Aufrufe
vor 3 Jahren

Netzwoche 02/2017

  • Text
  • Unternehmen
  • Schweizer
  • Netzmedien
  • Webcode
  • Schweiz
  • Gesellschaft
  • Digitalisierung
  • Microsoft
  • Digital
  • Mitarbeiter

30 Focus Security

30 Focus Security Multi-Faktor-Authentifizierung: Zwingender Schutz für kritische Bereiche Komplexe IT-Infrastrukturen sind mit vielfältigen Bedrohungen konfrontiert. Die Abstände von Schlagzeilen über Einbrüche in Unternehmen unterschiedlicher Branchen werden kürzer. Stärkere Kontrollen sind daher nicht länger nur eine Frage der Compliance. i DER AUTOR ITSENSE Orkan Yoksulabakan Managing Consultant IT-Security, ITSENSE ITSENSE beobachtet laufend neue Gefahrentrends sowie Bedrohungen und richtet ihre Lösungen für Kunden entsprechend zukunftsweisend und konform aus. Es gilt nämlich, nicht nur Anforderungen zu erfüllen, sondern auch Risiken im Griff zu haben. In einer Welt, worin so manche Daten auch gerne mal mit Gold verglichen werden, sichert eine nachhaltige Strategie langfristig den Tresor. Unternehmen, die meinen, sie könnten ohne automatisierte Kontrollsysteme, wie etwa professionelle Identityund Access-Management-Lösungen (IAM), ihre Risiken einschätzen, Kosten vermeiden und Audits ohne schmerzhafte Folgen überstehen, haben etwas versäumt. Sie haben es entweder verpasst, den notwendigen Weitblick in ihrer Unternehmenskultur zu etablieren, oder sie haben ihre IT-Strategie unzureichend mit ihrem Risikomanagement abgeglichen. Ausserdem mangelt es so mancher Unternehmensleitung an den richtigen Managementmethoden. Bei einigen Unternehmen fehlt auch Klarheit darüber, welche regulatorischen und gesetzlichen Fallstricke lauern. So kann eine Bagatelle zum Desaster werden. Zahlreiche Ereignisse der letzten Jahre zeigen, dass die Gefahren für die Unternehmens-IT vielfältiger sowie Angriffsmuster immer raffinierter und ausgeklügelter werden. Auf diese Weise wachsen die Risiken für die Wirtschaft. Voneinander abhängige Systemlandschaften, die sich kaum mehr überblicken lassen, begünstigen die Wahrscheinlichkeit für erfolgreiche Cyberangriffe, Datenlecks oder nicht autorisierte Zugriffe auf die Unternehmens-IT. Gleiches gilt für IT-Infrastrukturen, die sich aufgrund ihrer Komplexität kaum noch manuell verwalten lassen. Beispiel Password Policy Eine durch IT-Governance erlassene und im besten Fall mit durchgängig technischen Massnahmen durchgesetzte Passwort-Regelung sollte in jedem Unternehmen eingesetzt werden. Allerdings zeigt sich bei einer genaueren Betrachtung, dass eine unternehmensweit geltende Password Policy keineswegs eine Universallösung sein kann. Dies gilt insbesondere für unternehmenskritische Bereiche. Denn während in einigen nicht kritischen Teilen eines Unternehmens statische Policies ausreichen, müssen kritische Bereiche mit einem unterschiedlichen Schutzniveau klassifiziert werden. Letztlich sollte ein gelebtes Risikomanagement die Sicherheits-Policies eines Unternehmens gestalten und nicht umgekehrt. Neue Regeln fordern die IT-Abteilungen Regulierende Instanzen wie etwa Branchenverbände und Zulassungsbehörden haben die Sicherheitsrisiken bei Unternehmen und den damit erforderlichen, zusätzlichen Schutzbedarf erkannt. Einige von ihnen passten ihre Standards entsprechend an. Zu diesen Sicherheitsstandards zählt der Data Security Standard (DSS) der Payment Card Industry. Der PCI-DSS- Standard muss von Unternehmen umgesetzt werden, die Kreditkartendaten speichern, verarbeiten oder übertragen. Dies können unter anderem Handelsketten, verarbeitende Betriebe oder Serviceprovider sein. Ab 2018 verpflichtet der PCI-DSS-Standard in seiner aktuellen Fassung (Version 3.2, April 2016) Unternehmen dazu, den administrativen Zugriff auf die sogenannte «Cardholder Data Environment» (CDE) nur mit einer Multi-Faktor- Authentifizierung zu erlauben. Der Standard schreibt für Anwender mit administrativen Rechten neben der Authentifizierung mittels Passwort eingabe einen zusätzlichen Authentifizierungsfaktor vor. Dieser muss sich in seiner Art von der Natur eines Passworts klar unterscheiden. Dieser zusätzliche Authentifizierungsfaktor kann zum Beispiel ein sogenannter Soft-Token oder eine Smartcard sein. Auch biometrische Systeme für die Authentifizierung können genutzt werden. Hierzu zählen etwa individuelle biometrische Merkmale von Anwendern, wie der Fingerabdruck, das Stimmmuster oder der Iris-Scan. 02 / 2017 www.netzwoche.ch © netzmedien ag

Focus Security 31 Privacy im Web 3.0: Leben im Glashaus? Die digitale Welt bietet uns viel Komfort. Dabei geben wir aber viel von uns preis. Privatsphäre, früher so selbstverständlich wie heute die omnipräsente Vernetzung, geht in aller Stille flöten. Sie wird damit zunehmend zum knappen Gut. Jeder kennt es: Man will sich auf einer Website registrieren. Das Passwort soll sicher und einzigartig sein, soll aber nirgends abgespeichert werden. Da ist es praktisch, wenn für die verschiedenen Websites stattdessen ein Social Login wie «Facebook Login» oder «Google Sign-In» genutzt werden kann. Dieses zentrale Login lässt sich zudem absichern, etwa durch eine Zwei-Faktor-Authentisierung oder risikobasierte Sicherheitsmassnahmen bei ungewöhnlichem Nutzerverhalten. Handy oder Peer-to-Peer-Überweisungen in Echtzeit kann man dabei von Sicherheitsfeatures wie dem Fingerabdrucksensor zur Zahlungsfreigabe profitieren, oder es werden alte Sicherheitsprobleme gelöst: So lassen sich Kreditkartendaten bei Apple Pay nicht mehr wie bei klassischen Magnetstreifenkarten kopieren und klonen. Dafür ist oft nicht klar: Wer hat nun genau Zugriff auf welche Daten? Werden diese nur für die Zahlungsvorgänge genutzt oder etwa auch für Profilbildung und Marketing oder die Forschung? DER AUTOR Thomas Zweifel Principal IT Consultant, Adnovum Alles hat seinen Preis Die Nutzung des Social Login ist für den Benutzer an sich kostenlos, doch bezahlt er mit seinen Profil- und Nutzungsdaten. An diesen Daten sind auch die Anbieter der Websites interessiert, die der Nutzer mittels Social Login nutzt. Zwar kann er die Weitergabe von Daten wie Profilbild, Alter und Freundesliste an Website-Anbieter mittlerweile steuern. Die Sammlung von Nutzungsdaten ist jedoch umfassend möglich. Diese geschieht teilweise auch im Sinne des Endkunden, etwa wenn sie hilft, mit Behaviour Analytics ungewöhnliches Verhalten zu erkennen und dadurch den missbräuchlichen Zugriff auf einen Account zu verhindern. Security und Privacy sind auch beim Mobile Payment ein Thema. Neben dem Komfort des Bezahlens mit dem Fitnesstracker – seinen Daten hinterherrennen? Auch das kleine Helferlein am Handgelenk erfasst Daten, misst Bewegung und Position, Herzfrequenz und sportliche Leistungen. Das hilft uns beim Erreichen der gesetzten Ziele. Werden über Apps weitere Details wie Schlaf oder Ernährung eingepflegt, mausert sich das Gerät bald zum unverzichtbaren Personal Trainer. Aufgrund der Korrelation von Daten bietet es aber auch jedem, der Zugriff auf die Daten hat, ein sehr umfassendes Bild des Endnutzers. Der Endnutzer sollte sich also immer fragen, wem er seine Daten anvertraut, wem diese gehören, wie sie geschützt werden müssen und wer sie nutzen und korrelieren darf. Es gilt, sich selbst zu informieren und Verantwortung zu übernehmen, insbesondere in dynamischen Bereichen, in denen die Gesetzgeber nicht Schritt halten können. Diese sind jedoch nicht untätig. Ab Mai 2018 gilt EU-weit die EU-Datenschutz-Grundverordnung (EU-DSGVO), die Endnutzern wie auch Unternehmen klarere Rechte und Pflichten zugesteht. Die Schweiz wird sich bei der aktuellen Revision des Datenschutzgesetzes wohl zugunsten der Kompatibilität daran anlehnen. Bild: Fotolia Security bedeutet nicht automatisch Privacy Unternehmen sollten frühzeitig abschätzen, welche Möglichkeiten und Risiken daraus für sie entstehen. Die Frage, auf welche Technologien sie setzen, in welche Abhängigkeiten sie sich begeben, welche regulatorischen Auflagen sie zu beachten haben und welche Reputationsrisiken sie dabei eingehen, stellt sich ihnen ohnehin. Sie können dem Endkunden entgegenkommen, indem sie ihre Leistungen und Qualitätslevels auch hinsichtlich Privacy klar deklarieren. Insbesondere Schweizer Unternehmen können dabei neben der Swissness, der Qualität und der Sicherheit auch mit Privacy werben. Denn was bringt dem Kunden eine sichere Lösung, wenn seine Privatsphäre nicht mehr geschützt ist und er als Konsument im Glashaus präsentiert wird? www.netzwoche.ch © netzmedien ag 02 / 2017

Archiv