PDF-Download
Transcrição
PDF-Download
www.detecon-dmr.com Detecon Management Report DMR Security Sicherheit in Unternehmen erhöhen We make ICT strategies work Inhalt Sicherheit und Effizienz – Einklang oder Widerspruch? 2 Informationssicherheitsmanagementssysteme – Hohe Priorität in Informations- und netzwerkbasierten Geschäftsprozessen 4 Smart und sicher wachsen – Mobilitätslösungen als Baustein des Informationssicherheitskonzepts 6 Exkurs: Vom Umgang mit der Schatten-IT – Chancen und Risiken 10 Business Continuity Management – Vorbereitung ist (mehr als) die halbe Miete 16 Bezahlen mit dem Mobiltelefon – Wie sicher ist die digitale Geldbörse? 20 Praxisbeispiel: SAP Security Framework – Sicherheit muss gelebt werden 26 8. Detecon Statements 28 1 DMR Impulse • Security • 2014 Sicherheit und Effizienz – Einklang oder Widerspruch? Die jüngsten Ereignisse um Prism und die Spionage aktivitäten der NSA zeigen, welche weitreichenden Folgen die digitale Kommunikation haben kann. Ein Aspekt, der infolge der Veröffentlichung geheimer Dokumente zwangsläufig viele Unternehmen beschäftigt, ist die Frage nach der Sicherheit ihrer Daten. Die Anzahl möglicher Bedrohungsszenarien für Unternehmen nimmt durch den technologischen Fortschritt und die stärkere länderübergreifende Vernetzung zu. Unternehmen ohne angemessene Sicherheitsvorkehrungen sind diesen schutzlos ausgeliefert. Die potenziellen Bedrohungsszenarien sind vielfältig und reichen von Vireninfektionen und Softwarefehlern über menschliches Fehlverhalten – sei dies aus Unachtsamkeit oder Vorsatz – bis hin zu Unglücken und Naturkatastrophen. Stehen die Kosten von Sicherheitsmaßnahmen im Verhältnis zum Nutzen oder sind diese unverhältnismäßig teuer? Diese und weitere Fragen stellen sich viele Unternehmer, Geschäftsführer und Mitarbeiter im Hinblick auf die unterschiedlichen Herausforderungen, denen sie in einer digital und global aufgestellten Wirtschaft gegenüberstehen. Zugang zu Daten und Schutzbedarf von Informationen klären Sicherheit fängt bereits mit dem Zugang zu Daten an und muss einen ausreichenden physikalischen Schutz gewährleisten können. Das sicherste IT-System kann Informationen vor dem Zugriff Dritter nicht schützen, wenn diese mehr oder weniger öffentlich einsehbar sind. Ein naheliegendes Beispiel betrifft die oft erstaunlich einfachen Zutrittsmöglichkeiten von nicht autorisierten Personen zu Arbeitsräumen, in denen sensible Daten ausgedruckt auf dem Tisch liegen. Zutrittsmanagementsysteme müssen mehreren Anforderungen eines Unternehmens gerecht werden und spielen eine grundlegende Rolle hinsichtlich des Verhaltens von Mitarbeitern. Je nach Umfang und Komplexität kann das System dem Mitarbeiter gewisse Grenzen aufzeigen und ihn in einem positiven Sinne schulen. Im Gegensatz dazu sorgen komplexe, parallele Zutrittsmanagementsysteme wie beispielsweise mehrere Zutrittskarten, verschiedene Schlüssel oder Ausweise für Frustration und gegebenenfalls sogar für Widerstand seitens der Mitarbeiter. Facility Management konzentriert sich maßgeblich auf die Ver- 2 DMR Impulse • Security • 2014 waltung und Bewirtschaftung von Gebäuden. Dabei gilt es, sämtliche Prozesse um und innerhalb von Anlagen zu optimieren und Sparpotenziale freizusetzen. Ein modernes Facility Management muss zwingend die Sicherheit und den Zugang einfach und praxistauglich gestalten. Unter Einhaltung der geforderten Sicherheitsklasse gilt es, ein angemessenes Maß an Zugangsmöglichkeiten zu Daten, Arbeitsräumen, aber auch öffentlichen Gebäuden herzustellen. Ein weiterer wichtiger Aspekt ist die Festlegung des Schutzbedarfs von Informationen. In jedem Unternehmen gibt es schutzbedürftige Daten, seien es Finanzzahlen, Betriebsgeheimnisse oder Kundendaten. Dennoch werden Dokumente häufig nicht klassifiziert. Dies kann zur Folge haben, dass Daten, die für den rein internen Gebrauch bestimmt sind, auch an Externe gelangen, weil der herausgebenden Person nicht klar ist, dass das Dokument nur für den internen Gebrauch bestimmt ist. Definiert nun jede Abteilung ihre eigenen Schutzklassen, bedeutet dies einerseits einen hohen Aufwand und birgt andererseits die Gefahr, dass unterschiedliche Klassifikationen angewendet werden, was bei den Mitarbeitern wiederum zu Verwirrung führen kann. Business Continuity Management agiert proaktiv Auch ein professionelles Business Continuity Management (BCM), welches proaktiv agiert, um vor, während und nach einer Katastrophe die Fortführung der Geschäftstätigkeit sicherzustellen, gehört zu den essenziellen Sicherheitsmaßnahmen eines Unternehmens. Als Grundlage dafür dient der Sicherheitsabteilung die Analyse der Geschäftsprozesse und Risiken, die von besonderer Bedeutung für das Fortbestehen des Gesamtunternehmens sind. Als Folge dessen werden Maßnahmen zur Risikominimierung und zur Gewährleistung des schnellen Wiederanlaufs von kundenrelevanten Prozessen und Dienstleistungen erarbeitet. Parallel dazu beschäftigt sich auch die Finanzabteilung mit den Unternehmensrisiken, wobei hier der Schwerpunkt meist auf der Minimierung derjenigen Risiken liegt, welche direkte finanzielle Auswirkungen haben. Diese zwei unterschiedlichen Herangehensweisen – einmal mit Blick auf die Fortführung oder Wiederherstellung der Kerngeschäftsprozesse, einmal mit Fokus auf die Minimierung von negativen finanziellen Einflüssen werden meist in separaten Risikolisten geführt, welchen unterschiedliche Bewertungskriterien zugrunde liegen. Aufgrund der unterschiedlichen Ansätze werden die Listen meist auch separat betrachtet, was einerseits zu einem unklaren Risikobild im Unternehmen führt, andererseits dazu, dass Risiken mehrfach betrachtet und gegebenenfalls auch mehrere Maßnahmen zur Verminderung desselben Risikos getroffen werden. Bei der Planung, Durchführung und Kontrolle von Sicherheitsmechanismen kann ein Unternehmen nicht nur auf Einzelmaßnahmen setzen. Es bedarf unterschiedlicher Sicherheitsmaßnahmen auf verschiedenen Ebenen. Unabhängig voneinander geplante Sicherheitsmaßnahmen sind gegebenenfalls nicht nur redundant, sondern können sich gegenseitig blockieren und höhere Kosten verursachen. Mit Hilfe einer Priorisierung, basierend auf den realen Gegebenheiten des Unternehmens und dessen Anforderungen, können deutliche Einsparungspotenziale freigesetzt werden. Umfassendes Informationssicherheitsmanagementsystem beugt Sicherheitsvorfällen vor Ein unternehmensübergreifend abgestimmtes und proaktives Vorgehen verhindert Sicherheitsvorfälle und reduziert Risiken für die Geschäftsprozesse. Insbesondere im Fall von erkannten Sicherheitslücken ist ein einheitliches und abgestimmtes Vorgehen aller beteiligten Personen und Organisationseinheiten ausschlaggebend, um einem Vorfall vorzubeugen. Ein Informationssicherheitsmanagementsystem (ISMS) ist ein umfassendes System zur Identifizierung, Beurteilung und Handhabung von Risiken und umfasst Techniken, Richtlinien und praxisnahe Anwendungslösungen. Die Anforderungen an ein ISMS werden im internationalen Standard ISO 27001 definiert. Der Standard enthält Informationen, welche Prozesse festzulegen sind und dokumentiert werden sollen sowie Handlungsanweisungen zur kontinuierlichen Optimierung des Informationssicherheitssystems und damit des Sicherheitsniveaus des Unternehmens. Das Zusammenspiel eines nachhaltigen ISMS mit der gesamten Governance-Struktur eines Unternehmens sollte deshalb im Fokus einer wertorientierten Unternehmenssteuerung stehen. Das Sicherheitsmanagement muss sich an den Unternehmenszielen orientieren, muss deren Erreichung unterstützen und darf nicht zum Selbstzweck werden. Nur so wird man auf Gehör und schließlich auf Akzeptanz der Geschäftsführung und der Mitarbeiter stoßen. Das reibungslose Zusammenspiel von Unternehmenszielen und der Informationssicherheitspolitik sowie den damit verbundenen Maßnahmen bietet der Geschäftsführung ein wertvolles Instrument zur Verhinderung von Sicherheitsvorfällen. Zudem schafft die klare Definition und Kommunikation der Sicherheitsziele durch das Management die notwendige Verbindlichkeit. Höheres Sicherheitsniveau bei gleichzeitiger Freisetzung von Einsparungspotenzialen Erfolgreiche Umsetzung von Informationssicherheitsmaßnahmen heißt, diese unternehmensübergreifend umzusetzen. Die Implementierung eines ISMS verfolgt einerseits einen sogenannten Standard-basierten Ansatz, andererseits wird das aktuelle Sicherheitsniveau betrachtet und darauf aufgebaut. Die Vorgabe der Norm stellt sicher, dass sämtliche Unternehmensbereiche und regulatorischen Anforderungen betrachtet werden. Daneben berücksichtigt ein ISMS stets die unternehmensspezifischen Gegebenheiten und setzt auf den bereits implementierten Prozessen und Maßnahmen auf. So ist insbesondere das vom Unternehmen angestrebte Sicherheitsniveau ausschlaggebend für die Wahl der zu implementierenden Sicherheitsmaßnahmen. Das Einbeziehen der bereits gelebten Prozesse und Maßnahmen vermeidet Redundanzen und senkt darüber hinaus Kosten. Dieses Vorgehen ermöglicht somit einen effektiven Ansatz, um ein möglichst hohes Sicherheitsniveau durch Priorisierung von Sicherheitsrisiken, angepasst an die unternehmenspezifische Situation, durchzuführen und über einen geregelten Prozess immer wieder auf den Prüfstand zu stellen. Denn auch die besten Maßnahmen sind nur so lange effektiv, wie sie umgesetzt und in einem Unternehmen von allen Mitarbeitern gelebt werden. 3 DMR Impulse • Security • 2014 Informationssicherheitsmanagementsysteme – Hohe Priorität in Informations- und netzwerkbasierten Geschäftsprozessen Informationssicherheit hat eine neue Brisanz erlangt. Gleichwohl ist das Thema alles andere als neu. Dr. Thomas Gigerl, Leiter der Abteilung Business Continuity Management des ERGO-Konzerns und dort bis Mitte 2013 auch als CISO tätig, begründet die neue Priorität der Informationssicherheitsmanagementsysteme (ISMS). DMR: Herr Dr. Gigerl, ist es für Unternehmen heute wichtiger als früher, das Thema Informationssicherheitsmanagement im Unternehmen zu positionieren? DMR: Welche Gründe haben Sie dazu bewegt, die Informationssicherheit von der klassischen IT-Sicherheit zu lösen? Gigerl: Der Bedeutung des Schutzes ihrer Informationen ist für die Unternehmen in den letzten Jahren beständig gewachsen. Das hat mehrere Gründe. Besonders hervorheben möchte ich, dass die Geschäftsprozesse vieler Unternehmen vorrangig auf Informationen basieren und die Wertschöpfung in den Unternehmen auf Informa tionsverarbeitung beruht. Deswegen benötigt man die Informationssicherheit als ein Attribut von Informa tionen und damit als Teil der Governance des Unternehmens. Gleichzeitig lösen sich die Grenzen von Unternehmen mehr und mehr auf, zum Beispiel Integration von externen Parteien in interne Geschäftsprozesse – B2B. Schließlich führt dies zu einer zunehmend verteilten und sehr oft auch global integrierenden Sicht auf Informationen und ihrer Verarbeitung, beispielsweise Personalabteilungen im Ausland und Kundenakquise über Helpdesks. Informationssicherheit betrifft den gesamten Lebens zyklus von Informationen. Die IT-Sicherheit beschreibt technische Vorgaben und operative Prozesse zum Schutz von Systemen. Die eher traditionell ausgerichtete IT- Sicherheit berücksichtigt besonders den Perimeterschutz, den Schutz von Endgeräten sowie die Kommunikationswege zwischen den Systemen beziehungsweise Partnern, aber nicht den Inhalt. Um die oben aufgeführten Ziele zu erreichen, muss der Schutz des Inhaltes der Informationen im Vordergrund stehen. Jedes Unternehmen muss genau wissen, welche Daten beziehungsweise Informationen vorhanden sind und wer die Verantwortung für diese hat. Nur der Eigentümer der Daten kann exakt einschätzen, welche Bedeutung die enthaltenen Informationen für das Unternehmen haben und was passiert, wenn die Informationen in falsche Hände geraten. Die Voraussetzungen zu einem wirksamen Schutz des geistigen Eigentums der Unternehmen zu schaffen, ist einer der Kernaufgaben der Geschäftsführung eines Unternehmen und eines der Hauptziele eines Informationssicherheitsmanagements. 4 DMR Impulse • Security • 2014 DMR: Muss aus Ihrer Sicht eine Mindestgröße gegeben sein, um ein Informationssicherheitsmanagementsystem einzuführen? Gigerl: Es ist keine Mindestgröße notwendig. Das TopManagement muss die Notwendigkeit erkannt haben, dass die Informationsverarbeitung das Rückgrat ihres Unternehmens ist und deswegen aus Selbstzweck des Unternehmens geschützt werden muss. DMR: Erwarten Sie aufgrund der aktuellen Enthüllungen im Umfeld internationaler Spionage Änderungen an den aktuellen Informationssicherheitsmanagement systemen? Gigerl: Die Enthüllungen rund um Spionagesoftwares wie zum Beispiel PRISM, Tempora, XKeyscore und FAIRVIEW sind eine hervorragende Awareness-Maßnahme für den Wert von Informationen für das eigene Unternehmen. Man erkennt an diesen Aktionen auch die Motive und die Beweggründe der Handelnden für den Versuch, unerlaubt Informationen zu erlangen. Den Aufwand, den staatliche Institutionen oder die organisierte Kriminalität betreiben müssen, um unerlaubt an Informationen zu gelangen, ist nur ein Bruchteil des Wertes, den diese Informationen beinhalten. Wir wissen seit vielen Jahren, dass staatliche Spionageaktivitäten mit Wirtschaftsspionage kombiniert werden. Die Schließung des Echelon-Standortes in Bad Aibling wurde nach starken Verdachtsmomenten hinsichtlich Wirtschaftsspionage gegen europäische Unternehmen durch den parlamentarischen Untersuchungsausschusses im Jahre 2004 veranlasst. Das die Spionageaktivitäten, auch die Wirtschaftsspionage, nicht nur weiter betrieben, sondern ständig weiter entwickelt werden, sollte nun jedem bewusst sein. DMR: Wenn Sie einem Kollegen drei Best-PracticeEmpfehlungen in Bezug auf Informationssicherheits managementsysteme geben sollten, welche wären das? Gigerl: Die erfolgreiche Einführung eines Informationssicherheitsmanagementsystems ist von vielen Faktoren abhängig, die Auswirkungen auf die Laufzeit, die Kosten und die eingesetzten Ressourcen haben. Von den vielen Faktoren ich würde sogar vier besonders hervorheben: Erstens sollten das Top-Management sowie interdisziplinäre Fachbereiche bei der Ausgestaltung des Informationssicherheitsmanagementsystems aktiv einbezogen werden. Zweitens sollten international anerkannte Standards als Referenz im Sinne einer Empfehlung betrachtet und auf die individuelle Situation der Firma angepasst werden. Drittens sind für global agierende Unternehmen lokale Regularien und Gesetze nicht zielführend, zum Beispiel sind Daten- und Patientenschutz sehr national geprägt. Und viertens sind risikobasierte Standards dynamischer als Asset-basierte Standards. Dieser Hase-und-Igel-Wettlauf wird immer weiter gehen und schneller werden. Um Betriebsblindheit zu vermeiden und auch auf die aktuellsten Bedrohungen reagieren zu können, ist teilweise eine Sicht von außen sinnvoll. 5 DMR Impulse • Security • 2014 Smart und sicher wachsen: Mobilitätslösungen als Baustein des Informationssicherheitskonzepts? Als Erster klopfte der CEO an die Tür der IT Abteilung und erkundigte sich nach der Möglichkeit, geschäftliche E-Mails auf seinem iPhone zu synchronisieren. Die Kollegen der IT-Sicherheitsabteilung lachten und wiesen auf die geltenden Sicherheitsrichtlinien hin. Als schließlich auch der CIO sein privates iPad einbinden wollte, musste der Sicherheitsbeauftragte dem Druck nachgeben und schaute mit ängstlicher Miene den Mitarbeitern der Teppichetage beim Gebrauch ihrer mobilen Geräte zu. Bereits wenige Jahre später hat sich die Situation grundlegend geändert: Neue technologische Lösungen auf dem Markt ermöglichen die effiziente und sichere Verwaltung von mobilen Geräten und deren Daten. Die IT-Sicherheitsabteilung hat ihren Fokus längst auf andere Herausforderungen gelegt. Ganz gleich, ob das Gerät dem Mitarbeiter gehört und für geschäftliche Zwecke verwendet wird oder das Gerät dem Unternehmen gehört und für die private Nutzung zugelassen wird – es gibt heute Lösungsansätze, welche die sichere Nutzung des firmenweiten Informationssystems ermöglichen. Die IT hat neue Wege gefunden, um mit den unterschiedlichen Besitzverhältnissen umzugehen. Die dazu notwendige Technologie, deren Einsatz vorher unsicher war, ist dank ihrer Weiterentwicklung zu einem bedeutenden Baustein des Informationssicherheitskonzepts im Unternehmen geworden. Diese Tatsache lässt sich gut am Beispiel eines Unternehmens zeigen, das stark auf Innovation setzt, denn hier hat Informationssicherheit höchste Priorität. Unternehmen investieren hohe Summen in die Entwicklung neuer Verfahren und Produkte. Sie unterliegen einem harten Wettbewerb, denn neue Produkte müssen schneller als 6 DMR Impulse • Security • 2014 die der Konkurrenz auf den Markt kommen. Um Ressourcen und Wissen nach Bedarf auf Schlüsselthemen einzusetzen, werden Projektteams aus internem Personal und externen Fachkräften schnell und gezielt auf- und wieder abgebaut. Ihre rasche Integration fordert vom Unternehmen und insbesondere von den Informationsmanagementsystemen hohe Flexibilität. Bei erhöhter Personalfluktuation im Unternehmen sowie beim Wechsel in eine andere Abteilung besteht zudem die Herausforderung, die Mitarbeiter schnell einzubinden und bei Bedarf die bestehenden Zugriffsrechte verlässlich anzupassen oder zu entziehen. Das Konzept des Informationsmanagementsystems (ISMS) mit den zugehörigen Prozessen und Infrastrukturelementen sorgt dafür, dass Informationen zum richtigen Zeitpunkt den richtigen Personen zur Verfügung stehen und dabei stets aktuell sind. Dies bildet einen Ausgangspunkt für diese Herausforderung, Sicherheitsanforderungen auch auf mobilen Endgeräten erfüllen zu können. Sicherheit ist ein wesentlicher Aspekt des Informationsmanagementsystems und muss während des gesamten Lebenszyklus der Information im Unternehmen berücksichtigt werden. Sicherheit wird im internationalen Standard ISO 27001 mit Integrität, Verfügbarkeit und Vertraulichkeit der Information über ihren gesamten Lebenszyklus charakterisiert. Der Lebenszyklus der Information wird in der Regel in fünf Phasen gegliedert. Das Informationssicherheitskonzept gewährleistet, dass internes Wissen dem Unternehmen erhalten bleibt (Verfügbarkeit), nach dem „Need to Know“-Prinzip verteilt wird (Vertraulichkeit) und um die neuesten Sachverhalte laufend aktualisiert wird (Integrität). 7 DMR Impulse • Security • 2014 8 2.Verwaltung: Die neuste Generation von mobilen Geräten und Mobile-Device-Management (MDM) -Lösungen bietet einen grundlegenden Schutz der Informationen im Unternehmen. Auf technischer Ebene basieren alle Ansätze auf einem MDM-Verwaltungsserver, der regelmäßig mit dem auf dem mobilen Gerät installierten Client kommuniziert, Policies hoch lädt und Informationen zur Konformität des Geräts abfragt. Maßgebend für den s icheren Verbindungsaufbau zwischen dem Unternehmen und dem mobilen Gerät ist die Einhaltung der unternehmensspezifischen Sicherheitsrichtlinien, die von der MDM-Lösung bei der Anmeldung des Geräts abgeglichen werden. Durchdachte Sicherheitsrichtlinien bauen einen Grundschutz entlang des Informationslebenszyklus auf. Für jede der folgenden Phasen werden nun Maßnahmen empfohlen, die zu diesem Grundschutz beitragen und damit aufzeigen, wie mobile Technologie die Sicherheit im Unternehmen verbessern kann. Die erfassten Daten werden zentral verwaltet. Dedizierte Informationssysteme ersetzen zunehmend die früher üblichen, papierhaften Aktensysteme. Die Automatisierung senkt die Fehlerquote, weil Daten vom Gerät automatisch kategorisiert, verarbeitet oder auf einen Server für eine rechenintensivere Bearbeitung und anschließende Aggregation weitergeleitet werden. Die Datenintegrität steht in dieser Phase im Vordergrund und wird von der MDM-Lösung sichergestellt. Die Verwendung einer Black-/Whiteliste verringert die Wahrscheinlichkeit, dass Schadsoftware auf dem mobilen Gerät installiert werden kann. Desweiteren hilft das sogenannte Sandboxing, die einzelnen Applikationen innerhalb des Geräts von einander abzuschirmen. Verschlüsselungs algorithmen in den Applikationen selbst sorgen für eine sichere Datenübertragung bis zur Firmeninfrastruktur. 1.Erfassung: 3.Speicherung: Mobile Geräte können Informationen unabhängig vom Aufenthaltsort in einem Informationssystem erfassen. Laptops haben bereits einen Schritt in diese Richtung ermöglicht, Smartphones eröffnen neue Möglichkeiten durch den Einsatz zusätzlich eingebetteter Datenquellen wie zum Beispiel GPS, Foto Apps und Bewegungssensoren. In dieser Phase hat die Datenintegrität Vorrang, Zugriffsberechtigungsrichtlinien auf Geräte- und Anwendungsebene stellen dies sicher. Die MDM-Lösung übernimmt die Verwaltung der Geräte und sorgt dafür, dass nur berechtigte und identifizierte Personen das Gerät bedienen dürfen. Konkret implementiert die MDMLösung Passwortrichtlinien und die Gerätesperrung bei Inaktivität. Weitere flankierende Maßnahmen wie Jailbreak oder Root Detektion und White-/Blacklisting erschweren die Installation möglicher Schadsoftware, die auf den Datenspeicher zugreifen könnte. Die konsolidierten Daten werden zentral gespeichert und abrufbereit gehalten. Da mobile Geräte nur über beschränkten Speicherplatz und limitierte Bandbreiten verfügen, wird eine zentrale Ablage notwendig, auf die mit einem mobilen Breitband-Anschluss (LTE, 3G) oder über das WLAN zugegriffen werden kann. Ein inhärenter Vorteil der zentralen Ablage ist die Ausfallsicherheit im Fall eines Geräteverlusts. Verfügbarkeit und Vertraulichkeit sind in diesem Kontext die relevanten Sicherheitsmerkmale. Die Verfügbarkeit ist vom Rechenzentrum sowie der Bandbreite des Anschlusses abhängig. In den Rechenzentren profitieren Unternehmen von professionell verwalteten Servern, die eine bis zu 99,999prozentige Verfügbarkeit aufweisen, im Vergleich zur geschätzten 85 Prozent Verfügbarkeit (20 Stunden Akkulaufzeit pro Tag) eines batteriebetriebenen Smartphones. Eine Datenverschlüsselung gewährleistet die Vertraulichkeit. Einige MDM-Lösungen unterstützen eine Public Key Infrastructure (PKI), Zertifikate sowie eine Zwei-FaktorAuthentifizierung, sodass nur berechtige User auf die Daten zugreifen können. DMR Impulse • Security • 2014 4.Prozessunterstützung: Daten und Informationen sollten stets so genutzt werden, dass dem Unternehmen und seinen Beschäftigten Mehrwert entsteht. Benutzergesteuerte Abfragen der Datenbanken werden durch mobile Applikationen durchgeführt, um relevante Daten als Entscheidungsgrundlage zu erhalten. Hier werden signifikante Produktivitätsgewinne erwartet, weil die Auswertungen automatisiert erfolgen. Durch die Standortunabhängigkeit der Abfrage und die gesicherte, digitale Verarbeitung bieten mobile Geräte einen großen Vorteil. Verfügbarkeit, Vertraulichkeit und Integrität sind hier besonders relevant, wobei die Datenverfügbarkeit, analog zur Speicherungsphase, vom Rechenzentrum und der Netzabdeckung abhängig ist. 5.Langzeitspeicherung: Der gut durchdachte Einsatz von MDM-Lösungen ermöglicht den sicheren Einsatz mobiler Geräte im Unternehmen. Die fünf Phasen des Informationslebenszyklus gewährleisen Integrität, Vertraulichkeit und Verfügbarkeit gewährleistet. Dafür sorgen unter anderem die zuverlässige Umsetzung von Passwortrichtlinien für die Zugangskontrolle, die Installation von Zertifikaten, aber auch die Auswahl eines passenden Betriebssystems für die mobilen Geräte und der geeigneten Netzwerkbetreiber. Für die IT- und IT-Sicherheitsabteilungen bedeuten diese Aufgaben zunächst Aufwand bei der Einführung der Lösung, der sich aber innerhalb kurzer Zeit durch die gestiegene Produktivität und Mitarbeiterzufriedenheit auszahlt. Unternehmen sollen aber beachten, dass zurzeit viele MDM-Lösungsanbieter auf dem Markt anzutreffen sind (www.gartner.com/technology/reprints, Stand: 5.9.2013). Eine Konsolidierung steht an – was bei der Auswahl der Lösung zu berücksichtigen ist (www. esecurityplanet.com/mobile-security/mobile-device-management-6-trends-to-watch, Stand: 5.9.2013). Die Daten müssen bis zum Ende ihres Lebenszyklus verwaltet werden. Nachdem sie keinen Prozess mehr unterstützen, werden die Daten archiviert oder gelöscht. Die Archivierung der Daten selber erfolgt im Rechenzentrum, wo die Daten in Datenbanken gespeichert und so unabhängig von der eingesetzten mobilen Technologie verwendet werden können. Bei mobilen Geräten ist in dieser Phase die Thematik der Löschung herausfordernd. Es geht darum, Zugriffsrechte zu entziehen und die lokalen Kopien der Daten auf einem mobilen Gerät zu entfernen. Die MDM-Lösung schützt die Vertraulichkeit der Daten des Unternehmens, indem sie die mobilen Geräte aus der Ferne verwaltet und bei Bedarf bestimmte Daten und Profile löschen kann. Einige Produkte auf dem Markt ermöglichen eine Unterscheidung zwischen den privaten Daten und den geschäftlichen Daten, wie zum Beispiel die BlackBerry 10 Lösung. 9 DMR Impulse • Security • 2014 Exkurs: Vom Umgang mit der Schatten-IT – Chancen und Risiken Spricht man heute von einer „Schatten-IT“, so ist der Begriff meist bereits mit negativer Vorbedeutung belegt – zumindest wird sich in keiner IT-Strategie der Aufbau einer solchen inoffiziellen IT als strate¬gisches Planungsziel finden. Dennoch wächst diese inoffizielle Variante der Unternehmens-IT stetig und IT-Verkäufer sehen dieses Segment als durchaus valable Zielgruppe, um ihre Produkte in einem Unternehmen an der „offiziellen IT“ vorbei zu platzieren, auch wenn sie dies offiziell wohl nicht zugeben würden. Erreicht die Schatten-IT bezüglich Kosten und Wichtigkeit für die Geschäftsabwicklung eine kritische Größe, tauchen typischerweise erste betriebliche, organisatorische, technische und rechtliche Probleme auf, die dann im Rahmen meist extern unterstützter Korrekturprojekte behandelt werden sollen. Das ist mit weiteren, meist ungeplanten Kosten und Risiken verbunden. Wenn aber trotz dieser zu erwartenden Schwierigkeiten eine solche Nachfrage nach IT-Leistungen „neben“ der offiziellen Unternehmens-IT besteht, dann lohnt es sich, den Ursachen, Chancen und Risiken etwas genauer nachzugehen. Was ist eine „Schatten-IT“ und woher kommt sie? Wikipedia definiert den Begriff wie folgt: „Der Begriff Schatten-IT beschreibt informationstechnische Systeme, -Prozesse und -Organisationseinheiten, die in den Fachabteilungen eines Unternehmens neben der offiziellen IT-Infrastruktur und ohne das Wissen des IT-Bereichs angesiedelt sind.“ * * 10 http://de.wikipedia.org/wiki/Schatten-IT, zitiert nach Christopher Rentrop, Oliver van Laak, Marco Mevius: Schatten-IT: ein Thema für die Interne Revision? In: Revisionspraxis, April 2011 DMR Impulse • Security • 2014 Eine Schatten-IT zeichnet sich dadurch aus, dass sie – basierend auf unbefriedigten Bedürfnissen und Präferenzen der Benutzer oder Kunden der Unternehmens-IT – in Eigenregie evaluiert, beschafft, betrieben und gewartet werden, wobei die Integration in die Unternehmens-IT – Netzwerke, Server, Datenanbindung, Backup – und in die etablierten IT-Prozesse für die Beschaffung, die Wartung und die Überwachung in der Regel nicht berücksichtigt werden. Woher stammt nun die Motivation, solche komplexen Dienste selbst, ohne Mithilfe und Wissen der Unternehmens-IT, auf eigene Kosten und eigenes Risiko aufzubauen und zu betreiben? Meist ist eine Kombination von Gründen die Ursache für diese Entwicklung. Typische Teilgründe sind: 1. Ein anhaltender Trend zu „plug & play“ Installationen bezüglich Hardware und Software – die IT erscheint insbesondere den „digital natives“ heute weniger abschreckend, da viele Endbenutzer komplexe Heim-ITUmgebungen inklusive komplexen Konfigurationen mit Smartphones, Netzwerken, Home Entertainment Systemen betreiben. 2. In der Folge hat die IT über entsprechend vereinfachte Produkte (gegebenenfalls zu) viel Verantwortung an ihre Endbenutzer ausgelagert, im Sinne eines falsch interpretierten „user empowerment“. Es ist kein Zufall, dass sich in vielen Unternehmen als Gegenreaktion bereits wieder Remote-Desktop-Lösungen etablieren, um die völlige Konfigurationsfreiheit der Endbenutzer einzuschränken. 3. Die IT ist in der Regel ein bequemes Ziel für Unzufriedenheit und Kostendruck, weil in jeder Firma die IT zwischen Kundenfokus und „economy of scale“ hin- und hergerissen ist und entsprechend immer im Sinne eines sinnvollen Durchschnitts eine Nutzergruppe weniger gut unterstützt, als eine andere. 4. Kunden sind mit der Unternehmens-IT meist tendenziell unzufrieden – basierend auf einer Mischung aus falschen Erwartungshaltungen - Heim- versus Firmen-IT -, sicherheitsbedingen Einschränkungen, zu wenig Transparenz über Kosten und Aufwände, wachsenden Sparund Effizienzdruck sowie wenig Mut und Selbstdisziplin in der Führung. Denn oft sind es die leitenden Mitarbeiter, die sich unter Missachtung der definierten Prozesse für die Integration ihres Lieblings-„Gadgets“ einsetzen und damit ungewollt ein entsprechendes Signal aussenden. 5. Über die Unternehmens-IT redet man meist nur im Negativ-Fall – wenn sie gut funktioniert und wenig kostet, ist sie „unsichtbar“. Das neueste private „best of breed gadget“ ist dagegen etwas Positives – zumindest bis es zum ersten Mal Probleme verursacht. Einfluss von IT-Trends auf die Bildung einer Schatten-IT Einige technische Trends der IT verschärfen das Problem der Bildung von Schatten-IT-Infrastrukturen noch weiter: Das wachsende Angebot von performanten und kostengünstigen Cloud-Diensten erlaubt die rasche Auslagerung von Diensten beziehungsweise deren Aufbau, ohne dass die Unternehmens-IT davon Kenntnis hat, insbesondere da der Zugang meist über etablierte Zugangsprotokolle wie HTTP/HTTPS erfolgt. züglich technischer Integration, Einfluss auf die IT-Betriebs- und Wartungsprozesse sowie rechtlichen Konsequenzen. Viele Anwender wollen dies nicht abwarten. Da die entsprechenden Geräte jedoch oft bereits eigene IT-Dienstleistungen wie die Anbindung an HerstellerClouds oder lokal und privat installierte und lizensierte Software „mitbringen“, muss hier inzwischen eigentlich von „bring your own infrastructure“ oder „bring your own data center“ gesprochen werden, was die Integra tion nicht vereinfacht. Der Markt für mobile IT wird von schnelllebigen, aber inzwischen ausreichend performanten Endgeräten mit schneller und annähernd flächendeckender Netzanbindung überschwemmt. Damit steigt auch der Druck, immer neue Gerätetypen, Betriebssysteme und Anwendungsumgebungen rasch in die Unternehmens-IT zu integrieren. Diesem Erwartungsdruck der End-benutzer kann die Unternehmens-IT oft nicht standhalten. Darüber hinaus steigt durch die Verfügbarkeit der obengenannten Dienste und Ausrüstung sowie durch die Wünsche der externen Unternehmenskunden der Druck auf die Mitarbeitenden, im Sinne einer „always on“-Kultur jederzeit und ortsunabhängig mit voller Leistungsfähigkeit und Funktionalität auf die Unternehmensdaten und -Anwendungen zugreifen zu können. Der aus Praktikabilitäts-, Komfort- oder Prestige-Gründen verständliche Wunsch nach der Integration privater Endgeräte der Benutzer („bring your own device“, BYOD) führt in vielen Unternehmen zu komplexen und langwierigen Projekten und Abschätzungen be- 11 DMR Impulse • Security • 2014 Risiken und Kosten einer Schatten-IT Aus dem Aufbau und Einsatz einer Schatten-IT neben der offiziellen Unternehmens-IT ergeben sich offensichtlich Kosten und Risiken, deren typischste Vertreter, „bottom up“ gegliedert nach den Bereichen Technologie, Prozesse und Geschäftsausübung beziehungsweise Führung, kurz beleuchtet werden: Technologische Risiken: Aus Sicht des Technologieeinsatzes entstehen durch die Existenz einer Schatten-IT wesentliche Risiken, da häufig: > ungetestete, gegebenenfalls unsichere „bleeding edge“ IT-Komponenten eingesetzt werden, die zudem oft nicht für den Einsatz im Unternehmensumfeld entwickelt wurden, > wichtige und eventuell sensitive Daten und deren Speicherung, Bearbeitung und Korrelation außerhalb der Kontrolle der Unternehmung und ihres Sicherheitsdispositives liegen, > Mitarbeitende „ihre“ Geräte und externen Dienste und damit meist auch die darauf befind¬lichen Daten beim Austritt mitnehmen und > bei technischen Ausfällen und Betriebsunterbrüchen, beispielsweise wegen Sicherheitsvorfällen oder lokalen physischen Schadenereignissen, keine Betriebsweiterführung (IT Desaster Recovery) gewährleistet werden kann. 12 DMR Impulse • Security • 2014 Prozessbezogene Risiken: Über die technologisch induzierten Risiken hinaus entstehen durch die Existenz einer Schatten-IT weitere signifikante Risiken bezüglich der etablierten und mit Service Levels unterlegten Unternehmens- und IT-Prozesse: > Der bisher geleistete Aufwand für den Aufbau und die Pflege der IT-Unternehmensarchitektur mit zugrundeliegenden Planungszielen wie Vereinfachung und Skalierbarkeit wird weitestgehend wertlos. > Definierte Prozesse mit den zugeordneten Performance-Indikatoren und Service Agreements können nicht mehr bezüglich Dienstgüte-Einhaltung gemessen werden. Es entsteht eine unklare Situation bei den Führungskennzahlen bezüglich der Lieferung der vereinbarten Qualität, Quantität und Funktionalität durch die IT mit den entsprechenden Folgerisiken. > Etablierte, geschäftsrelevante Abläufe wie Stellvertretungsregelung, Mehraugenprinzip, Nachvollziehbarkeit können nicht mehr Ende-zu-Ende abgewickelt und überwacht werden. Die erzielten Ergebnisse werden somit zufällig und nicht mehr vorhersagbar. Chancen und Nutzen einer Schatten-IT Geschäftliche und Führungsrisiken: Von den prozessbezogenen Risiken ist es nur noch ein kleiner Schritt zu Risiken, die die Geschäftsausübung und die „corporate governance“ tangieren. In diesem Bereich zu erwähnen sind insbesondere: > Die IT kann ihre Verantwortung für die Geschäftsunterstützung nicht mehr wahrnehmen, wenn sie umgangen wird. Zudem kann sie in der Regel auch ihren Nutzen und Beitrag zum Geschäftserfolg nicht mehr nachweisen, die „economy of scales“ gehen verloren. Rasch wird die IT rasch zum Kandidaten für eine umfassende Auslagerung. > Es besteht die akute Gefahr der Nicht-Einhaltung von Vorschriften aus Recht und Regulation mit diversen Folgerisiken, selbst in nicht regulierten Marktbereichen. Ein typisches Beispiel sind Fragen zur geschäftlichen Nutzung von Software, die entweder nicht oder nur für die Nutzung im Privatgebrauch lizensiert wurde. > Da der Betrieb der Schatten-IT meist nicht offiziell mit personellen Ressourcen unterstützt wird, sondern dem „best effort“ Prinzip folgt, kann es zu unbekannten kritischen Abhängigkeiten von Einzelpersonen kommen, die diese betrieblichen Aufgaben meist zusätzlich zu leisten haben. Damit steigt das Überlastungs- und Burnout-Risiko für die Betroffenen signifikant an. Um eine angemessene Lösung für das Problem unterschiedlicher Anforderungen an die IT und den Auf¬bau einer Schatten-IT zu finden, ist es nötig, auch die – zumindest erwarteten – Vorteile einer durch die internen Kunden aufgebauten und betriebenen IT-Umgebung zu betrachten. Technologische Chancen: Bezüglich des Technologieeinsatz kann eine Schatten-IT signifikante Vorteile gegenüber der etablierten Unternehmens-IT bieten: > Die Nutzung von „state of the art“-Technologie bietet oft eine Vielzahl neuer Funktionen und Fähigkeiten, die die Produktivität der Mitarbeitenden positiv beeinflussen kann, während die offizielle, oft (zu) stark standardisierte IT meist den Durchschnitt aller Anforderungen abdecken muss und so niemanden wirklich befriedigen kann. > Eine für einen bestimmten Verwendungszweck aufgebaute IT-Umgebung erlaubt eine schnellere „time to market“ für innovative, auch explorative Lösungen und Produkte gegenüber dem Endkunden, der solche Dienste zunehmend auch erwartet. Betrachtet man die Summe aller Risiken, ist man als Unternehmens- oder IT-Leiter geneigt, die Schatten-IT sofort einsammeln und öffentlich zu verbrennen, gegebenenfalls zusammen mit den Lieferanten und internen Beschaffern. Jedoch bietet eine Schatten-IT auch offensichtliche Vorteile. 13 DMR Impulse • Security • 2014 Prozessbezogene Chancen: Aufbauend auf den technologischen Chancen können auch bestimmte Abläufe im Unternehmen durchaus von der Existenz einer SchattenIT profitieren: > Dichter an den Anforderungen der internen – und externen – Kunden kann man nicht sein. > Liegt die operative sowie die „profit & loss“-Verantwortung für eine Schatten-IT beim tatsächlichen internen Anwender und Betreiber, kann sich die Unternehmens-IT auf die effiziente Erbringung weniger wohldefinierter Basisdienste konzentrieren. > Die Skalierung und Rückverrechnung der IT-Kosten kann dynamischer und kunden- und projektbezogener erfolgen. Geschäftliche und führungsbezogene Chancen: Schließlich kann auch die Geschäftsausübung und -ausdehnung selbst von einer anwendernahen IT profitieren: > Eine kundennahe IT kann im Sinne der „time to market“ ein differenzierender Faktor im Markt sein und die Erwartung der externen Endkunden, insbesondere der „digital natives“ besser adressieren. > Das kreative Potenzial der jungen, meist technologieaffinen Generation als potenzielle Mitarbeiter wird besser genutzt – das Unternehmen bleibt angesichts des Fachkräftemangels attraktiv. Umgang mit einer Schatten-IT Naturgemäß gibt es im Spannungsfeld zwischen Kundennähe und Standardisierungsdruck in der IT kein Standardrezept, welches den richtigen Umgang mit der Existenz einer Schatten-IT im Unternehmen aufzeigt. * ** 14 Eines der weniger bekannten Zitate aus Goethe´s „Götz von Berlichingen“. Eine Umbenennung (also weg von der „Schatten-IT“) kann schon ein einfaches Mittel sein, Akzeptanz zu schaffen. DMR Impulse • Security • 2014 Jedoch kann ein mehrstufiger Vorgehensplan helfen, Chancen und Risiken zu erkennen, abzuwägen und angemessen vorzugehen. Ein möglicher Vorgehensplan enthält die folgenden Phasen: 1) Erkennung und „Outing“ – die Existenz der Schatten-IT muss offiziell bekannt sein, Probleme, Vorteile und Nachteile müssen transparent gemacht werden, die jeweils Verantwortlichen müssen Kosten/Risiken und Nutzen/Chancen aus ihrer Sicht transparent darlegen. 2) Akzeptanz: Wo viel Licht ist, ist auch viel Schatten*. Basierend auf Schritt 1 muss eine klare Strategie festgelegt und offen kommunizieren werden – dies beinhaltet auch den Willen zur Umsetzung und Sanktionierung von nicht intendierten Abweichungen. Dabei kann es durchaus Teilbereiche im Unternehmen geben, die eine „user empowered IT**“ einsetzen und erproben, mit Delegation von Verantwortung und Kompetenz. Dabei ist zu beachten, dass nur eine dünne Linie Akzeptanz und Ignoranz voneinander trennt – jedoch hilft Ignoranz meist nur kurzfristig. 3) Langfristige Therapie: Aus der bisherigen SchattenIT müssen Lehren bezüglich Einsatzkonzept und Nutzen gezogen werden, die die offizielle IT attraktiv und kundennäher positionieren. IT ist noch lange keine „Commodity“, weil die ständige Erneuerung und Innovation der IT dies verhindert. Die offizielle IT muss agil genug und in der Lage sein, neue Anforderungen so rasch zu integrieren, dass die Schatten-IT klein bleibt oder keine wesentlichen Vorteile bietet. Zusammenfassung und Ausblick Die Beschaffung, der Aufbau und der Betrieb inoffizieller Schatten-IT-Strukturen neben der Unternehmens-IT ist ein Phänomen, welches IT-Leiter noch geraume Zeit beschäftigen wird. Dies einerseits, weil der stetige und rasche Erneuerungszyklus der IT von der Unternehmens-IT auch in Zukunft nicht in Echtzeit nachvollzogen werden kann. Andererseits, weil der Konflikt zwischen Kundennähe und „economy of scale“ auch künftig nicht allgemeingültig gelöst werden kann. Agile Unternehmen profitieren dann von den Chancen, wenn sie die Existenz ihrer Schatten-IT anerkennen, diese in ihre IT-Strategie integrieren und dort, wo es sinnvoll ist, in eine akzeptierte „user empowered IT“ umwandeln, diese Strategie offen kommunizieren und konsequent einhalten. Prof. Dr. Hannes Lubich beschäftigt sich seit über 25 Jahren mit IT-Systemen, Netzwerken und IT-Sicherheit. An der ETH Zürich arbeitete er als Forscher und Dozent. Zudem war er maßgeblich am Aufbau des Internet und des Internet-Sicherheits-Teams (CERT) in der Schweiz beteiligt. Während 13 Jahren war er zunächst als CISO der Bank Julius Bär, später als Strategieberater bei Computer Associates und British Telecom tätig. Seit 2009 ist er Professor für IT System & Service Management an der Fachhochschule Nordwestschweiz in Brugg, zudem lehrt er an der ETH Zürich. 15 DMR Impulse • Security • 2014 Business Continuity Management – Vorbereitung ist (mehr als) die halbe Miete Der Ausbruch des Vulkans Eyjafjallajökull im Jahre 2010 dürfe nicht nur isländischen Geologen in Erinnerung geblieben sein. Die von der Eruption verursachte Aschewolke brachte den europäischen Flugverkehr für Tage zum Erliegen und offenbarte das Maß der Abhängigkeit der Industrie von reibungslos funktionierenden, globalen Lieferketten. Schon kurze Zeit nach der Schließung des Luftraums musste die Automobilproduktion in mehreren Werken in Deutschland und Japan unterbrochen werden, da benötigte Elektronikbauteile nicht mehr rechtzeitig angeliefert werden konnten. Just-In-Time Fertigung und die damit verbundenen minimalen Lagerbestände sind nur einige von vielen Gründen, warum Hersteller und Zulieferer in zunehmendem Maße anfällig für Störungen und externe Einflüsse werden. Komplexität birgt Risiken Unternehmen sind komplexe Systeme und reagieren meist empfindlich auf unvorhergesehene Ereignisse und Störungen. Der Grad der Vernetzung mit externen Zulieferern, Dienstleistern und Outsourcing-Anbietern, strategischen Partnern und volatilen Beschaffungs- und Absatzmärkten steigt stetig. Die zunehmende Bedeutung von Informationstechnologie in allen Wertschöpfungsstufen steigert die Komplexität zusätzlich und führt zu oft unberechenbaren Risiken. Unternehmen begeben sich damit in eine stärkere Abhängigkeit und müssen lernen, mit dieser Situation umzugehen. Welche Geschäftsaktivitäten sind kritisch für den Fortbestand unseres Unternehmens? Wie lange kann unsere Organisation ohne Zugriff auf das ERP-System überleben? Welche Auswirkung hätte die Insolvenz eines wichtigen Zulieferers? Stehen die erforderlichen Fachkräfte auch während einer akuten Grippewelle zur Verfügung? Was unternehmen wir, wenn unser wichtigster Standort durch einen Brand zerstört wird? Wie sichern wir unsere Verlässlichkeit als Lieferant und Geschäftspartner und weisen dies gegenüber unseren Kunden und Aufsichtsbehörden nach? Die Beantwortung dieser Fragen und die Entwicklung einer optimalen Strategie zur Sicherung der Geschäftstätigkeit sind wesentliche Ziele des Business Continuity Management (BCM). BCM stattet Unternehmen mit den Fähigkeiten aus, die notwendig sind, um selbst bei potenziell geschäftsbedrohenden Störungen die kritischen Geschäftsaktivitäten aufrechtzuerhalten und so den Fortbestand des Unternehmens sicherstellen zu können. Business Continuity Management nach ISO 22301 Organisationen, die sich ihrer wachsenden Verwundbarkeit durch Naturkatastrophen, Terrorismus, Unfälle und andere Einflüsse bewusst wurden, haben bereits früh versucht, Maßnahmen zum Schutz ihrer kritischen Geschäftsaktivitäten umzusetzen. Die gemachten Erfahrungen wurden in mehreren Ländern gesammelt und zu meist regionalen BCM-Standards weiterentwickelt. Mit ISO 22301* existiert seit 2012 erstmals ein international anerkannter Standard zum Business Continuity Management. * 16 DMR Impulse • Security • 2014 Tangen, S. & Austin, D / ISO (2012): “Business continuity ISO 22301 when things go seriously wrong”, http://www.iso.org/ iso/home/news_index/news_archive/news.htm?refid=Ref1602, last accessed: 28.08.2013 17 DMR Impulse • Security • 2014 ISO 22301 spezifiziert Anforderungen, die eine Organisation erfüllen muss, um ein effektives Business Continuity Management System (BCMS) nach allgemein anerkannten Regeln zu betreiben. Die Umsetzung von BCM nach ISO 22301 kann in Audits getestet und durch externe Prüfer zertifiziert werden. Schaffen geeigneter Rahmenbedingungen Bei der Einführung eines BCMS gilt es zunächst, die Organisation und die an sie gestellten internen und externen Anforderungen zu analysieren und zu verstehen. Der Umfang des BCMS wird nicht zuletzt dadurch bestimmt, welche Erwartungen von Management, Kunden, Mitarbeitern und Regulierern gestellt werden. Es muss insbesondere sichergestellt sein, dass geltende rechtliche und regulatorische Rahmenbedingungen berücksichtigt werden. Beispielhaft seien die Anforderungen der BaFin (Deutschland) und FINMA (Schweiz) zum Risikomanagement im Finanzsektor genannt. Ein wirksames BCMS erfordert Unterstützung durch die Geschäftsleitung der Organisation: BCM ist Chefsache. Nur so ist gewährleistet, dass die benötigten Ressourcen und Qualifikationen bereitgestellt, wirksame Richtlinien erlassen und Verantwortlichkeiten verbindlich zugewiesen werden können. Im Rahmen einer konsequenten Planung werden eindeutige und messbare Ziele für die BCMS Umsetzung festgelegt und mögliche Risiken identifiziert und behandelt. Durch Schulungen und weitere Awareness-Maßnahmen werden die Beschäftigten mit dem BCMS und ihrer eigenen Rolle vertraut gemacht. Zudem gilt es, ein Konzept für die interne und externe Kommunikation zu erarbeiten und sicherzustellen, dass der Informationsfluss auch im Falle einer schweren Störung gewährleistet ist. 18 DMR Impulse • Security • 2014 Bewährte Methoden Ein zentrales Werkzeug des BCM ist die Business Impact Analysis (BIA). Ziel der BIA ist es, die für die Erstellung der Produkte und Dienstleistungen des Unternehmens erforderlichen Aktivitäten zu identifizieren und zu ermitteln, welche geschäftlichen Auswirkungen (Business Impact) sich ergeben, wenn diese Aktivitäten für einen bestimmten Zeitraum nicht mehr durchgeführt werden können. Anhand des so ermittelten Business Impacts werden die Aktivitäten priorisiert und somit die kritischen Geschäftsaktivitäten bestimmt. Im Rahmen des Risk Assessment (RA) werden anschließend Risiken aufgenommen und bewertet, die die kritischen Aktivitäten des Unternehmens bedrohen. Neben den Aktivitäten selbst werden dabei sämtliche, für die Durchführung der Aktivität erforderlichen Ressourcen betrachtet. Dies schließt insbesondere etwaiges Fachpersonal, benötigte Informationen und IT-Systeme, Standorte und externe Dienstleister mit ein. Wurden bereits BCM-Maßnahmen umgesetzt, werden diese bei der Bewertung berücksichtigt. In der Gesamtbetrachtung ergibt sich ein Bild der wesentlichen BCM-Risiken sowie möglicher Maßnahmen zu deren Reduzierung oder Vermeidung. Von der Strategie zur Umsetzung Der richtige Zeitpunkt Die Ergebnisse aus Business Impact Analyse und Risk Assessment bilden die Grundlage für die Entwicklung einer organisationsspezifischen BCM-Strategie. Diese legt fest, wie die kritischen Geschäftsaktivitäten geschützt und im Falle einer Beeinträchtigung stabilisiert und wiederhergestellt werden können. Ziel ist es, die geschäftlichen Auswirkungen eines Ausfalls zu begrenzen und auf ein den Anforderungen genügendes oder durch das Management akzeptiertes Maß zu reduzieren. Zu diesem Zweck werden Maßnahmen umgesetzt, die die Wahrscheinlichkeit einer Störung senken, die Ausfalldauer verkürzen oder die Auswirkungen einer Unterbrechung verringern. Ein BCMS nach ISO 22301 stellt sicher, dass die Kommunikations- und Entscheidungswege im Fall einer Störung so kurz wie möglich sind und eine rasche Wiederherstellung der Geschäftstätigkeit ermöglichen. In diesem Zusammenhang spielen auch eindeutige, leicht verständliche Business-Continuity-Pläne eine wichtige Rolle. Anstelle eines umfassenden Dokuments, das alle Eventualitäten abzudecken versucht, empfiehlt es sich, für die jeweiligen Szenarien, beispielsweise den Verlust eines Rechenzentrums oder den Ausfall eines Zulieferers, spezifische Pläne zu erstellen. Diese sind so verfasst, dass sie den Anwender bei der Einleitung der erforderlichen Maßnahmen unterstützen, und enthalten Schritte zur Wiederherstellung des Normalbetriebs. Bei der Entwicklung von ISO 22301 wurden Erfahrungen aus der Einführung und dem Betrieb von Business-Continuity-Management-Systemen berücksichtigt. Die Norm stellt somit eine Sammlung von „Good Practices“ dar. Für Unternehmen aller Größen bringt die Umsetzung von Business Continuity Management einen geschäftlichen Mehrwert, da die negativen Auswirkungen von unvorhergesehenen Zwischenfällen durch gezielte Vorbereitung und regelmäßige Überprüfung reduziert werden. Übungen und Tests unter realistischen Bedingungen stellen sicher, dass die Business-Continuity-Pläne auch in der Praxis funktionieren. Deren Dokumentation kann als Nachweis für die Effektivität des BCMS verwendet werden. Die Ergebnisse fließen auch in die Evaluation und ständige Verbesserung des BCMS nach ISO 22301 ein. So wären beispielsweise auch die Produktionsausfälle der 2010 vom Vulkanausbruch betroffenen Automobilhersteller vermeidbar gewesen. Business Impact Analysis und Risk Assessment lassen erkennen, dass die PKWProduktion bereits für eine kurzzeitige Unterbrechung von kritischen Lieferketten anfällig ist. Entsprechende Gegenmaßnahmen lassen sich umsetzen, zum Beispiel durch Anlegen von lokalen Sicherheitspuffern für kritische Elektronikkomponenten, mit denen der Zeitraum bis zum Aufbau einer alternativen Lieferkette überbrückt wird. Die Umsetzung eines BCMS nach international anerkanntem Standard bietet Unternehmen zusätzliche Vorteile, insbesondere bei der Darstellung des Wertes gegenüber externen Kunden oder Regulierern. Organisationen, die bereits ein BCMS nach Vorgängerstandards wie BS 25999 eingerichtet und zertifiziert haben, können zeitlich befristet einen Umstieg auf ISO 22301 durchführen. Entscheider zahlreicher Unternehmen haben den günstigen Zeitpunkt für die Einführung eines standardbasierten BCM-Systems nach ISO 22301 bereits erkannt. 19 DMR Impulse • Security • 2014 Bezahlen mit dem Mobiltelefon – Wie sicher ist die digitale Geldbörse? Mit der Marktreife der Nahfunktechnologie (Near Field Communication, NFC) steht heute eine Technologie zur Verfügung, die dem langersehnten mobilen Bezahlen zum Durchbruch verhelfen kann. Zu den Vorteilen von Mobile Payment gehören das Bezahlen von Kleinbeträgen ohne PIN-Eingabe oder Unterschrift, die Durchführung von Transaktionen innerhalb von Sekundenbruchteilen sowie zusätzlicher Mehrwert für Kunde und Händler durch die Verknüpfung der Transaktion mit Kundenbindungsprogrammen. Rahmenbedingungen für den Erfolg von Mobile Payment sind positiv Aus technischer und kommerzieller Sicht scheinen die Rahmenbedingungen für die Einführung des Mobile Payments günstig zu sein. In der Schweiz beispielsweise wird voraussichtlich ab 2014 die Zahlungsinfrastruktur das mobile Bezahlen unterstützen, nachdem sich bereits seit einigen Jahren das kontaktlose Bezahlen mit Kreditkarte etabliert hat. Verschiedene Pilotprojekte der lokalen Kreditkartenanbieter mit Telekommunikationsunternehmen wurden bereits erfolgreich abgeschlossen. Ebenso besitzen seitens der Händler immer mehr Zahlungsterminals eine zusätzliche Schnittstelle für Nahfunktechnologie. Bis Ende 2013 werden die größten Schweizer Detailhändler ihre Infrastruktur mit neuen NFC-Zahlungsterminals aufrüsten („Migros und Coop planen bargeldloses Bezahlen“, www.computerworld. ch). Während das iPhone noch nicht NFC-fähig ist, bieten Samsung, Nokia, HTC, LG oder Sony seit längerem NFC-fähige Mobiltelefone auf dem Markt an. Mit der näher rückenden Massentauglichkeit des bargeldlosen Bezahlens wächst das Interesse an neuen Geschäftsmodellen, wie der Verknüpfung des Zahlungsvorgangs mit Loyalitätsprogrammen oder auf den Kunden zugeschnittene mobile Werbung. Gleichzeitig werden immer wieder Stimmen laut, die vor möglichen Sicherheitsrisiken warnen. Fast zwei Drittel der in einer von der Initiative D21/Infratest befragten Internetnutzer in Deutschland haben Bedenken, was die Sicherheit beim mobilen Surfen angeht (Studie der Initiative D21 zum mobilen Internet, www.initiative21.de). Zudem nannten über 60 Prozent der Händler in einer von EHI durchgeführten Studie Sicherheit als wichtigsten Aspekt des mobilen Bezahlens, gefolgt von den Kosten und der Geschwindigkeit („Sicherheit bei mobilem Bezahlen“, www.ehi.org). 20 DMR Impulse • Security • 2014 In den Medien werden potenzielle Sicherheitslücken von NFC-fähigen Mobiltelefonen rege diskutiert. Häufig wird auf sicherheitsrelevante Schwachstellen der Nahfunktechnik hingewiesen, insbesondere dass sich durch verschiedene Angriffsarten Malware auf dem Mobiltelefon einspielen und theoretisch Speicherkarteninhalte vom Mobiltelefon stehlen lassen (Sicherheitskonferenz Black Hat: Das Smartphone als Geldbörse mit Risiko, www.nzz.ch). Zudem werden die scheinbar unzureichenden Sicherheitsmechanismen mobiler Bezahlungsmethoden thematisiert: > Kreditkartentransaktionen könnten ohne direkten Zugriff mitverfolgt werden, sogar dann, wenn das Smartphone in der Tasche des Opfers bleibt. Damit ließen sich Kreditkarten nachbilden und ohne Wissen des Opfers missbrauchen. > Eine Authentifizierung des Karteninhabers am mit Nahfunktechnik ausgerüsteten Kartenleser fände bei geringen Beträgen nicht statt. Dadurch ließen sich Transaktionen aufzeichnen und zu einem späteren Zeitpunkt über sogenannte Replay-Angriffe wiederholt ausführen. > Auf Sicherheitskonferenzen haben Experten über Verkaufsportale, sogenannte App Stores, frei zugängliche Applikationen vorgestellt, die es ermöglichen, Kreditkartendaten auszulesen und die für eine Kreditkartentransaktion notwendigen Informationen zu speichern (www. blackhat.com). Wie steht es vor diesem Hintergrund um die Sicherheit von Mobile Payment? Wie robust ist die Sicherheitsarchitektur? Welche Betrugsszenarien wären theoretisch durchführbar und wie ernst sind obenerwähnte Medienberichte zu nehmen? Mobile-Payment-Sicherheitsarchitektur auf dem Prüfstand An die Mobile-Payment-Zahlungsanwendung werden strenge Sicherheitsanforderungen gestellt. Um den reibungslosen Ablauf der Transaktionen sicherzustellen, müssen diese gegen unberechtigte Zugriffe geschützt werden. Grundlage dafür bildet ein zugelassenes Sicherheitselement, das sogenannte Secure Element, das die Zahlungsfunktionen verwaltet. Als Secure Element können neben der SIM-Karte auch im Mobiltelefon eingebaute Smartcard-Chips oder externe Speicherkarten dienen. In der Mobile-Payment-Architektur wird die Zahlungsanwendung von einem Trusted Service Manager kontrolliert, der das Secure Element personalisiert und nur bestimmten Anwendungen Zugriff gewährt. Die für Mobile Payment erforderliche Schnittstelle auf NFC-Basis bietet im Zusammenspiel mit der oben beschriebenen Sicherheitsarchitektur einen hohen Schutz gegen unberechtigte Zugriffe. Seitens der Kreditkartenorganisationen werden in den Mobile-Payment-Spezifikationsdokumenten umfangreiche Sicherheitsanforderungen gestellt. Ebenso stellt die Kreditkartenindustrie mit den Standards der Payment Card Industry (PCI) hohe Sicherheitsanforderungen. Neben der Einhaltung verbindlicher Standards seitens der Kreditkartenindustrie und technischer Maßnahmen wie der Verschlüsselung von Transaktionen und der Authentifizierung nach aktuellstem Standard verhindern insbesondere folgende, dezidierte Zählmechanismen einen Missbrauch durch Dritte. Mobile Payment Herausgeber Mobile Payment Trusted Secure Manager Secure Element Provided Trusted Service Manager Secure Element Provider Client Mobiles Netzwerk User Interface Baseband Processor UI Applications Secure Element Mobile Payment Anwendung Contactless Front End (CLF) NFC Controller Antenne NFC Terminal Abbildung: Mobile Payment Sicherheitsarchitektur 21 DMR Impulse • Security • 2014 In regelmäßigen Intervallen prüft ein als Offline Transaktionen Zähler bekanntes Verfahren, ob die Identität des Karteninhabers durch eine Online-Verbindung zum Kreditkartenherausgeber verifiziert worden ist. Der Karteninhaber kann nur eine bestimmte Anzahl an Offline Transaktionen durchführen. Ist ein bestimmtes Limit erreicht, wird dieser aufgefordert, die Transaktion mit der PIN zu bestätigen. Ein verwandter, als No-PIN Transaktion Zähler bekannter Mechanismus schränkt die Anzahl der Transaktionen ein, die bei Kleinbeträgen („Low Value“ Transaktionen) ohne PIN-Eingabe durchgeführt werden kann. Sobald das No-PIN Transaktionslimit überschritten wurde, muss der Karteninhaber seine PIN eingeben, bevor er die nächste Transaktion durchführen kann. Der theoretische Verlust ist normalerweise durch die AGBs seitens der Kreditkarten herausgebenden Bank gedeckt. Das finanzielle Risiko bei der Transaktion von Kleinbeträgen ohne Karteninhaber-Prüfung ist somit für den Kunden als relativ gering einzustufen. Theoretische Betrugsszenarien haben in der Praxis geringe Erfolgschance In Bezug auf Mobile Payment werden häufig Betrugsszenarien genannt, die entweder eine sehr geringe Erfolgschance haben oder für den Angreifer äußerst schwer umzusetzen sind. Ein häufig genanntes Szenario betrifft Malware-Angriffe auf Mobiltelefone. Mit Hilfe von Malware könnten Betrüger das Mobiltelefon manipulieren, um Transaktionen abzufangen oder zu verändern. Daneben wäre auch das Szenario eines Abhörangriffes, insbesondere der sogenannte Replay-Angriff, denkbar, bei dem der Angreifer Kreditkartendaten aus größerer Entfernung abhört und aufzeichnet. Ebenso werden sogenannte „Man in the Middle“ (MitM) Angriffe erwähnt, bei denen sich der Angreifer zwischen zwei Kommunikationsteilnehmer stellt, um die zwischen den beiden Parteien ausgetauschten Transaktionsdaten abzufangen. Eine Analyse der potenziellen Schwachstellen und praktischen Umsetzbarkeit von Angriffen zeigt, dass das Sicherheitsrisiko durch Malware-Angriffe auf Mobiltelefone sehr gering und für die Kreditkartenanbieter kalkulierbar ist. Schadprogramme wie Computerviren, Würmer, Trojanische Pferde oder Spionageprogramme werden gezielt entwickelt, um vom Benutzer unerwünschte oder schädliche Funktionen auszuführen. Aktuelle Smartphones sind in der Lage, ein breites Spektrum von Anwendungen, darunter Instant-Messaging, Social Media, aber auch Online-Banking und E-Trading auszuführen. Die Fülle an Anwendungen, deren Funktionalität teilweise nicht ausreichend auf Sicherheit geprüft wurde, 22 DMR Impulse • Security • 2014 macht Mobiltelefone grundsätzlich anfällig für Schadprogramme. Die rasche Entwicklung, der Vertrieb und die Verbreitung von Anwendungen durch sogenannte App Stores stellt die größte Malware-Gefahr für mobile Betriebssysteme dar. Die bestehende Sicherheitsarchitektur aus Trusted Element, zertifizierter Anwendung sowie automatischer Deaktivierung der Zahlungsfunktion bei einem Rooting, das heißt beim Entfernen der herstellerseitigen Software-Restriktionen, reduziert das Risiko eines erfolgreichen Angriffs. Sofern die Mobile Payment Anwendung korrekt umgesetzt ist, grundlegende Sicherheitseinstellungen bestehen und vom Benutzer nicht umgangen werden, hat der Kunde grundsätzlich keinen finanziellen Schaden zu befürchten. Ebenso ist das Risiko eines Abhörangriffs, bei dem der Angreifer versucht, Kreditkartendaten abzufangen und wiederzuverwenden, als sehr gering einzustufen. In der Theorie ermöglicht das Mitlesen von übertragenen Kreditkartendaten einem Angreifer, einmal zur Authentifizierung benutzte Daten, zum Beispiel verschlüsselte Kreditkartendaten, bei einem späteren Zugangsversuch wieder einzuspielen (ein sogenannter Replay-Angriff). Auf Seite der Applikationen ist es zudem möglich, mit speziellen Programmen Kreditkartendaten auszulesen, um diese zur späteren Nutzung weiterzuverwenden. Damit lassen sich theoretisch Transaktionen wiederholen, jedoch nicht im E-Commerce-Bereich, da der Name des Karteninhabers sowie die Kartenprüf nummer (CVC/CVV2) nicht digital, sondern nur physisch auf der Kreditkarte aufgedruckt ist. Für den Angreifer gestaltet es sich als sehr schwierig, die übertragenen Daten zur Wiederholung einer bestimmten Transaktion zu nutzen, da diese durch einmalige Kryptogramme geschützt wird. Aufgrund der Vielzahl an Parametern, welche die Qualität des NFC-Signals beeinflusst, ist es schwierig einzuschätzen, wie nah ein Angreifer sein muss, um ein brauchbares Signal abzufangen. Die Reichweite zwischen NFC-Chip und dem Lesegerät darf bei der Transaktion maximal vier Zentimeter betragen. Zudem ist das abgefangene Signal für den Angreifer von geringem Nutzen, da die Transaktion an das BackendSystem des Kreditkartenherausgebers weitergeleitet werden muss. Hier würde die zweite, vom Angreifer wiederholte Transaktion, entdeckt werden. Ebenso als sehr unwahrscheinlich sind MitM-Angriffe einzustufen, bei denen der Angreifer die zwischen beiden Parteien ausgetauschten Transaktionsdaten abfängt. Der Angreifer bringt dabei das Mobiltelefon des Kunden und das Zahlungsterminal des Händlers dazu, über ihn statt direkt miteinander zu kommunizieren. Die Täuschung des Angreifers besteht darin, dass er sich den Kommunikationspartnern gegenüber als der jeweils Andere ausgeben kann, ohne dass sie dies bemerken. Diese Schwachstelle rührt daher, dass es kein Verfahren gibt, um die Echtheit eines einzelnen NFC-Geräts zu verifizieren. Diese Angriffe scheitern aber daran, dass sie sehr schwierig durchzuführen sind und die Interaktion des Angreifers durch die legitimen Benutzer leicht entdeckt werden kann. Beispielsweise könnte ein Angreifer in der Nähe des Zahlungs-Terminals unbemerkt ein zweites, von ihm kontrolliertes Gerät mit stärkerer Reichweite in Betrieb nehmen. Bei der Bezahlung könnte der Transaktionsbetrag bei „Low Value“-Transaktionen mehrmals abgebucht werden. Dies ist aber für den Angreifer von geringem Nutzen, da die Transaktion an das BackendSystem des Kreditkartenherausgebers weitergeleitet und dort als mehrfach durchgeführte Transaktion entdeckt werden würde. Durch die Verschlüsselung der übertragenen Nachrichten ist der Kanal nur gegen ein Abhören gesichert. Spannungsverhältnis zwischen Sicherheit und Benutzerakzeptanz bleibt bestehen Aufgrund der bestehenden Sicherheitsarchitektur ist das Risiko eines Betrugsfalls sowie finanziellen Verlustes sehr gering. Zusätzliche Sicherheitsmechanismen würden den Transaktionsprozess für den Kunden kompliziert machen. Die Einfachheit und Geschwindigkeit dieser neuen Bezahlungsmethode stellt jedoch einen wichtigen Erfolgsfaktor dar. Es besteht also ein grundsätzliches Spannungsverhältnis zwischen Sicherheit und Benutzerakzeptanz im Bereich mobiler Bezahlungsmethoden. Neben der Sicherheitsarchitektur bieten die bereits beschriebenen Sicherheitsmechanismen einen grundlegenden Schutz vor Missbrauch: > Karteninhaber-Prüfung durch PIN bei „High Value“ Transaktionen. > Offline Transaktionen Zähler, der in regelmäßigen Abständen eine Online-Verbindung zum Kreditkartenherausgeber herstellt. > No-PIN Transaktion Zähler, der die Anzahl der Transaktionen ohne PIN-Eingabe einschränkt. Zusätzliche Sicherheitsmechanismen, die von den Kreditkartenherausgebern umgesetzt werden können, ber- gen das Risiko einer verringerten Kundenakzeptanz bei der Einführung der mobilen Bezahlungsmethoden: > Eine Verringerung des maximalen Transaktionsbetrags, bei dem keine PIN-Eingabe notwendig ist, reduziert das maximale finanzielle Risiko weiter, jedoch mit dem Risiko einer negativen Auswirkung auf die Kundenakzeptanz. > Ein zweistufiges „Two Tap“-Verfahren (Initialisierung und Transaktion) erhöht die Sicherheit weiter, jedoch auf Kosten der Kundenakzeptanz, da der Transaktionsprozess komplizierter wird als mit Kreditkarte normalerweise üblich ist. > Dem Kunden könnte die Möglichkeit gegeben werden, die Zahlungsfunktion nur dann zu aktivieren, wenn sie für eine Transaktion benötigt wird. Mobile Payment erhöht die Sicherheit im Vergleich zu klassischen Zahlungsmitteln Bei der aktuellen Diskussion potenzieller Sicherheitsrisiken im Bereich des mobilen Bezahlens wird häufig außer Acht gelassen, dass die neue Technologie auch eindeutige Verbesserungen bestimmter Sicherheitsaspekte mit sich bringt. Insbesondere gewährleistet das Secure Element den Schutz der Kreditkartendaten, ein Zugriffskode sichert die digitale Brieftasche. Zudem kann angenommen werden, dass der Verlust des Mobiltelefons vom Kunden schneller bemerkt würde als der Verlust der physischen Kreditkarte. Ebenso muss der Kunde die Kontaktlos-Kreditkarte oder das Mobiltelefon während des Bezahlungsvorgangs nicht aus der Hand geben. Abgesichert wird das Sicherheitsrisiko mit sehr geringen Limiten bei der Bezahlung. Trotz der Mobile-Payment-Sicherheitsarchitektur kann ein Restrisiko nie ausschlossen werden. Der Kunde vergleicht diese Anwendungen jedoch nicht mit Bargeld, das ebenfalls gestohlen werden kann und über keinen PIN-Schutz verfügt, sondern mit Bank- und Kreditkarten und fühlt hier tendenziell ein höheres Sicherheitsrisiko. Zu bedenken ist darüber hinaus, dass zu starke Sicherheitsmechanismen den Kunden überfordern und dazu verleiten können, Grundregeln der Sicherheit, wie die Geheimhaltung der PIN, zu vernachlässigen oder zu umgehen. Das Risiko eines erfolgreichen Angriffs ist kalkulierbar und sehr gering, sofern die Mobile-Payment-Anwendung korrekt umgesetzt und grundlegende Sicherheitsstandards eingehalten werden. 23 DMR Impulse • Security • 2014 Vorteile und Mehrwert von Mobile Payment DMR: In den Medien wird derzeit häufig über „Mobile Payment“ berichtet. Was genau ist darunter zu verstehen? Aduno-Gruppe: Mobile Payment sind Bezahlvorgänge, bei denen mindestens die zahlungspflichtige Person ein mobiles Endgerät wie ein Smartphone für die Zahlung einsetzt. Im Rahmen von Mobile Payment unterscheiden wir heute zwischen verschiedenen Ausprägungen: mobile, kontaktlose Bezahlvorgänge können heute über SMS, Anruf, Apps, QR-Codes und mit Unterstützung von NFC durchgeführt werden. Diese verschiedenen Verfahren setzen jeweils ein entsprechendes Eco-System innerhalb des Bezahlvorgangs voraus, um einen kundenfreundlichen und vor allem sicheren Transaktions abschluss g ewährleisten zu können. Die Anzahl der Studien im Bereich Mobile Payment, welche immer wieder die Frage nach der richtigen Technologie und das Bedürfnis nach einem Standard hervorheben, haben in den letzten zwei Jahren enorm zugenommen. Im Verlauf dieser Zeit konnte sich vor allem der Einsatz von NFC immer mehr durchsetzen. Diese Technologie wird heute zum Beispiel auch für Bezahlvorgänge mittels „kontaktlos-fähigen“ Geldkarten eingesetzt, worin die zahlungspflichtige Person lediglich ihre physische Geldkarte in die Nähe des Kassensystems führen muss. In der Schweiz können so Bezahlvorgänge unter 40 Schweizer Franken ohne Eingabe eines PINs schnell und sicher abgeschlossen werden. Auch im Rahmen von Mobile Payment bietet NFC die ausgereifteste Basis für das digitale Portemonnaie. In Kombination mit einer speziellen SIM-Karte und einem NFC-fähigen Smartphone können Kunden an unterstützten Kassensystemen mobil und kontaktlos bezahlen. 24 DMR Impulse • Security • 2014 Kunden müssen für das Bezahlen mit dem Smartphone lediglich ihr Gerät nahe an das Zahlterminal halten, innerhalb von ein bis zwei Sekunden ist der Einkauf bezahlt. DMR: Wie sieht es um die zukünftige Bedeutung des mobilen Bezahlens aus? Aduno-Gruppe: Mobile Payment ermöglicht es, tägliche Einkäufe einfach und bequem zu bezahlen, ohne lästiges Kleingeld hervorkramen zu müssen. Es ersetzt primär das Bargeld und ergänzt bestehende Zahlungsmöglichkeiten wie beispielsweise Kreditkarten. DMR: Worin liegt der Mehrwert für den Kunden? Aduno-Gruppe: Mobile Payment wird zukünftig Teil des „Digital Lifestyle“ der Konsumenten. Dies bedeutet einerseits, dass Konsumenten ihre Einkäufe schneller und einfacher bezahlen können. Andererseits wird das digitale Portemonnaie auf dem Smartphone viele verschiedenen Karten wie Bezahlkarten und Kundenkarten, Tickets und Gutscheine von Detailhändlern enthalten, die man nun nicht mehr physisch im Portemonnaie mit sich tragen muss. Daneben hat man per App jederzeitige Kontrolle über seine Ausgaben. Die NFC-Technologie ermöglicht Bezahlvorgänge selbst dann, wenn der Akku des Smartphones erschöpft ist. DMR: Welche Vorteile haben Unternehmen, die mobiles Bezahlen anbieten? Aduno-Gruppe: Über die Befriedigung eines Kundenbedürfnis hinaus bietet Mobile Payment neue Möglichkeiten für die Verbindung von Zahlfunktion und weiteren Dienstleistungen, beispielsweise Bonussysteme. Thomas Weber, Manager Card Scheme Compliance bei der Aduno-Gruppe und Mitglied des European Fraud Advisory Committee MasterCard. Viseca Card Services SA (Viseca) ist ein Geschäftsbereich der Aduno-Gruppe. Viseca ist einer der größten Schweizer Herausgeber von Kredit- und PrePaid-Karten und gibt Kreditkarten unter den Marken der Kreditkartenunternehmen MasterCard® und Visa heraus. Dies erfolgt an Privatund Firmenkunden, für Schweizer Retailbanken, mehrere Co-Branding-Partner und im eigenen Namen. Sie erbringt sämtliche zugehörigen Kundendienstleistungen. DMR: Die NFC-Technologie eröffnet neue Geschäftsfelder. Welche Anwendungsbereiche sind am erfolg versprechendsten? DMR: Und wie sieht es mit der Sicherheit aus? Welche potenziellen Gefahren bestehen für den Kunden beim mobilen Bezahlen? Aduno-Gruppe: Mit der NFC-Technologie kann die Bezahlmöglichkeit auf diverse neue Träger übertragen werden. Intern wurden beispielsweise Tests mit Stickern und Schlüsselanhängern mit Kontaktlos-Funktion durchgeführt. Aduno-Gruppe: Das mobile Zahlen ist genauso sicher wie das Zahlen mit einer herkömmlichen Kreditkarte: Das Smartphone bleibt während des ganzen kontaktlosen Zahlungsvorgangs in Ihrer Hand. Für eine Transaktion muss die das Smartphone unmittelbar, das heißt mit zirka vier Zentimeter Abstand, ans Terminal gehalten werden. Pro Kontakt mit dem Terminal ist jeweils nur eine Transaktion möglich, da beim kontaktlosen Zahlen der Sicherheitschip einen dynamischen Code generiert, der für jede Transaktion einmalig ist. Mehrfachverwendungen dieses Codes oder falsche Codes werden sofort erkannt. Personenbezogene Daten, zum Beispiel der Name des Karteninhabers, werden nicht übertragen und sind nicht auf dem Chip gespeichert. Letztlich muss wie beim herkömmlichen Einsatz der Kreditkarte der Händler die Transaktion freigeben. Eine ungewollte Transaktion ist somit ausgeschlossen. DMR: Was ist entscheidend für die Kundenakzeptanz beim Einsatz dieser neuen Art des Bezahlens? Aduno-Gruppe: Um das elektronische Bezahlen in der Schweiz zu fördern, braucht es standardisierte Verfahren für alle Teilnehmer, seien dies Kreditkartenherausgeber, Mobilfunkanbieter oder andere Teilnehmer. Wichtig ist auch die Abdeckung der Akzeptanzstellen, die über ein kontaktlosfähiges Bezahlterminal verfügen. Diese ist heute jedoch bereits gut und verbessert sich laufend. DMR: Welches sind die größten Herausforderungen bei der Einführung von „Mobile Payment“? Aduno-Gruppe: Eine erfolgreiche Einführung hängt von der Akzeptanz im Markt ab, sowohl von den Händlern als auch der Konsumenten. Aus technologischer Sicht soll natürlich die Sicherheit für den Konsumenten jederzeit garantiert werden können. Diese erstreckt sich von der „over-the-air“ Personalisierung der Kreditkarte, beim Kontakt des Smartphone mit einem Kassensystem bis hin zu den jeweiligen Verwaltungsmöglichkeiten für den Kreditkarteninhaber. Dieses Ziel setzt ein durchdachtes Eco-System voraus, das von verschiedenen Technologie-Partnern getragen werden muss. DMR: Inwieweit wird „Mobile Payment“ das B ezahlen mit Bargeld oder Kreditkarte in Zukunft ersetzen können? Aduno-Gruppe: Zahlungen sollen in der Form durchgeführt werden können, die den individuellen Wünschen des Kunden entspricht. Mobile Payment wird eine neue Möglichkeit der Zahlung sein, die die Kreditkarte mehrheitlich ergänzt und nicht ersetzt. Aktuell und bis auf weiteres legen wir den Fokus klar auf die Kreditkarte. Ob Mobile Payment die Kreditkarte vollständig ersetzen kann, bleibt abzuwarten. 25 DMR Impulse • Security • 2014 Praxisbeispiel: SAP Security Framework – Sicherheit muss gelebt werden Jeder Konzern kennt Vorgaben und Regularien für die IT-Sicherheit, die an den verschiedensten Stellen – manchmal aus recht konkreten Anlässen oder einer speziellen „technologischen Brille“ heraus – erarbeitet werden. Sehr viele. Denn Daten- und Informationssicherheit sind nicht nur in diesen Zeiten aktuell. Woher will man wissen, was „sicher“ ist, wenn die Vorgaben zur Messung nicht einheitlich und bekannt sind? Dies gilt besonders für SAP-Systeme und deren spezifische Sicherheitsvorgaben. Bisher waren diese nur über eine Menge einzelner Dokumente zu finden – Dokumente mit verschiedenen Aktualitätsstufen, anderem inhaltlichem Aufbau, unterschiedlichem Scope, verschiedenen Fundorten, verschiedenen Autoren und Blickwinkeln sowie einer Menge an Querverweisen. Konkrete und umfassende Handlungsanweisungen zum Schutz der SAP-Systeme sind so für die, die es verantworten oder umsetzen sollen, nur unter Aufwand im Kontext zu erfassen – die Gefahr von „Schrankware“. Im Rahmen eines aktuellen Projektes hat Detecon ein SAP-Security Framework konzipiert und aufgebaut, um die Vorgaben inhaltlich zu konsolidieren, Whitespots zu identifizieren und die Inhalte intern online verfügbar zu machen. Zusätzlich wurde der Abgleich mit Rahmenwerken ermöglicht, etwa zu COBIT, ISO 27000 (Informationsicherheit, ISMS) oder ISO 22301 (Business Continuity). „Single Point of Truth“ – konsolidiert und verbindlich In mehreren Workshops wurde die Idee zusammen mit den betroffen Einheiten des Kunden konkretisiert und geplant: relevante und verpflichtende Vorgaben des Konzerns filtern, einheitlich erfassen, inhaltlich konsolidieren und übersichtlich wie transparent verfügbar machen. Mit Blick auf die mehr als 1000 SAP-Systeme im Scope und weltweit mehr als 100.000 SAP-Anwendern sehr verständlich. Richtlinien und Konfigurationen können nun zielgerecht abgefragt werden – eine erhebliche Arbeitserleichterung. Heute ist das erste Framework-Release live. Die wesentlichen Dokumente wurden analysiert, in inhaltliche Einheiten zerlegt und modularisiert – die Basis. Das Framework setzt die Module in den Kontext und deckt dadurch alle Ebenen ab. Über allgemeine Policies kann bis zu konkreten Security-Einstellungen für ein spezielles Release eines Application Servers navigiert werden, um konkrete Vorgaben zu finden – und so die reale Sicherheit an vielen Stellen schnell anheben und harmonisieren. Alle Vorgaben in der neuen Library sind weiterhin konzernweit verbindlich. Nun können diese über eine Datenbank und ein Web-Frontend auch zentral gepflegt und ausgewertet werden. Die Suche führt schnell, intuitiv und verlässlich zum Ziel – das Framework ist alltagstauglich. „Fragen wie ‚Welche Standard gilt für die Verschlüsselung bei SAP NetWeaver AS Java 7.3?‘ dürfen uns nicht in Verlegenheit bringen“, so Mark Großer, Projektleiter. Durch die Umsetzung mit Web 2.0-Elementen kann das Know-how der Experten ein fließen. Sie können Ergänzungsvorschläge machen, Kommentare hinterlassen und Change-Alerts für Änderungen an Vorgaben einstellen oder Checklisten erzeugen. Derzeit gibt es drei „Bäume“ für die aktive, persönliche Navigation zu den Antworten auf wichtige tägliche Fragen: die inhaltliche Hierarchie über alle Ebenen, den Aufruf nach Technologien – Einstieg nach GUI, Datenbank, Application Server, SAP-Release – und die Struktur der bisherigen Einzeldokumente. 26 DMR Impulse • Security • 2014 Intuitiv, modular und skalierbar Ob Fachbereich, IT-Verantwortlicher oder Administrator – jede Nutzergruppe muss im Framework finden, was sie braucht. Der Aufbau der inhaltlichen Hierarchie orientiert sich zur Wiedererkennung an den grundlegenden Security-Dokumenten auf Kundenseite. Dies umfasst die von SAP selber herausgegebenen Unterlagen. Das Framework bietet nun die Brücke zwischen allen Ebenen, um von Überschriften bis zur konkreten Handlungsanweisung zu navigieren: zielgruppenorientierte Transparenz. Neue einzelne Inhalte oder Dokumente können integriert werden – das Framework ist skalierbar und inhaltlich erweiterbar. So kann jede Nutzergruppe ihren Einstieg gemäß der eigenen Aufgabe wählen – wichtige Hilfe für gelebte Sicherheit. Alles Verbindliche ist aus einer Quelle verfügbar: online, transparent und zielgerichtet abrufbar. Der nächste Schritt ist die komplett individuelle, personalisierte Auswertung aus dem Tool. Schließlich will sich das Projektteam regelmäßig von der Nutzerfreundlichkeit der Security Library und seiner Akzeptanz überzeugen. Denn: „Ist Sicherheit anstrengend und unkonkret, wird sie vernachlässigt“. 27 DMR Impulse • Security • 2014 8. Detecon Statements „Die Mobilisierung des Unternehmens war der Auslöser für die Entwicklung einer umfassenden Informationssicherheitsstrategie.“ Dr. Etienne Auger „Auch für Security gilt, dass der Mensch immer weiter strebt. Was möglich ist, wird gemacht – Komplettschutz gibt es nicht.“ Mark Großer “Engagement für Informationssicherheit schafft Vertrauen – Vertrauen ist der Schlüssel zum Erfolg in der Dienstleistungsgesellschaft.“ Matthias Gruber „Das Kernelement sämtlicher Unternehmen liegt in ihrem s pezifischem Fachwissen. Diese Informationen werden teilweise in Daten g espeichert und sind schutzbedürftig – sie entscheiden über den U nternehmenserfolg.“ Alexander Helm „BCM stellt sicher, dass die kritische Geschäftsaktivitäten nach einer Störung im geforderten Zeitfenster wieder aufgenommen werden können“. Alexandre Horvath „Die Komplexität der Leistungsbeziehungen in Unternehmen und über die Unternehmensgrenzen hinweg nimmt zu. Business Continuity M anagement hilft Unternehmen bei der Minimierung der damit e inhergehenden Risiken und Abhängigkeiten.“ Jakob Keller „Viele der als theoretisch möglich eingestuften Angriffe auf mobile B ezahlungsmethoden konnten bis heute unter realen Bedingungen nicht durchgeführt werden. Bei einer nüchternen Betrachtung der potenziellen Schwachstellen stellt sich heraus, dass andere Angriffsmuster, wie Social Engineering oder das „Hacken“ von Kundendatenbanken, für Angreifer viel erfolgsversprechender sind.“ Leo Niedermann „Dem Schutz der kritischen Informationen der Unternehmens wird nach den umfangreichen Veröffentlichungen über die Aktivitäten staatlicher Institutionen sowie dem starken Anwachsen organisierter Kriminalität von allen Firmen verstärkt Aufmerksamkeit gewidmet.“ Torsten Stimmel „Ein effektives Sicherheitsmanagement führt zur Freisetzung von E insparungspotenzialen.“ Andrea Tribelhorn 28 DMR Impulse • Security • 2014 Kein Teil dieser Veröffentlichung darf ohne schriftliche Genehmigung der Detecon International GmbH r eproduziert oder vervielfältigt werden. © Detecon International GmbH, Januar 2014 [email protected] www.detecon.com DMR Impulse / Security / Januar 2014 [email protected] www.detecon.com