ALLeS VerNeTZT! ABer SIcHer?
Transcrição
ALLeS VerNeTZT! ABer SIcHer?
Ausgabe 4 ALLeS VerNeTZT! ABer SIcHer? Wie Unternehmen sich vor den Risiken der Digitalisierung schützen können eXPerTeNINTerVIeW „WIr BeOBAcHTeN eINe DIGITALe SOrGLOSIGKeIT“ Andreas Könen (BSI) über die neue Rolle des Digital Risk Officer DIe KuNST Der VerScHLÜSSeLuNG KeINe ANGST VOr INDuSTrIe 4.0 Über die Entwicklung und den Einfluss der Kryptographie in der digitalen Welt Mit der richtigen Sicherheitsstrategie das Potenzial der Vernetzung von IT und Produktion nutzen Editorial und Inhalt EDITORIAL Liebe Leserinnen und Leser, IT-Sicherheit ist eine der zentralen Herausforderungen im Zeitalter der Digitalisierung. Doch bei aller berechtigten Sorge und Vorsicht überwiegt der Nutzen, den die digitale Revolution uns in allen Wirtschafts- und Gesellschaftsbereichen bietet: So ermöglicht es Industrie 4.0, individuelle Produkte kosteneffizient zu produzieren. Und das Smart Home trägt dazu bei, Energie zu sparen, indem beispielsweise Heizung oder Waschmaschine effizienter gesteuert werden können. Damit diese Potenziale sich entfalten können, braucht es Mut zur Innovation und IT-Lösungen, die zuverlässig vor Risiken schützen. Denn die zunehmende Vernetzung im Internet der Dinge vergrößert die Angriff sfläche von Unternehmen. Wie kann gewährleistet werden, dass nur berechtigte Personen Zugriff auf sensible Inhalte haben? Wie können Unternehmen ihre Kommunikationskanäle, Prozesse und Systeme vor Cybergefahren absichern? Unser Titelthema setzt sich mit diesen und weiteren essenziellen Fragen rund um IT Security anhand von Interviews, Gastbeiträgen und Praxisbeispielen auseinander. Wir zeigen Ihnen, wie Sie Ihre IT-Landschaft mithilfe von Lösungen, die sich nahtlos in die eingesetzte Hardware integrieren lassen, effektiv schützen können. Solche eingebetteten Schutzschilde haben einen entscheidenden Vorteil: Durch die direkte Verbindung mit den Geräten sorgen sie ohne Zutun des Anwenders oder Administrators automatisch für mehr Sicherheit. So erfahren Sie in dieser Ausgabe, wie Sie in Ihrem Unternehmen den Mehrwert der Vernetzung ausschöpfen und von den Möglichkeiten des Internets der Dinge profitieren können. Eine anregende und spannende Lektüre wünscht Ihnen Ihr Martin Böker Director Enterprise Business Division Samsung Electronics GmbH INHALT In Kürze Welten 04 15 Branchen-News Gefahr durch Cyberkriminelle steigt | Welche Daten sind wichtiger? | Sicherheitsbedenken hemmen Investitionen | Mobile Endgeräte oft unzureichend gesichert | Abgestimmte Sicherheitskonzepte und verbindliche Regelwerke | Alter schützt vor Torheit nicht | IT-SicherheitsMarkt wächst | Mehr Sicherheit im Auto dank Fahrzeugzustandserfassung Kleine Kniffe, große Wirkung 19 Sicherheit hinter jedem Pixel Der sichere, virtuelle Arbeitsplatz kommt aus der Cloud 21 Service-Versprechen eindrucksvoll eingelöst Samsung Kundenservice mehrfach ausgezeichnet 22 Interview: Balanceakt zwischen Sicherheit und Nutzen So wappnen sich Sicherheitsverantwortliche für das Internet der Dinge 32 IT-Unsicherheit als neuer Status quo? Die Evolution des Sicherheits- zum ganzheitlichen Risikomanagement 34 Der passende Schlüssel Speicherlösungen mit integrierten Kodierungsfunktionen Clevere Ideen für die Herausforderung "Digitales Leben" 08 30 Wie Unternehmen Mobilgeräte sicher in ihre IT einbinden Erfahren 06 Mobil und produktiv arbeiten: die Vernetzung zweier Welten Interview: Wir beobachten eine digitale Sorglosigkeit Neue Prozesse und Führungsrollen zum digitalen Risikomanagement 36 Die Kunst der Verschlüsselung Interview: Cyberkriminelle sind heute gut bezahlte Profis Wie kleine und mittelständische Unternehmen ihre Cyberabwehr aufrüsten 38 Mit Netz und doppeltem Boden Ganzheitliche Sicherheitsstrategien schützen vor internen Risiken Eintauchen 24 12 Industrie 4.0 – aber sicher! Wenn Digitalisierung und Produktion aufeinandertreffen Titelstory: Total vernetzt – sicherlich unsicher? Über Risiken und Nebenwirkungen beim Vernetzen der Welt Erleben 41 Apps & Co. Sicherheit auf allen Kanälen Entdecken 43 Kontakt Impressum Umfrage 5 GALAXYESN! N IN GEW 02 | 03 In Kürze I Branchen-News 04 | 05 In den zwölf Monaten vor November 2014 hatten mehr als die Hälfte (56 Prozent) aller deutschen Firmen Sicherheitsprobleme mit mobilen Endgeräten. Das bestätigt eine Studie von BT. Bei mindestens zwei Fünftel der Befragten sind im gleichen Zeitraum sogar mehr als vier solcher Sicherheitsvorfälle aufgetreten. Dennoch verfügen viele Unternehmen in Deutschland nicht über ausreichende Sicherheitsmaßnahmen, um sich vor Risiken wie Diebstahl, Verlust von Endgeräten oder Malware zu schützen. Um mit der sich schnell ändernden Gefahrenlandschaft mithalten zu können, sollten sich Unternehmen das Thema IT-Sicherheit stärker bewusst machen, zum Beispiel indem sie neben regelmäßigen Überprüfungen der Sicherheitsrichtlinien kontinuierlich Sicherheitsschulungen für Mitarbeiter durchführen. Denn die Einstellung der eigenen Mitarbeiter stellt nach Meinung der Studien-Autoren das größte Risiko für die Datensicherheit dar. Dieses Phänomen hat Samsung in der „People-Inspired Security“Studie untersucht: Um Privat- und Berufsleben besser „unter einen Hut“ zu kriegen, nutzen Mitarbeiter immer häufiger für beides ein und dasselbe mobile Endgerät. Indem sie dabei die Apps ihrer Wahl nutzen, ohne sich an die Compliance-Vorschriften ihres Unternehmens zu halten, werden Angestellte zu „Hired Hackers“.3 44% der befragten Unternehmen nennen die Angst vor Sicherheitsverletzungen als größtes Hindernis für den Ausbau mobiler Lösungen. Abgestimmte Sicherheitskonzepte und verbindliche Regelwerke 1 Quelle: http://www.funkschau.de/telekommunikation/artikel/114288/?cid=NL, 04.11.2014 2 Quellen: http://www.it-finanzmagazin.de/dell-studie-die-cloud-revolution-findet-bereits-statt-6077/, 2014; https://kapost-files-prod.s3.amazonaws.com/uploads/direct/1415199563-23-1043/Executive_Summary_Global_Technology_Adoption_Index.PDF, Nov. 2014 3 Quellen: http://www.it-production.com/index. php?seite=einzel_artikel_ansicht&id=61827 , 08.12.2014; http://www.samsung.com/de/news/product-/samsung-studie-unternehmen-unterschatzen-das-interne-sicherheitsrisiko, 30.06.2014 4 Quelle: http://www.all-about-security.de/security-artikel/organisation/security-management/artikel/16587-persoenliche-daten-wichtiger-als-unternehmensdaten/, 11.12.2014 Alter schützt vor Torheit nicht IT-Sicherheitsmarkt wächst Umso älter Nutzer sind, desto unvorsichtiger sind sie im Umgang mit IT. Wie eine Umfrage des Marktforschungsinstituts TNS Emnid im Auftrag der Deutschen Telekom belegt, verzichten 31 Prozent der über 60-Jährigen auf digitale Schutzmaßnahmen wie das regelmäßige Verwenden und Aktualisieren von Antivirensoftware, das Verschlüsseln von Daten oder das regelmäßige Ändern von Passwörtern. Je älter die Anwender, desto schlechter ist nach eigener Einschätzung das IT-Wissen. Abhilfe kommt hier meist aus dem privaten Umfeld: Wenn das eigene IT-Wissen an Grenzen stößt, wenden sich 60 Prozent der Befragten an Familie und Freunde. Nur 23 Prozent ziehen kostenpflichtige Profis zu Rate.6 Bis zum Jahr 2020 wird im besten Fall ein jährliches Wachstum der deutschen ITSicherheitswirtschaft von knapp 14 Prozent erwartet. Das belegt eine aktuelle Studie, die das Bundesministerium für Wirtschaft und Energie veröffentlicht hat. Damit zählt die IT-Sicherheitswirtschaft in Deutschland zu den leistungsfähigsten Zukunftsbranchen und bietet enormes Wachstumspotenzial. Gleichzeitig spielt sie in der zunehmend digitalisierten Welt eine entscheidende Rolle, um Vertrauen, Sicherheit und Datenschutz zu gewährleisten.7 t 2020 h af Bildquelle: Fotolia / goodluz Bildquelle: © istockphoto / Imilian Welche Daten sind wichtiger? Der neue NTT Com Security Risk: Value-Report identifiziert vier Gruppen von Befragten hinsichtlich der Wertschätzung und Absicherung von Unternehmensdaten: die „Versierten“, die „Informierten“, die „Passiven“ und die „Arglosen“. Die Studie belegt, wie wichtig unterschiedliche Datentypen für Unternehmen sind. Die Umfrage zeigt deutliche Unterschiede auf: Für die Gruppe der „Arglosen“ sind die persönlichen Daten mit 33 Prozent wichtiger als die Unternehmensdaten (18 Prozent). Die „Versierten“ hingegen sehen das genau umgekehrt. 33 Prozent der Befragten bewerten die Wichtigkeit der Unternehmensdaten höher als persönliche Daten (16 Prozent). Die Studie belegt, dass versierte Unternehmen bereit sind, mindestens zehn Prozent ihrer IT-Budgets für den Schutz ihrer Daten zu investieren, und damit ihre kritischen Daten am ehesten schützen.4 In Unternehmen findet die geschäftliche Kommunikation heutzutage hauptsächlich per E-Mail statt. Sicherheitsaspekte bleiben aber nach wie vor oftmals unberücksichtigt. Und das, obwohl sich Schutzmaßnahmen wie Ende-zu-EndeVerschlüsselung relativ einfach in fast jeder IT-Umgebung installieren lassen. Insbesondere bei Firmeninformationen und persönlichen Daten sind wichtige Sicherheitsaspekte zu beachten. Daher raten Experten: Firmen sollten für ihre Infrastrukturen auf die jeweiligen Bedürfnisse abgestimmte Sicherheitskonzepte entwickeln und Regelwerke im Unternehmen verankern, die für alle Mitarbeiter verbindlich gelten.5 +1 4% Si IT- BuSINeSS LIFe ONLINe Die aktuelle Ausgabe des Business Life Magazins können Sie auch im Web lesen: www.samsung.de/ business-life Mehr Sicherheit im Auto dank Fahrzeugzustandserfassung Fahrzeuge verfügen über immer mehr Multimedia-Anwendungen, die den Fahrer leicht ablenken können, was schnell in einem Verkehrsunfall enden kann. Hinzu kommen äußere Faktoren wie Stress oder Müdigkeit. Um dem entgegenzuwirken, arbeitet die Automobilindustrie zunehmend an Fahrzeugen, die über eine serienmäßige halbautonome Kontrolle Bildquelle: © shutterstock / Syda Productions Das Thema Sicherheit bereitet den Verantwortlichen bei der Einführung von Cloud, mobilen Lösungen und Big Data die größten Sorgen. Das ist ein Ergebnis der Studie Global Technology Adoption Index (GTAI) von Dell. Vor allem Sicherheitsbedenken halten Unternehmen davon ab, in neue Technologien zu investieren. Nur jedes vierte befragte Unternehmen hat konkrete Pläne, um gegen alle Arten von Sicherheitsverletzungen gerüstet zu sein. Im Bereich Mobility stellen für Unternehmen neben der Gefahr eines Datenmissbrauchs, verlorene Geräte und ungeschützte WLANs das größte Risiko dar. 44 Prozent der befragten Unternehmen nennen die Angst vor Sicherheitsverletzungen als größtes Hindernis für den Ausbau mobiler Lösungen im Unternehmen.2 ts c Die Gefahr von Industriespionage wird nach Meinung der Sicherheitsexperten von Trend Micro weiter ansteigen. Der Grund sind vor allem das Internet der Dinge, die neuen Wearables und mobile Bezahlsysteme, die als unbeabsichtigten Nebeneffekt immer mehr Angriffsziele und -möglichkeiten erzeugen. Ermutigt durch die vergangenen Erfolge, werden professionelle Hacker nach Einschätzung von Trend Micro ihre Angriffe auf mehr Länder und Ziele ausdehnen. Um diesen Angriffen vorzubeugen, sollten Unternehmen sich daher schon jetzt darauf einstellen und ein entsprechendes Risikomanagement verankern.1 Mobile Endgeräte oft unzureichend gesichert ch er he its wir Gefahr durch Cyberkriminelle steigt Sicherheitsbedenken hemmen Investitionen Bildquelle: © shutterstock / Myfeel Creative Bildquelle: Fotolia / weerapat1003 IN KÜrZe: BrANcHeN-NeWS verfügen. Dazu wird die Ablenkung eines Fahrers durch Telefongespräche, Essen und Trinken oder Umdrehen nach den Kindern auf dem Rücksitz überwacht. Ziel ist es, auf Basis eines besseren Verständnisses des Fahrerverhaltens und einer Überwachung der Blickrichtung des Fahrers das Risiko zu verringern, das sich aus einer kurzen Unaufmerksamkeit entwickeln kann. Das Fahrzeug reagiert beispielsweise, sobald der Fahrer Anzeichen von Müdigkeit erkennen lässt.8 5 http://www.security-insider.de/themenbereiche/applikationssicherheit/kommunikations-sicherheit/articles/468879/, 08.12.2014 6 Quelle: http://www.telekom.com/medien/konzern/241836 , 10.07.2014 7 Quellen: http://www.it-administrator.de/themen/sicherheit/172796.html, 24.11.2014; http://www.bmwi.de/DE/Mediathek/publikationen,did=669400.html, Nov. 2014 8 Quelle : http://www.elektroniknet.de/ automotive/assistenzsysteme/artikel/114936/, 24.11.2014 Erfahren | Herausforderung digitales Leben LIeBer ScANNeN ALS MerKeN Kleine Kniffe, große Wirkung Es ist nicht übertrieben zu behaupten, dass fast jede Person, die regelmäßig im Internet einkauft, im Laufe der vergangenen zwölf Monate von mindestens einem Online-Händler aufgefordert wurde, das Passwort zu ändern. Hackern gelingt es nämlich immer wieder, beachtliche Mengen an Zugangsdaten von vermeintlich sicheren Datenservern zu stehlen. Gegen solche Vorfälle hilft auch das komplexeste und längste Passwort nichts. Bei Verizon3 wurde intensiv darüber nachgedacht, wie sich die Gefahr des Identitätsdiebstahls mittels Passwortklau eindämmen lässt. Das Ergebnis dieser Überlegungen ist überraschend simpel, verspricht jedoch Effektivität: ein QR Code Login. Das Prinzip ist vielen Nutzern vom Online-Banking bekannt. Es wird ein individueller Code auf der zu betretenden Website gescannt, der nur einmal verwendet werden kann. Der große Unterschied: Während Bankkunden einen separaten Scanner benötigen, wird diese Aufgabe mit einer eigens entwickelten QR Code-App gelöst, die sich bei teilnehmenden Web-Anbietern auf das Smartphone laden lässt. Nach der einmaligen Registrierung erhält der Nutzer einen Code, mit dem er die App aktiviert. Über die App scannt er den individuellen Code, der einmalig für ihn auf der jeweiligen Webseite generiert wird. Auf dieser Basis erfolgt die Authentifizierung seiner Identität und er erhält Zutritt zur gewünschten Seite. Gerade bei vernetzten Heimgeräten ist Sicherheit ein sensibler Faktor. Ob Steuerung von Heizung oder elektrischen Rollläden, Set-Top-Boxen oder andere Smart-Home-Lösungen wie Netzwerkkameras oder Rauchmelder: Die Tatsache, dass sich diese via Internet- oder WLAN-Verbindung steuern lassen, macht sie nicht nur praktisch, sondern auch zum Angriff spunkt für Manipulationen. Bestehende Sicherheitslösungen, die beispielsweise auf Routern vorinstalliert sind, reichen für das Niveau der immer raffi nierteren Angriff smethoden oftmals nicht aus. Eine Lösung hat das kalifornische Start-Up Itus Networks unter dem Namen iGuardian2 entwickelt. Das kleine Gerät wird zwischen Internetbuchse und Router eingesteckt und benötigt keine separate Konfiguration. Es filtert auf diese Weise alle eingehenden Daten nach Viren, Mal- oder Spyware und blockt sie ab. Zudem aktualisiert sich die darauf installierte Software automatisch. Ein großer Vorteil ist, dass der iGuardian in Kombination mit einem WLAN-Modul auch als Router fungieren kann und so sämtliche eingehenden Daten prüft, bevor sie bei den verschiedenen Geräten im Haus ankommen. Weitere Informationen zu Samsung Smart Home unter: www.samsung.com/de/app/smarthome/homesmarthome HOT Or NOT? DIGITALeS TATTOO FÜr eILIGe Mit dem Begriff Tattoo verbindet man etwas Bleibendes. Inzwischen sind aber auch Henna-Malereien und Temporary Tattoos, die nach einiger Zeit wieder verschwinden, beliebt. So ist auch die Bezeichnung Digital Tattoo des Herstellers VivaLnk4 ein wenig irreführend. Dabei handelt es sich nämlich keineswegs um Tinte, die eine dauerhafte Zeichnung auf der Haut hinterlässt, sondern um relativ langlebige Pflaster. Auf eine gut zugängliche Stelle des Körpers, zum Beispiel die Innenseite des Handgelenks, oder ein beliebiges Objekt geklebt, sorgt der Sticker in Größe eines 2-Cent-Stücks für ein blitzschnelles Entsperren von NFC-fähigen Smartphones oder öff net beziehungsweise aktiviert Apps und Funktionen. Ein kurzes Tippen auf das Tattoo genügt. Die Idee dahinter: Viele Menschen sind genervt davon, ihr Smartphone für jede kurze Handlung mit Code, Geste oder Sperrmuster zu entsperren. Für solch ungeduldige Menschen kann das Tattoo eine praktische Alternative sein. Ein Tattoo soll nach Herstellerangaben drei bis vier Tage halten und auch sportliche Aktivitäten und Duschen überstehen. 1 Diese und weitere Trends wurden recherchiert und zur Verfügung gestellt durch TrendOne (http://www.trendone.com/) 2 Quelle: https://www.kickstarter.com/projects/itus/iguardian-the-home-internet-security-system, 12.09.2014 3 Quelle: http://news.verizonenterprise.com/2014/08/security-qr-code-encryption-login/, 26.08.2014 4 Quelle: http://www.vivalnk.com/, 16.12.2014 Bildquellen: © istockphoto / BahadirTanriover, Rebirth3d Illustration: © Lorena Addotto Dass die Methoden der Hacker und Cyberkriminellen immer ausgebuff ter werden, lässt sich täglich in den Medien nachlesen. PC, Tablet, Smartphone & Co. sind daher meist umfassend durch Anti-Virus-Software, Firewall-Lösungen, Sicherheitsplattformen wie Samsung KNOX TM oder Intrusion Prevention Systeme zur Abwehr von entdeckten Angriffen geschützt – besonders in Unternehmen, aber auch auf privaten Geräten. Bildquellen: © istockphoto / Balavan, beijingstory Die rasante Digitalisierung stellt die Menschen vor immer neue Herausforderungen – ob im Hinblick auf Technologien, die Art des Kommunizierens oder ganz allgemein durch die Veränderung des Alltagslebens. Zum Glück gibt es findige Köpfe, die es mit cleveren Ideen allen leicht machen, einen bequemen und sicheren Weg durch den digitalen Dschungel zu finden. Eine kleine Auswahl1 finden Sie hier. Werden sich diese Innovationen einen festen Platz im Alltag erobern? Machen Sie sich einfach Ihr eigenes Bild. ScHLAue ScHATuLLe FÜr SIcHerHeIT IM SMArT HOMe 06 | 07 Erfahren | Kunst der Verschlüsselung 08 | 09 Die Kunst der Verschlüsselung Ob EC-Karte, Internet oder Smartphone – unser Alltag ist ohne Verschlüsselung vertraulicher Informationen längst nicht mehr vorstellbar. Doch wie funktionieren kryptografische Verfahren? Und wie sicher sind Chiffriermethoden in der digitalen Welt? Antworten gibt ein Streifzug durch die Geschichte der Verschlüsselung von Albrecht Beutelspacher, Mathematikprofessor an der Justus-LiebigUniversität in Gießen und Gründer sowie Direktor des dortigen Mathematikums. LITerATur-TIPP von A. Beutelspacher. Taschenbuch aus der Reihe Wissen des C. H. Beck Verlags. Bildquelle: © istockphoto / 4X-image Geheimsprachen – Geschichte und Techniken Die Verschlüsselung von Informationen ist eine unverzichtbare Grundlage für die meisten Geschäftsmodelle in der digital vernetzten Welt. Doch das Bedürfnis, vertraulich miteinander zu kommunizieren, kam keineswegs erst in der Neuzeit auf. Tatsächlich reichen die Ursprünge heutiger Krypto-Verfahren weit in die Geschichte unserer Zivilisation zurück. Wahrscheinlich sind chiff rierte Texte so alt wie die Schriftkultur selbst. Mit Sicherheit weiß man indes, dass schon im alten Orient verschlüsselte Botschaften im Umlauf waren. So fand man zum Beispiel auf einer mesopotamischen Tonscherbe ein chiff riertes Glasurrezept in Keilschrift – offenbar wollte ein findiger Töpfer sein Betriebsgeheimnis vor neugierigen Konkurrenten schützen. drei Positionen nach hinten – aus A wurde D, aus B wurde E und so weiter. Dabei denkt man sich das Alphabet auf einem geschlossenen Kreis aufgereiht, so dass X in A, Y in B und Z in C übergeht. Statt mit der 3 lassen sich Texte nach dieser Methode selbstverständlich auch mit jeder anderen Zahl zwischen 1 und 25 verschlüsseln. Mehr Varianten gibt es allerdings nicht. Denn die Zahl 26 entspricht einer vollen Kreisdrehung, die A wieder auf A und B wieder auf B verschiebt. Der zu codierende Text bliebe somit unverändert. Wer die Verschlüsselungsvorschrift kennt, kann den geheimen Text dechiff rieren, indem er alle 25 Schlüsselvarianten der Reihe nach durchprobiert. Wie Cäsar Briefe chiffrierte Gut 1.500 Jahre später schrieb Julius Cäsar vertrauliche Briefe an Cicero in einer Geheimschrift, deren Grundidee auch in der modernen Kryptografie noch eine Rolle spielt: Um den Klartext seiner Briefe zu chiff rieren, verschob der römische Feldherr die Buchstaben im Alphabet um Erschwert wird einem Code-Knacker sein Vorhaben, wenn die Buchstaben des Originaltextes nicht einfach nur verschoben, sondern gleichsam verwürfelt und durch Zahlen oder Zeichen anderer Alphabete ersetzt werden. Auf diese Weise lassen sich auch strukturelle Ähnlichkeiten zwischen Klar- und Chiff ren-Texten 08 | 09 Erfahren | Kunst der Verschlüsselung Bildquelle: © istockphoto / DillonStein Lorem ipsum dolor unkenntlich machen. So kommt im Deutschen zum Beispiel der Buchstabe E statistisch am häufigsten vor. Der CodeKnacker könnte also durch eine Häufigkeitsanalyse das Geheimtextäquivalent des Buchstabens E identifizieren. Chiffriermaschinen: Vorstufe moderner Krypto-Verfahren Um Texte auf komplexere Weise verschlüsseln zu können, waren bereits im 15. Jahrhundert mechanische Chiff rierScheiben in Gebrauch. Sie können als Vorformen von Verschlüsselungsmaschinen gelten, deren bekanntester Vertreter die Enigma ist: Die Maschine, mit der die deutsche Wehrmacht im 2. Weltkrieg ihre Funksprüche verschlüsselte, bestand im Wesentlichen aus rotierenden Walzen. Mit ihrer Hilfe konnten ein und demselben Buchstaben immer wieder andere Chiff ren-Zeichen zugeordnet werden. Eine simple Häufigkeitsanalyse half bei der Schlüsselsuche daher nicht mehr weiter. Hinzu kam, dass die Wehrmacht den Enigma-Schlüssel im Tagesrhythmus wechselte. Allerdings umsonst: Ein Kryptologenteam – darunter auch der berühmte Mathematiker Alan Turing – fand mit einer Kombination mehrerer Enigma-Nachbauten den jeweiligen Tagesschlüssel heraus. So konnten die Alliierten den deutschen Funkverkehr mit geringem Zeitverzug abhören. Bereits an Cäsars Verfahren lässt sich ablesen, dass für die Verschlüsselung von Informationen prinzipiell zwei Dinge vonnöten sind: Eine Chiffriervorschrift – hier die Verschiebung der Buchstaben im Alphabet – und ein Schlüssel, der in diesem Fall aus der Anzahl der verschobenen Positionen besteht. Zum Dechiffrieren muss der Adressat sowohl den Schlüssel als auch die Vorschrift kennen. Genauer: Er muss die Umkehrfunktion der Verschlüsselungsvorschrift kennen – was in Cäsars Fall ganz einfach die Buchstabenverschiebung um die Schlüsselzahl in entgegengesetzter Richtung war. Im Allgemeinen jedoch ist es keineswegs so einfach, zu einer bekannten Zuordnung die jeweilige Umkehrfunktion aus einem solchen Produkt die enthaltenen Prim-Faktoren errechnet. Allerdings gibt es auch keinen mathematischen Beweis, dass ein solches Verfahren nicht vielleicht doch existiert. Der Zahl 143 mag man noch ohne viel Rechnen ansehen, dass sie sich als Produkt aus 11 und 13 ergibt. Bei größeren Zahlen aber bleibt nichts anderes übrig, als alle darunterliegenden Primzahlen der Reihe nach durchzuprobieren. Bei einer 50-stelligen Zahl wären dafür in etwa 14 Milliarden Rechenschritte notwendig. Erhöht sich die Stellenzahl von 50 auf Umkehrfunktion anzugeben. Bei einem altmodischen Telefonbuch etwa, das nur in gedruckter Form vorliegt, ist es ohne weiteres möglich, zu einem Namen sehr schnell die zugehörige Telefonnummer aufzufinden. Eben dafür wurden sie in alphabetischer Ordnung gedruckt. Umgekehrt ist es jedoch überaus schwierig, zu einer vorgegebenen Rufnummer den jeweiligen Anschlussinhaber zu ermitteln. Geheimnisvolle Primzahlen Genau hierin liegt der große Vorteil der Primzahl-Verschlüsselung, die Rivest, Shamir und Adleman vom Massachusetts Institute of Technology 1978 vorschlugen und die heute nach den drei Entdeckern als RSA-Verfahren benannt für viele asymmetrische Verschlüsselungen zum Beispiel beim Aufruf einer Bank-Website im Internet verwendet wird. Es ist zwar leicht, zwei nur durch 1 und sich selbst teilbare Zahlen wie 11 oder 13 miteinander zu multiplizieren. Doch ist bis heute kein Algorithmus bekannt, der im Sinne einer 500, ist die Anzahl der erforderlichen Rechenschritte ihrerseits schon 40 Stellen lang. Eine Stelle mehr in der Ausgangszahl erhöht den Rechenaufwand also um eine Zahl mit 19 Stellen. Mit derartigen Größenordnungen sind alle heutigen Computer überfordert. Dies könnte sich jedoch durch die Entwicklung sogenannter Quantencomputer schlagartig ändern – mit dramatischen Folgen. Denn sobald die Faktorisierung in Primzahlen in hinreichend kurzer Zeit gelingt, bräche eine Unzahl digitaler Ge- schäftsmodelle plötzlich wegen fehlender Vertraulichkeit zusammen. Da diese Geschäftsmodelle unser Wirtschaftsleben und auch den privaten Alltag signifikant prägen, suchen Kryptologen überall auf der Welt mit Hochdruck nach neuartigen Verschlüsslungsverfahren. Und zwar nach solchen, von denen man beweisen kann, dass es für sie keine berechenbaren Umkehrfunktionen gibt. Damit könnte die Vertraulichkeit der digitalen Kommunikation dann auch im Zeitalter der Quantencomputer zuverlässig abgesichert werden. FÜNF TIPPS FÜr eIN SIcHereS PASSWOrT Bildquelle: © istockphoto / mishooo 10 | 11 • Benutzen Sie für verschiedene Accounts unterschiedliche Passwörter und wechseln Sie diese regelmäßig. • Vermeiden Sie Muster, die durch Zeichenwiederholungen oder nebeneinander liegende Tasten wie „asdf“ oder „dgl.“ entstehen. • Namen von Angehörigen, Haustieren oder Geburtstage sind zwar einprägsam, aber tabu. • Besser ist es, sich Eselsbrücken zu bauen, zum Beispiel: „Meine Oma heiratete mit 23 einen Mann, der Georg hieß“. Die Anfangsbuchstaben davon ergeben: „MOhm23eMdGh“. • Alternativ dazu kann man sichere Passwörter auch per App generieren, zum Beispiel mit PWGen (http://pwgen-win.sourceforge.net). 10 | 11 Lorem ipsum dolor Erfahren | Industrie 4.0 12 | 13 Industrie 4.0 – aber sicher! Wenn Digitalisierung und Produktion aufeinandertreffen Ein Zauberwort geistert derzeit durch die deutsche Wirtschaft: Industrie 4.0. Die einen versprechen sich davon flexible Produktionsstraßen, die automatisch und sofort jeden Kundenwunsch erfüllen. Die anderen fürchten durch die Vernetzung von IT und Produktion den Zusammenbruch ganzer Wirtschaftszweige. Auch wenn letzteres stark übertrieben klingt: Tatsächlich müssen alle Beteiligten möglichst frühzeitig gemeinsam zuverlässige Sicherheitsansätze für Industrie 4.0 entwickeln. Bildquelle: © shutterstock / SFC 12 | 13 Schon bei der Konzeption der Fertigungsprozesse ist die Sicherheit von Anfang an zu berücksichtigen und nicht erst im Nachhinein. Das sonst zwangsläufig entstehende Flickwerk wird schwierig in der Wartung und dadurch sehr anfällig für Sicherheitslücken oder Konfigurationsfehler. Für Deutschland besitzt die vierte industrielle Revolution eine hohe Bedeutung, denn hierzulande liegt der Anteil der Industrie an der Wirtschaft mit 22 Prozent weit über dem europäischen Durchschnitt1. Die hier ansässige Fertigungsbranche kann es sich gar nicht leisten, Industrie 4.0 zu ignorieren. Sie würde damit die Wettbewerbsfähigkeit des Wirtschaftsstandortes Deutschland leichtfertig aufs Spiel setzen. deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab, einem führenden Anbieter von IT-Sicherheitslösungen. „Schon bei der Konzeption der Fertigungsprozesse ist die Sicherheit von Anfang an zu berücksichtigen und nicht erst im Nachhinein. Das sonst zwangsläufig entstehende Flickwerk wird schwierig in der Wartung und dadurch sehr anfällig für Sicherheitslücken oder Konfigurationsfehler.“ Die dafür notwendige Vernetzung der Maschinen untereinander sowie mit der IT führt zu hohen Investitionskosten. Unternehmen müssen ihre zwar teils seit Jahrzehnten bewährten, aber damit auch veralteten und nicht vernetzungsfähigen Maschinen austauschen. Dabei ist zwingend im ersten Schritt die Einführung geeigneter Sicherheitslösungen zu planen, da durch die Anbindung an ein Datennetz Schadprogrammen und Spionen Tür und Tor geöffnet wird. Die Verbreitungswege der Cyber-Gefahren führen von den Büro-Computern über das IT-Netz direkt in die Fertigungsstraßen. Gleichzeitig müssen die Hersteller der Software für Produktionsmaschinen Schnittstellen für Security-Lösungen in ihre Programme integrieren. Und die Anbieter von Sicherheitssoftware sollten auch ihre Ansätze an die Anforderungen der Fertigung anpassen. Daneben sollten für sämtliche eingesetzten Betriebssysteme und Anwendungen möglichst wenige Aktualisierungen nötig sein, um die Effizienz der Infrastruktur so optimal wie möglich zu gestalten. So hat das Bundesamt für Sicherheit in der Informationstechnik vor Kurzem berichtet, dass sich Unbekannte mittels gezieltem Datendiebstahl Zugang zu den internen Netzen eines deutschen Stahlwerks verschaff t und den Hochofen lahmgelegt haben.2 Über Phishing, also das Abgreifen persönlicher Informationen über gefälschte Webseiten oder E-Mails, erlangten die Angreifer Zugriff auf das Büronetz und darüber auf die Produktionsnetze. Anschließend konnte der Hochofen nicht mehr korrekt heruntergefahren werden und es entstanden massive Schäden an der Anlage. Sicherheit geht alle an „Bei der Absicherung der Produktion spielen die Unternehmen selbst eine Schlüsselrolle“, so Christian Funk. Er ist Leiter des Wo ein Netz ist, ist auch ein Weg „Die Sicherheitslösungen können aber nur ein Teil der Gesamtarchitektur sein“, erklärt Christian Funk. „Sie müssen etwa durch eine Segmentierung der Netzwerke ergänzt werden, damit sich Schadprogramme nicht auf andere Bereiche ausbreiten.“ Dies funktioniert ähnlich wie bei Brandschutztüren, die ein Ausbreiten von Feuer verhindern. Das Betriebssystem und die Anwendungen für die Produktionsmaschinen sollten auf das Notwendigste reduziert werden. Das ist der beste Weg, um Schwachstellen durch überflüssige Programmanhängsel zu vermeiden. Zusätzlich ist der Einsatz so genannter Whitelists zu empfehlen. Diese erlauben ausschließlich Prozesse, die für die Produktion notwendig sind, alle anderen Aktivitäten werden verhindert. Das vermeidet nicht nur unnötige Risiken, sondern minimiert Ausfälle und schont die Maschinen. 1 Quelle: http://www.tagesschau.de/wirtschaft/deutschland-frankreich-wirtschaft-100.html, 22.09.2014 2 Quelle: https://www.bsi.bund.de/DE/Publikationen/Lageberichte/bsi-lageberichte.html, 19.01.2015 Erfahren | Industrie 4.0 Eindeutige Regeln sind notwendig „Klare Richtlinien für die Nutzung von Anwendungen und Geräten sind ebenfalls wichtig, wie ein Verbot von USB-Sticks“, ergänzt Christian Funk. Schließlich haben viele Mitarbeiter in der Produktion keine große Erfahrung beim Thema IT-Sicherheit. So laden sie aus Unachtsamkeit, oder weil es so praktisch ist, Programme und Daten aus dem Internet herunter und setzen sie an der Produktionsmaschine ein – Übertragung mitgeschleppter Cyber-Schädlinge inklusive. Wie gefährlich diese Praxis ist, zeigte vor wenigen Jahren der Computerwurm Stuxnet. Er verbreitete sich wohl über USBSticks, welche an die Notebooks zur Programmierung und Wartung der Steuerung von Simatic-S7-Anlagen angeschlossen wurden. Anschließend manipulierte er zum Beispiel in iranischen Anlagen zur Urananreicherung die Drehzahl der Zentrifugen und schädigte dadurch die Uranproduktion. Nach Angaben eines iranischen IT-Experten soll der Stuxnet-Angriff rund 30.000 Computer in seinem Land infiziert haben. Dadurch verzögerte sich die Inbetriebnahme des ersten iranischen Atomkraftwerks in Buschehr um mehrere Monate. 3 Problem bekannt – aber auch gebannt? Nicht nur Mitarbeiter des eigenen Unternehmens, sondern auch Techniker von Dienstleistern, Zulieferern oder Partnern sind in die Sicherheitsmaßnahmen einzubinden. Entsprechend ist eine Lösung für die zuverlässige Authentifizierung der Nutzer nötig, damit Spione oder Angreifer draußen bleiben. „Mit einer solchen Grundausstattung lassen sich zwar Probleme durch Schad- 14 | 15 programme aus der IT-Welt weitgehend verhindern“, resümiert Christian Funk, „doch gezielte Angriffe erfordern ausgeklügeltere Abwehrstrategien wie eine durchgehende Netzwerküberwachung.“ Schließlich besitzen die Attacken heute oft eine hohe Qualität und dienen nicht nur dem Ausspionieren geheimer Geschäfts- oder Kundendaten, sondern auch der gezielten Schwächung des Unternehmens durch gelöschte Dateien. Die beschriebenen Beispiele sollten Warnung genug sein, die Sicherheit vernetzter Produktionsanlagen von Anfang an ernst zu nehmen. Budget steht dafür zur Verfügung, so will das Bundesministerium für Bildung und Forschung 200 Millionen Euro für das Zukunftsprojekt Industrie 4.04 ausgeben . 430 Millionen Euro steuert das Bundeswirtschaftsministerium bis 2018 für die Digitalisierung der Wirtschaft bei 5. Damit möchte der Bund den Wirtschaftsstandort Deutschland schnell – und sicher – in das neue Industrie-Zeitalter bringen. Doch Unternehmen dürfen sich nicht alleine auf übergeordnete Projekte verlassen. Nur eine enge Zusammenarbeit aller Beteiligten und eine konsequente Abstimmung der Sicherheitslösungen kann eine zuverlässige, vertrauenswürdige Nutzung von Industrie 4.0 ermöglichen. Bildquelle: © istockphoto / vgajic 14 | 15 Christian Funk, Virus Analyst Kaspersky Lab Mobil und produktiv arbeiten: die Vernetzung zweier Welten Wie Unternehmen Mobilgeräte sicher in ihre IT einbinden Der moderne Arbeitsplatz ist überall, zu Hause, im Zug, beim Kunden. Dank leistungsfähiger Smartphones, Tablets und Notebooks genießen Mitarbeiter heute die Freiheit, überall und jederzeit arbeiten zu können. Illustration: © shutterstock / VoodooDot Um mobil allerdings so produktiv wie im Büro zu sein, brauchen sie Lösungen, mit denen sie ortsunabhängig alle relevanten Aufgaben umsetzen können wie beispielsweise Dokumente teilen und drucken. Aber gerade das Zusammenspiel von Mobil- und Ausgabegeräten stellt besonders hohe Anforderungen an 3 Quelle: http://www.tagesschau.de/ausland/stuxnet106.html, 25.09.2015 4 Quelle: http://www.bmbf.de/de/9072.php, 18.08.2014 5 Quelle: http://www.bmwi.de/DE/Presse/pressemitteilungen,did=664904.html, 21.10.2014 die IT-Sicherheit. Samsung bietet hierfür eine große Bandbreite an Lösungen, die alle Anforderungen abdecken – von Mobilgeräten wie dem GALAXY Tab Active, das speziell für raue Arbeitsumgebungen entwickelt wurde, über KNOX TM Workspace, das Daten auf mobilen Endgeräten schützt, bis hin zu Software-Anwendungen, die in die Ausgabegeräte implementiert werden. Je mobiler die moderne Arbeitswelt wird, desto mehr verschmelzen Berufs- und Privatleben miteinander. Das ist eines der Kernergebnisse der von Samsung veröffentlichten „People-Inspired Security“- 16 | 17 Welten | Mobil und produktiv arbeiten Studie1. Eine Folge dieses „Work-Life Blends“ – dem Zusammenwachsen von Arbeits- und Lebenswelt – ist, dass immer mehr Angestellte für Beruf und Privates ein Mobilgerät nutzen wollen. Unternehmen profitieren davon, dass ihre Mitarbeiter effizienter arbeiten. Aber sie stehen auch vor der Herausforderung, die neuen Endgeräte sicher in die IT-Landschaft und die zentralen Arbeitsprozesse einzubinden. Samsung unterstützt IT-Verantwortliche dabei und ermöglicht beispielsweise die Vernetzung der beiden Welten Mobilität und Dokumentenmanagement, indem sich Smartphones und Tablets drahtlos mit Druckern und Multifunktionsgeräten (MFP) verbinden lassen. Doch bevor diese Verbindung aufgebaut wird, gilt es, mobile Daten vor ungewollten Zugriffen zu schützen. Mobile Freiheit oder „Bring Your Own Risk“? Mit KNOX TM Workspace bietet Samsung eine Sicherheitslösung, die sowohl das Gerät selbst als auch mobile Applikationen und Daten sichert. Schutzmechanismen wie Secure Boot und Trusted Boot stellen sicher, dass ausschließlich von der IT-Abteilung zugelassene, vertrauenswürdige Programme und Betriebssysteme laufen – und zwar ab dem Moment, in dem der Nutzer das Smartphone oder Tablet anschaltet. Gleichzeitig versieht KNOX TM das ursprünglich als eher unsicher angesehene Betriebssystem Android mit speziellen Schutzmaßnahmen und wappnet es so für den sicherheitskritischen Unternehmenseinsatz. Security Enhancements for Android (SE for Android) verhindert beispielsweise, dass Nutzer die Installationsschranke umgehen und unsichere Apps auf das Mobilgerät laden. Um das Betriebssystem zusätzlich vor Manipulationen und Schadsoftware zu schützen, setzt Samsung die TrustZonebased Integrity Measurement Architecture (TIMA) ein. Diese Architektur 16 | 17 überprüft regelmäßig, ob das Android-Betriebssystem verändert wurde und bietet dadurch einen kontinuierlichen Schutz vor Malware und Hackern. Mithilfe der auf TIMA basierenden Sicherheitsdienste (TIMA-based Security Services) können Systemadministratoren digitale Zertifikate zur Verschlüsselung und Authentifizierung für Apps erstellen sowie verwalten. Diese Maßnahme stellt sicher, dass Mitarbeiter nur getestete, sichere mobile Applikationen in Verbindung mit Unternehmensdaten nutzen. Weitere Informationen unter: www.samsungknox.com/de Privates und Berufliches auf einem Gerät vereint Mobilen Applikationen kommt eine besondere Bedeutung zu, denn sie bergen – wenn sie nicht abgesichert werden – hohes Gefahrenpotenzial. Eine Lösung, um diese Risiken zu reduzieren, ist der KNOX TM Container: ein von privaten Daten und Apps abgetrennter, passwortgeschützter Bereich, in dem vom Unternehmen freigegebene Anwendungen gesichert ausgeführt und Daten verschlüsselt bearbeitet werden. Wie strikt dieser Container geschützt wird, definiert die IT-Abteilung. Für weniger sicherheitskritische Abteilungen genügt oft eine einmalige Passworteingabe, die für Mitarbeiter besonders komfortabel ist. Sie können mit einem einzigen Klick zwischen persönlichen Fotos und ihren abgesicherten Arbeitsmails wechseln. Für Unternehmensbereiche, in denen Mitarbeiter ständig sensible Daten bearbeiten, ist es möglich, diese Sicherheitsstufe bei jedem Wechsel in den Container zu aktivieren. Zusätzlich zur Nutzerauthentifizierung per Passwort kann auch ein Fingerabdruck-Scan, eine Wischgeste oder ein PIN zur Zugriffskontrolle verwendet werden. In dem privaten Bereich können Anwender Fotos und Musik speichern und die Apps installieren, die sie gerne nutzen SMArT MuLTIXPreSS-SerIe Mobilität trifft auf smartes Dokumentenmanagement Wie die nahtlose Integration der beiden Welten Dokumentenmanagement und Mobilität in einem Gerät aussieht, demonstriert Samsung mit der neuen Multifunktions- Geräteserie: Die neuen Smart MultiXpress-Drucker und MFPs verfügen über ein Android-basiertes Bedienkonzept, das es Mitarbeitern erlaubt, Dokumente direkt am Ausgabegerät – ohne PC – auszudrucken. Sie können Dokumente auf dem Weg zur Besprechung am Drucker im Webbrowser oder ihrem E-Mail-Programm öff nen, ausgeben und direkt mitnehmen. Dabei genießen sie die intuitive Touchscreen-Bedienung, die sie von GALAXY Smartphones und Tablets kennen. Auf einem 10,1 Zoll (35,65 cm) großen Display können Mitarbeiter E-Mails, Präsentationen oder Karten öff nen und bearbeiten sowie zahlreiche Printing-Apps nutzen. Weitere Informationen unter: www.samsung.com/de/business-drucker/hq.html wollen. Die sichere Abwicklung sämtlicher Geschäftsaufgaben hingegen erfolgt in dem Container, in dem sämtliche Daten mit dem AES 256 bit-Standard verschlüsselt sind. Hier können Anwender nur mit sicheren und getesteten Apps arbeiten. Anwendungen wie Kontakte, Kalender, Telefon, Browser, Kamera und E-Mail sind bereits vorinstalliert. Mobile Sicherheit unternehmensweit managen Damit Unternehmen Sicherheitseinstellungen zentral auf allen eingesetzten Mobilgeräten verwalten können, setzen sie meist eine Mobile Device Management (MDM)-Lösung ein. Samsung arbeitet mit namhaften Mobile Security- und MDMAnbietern wie Blackberry, MobileIron und AirWatch zusammen, bietet mit KNOX TM Enterprise Mobility Management (EMM) aber auch eine eigene MDM-Lösung, mit der IT-Administratoren eine Vielzahl an Sicherheitseinstellungen vornehmen können. „Dadurch ist es uns möglich, KNOX TM in unseren GALAXY Smartphones und Tablets bis auf die Hardware-Ebene und damit tiefer zu integrieren als Sicherheitslösungen, die lediglich auf der bestehenden Hardware aufbauen“, erklärt Sascha Lekic, Director Sales B2B Samsung Electronics GmbH. „Unseren Kunden bietet dieses Zusammenspiel den Vorteil, dass sie sowohl das AndroidBetriebssystem und die Software-Applikationen als auch die Endgeräte selbst an ihre Sicherheitsanforderungen anpassen und ihre Daten mobil schützen können.“ Egal wann und wo: Sicher drucken im mobilen Büro Die zunehmende Umstellung auf mobiles Arbeiten hat auch Auswirkungen auf weitere Routineprozesse. Denn um abseits eines festen Sitzplatzes mit stationärem Rechner produktiv und sicher arbeiten zu können, muss nicht nur der Zugang zu relevanten Informationen GALAXy TAB AcTIVe: FÜr eXTreMBeDINGuNGeN GerÜSTeT Raue Arbeitsumgebungen – auf Baustellen, in Fabrikhallen, unterwegs auf Montage oder im Kundendienst – erfordern robuste Hardware. Mit dem GALAXY Tab Active präsentiert Samsung sein erstes B2B-Tablet, das widrigen Bedingungen standhält und Mitarbeitern ermöglicht, außerhalb des Büros effizient mobil zu arbeiten. Hierfür stattet Samsung das Tablet mit sogenannten „Durability Functions“ aus. Durch eine Antischock-Hülle geschützt, kann dem Tablet ein Sturz aus bis zu 1,20 m Höhe2 ebenso wenig anhaben wie Staub und Wasser3, denn das GALAXY Tab Active ist nach IP67 zertifiziert. Selbst bei Extremtemperaturen von -20 Grad oder 60 Grad Celsius bleibt das Tablet einsatzfähig. Weitere Informationen unter: www.samsung.com/de/business/businessproducts/mobile-devices/tablets/SM-T365NNGADBT Dadurch ist es uns möglich, KNOXTM in unseren GALAXY Smartphones und Tablets bis auf die HardwareEbene und damit tiefer zu integrieren als Sicherheitslösungen, die lediglich auf der bestehenden Hardware aufbauen. Sascha Lekic, Director Sales B2B Samsung Electronics GmbH Welten | Mobil und produktiv arbeiten Auf einer technisch unkomplizierten Basis gebündelt, bieten wir eine ganze Serie von Sicherheitslösungen für Drucker und MFPs unter dem Namen ,Business Core Printing Solutions’ (BCPS) an. Norbert Höpfner, Head of Printing Solutions Samsung Electronics GmbH von Smartphone, Tablet oder Notebook aus gewährleistet sein, sondern auch das unkomplizierte Ausdrucken von Dokumenten ermöglicht werden. Gerade im Zusammenspiel mit Druckern und MFPs entstehen dabei unterschiedliche Gefahrenquellen, die Unternehmen absichern müssen: die Verbindung zum Drucker, die Festplatte des Ausgabegeräts – zudem dürfen sensible Dokumente auch über das Ausgabefach des Druckers nicht in falsche Hände geraten. Samsung deckt mit seinen Sicherheitstechnologien die fünf wichtigsten Kategorien Anwender, Daten, Netzwerk, Dokument und Geräteverwaltung ab. Zum Schutz des Unternehmens verfügen die Drucker und MFPs über mehrere Authentifizierungsstufen. So müssen sich Administratoren mittels Passwort ausweisen, wenn sie die Konfiguration des Geräts verändern wollen. Sowohl der Netzwerk-Zugriff als auch bestimmte Funktionen können lokal ebenfalls mit Passwortschutz versehen werden. Diese Authentifizierung lässt sich mit dem SyncThru Webservice rollenbasiert zuweisen, sodass zum Beispiel nur eine bestimmte Mitarbeitergruppe das Recht hat, an einem Gerät zu drucken oder zu scannen. Zur Datensicherung können alle lokal auf Festplatten gespeicherten Informatio- nen mit dem Verschlüsselungsstandard AES 256 kodiert werden. Daten, die von Endgeräten an die Drucker übertragen werden, sind durch die Verschlüsselungsprotokolle TLS/SSL geschützt. Unternehmen, die zusätzlich einen IP-/Mac-Adressenfilter nutzen, können sichergehen, dass nur von ihnen zugelassene Geräte eine Netzwerk-Verbindung zu ihren Ausgabegeräten aufbauen und Druckjobs absetzen können. Darüber hinaus lassen sich einzelne Funktionen, etwa die Faxfunktion oder der Zugriff auf das hierfür erforderliche Adressbuch, mithilfe eines gesonderten Passwortes schützen. Pull Print: Druckjobs, die dem Anwender folgen „Auf einer technisch unkomplizierten Basis gebündelt, bieten wir eine ganze Serie von Sicherheitslösungen für Drucker und MFPs unter dem Namen ‚Business Core Printing Solutions‘ (BCPS) an“, so Norbert Höpfner, Head of Printing Solutions Samsung Electronics GmbH. „In der Suite stehen unseren Kunden insgesamt fünf Authentifizierungs-, Dokumenten-Management-, Cloud- und Pull-Print-Lösungen zur Verfügung, die auf Basis der XOA-Plattform laufen und keine Serverinfrastruktur benötigen. Daher zeichnet sich das Lösungspaket durch eine einfache Installation, einen niedrigen Wartungsaufwand und geringe Kosten besonders für kleinere und mittelständische Unternehmen aus.“ Bei größeren Unternehmen oder Konzernen kommen meist serverbasierte Sicherheitslösungen wie FollowMe von Ringdale oder GeniusMFP von Genius Bytes zum Einsatz. FollowMe und MyMFP sind Pull Print-Lösungen, die Dokumente erst nach der Authentifizierung des Nutzers mittels RFID-Karte, Smartcards, Fingerabdruck oder Kennwort zum Druck freigeben. Beide Lösungen verwahren die Dokumente so lange sicher auf dem Server, bis der Mitarbeiter sich am Gerät ausweist. GeniusMFP bietet darüber hinaus noch die Möglichkeit, komplexe Scan- und professionelle Texterkennungs-Funktionen einzubetten. Die Kommunikation zwischen Endgerät und Drucker sichert Samsung mittels AES 256 bit-Verschlüsselung ab. Die Daten werden erst, wenn sie empfangen und gedruckt werden, entpackt und entschlüsselt. Durch die Kombination der verschiedenen Sicherheitslösungen gelingt es Unternehmen, sensible Dokumente in mobilen Arbeitsprozessen vor Cyberangriffen zu schützen – vom Smartphone bis ins Ausgabefach des Druckers. Weitere Informationen unter: www.samsung.de/printing-innovation 1 Quelle: http://www.all-about-security.de/fileadmin/micropages/Whitepaper_Endpoint_2/People_Inspired_Security_Report.pdf, 2014 2 Sturzresistenz bis 1,20 m (nach MIL-STD 810 G, nur soweit das Tablet mit Protective Cover+ verwendet wird). Stürze aus größeren Höhen oder unsachgemäße Bedienung können dem Gerät Schaden zufügen und schließen eine Gewährleistung im Rahmen der Herstellergarantie aus. [Wir weisen darauf hin, dass nicht ausgeschlossen werden kann, dass Gerichte den Gewährleistungsausschluss im Einzelfall als unwirksam erachten.] 3 IP67-zertifiziert: Schutz vor zeitweiligem Untertauchen bis maximal 1 m Wassertiefe für maximal 30 Minuten und ausschließlich in klarem Wasser. Kein Schutz bei anderen Flüssigkeiten, insbesondere Salzwasser, Seifenlauge, Alkohol und/oder erhitzter Flüssigkeit. Sämtliche Abdeckungen des Gerätes müssen stets vollständig verschlossen sein, sodass durch sie kein Wasser eindringen kann. Illustration: © istockphoto / fishbones 18 | 19 Sicherheit hinter jedem Pixel Der sichere, virtuelle Arbeitsplatz kommt aus der Cloud Die digitale Revolution lebt von der Virtualisierung von IT-Ressourcen wie Software, Serverkapazitäten und Prozessorleistung. Um ihre Datenleitungen zu entlasten, gehen immer mehr Unternehmen dazu über, Arbeitsplätze mit virtuellen Desktops auszustatten, an denen keine lokalen Laufwerke mehr eingesetzt werden. Cloud-Displays verlagern den Arbeitsplatz virtuell Schritt für Schritt in die Wolke und beziehen den kompletten Desktop aus einem Rechenzentrum. Um Applikationen und Daten, die aus der Cloud auf die Bildschirme übertragen werden, vor Viren und Hackerangriffen zu schützen, integriert Samsung einige Sicherheitsfunktionen direkt in die Cloud-Displays. Bildschirm anschalten, der Desktop ist startklar, die 50 Folien umfassende Präsentation für den nächsten Kundentermin öffnet sich blitzschnell in Powerpoint: Ob Daten und Software-Applikationen zur täglichen Arbeit lokal auf einem eigenen PC oder zentral in einem Rechenzentrum gespeichert sind, registriert der Mitarbeiter kaum – außer dadurch, dass er selbst große Dateien ohne Verzögerung öffnen kann und er keine Wartezeiten für minutenlange Sicherheitsupdates überbrücken muss. IT-Administratoren profitieren von der Verlagerung der Arbeitsplätze in die Cloud jedoch gleich zweifach: Alle Welten | Sicherheit hinter jedem Pixel 20 20 | 21 Bildquelle: © istockphoto / racorn 20 | 21 Applikationen und Daten werden entweder im eigenen oder einem externen Rechenzentrum zentral gehostet und können hier effektiv vor Viren und Hackerangriffen geschützt werden. Gleichzeitig reduziert sich der Aufwand, den sie betreiben müssten, um jeden Desktop einzeln zu administrieren. „Virtualisierte Arbeitsplätze entlasten Mitarbeiter von der Aufgabe, selbst für die sichere Ablage ihrer Daten und die Aktualität ihrer Software zu sorgen, und zentralisieren diese Aufgabe in der IT-Abteilung“, erklärt Markus Korn, Head of IT Display Samsung Electronics GmbH. „Aus diesem Grund ermöglichen diese Technologien einen sehr hohen Sicherheitsstandard.“ Sicherheit „as a Service“ Samsung bietet zwei Display-Modelle zur Desktop-Virtualisierung an: Thin Clients, die über ein sogenanntes gekapseltes, also geschütztes Betriebssystem verfügen, und Zero Clients, die auf den Einsatz von lokalen Festplatten verzichten und den Desktop aus der Private Cloud des Unternehmens beziehen. Um die Thin Clients vor Viren zu schützen, setzt Samsung einen Enhanced Write Filter ein – ein integriertes Reset, das dafür sorgt, dass Daten nur in den flüchtigen Arbeitsspeicher geschrieben werden. Wenn der Monitor ausgeschaltet wird, werden alle Änderungen, auch installierte Schadsoftware, gelöscht. Zero Clients können lokal überhaupt keine Daten speichern oder Anwendungen ausführen. Die Displays empfangen lediglich Bildpixel-Informationen aus dem Rechenzentrum des Unternehmens und stellen entweder den kompletten Desktop oder die benötigten Software-Applikationen visuell dar. Dadurch bieten Cloud-Displays zahlreiche Vorteile in punkto IT-Sicherheit: An den einzelnen Arbeitsplätzen kommen weder Betriebssysteme noch SoftwareAnwendungen zum Einsatz, die dezentral mit hohem Aufwand aktualisiert werden müssten und hierdurch zusätzliche Angriffsfläche für Viren und Hackern bieten. Die IT-Abteilung behält nicht nur die Datenhoheit, sondern steuert auch Backups zentral und hat die Möglichkeit, Compliance-Richtlinien unternehmensweit auf allen Clients umzusetzen. Gleichzeitig bieten die Cloud-Clients eine performante Lösung, mit der Mitarbeiter effizient arbeiten können. Denn die komprimierten Bildinformationen, die an die Monitore verschickt werden, belasten die Netzwerk-Leistung wesentlich weniger als komplexe Software-Anwendungen oder große Dokumente, die vom Server geladen und lokal geöffnet werden. Dateien lassen sich dadurch schneller bearbeiten, was zu einer höheren Produktivität beiträgt. Die Kommunikation zwischen Client und Server wird mittels AES 256 Bit verschlüsselt und durch eine sichere VPNVerbindung vor ungewollten Zugriffen geschützt. Ein weiterer Vorteil, der mit der zunehmenden Verbreitung mobiler Endgeräte immer wichtiger wird: Der virtuelle Desktop lässt sich auch auf dem Tablet oder Smartphone darstellen. Auf diese Weise können Mitarbeiter auch unterwegs auf Office-Programme zugreifen, um mobil, sicher und vernetzt zu arbeiten. Weitere Informationen unter: www.samsung.com/de/business/ business-products/cloud-display Virtualisierte Arbeitsplätze entlasten Mitarbeiter von der Aufgabe, selbst für die sichere Ablage ihrer Daten und die Aktualität ihrer Software zu sorgen. Markus Korn, Head of IT Display Samsung Electronics GmbH Der Samsung Service ist: SCHNELL ERREICHBAR IM EINSATZ 85% der Anrufe werden nach 20 Sekunden angenommen1 REGIONAL Per Remote, Telefon, Live-Chat, Facebook oder über ausgewählte Servicepartner — Samsung Servicedienstleistungen sind über vielschichtige Kommunikationswege erreichbar. BERATUNGSORIENTIERT Service-Mitarbeiter sind täglich erreichbar AUSGEZEICHNET PLAZAS 8 SERVICE IN DEUTSCHLAND 70% Bei aller Anfragen geht es um eine BERATUNGSLEISTUNG1 90% Über der Fragen werden im ERSTEN GESPRÄCH beantwortet1. Hamburg – Dortmund – Köln – Berlin – Stuttgart – Nürnberg – Leipzig – München Der Samsung Service überzeugte in Tests von sowohl Die Welt und ServiceValue2, als auch Focus Money3 und erhielt den Deutschen Servicepreis von n-tv4. Service-Versprechen eindrucksvoll eingelöst Samsung Kundenservice mehrfach ausgezeichnet Schnell, erreichbar, regional, beratungsorientiert – das ist der Anspruch des Samsung Kundenservices. Dass Samsung dieses Versprechen auch in der Praxis mit Leben füllt, haben im Jahr 2014 eine Reihe von Auszeichnungen belegt: In Deutschlands größtem Service-Ranking, das die Tageszeitung Die Welt in Zusammenarbeit mit ServiceValue durchgeführt hat, wurde das Unternehmen zum Elektronikhersteller mit dem besten erlebten Kundenservice des Jahres gewählt 2. Focus Money zeichnete den Kundendienst mit „sehr gut“ aus 3 und auch n-tv hat Samsung bei der Vergabe des „Deutschen Servicepreises 2014“ in der Kategorie Technik und Telekommunikation auf den zweiten Rang gewählt4. Der Kundenservice ist das Bindeglied zwischen Geräten und Anwendern und ermöglicht ein besonderes Produkterlebnis. 350 Samsung Mitarbeiter stehen Kunden täglich zur fachlichen Beantwortung von Fragen zur Seite, telefonisch, via Remote Service oder im Live-Chat. Wer den direkten Kontakt sucht, findet in vielen Großstädten Samsung Customer Service Plazas. Dort beraten die Samsung Experten nicht nur, sondern können einzelne Reparaturen auch schnell direkt vor Ort durchführen. Für eine hohe Beratungsqualität steht, dass die meisten Kundenanfragen schon im ersten Gespräch beantwortet werden. Weitere Informationen unter: www.samsung.de/support 1 Quelle: Interne Erhebungen der Samsung Electronics GmbH 2 ServiceValue; getestet wurden 17 Hersteller. Quelle: www.Service-Champions.de. Platz 1 von 17 (68,0 %; Branchenmittel 60,1 %); veröffentlicht am 16.10.2014 3 DEUTSCHLAND TEST; getestet wurden 16 Hersteller; Quelle: www.deutschlandtest.de/haushaltsgeraete, 14.04.2014 4 DISQ; getestet wurden neun Hersteller; Quelle: http://disq.de/2014/20140721Smartphone-Hersteller.html, 05.02.2014 Welten | IT Storage 22 | 23 Bildquelle: © shutterstock / Rawpixel SSD gespeicherten Informationen kodiert – sogar temporäre Dateien und die für das Booten erforderlichen Datenfragmente. Durch diese vollständige Integration auf Hardware-Ebene geschehen Verund Entschlüsselung nicht zulasten der CPU-Leistung. Software, die diese Funktionen bei einer Festplatte ohne FDE übernimmt, drosselt meist die Leseund Schreibgeschwindigkeit bei jedem Kodierungsvorgang. Da in Unternehmen die lokale Verwaltung von Passwörtern unzuverlässig und zeitaufwendig sein kann, verfügen die SSDs von Samsung über eine im Controller integrierte TCG OPAL-Schnittstelle. Hierüber lässt sich die Verschlüsselung zentral von der IT-Abteilung aktivieren und verwalten, sodass Sicherheitsrichtlinien unternehmensweit durchgesetzt werden können. Diese besondere Sicherheitsfunktion, die die Verschlüsselung ebenfalls direkt in den SSD-Controller integriert, bietet Samsung nicht nur in den Premium-SSDs der PRO-Serien an: Auch die neue SSDSerie 850 EVO verfügt über die TCG Opal 2.0-Schnittstelle. Der passende Schlüssel Speicherlösungen mit integrierten Kodierungsfunktionen und Cyberkriminellen mitgelesen und abgefischt werden. In vielen Notebooks, Workstations und Servern werden mittlerweile Solid State Drives (SSDs) zur Speicherung der Daten eingesetzt. „Um die Flashspeicher für den Unternehmenseinsatz zu wappnen, integrieren wir zuverlässige Sicherheitslösungen direkt in unsere SSDs“, führt Frank Kalisch, Director IT Storage bei Samsung Electronics GmbH, aus. 1 Quelle: http://www.cisco.com/c/en/us/solutions/service-provider/visual-networking-index-vni/index.html, Juni 2014 „Zum einen werden alle auf der SSD gespeicherten Informationen mittels des Advanced Encryption Standards (AES) auf Basis von 256-Bit Schlüsseln gesichert. Zum anderen integrieren wir diese Verschlüsselung direkt in die Hardware und erreichen somit eine sogenannte Full Drive Encryption (FDE).“ Verschlossene Datenträger Hierbei werden durch den Verschlüsselungsmechanismus sämtliche auf der Frank Kalisch, Director IT Storage Samsung Electronics GmbH Die SSD-Serie 850 EVO ist zudem durch die von Samsung entwickelte 3D Vertical NAND (V-NAND) Technologie außergewöhnlich langlebig und robust. Statt flacher Zellstrukturen kommen in dem Flash-Speicher zylindrische, mehrlagige Strukturen zum Einsatz. Dies resultiert nicht nur in einer höheren Speicherdichte, sondern erlaubt auch mehr Schreibzyklen über einen längeren Zeitraum. Die Modelle mit einer Speicherkapazität von 500 GB und 1 TB sind für eine tägliche Arbeitsbelastung von bis zu 80 GB über einen Zeitraum von bis zu fünf Jahren spezifiziert. Dadurch, dass die SSD 850 EVO über Drei-Bit-Speicherzellen verfügt, speichert sie in jeder Zelle drei anstelle von zwei Bit und schöpft den vorhandenen Speicherplatz noch effizienter aus. Für die richtige Geschwindigkeit sorgt die integrierte TurboWrite-Funktion. Anwender spüren dies unmittelbar bei der Arbeit, indem sie schneller große Datenmengen speichern und komplexe Anwendungen parallel ausführen, was zu einer produktiven Arbeitsweise beiträgt. Weitere Informationen unter: • www.samsung.com/de/business/ business-products/ssd • www.samsung.com/de/business/ business-products/ssd/ssd-pro/ • www.samsung.com/de/consumer/ memory-storage/memory-cards Speicherlösungen wie Solid State Drives oder Speicherkarten sind die digitalen Dreh- und Angelpunkte des modernen Lebens: Sie bewahren gleichermaßen wichtige Dokumente wie Fotos, Filme und Musik auf. Damit die Daten geschützt sind, legt Samsung hohen Wert auf die physische Robustheit der Speicherlösungen. SSDs zeichnen sich gegenüber Festplatten-Laufwerken durch ihre höhere Robustheit aus. Da sie anstelle der sensiblen mechanischen Komponenten über Halbleiter-Speicherbausteine verfügen, sind sie unempfindlicher gegenüber Stößen, Vibrationen, Staub und Magnetismus. Aber auch Samsung SD- und microSD-Karten sind so robust, dass Anwender sie überall mitnehmen können. Ob in der Wüste, am Strand oder im Hochgebirge – Hitze bis zu plus 85 Grad Celsius, Eiseskälte bis zu minus 25 Grad Celsius und Wasser* können den Speicherkarten und damit den Daten nichts anhaben. Sogar vor Röntgenstrahlen, etwa in der Sicherheitskontrolle am Flughafen, sind die Speicherkarten geschützt. Selbst einen Crashtest unter den Rädern eines 1,9 Tonnen schweren Autos überleben die Mobilspeicher ohne Datenverlust. * bis zu 24 Stunden Ein PC mit einem Datenträger, auf dem Office-Anwendungen und Dokumente gespeichert sind, ist das Basiswerkzeug des modernen Wissensarbeiters. Beim Öffnen, Speichern und Verschicken von Dateien werden ständig Daten zwischen verschiedenen Datenträgern, zwischen Unternehmensservern und Workstations hin- und hergeschickt. Sowohl auf diesen Transferwegen als auch auf Datenträgern müssen Unternehmen Informationen schützen, damit sie nicht von Hackern Um die Flashspeicher für den Unternehmenseinsatz zu wappnen, integrieren wir zuverlässige Sicherheitslösungen direkt in unsere SSDs. DIGITALer TreSOr Bildquellen: © istockphoto / imagedepotpr, hadynyah, anneleven; © shutterstock / Arve Bettum Ob per E-Mail, Filetransfer, Cloud-Speicher oder Video-Streaming: Die moderne Arbeitswelt funktioniert nur, weil unaufhörlich Daten übertragen werden. Laut dem aktuellen Cisco Visual Networking Index1, einer Studie, die die Entwicklung des Datenverkehrs untersucht, wurde allein in Deutschland 2013 jeden Monat ein Exabyte Daten – das entspricht einer Trillion Byte – versendet. Dieses Volumen verdreifacht sich schätzungsweise bis 2018. Um diese gewaltigen Datenmengen möglichst sicher am Ziel zu speichern, integriert Samsung unterschiedliche Technologien, die den Datentransfer auch auf dem Datenträger kodieren und schützen. Lesen kann die Informationen dann nur derjenige, der über den passenden Schlüssel verfügt. 22 | 23 Eintauchen | Titelstory: Total vernetzt – sicherlich unsicher? eINTAucHeN TOTAL VerNeTZT – SIcHerLIcH uNSIcHer? Über Risiken und Nebenwirkungen beim Vernetzen der Welt Sowohl in unseren Haushalten, als auch in der Industrie hält die Vernetzung gnadenlos Einzug: Gefühlt gibt es kaum ein modernes Haushaltsgerät, das noch ohne App und Internet-Zugang auskommt. Und kaum eine Produktionsanlage, die nicht im Rahmen von Industrie 4.0 digitalisiert und ebenfalls mit dem Web verknüpft werden soll. Doch sind die notwendigen Sicherheitsmechanismen überhaupt schon reif, um die in Massen ins Netz strebenden Gerätschaften – und damit sensible Daten beziehungsweise unsere Privatsphäre – zu schützen? >> Bildquellen: © istockphoto / alexey05, gcoles, Martinan; © shutterstock / Galyna Andrushko 24 | 25 Eintauchen | Titelstory: Total vernetzt – sicherlich unsicher? Während die einen noch darüber diskutieren, ob eine per WLAN vernetzte und per App steuerbare Kaffeemaschine im Haushalt irgendeinen Sinn ergibt, verknüpfen die anderen schon längst Steckdosen, Überwachungskameras, Herzfrequenzmesser und Heizungsthermostate mit dem Internet. Die Marktforscher von Gartner gehen davon aus, dass im Jahr 2020 in einzelnen Haushalten bis zu 500 vernetzte Geräte in Betrieb sind. Damit sind natürlich nicht Tablet, Smartphone & Co. gemeint. Sondern allerlei Sensoren, die das intelligente Haus erst möglich machen. Samsung hat seine Vision der herstellerübergreifenden Vernetzung von Unterhaltungs- und Haushaltselektronik auf der CES in Las Vegas vorgestellt und gleichzeitig angekündigt, bis 2020 alle Produkte in das Internet der Dinge (Internet of Things, IoT) zu integrieren1. Nicht nur im privaten Umfeld gehört das Internet der Dinge genannte Phänomen zum Treiber diverser Neuerungen. Auch in der Industrie wird munter digitalisiert. Die sich dort in Gang befi ndliche Umwälzung ist so groß, dass sie gleich einen eigenen Namen bekommen hat: Industrie 4.0. Damit gemeint ist die vierte Welle der industriellen Revolutionen, die auf Dampfmaschine, Massenproduktion (Fließbänder) sowie Elektrifizierung samt Stromnetzen folgt – und mit Sicherheit noch einige Jahrzehnte lang eines der beherrschenden Themen in der Welt der Produktion sein wird. Oft ist im Zusammenhang mit Industrie 4.0 zu hören und lesen, dass dieser Wandel eine der größten Chancen für die deutsche Industrie sei. Experten zufolge läuft diese Digitalisierung der Produktion in drei Phasen: Zuerst liefern die Hersteller von Komponenten IoT-fähige Teile, die dann von den Maschinen- und Anlagenbauern verwendet werden, damit letztendlich auch die Produktion selbst digitalisiert werden kann. Lorem ipsum dolor Reichlich Verdienstchancen – zu gravierenden (finanziellen) Schäden auch für Kriminelle führen kann, oder unbemerkt abgesaugUnabdingbare Voraussetzung für das tes Unternehmenswissen. Internet der Dinge in Haushalten und Fabriken ist eine Koppelung der diversen Über vermeidbare und unnötige Fehler Gerätschaften ans Internet. Man muss Software ist von Menschen gemacht und kein Hellseher sein, um zu erahnen, Irren ist menschlich – daher lassen sich was zwangsläufig auf diese Verzahnung Bugs nicht vollständig verhindern. Jedoch folgen wird: Kriminelle sind längst nicht alle Längst erledigt klopfen die frisch ins Fehler, die aktuell in der Netz geklinkten Anlagen von vernetzgeglaubte Klassen von Software und Elektrogeräte auf ten TV-Geräten, WebBugs erleben plötzlich cams, Kühlschränken Schwachstellen ab. Besonders viel Talent oder Raumthermostaeine Renaissance. gehört im ersten Schritt ten auftreten, wirklich Jeff Moss, Gründer der Defcon nicht dazu, da beispielsunvermeidbar. Diese weise die Suchmaschine Shodan frei zusind stattdessen eher auf fehlende Sorggängliche Netzwerkhardware erfasst und falt bei der Programmierung zurückzujedem Interessierten durch Suche nach führen, wie im letzten Jahr im Rahmen simplen Schlagwörtern wie „Webcam“ der Hackerkonferenz Defcon deutlich deren IP-Adressen frei Haus bekannt gibt. wurde. Hier wurden wiederholt Mängel Verlass ist hierbei auch darauf, dass Online-Kriminelle bislang regelmäßig Wege fanden, solche Schwächen beziehungsweise zugängliche Gerätschaften in finanzielle Gewinne umzumünzen. Überträgt man beispielsweise das Konzept, das hinter den seit mehreren Jahren bekannten Ransomware-Trojanern steckt – zuvor mit dem Trojaner infizierte PCs und Smartphones werden von Kriminellen verschlüsselt und nur zahlende Opfer kommen wieder an ihre Daten –, auf das vernetzte Zuhause, ergeben sich zahlreiche Ansatzpunkte: Nur wer das Lösegeld (Ransom) überweist, kann den von außen übernommenen Rauchmelder wieder selbst steuern – und damit die mitten in der Nacht losschrillenden (Fehl)Alarme abstellen. Unschön ist natürlich auch die Vorstellung, dass die Erpresser beliebig auf die vernetzte Heizungsanlage oder die Webcam zugreifen, die das Baby im Bettchen überwacht. Ähnliche finanziell motivierte Attacken sind im industriellen Umfeld ebenso denkbar. Wenngleich die dort drohenden Schäden erheblich größer sind. Sei es durch Sabotage, die letztlich Bildquelle: © istockphoto / pressureUA 26 | 27 aufgedeckt, die gut ausgebildeten Programmierern schon vor Jahren peinlich gewesen wären. Das bestätigt Jeff Moss (alias The Dark Tangent), Gründer der Defcon und ehemaliger Berater der USHeimatschutzbehörde: „Längst erledigt geglaubte Klassen von Bugs erleben plötzlich eine Renaissance.“ Die HPTochter Fortify fand bei eigenen Untersuchungen im Schnitt 25 Schwachstellen in zehn populären IoT-Geräten. Darunter so illustre Punkte wie voreingestellte Passwörter, die auf „1234“ lauteten. Entsprechend leicht haben es Angreifer im Moment noch hinsichtlich des Internets der Dinge, weil vorhandenes Wissen in diesem neuen Bereich nicht konsequent genutzt wird. Decke montiert sind (Rauchmelder) oder in tausende von Straßenlaternen, die dank Vernetzung und intelligenter Software auf freie Parkplätze hinweisen? Nicht jedes IoT-Endgerät hat einen bequemen Update-Mechanismus, etliche erfordern das Anstöpseln von USB-Sticks mit der neuen Software. Jede Menge Software – jede Menge Sicherheitsupdates? Üblicherweise reagieren Softwarehersteller – mehr oder weniger schnell – mit einem Update, wenn sie selbst Schwachstellen entdecken oder ein externer Zuarbeiter welche meldet. Doch wie finden diese Updates ihren Weg auf Gerätschaften, die in Haushalten unter der Der Idealzustand wäre ein automatischer Software-Updater, der ohne Zutun des Anwenders alles Notwendige abwickelt. Das wäre schon allein deshalb nötig, weil kaum ein Endverbraucher sich regelmäßig und vor allem rechtzeitig bei sämtlichen Herstellern der von ihm verwendeten Komponenten über neue Updates informiert. Dass dies ein Problem ist, sieht man 1 Quelle: http://www.samsung.com/de/news/product-/ces-2015-herstellerubergreifende-zusammenarbeit-und-offene-standards, 06.01.2015 bereits jetzt an den millionenfach weltweit betriebenen DSL-Routern, die mit längst überholten, verwundbaren Softwareversionen im Internet hängen. Ohne Installation des Software-Flickens bleibt die Lücke aber weiter offen – ganz egal, wie schnell der Hersteller reagiert. Während automatische Software-Updates im privaten Umfeld nach einem gangbarem, komfortablem Weg klingen, ist ein Automatismus in einer Produktionsumgebung ausgeschlossen: Hier darf kein Bit der Steuerungssoftware ohne ausführliche vorherige Tests verändert werden. Und selbst nach erfolgreichem Test vergehen oft Monate bis zum Update. Denn ein Neustart der beteiligten Rechner ist nur während eines der regelmäßig anstehenden Wartungsfenster machbar – niemand hält die Kfz-Produktion an, um Updates auf die Steuer-PCs der Schweißroboter zu installieren. Problematische Öffnung hin zum Netz Um Industrie 4.0 vollständig umzusetzen, muss die bisher oft gelebte Trennung von Offi ce- und Fertigungs-IT fallen. Nur so wandern Daten über eingehende Bestellungen oder die im Kundenauftrag von der Entwicklungsabteilung erarbeiteten Konstruktionen in die Fertigung. Das bedeutet aber auch, dass sich ein möglicher Angriff erheblich vereinfacht. Denn zum einen vergrößert sich die Angriff sfläche: Hätten zuvor Lücken im zumeist gar nicht Eintauchen | Titelstory: Total vernetzt – sicherlich unsicher? 28 | 29 01 0101 0101 01 01 0 10 1 0101 0101 0101 0101 0101 0101 0101 1 01 01 01 01 0 01 0101 0101 01 0101 0101 01 01 0 01 1 0101 0101 0101 0101 01 01 0101 0101 01 01 0 1 0 1 01 0101 0101 0101 01 10 1 0101 0101 0101 0101 0101 0101 0101 1 0101 0101 0101 01 01 0 101 0101 10 1 0101 10 10 0101 0101 0101 0101 0101 0101 1 01 010 10 1 0101 0101 0101 0101 0101 0101 0101 1 01 01 0101 0101 01 01 0 – was dann zwangsläufig zu mangelhafter Kommunikation und daraus folgenden Sicherheitsproblemen führt. Außerdem gebe es einen großen Unterschied beim Einschätzen von möglichen Risiken: Die Entwickler in der Industrie verfeinern schon in der Entwurfsphase die Produkte in Schleifen immer weiter, so dass am Ende ein vernachlässigbares Restrisiko Damit es gar nicht erst zu einem erfolgversprechenden Einstieg in eine Industrie 4.0-Umgebung kommen kann, muss in Unternehmen auch sprachliche Klarheit herrschen. Udo Schneider beim Einsatz des Produkts bleibt. Dieses wird in der Dokumentation beschrieben, so dass jeder Anwender um mögliche Gefahren weiß. In der IT-Welt ist ein solches Vorgehen schwer vorstellbar. Denn hier sind Änderungen am fertigen Produkt an der Tagesordnung und es würde nach der Installation jedes einzelnen Softwareupdates eine Neubewertung des ganzen Systems fällig. Würden die Experten aber von Anfang an akzeptieren, dass im Zeitalter der Vernetzung ohne das Wissen der anderen Seite keine sicheren Infrastrukturen zu bekommen sind und Zusammenarbeit unabdingbar ist, dann stünden die Chancen gut für profunde Problemlösungen. Ideal wäre es Schneider zufolge, wenn Mitarbeiter Expertise aus beiden Bereichen – also Produktion/ Produktentwicklung und Netzwerksicherheit – mitbrächten. mit dem Internet gekoppelten Produktionsnetz ausgemacht werden müssen, genügt jetzt ein schlecht gesicherter Büro-PC oder ein sorgloser Mitarbeiter, der allzu unbedarft mit USB-Sticks an privatem und beruflichem PC hantiert. Zum anderen sind im ersten Schritt keine auf Industriekomponenten abgestimmten Schädlinge nötig. Eine simple Windows-Malware, wie sie in Untergrundforen hundertfach zum Kauf angeboten wird, genügt, um mittels des infizierten Büro-PCs von außen auch Blicke ins Produktions- oder Steuerungsnetz zu werfen. Findet sich hier Lohnenswertes, können die Kriminellen immer noch dubiose Fachleute anheuern, die dann den ungleich komplizierteren Angriff auf die Industriegerätschaften starten. Lösungsvorschlag: Setzt euch an einen Tisch Damit es gar nicht erst zu einem – aus Sicht der Kriminellen – erfolgversprechenden Einstieg in eine Industrie 4.0-Umgebung kommen kann, muss in Unternehmen laut Udo Schneider, Fachmann für IT-Sicherheit in Diensten des Sicherheitsanbieters Trend Micro, auch sprachliche Klarheit herrschen. Er erlebt es immer wieder, dass die verschiedenen Fachleute aneinander vorbeireden: Während die Produktionsexperten zwischen „Safety“ und „Security“ unterscheiden, sprechen die IT-Sicherheitsexperten stets von „Security“. Während die einen Schäden für Mensch und Umwelt verhindern wollen (Safety) und ihre Betrachtungen schon auf Ebene der Fertigungsprozesse ansetzen, haben die anderen Systeme wie das ERP (Enterprise Resource Planning) oder die Arbeitsstationen im Blick, die möglichst gegen Angriffe von außen (Security) gesichert werden sollen. Beide Gruppen würden sich Schneider zufolge gegenseitig attestieren, nichts von der Arbeit der jeweils anderen zu verstehen Auch in Zukunft aktuell: Firewalls und Virenscanner Glücklicherweise müssen Unternehmen, die ihre frisch vernetzten Infrastrukturen schützen wollen, nicht auf die Neuerfindung des Rads warten. Denn der gute, alte Virenscanner und die klassische Next Generation Firewall, die sich heute um PC, Server und mobile Endgeräte kümmern, schützen auch die Produktionsumgebung. Auch in dieser werden zur Steuerung ja Rechner mit standardisierten Betriebssystemen eingesetzt, deren Netzwerkverkehr sich auf Anomalien untersuchen lässt. Spezielle Industriekomponenten wie programmierbare Logikcontroller (PLC) oder Sensoren lassen sich auf diesem Weg jedoch nicht schützen. Voraussetzung für die Gefahrenabwehr auf die, meist unter Windows laufenden Arbeitsstationen ist, dass die Schutzkomponenten von wirklichen Spezialisten im Auge behalten werden. Nur sie finden in endlosen, langweiligen Log-Dateien und unübersichtlichen Dashboards die berühmte Angriff s-Nadel im Daten-Heuhaufen. Fehlt dieses Wissen im Unternehmen, stehen externe Dienstleister bereit. Einen gefährlichen Irrtum begeht, wer nur durch Kauf und Installation einer solchen Komponente, aber ohne ständige Überwachung der Log-Files, Angreifern auf die Spur kommen und sie sich vom Hals halten will. Produzenten von netzwerkfähigen Komponenten tun gut daran, sich die in der Software-Industrie gängigen Verfahren zum Schreiben von sicherem Programmcode zu Gemüte zu führen. Microsoft beispielsweise stellt seinen weltweit anerkannten Security Development Lifecycle (SDL) gratis zur Verfügung. Der SDL ist Microsofts Prozess zum Programmieren sicherer Software und umfasst neben Tools zur Fehlersuche unter anderem auch Best Practices, Vorgaben und Trainings für Entwickler sowie Maßgaben, wie im Falle eines Falles zu handeln ist. Fazit: Hektik ist ein schlechter Ratgeber Der Druck auf Entscheider in Unternehmen ist groß, sich intensiv mit den Möglichkeiten zur Digitalisierung und Vernetzung aller Geschäftsbereiche zu befassen. Dennoch sollten sie nicht in Aktionismus verfallen, sondern sich die notwendige Zeit nehmen, um die Sicherheitsrisiken anstehender Veränderungen intensiv zu prüfen. Denn wenn existierendes Wissen und vorhandene Erfahrungen aus dem Bereich der IT-Sicherheit von Anfang an berücksichtigt werden, lassen sich folgenschwere Fehler vermeiden. ÜBer DeN AuTOr Uli Ries ist seit 1998 als Journalist tätig und arbeitet für Publikationen wie c’t/heise online, CHIP, Computerwoche, Spiegel Online, Süddeutsche Zeitung oder Wirtschaftswoche. Er ist spezialisiert auf die Bereiche IT-Sicherheit, Mobilität und Kommunikation. 28 | 29 Eintauchen | Security in Zeiten des IoT Bildquellen: © istockphoto / IvanWuPI, VvoeVale; © thinksstock / g-stockstudio 30 | 31 INTerVIeW Balanceakt zwischen Sicherheit und Nutzen So wappnen sich Sicherheitsverantwortliche für das Internet der Dinge Vom fernwartbaren Kraftwerk bis zum online überwachbaren Eigenheim: Das Internet der Dinge – englisch: Internet of Things (IoT) – bietet Wirtschaft und Gesellschaft zahlreiche Vorteile. Ganz ohne Risiken und Nebenwirkungen sind die Vorzüge der Vernetzung der physischen Welt allerdings nicht zu genießen. Prof. Dr. Michael Backes, Direktor des Centers for IT Security, Privacy and Accountability (CISPA), erklärt, welche neuen Ge-fahren entstehen und wie sich Unternehmen und Anwender schützen können. SBL: Herr Prof. Backes, welche neuen ITRisiken entstehen durch die zunehmende Vernetzung? Backes: Das Internet der Dinge, also die vollständige Vernetzung aller elektronischen Gegenstände, vom Computer über eingebettete Systeme bis hin zu Herzschrittmachern und Produktionsmaschinen, birgt eine Vielzahl neuer Herausforderungen. Eines der kritischsten Themen ist die Authentifizierung, also die Frage danach, ob ich mit der Komponente „spreche“, mit der ich kommunizieren will. Ein plakatives Beispiel: Wenn ich mein Auto mit einer Fernbedienung öff ne, dann sollte das Auto wissen, dass es in der Tat von der richtigen Fernbedienung angesteuert wird. Die zweite große Herausforderung ist der Schutz der Kommunikation vor unbefugten Zugriffen. SBL: Diese Risiken sind aber nicht erst durch das IoT entstanden. Backes: Nein, bei den Bedrohungen des IoT handelt es sich meist nicht um neue Probleme, sondern um bekannte Phänomene, die auf neue Anwendungsfelder treffen. Bislang wusste man, wenn man mit vernetzten Geräten kommuniziert, dass es sich dabei um einen PC oder ein Mobilgerät handelt. Mittlerweile könnte das aber auch ein Sensor in einer Kaffeemaschine sein. Dennoch bleiben die Grundprobleme ähnlich. Daher müssen meist keine komplett neuen Sicherheitslösungen entwickelt, sondern bekannte Technologien an die neue Situation angepasst werden. SBL: Das heißt, Unternehmen müssen ihre eingesetzten Sicherheitslösungen einfach nur erweitern? Backes: Wenn es um den Bereich der Office-IT geht, ja. Hier gilt es, bestehende Technologien auf neue Gerätekategorien auszuweiten. In dem Moment, in dem sicherheitskritische Geräte, zum Beispiel Sensoren, die Waldbrände erkennen oder Hochwasser messen, vernetzt werden, steigen die Anforderungen allerdings um ein Vielfaches an. SBL: Wäre es sicherer, solche hochkritischen Sensoren nicht zu vernetzen? Backes: Was nicht vernetzt ist, ist schwieriger angreifbar, bietet allerdings auch weniger Nutzen. Das ist ein Balanceakt zwischen Nutzen und Sicherheit. Zum Beispiel konnte man bislang auch Einbruchssensoren nutzen, die nicht mit dem Internet verbunden waren, sondern einfach einen Alarm ausgelöst haben. Für den Anwender bietet die Vernetzung allerdings einen erheblichen Mehrwert: Man kann sich einloggen und hat sein Haus überall im Blick. Andere können das allerdings dann eventuell auch. Insofern sind Sicherheitsrisiken Nebenwirkungen des IoT, die wir in Angriff nehmen müssen. SBL: Welche konkreten Herausforderungen gibt es für Unternehmen im Zusammenhang mit dem IoT? Backes: Eines der Hauptprobleme ist Industriespionage, also die Gewinnung von Geschäftsgeheimnissen, neuen Produktionsinhalten oder strategischen Planungen. Andere Cyberkriminelle haben es darauf abgesehen, im Auftrag von Unternehmen Konkurrenten zu schaden, indem sie kritische Systeme lahm legen. Diese Gefahren bestanden zwar schon vor dem IoT, nehmen aber durch die Vielzahl der vernetzten Elemente zu. Denn je mehr Sensoren und Geräte, die sensiblen Informationen sammeln und bearbeiten, aus denen Hacker Geschäftsgeheimnisse extrahieren können, desto höher ist das Sicherheitsrisiko. auch für Privatanwender: sicherheitskritische Updates direkt installieren, gute Passwörter wählen, aktuelle Virenscanner und Firewalls nutzen. Wer diese Vorkehrungen ergreift, ist im Allgemeinen vor Angriffen geschützt. SBL: Prof. Backes, wir danken Ihnen für dieses Gespräch. SBL: Schützen sich Unternehmen derzeit vor diesen Gefahren? Backes: Organisierte Cyberkriminelle werden immer Sicherheitslücken finden. Davor können sich auch Großkonzerne und Staaten nur bedingt absichern. Aber die meisten großen Unternehmen haben entsprechende Vorkehrungen getroffen, um sich in gewissem Maße zu schützen. Kleineren und mittelständischen Firmen fehlen hierfür allerdings meist die Ressourcen in Form von IT-Budget und entsprechend qualifiziertem Personal. Sie sollten, auch wenn sie keine dezidierten IT-Security-Spezialisten beschäftigen, dennoch für einen elementaren Grundschutz sorgen. Also aktuelle Software-Anwendungen, Firewalls und Virenscanner einsetzen, gute Passwörter vergeben, ihre Mitarbeiter sensibilisieren. SBL: Was sollten wir als Internetnutzer Ihrer Meinung nach besonders beachten? Backes: Die zuvor genannten Maßnahmen gelten PrOF. Dr. MIcHAeL BAcKeS ist Direktor des Centers for IT Security, Privacy and Accountability (CISPA) und Leiter der Arbeitsgruppen Informationssicherheit und Kryptographie. Das an der Universität des Saarlandes angesiedelte Zentrum bündelt die Kompetenzen aus dem Fachbereich Informatik, dem Max-Planck-Institut für Informatik, dem Max-Planck-Institut für Softwaresysteme, dem Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) und dem Exzellenzcluster „Multimodal Computing and Interaction (MMCI)“. Ziel der Wissenschaftler ist es, ganzheitliche Sicherheitslösungen für die digitale Gesellschaft zu erforschen und zu entwickeln. 30 | 31 Eintauchen | IT-Unsicherheit als Status quo? Lorem ipsum dolor | IT-Unsicherheit als neuer Status quo? Die Evolution des Sicherheits- zum ganzheitlichen Risikomanagement Angesichts dieser dynamischen Bedrohungslage rangiert Security unter den Topthemen der CIOs und IT-Entscheider. Laut der Capgemini-Studie „IT-Trends 2014“1 zählen der Schutz vor Schadsoftware und die unter dem Namen „Security Compliance“ zusammengefassten Sicherheitsrichtlinien zu den fünf wichtigsten Handlungsfeldern in den kommenden Jahren. Auch das Marktforschungsunternehmen Gartner identifiziert „Risiko-basierte Sicherheits- und Schutzmaßnahmen“ („Risk-Based Security and Self-Protection“) als zentralen Technologietrend 20152. „Jede App benötigt einen Selbstschutz3“ , lautet der Rat der Analysten. Es seien neue Sicherheitslösungen erforderlich, die direkt in die Applikationen integriert werden. Dabei spielt die Unternehmensgröße keine Rolle. Kleine und mittelständische Firmen, die in innovativen Bereichen forschen und entwickeln, stehen ebenso im Visier von Cyberkriminellen wie internationale Großkonzerne. Restrisiko managen Unternehmen müssen darauf mit ganzheitlichen Security-Strategien reagieren, wie ein solches Sicherheitskonzept, das externen und internen Gefahren mit technischen und organisatorischen Mitteln begegnet, im Idealfall aufgebaut ist, beleuchtet der Security-Experte DrorJohn Röcher im Fachbeitrag „Mit Netz und doppeltem Boden“ (siehe Seite 38). Ein Kernelement ist eine eigene Führungsrolle, die mit dem Digital Risk Officer (DRO) laut der „2014 CEO and Senior Executive“-Studie 4 von Gartner bis 2017 rund ein Drittel aller großen Unternehmen etabliert. Welche Aufgaben der DRO übernimmt, erläutert Andreas Könen, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), im Interview. Generell müssen Unternehmen ein Bewusstsein dafür entwickeln, dass sie sich nicht zu jeder Zeit vor allen Gefahren rundum abschotten und schützen können. Es gilt, die bestehenden Risiken zu kennen und dafür zuverlässige Frühwarnund Abwehrprozesse zu implementieren. Laut der PricewaterhouseCoopers-Studie 2015 „The Global State of Information Security“5 wird IT Security Management immer mehr zum Cyber Risk Management, das Unternehmen am besten in einem Security Operation Center (SOC) bündeln. Dass jedoch ein ausgelagertes SOC vor allem für kleinere und mittlere Unternehmen eine kosteneffiziente Alternative ist, erklärt Murat Yildiz, Senior Manager Information Security Solutions beim IT-Beratungsunternehmen Sopra Steria Consulting, im Interview. 1 Quelle: http://www.de.capgemini.com/ressourcen/it-trendsstudie-2014, 2014 2 Quelle: http://www.gartner.com/newsroom/id/2867917, 08.10.2014 3 Quelle: http://www.gartner.com/newsroom/id/2867917, 08.10.2014 4 Quelle: http://www.gartner.com/newsroom/id/2794417, 10.07.2014 5 Quelle: http://www.pwc.com/gsiss2015, 2014 IT Security Das Thema IT Security ist vielschichtig und für alle Unternehmen auf unterschiedlichen Ebenen interessant. Daher setzt sich diese Samsung Business Life Ausgabe mit folgenden Schwerpunkten auseinander: • neue Prozesse und Führungsrollen zum Management digitaler Risiken • ganzheitliche Sicherheitsstrategien, die große Technologiekonzerne vor internen Risiken schützen • Cyberabwehr für kleine und mittelständische Unternehmen Bildquelle: © istockphoto / GlobalStock Hacktivismus, Whistleblower, Cyberwar, Intrusion Detection – eine bunte Vielzahl neuer Begriffe beschreiben aktuelle Phänomene der IT-Sicherheit. Diese Einführung zeigt: Die Lage ist nicht nur extrem komplex, sondern auch hochdynamisch. Fast täglich berichten Medien von neuen Cyberattacken und bislang unbekannten Angriffsmethoden, mit denen sich Hacker Zugang zu Unternehmensnetzen verschaffen. Genau wie die externen nehmen auch die internen Risiken im Zuge der Verbreitung neuer Technologien wie Cloud Computing und mobilen Endgeräten zu. Den Zustand der hundertprozentigen Sicherheit gibt es kaum noch. Bildquelle: © istockphoto / tumpikuja 32 | 33 Eintauchen | Security-Umfeld Interview SBL: Gartner hat kürzlich prognostiziert, dass 2015 mehr als die Hälfte der CEOs eine Führungsperson für Sicherheitsfragen in ihrem Team haben. Wie bewerten Sie diese Prognose? INTerVIeW Wir beobachten eine digitale Sorglosigkeit Bildquelle: © istockphoto / Ollyy Neue Prozesse und Führungsrollen zum digitalen Risikomanagement Könen: IT-Sicherheit ist eine Managementaufgabe, in kleinen wie in großen Unternehmen. Insofern begrüße ich diese Entwicklung. Hinreichender Schutz ist nur möglich, wenn ein ganzheitliches Bewusstsein für das Bedrohungs- und Risikopotenzial durch Cyberangriffe geschaffen und geeignete Sicherheitsmaßnahmen umgesetzt werden. Hierfür müssen Verantwortungsbereiche eingerichtet und Verantwortliche für die IT-Sicherheit benannt werden, die nahe am CEO angesiedelt sein sollten. SBL: Was muss Ihrer Meinung nach ein Digital Risk Officer leisten? Durch die zunehmende IT-Durchdringung und Vernetzung mit dem Internet steigt die Gefahr vor Cyberangriffen. Auch kleinere und mittelständische Unternehmen sind nicht davor gefeit, ihre Patente und Forschungsergebnisse schützen zu müssen. Andreas Könen, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), zeigt auf, welche neuen Risiken aus Unternehmenssicht durch Technologietrends wie Mobility, Smart Home und Industrie 4.0 entstehen, und erklärt die neue Rolle des Digital Risk Officers. SBL: Angesichts der zunehmenden Anzahl und Professionalität von Cyberangriffen werden die Sicherheitsanforderungen so komplex, dass viele Unternehmen mit ihren bestehenden Strukturen und Ressourcen an ihre Grenzen stoßen. Was sind aus Ihrer Sicht aktuelle Herausforderungen, denen sich Unternehmen derzeit im Bereich ITSicherheit gegenübersehen? Könen: Durch die zunehmende IT-Durch- dringung und Vernetzung mit dem Internet vergrößern sich die Angriffsfläche und die Erfolgsaussichten für Cyberangreifer. Dennoch setzen viele Unternehmen erforderliche Sicherheitsmaßnahmen nicht konsequent um. Wir beobachten eine gewisse „digitale Sorglosigkeit“. Es ist ein Trugschluss, wenn sich kleinere Unternehmen aufgrund ihres geringen Bekanntheitsgrads in Sicherheit wähnen. Gefährdung entsteht dort, wo Werte vorhanden sind. Die Patente IT-Sicherheit ist immer ein Zusammenspiel aus technischen, organisatorischen und personellen Maßnahmen. Andreas Könen und Forschungsergebnisse eines mittelständischen Betriebs können für Angreifer ebenso lukrativ sein wie die Vorstandsentscheidungen eines Großkonzerns. Könen: Technologieinnovationen wie Cloud Computing und mobile Endgeräte bringen neue Risiken mit sich, die sich auf alle Bereiche einer Institution auswirken, die Personal- genauso wie die IT-Abteilung. Ein Digital Risk Officer muss diese unternehmensweiten Risiken bewerten. Das bedeutet, er muss sich mit Vertretern aller Geschäftsbereiche austauschen. Hierzu ist ein umfangreiches technisches Verständnis nötig. Viel wichtiger sind für einen Digital Risk Officer jedoch auch „IT-ferne“ Kenntnisse, beispielsweise im Marketing oder im Vertrieb, sowie ein grundlegendes Verständnis der internen und externen Prozesse. Ebenso sollte er auch über juristisches Wissen verfügen und die Compliance-Anforderungen kennen. Aufgrund dieser Vielfältigkeit reicht es meist nicht aus, bereits tätige Sicherheitsbeauftragte einfach in „Digital Risk Officer“ umzubenennen. SBL: Mobile Endgeräte und die zunehmende Vernetzung im Internet der Dinge verändern die Arbeits- und Lebenswelt grundlegend. Holen wir uns IT-Risiken mit Entwicklungen wie Industrie 4.0 und Smart Home ins eigene Unternehmen und Zuhause? Könen: Durch die zunehmende Mobilität und Vernetzung werden bestehende Paradigmen wie der traditionelle Perimeterschutz, also der Schutz vor externen Bedrohungen mittels Firewall beispielsweise, überholt oder unwirksam. Dennoch überwiegen die Vorteile dieser Technologien. Damit wir alle davon profitieren können, ist jedoch notwendig, dass man die IT-Sicherheit im Sinne eines „Securityby-Design“-Ansatzes von vorneherein mit einbezieht. In Bezug auf Industrie 4.0 ist es beispielsweise wichtig, technologiespezifische Mindeststandards sowie speziell auf industrielle Produktionssysteme zugeschnittene Sicherheitsprofile zu entwickeln. Ein Digital Risk Officer muss diese unternehmensweiten Risiken bewerten. Das bedeutet, er muss sich mit Vertretern aller Geschäftsbereiche austauschen. Hierzu ist ein umfangreiches technisches Verständnis nötig. Könen: Der Faktor Mensch spielt eine sehr große Rolle. IT-Sicherheit ist immer ein Zusammenspiel aus technischen, organisatorischen und personellen Maßnahmen. Dass die eigenen Mitarbeiter nicht ungewollt zum Sicherheitsrisiko werden, kann man beispielsweise durch regelmäßige und anlassbezogene Sensibilisierungsund Schulungsmaßnahmen verhindern. Ein weiteres Risiko sind „Innentäter“, also die Mitarbeiter, die es darauf anlegen, Informationen unbefugt abzugreifen oder Abläufe zu sabotieren. Da diese Mitarbeiter in der Regel freieren Zugriff auf Systeme und internes Know-how haben, sind ihre Erfolgsaussichten hoch. SBL: Wie werden sich die Herausforderungen im kommenden Jahr entwickeln? Könen: Der Wettlauf zwischen Angreifern und Verteidigern geht weiter. Als Verteidiger müssen wir uns auf neue Angriffsmethoden und professionellere Angreifer einstellen. Unternehmen und die Betreiber kritischer Infrastrukturen stehen im Fokus von Advanced Persistent Threats – mit hohem Aufwand und großer Ressourcenausstattung durchgeführten, professionellen Angriffen. Diese abzuwehren, bleibt eine Herausforderung, die Unternehmen meistern können. SBL: Herr Könen, wir danken Ihnen für dieses Gespräch. Andreas Könen SBL: Unternehmen sehen sich nicht nur einer höheren Gefahr von außen ausgesetzt. Auch Mitarbeiter, die ComplianceRichtlinien außer Acht lassen oder Opfer von Social Engineering-Attacken – Angriffen, die Mitarbeitern vertrauliche Informationen wie Zugangsdaten entlocken – werden, gefährden die IT-Sicherheit. Welche Rolle spielt Ihrer Meinung nach der Faktor Mensch für die IT Security? Andreas Könen, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) 34 | 35 Eintauchen | Security-Umfeld Interview Lorem ipsum dolor INTerVIeW Cyberkriminelle sind heute gut bezahlte Profis Wie kleine und mittelständische Unternehmen ihre Cyberabwehr aufrüsten Trojaner im Kanzleramt1, Hackerattacken auf die Webseiten der Bundesregierung2 und das Pentagon3 – fast wöchentlich tauchen neue Sicherheitslecks und Angriffsszenarien auf. Angesichts der hohen cyberkriminellen Professionalität wird es für Unternehmen immer schwieriger, sich vor Datenklau und Industriespionage zu schützen. Murat Yildiz, Senior Manager Information Security Solutions beim IT-Beratungsunternehmen Sopra Steria Consulting, über aktuelle Gefahren, wirksame Schutzmaßnahmen und die Frage, ob kleinere und mittelständische Unternehmen ihre Cyberabwehr auslagern sollten. SBL: Herr Yildiz, welche Anforderungen sind Ihrer Einschätzung nach die wichtigsten im Security-Bereich? Yildiz: Unternehmen haben es derzeit ständig mit Sicherheitsvorfällen zu tun, seien es Hackerangriffe oder Ausspähaff ären. Die Bedrohung ist latent. Daher müssen Unternehmen das Thema Security aufwerten und ihre IT-Budgets entsprechend aufstocken. Laut unserer aktuellen Studie steigern die meisten Unternehmen ihre Sicherheitsausgaben nur gering4. Die Investitionen fließen eher in Innovationsfelder wie mobile Applikationen, Cloud-Infrastrukturen, Big-DataLösungen und soziale Netzwerke. Dabei wird oft außer Acht gelassen, dass ohne IT-Security im Ernstfall nichts mehr geht. Wenn Unternehmen ihre IT-Landschaften nicht absichern, gefährden sie ihre Wettbewerbs- und Geschäftsfähigkeit. Wir haben es nicht mehr mit politisch motivierten Attacken oder experimentierfreudigen Jugendlichen zu tun, die sich auf der Jagd nach dem schnellen Kick in Hochsicherheitsserver einhacken. Cyberkriminelle sind heute gut bezahlte Profis, die Schwachstellen identifizieren und sich Wenn Unternehmen ihre IT-Landschaften nicht absichern, gefährden sie ihre Wettbewerbs- und Geschäftsfähigkeit. Murat Yildiz langfristig in Unternehmensnetzen einnisten. Diese komplexen, zielgerichteten Angriffe über längere Zeiträume bezeichnen wir als Advanced Persistent Threats. SBL: Was sind die größten Gefahren, denen Unternehmen sich aktuell gegenübersehen? SBL: Was können Unternehmen tun, um sich vor solchen professionellen Attacken zu schützen? Yildiz: Die Angreifer haben sich in den vergangenen Jahren stark verändert. Yildiz: Eine Out-of-the-Box-Lösung gibt es dafür nicht. Die wichtigste Maßnahme ist, IT-Security zur Chefsache zu erklären. Erfolgreiche Sicherheitsstrategien werden mit der Führungsebene definiert und von der ganzen Organisation umgesetzt. Denn die beste technische Lösung ist wertlos, wenn Mitarbeiter in ihren nächsten E-Mails unsichere Links anklicken und das Netzwerk mit Viren infizieren. Strategisch ist es empfehlenswert, in drei Schritten vorzugehen: Als Basis muss eine Standort-Bestimmung vorgenommen werden, die potenzielle Schwachstellen und Bedrohungen, im Idealfall mithilfe von gezielten IT Security Audits und simulierten Angriffen, erfasst. Im zweiten Schritt sollten Unternehmen ein Information Security Management System (ISMS) etablieren. Dieses ISMS legt Richtlinien und Arbeitsanweisungen fest, definiert Rollen und Prozesse und sieht kontinuierliche Sensibilisierungsmaßnahmen für die Mitarbeiter vor. Darauf aufbauend gilt es, ein Sicherheitsinformations- und Ereignis-Management (SIEM) und die dazugehörigen Betriebsprozesse einzuführen. Dadurch wird die IT-Landschaft überwacht. Um all diese Technologien und Aufgaben zu bündeln, sollten Unternehmen ein CyberAbwehrzentrum aufbauen. Bildquelle: © istockphoto / Yuri_Arcurs 36 | 37 SBL: Halten Sie es für eine sinnvolle Alternative für kleine und mittelständische Unternehmen, ihre Cyberabwehr in ein Security Operation Center (SOC) auszulagern? Yildiz: Im Idealfall können sich Unternehmen den Aufbau und Betrieb eines SOC selbst leisten. Die meisten kleineren und mittelständischen Unternehmen können dies allerdings nicht stemmen. In dem Fall ist der Einsatz eines externen SOC auf jeden Fall eine sinnvolle Alternative. Welche Form eines SOC die richtige ist, sollte jedes Unternehmen anhand der Bedrohungslage und der Verfügbarkeit von Technologien und Experten entscheiden. SBL: Herr Yildiz, wir danken Ihnen für dieses Gespräch. 1 Quelle: http://www.zeit.de/politik/deutschland/2014-12/ spionage-kanzleramt-nsa, 29.12.2014 2 Quelle: http://www.sueddeutsche.de/digital/prorussische-hackergruppe-cyberberkut-digitaler-protest-gegen-den-ukrainekredit-1.2293452, 07.01.2015 3 Quelle: http://www.faz.net/aktuell/politik/ausland/amerika/ twitter-und-youtube-betroffen-hackerangriff-auf-das-pentagon-13366676.html 4 Quelle: http://www.steria.com/ch/fileadmin/assets/media/2014/pdf/Cyber_Security_exec_summary_-_ENG.pdf, 2014 Murat Yildiz, Senior Manager Information Security Solutions beim IT-Beratungsunternehmen Sopra Steria Consulting 36 | 37 Eintauchen | Fachbeitrag Security-Umfeld 38 | 39 Bildquelle: © istockphoto / GlobalStock Eine große Gefahr geht laut der Samsung Studie „People-Inspired Security“1 mittlerweile von Mitarbeitern aus, die selbst bewusst oder unbewusst Daten preisgeben. Mit Netz und doppeltem Boden Ganzheitliche Sicherheitsstrategien schützen vor internen Risiken In ihren Rechenzentren, auf den PCs, Tablets und Smartphones der Mitarbeiter befinden sich kostbare Datenschätze von Unternehmen, die für Cyberkriminelle von hohem Wert sind und vor inneren und äußeren Bedrohungen geschützt werden müssen. Global agierende Technologiekonzerne stehen derzeit besonders im Fadenkreuz von Industriespionen, die sich Zugang zu sensiblen Informationen verschaffen. Doch die größere Gefahr geht laut der Samsung Studie „People-Inspired Security“1 mittlerweile von Mitarbeitern aus, die selbst bewusst oder unbewusst Daten preisgeben. Erfolgreiche Sicherheitsstrategien fußen daher nicht mehr auf einer Lösung, sondern verzahnen mehrere Ansätze miteinander, erklärt der Security-Experte Dror-John Röcher. Nach der Vertriebspräsentation bleibt der USB-Stick versehentlich beim Kunden liegen, auf der Heimfahrt vergisst der Mitarbeiter sein Smartphone im Zug – Entwicklungsdaten und Geschäftsgeheimnisse zu schützen, ist für Unternehmen mit der zunehmenden Mobilisierung der Arbeitswelt zu einer immensen Herausforderung geworden. „Data Leakage“ – zu deutsch Datenleck – heißt das Risiko, das mittelständische Technologieführer ebenso fürchten wie große Konzerne. Vor allem seitdem Mitarbeiter nicht mehr ausschließlich innerhalb des Unternehmens arbeiten, sondern unterwegs auf Firmendaten zugreifen, hat die Gefahr, dass sensible Informationen an Wettbewerber abfließen, erheblich zugenommen. Das Brisante dabei ist: Allein die Informations- technologien abzusichern, genügt nicht. Die Mitarbeiter selbst sind zu Gefahrenquellen geworden. Gefahren lauern innen und außen Noch vor wenigen Jahren mussten Konzerne lediglich ihre Rechenzentren vor Hackerangriffen schützen. Hierfür wurden Firewalls und Systeme zur Angriff serkennung wie ein Schutzwall hochgezogen, der die IT-Systeme nach außen abgesichert hat. Neuartige Attacken umgehen diese Abwehrvorkehrungen jedoch längst. Dennoch setzen noch immer viele Unternehmen bei der IT-Sicherheit auf diese klassischen Präventivmaßnahmen. Sicherheitstechnisch ist das ein Risiko. „Antivirenlösungen folgen dem falschen Gedankengang: Das Böse wird geblockt, das Unbekannte zugelassen. Das kann auf Dauer nur schiefgehen“, meint Dror-John Röcher, Lead Consultant Secure Information bei Computacenter. Zu den gefährlichsten Bedrohungen der vergangenen Monate zählen Angriffe, die Dienste wie Bankautomaten lahmlegen (Distributed Denial of Service) oder mittels gefälschter E-Mails beziehungsweise als vermeintlicher IT-Administrator Mitarbeitern Passwörter entlocken (Phishing, Social Engineering). Hacker sind heute keine Amateure mehr. Unternehmen haben es mit professionellen Cyberkriminellen mit wirtschaftlichen Interessen zu tun: Sie lesen Daten unentdeckt aus und verkaufen sie gewinnbringend. Der finanzielle Schaden durch Umsatzeinbußen, den Ausfall der IT-Systeme und Regularstrafen ist immens – und auch das Image leidet, wie die jüngste Angriff sserie auf US-amerikanische Handelsketten zeigt, bei der mehr als 50 Millionen KundenKreditkarten betroffen waren2. Mittlerweile arbeiten Cyberkriminelle zunehmend in einer gut funktionierenden Organisation und werden sogar teilweise von organisierten Hackergruppen unterstützt. Angriffe haben heutzutage einen Reifegrad erreicht, der seinesgleichen sucht. „Die erfolgreichsten Angriffe sind in der Regel eine Kombination aus mehreren Vektoren und damit auch umso schwerer zu entdecken“, erklärt Röcher. Daher sei es zunehmend wichtig, Attacken rechtzeitig zu erkennen, um sie abwehren zu können „Die Prävention heute ist schon gut, aber in der Detektion müssen wir besser werden.“ 1 Quelle: http://www.all-about-security.de/fileadmin/micropages/Whitepaper_Endpoint_2/People_Inspired_Security_Report.pdf, 2014 2 Quelle: http://www.heise.de/security/meldung/Hackerangriff-auf-Home-Depot-56-Millionen-Kreditkarten-betroffen-2399827.html, 19.09.2014 38 | 39 40 | 41 Eintauchen | Fachbeitrag Security-Umfeld Risikofaktor Mensch: Sicherheitslücken in den eigenen Reihen Die eingesetzten Schutzmechanismen haben sich im Lauf der Jahre verfeinert. Firewalls sind mittlerweile beispielweise in der Lage, ein- und ausgehende Datenströme sogar auf Inhaltsebene zu filtern und so Content, der Schaden anrichten könnte, abzuwehren. Daher haben sich Hacker mittlerweile darauf spezialisiert, sich mithilfe von legitimen Accounts Zugang zu Datenbanken und Anwendungen zu verschaffen. „Cyberkriminelle, die es auf Unternehmensdaten abgesehen haben, dringen meist mit den Zugangsdaten von Mitarbeitern ein und missbrauchen Privilegien sowie Berechtigungen der Nutzer-Accounts für illegale Aktivitäten“, so Röcher weiter. „Dabei kann es sich sowohl um einen Insider als auch um einen externen Hacker handeln, der einen legitimen Account mittels zielgerichteter Spear Fishing Attacke oder Social Engineering übernommen hat, um sich Zugriff auf die gewünschten Daten zu verschaffen.“ Diese Methoden nehmen ganz gezielt die Mitarbeiter ins Visier und entlocken ihnen Zugangsdaten. Daher geht die größte Sicherheitsgefahr mittlerweile von innen aus – so zum Beispiel durch Mitarbeiter, die ihre Passwörter unachtsam weitergeben. Diesen Gefahren müssen Unternehmen auf zwei Ebenen begegnen: der technischen und der organisatorischen. Technisch gibt es Lösungen, die verhindern, dass Mitarbeiter zu Datenlecks werden. Die NetzwerkTopologie kann beispielsweise so konfiguriert werden, dass Server mit hochsensiblen Daten durch virtuelle Netze (Virtual Local Area Networks; VLANs) von PCs und Workstations getrennt sind. Oder die IT-Abteilung kann unternehmensweit die USB-Anschlüsse der Notebooks sperren, um zu verhindern, dass Viren über USB-Sticks in das Unternehmensnetz gelangen. Dadurch lassen sich kritische Daten sowohl vor ungewollten Zugriffen als auch vor Schadsoftware schützen. Organisatorisch begegnen Unternehmen der ständigen Cybergefahr am wirkungsvollsten, indem sie ihre Mitarbeiter kontinuierlich schulen, für Sicherheitsthemen sensibilisieren und bei der Konzeption ihrer Security-Strategie mit ins Boot holen. Schulungsbedarf besteht zum Beispiel beim sorgsamen Umgang mit Zugangsdaten. Aber auch Themen wie die Bearbeitung von Geschäftsemails auf dem privaten Smartphone können Bestandteil regelmäßiger Sicherheitsworkshops sein. APPS & cO Sicherheit auf allen Kanälen Ob mobile Kommunikation, Big Data oder Industrie 4.0: Sicherheit in all ihren Facetten ist der große gemeinsame Nenner der technischen Innovation. Wer sich weitergehend damit befassen möchte und auch einmal einen ungewohnten Blickwinkel bei der Betrachtung dieser Themenwelten einnehmen will, wird bei folgenden Buchtiteln und Apps fündig – ganz sicher! BÜcHer BLIcK IN DIe PrAXIS: MOBILe SIcHerHeIT BeI Der SAMSuNG eLecTrONIcS GMBH Aufgrund der Komplexität, die die Absicherung aller IT-Risiken mittlerweile erreicht, lagert die Samsung Electronics GmbH diese Aufgabe an den Dienstleister Samsung SDS aus, der für den koreanischen Konzern weltweit den Betrieb und die Absicherung der IT übernimmt. Mit der Schlüsselposition eines Security Managers auf höchster Führungsebene wird die Wichtigkeit der Themen Sicherheit und Prävention innerhalb der Organisation unterstrichen. Die eingesetzten Schutzmechanismen dienen nicht nur dazu, Mitarbeitern innerhalb des Unternehmens, sondern auch unterwegs sicheren Zugang zum Netzwerk zu bieten. Das Risiko von „Data Leakage“ wird durch zusätzliche Mechanismen minimiert. Eine auf den Endgeräten konzernweit installierte Software verschlüsselt die wichtigsten Dokumente, zusätzlich lassen sich die Festplatten verschlüsseln. Da auch Smartphones und Tablets sensible Unternehmensdaten enthalten, wird neben dem Management der Devices (Mobile Device Management) zusätzlich eine Containerlösung (KNOX TM) für Unternehmensdaten angeboten. Nicht zuletzt setzt Samsung darauf, durch Schulungen und entsprechende Richtlinien die Mitarbeiter kontinuierlich für den verantwortungsbewussten Umgang mit Zugangs- und Unternehmensdaten zu sensibilisieren. Post-Privacy: Prima leben ohne Privatsphäre Wer Lust auf unterhaltsame Lektüre rund um das Thema „Abschied von der Privatsphäre im digitalen Zeitalter“ hat, und das ohne apokalyptische Schreckensbilder à la 1984, kann einen Blick in das Buch von Christian Heller werfen. Anstatt der im Internet verlorenen Privatsphäre nachzuweinen und die Schuldigen bei den „Internetkonzernen“ zu suchen, zeigt er dem Leser eine ganz andere Perspektive auf, nämlich neue Lebensführungsstrategien sowie alte und neue Vorbilder dafür. ISBN-10: 3406622232 Zum Frühstück gibt's Apps: Der tägliche Kampf mit der Digitalen Ambivalenz Gerald Lembke und Ingo Leipner decken den Frühstückstisch. Doch anstatt Café au Lait und Croissants servieren Sie dem Leser Smartphone und Social Media. In ihrem Buch gehen die beiden Autoren dem Phänomen der „Digitalen Ambivalenz“ auf den Grund – indem sie in amüsanten Geschichten aus dem Alltag aufzeigen, wie wir zwischen Segnungen und Fluch der Digitalisierung hin- und hergerissen sind. ISBN-10: 3662434016 Ich glaube, es hackt! Ein Blick auf die irrwitzige Realität der IT-Sicherheit Tobias Schrödel gilt als „Deutschlands erster Comedyhacker“ und wurde für die Erstauflage des vorliegenden Buches, das unter dem Titel „Hacking für Manager“ erschienen ist, mit dem internationalen getAbstract Award für das Wirtschaftsbuch des Jahres 2011 ausgezeichnet. In fünfzig neuen Kapiteln verrät er hilfreiche Tricks für den sicheren Umgang mit digitaler Technik im Alltag. Fachchinesisch und der erhobene Zeigefinger bleiben jedoch außen vor, Schrödel schreibt gleichermaßen verständlich und amüsant. ISBN-10: 3658042451 Der Circle Einen der aufsehenerregendsten Romane des vergangenen Jahres hat Dave Eggers vorgelegt. Im Zentrum der Handlung steht Mae, Mitarbeiterin beim „Circle“, dem freundlichen Internetkonzern, der seine Kunden mit einer einzigen Internetidentität ausstattet, über die alles abgewickelt werden kann – mit allen Vor- und Nachteilen. Eggers regt den Leser in seinem spannenden Roman an, über die Bedeutung von Privatsphäre, Demokratie und Öffentlichkeit nachzudenken und vergisst dabei keineswegs, ihn bestens zu unterhalten. ISBN-10: 3462046756 Entdecken I Umfrage I Kontakt I Impressum 42 | 43 APPS Passwort merken leicht gemacht Wer kennt es nicht? Ob Online-Banking oder -Shopping, Dropbox oder E-Mail-Konto: Täglich benötigen wir eine Vielzahl an PINs und Passwörtern. Aus Sicherheitsgründen sollten wir darauf verzichten, das gleiche Passwort für mehrere Anwendungen zu benutzen. Doch besonders bei den Diensten, die nicht täglich in Gebrauch sind, wird die gewählte Zeichenfolge gerne vergessen. Abhilfe bieten Apps, die sämtliche Passwörter sicher speichern und verwalten, beispielsweise von F-Secure. Der Nutzer muss sich nur noch ein Passwort merken, um alle Services nutzen zu können. Bildquelle: © istockphoto / Squaredpixels Apps sicher wegsperren Zwar sollte jeder Smartphone-Nutzer eine Systemsperre aktiviert haben, aus Bequemlichkeit verzichten jedoch viele darauf. Um für den Fall einer unbefugten Nutzung des Handys oder eines Missbrauchs bei Diebstahl vorzusorgen, lassen sich mittels einer App viele Dienste und Apps zusätzlich sperren oder absichern. Auch das Löschen privater Daten wie Fotos ist damit möglich. Im Google Play Store wird man bei verschiedenen Anbietern fündig, ein Beispiel ist Smart App Lock. KONTAKT Was macht eigentlich...? Für nahezu jede Lebenslage gibt es eine Vielzahl praktischer Apps für Tablet und Smartphone. Gerne lassen sich Nutzer dazu verleiten, diese mehr oder weniger wahllos herunterzuladen. Zwar werden vor der Installation die Zugriff srechte fein säuberlich aufgelistet, doch was sich genau hinter den Formulierungen verbirgt, ist nicht immer verständlich. Klarheit bringen Apps wie der Clueful Privacy Advisor. Sie informieren darüber, auf welche Weise installierte Apps persönliche Daten nutzen und wie sie die Privatsphäre behandeln. Sie haben Fragen, benötigen weitere Informationen oder möchten uns ein Feedback geben? Unser Samsung Business Team ist gerne für Sie da: [email protected] 5 GALAXyeSN! GeWINN KOSTeNLOSeS ABO Samsung Business Life Magazin abonnieren Gerne schicken wir Ihnen künftig das halbjährlich erscheinende Business Life Magazin per Post oder in digitaler Form per E-Mail kostenfrei zu. Dazu füllen Sie bitte einfach die Bestellanfrage unter business-life.samsung.de/bestellen.html aus. NeWS Samsung IT Produkt-Neuheiten Wenn Sie laufend über die Samsung IT Produkt-Neuheiten informiert oder von Samsung zu Veranstaltungen (CeBIT, IFA und sonstige) eingeladen werden möchten, registrieren Sie sich gerne unter: www.samsung.de/IT-newsletter ceBIT Besuchen Sie uns vom 16.03-20.03.2015 auf der CeBIT Entdecken Sie auf unserem Stand effiziente und sichere Lösungen, die Arbeitsprozesse vereinfachen können. Wir freuen uns auf Ihren Besuch in Halle 2, Stand C30. IMPreSSuM Bildquelle: © istockphoto / Neustockimages Sicheres Surfen für Kids Vielen Eltern bereitet die Internetnutzung ihrer Kinder großes Kopfzerbrechen. So sind jugendgefährdende Inhalte oft nur einen Mausklick entfernt. Der Verein fragFINN e.V. betreibt die Entwicklung und Pflege einer Whitelist an kindgerechten Internetangeboten und bietet mit der Kindersuchmaschine fragFINN.de, die ausschließlich diese geprüften Angebote findet, eine sichere Startrampe ins Internet für Kinder von sechs bis zwölf Jahren. fragFINN hat nun auch eine Kinderschutzapp für Smartphones und Tablets entwickelt. Die App ist ein Browser, mit dem nur auf den von Medienpädagogen geprüften Webseiten der fragFINN-Whitelist gesurft werden kann. Herausgeber Samsung Electronics GmbH (V.i.S.d.P.) Am Kronberger Hang 6 65824 Schwalbach/Taunus Internet: www.samsung.de Info: 0180 6 72 67 86 4* oder 0180 6 SAMSUNG* Fax: 0180 5 12 12 14 Redaktion Fink & Fuchs Public Relations AG Berliner Straße 164 65205 Wiesbaden Internet: www.ffpr.de Telefon: 0611-74 13 1-0 Fax: 0611 -74 13 1-20 E-Mail: [email protected] Art Direction & Design APIX GmbH Aachener Str. 1032 50858 Köln Internet: www.apix.de Telefon: 0221-16 53 77 00 E-Mail: [email protected] * 0,14 €/Min. aus dem dt. Festnetz, aus dem Mobilfunknetz max. 0,42 €/Min. IHre MeINuNG IST uNS WIcHTIG Als Dankeschön für Ihre Teilnahme an unserer Leserumfrage verlosen wir unter allen Teilnehmern, die uns zwischen dem 16.03. – 30.06.15 den Umfragebogen zuschicken drei Samsung GALAXY S5. Sie können auch online an der Umfrage teilnehmen unter: www.samsung.de/business-life-umfrage Die Gewinner werden ausschließlich per E-Mail informiert. Dazu geben Sie am Ende der Befragung Ihre E-Mailadresse an. Die vollständigen Teilnahmebedingungen finden Sie unter www.samsung.de/business-life-umfrage und auf dem Umfragebogen. Die Befragung wird anonym ausgewertet. Mehr Informationen zu Samsung Produkten finden Sie unter www.samsung.de Besuchen Sie uns auf www.samsung.de/business-life Samsung Electronics GmbH Am Kronberger Hang 6 65824 Schwalbach/Taunus www.samsung.de Info: 0180 6 72 67 86 4* oder 0180 6 SAMSUNG* Fax: 0180 5 12 12 14 * 0,14 €/Min. aus dem dt. Festnetz, aus dem Mobilfunknetz max. 0,42 €/Min.