Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unseren DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.
  • Weitere Kompetenzen

Die Komplexität der IT – Security

Der Komplex IT-Security ist mit den Wertschöpfungsketten Strategie, Implementierung und Services keinesfalls komplett abgebildet. Darüber hinaus gibt es eine ganze Reihe Themen, die für sich selber abgegrenzte und größtenteils komplexe Problemstellungen darstellen. Auch dafür möchten wir Ihnen natürlich unsere Unterstützung anbieten und halten passende Leistungsbausteine parat.

Multi-Factor Authentication

Aus Sicht der IT-Security dient die Multi-Faktor-Authentisierung dazu, die Sicherheit zu erhöhen, dass die Kombination aus Identität und Account eine genehmigte und sinnvolle ist. Für die Prüfung der Identität einer Person kann die IT-Sicherheit durch eine Kombination verschiedener Authentifizierungsansätze eingesetzt werden. Theoretisch kann die Zahl der Faktoren beliebig groß gewählt werden, praktisch im Einsatz ist aber im Wesentlichen die Zwei-Faktor-Authentifizierung. Bsp.: Smartcard und PIN, womit Besitz und Wissen miteinander kombiniert werden. Es existieren verschiedenen Varianten:

Manuelle Zwei-Faktor Authentifizierung

Hierbei wird die Kombination aus einem dem Nutzer bekannten Passwort und einer zusätzlichen Komponente gewählt, welche dem Nutzer zugänglich ist. Dies können sein Token oder Softtoken, eben Methoden welche einen Output generieren, den der Nutzer manuell einträgt. Um bei einem Diebstahl noch mehr Sicherheit zu gewährleisten, kann der zweite Faktor mit einer Eingabe von Daten kombiniert werden, welche nur dem Nutzer bekannt sind.

Teilautomatisierte Zwei-Faktor Authentifizierung

Hierbei wird die Kombination aus einem dem Nutzer bekannten Passwort und einer zusätzlichen Komponente gewählt, welche dem Nutzer zugänglich ist. Dies können NFC, RFID etc. gestützte Dinge sein, welche den manuellen Transfer der Daten nicht mehr nötig und möglich macht. Um bei einem Diebstahl ein noch größeres Maß an Sicherheit zu gewährleisten, kann auch hier der zweite Faktor mit einer Eingabe von Daten kombiniert werden, welche nur dem Nutzer selbst bekannt sind.

Voll automatisierte Zwei-Faktor Authentifizierung

Diese Variante wird durch die Verwendung von Bluetooth gestützten Picozellen erreicht. Hierbei wird ein vorher als trusted an zu erkennendes mobile device definiert, welches dann den zweiten Faktor voll automatisiert übernimmt. Auch hier kann, wie bereits bei den vorherigen angeführten Verfahren, eine zusätzliche Eingabe von Daten erfolgen, wird nach Industriestandard dann aber nicht mehr als voll automatisiert angesehen. 

B2C (Business to Customer)

Damit bezeichnet man Kundenzugänge zu den Systemen eines Unternehmens. Diese Gruppe hat die Besonderheit, dass sie sehr zahlreich ist, grundsätzlich dezentral, dass sie auf der anderen Seite aber nur sehr flache Berechtigungen hat. Es können nur wenige Daten gepflegt werden (meistens spezifische Kundenstamm- oder Vertragsdaten, auch Anträge) und nur sehr spezielle Daten eingesehen werden. Sofern die Kunden nicht aus einem zentralen CRM-System kommen, sondern aus verschiedenen dezentralen Quellen, ist organisatorisch dafür Sorge zu tragen, dass auch sie der Anforderung der eindeutigen Identifizierung genügen.  

SOC / SIEM (Security Operation Center (Security Information and Event Management)

Hierbei handelt es sich um einen relativ neuen und prosperierenden Teil der Themenpalette. Ein Security Operation Center hat die Aufgabe, alle Sicherheits-relevanten Ereignisse zentral darzustellen und die Reaktionen zu koordinieren. Hierin ist es vergleichbar mit dem allgemeinen Betriebs-Monitoring. Unter SIEM fasst man die Auswertung der verfügbaren Log-Daten zusammen, natürlich ein Schlüsselelement zur Erkennung von Events.  

PKI (Private Key Infrastructure)

Der Aufbau einer PKI ist organisatorisch aufwendig, es ist also eine legitime Frage, wozu sie benötigt wird. Sie kommt an folgenden Stellen zum Einsatz: Für die Verschlüsselung von Daten werden Public und Private Keys benötigt - die Sicherheit von Krypto-Systemen beruht im Wesentlichen auf der sicheren Verwaltung des geheimen Schlüssels.  Auch der Bedarf an digitalen Signaturen wird steigen, denn es lassen sich damit etliche Vorgänge stark vereinfachen zu nennen ist auch die Verschlüsselung von E-Mails und anderen Austauschformaten. 

  PAM (Privileged Account Management)

Eine Sonderrolle im Bereich des IAM, aber eine aus IT-Security Sicht wichtige, nimmt das PAM-Management ein. Das hat mehrere Gründe, zum einen gelten für die Anlage und Genehmigung von PAM-Accounts eigene Regeln Für Verwaltung, Protokollierung und Monitoring gelten ebenfalls erweiterte Anforderungen. Standard-IAM-Tools bieten deshalb in ihrem Standard PAM nicht an, haben aber Schnittstellen zu spezialisierten PAM-Tools. Ursache dieser Sonderbehandlung ist natürlich, dass PAM’s sehr weitreichende Berechtigungen und damit Handlungsmöglichkeiten im System haben. Das macht sie aus IT-Security-Sicht zu einem kritischen Objekt. Im Markt hat ein Wandel stattgefunden, weg von der Auffassung, PAM nur als besonderen Teil von IAM (Identity Access Management) zu betrachten, hin zu einer autarken Lösungslandschaft, welche sich aber nahtlos in die IAM-Welt integrieren lässt. Hierzu ist mehr nötig, als nur einen „privilegierten Account“ zu verwalten, sondern es gilt, auch die komplette Wertschöpfungskette des „privilegierten Access“ zu betrachten.

IAM (Identity and Access Management)

Die Grundlage der Identitäts- und Zugriffsverwaltung, viele setzen IAM mit IT-Security gleich. Das ist aber ein Missverständnis. Im IAM werden die Verwaltung von Identitäten und Zugriffsrechten in Form von sog. „Life-Cycles“ geregelt und nachvollziehbar gemacht. Dies wird heutzutage fast ausschließlich über mächtige Standard-Tools abgebildet, deren Integration in die IT-Landschaft und Anpassung an die lokalen Verhältnisse nicht zu unterschätzen ist.  

B2B (Business to Business)

Diese Gruppe gehört streng genommen zur Gruppe der externen user, hat aber die Besonderheit, dass evtl. komplette Funktions- oder Organisationsteile an feste Lieferanten oder Business Partner ausgelagert sind. Beispiele sind evtl. outgesourcte Services wie Massendruck, Briefversand, Datenträgeraustausch, Rechnungs- und Mahnwesen etc. Lieferanten werden für die von ihnen verantworteten Areale wie interne user behandelt. Für alle Business-Partner gilt, dass sie nicht zur direkten Organisations-Hierarchie gehören, daher ist bei Anträgen und Genehmigungen ein spezielles Regelwerk notwendig. Üblich ist auch eine Ausschlussliste, in der vermerkt ist, welche Tätigkeiten und Berechtigungen in diesen Fällen nicht vergeben werden dürfen. Üblicherweise erhält der Lieferant bzw. Business-Partner einen internen Betreuer, der die Funktion in der internen Hierarchie für ihn wahrnimmt.  

SOA (Service oriented Architecture)

Diese Thematik gehört streng genommen zur Application-Security, hat aber einige Besonderheiten, welche sie für die IT-Security relevant macht. Die Übernahme von Arbeitsschritten durch automatisierte Services, welche auch untereinander kommunizieren, wirft komplizierte Probleme der Autorisierung und Nachverfolgung auf. Wir empfehlen dringend, jede SOA-Architektur bzw. jedes SOA-Projekt einer IT-Security Prüfung zu unterziehen.  

Hybrid-IT

IT-Security Architekturen müssen in der Lage sein, auch die zukünftigen Entwicklungen der IT sicherheitstechnisch unter Kontrolle zu halten. Doch welche sind das? Sicher ist, dass sich die Anzahl der Technologien und Plattformen weiter erhöhen wird und – entgegen der verbreiteten Standard-Meinung – nicht die eine Technologie ganz einfach ihren Vorgänger ablöst. Sondern einen Modus Vivendi für ein Zusammenleben erfordert. Daraus resultiert eine ganze Palette von sicherheitsrelevanten Fragen, welche in einer IT-Security Strategie zu beantworten sind.    

Run-Time Authorisation

Hier wird die Fragestellung behandelt, wie ein Benutzer oder Service, der sich vernetzt im System bewegt, zur Laufzeit die Autorisierung für die jeweilige Zielapplikation erhalten kann. Dies erfordert eine eigene Architektur, welche eng mit dem IAM-Management verzahnt sein muss.  

First Line Security

 Dies ist, wie der Name schon sagt, die erste Abfanglinie für potenzielle Bedrohungen. Dazu gehören Standards wie Viren- und Mustererkennungen, aber in modernen Varianten auch lernfähige Programme, welche Signaturen und sonstige Auffälligkeiten erkennen können.  

Data Analytics

Daten werden überall in der IT analysiert, insofern ist dies kein Spezialgebiet der IT-Security, sie muss sich aber die Techniken der Datenanalyse zu Nutze machen, denn es gilt, insbesondere im Bereich der Log-Daten, große bis riesige Datenmengen in kurzer Zeit zu analysieren. Dies ist für die Recherche, für die Forensik, aber auch für die Mustererkennung und Signaturerkennung von großer Bedeutung. 

Automation

Im Sinne der IT-Security bedeutet Automation, dass Arbeitsschritte oder ganze Prozesse von automatischen Benutzern an Stelle von menschlichen Benutzern erledigt werden. An diese sind daher dieselben Sicherheitsanforderungen zu stellen. Dies erfordert einen eigenen Identitäts-Typus, eigene Beantragungs- und Genehmigungsprozesse sowie ein eigenes Controlling.