IT-Sicherheit ganzheitlich denken: mit Kompetenz-Pools

Veröffentlicht am: 03.Dez.2018

  • Cyberkriminelle werden immer professioneller.
  • Fehlverhalten der Anwender geschieht häufig aus Leichtsinn und nicht vorsätzlich.
  • ISMS setzt die IT-Security organisiert und strukturiert um.
  • IT-Sicherheit benötigt ganzheitliche Herangehensweise.
  • Konsequenz für den Channel: noch enger zusammenarbeiten und externe Partner mit ‚ins Boot holen’.

Lesedauer: 5 Minuten

Cyberrisiken werden immer komplexer und vielschichtiger. Wichtig sind deshalb IT-Sicherheitskonzepte, die technische und organisatorische Maßnahmen zum Nutzen des Kunden optimal aufeinander abstimmen. Dies zeigten die Vorträge und Diskussionen auf dem TrendUp ‚Security’ von Tech Data.

„Die Herangehensweise an die IT-Sicherheit muss sich fundamental ändern.“ Mit dieser Feststellung eröffneten Siegfried Markiefka und Patrick Olschewski, Business Development Manager bei Tech Data das TrendUp ‚Security’, ein neues Veranstaltungsformat des IT-Distributors für seine Partner. 22 Berater, Systemhaus-Betreiber und Managed Service Provider trafen sich Ende Oktober in der ‚Villa im Tal’ in Wiesbaden, um sich über aktuelle Trends und Entwicklungen rund um das Thema ‚IT-Sicherheit’ zu informieren.

Die Professionalität steigt

„Es ist nicht mehr die Frage, ob man Opfer eines Cyberangriffs wird, sondern nur noch wann“, brachte Carsten Dietrich, Program Director der IBM X-Force Threat Intelligence, die angespannte Sicherheitslage auf den Punkt. In seinem Vortrag „Den Trends auf der Spur“ berichtete er über die aktuellen Bedrohungen. Das IBM X-Force Forschungs- und Entwicklungsteam analysiert permanent die sich schnell verändernde Angriffslandschaft.

Ein wichtiger Trend sei die zunehmende Professionalität der Cyberkriminellen. Als typisches Beispiel nannte Dietrich die steigende Anzahl an sogenannten „Advanced Persistent Threads“. Bei dieser Methode verschaffen sich die Angreifer einen dauerhaften Zugriff auf die IT-Ressourcen. Das setzt in der Regel ein hohes technisches Know-how voraus. Dietrich: „Es dauert durchschnittlich vier Monate, bis Cyberattacken von den Unternehmen entdeckt werden. Und es gibt genügend Fälle, in denen Angreifer unerkannt über Jahre hinweg wichtige Informationen und Daten stehlen konnten.“

Leichtsinn und Unwissenheit bleiben

Ein hoher Risikofaktor ist weiterhin der Anwender. „Das Hauptproblem sind nicht vorsätzliche Aktivitäten, die das Unternehmen schädigen sollen. Vielmehr resultiert ein Großteil des Fehlverhaltens aus Unwissenheit und Leichtsinn“, betont Dietrich. Typisch dafür ist die falsche Konfiguration in Public Cloud-Diensten, sodass die dort abgelegten Inhalte öffentlich für Jedermann zugänglich sind. Besorgniserregend sei zudem, dass viele IT-Systeme nicht gepatcht sind und dadurch viele Sicherheitslücken ohne Not fortbestehen.

Wie einfach Cyberkriminelle auf sensible Informationen und vernetzte Systeme zugreifen können, demonstrierte Michael Sommer von der Seven Principles AG in einer Live-Hacking-Session. Im Internet sind viele ungeschützte Passwortlisten oder Webcams zu finden. Mit wenigen Klicks erhielt Michael Sommer Zugang auf ein offenes ‚Smart Home System’ mit Lautsprechern, PCs, Videokameras und elektrischen Fensterläden und konnte dort entsprechende Einstellungen und Parameter ändern.

Der fehlende Schutz von IoT-Geräten ist aber nicht nur im Privatbereich, sondern auch im geschäftlichen Umfeld zu beobachten. So werden immer wieder industrielle Steuerungssysteme entdeckt, die frei über das Internet erreichbar sind. „Jede IP-Adresse ist ein mögliches Einfallstor – und ausnahmelos jeder Mitarbeiter ein potenzielles Angriffsziel“, erklärt Sommer.

IT-Security organisatorisch verankern

Die technische Sicherheit von IT-Systemen muss deshalb um organisatorische und personelle Aspekte erweitert werden. Zentrales Werkzeug dafür ist ein Managementsystem für Informationssicherheit (ISMS) nach der internationalen Norm ISO/IEC 27001. Dr. Joachim Müller, Head of Security & CISO bei der Seven Principles AG, berichtete über seine Erfahrungen als Auditor in ISMS-Zertifizierungsverfahren am Beispiel des Energiesektors. Zunächst räumte er mit einem Missverständnis auf: „Bei einem ISMS handelt es sich nicht um eine Software, sondern um ein Steuerungsinstrument für Führungskräfte. Grundlage sind definierte, dokumentierte und gelebte Unternehmensprozesse.“ Dieser prozessorientierte Ansatz weist den Weg zur IT-Sicherheit.

In seinem Vortrag gab Müller viele wertvolle Praxistipps und Hinweise für den Aufbau und das anschließende Audit eines ISMS: „Ein zertifiziertes ISMS reduziert die Risiken von Cyberangriffen. Indem proaktiv festgelegte Vorgehensweisen und Maßnahmen definiert und implementiert sind, ist das Unternehmen in der Lage, organisiert und strukturiert vorzugehen.“ Mit diesem Ansatz lässt sich ein ISMS auch für die Vorgaben der Datenschutz-Grundverordnung (DSGVO) nutzen.

Nur gemeinsam ist Security möglich

In der anschließenden Diskussion waren sich alle Teilnehmer einig: Einzelmaßnahmen und Standard-Lösungen reichen nicht mehr aus. Vielmehr ist eine ganzheitliche Security-Herangehensweise gefragt.

Für Systemhäuser, Integratoren und Berater bedeutet dies, noch stärker als bisher zusammenarbeiten. „IT-Sicherheit ist ein strategisches Thema, das von einem Akteur nicht mehr alleine bewältigt werden kann“, bestätigt Patrick Olschewski, Business Development Manager von Tech Data. Interessant sind Kompetenz-Pools, in denen das Know-how der Mitglieder rund um das Thema ‚Security’ gebündelt wird. Die Kunden erhalten Gesamtlösungen, die auf ihre individuellen Anforderungen zugeschnitten sind und Maßnahmen enthalten, mit denen sich Cyberangriffe vorbeugen, aufdecken und bekämpfen lassen.

In diesem Zusammenhang machte Dirk Bastian, Senior Account Manager der TÜV Trust IT GmbH, dem Channel ein interessantes Angebot. Der IT-Dienstleister der Unternehmensgruppe TÜV Austria deckt die unterschiedlichsten Themenfelder der IT-Sicherheit ab, darunter Cloud Security, IoT und Security-Architektur, aber auch Compliance-Anforderungen für den Datenschutz (DSGVO) und die Informationssicherheit (ISMS). Die Dienstleistungen reichen von Beratung über GAP-Analysen bis hin zu Trusted IoT- und ISMS-Zertifizierungen.

„Die Leistungen der TÜV Trust IT können direkt von uns angeboten werden – oder wir treten als Subunternehmer des Partners auf“, erläuterte Bastian. Stellvertretend für die Reaktion des anwesenden Channels meinte eine Teilnehmerin: „Das Angebot der TÜV Trust IT ist eine wichtige Botschaft für uns. So können wir Beratungs-Expertise mit ins Boot holen, bleiben aber beim Kunden erster Ansprechpartner.“

TrendUps: Für den Channel konzipiert

Der TrendUp Security war die erste Veranstaltung eines neuen Event-Formats für die Partner der Tech Data. Stephanie Thellmann, Channel Marketing Managerin: „Mit den TrendUps wollen wir über Themen informieren, die die Investitionen von morgen bestimmen. Unsere Partner sollen Informationen erhalten, die sie in der Praxis anwenden können und die ihren Vertrieb unterstützen. Wichtig ist uns zudem der Networking-Gedanke.“

Die Resonanz der Besucher war durchweg positiv. „Die Veranstaltung bot eine persönliche Atmosphäre, die einen offenen Dialog und gezieltes Netzwerken ermöglichte“, so eine Teilnehmerstimme. Gelobt wurden auch die strikt hersteller-neutralen Inhalte sowie die ausgewählten Themen und Trends. Bei der anschließenden Weinprobe und dem gemeinsamen Abendessen ließ sich der Eindruck gewinnen, dass sich hier eine ‚Security-Familie’ gesucht und gefunden hat – eine Familie, die aber immer offen für andere Mitglieder ist.

Weitere TrendUp-Veranstaltungen hat Tech Data bereits für das nächste Jahr geplant, darunter auch eine Fortführung des TrendUp ‚Security’.

Stephanie Thellmann

Stephanie Thellmann ist als Senior Marketing Manager für das IBM Software Marketing sowie für herstellerübergreifende Marketing-Projekte von Tech Data Advanced Solutions verantwortlich. Sie unterstützt Business Partner darüber hinaus im Rahmen der Initiative Marketing-as-a-Service bei ihren Marketing-Maßnahmen.

Schreiben Sie einen Kommentar