Viel Spaß beim Lesen!Ihr Stefan Mutschler

IT-Sicherheit in neuer Dimension Herausforderungen in der Automobilbranche Träume von unbemannten und völlig autonom agierenden Fahrzeugen sind so alt wie der Straßenverkehr selbst. Seit sich die Realität immer mehr an die fiktionalen Wunsch- vorstellungen anpasst, mischt sich unter die Euphorie auch eine gewisse Skepsis: Wie reagieren die autonomen Fahrzeuge in kritischen Situationen? Immerhin geht es um Gesundheit und Leben. Aber wann wird es gefährlich? Und ab wann gelten welche Fak- toren als kritisch? Die Kritikalität der beeinflussenden Faktoren genau zu bestimmen, das ist unter anderem die Aufgabe der Experten in VVMethoden (Verifikations- und Validierungsmethoden). Das Forschungsprojekt wird vom Bundeswirtschaftsministerium zur sicheren Markteinführung autonomer Fahrzeuge gefördert. E in geparkter Lkw am Straßenrand verdeckt einen Fahrradfahrer, der von rechts kommt. Klingt sofort nach einer kritischen Verkehrssituation. Eigentlich gäbe es unendlich viele zu überprüfende Szenarien mit kri- tischen Situationen im Straßenverkehr. Weil man die aber niemals in realen Tests prüfen kann, setzen die Experten im VVMethoden-Projekt auf Simulation. Aber wie macht man das? Wie kann man herausfinden, welche Situationen davon wirklich kritisch sind? Klar ist: Alle Situationen wird man auch durch Simulation nicht prüfen können. Dazu kommt, dass je- der einzelne Fall durch eine Vielzahl von Faktoren beeinflusst wird. Hauptaufgabe der Experten ist es daher, aus dem offenen Situationskomplex der realen Verkehrswelt die wirklich kriti- schen Phänomene herauszufiltern. Dazu Emmeram Klotz, Lei- ter Test und Validierung in der Businessline Highly Automated Driving bei TÜV SÜD: „Unsere Experten bei VVMethoden arbei- ten hier an Methoden, mit denen bestimmt werden kann, wie kritisch bestimmte Faktoren einer Verkehrssituation sind. Zur Validierung fließen dann die Ergebnisse in die Weiterentwick- lung von Simulationswerkzeugen mit ein.“ Für die Simulation kommt eine Open-Source-Plattform zum Einsatz: OpenPASS ist ein transparentes und unter den Industriepartnern Bosch, Mercedes-Benz AG, BMW Group, VW, ITK Engineering und To- yota harmonisiertes Simulationswerkzeug für die virtuelle Be- wertung von automatisierten Fahrsystemen. Wie Simulation praktisch funktioniert Zurück zum Hindernis und dem Fahrradfahrer. Die Kern- frage: Welche Faktoren beeinflussen, wie stark die Kritikalität einer Verkehrssituation ist? Das Szenario: Ein Fahrradfahrer wird von einem parkenden Auto verdeckt. Der virtuelle Ver- 36 SPECIAL_4/2022 IT-SICHERHEIT IN DER AUTOMOBILBRANCHE i l s e g o o n h c e T e v i t o m y C : o t o F

Warum Verschlüsselung auch in der Automobilbranche unverzichtbar ist Sichere Zusammenarbeit in der Cloud Prototypen neuer Modellentwicklungen sind streng vertraulich und haben einen sehr hohen Schutzbedarf – dennoch muss mit den Daten gearbeitet werden: Zulieferer, Marke- tingagenturen und verschiedene Abteilungen im eigenen Unternehmen benötigen Zu- griff. Die Datenübermittlung sicher zu organisieren, treibt Compliance-Verantwortlichen regelmäßig den Schweiß auf die Stirn. Komplexe IT-Strukturen und ein starkes Wettbe- werbsgeschehen in der Automobilbranche machen diese Aufgabe zu einem Mammutpro- jekt, denn die Anforderungen an die Datensicherheit sind enorm. Doch der scheinbare Widerspruch zwischen Vernetzung und Sicherheit ist lösbar. So bieten Cloud-Anwendun- gen viele Möglichkeiten für ortsunabhängige Zusammenarbeit – sowohl für unterneh- mensinterne Teams als auch für die Zusammenarbeit mit externen Partnern. D ie Notwendigkeit, große Datenmengen zu speichern und der Wunsch nach Flexibilität machen die Cloud als Datenspeicher auch für Unternehmen der Au- tomobilbranche immer beliebter. Die Vorteile liegen auf der Hand: Dateien belegen weniger lokalen Speicherplatz, die Cloud verspricht eine hohe Verfügbarkeit und der Zugriff ist von überall aus möglich. Klassische Datenspeicherung stößt an Ihre Grenzen – auch in Bezug auf Sicherheit Dienste wie Microsoft OneDrive, Google Drive und Drop- box laufen herkömmlichen Fileservern und NAS-Systemen zunehmend den Rang ab. Die wichtigsten Pluspunkte einer spezialisierten Business-Cloud sind: Kosteneinsparungen durch flexible Abo-Modelle, geringere Wartungskosten für die eigene IT-Infrastruktur, automatisierte Backups und aus- fallsichere Speicherung auch bei Naturkatastrophen durch Spiegelung der Daten in verschiedene Rechenzentren. All das können die Unternehmen selbst kaum leisten. Modernen Anforderungen an Homeoffice und interna- tionale, zeitversetzte Zusammenarbeit gerecht zu werden, bringt bewährte Sicherheitsmechanismen gegen unbefugten Zugriff, etwa Firewalls und Gateway-Lösungen, an ihre Gren- zen. Zwar lässt sich der Zugriff auf geschützte Speicherberei- che und Anwendungen innerhalb der Unternehmens-IT dank VPN auch aus der Ferne herstellen, der Aufwand für die Ein- richtung von Zugängen und damit für die Nutzung der Daten ist jedoch enorm – und in der Praxis umständlich. Kurzfristi- ge Freigaben für Externe sind oft gar nicht möglich. Also reicht es, einfach nur Cloud-Speicherplatz zu bu- chen, und alles ist gut? Leider nicht ganz. Schließlich liegen die Dateien dann auf externen Servern oder – anders ausge- drückt – auf Computern, auf die jemand anderer Zugriff hat. Der größte Kritikpunkt an Cloud-Speicherdiensten ist deshalb der Kontrollverlust. Für die streng regulierte Automobilbran- che ist das ein Problem. Die Lösung ist denkbar einfach und bringt keine merk- lichen Einbußen im Anwendungskomfort mit: einfach den Cloud-Speicher mit einer optimierten Verschlüsselungssoft- ware ergänzen. Diese schafft auch auf öffentlicher Infra- struktur sichere Datenräume, die den hohen Anforderungen branchenüblicher Zertifizierung entsprechen. 38 SPECIAL_4/2022 IT-SICHERHEIT IN DER AUTOMOBILBRANCHE . m o c e b o d a k c o t s - a b p o p © i . : d l i B

Cybersicherheit – ein Muss für Automobilhersteller und deren Zulieferer Wie es „Kommunikation auf Rädern“ in die Überholspur schafft Die Botschaft ist einfach: Für die Produktentwicklung von Autos ist Cybersicherheit ab sofort Pflicht. Ohne Nachweis der Umsetzung der UNECE-Regelungen (UNECE ist die Wirtschaftskommission für Europa der Vereinten Nationen) UN-R 155 und UN-R 156 ist seit Juli 2022 keine Typzulassung von neuen Fahrzeugen in den 64 UNECE-Mitglied- staaten mehr möglich. Darunter fallen neben ganz Europa auch andere wichtige Märkte wie Japan, Australien, Südkorea oder Südafrika. Gleiches gilt für ältere Fahrzeug archi- tekturen ab Juli 2024. Aber warum das Ganze? Und wie können nicht nur Hersteller, sondern auch Zulieferer den neuen Anforderungen nachkommen? C ybersicherheit bedeutet ständige Veränderung der Risikolage. Ob nun organisierte Kriminalität, Coro- na-Pandemie (hier wichtig: vermehrtes Homeoffice) oder Ukraine-Krieg: Die Bedrohungen, denen unsere IT-Sys- teme ausgesetzt sind, ändern sich permanent. Bei gleichzei- tig steigender Komplexität der IT und damit einhergehenden Schwachstellen der Systeme wachsen die Cybersicherheitsri- siken, wodurch die Wahrscheinlichkeit für teure und zum Teil existenzbedrohende Cybersicherheitsvorfälle zunimmt. In der klassischen IT der Automobilbranche wird die- sem Umstand seit einigen Jahren Rechnung getragen, indem der Verband der Automobilindustrie (VDA) mit dem „Trus- ted Information Security Assessment Exchange“ (TISAX) ei- nen Prüf- und Austauschmechanismus entwickelt hat. Dieser legt einen Anforderungskatalog für Informationssicherheit fest und findet zunehmend Anwendung. TISAX orientiert sich dabei stark am allgemeineren Standard ISO/IEC 27001, der Anforderungen an ein Informationssicherheitsmanage- mentsystem (ISMS) definiert. Dass ein genereller Schutz der IT-Infrastruktur in der Automobilbranche durchaus sinnvoll ist, zeigt die Welle von Angriffen der letzten Jahre. Unterneh- men und Organisationen fallen insbesondere Erpressungs- schadsoftware (sogenannter Ransomware) zum Opfer, und es vergeht kaum ein Tag ohne entsprechende Schlagzeilen in den Medien. Unter den Betroffenen waren auch Hersteller und Zulieferer der Automobilbranche, teils mit Stillständen weltweit. Neben den Kosten für solche Stillstände kommen Weitere für die Wiederherstellung der Systeme und eventuell Lösegeldzahlungen hinzu. Cybersicherheit von Autos Cyberangriffe machen jedoch nicht bei der klassischen IT halt. Das Auto ist inzwischen nicht nur ein äußerst komplexes mechanisches und elektronisches Produkt, es ist auch voller (eingebetteter) IT und Software. Diese Komponenten kommu- nizieren nicht nur über lokale Bussysteme (zum Beispiel CAN, LIN oder moderner: Automotive Ethernet), sondern sind über die Telematikeinheit des Autos mit externen Geräten und In- frastruktur sowie insbesondere dem Internet verbunden. Da- durch ergeben sich völlig neue Dienste und Geschäftsmodelle; es öffnen sich aber auch Tore, die von Angreifern ausgenutzt werden können. Dass solche Angriffe nicht nur theoretischer Natur sind, sondern auch praktisch durchgeführt werden können, haben verschiedene Forscher in den vergangenen Jahren gezeigt: 40 SPECIAL_4/2022 IT-SICHERHEIT IN DER AUTOMOBILBRANCHE . . m o c e b o d a k c o t s - o d u t i S l t e n a P e u B © l : d l i B

– ADVERTORIAL – Mal wieder ohne Sicherheitsgurt unterwegs? Wir alle kennen die vereinzelten „Gurtmuffel“. Aber wir verstehen sie nicht wirklich. Es klingt abstrus, dass jemand, weil es ihn „einschränkt“ oder „uncool“ wirken lässt, auf ein lebenswichtiges Hilfsmittel im Auto verzichtet. Dabei ist das Bewusstsein in Bezug auf Cybersicherheit bei weitem nicht so ausgeprägt, wie es im Auto der Fall ist. Ja, wir alle wissen, dass Cybersicherheit „eigentlich“ wichtig ist, aber wenn es dann im Alltag darum geht, haben andere Dinge Priorität. Cybersicherheit ist eines der Schlüsselthe- men für das Überleben in der zukünftigen Automobilwelt, aber: „Sicher- heit verkauft sich schlecht“, sagte bereits 1970 der damalige VW-Chef Kurt Lotz in einem Interview mit dem Spiegel. Und tatsächlich gab es bei der Einführung der Gurtpflicht 1976 in der Bundesrepublik erheblichen Wider- stand gegen die „Einschränkung der Freiheit“, obwohl alle Expert:innen von den Vorteilen des Gurtes überzeugt waren. Heute, knapp 50 Jahre danach, ist das Anschnallen für fast alle Autofahrenden und Passagiere ein Automatismus, über den praktisch niemand mehr nachdenkt. Und Kurt Lotz wäre wahrscheinlich überrascht, dass sich seine Aussage ins Gegen- teil verkehrt hat. Heute gilt „Unsicherheit verkauft sich schlecht“ – denn selbst ohne Pflicht des Gesetzgebers würde heutzutage wohl kaum ein Kunde ein Auto kaufen, in das kein Sicherheitsgurt (oder eine ausreichen- de Anzahl Airbags oder ABS oder …) eingebaut wären. Die Menschen ha- ben verstanden, dass diese Sicherheitssysteme ihnen einen Schutz bieten, auf den sie – aus gutem Grund – nicht mehr verzichten wollen. 42 SPECIAL_4/2022 IT-SICHERHEIT IN DER AUTOMOBILBRANCHE Automotive: digitale TransformationDerzeit befindet sich die Automobilbranche mitten in der digitalen Trans-formation. Das betrifft nicht nur die IT der Unternehmen, sondern auch deren Produktionsanlagen und insbesondere das Automobil als Produkt. Ohne Digitalisierung wären große Trends wie das autonome Fahren, vernetzte Dienste, elektrische Fahrzeuge oder Carsharing nicht umsetz-bar. Technisch gesehen bedeutet Digitalisierung die Vernetzung vieler unabhängiger Komponenten, die erst im Zusammenspiel als Gesamt-system funktionieren. Im Bereich Automotive geht die Vernetzung dabei über die Grenzen des Fahrzeugs hinaus, womit das Automobil respektive all seine Komponenten Teil des Internets der Dinge (Internet of Things, IoT) werden. Das Auto und seine Komponenten kommunizieren dabei permanent mit der Umgebung, sei es lokal (über RFID, Bluetooth oder WLAN), mit anderen Fahrzeugen (per WLAN oder Mobilfunknetz) oder mit dem Hersteller respektive dem Internet (meist über das Mobilfunknetz). Hinzu kommen Datenverbindungen zu Wartungs- oder Ladezwecken (kabelgebunden oder kabellos). Und da die Kommunikation bis auf we-nige Ausnahmen immer bidirektional ist, wird das Fahrzeug auch für alle Bild: © Drazen - stock.adobe.com

– ADVERTORIAL – macmon secure bietet zentrale Lösungen zur Informationssicherheit in der Automobilindustrie Incident Management: Auf Basis von Netzwerk-Ereignissen können diverse Reaktionen definiert werden wie eine Alarmierung per E-Mail, SMS, Trap, Syslog. Es folgen konkrete Maßnahmen wie das Isolieren eines Endgerätes. Mobile Device Management: macmon NAC unterstützt die Durchsetzung von Sicherheitsrichtlinien für mobile Endgeräte. Netzwerksegmentierung: Sicherheitszonen in Abhängigkeit der verfügbaren Ressourcen und Informationen werden definiert und mittels macmon NAC vor unbefugter Nutzung geschützt. Dabei können die Grenzen zwischen Segmenten durch virtuelle Netzwerke (VLANs) oder auch Access Control Listen (ACLs) definiert werden. Dazu Christian Bücker, Business Director, macmon secure: „Die Anforderungen an die Informationssicherheit in der Automobilbranche wachsen exponentiell. Hier kann macmon Network Access Control (NAC) als IT-Security-Lösung mit seinen vielfältigen Modulen eingesetzt werden. Durch die Akquisition durch Belden erhalten wir jetzt einen direkten Zugang nicht nur zu der Automobil-Branche als solcher, sondern auch zu umfassendem Know-how in OT-Netzwerken. In der Industrie 4.0 wandelt sich die Security zu einer Schlüsseltechnologie als unabdingbare Voraussetzung für beschleunigte Wertschöpfung.“ n Ausführliche Informationen: www.macmon.eu/tisax Der Verband der Automobilindustrie (VDA) hat mit TISAX® einen Standard für Informations- und Cybersicherheit geschaffen, der speziell an die Anforderungen der Auto- mobilbranche angepasst ist. Die Automobilbranche ist global vernetzt und entwickelt sich immer stärker zu einem softwaredefinierten Produkt, Stichwort Advanced-Driver-Assistance-System-(ADAS-) und Automated- Driving-(AD-)Lösungen. Um eine sichere Verarbeitung und einen vertrauensvollen Austausch von Informationen zwischen Produzenten zu gewährleisten, hat der Verband der Automobilindustrie (VDA) den Prüf- und Austauschmechanismus TISAX® entwickelt. Um die Zertifizierung zu erlangen, müssen Unternehmen die Anforderungen erfüllen, die im VDA- ISA-Prüfungskatalog festgelegt sind. Dieser besteht aus den drei Modulen Informationssicherheit, Datenschutz und Prototypenschutz. Die Informationssicherheit ist das Hauptmodul, das bei jedem Assessment geprüft wird. Ziel ist es, dass die IT-Sicherheit in einem Unternehmen geplant, überwacht, geprüft und laufend verbessert wird. Übersicht, Compliance und Zugangskontrolle für einen sicheren Datenverkehr Durch den Einsatz der macmon Network-Access-Control-Lösung besteht eine ständige Übersicht über alle mit dem Netzwerk verbundenen Systeme. Gerätetypen können nach diversen Kriterien wie dem Standort, dem Netzwerkzugang und vielen anderen Eigenschaften gruppiert und im Netzwerk einfach verwaltet werden. macmon NAC bietet damit ein Verzeichnis sämtlicher mit dem Netzwerk verbundenen Assets und liefert zudem ergänzende Informationen wie den Lebenszyklus oder den aktuellen Standort der Geräte. Pfeiler der IT-Sicherheit: macmon secure erhöht einfach und schnell die Netzwerksicherheit und schützt die wichtigsten Unternehmens-Assets vor Cyberkriminellen. Separate Ereignisverarbeitung: Im Netzwerk ermittelte Informationen zu Endgeräten und Netzwerkgeräten werden verarbeitet, analysiert und auch Warnungen generiert. 44 SPECIAL_4/2022 IT-SICHERHEIT IN DER AUTOMOBILBRANCHE Bild: Jenson/Shutterstock.com

– ADVERTORIAL – TISAX und Cloud-Verschlüsselung: Datensicherheit in der Automobilbranche Unternehmen aus stark regulierten Branchen sehen sich mit vielen Herausforderungen konfrontiert, wenn es um die Bereiche Datenaustausch und Kollaboration geht. Staatli- che Vorgaben, etwa durch Datenschutzgesetze, machen dabei nur einen Teil der Anforderungen aus. Viele Branchen und Industriezweige haben sich auf strenge Compliance-Regelungen verständigt, die durch Zertifi- kate belegt werden müssen. Einfache und effiziente Zusammenarbeit ist dennoch möglich, denn moderne Kollaborationssoftware und zeitgemäße Sicherheitslösungen ergänzen sich sehr gut. Darunter fallen beispielswei- se Ende-zu-Ende-verschlüsselte Cloud-Speicher, die auch in der Automo- bilbranche und von Zulieferbetrieben sicher verwendet werden können. Sichere Datenräume schaffen: Schutz zu jedem Zeitpunkt Der Austausch vertraulicher Informationen zwischen verschiedenen Pro- jektpartnern ist in der Automobilbranche Standard, von der Produktion über die Zulieferer und die Verwaltung bis hin zum Marketing werden sichere Datenräume benötigt. Der Schutz unternehmenskritischer Daten muss bei der Übertragung und während der Verarbeitung sichergestellt sein. Besonders gilt dies, wenn Daten mit unternehmensexternen Part- nern geteilt werden. Firewalls und Gateway-Lösungen stoßen in solchen Anwendungsszenarien an ihre Grenzen. Um alle Anforderungen an sicherheitsbewusste, moderne und dezent- rale Zusammenarbeit zu erfüllen, empfiehlt sich deshalb dateibasierte Datensicherheit. Das bedeutet: Jedes Dokument und jeder Ordner ist für sich geschützt und kann nur mit entsprechender Berechtigung geöffnet 46 SPECIAL_4/2022 IT-SICHERHEIT IN DER AUTOMOBILBRANCHE werden. Das senkt nicht nur das Risiko, falls Teile der Unternehmensinf-rastruktur kompromittiert werden, sondern verbessert auch die Sicher-heit bei der Datenübertragung an Außenstehende. Entsprechende Soft-ware macht sich dabei ein einfaches Prinzip zunutze: Sie verschlüsselt Daten. Nur mit dem passenden Schlüssel – in der Regel einem Passwort, Code oder biometrischen Informationen – kann der Inhalt wieder lesbar gemacht werden. Für mögliche Angreifer sind die verschlüsselten Datei-en nutzlos, denn sie sind ohne den passenden Schlüssel nur zusammen-hanglose Zeichenketten.Experten­Empfehlung: Nicht nur auf den Algorithmus achtenNicht jede Lösung ist für jeden Anwendungsbereich gleich gut geeignet. Es gibt Unterschiede in der Anwendung, im Zugriffs- und Berechtigungs-management sowie dem allgemeinen technischen Schutzlevel. Im Ge-gensatz zu Datenschutzgesetzen wie der DS-GVO, die zum Beispiel keine konkreten Verschlüsselungsmaßnahmen vorschreibt, können branchen-spezifische Richtlinien sehr genaue Vorgaben über die zu verwendenden Technologien und Prozesse machen. Das gilt in der Automobilbranche unter anderem für den Einsatz von Verschlüsselung, die seit 2017 fester Bestandteil des „Trusted Information Security Assessment Exchange“, kurz TISAX, ist. Dass die ergriffenen Maßnahmen dem aktuellen Stand der Technik ent-sprechen, ist eine der Voraussetzungen. Und es wird noch konkreter: TISAX gibt nicht nur die Art der Schutzmaßnahme – beispielsweise einen speziellen Verschlüsselungsalgorithmus – vor. TISAX-geeignete Software

Thapana_Studio - stock.adobe.com a u f d e r i t - s a 2 0 2 2 B e s u c h e n S e u n s ! i H a l l e 6 S t a n d N r . 6 - 1 0 1

50 IT­SICHERHEIT_4/2022 Die Blockchain bietet eine Reihe von Ansätzen, IoT-Anwendungen zu verbessern. So kann sie als eine Art erweitertes Archiv für Daten und Geräte verwendet werden. Sie bildet ab, wann welche Änderungen vorgenommen wurden, aber auch, wer zuletzt auf die Daten oder das Gerät zu-gegriffen hat, wie vertrauenswürdig das Gerät in der Vergangenheit war und in einigen Fällen auch, was die Änderung verursacht hat. Diese verteilte Informationskette kann auch automa-tisch Prozesse auf der Grundlage vorkonfigurier-ter Bedingungen auslösen. Wenn die Bedin-gung erfüllt ist, wird die entsprechende Aktion ausgeführt.EINSATZBEREICHE DER BLOCKCHAIN IN IOT­ANWENDUNGENVerifizierung von DatenIoT-Sensoren und -Geräte spielen mittlerweile vermehrt eine wichtige Rolle bei Entscheidun-gen und Prozessen. Daher wird es für Unterneh-men, Regierungen und Privatpersonen immer wichtiger, die Herkunft der Daten zu kontrollie-ren – vor allem, wenn sie von Dritten stammen, die sie möglicherweise in irgendeiner Weise verändern wollen. Daten könnten schließlich von einem Unternehmen verändert werden, um Betrug zu verbergen, oder vom Staat manipuliert werden, um Maßnahmen zu beeinflussen oder die öffentliche Meinung zu verzerren.In einigen Branchen kann Blockchain-Technolo-gie dazu beitragen, die Qualität zu sichern, die Manipulation von Daten oder Waren aufzu-decken und die Prüfung von Logistikdaten zu erleichtern. Nehmen wir zum Beispiel an, eine Sendung mit gefrorenem Fleisch überschreitet während des Transports die obere Tempera-turgrenze und verdirbt im Regal, wodurch sie wertlos wird. Wenn ein Kühlkettenüberwa-chungssystem eine Blockchain verwendet, um IoT-Daten zu speichern, zu verfolgen und zu verbreiten, könnten alle Teilnehmer entlang der Kühlkette überprüfen, von welchem Sensor die Daten stammen, wo genau der Fehler aufgetre-ten ist und welche Partei dafür verantwortlich ist. Die Blockchain-Technologie könnte sogar Alarm auslösen, um beide Parteien zu benach-richtigen, wenn die Temperatur einer Sendung einen bestimmten Schwellenwert überschreitet. Im Falle von kontrollierten Substanzen könnte eine „Blockchain der Dinge“ ein verteiltes Haupt-buch bereitstellen, das verdächtige Zustandsän-derungen wie außerplanmäßige Stopps, Contai-nerbewegungen oder Gewichtsabweichungen aufzeigt.Theoretisch wäre sogar denkbar, das die am Prozess beteiligten Parteien mittels Block-chain rechtliche Ansprüche überprüfen oder zumindest dokumentierten, dass die Daten in irgendeiner Weise verändert wurden. Die He-rausforderung hierbei besteht jedoch darin, nachzuweisen, ob es ein Problem mit einem ein-zelnen Sensor gab, oder ob die Daten absichtlich verfälscht wurden.Überprüfung der Historie eines IoT-GerätsBei Tausenden von IoT-Geräten sind Unterneh-men gern geneigt, Fehler und Unstimmigkeiten als isolierte Vorfälle zu behandeln. Wenn jedoch ein Gerät wiederholt Probleme verursacht, soll-ten Unternehmen in der Lage sein, die Fehler-quelle zuverlässig zu identifizieren.Die Blockchain-Technologie ermöglicht es, je-dem Gerät einen eindeutigen Schlüssel zuzuwei-sen und verschlüsselte Anfrage- und Antwort-nachrichten zu senden. Im Laufe der Zeit können diese Schlüssel verwendet werden, um ein Profil jedes Geräts zu erstellen und seine Historie zu verfolgen. Auf diese Weise können Unterneh-men feststellen, welche Geräte ersetzt werden müssen und ob es sich bei dem Ausfall um einen Einzelfall oder um ein Muster fehlerhaften Ver-haltens bei einem bestimmten Gerät handelt.Optimierung der AutomatisierungDie Automatisierung ist einer der wesentlichen Vorteile des IoT. Wenn ein Sensor etwas erkennt, das eine Reaktion erfordert, kann das Warten auf eine manuelle Fehlerbehebung verheerende Folgen haben. Dabei kann es sich beispielswei-se um ein offenes Ventil handeln, das Tausende von Litern Wasser verschwendet, um einen An-schlussfehler, der die Benutzung des Geräts ver-hindert, oder um einen gesundheitlichen Notfall. Die Folgen sind nicht immer gravierend, aber selbst kleine Verzögerungen können sich erheb-lich auf die Kosten auswirken, den Ruf schädigen und die Lebensdauer von Anlagen verkürzen.Die Blockchain ermöglicht die Implementierung von „Smart Contracts“, die Transaktionen für einzelne Geräte unter bestimmten Bedingun-gen vorab und automatisch genehmigen. Wenn beispielsweise eine Fabrik vorbeugende War-tungsarbeiten durchführt und Sensoren dabei feststellen, dass die Leistung eines bestimmten Teils oder einer bestimmten Anlage unter einen vorgegebenen Schwellenwert gefallen ist, kann der Sensor eine automatische Bestellung eines Ersatzteils auslösen. Die Blockchain fungiert hierbei als vertrauenswürdige „Autorität“, durch welche die Transaktion legitimiert wird.Noch mal zurück zum Beispiel Kühlkettenüber-wachung: Angenommen, Sensoren zeigen an, dass Waren verdorben sind oder während des Transports einen Kälteschaden erlitten haben. Es soll aber nicht gewartet werden, bis die Bestel-lung angekommen ist, um sie zu ersetzen. Hier bietet IoT eine digitale Spur, um zu beweisen, dass der Spediteur für den Schaden verantwort-lich war. Smart Contracts setzen noch einen drauf: Sie können auch den Austauschprozess automatisieren und so Verzögerungen beim Empfänger reduzieren.Smart Contracts dienen zudem der automa-tischen Koordinierung von Dienstleistungen. Angenommen, ein großes Unternehmen verfügt über einen Sensor, der Verschmutzungen wie Kalkablagerungen in einem Wasserkühlturm erkennt. Diese Probleme beeinträchtigen die Effizienz des gesamten Wasserkühlsystems und erfordern häufig einen fachmännischen Eingriff. Wenn die Verschmutzung oder die Mineral-ablagerung einen bestimmten Schwellenwert erreicht, könnte ein Gerät mithilfe von Smart Contracts die Einplanung der erforderlichen Dienste und damit die Klärung des Problems automatisieren.Steigerung der IoT-SicherheitIoT-Geräte können gehackt werden, um sie in Botnets – einer Gruppe automatisierter Schad-programme, sogenannter Bots – zu verwen-den. Auf diese Weise können Angreifer wertvolle Daten stehlen, in private Netzwerke eindringen, Identitätsdiebstahl begehen oder einfach nur grundlegende Gerätefunktionen stören. Ange-sichts der sensiblen Natur von IoT-Daten und ih-rer Nähe zu anderen anfälligen Systemen ist die Sicherheit ein ständiges Anliegen für Unterneh-men, die sich auf vernetzte Geräte verlassen. Es sind zwar viele verschiedene Sicherheitslö-sungen verfügbar, aber es gibt auch erhebliche Einschränkungen. Die meisten IoT-Geräte sind batteriebetrieben und können keine energiein-SECURITY MANAGEMENT | MANAGED SECURITY

CYBERSICHERHEIT Wie sich KI und Sicherheitsexperten für eine Analyse des Netzwerkdatenverkehrs optimal ergänzen VIERAUGENPRINZIP FÜR DIE CYBERABWEHR Es gibt zwei Arten von Cyberangriffen: automatisierte opportunistische Versuche, in ein Netzwerk einzudringen und gezielte Advanced-Persistent-Threat (APT)-Attacken. Erstere sind in der Mehrzahl, und künstliche Intelligenz (KI) kann einen Großteil automatisiert abblocken. Hinter einer APT stehen aber oft Menschen. Wer solche, immer häufiger vorkommenden Angriffe auf Netzwerkebene verteidigen will, benötigt sowohl KI als auch menschliche Intelligenz. Hacker sind am ehesten durch die Spuren ihrer Malware im Netz- werk erkennbar. Diese verursa- chen anomale Muster im Datenverkehr, die aber in der Menge an Informationen leicht verloren gehen. Auf sich allein gestellt ist der menschli- che IT-Verantwortliche überfordert, wenn er sie erkennen soll. Künstliche Intelligenz leistet einen wichtigen Abwehrbeitrag, erkennt Anomalien im Daten- verkehr in Echtzeit anhand der Metadaten und schlägt sofort Alarm, um Abwehrreaktionen aus- lösen zu lassen. KI und eine automatisierte Cy- berabwehr können 90 Prozent der Sicherheits- vorfälle auf Tier-1-Level automatisch erkennen und die Abwehr initiieren – so zumindest das Urteil der Experten von Splunk. Doch was ist mit den verbleibenden zehn Pro- zent? Da hinter komplexen Angriffen oft noch 52 IT­SICHERHEIT_4/2022 menschliche Täter stehen, sind für eine zu- kunftssichere Abwehr sowohl die menschliche Logik als auch das menschliche Urteilsvermögen bei der Analyse von Informationen essenziell. SECHSFACHER MEHRWERT MENSCHLICHER IT­SICHER­ HEITSANALYSTEN Keine Cyberabwehr kommt mehr ohne KI aus. Aber die menschlichen Beobachter bieten immer noch ein wichtiges Plus: 1. AI und menschliche Intelligenz ergänzen sich: Eine mit Machine Learning (ML) und Threat In- telligence optimierte KI kann große Mengen an Informationen schnell und ohne Fehler analy- sieren. Der IT-Sicherheitsexperte baut darauf auf und interpretiert die Muster des Datenverkehrs. Zugleich leitet er anhand erprobter Abläufe die Abwehr. Er ist zudem durch seine Kennt- nis des Unternehmens und der IT ein wichtiger Coach der AI. Hier beschleunigt er die Definition normaler und damit legitimer Datenübertra- gungen – unter anderem durch das Taggen IT- sicherheitskritischer Systeme. Er berücksichtigt zusätzlich solche Informationen, die im Netz- verkehr nicht sichtbar sind: Wenn etwa Geräte vorhanden, aber nicht zentral verwaltet sind, oder wenn ein Unternehmen einen neuen Sitz aufbaut, was Anfragen mit bis dahin ungewöhn- lichen IP-Adressen erklärt. Oder wenn es neue Technologien, Anwendungen und damit Syste- me implementiert. 2. Informationen im Kontext bewerten: Künstliche Intelligenz ist ein statistischer Ansatz. Da es für das Erkennen, die Abwehr und die Prä- vention von Gefahren Zusammenhänge braucht, die über Einzeldaten hinausgehen, spielt der Mensch und seine Urteilsfähigkeit eine wichtige Bild: © Gorodenkoff - stock.adobe.com

CYBERSICHERHEIT Ob reale Notfälle oder digitale Cy- berkrisen aufgrund von Hacker- angriffen – für beides müssen sich Unternehmen entsprechend aufstellen bzw. schützen. In diesem Zusammenhang erhalten die Themen digitale Resilienz, Zero Trust und Notfallkommunikation eine neue Wichtigkeit. Gleiches gilt für digitale Kommunikationslösun- gen, die als Hauptkommunikationsmittel sicher funktionieren und Notfallsituationen kommu- nikativ unterstützen sollen. Dessen werden sich auch Unternehmen immer mehr bewusst. Daher suchen sie nach sicheren digitalen Kommunikati- onslösungen, die auch bei Telefonie- und Strom- ausfällen funktionieren und die Zusammenarbeit von Teams, Abteilungen oder des gesamten Un- ternehmens während einer Krisen- oder Notfall- situation ermöglichen. Den Wunsch nach erhöh- ter Sicherheit erfüllen entweder Plattformen, die sich gesamtheitlich auf Krisenmanagement fo- kussieren, oder Lösungen, die durch spezifische Funktionen eine reibungslose Kommunikation garantieren. Dabei werden kostenlose Messen- 54 IT­SICHERHEIT_4/2022 ger wie WhatsApp & Co. aus datenschutzrechtli- chen Gründen zunehmend gemieden. Aber auch bei UC&C-Tools (Unified communications and collaboration) wie Microsoft Teams und Zoom stoßen Unternehmen immer häufiger an Com- pliance- und funktionale Grenzen. WIE SICH SPEZIALISIERTE KOMMUNIKATIONSLÖSUN­ GEN UND ZERO TRUST ERGÄNZEN Organisationen, die eine für Unternehmen spezi- alisierte Kommunikationslösung einsetzen, sind nicht nur deutlich krisenfester, sondern weisen zudem eine höhere digitale Resilienz auf. Das bedeutet, sie verfügen über eine stärkere Wider- stands- und Regenerationsfähigkeit angesichts komplexer und zunehmend unvorhersehbarer Risiken in digitalen sowie informationstechno- logischen Zusammenhängen. Noch mehr Schutz wird anhand eines Zero-Trust-Sicherheitsprinzips gegeben. Zero Trust bedeutet, Dienste, Geräte und Anwender im eigenen Netzwerk wie Externe zu behandeln. Dem Zero-Trust-Sicherheitsprinzip folgend gilt es, alle verfügbaren Datenpunkte in die Authentifizierung und Autorisierung ein- zubeziehen, Nutzerrechte zu beschränken und den Segmentzugriff zu minimieren. Bei einer digitalen Kommunikationslösung kann dies beim Hosting anfangen und über die Nutzerverwal- tung bis hin zur Zwei-Faktor-Authentifizierung und Standort-Freischaltung gehen. Auf diese Weise müssen Hacker nicht nur eine, sondern viele Hürden überwinden, um Daten abzugreifen oder Schaden anzurichten. Eine digitale Kom- munikationslösung, die auf einem Zero-Trust-Si- cherheitsprinzip aufbaut, ist eine unverzichtbare Verstärkung der digitalen Resilienz. DIE GRUNDSTEINE EINER DIGITALEN KOMMUNIKATI­ ONSLÖSUNG Wie bereits angeklungen, geht es bei digita- len Kommunikationslösungen um viel mehr als Die aktuellen Geschehnisse in Europa verstärken das Sicherheitsbedürfnis – auch in Unter-nehmen. Infolgedessen haben Cybersicherheit und eine sichere Kommunikation – sowohl innerhalb einer Organisation als auch zu externen Stakeholdern – an neuer Relevanz gewonnen. Unternehmen rüsten auf, um für nicht vorhersehbare Notfall- und Krisensituati-onen gewappnet zu sein, denn dann sind schnelle Reaktionen, klare Informationen und konkrete Anweisungen in der Kommunikation gefragt. Nur so können Unternehmen ihren Mitarbeitenden, Partnern sowie Kunden Unsicherheiten nehmen und bleiben selbst hand-lungsfähig. Ziel muss es sein, die digitale Resilienz zu steigern und die Kommunikation auf Basis eines Zero Trust- Sicherheitskonzepts aufzubauen.Digitale Resilienz stärken und auf Zero-Trust-Sicherheit bauenIN KRISENSITUATIONEN SICHER KOMMUNIZIEREN

CYBERSICHERHEIT Informationssicherheit kritischer Infrastrukturen im Gesundheitssektor WIE KRITIS IHRE CYBER­ SICHERHEIT STEMMEN Sicherheit in der Informationstechnik – eine IT-Aufgabe? Das ist zu kurz gedacht. Der Schutz kritischer Infrastrukturen auch vor Cyberangriffen ist eine Management- aufgabe und setzt den Aufbau eines ISMS (Information Security Management Sys- tem) voraus. Branchenspezifische Standards, Umsetzungshinweise und begleiten- des Coaching durch externe Experten helfen bei der Lösung. Cyberattacken bergen für alle Unternehmen hohe Risiken: Es drohen Produktionsausfälle, Datenverlust, Lösegelderpressung. Weit größer sind aber die möglichen Schäden bei Angriffen auf kritische Infrastrukturen, zu denen auch die Gesundheitsversorgung zählt. Denn Ausfälle in diesen Bereichen wirken sich nicht nur auf die einzelnen Unternehmen aus, sondern können die Grundversorgung oder die öffentliche Sicher- heit gefährden. Betreiber kritischer Infrastruk- turen sind daher per Gesetz zum besonderen Schutz ihrer informationstechnischen Systeme verpflichtet. SICHERHEITSVORGABEN DURCH KRITIS UND KRITIS LIGHT gnostik. Die entsprechenden Anlagen gelten ab einer festgelegten Größe (Schwellenwert) als kritische Infrastrukturen. Die Betreiber müssen angemessene Vorkehrungen treffen, um Stö- rungen der – für die Funktion der jeweiligen kritischen Infrastruktur maßgeblichen – infor- mationstechnischen Systeme zu vermeiden. Diese Sicherheitsvorkehrungen sind gegenüber dem Bundesamt für Sicherheit in der Informa- tionstechnik (BSI) alle zwei Jahre nachzuweisen und an den Stand der Technik anzupassen (§ 8a BSI-Gesetz). Unabhängig von der Größe gelten die Verpflichtungen zur Informationssicherheit seit Januar 2022 für alle Krankenhäuser, lediglich die Nachweispflicht gegenüber dem BSI entfällt. Grundlage dieser oft auch als „KRITIS light“ be- zeichneten Vorgaben ist § 75c des Sozialgesetz- buches (SGB) V. Im Gesundheitswesen gehören zu den kritischen Dienstleistungen die stationäre medizinische Versorgung sowie die Versorgung mit unmittel- bar lebenserhaltenden Medizinprodukten, ver- schreibungspflichtigen Arzneimitteln, Blut- und Plasmakonzentraten ebenso wie die Labordia- Insbesondere für kleinere Krankenhäuser, die neu mit dieser Herausforderung konfrontiert sind, stellt sich die nun die Frage, wie die IT- Sicherheitsvorgaben umzusetzen sind. Da es um den Schutz der Informationssysteme geht, scheint es naheliegend, die IT-Abteilung damit 56 IT­SICHERHEIT_4/2022 zu beauftragen. Doch dieser Ansatz greift zu kurz. Natürlich kommt der IT eine sehr wichtige Rolle bei der Erkennung und Bekämpfung von Cyberangriffen zu. Ziel der KRITIS-Verordnungen im Gesundheitssektor ist aber, durch angemes- sene technische und organisatorische Maßnah- men die Kernfunktionen aufrechtzuerhalten, also die Versorgung der Patienten wie auch die Datensicherheit zu gewährleisten. WARUM DIE UMSETZUNG DER KRITIS­VORGABEN KEIN IT­PROJEKT IST Inwieweit mögliche Störungen der IT-Struk- turen tatsächlich auch die Kernfunktionen der betroffenen Infrastruktur beeinträchtigen, hängt vom Stand der Digitalisierung ab. Hier gibt es innerhalb des Gesundheitssektors beträchtliche Unterschiede. Während sich in den hochgra- dig automatisierten, produzierenden Bereichen der Pharmaindustrie IT-Ausfälle direkt auf die Kernprozesse wie die Arzneimittelproduktion auswirken, sind bei vergleichbaren Störungen in Krankenhäusern die medizinischen Prozes- Bilder: Pixabay

WIE SICHERHEIT IM INTERNET MESSBAR WIRD Eine Internet-Kennzahl ist eine Maß- zahl, die den aktuellen Stand, das Verhältnis oder den Verlauf eines At- tributes widerspiegelt. Sie kann aus unterschied- lichen lokalen oder globalen Quellen stammen und hat dabei oft auch unterschiedliche Wertig- keiten. Internet-Kennzahlen sind reproduzierbar sowie vergleichbar und ermöglichen somit eine Transparenz für den Betrachter. gegründet und stellt einen jährlichen Bericht über das Internet in Form eines Web Almanac online. Dieser Bericht kombiniert Trends des Internets und Fachwissen der Web-Communities, um Verände- rungen und Entwicklungen eines Jahres darzustel- len. Außerdem stellt das HTTP Archive die histori- sche Entwicklung des Internets dar, weil seit der Kommerzialisierung des Internets im Jahr 1996 die gesammelten Daten archiviert werden. Internet“-Projekts, umgesetzt. Dort wird von der Internet Society sowie anderen Internet- organisationen eine Plattform geboten, auf der Daten hochgeladen, analysiert und verarbeitet werden können. ECO – INTERNET­KENN­ ZAHLENSYSTEM AUS DEUTSCHLAND Internet-Unternehmen und Non-Profit-Orga- nisation stellen seit einigen Jahren Internet- Kennzahlen zur Verfügung. Darunter fallen zum Beispiel das HTTP Archive mit dem Web Alma- nac, sowie die Internet Society mit dem Pulse- Projekt. Das HTTP Archive wurde im Jahr 2010 Die Internet Society verfolgt das Ziel eines zuver- lässigen, belastbaren und gut ausgebauten Inter- nets. Dieses soll gleichermaßen global verbunden, offen, sicher und vertrauenswürdig sein. Um diese Ziele messbar zu gestalten, wurde im Dezember 2020 das Pulse-Projekt, als Teil des „Measuring the Der eco – Verband der Internetwirtschaft e.V. ist der Dachverband der Digital- und Internet- wirtschaft in Deutschland. Mit über 1.100 Mit- gliedern weltweit ist der eco auch international gut aufgestellt. Eines der Ziele des eco ist der Fortschritt der Digitalpolitik in Deutschland und 58 IT­SICHERHEIT_4/2022 Bild: ©tippapatt - stock.adobe.comInternet-Kennzahlen für mehr Transparenz bei Risiken und SicherheitsstatusDas Internet hat sich als globale Kommunikations-, Informations-, Commerce- und Businessinfrastruktur fest in der Gesellschaft etabliert. Mit jedem Grad Zuwachs bei der Digitalisierung wird das Leben einfacher und schneller – aber auch gefährlicher. Die konkrete Gefährlichkeit bleibt dabei bislang oft ein Mysterium – Strategien für die IT-Sicherheit müssen auf Basis von Annahmen und Erfahrungen entwickelt werden. Internet-Kennzahlen und deren systematische Auswertung sollen nun dabei helfen, Probleme, Risiken und Schwachstellen als Trend zu erkennen, um Sicherheitsstrategien proaktiv fokussierter zu gestalten. Auch der Stand der IT-Sicherheit lässt sich durch Messung der Kennzahlen ermitteln und bewerten. Internet-Kennzahlen werden von lokalen und globalen Anbietern bereitgestellt.AUS FORSCHUNG UND TECHNIK

Bild 2: Verhältnis von HTTPS und HTTP TLS version used by page HTTP version n o i s r e V P T T H e g a p e m o H HTTP/2+ HTTP/1.1 0% 10% 20% 30% 40% 50% 60% 70% 80% QUIC TLS 1.2 TLS 1.3 Unknown HTTP/1.1 16,69% 7,47% 3,18% HTTP/2+ 0,05% 17,35% 48,51% 7,17% Verwendete TLS Version QUIC TLS 1.2 TLS 1.3 Unknown Bild 3: Verwendete TLS-Versionen pro HTTP-Version Web-Almanac 2021 60 IT­SICHERHEIT_4/2022 INTERNET­KENNZAHLEN IM BEREICH IT­SICHERHEITAspekte der IT-Sicherheit im Internet können auch durch Anwendungen und der genutzten Protokolle dargestellt werden. Das einfachste Beispiel dafür ist die verschlüsselte Variante des Hypertext Transfer Protocol (HTTPS – Hypertext Transfer Protocol Secure).Die Darstellung der Internet-Kennzahlen wird im Folgenden als Matrik bezeichnet. Dazu gehören unter anderem das bereits erwähnte Verhältnis von HTTP zu HTTPS, die prozentualen Anteile von TLS-Versionen in Abhängigkeit der HTTP-Version und die Top-10-Ports und Anwendungen im Internet.Komplexere Internet-Kennzahlen stellen bei-spielsweise das Verhältnis von DNS-Auflösungen im EU-Ausland dar. Darüber hinaus sind Sicher-heitseinstellung und Header auf Webseiten und mobilen Anwendungen von Relevanz. Beispie-le sind das Secure-Attribut von Cookies und die Content Security Policy.Internet-Kennzahl: Verhältnis von HTTP zu HTTPSIn Bild 2 sind die Verhältnisse von HTTP zu HTTPS aus Mai 2021 und März 2022 dargestellt. Es ist deutlich zu erkennen, dass der Anteil der Pakete über HTTPS gegenüber dem über HTTP sowohl im Mai 2021 als auch im März 2022 do-miniert. Als Trend lässt sich ablesen, dass die Menge der Datenpakete über HTTPS von 61 Pro-zent auf 75,3 Prozent ansteigt. Seit seiner Ein-führung hat sich HTTPS wie ein Lauffeuer aus-gebreitet. Unterstützt von großen Namen der Branche hat sich das Protokoll zum Standard für das Surfen im Internet entwickelt. Die anhalten-de Verbreitung von HTTPS kann sicher auf zwei Hauptfaktoren zurückgeführt werden: Erstens drängt Google seit Langem darauf, unverschlüs-selte Verbindungen zu eliminieren, indem es die Betreiber von Websites dazu bringt, zu HTTPS zu wechseln. Zweitens können digitale Zertifika-te, die Website-Besitzer benötigen, um HTTPS auf ihren Websites zu aktiveren, heutzutage auf benutzerfreundliche Weise und zum Nulltarif er-worben werden. Durch HTTPS lassen sich unter anderem die Manipulation von Daten und Man-in-the-middle-Angriffe aktiv verhindern.Internet-Kennzahl: Verwendete TLS-Versionen pro HTTP-VersionBild 3 zeigt die verwendeten TLS-Versionen in Beziehung zur genutzten HTTP-Version. Die Datengrundlage stammt aus dem Web Almanac aus dem Jahr 2021. Es zeigt sich, dass das QUIC-Protokoll zu diesem Zeitpunkt noch keinen rele-vanten Einfluss hatte. Die Entwicklung diesbe-züglich wird in den nächsten Jahren ansteigen, da das QUIC-Protokoll von HTTP/3 verwendet wird, welches HTTP/1.1 und HTTP/2 ablösen wird. Gut ist, dass die Version TLS 1.3 bei HTTP/2 schon fast 50 Prozent Verwendung findet, weil dies die Risiken für erfolgreiche Angriffe reduziert.Mit diesen Kennzahlen können Projekte, wel-che die Nutzung von TLS 1.3 oder QUIC fördern, gemessen und der Fortschritt dokumentiert AUS FORSCHUNG UND TECHNIKwerden. Die Datengrundlage wurde von HTTP Archive übernommen.Internet-Kennzahl: HSTSHTTP Strict Transport Security (HSTS) ist dafür verantwortlich, dass der Browser eine sichere Verbindung, also HTTP zu HTTPS, für die Kom-munikation mit der Webseite verwendet. Aus Bild 4 geht hervor, dass nur 22,2 Prozent aller Webseiten, die über mobile Endgeräte aufgeru-fen werden, den HSTS Header verwenden. Bei Webseitenaufrufen von Desktop-Computern sind es ebenfalls knappe 23,9 Prozent, die einen HSTS Header verwenden. HSTS ist deshalb von hoher

einfache, risikoarme Richtlinie handelt, die dabei hilft, alle HTTP-Anfragen auf HTTPS zu aktuali- sieren und die dazu beiträgt, gemischte Inhalte zu blockieren. Das HTTP Archive sammelt hierfür Metriken aus 8.198.531 Websites. Die meisten dieser Metriken werden von WebPageTest und von Lighthouse bereitgestellt. ZUKÜNFTIGE KENNZAHLEN Industrielle Kontrollsysteme (ICS) werden mit- hilfe spezieller Protokolle ferngesteuert, die ursprünglich für den Betrieb in geschlossenen Systemen (Walled Gardens) entwickelt wurden. Viele dieser Protokolle wurden an den Inter- net-Transport angepasst und unterstützen die Kommunikation über große Entfernungen. ICS tauschen nun unsicheren Datenverkehr auf Inter-Domain-Ebene aus, wodurch nicht nur gemeinsame kritische Infrastrukturen, sondern auch das Internet-Ökosystem zum Beispiel durch DRDoS-Angriffe gefährdet werden. Daher ist es nicht abwegig, in Zukunft den ICS-Verkehr zwischen den Inter-Domains an zwei zentralen Exchange Points, einem IXP und ISP zu messen. Dafür muss zunächst an einer Methodik gear- beitet werden, um industriellen und nicht-in- dustriellen ICS-Verkehr zu trennen. Die Ergeb- nisse können dann genutzt werden, um präzise Filter für potenziell schädlichen nicht-industriel- len ICS-Verkehr zu erstellen. Weiterhin soll in Zukunft mithilfe des Ports 25 (SMTP) ein Zeitintervall für die Nutzung des E-Mail-Protokolls erstellt werden. Diese Kenn- zahl soll helfen, Trends zu erkennen. Hier wird die Chance gesehen, dass durch Trenderken- Internet-Kennzahl: Content Security Policy Die Content Security Policy (CSP) ist die effek- tivste Methode zur Verhinderung von Cross- Site- Scripting (CSS) und Data-Injection-Angriffen. Ermöglicht wird dies durch Einschränkungen der Möglichkeiten, Inhalte nachzuladen. Beispiels- weise wird durch das Attribut „script-src“ eine Domäne definiert, von der Skripte nachgeladen oder Inline-Skripte und eval()-Funktionen ange- wandt werden dürfen. In Bild 8 ist ein Teil der CSP-Anwendungen ab- gebildet. Auch ist zu sehen, wie häufig diese für Desktop und mobile Endgeräte angewandt werden. Insgesamt verwendeten im Jahr 2021 rund 9,3 Prozent der Webseiten CSP bei mo- bilen Endgeräten. 2020 waren es 7,2 Prozent. Upgrade-insecure-requests ist der am häufigs- ten verwendete CSP. Die hohe Akzeptanz dieser Richtlinie kommt daher, weil es sich um eine Bild 6: DNS-Auflösungen außerhalb der EU im März 2022 bewusst auf Webseiten mit zensierten Inhalten weitergeleitet wird. Beispielsweise kann eine Auflösung auf den Social-Media-Dienst Facebook nicht erfolgen, oder Anfragen an die Webseite ei- nes unabhängigen Nachrichtenanbieters werden auf beeinflusste Inhalte weitergeleitet. Daher ist der Standort der DNS-Auflösung nicht nur ein IT- Sicherheit-relevantes Thema, sondern auch auf politischer Ebene durchaus interessant, weil es die gewünschte Souveränität anspricht. Internet-Kennzahl: Secure-Attribut von Cookies Cookies, bei denen das Secure-Attribut gesetzt ist, werden nur bei einer sicheren HTTPS-Verbindung übertragen. Ähnlich wie bei HSTS werden Mani- pulationen wie Man-in-the-Middle-Angriffe ver- hindert. Informationen können weder manipu- liert noch durch Unbeteiligte entwendet werden. Das TLS-Protokoll bietet diese Sicherheit. Bei den Cookies von First-party haben nur etwas mehr als 30 Prozent der Cookies sowohl auf dem Desktop als auch auf mobilen Geräten das Attribut „Secu- re“ gesetzt. Der Anteil der Cookies von Third-party mit dem Attribut „Secure“ ist jedoch von 35,2 Prozent im letzten Jahr (2020) auf 67 Prozent im Jahr 2021 deutlich gestiegen. Es wird von einem enormen Anstieg des Secure-Attributs ausgegan- gen, da das Secure-Attribut eine harte Voraus- setzung für die SameSite=None-Cookies ist. Das SameSite-Attribut in Cookies ermöglicht es den Websites, dem Browser mitzuteilen, wann und ob ein Cookie mit Cross-Site-Requests gesen- det werden soll. Dies dient der Verhinderung von Cross-Site-Request-Forgery-Attacks. Die Messung erfolgt über die genannten Attri- bute, „HttpOnly, Secure und SameSite“ bei einer HTTPS-Verbindung (siehe Bild 7). Die Metriken werden über das Tool WebPageTest gemessen. 62 IT­SICHERHEIT_4/2022 Cookie attributes Web Almanac 2021: Security (desktop) First-party Third-party 67.0% 64.9% 80.0% 60.0% 40.0% 32.7% 31.0% 34.0% 20.0% 20.0% 0.0% i s e k o o c f o t n e c r e P 32.7% 31.0% 34.0% Request context Bild 7: Cookie attributes – Security AUS FORSCHUNG UND TECHNIK

BUCHVORSTELLUNG Sicherheit und Prüfung von SAP­ Systemen Wer sichergehen will, dass seine SAP-Systeme alle Sicherheitsanforderungen erfüllen und ordnungsgemäß konfiguriert sind, dürfte an diesem Standardwerk kaum vorbei- kommen. Der Autor zeigt Schritt für Schritt, wie bei der Prüfung vorzugehen ist und vermittelt das nötige Hintergrundwissen. Alle Prüfungs- themen werden systematisch und verständ- lich behandelt – aktuell zu SAP S/4HANA. Das umfassende Handbuch richtet sich an Prüfer und Administratoren und befasst sich mit den Themen Systemsicherheit, Protokollierung und Berechtigungsverwaltung. Praktische Checklis- ten und Anleitungen runden das Buch ab. n 64 IT­SICHERHEIT_4/2022 AUS DEM INHALT ƒ Umgang mit dem SAP-System ƒ Werkzeuge zur Prüfung ƒ Aufbau von SAP-Systemen und -Landschaften ƒ Allgemeine Systemsicherheit ƒ Protokollierung ƒ Sichere Remote Function Calls ƒ Ordnungsmäßige Verbuchungsvorgänge ƒ Benutzerauswertungen ƒ Sichere Eigenentwicklungen ƒ Berechtigungen für SAP-Fiori-Anwendungen ƒ Berechtigungskonzept und Absicherung Thomas Tiede Sicherheit und Prüfung von SAP-Systemen 1010 Seiten, gebunden 5. aktualisierte und erweiterte Auflage 2021, SAP PRESS, ISBN 978-3-8362-7754-9 € 119,- von SAP HANA S.M.

IT­RECHT | DATENSCHUTZ | DATENSICHERHEIT Google Analytics 4 & Datenschutz WAS UNTERNEHMEN JETZT BEACHTEN MÜSSEN U A war bisher für Unternehmen, die vor dem 14. Oktober 2020 begonnen haben, das Analy- setool zu nutzen, der Standard-Property-Typ für Webseiten. UA-Property ermöglichte ein geräteüber- greifendes Tracking, womit nicht nur auf Webseiten, sondern auch in Apps und anderen digitalen Geräten übergreifend nachvollzogen und analysiert werden konnte. Bisher wurden dafür verschiedene Tracking- Technologien wie Pixel, Cookies und Skripte angewen- det. Verwendet eine Webseite Google Analytics, wird bei deren Aufruf die entsprechende Technologie aktiv. Dann werden Informationen wie eindeutige Identifier entwe- der auf dem Endgerät mittels Cookies gespeichert oder es erfolgt ein Zugriff auf bereits gespeicherte Informa- tionen im Endgerät, wie beispielsweise zum Betriebs- system, zum Browser oder zur Bildschirmgröße, mittels Skripten und Pixel. NEUES ANALYSETOOL GA 4: FUNKTIONSWEISE GA 4 sammelt sowohl Webseiten- als auch App-Daten, um das Verhalten von Nutzenden nachzuvollziehen. Ebenfalls wie bei der Vorgängerversion UA, verarbeitet 66 IT­SICHERHEIT_4/2022 GA 4 dabei personenbezogene Daten. Zu den erfassten Daten gehören unter anderem die Verweildauer auf der Webseite, demografische Merkmale wie Sprache und Standort oder der zum Aufruf genutzte Browser. Die Besonderheit bei GA 4 liegt im Einsatz von künstli- cher Intelligenz (KI) und Machine Learning für die Da- tenauswertung. Der Zugriff auf die Daten des Nutzenden erfolgt weiterhin über Cookies, Skripte und Pixel. Zur Messung und Auswertung der Nutzungsdaten kommt nun jedoch KI, insbesondere maschinelles Lernen, durch Anwendung von Algorithmen zum Einsatz. Die Algo- rithmen messen automatisiert anhand von Ereignisda- ten (sogenannten Events), und nicht wie vormals bei UA anhand von sitzungsbasierten Daten (sogenannten Hits), das Nutzungsverhalten des individuellen Nutzen- den. Unter Events fallen zum Beispiel Scrolls bis zum Seitenende, Klicks auf externe Links, Downloads oder Pageviews. Der diese Events auslesende Algorithmus kann spezifisches Nutzungsverhalten auch auf anderen Geräten wiedererkennen, wodurch eine geräteübergrei- fende Verhaltensanalyse möglich ist. Kommt es daher zu verschiedenen separaten Sitzungen an verschiede- nen Geräten, kann GA 4 anhand von User-ID, Google- Google hat eine neue Version seines beliebten Online-Marketingtools Google Analytics vorgestellt: Google Analytics 4 (GA 4). Die neue Generation des Analysetools soll die Vorgängerversion Universal Analytics (UA) ablösen. Viele Unternehmen haben bereits UA eingesetzt, um das Nutzungsverhalten auf der eigenen Unternehmenswebseite der User nachzuvollziehen und damit eine erfolgreiche Marketingstrategie zu entwickeln. Voraussichtlich ab dem 01. Juli 2023 soll dies standardmäßig nicht mehr über UA stattfinden, sondern ausschließlich über GA 4 erfolgen können. Welche neuen Features GA 4 mit sich bringt, ob Einwilligungsbanner nun obsolet werden und worauf sich Unternehmen datenschutzrechtlich einstellen müssen, zeigen wir in diesem Beitrag.

IT­RECHT | DATENSCHUTZ | DATENSICHERHEIT 68 IT­SICHERHEIT_4/2022 neuer Aktivität immer wieder neu zu laufen und verlän- gert damit stets die Speicherdauer. Auch die Möglichkeit der Deaktivierung der Erfassung genauer Orts- und Posi- tionsdaten sowie genauer Gerätedaten ist eine sinnvolle Option. Aktualisierung der Datenschutzerklärung Bei Verwendung von GA 4 muss auch die Datenschutz- erklärung entsprechend angepasst werden. Der Websei- tenbesucher muss darüber aufgeklärt werden, dass GA 4 Nutzungsdaten auswertet und KI verwendet. Außerdem muss der Nutzende über sein Widerrufsrecht infor- miert werden und darüber, dass die Anonymisierung der IP-Adresse durch GA 4 automatisch voreingestellt ist. Darüber hinaus sollte in der Datenschutzerklärung die Deaktivierung der Erfassung genauer Orts- und Posi- tionsdaten sowie genauer Gerätedaten aufgenommen werden, soweit diese vorgenommen wurde. FAZIT Die neue Funktionsweise von GA 4 bringt spannende neue Möglichkeiten und Erkenntnisse in die Marketing- welt. Wie zuverlässig die KI funktioniert, wird sich im Laufe der Zeit herausstellen. Jedoch können durch die Prognose des Nutzungsverhaltens völlig neue Marke- ting- und Werbemaßnahmen getroffen werden, womit sich Unternehmen noch erfolgreicher vermarkten kön- nen. Bis einschließlich 30. Juni 2023 können in UA-Pro- perties neue Daten erhoben und verwendet werden. Ab dem 01. Juli 2023 haben Unternehmen, die UA genutzt haben, noch mindestens sechs Monate lang Zugriff auf zuvor verarbeitete Daten in UA-Poperties. Daten, die weiter von Bedeutung sind, sollten unbedingt exportiert werden. n KATHRIN SCHÜRMANN Kathrin Schürmann ist Rechtsanwältin und Partnerin der Technologiekanzlei Schürmann Rosenthal Dreyer Rechts an­ wälte und spezialisiert auf das IT­ und Datenschutzrecht. Ein Fokus ihrer bera­ tenden Tätigkeit liegt in den Bereichen Digital Business, Technologie und Medien. Als Datenschutzexpertin betreut sie nationale und internationale Mandanten bei der Einführung und Entwicklung neuer (digitaler) Geschäftsmodelle. Bei der ISiCO Datenschutz GmbH, einem Beratungsunternehmen für Datenschutz, Compliance, Zertifizierung und Informationssi­ cherheit, vereint sie internationale Datenschutzbestimmungen und digitale Transformation mit strategischer Beratung. www.srd-rechtsanwaelte.de www.isico-datenschutz.de wohingegen dies bei UA nur optional auswählbar war. Auch die automatische Löschung alter Besucher-Logs ist in GA 4 standardmäßig auf 14 Monate voreingestellt. Besucher-Logs werden nun, je nach individueller Ein-stellung, nach mindestens zwei bis maximal 14 Monaten gelöscht. Vorher war es bei UA möglich, die Logs über eine weitaus längere Zeitspanne zu speichern.Durch KI und maschinelles Lernen ist GA 4 auch in der Lage, Bots zu erkennen und diese von der Analyse von vornherein auszuschließen.DIE WICHTIGSTEN PUNKTE, AUF DIE UNTERNEHMEN BEI DER VERWEN­DUNG VON GA 4 ACHTEN MÜSSENIst bei Verwendung von GA 4 ein Einwilligungs­banner nötig?Ja, ein Einwilligungsbanner ist immer noch notwendig! Zwar funktioniert die Auswertung des Nutzungsverhal-tens durch GA 4 maßgeblich mittels KI und maschinel-lem Lernen, jedoch werden immer noch Cookies sowie Skripte und Pixel verwendet, um auf Informationen im Endgerät aktiv zuzugreifen. Sofern das Setzen von Cookies und die Verwendung von Skripten und Bildern (Pixeln) nicht manuell abgeschaltet wird, kommen sol-che immer noch zum Einsatz. Für den rechtskonformen Zugriff und den Einsatz von Cookies, Skripten und Pixeln bedarf es aus datenschutzrechtlicher Sicht der Einwilli­gung des Nutzenden. Die Einwilligungspflicht für nicht unbedingt erforderliche Speicherungen und Zugriffe, etwa durch Cookies, Skripte und Pixel, ist explizit in § 25 TTDSG geregelt. Vor der Einwilligung dürfen keine Coo-kies gesetzt und keine Skripte oder Pixel von GA4 ausge-führt werden. Erst nach der Einwilligung dürfen entspre-chende Technologien von GA4 verwendet werden.Abschluss eines Auftragsverarbeitungs­vertrags (AVV)Unternehmen, die einen Google-Dienst auf ihrer Websei-te verwenden wollen, worunter auch GA 4 fällt, müssen einen AVV mit Google Ireland Limited abschließen, denn mit der Nutzung von GA 4 erfolgt die Verarbeitung der getrackten Nutzungsdaten durch Google Ireland Limited im Auftrag des jeweiligen Webseitenbetreibers als Ver-antwortlichem.Optionale EinstellungenSehr empfehlenswert ist es für Unternehmen, von den optionalen Einstellungsmöglichkeiten Gebrauch zu machen, um die Nutzung von GA 4 so datenschutz-freundlich wie möglich auszugestalten. Darunter fällt beispielsweise, die automatische Löschungsfrist alter Besucher-Logs zu verkürzen. Zu empfehlen ist zudem, die Zurücksetzung der Aufbewahrungsdauer bei erneu-ter Aktivität abzuwählen. Ansonsten beginnt diese bei Foto: Kanzlei SRD

VORSCHAU Ausgabe 5|22 OKTOBER/ NOVEMBER IT-SA, NÜRNBERG, 25. BIS 27. OKTOBER 2022 Die it-sa Expo&Congress in Nürnberg ist Europas führende Fachmesse für IT-Sicherheit und eine der bedeutendsten Plattformen für Lösungen rund um die Themen: Cloud- und Mobile-Security, Daten- und Netzwerksicherheit sowie die Absicherung kritischer Infrastrukturen und der Industrie 4.0 weltweit. Alles, was Sie zur Vorbereitung auf Ihren Besuch wissen müssen, lesen Sie in der nächsten Ausgabe. FORSCHUNG: CONFIDENTIAL COMPUTING Heute werden Daten während der Speicherung und des Datentransfers in der Regel verschlüsselt. Während der Datenverarbeitung liegen die Daten aber im Klartext vor. Confidential Computing sorgt dafür, dass die Daten auch in verschlüsselter Form verarbeitet werden können. Das ist insbesondere für Cloud-Anwendungen eine wichtige Funktion, um Vertrauenswürdigkeit zu erlangen. Wie Confidential Computing technisch umgesetzt wird und wie zuverlässig es Cloud-Anwendungen schützt, erfahren Sie im nächsten Heft. Weitere geplante Themen: ƒ Cloud Posture Management – das Dach für SASE, SSE und CNAPP ƒ Open Source Software: verstecktes Sicherheits-Risiko im Code … und vieles mehr. IN UNSEREM VERLAG ERSCHEINEN AUSSERDEM NOCH FOLGENDE ZEITSCHRIFTEN 70 IT­SICHERHEIT_4/2022 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 9d · 50226 Frechen www.datakontext.com Chefredaktion: Stefan Mutschler (S.M.) E-Mail: stefan-mutschler@t-online.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz Leitung Online herz@datakontext.com +49 2234 98949-80 Lisa Bieder Silvia Klüglich Chiara Schönbrunn Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. Dirk-M. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan-Peter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 27 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 104,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Beilagen: DATAKONTEXT GmbH, Frechen Titelbild: 8com GmbH & Co. KG Fotos: Firmenbilder; DATAKONTEXT; (anttoniart, Cristian, Gorodenkoff, H. Brauer, James Thew, JBillionPhotos.com, metamorworks, nb_factory, Olga, Passatic, phonlamaiphoto, Sergey Nivens, tippapatt, Vladimir) - stock.adobe.com; christopher burns/unsplash; Pixabay; Teamwire; iStockphoto /spainter_vfx 28. Jahrgang 2022 · ISSN: 1868-5757