PDF-Download

www.detecon-dmr.com
Detecon
Management Report
DMR
Security
Sicherheit in Unternehmen erhöhen
We make ICT strategies work
Inhalt
Sicherheit und Effizienz – Einklang oder Widerspruch? 2
Informationssicherheitsmanagementssysteme – Hohe Priorität in
Informations- und netzwerkbasierten Geschäftsprozessen 4
Smart und sicher wachsen – Mobilitätslösungen als Baustein des
Informationssicherheitskonzepts 6
Exkurs: Vom Umgang mit der Schatten-IT – Chancen und Risiken 10
Business Continuity Management – Vorbereitung ist (mehr als) die halbe Miete 16
Bezahlen mit dem Mobiltelefon – Wie sicher ist die digitale Geldbörse?
20
Praxisbeispiel: SAP Security Framework – Sicherheit muss gelebt werden 26
8.
Detecon Statements 28
1
DMR Impulse • Security • 2014
Sicherheit und Effizienz –
Einklang oder Widerspruch?
Die jüngsten Ereignisse um Prism und die Spionage­
aktivitäten der NSA zeigen, welche weitreichenden
­Folgen die digitale Kommunikation haben kann. Ein
Aspekt, der infolge der Veröffentlichung geheimer
­Dokumente zwangsläufig viele Unternehmen beschäftigt, ist die Frage nach der Sicherheit ihrer Daten. Die
Anzahl möglicher Bedrohungsszenarien für Unternehmen nimmt durch den technologischen Fortschritt und
die stärkere länderübergreifende Vernetzung zu. Unternehmen ohne angemessene Sicherheitsvorkehrungen
sind diesen schutzlos ausgeliefert. Die potenziellen
­Bedrohungsszenarien sind vielfältig und reichen von
­Vireninfektionen und Softwarefehlern über menschliches Fehlverhalten – sei dies aus Unachtsamkeit oder
Vorsatz – bis hin zu Unglücken und Naturkatastrophen.
Stehen die Kosten von Sicherheitsmaßnahmen im
­Verhältnis zum Nutzen oder sind diese unverhältnismäßig teuer? Diese und weitere Fragen stellen sich
viele ­Unternehmer, Geschäftsführer und Mitarbeiter im
Hinblick auf die unterschiedlichen Herausforderungen,
denen sie in einer digital und global aufgestellten Wirtschaft gegenüberstehen.
Zugang zu Daten und Schutzbedarf von
Informationen klären
Sicherheit fängt bereits mit dem Zugang zu Daten an
und muss einen ausreichenden physikalischen Schutz
gewährleisten können. Das sicherste IT-System kann
Informationen vor dem Zugriff Dritter nicht schützen,
wenn diese mehr oder weniger öffentlich einsehbar sind.
Ein naheliegendes Beispiel betrifft die oft erstaunlich
einfachen Zutrittsmöglichkeiten von nicht autorisierten Personen zu Arbeitsräumen, in denen sensible Daten ausgedruckt auf dem Tisch liegen. Zutrittsmanagementsysteme müssen mehreren Anforderungen eines
Unternehmens gerecht werden und spielen eine grundlegende Rolle hinsichtlich des Verhaltens von Mitarbeitern. Je nach Umfang und Komplexität kann das System
dem Mitarbeiter gewisse Grenzen aufzeigen und ihn in
einem positiven Sinne schulen. Im Gegensatz dazu sorgen komplexe, parallele Zutrittsmanagementsysteme
wie beispielsweise mehrere Zutrittskarten, verschiedene
Schlüssel oder Ausweise für Frustration und gegebenenfalls sogar für Widerstand seitens der Mitarbeiter. Facility
Management konzentriert sich maßgeblich auf die Ver-
2
DMR Impulse • Security • 2014
waltung und Bewirtschaftung von Gebäuden. Dabei gilt
es, sämtliche Prozesse um und innerhalb von Anlagen zu
optimieren und Sparpotenziale freizusetzen. Ein modernes Facility Management muss zwingend die Sicherheit
und den Zugang einfach und praxistauglich gestalten.
Unter Einhaltung der geforderten Sicherheitsklasse gilt
es, ein angemessenes Maß an Zugangsmöglichkeiten zu
Daten, Arbeitsräumen, aber auch öffentlichen Gebäuden
herzustellen.
Ein weiterer wichtiger Aspekt ist die Festlegung des
Schutzbedarfs von Informationen. In jedem Unternehmen gibt es schutzbedürftige Daten, seien es Finanzzahlen, Betriebsgeheimnisse oder Kundendaten. Dennoch werden Dokumente häufig nicht klassifiziert. Dies
kann zur Folge haben, dass Daten, die für den rein internen Gebrauch bestimmt sind, auch an Externe gelangen,
weil der herausgebenden Person nicht klar ist, dass das
Dokument nur für den internen Gebrauch bestimmt ist.
Definiert nun jede Abteilung ihre eigenen Schutzklassen,
bedeutet dies einerseits einen hohen Aufwand und birgt
andererseits die Gefahr, dass unterschiedliche Klassifikationen angewendet werden, was bei den Mitarbeitern
wiederum zu Verwirrung führen kann.
Business Continuity Management agiert
proaktiv
Auch ein professionelles Business Continuity Management (BCM), welches proaktiv agiert, um vor, während und nach einer Katastrophe die Fortführung der
Geschäftstätigkeit sicherzustellen, gehört zu den essenziellen Sicherheitsmaßnahmen eines Unternehmens.
Als Grundlage dafür dient der Sicherheitsabteilung die
Analyse der Geschäftsprozesse und Risiken, die von besonderer Bedeutung für das Fortbestehen des Gesamtunternehmens sind. Als Folge dessen werden Maßnahmen
zur Risikominimierung und zur Gewährleistung des
schnellen Wiederanlaufs von kundenrelevanten Prozessen und Dienstleistungen erarbeitet. Parallel dazu
beschäftigt sich auch die Finanzabteilung mit den Unternehmensrisiken, wobei hier der Schwerpunkt meist
auf der Minimierung derjenigen Risiken liegt, welche
direkte finanzielle Auswirkungen haben. Diese zwei unterschiedlichen Herangehensweisen – einmal mit Blick
auf die Fortführung oder Wiederherstellung der Kerngeschäftsprozesse, einmal mit Fokus auf die Minimierung
von negativen finanziellen Einflüssen werden meist in
separaten ­Risikolisten geführt, welchen unterschiedliche
Bewertungs­kriterien zugrunde liegen. Aufgrund der unterschiedlichen An­sätze werden die Listen meist auch
separat betrachtet, was einerseits zu einem unklaren
­Risikobild im Unternehmen führt, andererseits dazu,
dass Risiken mehrfach betrachtet und gegebenenfalls
auch mehrere Maßnahmen zur Verminderung desselben
Risikos getroffen werden.
Bei der Planung, Durchführung und Kontrolle von
­Sicherheitsmechanismen kann ein Unternehmen nicht
nur auf Einzelmaßnahmen setzen. Es bedarf unterschiedlicher Sicherheitsmaßnahmen auf verschiedenen
Ebenen. Unabhängig voneinander geplante Sicherheitsmaßnahmen sind gegebenenfalls nicht nur redundant,
sondern können sich gegenseitig blockieren und höhere
Kosten verursachen.
Mit Hilfe einer Priorisierung, basierend auf den realen
Gegebenheiten des Unternehmens und dessen Anforderungen, können deutliche Einsparungspotenziale freigesetzt werden.
Umfassendes Informationssicherheitsmanagementsystem beugt Sicherheitsvorfällen vor
Ein unternehmensübergreifend abgestimmtes und
­proaktives Vorgehen verhindert Sicherheitsvorfälle und
reduziert Risiken für die Geschäftsprozesse. ­Insbesondere
im Fall von erkannten Sicherheitslücken ist ein einheitliches und abgestimmtes Vorgehen aller beteiligten Personen und Organisationseinheiten ausschlaggebend, um
einem Vorfall vorzubeugen.
Ein Informationssicherheitsmanagementsystem (ISMS)
ist ein umfassendes System zur Identifizierung, Beurteilung und Handhabung von Risiken und umfasst
Techniken, Richtlinien und praxisnahe Anwendungslösungen. Die Anforderungen an ein ISMS werden im
internationalen Standard ISO 27001 definiert. Der Standard enthält Informationen, welche Prozesse festzulegen
sind und dokumentiert werden sollen sowie Handlungsanweisungen zur kontinuierlichen Optimierung des Informationssicherheitssystems und damit des Sicherheitsniveaus des Unternehmens.
Das Zusammenspiel eines nachhaltigen ISMS mit der
­gesamten Governance-Struktur eines Unternehmens
sollte deshalb im Fokus einer wertorientierten Unternehmenssteuerung stehen. Das Sicherheitsmanagement muss
sich an den Unternehmenszielen orientieren, muss deren
Erreichung unterstützen und darf nicht zum Selbstzweck
werden. Nur so wird man auf Gehör und schließlich auf
Akzeptanz der Geschäftsführung und der Mitarbeiter
stoßen. Das reibungslose Zusammenspiel von Unternehmenszielen und der Informationssicherheitspolitik
sowie den damit verbundenen Maßnahmen bietet der
Geschäftsführung ein wertvolles Instrument zur Verhinderung von Sicherheitsvorfällen. Zudem schafft die ­klare
Definition und Kommunikation der ­Sicherheitsziele
durch das Management die notwendige Verbindlichkeit.
Höheres Sicherheitsniveau bei
gleichzeitiger Freisetzung von
Einsparungspotenzialen
Erfolgreiche Umsetzung von Informationssicherheitsmaßnahmen heißt, diese unternehmensübergreifend
umzusetzen. Die Implementierung eines ISMS verfolgt
einerseits einen sogenannten Standard-basierten Ansatz, andererseits wird das aktuelle Sicherheitsniveau
betrachtet und darauf aufgebaut. Die Vorgabe der Norm
stellt sicher, dass sämtliche Unternehmensbereiche und
regulatorischen Anforderungen betrachtet werden. Daneben berücksichtigt ein ISMS stets die unternehmensspezifischen Gegebenheiten und setzt auf den bereits
implementierten Prozessen und Maßnahmen auf. So ist
insbesondere das vom Unternehmen angestrebte Sicherheitsniveau ausschlaggebend für die Wahl der zu implementierenden Sicherheitsmaßnahmen. Das Einbeziehen
der bereits gelebten Prozesse und Maßnahmen vermeidet Redundanzen und senkt darüber hinaus Kosten.
Dieses Vorgehen ermöglicht somit einen effektiven Ansatz, um ein möglichst hohes Sicherheitsniveau durch
Priorisierung von Sicherheitsrisiken, angepasst an die
unternehmenspezifische Situation, durchzuführen und
über einen geregelten Prozess immer wieder auf den
Prüfstand zu stellen. Denn auch die besten Maßnahmen
sind nur so lange effektiv, wie sie umgesetzt und in einem
Unternehmen von allen Mitarbeitern gelebt werden.
3
DMR Impulse • Security • 2014
Informationssicherheitsmanagementsysteme – Hohe Priorität in
Informations- und netzwerkbasierten
Geschäftsprozessen
Informationssicherheit hat eine neue Brisanz erlangt. Gleichwohl ist das Thema alles andere als neu. ­
Dr. Thomas Gigerl, Leiter der Abteilung Business Continuity Management des ERGO-Konzerns
und dort bis Mitte 2013 auch als CISO tätig, begründet die neue Priorität der
Informationssicherheitsmanagementsysteme (ISMS).
DMR: Herr Dr. Gigerl, ist es für Unternehmen heute
wichtiger als früher, das Thema Informationssicherheitsmanagement im Unternehmen zu positionieren?
DMR: Welche Gründe haben Sie dazu bewegt, die Informationssicherheit von der klassischen IT-Sicherheit
zu lösen?
Gigerl: Der Bedeutung des Schutzes ihrer Informationen
ist für die Unternehmen in den letzten Jahren beständig
gewachsen. Das hat mehrere Gründe. Besonders hervorheben möchte ich, dass die Geschäftsprozesse vieler
Unternehmen vorrangig auf Informationen basieren und
die Wertschöpfung in den Unternehmen auf Informa­
tionsverarbeitung beruht. Deswegen benötigt man die
Informationssicherheit als ein Attribut von Informa­
tionen und damit als Teil der Governance des Unternehmens. Gleichzeitig lösen sich die Grenzen von Unternehmen mehr und mehr auf, zum Beispiel Integration von
externen Parteien in interne Geschäftsprozesse – B2B.
Schließlich führt dies zu einer zunehmend verteilten
und sehr oft auch global integrierenden Sicht auf Informationen und ihrer Verarbeitung, beispielsweise Personalabteilungen im Ausland und Kundenakquise über
Helpdesks.
Informationssicherheit betrifft den gesamten Lebens­
zyklus von Informationen. Die IT-Sicherheit beschreibt
technische Vorgaben und operative Prozesse zum Schutz
von Systemen. Die eher traditionell ausgerichtete IT-­
Sicherheit berücksichtigt besonders den Perimeterschutz,
den Schutz von Endgeräten sowie die Kommunikationswege zwischen den Systemen beziehungsweise Partnern,
aber nicht den Inhalt. Um die oben aufgeführten Ziele zu
erreichen, muss der Schutz des Inhaltes der Informationen im Vordergrund stehen.
Jedes Unternehmen muss genau wissen, welche Daten
beziehungsweise Informationen vorhanden sind und wer
die Verantwortung für diese hat. Nur der Eigentümer der
Daten kann exakt einschätzen, welche Bedeutung die
enthaltenen Informationen für das Unternehmen ­haben
und was passiert, wenn die Informationen in falsche
Hände geraten. Die Voraussetzungen zu einem wirksamen Schutz des geistigen Eigentums der Unternehmen
zu schaffen, ist einer der Kernaufgaben der Geschäftsführung eines Unternehmen und eines der Hauptziele eines
Informationssicherheitsmanagements.
4
DMR Impulse • Security • 2014
DMR: Muss aus Ihrer Sicht eine Mindestgröße gegeben
sein, um ein Informationssicherheitsmanagementsystem
einzuführen?
Gigerl: Es ist keine Mindestgröße notwendig. Das TopManagement muss die Notwendigkeit erkannt haben,
dass die Informationsverarbeitung das Rückgrat ihres
Unternehmens ist und deswegen aus Selbstzweck des
Unternehmens geschützt werden muss.
DMR: Erwarten Sie aufgrund der aktuellen Enthüllungen im Umfeld internationaler Spionage Änderungen
an den aktuellen Informationssicherheitsmanagement­
systemen?
Gigerl: Die Enthüllungen rund um Spionagesoftwares
wie zum Beispiel PRISM, Tempora, XKeyscore und
FAIRVIEW sind eine hervorragende Awareness-Maßnahme für den Wert von Informationen für das eigene
Unternehmen. Man erkennt an diesen Aktionen auch die
Motive und die Beweggründe der Handelnden für den
Versuch, unerlaubt Informationen zu erlangen.
Den Aufwand, den staatliche Institutionen oder die organisierte Kriminalität betreiben müssen, um unerlaubt
an Informationen zu gelangen, ist nur ein Bruchteil des
Wertes, den diese Informationen beinhalten.
Wir wissen seit vielen Jahren, dass staatliche Spionageaktivitäten mit Wirtschaftsspionage kombiniert werden.
Die Schließung des Echelon-Standortes in Bad Aibling
wurde nach starken Verdachtsmomenten hinsichtlich
Wirtschaftsspionage gegen europäische Unternehmen
durch den parlamentarischen Untersuchungsausschusses
im Jahre 2004 veranlasst. Das die Spionageaktivitäten,
auch die Wirtschaftsspionage, nicht nur weiter betrieben, sondern ständig weiter entwickelt werden, sollte
nun jedem bewusst sein.
DMR: Wenn Sie einem Kollegen drei Best-PracticeEmpfehlungen in Bezug auf Informationssicherheits­
managementsysteme geben sollten, welche wären das?
Gigerl: Die erfolgreiche Einführung eines Informationssicherheitsmanagementsystems ist von vielen Faktoren
abhängig, die Auswirkungen auf die Laufzeit, die Kosten
und die eingesetzten Ressourcen haben. Von den vielen
Faktoren ich würde sogar vier besonders hervorheben:
Erstens sollten das Top-Management sowie interdisziplinäre Fachbereiche bei der Ausgestaltung des Informationssicherheitsmanagementsystems aktiv einbezogen
werden. Zweitens sollten international anerkannte Standards als Referenz im Sinne einer Empfehlung betrachtet
und auf die individuelle Situation der Firma angepasst
werden. Drittens sind für global agierende Unternehmen
lokale Regularien und Gesetze nicht zielführend, zum
Beispiel sind Daten- und Patientenschutz sehr national
geprägt. Und viertens sind risikobasierte Standards dynamischer als Asset-basierte Standards.
Dieser Hase-und-Igel-Wettlauf wird immer weiter gehen
und schneller werden. Um Betriebsblindheit zu vermeiden und auch auf die aktuellsten Bedrohungen reagieren
zu können, ist teilweise eine Sicht von außen sinnvoll.
5
DMR Impulse • Security • 2014
Smart und sicher wachsen:
Mobilitätslösungen als Baustein des
Informationssicherheitskonzepts?
Als Erster klopfte der CEO an die Tür der IT Abteilung
und erkundigte sich nach der Möglichkeit, geschäftliche
E-Mails auf seinem iPhone zu synchronisieren. Die Kollegen der IT-Sicherheitsabteilung lachten und wiesen auf
die geltenden Sicherheitsrichtlinien hin. Als schließlich
auch der CIO sein privates iPad einbinden wollte, musste der Sicherheitsbeauftragte dem Druck nachgeben und
schaute mit ängstlicher Miene den Mitarbeitern der Teppichetage beim Gebrauch ihrer mobilen Geräte zu.
Bereits wenige Jahre später hat sich die Situation grundlegend geändert: Neue technologische Lösungen auf dem
Markt ermöglichen die effiziente und sichere Verwaltung von mobilen Geräten und deren Daten. Die IT-Sicherheitsabteilung hat ihren Fokus längst auf andere Herausforderungen gelegt. Ganz gleich, ob das Gerät dem
Mitarbeiter gehört und für geschäftliche Zwecke verwendet wird oder das Gerät dem Unternehmen gehört
und für die private Nutzung zugelassen wird – es gibt
heute Lösungsansätze, welche die sichere Nutzung des
firmenweiten Informationssystems ermöglichen. Die IT
hat neue Wege gefunden, um mit den unterschiedlichen
Besitzverhältnissen umzugehen. Die dazu notwendige
Technologie, deren Einsatz vorher unsicher war, ist dank
ihrer Weiterentwicklung zu einem bedeutenden Baustein des Informationssicherheitskonzepts im Unternehmen geworden.
Diese Tatsache lässt sich gut am Beispiel eines Unternehmens zeigen, das stark auf Innovation setzt, denn hier
hat Informationssicherheit höchste Priorität. Unternehmen investieren hohe Summen in die Entwicklung neuer
Verfahren und Produkte. Sie unterliegen einem harten
Wettbewerb, denn neue Produkte müssen schneller als
6
DMR Impulse • Security • 2014
die der Konkurrenz auf den Markt kommen. Um Ressourcen und Wissen nach Bedarf auf Schlüsselthemen
einzusetzen, werden Projektteams aus internem Personal
und externen Fachkräften schnell und gezielt auf- und
wieder abgebaut. Ihre rasche Integration fordert vom
Unternehmen und insbesondere von den Informationsmanagementsystemen hohe Flexibilität. Bei erhöhter
Personalfluktuation im Unternehmen sowie beim Wechsel in eine andere Abteilung besteht zudem die Herausforderung, die Mitarbeiter schnell einzubinden und bei
Bedarf die bestehenden Zugriffsrechte verlässlich anzupassen oder zu entziehen.
Das Konzept des Informationsmanagementsystems
(ISMS) mit den zugehörigen Prozessen und Infrastrukturelementen sorgt dafür, dass Informationen zum richtigen Zeitpunkt den richtigen Personen zur Verfügung
stehen und dabei stets aktuell sind. Dies bildet einen
Ausgangspunkt für diese Herausforderung, Sicherheitsanforderungen auch auf mobilen Endgeräten erfüllen zu
können. Sicherheit ist ein wesentlicher Aspekt des Informationsmanagementsystems und muss während des gesamten Lebenszyklus der Information im Unternehmen
berücksichtigt werden. Sicherheit wird im internationalen Standard ISO 27001 mit Integrität, Verfügbarkeit
und Vertraulichkeit der Information über ihren gesamten Lebenszyklus charakterisiert. Der Lebenszyklus der
Information wird in der Regel in fünf Phasen gegliedert.
Das Informationssicherheitskonzept gewährleistet, dass
internes Wissen dem Unternehmen erhalten bleibt (Verfügbarkeit), nach dem „Need to Know“-Prinzip verteilt
wird (Vertraulichkeit) und um die neuesten Sachverhalte
laufend aktualisiert wird (Integrität).
7
DMR Impulse • Security • 2014
8
2.Verwaltung:
Die neuste Generation von mobilen Geräten und
­Mobile-Device-Management (MDM) -Lösungen bietet
einen grundlegenden Schutz der Informationen im Unternehmen. Auf technischer Ebene basieren alle Ansätze
auf einem MDM-Verwaltungsserver, der regelmäßig mit
dem auf dem mobilen Gerät installierten Client kommuniziert, Policies hoch lädt und Informationen zur Konformität des Geräts abfragt. Maßgebend für den s­ icheren
Verbindungsaufbau zwischen dem Unternehmen und
dem mobilen Gerät ist die Einhaltung der unternehmensspezifischen Sicherheitsrichtlinien, die von der
MDM-Lösung bei der Anmeldung des Geräts abgeglichen
werden. Durchdachte Sicherheitsrichtlinien bauen einen
Grundschutz entlang des Informationslebenszyklus auf.
Für jede der folgenden Phasen werden nun Maßnahmen
empfohlen, die zu diesem Grundschutz beitragen und damit aufzeigen, wie mobile Technologie die Sicherheit im
Unternehmen verbessern kann.
Die erfassten Daten werden zentral verwaltet. Dedizierte Informationssysteme ersetzen zunehmend die
früher üblichen, papierhaften Aktensysteme. Die Automatisierung senkt die Fehlerquote, weil Daten vom Gerät ­automatisch kategorisiert, verarbeitet oder auf ­einen
­Server für eine rechenintensivere Bearbeitung und anschließende ­Aggregation weitergeleitet werden. Die
­Datenintegrität steht in dieser Phase im Vordergrund und
wird von der MDM-Lösung sichergestellt. Die Verwendung einer Black-/Whiteliste verringert die Wahrscheinlichkeit, dass Schadsoftware auf dem mobilen Gerät installiert werden kann. Desweiteren hilft das sogenannte
Sandboxing, die einzelnen Applikationen innerhalb des
Geräts von einander abzuschirmen. Verschlüsselungs­
algorithmen in den Applikationen selbst sorgen für eine
sichere Datenübertragung bis zur Firmeninfrastruktur.
1.Erfassung:
3.Speicherung:
Mobile Geräte können Informationen unabhängig vom
Aufenthaltsort in einem Informationssystem erfassen.
Laptops haben bereits einen Schritt in diese Richtung
ermöglicht, Smartphones eröffnen neue Möglichkeiten
durch den Einsatz zusätzlich eingebetteter Datenquellen
wie zum Beispiel GPS, Foto Apps und Bewegungssensoren. In dieser Phase hat die Datenintegrität Vorrang,
Zugriffsberechtigungsrichtlinien auf Geräte- und Anwendungsebene stellen dies sicher. Die MDM-Lösung
übernimmt die Verwaltung der Geräte und sorgt dafür,
dass nur berechtigte und identifizierte Personen das Gerät bedienen dürfen. Konkret implementiert die MDMLösung Passwortrichtlinien und die Gerätesperrung
bei Inaktivität. Weitere flankierende Maßnahmen wie
Jailbreak oder Root Detektion und White-/Blacklisting
erschweren die Installation möglicher Schadsoftware,
die auf den Datenspeicher zugreifen könnte.
Die konsolidierten Daten werden zentral gespeichert
und abrufbereit gehalten. Da mobile Geräte nur über
beschränkten Speicherplatz und limitierte Bandbreiten
verfügen, wird eine zentrale Ablage notwendig, auf die
mit einem mobilen Breitband-Anschluss (LTE, 3G) oder
über das WLAN zugegriffen werden kann. Ein inhärenter
Vorteil der zentralen Ablage ist die Ausfallsicherheit im
Fall eines Geräteverlusts. Verfügbarkeit und Vertraulichkeit sind in diesem Kontext die relevanten Sicherheitsmerkmale. Die Verfügbarkeit ist vom Rechenzentrum
sowie der Bandbreite des Anschlusses abhängig. In den
Rechenzentren profitieren Unternehmen von professionell verwalteten Servern, die eine bis zu 99,999prozentige Verfügbarkeit aufweisen, im Vergleich zur geschätzten 85 Prozent Verfügbarkeit (20 Stunden Akkulaufzeit
pro Tag) eines batteriebetriebenen Smartphones. Eine
Datenverschlüsselung gewährleistet die Vertraulichkeit.
Einige MDM-Lösungen unterstützen eine Public Key
Infrastructure (PKI), Zertifikate sowie eine Zwei-FaktorAuthentifizierung, sodass nur berechtige User auf die Daten zugreifen können.
DMR Impulse • Security • 2014
4.Prozessunterstützung:
Daten und Informationen sollten stets so genutzt werden,
dass dem Unternehmen und seinen Beschäftigten Mehrwert entsteht. Benutzergesteuerte Abfragen der Datenbanken werden durch mobile Applikationen durchgeführt, um relevante Daten als Entscheidungsgrundlage
zu erhalten. Hier werden signifikante Produktivitätsgewinne erwartet, weil die Auswertungen automatisiert
erfolgen. Durch die Standortunabhängigkeit der Abfrage
und die gesicherte, digitale Verarbeitung bieten mobile
Geräte einen großen Vorteil. Verfügbarkeit, Vertraulichkeit und Integrität sind hier besonders relevant, wobei
die Datenverfügbarkeit, analog zur Speicherungsphase,
vom Rechenzentrum und der Netzabdeckung abhängig
ist.
5.Langzeitspeicherung:
Der gut durchdachte Einsatz von MDM-Lösungen ermöglicht den sicheren Einsatz mobiler Geräte im Unternehmen. Die fünf Phasen des Informationslebenszyklus
gewährleisen Integrität, Vertraulichkeit und Verfügbarkeit gewährleistet. Dafür sorgen unter anderem die zuverlässige Umsetzung von Passwortrichtlinien für die
Zugangskontrolle, die Installation von Zertifikaten, aber
auch die Auswahl eines passenden Betriebssystems für
die mobilen Geräte und der geeigneten Netzwerkbetreiber. Für die IT- und IT-Sicherheitsabteilungen bedeuten
diese Aufgaben zunächst Aufwand bei der Einführung
der Lösung, der sich aber innerhalb kurzer Zeit durch
die gestiegene Produktivität und Mitarbeiterzufriedenheit auszahlt. Unternehmen sollen aber beachten, dass
zurzeit viele MDM-Lösungsanbieter auf dem Markt anzutreffen sind (www.gartner.com/technology/reprints,
Stand: 5.9.2013). Eine Konsolidierung steht an – was bei
der Auswahl der Lösung zu berücksichtigen ist (www.
esecurityplanet.com/mobile-security/mobile-device-management-6-trends-to-watch, Stand: 5.9.2013).
Die Daten müssen bis zum Ende ihres Lebenszyklus verwaltet werden. Nachdem sie keinen Prozess mehr unterstützen, werden die Daten archiviert oder gelöscht. Die
Archivierung der Daten selber erfolgt im Rechenzentrum, wo die Daten in Datenbanken gespeichert und so
unabhängig von der eingesetzten mobilen Technologie
verwendet werden können. Bei mobilen Geräten ist in
dieser Phase die Thematik der Löschung herausfordernd.
Es geht darum, Zugriffsrechte zu entziehen und die lokalen Kopien der Daten auf einem mobilen Gerät zu entfernen. Die MDM-Lösung schützt die Vertraulichkeit der
Daten des Unternehmens, indem sie die mobilen Geräte
aus der Ferne verwaltet und bei Bedarf bestimmte Daten und Profile löschen kann. Einige Produkte auf dem
Markt ermöglichen eine Unterscheidung zwischen den
privaten Daten und den geschäftlichen Daten, wie zum
Beispiel die BlackBerry 10 Lösung.
9
DMR Impulse • Security • 2014
Exkurs: Vom Umgang mit der
Schatten-IT – Chancen und Risiken
Spricht man heute von einer „Schatten-IT“, so ist der Begriff meist bereits mit negativer Vorbedeutung belegt –
zumindest wird sich in keiner IT-Strategie der Aufbau
einer solchen inoffiziellen IT als strate¬gisches Planungsziel finden. Dennoch wächst diese inoffizielle Variante
der Unternehmens-IT stetig und IT-Verkäufer sehen
dieses Segment als durchaus valable Zielgruppe, um ihre
Produkte in einem Unternehmen an der „offiziellen IT“
vorbei zu platzieren, auch wenn sie dies offiziell wohl
nicht zugeben würden. Erreicht die Schatten-IT bezüglich Kosten und Wichtigkeit für die Geschäftsabwicklung eine kritische Größe, tauchen typischerweise erste
betriebliche, organisatorische, technische und rechtliche
Probleme auf, die dann im Rahmen meist extern unterstützter Korrekturprojekte behandelt werden sollen. Das
ist mit weiteren, meist ungeplanten Kosten und Risiken
verbunden. Wenn aber trotz dieser zu erwartenden
Schwierigkeiten eine solche Nachfrage nach IT-Leistungen „neben“ der offiziellen Unternehmens-IT besteht,
dann lohnt es sich, den Ursachen, Chancen und Risiken
etwas genauer nachzugehen.
Was ist eine „Schatten-IT“ und woher kommt sie?
Wikipedia definiert den Begriff wie folgt: „Der Begriff
Schatten-IT beschreibt informationstechnische Systeme, -Prozesse und -Organisationseinheiten, die in den
Fachabteilungen eines Unternehmens neben der offiziellen IT-Infrastruktur und ohne das Wissen des IT-Bereichs angesiedelt sind.“ *
*
10
http://de.wikipedia.org/wiki/Schatten-IT, zitiert nach
Christopher Rentrop, Oliver van Laak, Marco Mevius: Schatten-IT:
ein Thema für die Interne Revision? In: Revisionspraxis, April 2011
DMR Impulse • Security • 2014
Eine Schatten-IT zeichnet sich dadurch aus, dass sie – basierend auf unbefriedigten Bedürfnissen und Präferenzen
der Benutzer oder Kunden der Unternehmens-IT – in
Eigenregie evaluiert, beschafft, betrieben und gewartet
werden, wobei die Integration in die Unternehmens-IT
– Netzwerke, Server, Datenanbindung, Backup – und in
die etablierten IT-Prozesse für die Beschaffung, die Wartung und die Überwachung in der Regel nicht berücksichtigt werden.
Woher stammt nun die Motivation, solche komplexen
Dienste selbst, ohne Mithilfe und Wissen der Unternehmens-IT, auf eigene Kosten und eigenes Risiko aufzubauen und zu betreiben? Meist ist eine Kombination von
Gründen die Ursache für diese Entwicklung. Typische
Teilgründe sind:
1. Ein anhaltender Trend zu „plug & play“ Installationen bezüglich Hardware und Software – die IT erscheint insbesondere den „digital natives“ heute weniger
abschreckend, da viele Endbenutzer komplexe Heim-ITUmgebungen inklusive komplexen Konfigurationen mit
Smartphones, Netzwerken, Home Entertainment Systemen betreiben.
2. In der Folge hat die IT über entsprechend vereinfachte Produkte (gegebenenfalls zu) viel Verantwortung
an ihre Endbenutzer ausgelagert, im Sinne eines falsch
interpretierten „user empowerment“. Es ist kein Zufall,
dass sich in vielen Unternehmen als Gegenreaktion bereits wieder Remote-Desktop-Lösungen etablieren, um
die völlige Konfigurationsfreiheit der Endbenutzer einzuschränken.
3. Die IT ist in der Regel ein bequemes Ziel für Unzufriedenheit und Kostendruck, weil in jeder Firma die IT
zwischen Kundenfokus und „economy of scale“ hin- und
hergerissen ist und entsprechend immer im Sinne eines
sinnvollen Durchschnitts eine Nutzergruppe weniger gut
unterstützt, als eine andere.
4. Kunden sind mit der Unternehmens-IT meist tendenziell unzufrieden – basierend auf einer Mischung aus falschen Erwartungshaltungen - Heim- versus Firmen-IT -,
sicherheitsbedingen Einschränkungen, zu wenig Transparenz über Kosten und Aufwände, wachsenden Sparund Effizienzdruck sowie wenig Mut und Selbstdisziplin
in der Führung. Denn oft sind es die leitenden Mitarbeiter, die sich unter Missachtung der definierten Prozesse
für die Integration ihres Lieblings-„Gadgets“ einsetzen
und damit ungewollt ein entsprechendes Signal aussenden.
5. Über die Unternehmens-IT redet man meist nur
im Negativ-Fall – wenn sie gut funktioniert und wenig
kostet, ist sie „unsichtbar“. Das neueste private „best of
breed gadget“ ist dagegen etwas Positives – zumindest bis
es zum ersten Mal Probleme verursacht.
Einfluss von IT-Trends auf die Bildung einer
Schatten-IT
Einige technische Trends der IT verschärfen das Problem
der Bildung von Schatten-IT-Infrastrukturen noch weiter:
Das wachsende Angebot von performanten und kostengünstigen Cloud-Diensten erlaubt die rasche Auslagerung von Diensten beziehungsweise deren Aufbau, ohne
dass die Unternehmens-IT davon Kenntnis hat, insbesondere da der Zugang meist über etablierte Zugangsprotokolle wie HTTP/HTTPS erfolgt.
züglich technischer Integration, Einfluss auf die IT-Betriebs- und Wartungsprozesse sowie rechtlichen Konsequenzen. Viele Anwender wollen dies nicht abwarten.
Da die entsprechenden Geräte jedoch oft bereits eigene
IT-Dienstleistungen wie die Anbindung an HerstellerClouds oder lokal und privat installierte und lizensierte
Software „mitbringen“, muss hier inzwischen eigentlich
von „bring your own infrastructure“ oder „bring your
own data center“ gesprochen werden, was die Integra­
tion nicht vereinfacht.
Der Markt für mobile IT wird von schnelllebigen, aber
inzwischen ausreichend performanten Endgeräten mit
schneller und annähernd flächendeckender Netzanbindung überschwemmt. Damit steigt auch der Druck,
immer neue Gerätetypen, Betriebssysteme und Anwendungsumgebungen rasch in die Unternehmens-IT zu
integrieren. Diesem Erwartungsdruck der End-benutzer
kann die Unternehmens-IT oft nicht standhalten.
Darüber hinaus steigt durch die Verfügbarkeit der obengenannten Dienste und Ausrüstung sowie durch die
Wünsche der externen Unternehmenskunden der Druck
auf die Mitarbeitenden, im Sinne einer „always on“-Kultur jederzeit und ortsunabhängig mit voller Leistungsfähigkeit und Funktionalität auf die Unternehmensdaten
und -Anwendungen zugreifen zu können.
Der aus Praktikabilitäts-, Komfort- oder Prestige-Gründen verständliche Wunsch nach der Integration privater Endgeräte der Benutzer („bring your own device“,
BYOD) führt in vielen Unternehmen zu komplexen
und langwierigen Projekten und Abschätzungen be-
11
DMR Impulse • Security • 2014
Risiken und Kosten einer Schatten-IT
Aus dem Aufbau und Einsatz einer Schatten-IT neben der
offiziellen Unternehmens-IT ergeben sich offensichtlich
Kosten und Risiken, deren typischste Vertreter, „bottom
up“ gegliedert nach den Bereichen Technologie, Prozesse
und Geschäftsausübung beziehungsweise Führung, kurz
beleuchtet werden:
Technologische Risiken: Aus Sicht des Technologieeinsatzes entstehen durch die Existenz einer Schatten-IT
wesentliche Risiken, da häufig:
> ungetestete, gegebenenfalls unsichere „bleeding
edge“ IT-Komponenten eingesetzt werden, die zudem
oft nicht für den Einsatz im Unternehmensumfeld entwickelt wurden,
> wichtige und eventuell sensitive Daten und deren
Speicherung, Bearbeitung und Korrelation außerhalb der
Kontrolle der Unternehmung und ihres Sicherheitsdispositives liegen,
> Mitarbeitende „ihre“ Geräte und externen Dienste
und damit meist auch die darauf befind¬lichen Daten
beim Austritt mitnehmen und
> bei technischen Ausfällen und Betriebsunterbrüchen,
beispielsweise wegen Sicherheitsvorfällen oder lokalen
physischen Schadenereignissen, keine Betriebsweiterführung (IT Desaster Recovery) gewährleistet werden
kann.
12
DMR Impulse • Security • 2014
Prozessbezogene Risiken: Über die technologisch induzierten Risiken hinaus entstehen durch die Existenz
­einer Schatten-IT weitere signifikante Risiken bezüglich
der etablierten und mit Service Levels unterlegten Unternehmens- und IT-Prozesse:
> Der bisher geleistete Aufwand für den Aufbau und
die Pflege der IT-Unternehmensarchitektur mit zugrundeliegenden Planungszielen wie Vereinfachung und Skalierbarkeit wird weitestgehend wertlos.
> Definierte Prozesse mit den zugeordneten Performance-Indikatoren und Service Agreements können
nicht mehr bezüglich Dienstgüte-Einhaltung gemessen
werden. Es entsteht eine unklare Situation bei den Führungskennzahlen bezüglich der Lieferung der vereinbarten Qualität, Quantität und Funktionalität durch die IT
mit den entsprechenden Folgerisiken.
> Etablierte, geschäftsrelevante Abläufe wie Stellvertretungsregelung, Mehraugenprinzip, Nachvollziehbarkeit können nicht mehr Ende-zu-Ende abgewickelt und
überwacht werden. Die erzielten Ergebnisse werden somit zufällig und nicht mehr vorhersagbar.
Chancen und Nutzen einer Schatten-IT
Geschäftliche und Führungsrisiken: Von den prozessbezogenen Risiken ist es nur noch ein kleiner Schritt zu
Risiken, die die Geschäftsausübung und die „corporate
governance“ tangieren. In diesem Bereich zu erwähnen
sind insbesondere:
> Die IT kann ihre Verantwortung für die Geschäftsunterstützung nicht mehr wahrnehmen, wenn sie umgangen wird. Zudem kann sie in der Regel auch ihren
Nutzen und Beitrag zum Geschäftserfolg nicht mehr
nachweisen, die „economy of scales“ gehen verloren.
Rasch wird die IT rasch zum Kandidaten für eine umfassende Auslagerung.
> Es besteht die akute Gefahr der Nicht-Einhaltung
von Vorschriften aus Recht und Regulation mit diversen
Folgerisiken, selbst in nicht regulierten Marktbereichen.
Ein typisches Beispiel sind Fragen zur geschäftlichen
Nutzung von Software, die entweder nicht oder nur für
die Nutzung im Privatgebrauch lizensiert wurde.
> Da der Betrieb der Schatten-IT meist nicht offiziell
mit personellen Ressourcen unterstützt wird, sondern
dem „best effort“ Prinzip folgt, kann es zu unbekannten
kritischen Abhängigkeiten von Einzelpersonen kommen, die diese betrieblichen Aufgaben meist zusätzlich
zu ­leisten haben. Damit steigt das Überlastungs- und
Burnout-Risiko für die Betroffenen signifikant an.
Um eine angemessene Lösung für das Problem unterschiedlicher Anforderungen an die IT und den Auf¬bau
einer Schatten-IT zu finden, ist es nötig, auch die – zumindest erwarteten – Vorteile einer durch die internen
Kunden aufgebauten und betriebenen IT-Umgebung zu
betrachten.
Technologische Chancen: Bezüglich des Technologieeinsatz kann eine Schatten-IT signifikante Vorteile gegenüber der etablierten Unternehmens-IT bieten:
> Die Nutzung von „state of the art“-Technologie bietet
oft eine Vielzahl neuer Funktionen und Fähigkeiten, die
die Produktivität der Mitarbeitenden positiv beeinflussen kann, während die offizielle, oft (zu) stark standardisierte IT meist den Durchschnitt aller Anforderungen
abdecken muss und so niemanden wirklich befriedigen
kann.
> Eine für einen bestimmten Verwendungszweck aufgebaute IT-Umgebung erlaubt eine schnellere „time to
market“ für innovative, auch explorative Lösungen und
Produkte gegenüber dem Endkunden, der solche Dienste
zunehmend auch erwartet.
Betrachtet man die Summe aller Risiken, ist man als
Unternehmens- oder IT-Leiter geneigt, die Schatten-IT
sofort einsammeln und öffentlich zu verbrennen, gegebenenfalls zusammen mit den Lieferanten und internen
Beschaffern. Jedoch bietet eine Schatten-IT auch offensichtliche Vorteile.
13
DMR Impulse • Security • 2014
Prozessbezogene Chancen: Aufbauend auf den technologischen Chancen können auch bestimmte Abläufe im
Unternehmen durchaus von der Existenz einer SchattenIT profitieren:
> Dichter an den Anforderungen der internen – und
externen – Kunden kann man nicht sein.
> Liegt die operative sowie die „profit & loss“-Verantwortung für eine Schatten-IT beim tatsächlichen
internen Anwender und Betreiber, kann sich die Unternehmens-IT auf die effiziente Erbringung weniger
wohldefinierter Basisdienste konzentrieren.
> Die Skalierung und Rückverrechnung der IT-Kosten
kann dynamischer und kunden- und projektbezogener
erfolgen.
Geschäftliche und führungsbezogene Chancen: Schließlich kann auch die Geschäftsausübung und -ausdehnung
selbst von einer anwendernahen IT profitieren:
> Eine kundennahe IT kann im Sinne der „time to market“ ein differenzierender Faktor im Markt sein und die
Erwartung der externen Endkunden, insbesondere der
„digital natives“ besser adressieren.
> Das kreative Potenzial der jungen, meist technologieaffinen Generation als potenzielle Mitarbeiter wird
besser genutzt – das Unternehmen bleibt angesichts des
Fachkräftemangels attraktiv.
Umgang mit einer Schatten-IT
Naturgemäß gibt es im Spannungsfeld zwischen Kundennähe und Standardisierungsdruck in der IT kein
Standardrezept, welches den richtigen Umgang mit der
Existenz einer Schatten-IT im Unternehmen aufzeigt.
*
**
14
Eines der weniger bekannten Zitate aus Goethe´s
„Götz von Berlichingen“.
Eine Umbenennung (also weg von der „Schatten-IT“) kann
schon ein einfaches Mittel sein, Akzeptanz zu schaffen.
DMR Impulse • Security • 2014
Jedoch kann ein mehrstufiger Vorgehensplan helfen,
Chancen und Risiken zu erkennen, abzuwägen und angemessen vorzugehen.
Ein möglicher Vorgehensplan enthält die folgenden Phasen:
1) Erkennung und „Outing“ – die Existenz der Schatten-IT muss offiziell bekannt sein, Probleme, Vorteile
und Nachteile müssen transparent gemacht werden, die
jeweils Verantwortlichen müssen Kosten/Risiken und
Nutzen/Chancen aus ihrer Sicht transparent darlegen.
2) Akzeptanz: Wo viel Licht ist, ist auch viel Schatten*.
Basierend auf Schritt 1 muss eine klare Strategie festgelegt und offen kommunizieren werden – dies beinhaltet
auch den Willen zur Umsetzung und Sanktionierung von
nicht intendierten Abweichungen. Dabei kann es durchaus Teilbereiche im Unternehmen geben, die eine „user
empowered IT**“ einsetzen und erproben, mit Delegation
von Verantwortung und Kompetenz. Dabei ist zu beachten, dass nur eine dünne Linie Akzeptanz und Ignoranz
voneinander trennt – jedoch hilft Ignoranz meist nur
kurzfristig.
3) Langfristige Therapie: Aus der bisherigen SchattenIT müssen Lehren bezüglich Einsatzkonzept und Nutzen
gezogen werden, die die offizielle IT attraktiv und kundennäher positionieren. IT ist noch lange keine „Commodity“, weil die ständige Erneuerung und Innovation
der IT dies verhindert. Die offizielle IT muss agil genug
und in der Lage sein, neue Anforderungen so rasch zu
integrieren, dass die Schatten-IT klein bleibt oder keine
wesentlichen Vorteile bietet.
Zusammenfassung und Ausblick
Die Beschaffung, der Aufbau und der Betrieb inoffi­zieller Schatten-IT-Strukturen
neben der Unternehmens-IT ist ein Phänomen, welches IT-Leiter noch geraume
Zeit beschäftigen wird. Dies einerseits, weil
der stetige und ­rasche Erneuerungszyklus
der IT von der Unternehmens-IT auch in
Zukunft nicht in Echtzeit nachvollzogen
werden kann. Andererseits, weil der Konflikt zwischen Kundennähe und „economy
of scale“ auch künftig nicht allgemeingültig
gelöst werden kann.
Agile Unternehmen profitieren dann von
den ­Chancen, wenn sie die Existenz ihrer Schatten-IT anerkennen, diese in ihre
IT-Strategie integrieren und dort, wo es
sinnvoll ist, in eine akzeptierte „user empowered IT“ umwandeln, diese Strategie offen
kommunizieren und konsequent einhalten.
Prof. Dr. Hannes Lubich beschäftigt sich seit
über 25 Jahren mit IT-Systemen, Netzwerken und IT-Sicherheit. An der ETH Zürich
arbeitete er als Forscher und Dozent. Zudem war er maßgeblich am Aufbau des Internet und des Internet-Sicherheits-Teams
(CERT) in der Schweiz beteiligt. Während
13 Jahren war er zunächst als CISO der
Bank Julius Bär, später als Strategieberater
bei Computer Associates und British Telecom tätig. Seit 2009 ist er Professor für IT
System & Service Management an der Fachhochschule Nordwestschweiz in Brugg, zudem lehrt er an der ETH Zürich.
15
DMR Impulse • Security • 2014
Business Continuity Management –
Vorbereitung ist (mehr als)
die halbe Miete
Der Ausbruch des Vulkans Eyjafjallajökull im Jahre 2010
dürfe nicht nur isländischen Geologen in Erinnerung
­geblieben sein. Die von der Eruption verursachte Aschewolke brachte den europäischen Flugverkehr für Tage
zum Erliegen und offenbarte das Maß der Abhängigkeit
der Industrie von reibungslos funktionierenden, globalen
Lieferketten. Schon kurze Zeit nach der Schließung des
Luftraums musste die Automobilproduktion in mehreren
Werken in Deutschland und Japan unterbrochen werden,
da benötigte Elektronikbauteile nicht mehr rechtzeitig
angeliefert werden konnten. Just-In-Time Fertigung und
die damit verbundenen minimalen Lagerbestände sind
nur einige von vielen Gründen, warum Hersteller und
Zulieferer in zunehmendem Maße anfällig für Störungen
und externe Einflüsse werden.
Komplexität birgt Risiken
Unternehmen sind komplexe Systeme und reagieren
meist empfindlich auf unvorhergesehene Ereignisse und
Störungen. Der Grad der Vernetzung mit externen Zulieferern, Dienstleistern und Outsourcing-Anbietern,
strategischen Partnern und volatilen Beschaffungs- und
Absatzmärkten steigt stetig. Die zunehmende Bedeutung
von Informationstechnologie in allen Wertschöpfungsstufen steigert die Komplexität zusätzlich und führt zu
oft unberechenbaren Risiken. Unternehmen begeben
sich damit in eine stärkere Abhängigkeit und müssen
­lernen, mit dieser Situation umzugehen.
Welche Geschäftsaktivitäten sind kritisch für den Fortbestand unseres Unternehmens? Wie lange kann ­unsere
Organisation ohne Zugriff auf das ERP-System überleben? Welche Auswirkung hätte die Insolvenz eines
wichtigen Zulieferers? Stehen die erforderlichen Fachkräfte auch während einer akuten Grippewelle zur Verfügung? Was unternehmen wir, wenn unser wichtigster
Standort durch einen Brand zerstört wird? Wie sichern
wir unsere Verlässlichkeit als Lieferant und Geschäftspartner und weisen dies gegenüber unseren Kunden und
Aufsichtsbehörden nach?
Die Beantwortung dieser Fragen und die Entwicklung
einer optimalen Strategie zur Sicherung der Geschäftstätigkeit sind wesentliche Ziele des Business ­Continuity
Management (BCM). BCM stattet Unternehmen mit
den Fähigkeiten aus, die notwendig sind, um selbst
bei ­potenziell geschäftsbedrohenden Störungen die
­kritischen Geschäftsaktivitäten aufrechtzuerhalten und
so den Fortbestand des Unternehmens sicherstellen zu
können.
Business Continuity Management nach ISO 22301
Organisationen, die sich ihrer wachsenden Verwundbarkeit durch Naturkatastrophen, Terrorismus, ­Unfälle
und andere Einflüsse bewusst wurden, haben bereits
früh versucht, Maßnahmen zum Schutz ihrer kritischen
Geschäftsaktivitäten umzusetzen. Die gemachten Erfahrungen wurden in mehreren Ländern gesammelt und zu
meist regionalen BCM-Standards weiterentwickelt. Mit
ISO 22301* existiert seit 2012 erstmals ein international
anerkannter Standard zum Business Continuity Management.
*
16
DMR Impulse • Security • 2014
Tangen, S. & Austin, D / ISO (2012): “Business continuity ISO 22301 when things go seriously wrong”, http://www.iso.org/
iso/home/news_index/news_archive/news.htm?refid=Ref1602,
last accessed: 28.08.2013
17
DMR Impulse • Security • 2014
ISO 22301 spezifiziert Anforderungen, die eine Organisation erfüllen muss, um ein effektives Business Continuity Management System (BCMS) nach allgemein anerkannten Regeln zu betreiben. Die Umsetzung von BCM
nach ISO 22301 kann in Audits getestet und durch externe Prüfer zertifiziert werden.
Schaffen geeigneter Rahmenbedingungen
Bei der Einführung eines BCMS gilt es zunächst, die
Organisation und die an sie gestellten internen und externen Anforderungen zu analysieren und zu verstehen.
Der Umfang des BCMS wird nicht zuletzt dadurch bestimmt, welche Erwartungen von Management, Kunden,
Mitarbeitern und Regulierern gestellt werden. Es muss
insbesondere sichergestellt sein, dass geltende rechtliche
und regulatorische Rahmenbedingungen berücksichtigt
werden. Beispielhaft seien die Anforderungen der BaFin
(Deutschland) und FINMA (Schweiz) zum Risikomanagement im Finanzsektor genannt.
Ein wirksames BCMS erfordert Unterstützung durch die
Geschäftsleitung der Organisation: BCM ist Chefsache.
Nur so ist gewährleistet, dass die benötigten Ressourcen
und Qualifikationen bereitgestellt, wirksame Richtlinien
erlassen und Verantwortlichkeiten verbindlich zugewiesen werden können. Im Rahmen einer konsequenten
Planung werden eindeutige und messbare Ziele für die
BCMS Umsetzung festgelegt und mögliche Risiken identifiziert und behandelt. Durch Schulungen und weitere
Awareness-Maßnahmen werden die Beschäftigten mit
dem BCMS und ihrer eigenen Rolle vertraut gemacht.
Zudem gilt es, ein Konzept für die interne und externe
Kommunikation zu erarbeiten und sicherzustellen, dass
der Informationsfluss auch im Falle einer schweren Störung gewährleistet ist.
18
DMR Impulse • Security • 2014
Bewährte Methoden
Ein zentrales Werkzeug des BCM ist die Business Impact
Analysis (BIA). Ziel der BIA ist es, die für die Erstellung
der Produkte und Dienstleistungen des Unternehmens
erforderlichen Aktivitäten zu identifizieren und zu ermitteln, welche geschäftlichen Auswirkungen (Business
Impact) sich ergeben, wenn diese Aktivitäten für einen
bestimmten Zeitraum nicht mehr durchgeführt werden
können. Anhand des so ermittelten Business Impacts
werden die Aktivitäten priorisiert und somit die kritischen Geschäftsaktivitäten bestimmt.
Im Rahmen des Risk Assessment (RA) werden anschließend Risiken aufgenommen und bewertet, die die kritischen Aktivitäten des Unternehmens bedrohen. Neben
den Aktivitäten selbst werden dabei sämtliche, für die
Durchführung der Aktivität erforderlichen Ressourcen
betrachtet. Dies schließt insbesondere etwaiges Fachpersonal, benötigte Informationen und IT-Systeme, Standorte und externe Dienstleister mit ein. Wurden bereits
BCM-Maßnahmen umgesetzt, werden diese bei der Bewertung berücksichtigt. In der Gesamtbetrachtung ergibt sich ein Bild der wesentlichen BCM-Risiken sowie
möglicher Maßnahmen zu deren Reduzierung oder Vermeidung.
Von der Strategie zur Umsetzung
Der richtige Zeitpunkt
Die Ergebnisse aus Business Impact Analyse und Risk Assessment bilden die Grundlage für die Entwicklung einer
organisationsspezifischen BCM-Strategie. Diese legt fest,
wie die kritischen Geschäftsaktivitäten geschützt und im
Falle einer Beeinträchtigung stabilisiert und wiederhergestellt werden können. Ziel ist es, die geschäftlichen
Auswirkungen eines Ausfalls zu begrenzen und auf ein
den Anforderungen genügendes oder durch das Management akzeptiertes Maß zu reduzieren. Zu diesem Zweck
werden Maßnahmen umgesetzt, die die Wahrscheinlichkeit einer Störung senken, die Ausfalldauer verkürzen
oder die Auswirkungen einer Unterbrechung verringern.
Ein BCMS nach ISO 22301 stellt sicher, dass die Kommunikations- und Entscheidungswege im Fall einer
Störung so kurz wie möglich sind und eine rasche Wiederherstellung der Geschäftstätigkeit ermöglichen. In
diesem Zusammenhang spielen auch eindeutige, leicht
verständliche Business-Continuity-Pläne eine wichtige
Rolle. Anstelle eines umfassenden Dokuments, das alle
Eventualitäten abzudecken versucht, empfiehlt es sich,
für die jeweiligen Szenarien, beispielsweise den Verlust
eines Rechenzentrums oder den Ausfall eines Zulieferers, spezifische Pläne zu erstellen. Diese sind so verfasst,
dass sie den Anwender bei der Einleitung der erforderlichen Maßnahmen unterstützen, und enthalten Schritte
zur Wiederherstellung des Normalbetriebs.
Bei der Entwicklung von ISO 22301 wurden Erfahrungen
aus der Einführung und dem Betrieb von Business-Continuity-Management-Systemen berücksichtigt. Die Norm
stellt somit eine Sammlung von „Good Practices“ dar. Für
Unternehmen aller Größen bringt die Umsetzung von
Business Continuity Management einen geschäftlichen
Mehrwert, da die negativen Auswirkungen von unvorhergesehenen Zwischenfällen durch gezielte Vorbereitung und regelmäßige Überprüfung reduziert werden.
Übungen und Tests unter realistischen Bedingungen stellen sicher, dass die Business-Continuity-Pläne auch in
der Praxis funktionieren. Deren Dokumentation kann als
Nachweis für die Effektivität des BCMS verwendet werden. Die Ergebnisse fließen auch in die Evaluation und
ständige Verbesserung des BCMS nach ISO 22301 ein.
So wären beispielsweise auch die Produktionsausfälle
der 2010 vom Vulkanausbruch betroffenen Automobilhersteller vermeidbar gewesen. Business Impact Analysis
und Risk Assessment lassen erkennen, dass die PKWProduktion bereits für eine kurzzeitige Unterbrechung
von kritischen Lieferketten anfällig ist. Entsprechende
Gegenmaßnahmen lassen sich umsetzen, zum Beispiel
durch Anlegen von lokalen Sicherheitspuffern für kritische Elektronikkomponenten, mit denen der Zeitraum
bis zum Aufbau einer alternativen Lieferkette überbrückt
wird.
Die Umsetzung eines BCMS nach international anerkanntem Standard bietet Unternehmen zusätzliche
Vorteile, insbesondere bei der Darstellung des Wertes
gegenüber externen Kunden oder Regulierern. Organisationen, die bereits ein BCMS nach Vorgängerstandards
wie BS 25999 eingerichtet und zertifiziert haben, können
zeitlich befristet einen Umstieg auf ISO 22301 durchführen. Entscheider zahlreicher Unternehmen haben den
günstigen Zeitpunkt für die Einführung eines standardbasierten BCM-Systems nach ISO 22301 bereits erkannt.
19
DMR Impulse • Security • 2014
Bezahlen mit dem Mobiltelefon –
Wie sicher ist die digitale Geldbörse?
Mit der Marktreife der Nahfunktechnologie (Near Field
Communication, NFC) steht heute eine Technologie zur
Verfügung, die dem langersehnten mobilen Bezahlen
zum Durchbruch verhelfen kann. Zu den Vorteilen von
Mobile Payment gehören das Bezahlen von Kleinbeträgen ohne PIN-Eingabe oder Unterschrift, die Durchführung von Transaktionen innerhalb von Sekundenbruchteilen sowie zusätzlicher Mehrwert für Kunde und
Händler durch die Verknüpfung der Transaktion mit
Kundenbindungsprogrammen.
Rahmenbedingungen für den Erfolg
von Mobile Payment sind positiv
Aus technischer und kommerzieller Sicht scheinen die
Rahmenbedingungen für die Einführung des Mobile
Payments günstig zu sein. In der Schweiz beispielsweise
wird voraussichtlich ab 2014 die Zahlungsinfrastruktur
das mobile Bezahlen unterstützen, nachdem sich bereits seit einigen Jahren das kontaktlose Bezahlen mit
­Kreditkarte etabliert hat. Verschiedene Pilotprojekte der
lokalen Kreditkartenanbieter mit Telekommunikationsunternehmen wurden bereits erfolgreich abgeschlossen.
Ebenso besitzen seitens der Händler immer mehr Zahlungsterminals eine zusätzliche Schnittstelle für Nahfunktechnologie. Bis Ende 2013 werden die größten
Schweizer Detailhändler ihre Infrastruktur mit neuen
NFC-Zahlungsterminals aufrüsten („Migros und Coop
planen bargeldloses Bezahlen“, www.computerworld.
ch). Während das iPhone noch nicht NFC-fähig ist, bieten Samsung, Nokia, HTC, LG oder Sony seit längerem
NFC-fähige Mobiltelefone auf dem Markt an.
Mit der näher rückenden Massentauglichkeit des bargeldlosen Bezahlens wächst das Interesse an neuen Geschäftsmodellen, wie der Verknüpfung des Zahlungsvorgangs mit Loyalitätsprogrammen oder auf den Kunden
zugeschnittene mobile Werbung. Gleichzeitig werden
immer wieder Stimmen laut, die vor möglichen Sicherheitsrisiken warnen. Fast zwei Drittel der in einer von
der Initiative D21/Infratest befragten Internetnutzer in
Deutschland haben Bedenken, was die Sicherheit beim
mobilen Surfen angeht (Studie der Initiative D21 zum
mobilen Internet, www.initiative21.de). Zudem nannten
über 60 Prozent der Händler in einer von EHI durchgeführten Studie Sicherheit als wichtigsten Aspekt des
mobilen Bezahlens, gefolgt von den Kosten und der
Geschwindigkeit („Sicherheit bei mobilem Bezahlen“,
www.ehi.org).
20
DMR Impulse • Security • 2014
In den Medien werden potenzielle Sicherheitslücken
von NFC-fähigen Mobiltelefonen rege diskutiert. Häufig
wird auf sicherheitsrelevante Schwachstellen der Nahfunktechnik hingewiesen, insbesondere dass sich durch
verschiedene Angriffsarten Malware auf dem Mobiltelefon einspielen und theoretisch Speicherkarteninhalte
vom Mobiltelefon stehlen lassen (Sicherheitskonferenz
Black Hat: Das Smartphone als Geldbörse mit Risiko,
www.nzz.ch). Zudem werden die scheinbar unzureichenden Sicherheitsmechanismen mobiler Bezahlungsmethoden thematisiert:
> Kreditkartentransaktionen könnten ohne direkten
Zugriff mitverfolgt werden, sogar dann, wenn das Smartphone in der Tasche des Opfers bleibt. Damit ließen sich
Kreditkarten nachbilden und ohne Wissen des Opfers
missbrauchen.
> Eine Authentifizierung des Karteninhabers am mit
Nahfunktechnik ausgerüsteten Kartenleser fände bei geringen Beträgen nicht statt. Dadurch ließen sich Transaktionen aufzeichnen und zu einem späteren Zeitpunkt
über sogenannte Replay-Angriffe wiederholt ausführen.
> Auf Sicherheitskonferenzen haben Experten über
Verkaufsportale, sogenannte App Stores, frei zugängliche
Applikationen vorgestellt, die es ermöglichen, Kreditkartendaten auszulesen und die für eine Kreditkartentransaktion notwendigen Informationen zu speichern (www.
blackhat.com).
Wie steht es vor diesem Hintergrund um die Sicherheit
von Mobile Payment? Wie robust ist die Sicherheitsarchitektur? Welche Betrugsszenarien wären theoretisch
durchführbar und wie ernst sind obenerwähnte Medienberichte zu nehmen?
Mobile-Payment-Sicherheitsarchitektur
auf dem Prüfstand
An die Mobile-Payment-Zahlungsanwendung werden
strenge Sicherheitsanforderungen gestellt. Um den reibungslosen Ablauf der Transaktionen sicherzustellen,
müssen diese gegen unberechtigte Zugriffe geschützt
werden. Grundlage dafür bildet ein zugelassenes Sicherheitselement, das sogenannte Secure Element, das
die Zahlungsfunktionen verwaltet. Als Secure Element
können neben der SIM-Karte auch im Mobiltelefon eingebaute Smartcard-Chips oder externe Speicherkarten
dienen. In der Mobile-Payment-Architektur wird die
Zahlungsanwendung von einem Trusted Service Manager kontrolliert, der das Secure Element personalisiert
und nur bestimmten Anwendungen Zugriff gewährt.
Die für Mobile Payment erforderliche Schnittstelle auf
NFC-Basis bietet im Zusammenspiel mit der oben beschriebenen Sicherheitsarchitektur einen hohen Schutz
gegen unberechtigte Zugriffe. Seitens der Kreditkartenorganisationen werden in den Mobile-Payment-Spezifikationsdokumenten umfangreiche Sicherheitsanforderungen gestellt. Ebenso stellt die Kreditkartenindustrie
mit den Standards der Payment Card Industry (PCI)
hohe Sicherheitsanforderungen. Neben der Einhaltung
verbindlicher Standards seitens der Kreditkartenindustrie und technischer Maßnahmen wie der Verschlüsselung von Transaktionen und der Authentifizierung nach
aktuellstem Standard verhindern insbesondere folgende,
dezidierte Zählmechanismen einen Missbrauch durch
Dritte.
Mobile
Payment
Herausgeber
Mobile Payment
Trusted Secure
Manager
Secure Element
Provided Trusted
Service Manager
Secure
Element
Provider
Client
Mobiles
Netzwerk
User
Interface
Baseband Processor
UI Applications
Secure Element
Mobile
Payment
Anwendung
Contactless Front End (CLF)
NFC Controller
Antenne
NFC Terminal
Abbildung: Mobile Payment Sicherheitsarchitektur
21
DMR Impulse • Security • 2014
In regelmäßigen Intervallen prüft ein als Offline Transaktionen Zähler bekanntes Verfahren, ob die Identität
des Karteninhabers durch eine Online-Verbindung zum
Kreditkartenherausgeber verifiziert worden ist. Der Karteninhaber kann nur eine bestimmte Anzahl an Offline
Transaktionen durchführen. Ist ein bestimmtes Limit erreicht, wird dieser aufgefordert, die Transaktion mit der
PIN zu bestätigen. Ein verwandter, als No-PIN Transaktion Zähler bekannter Mechanismus schränkt die Anzahl der Transaktionen ein, die bei Kleinbeträgen („Low
Value“ Transaktionen) ohne PIN-Eingabe durchgeführt
werden kann. Sobald das No-PIN Transaktionslimit
überschritten wurde, muss der Karteninhaber seine PIN
eingeben, bevor er die nächste Transaktion durchführen
kann. Der theoretische Verlust ist normalerweise durch
die AGBs seitens der Kreditkarten herausgebenden Bank
gedeckt. Das finanzielle Risiko bei der Transaktion von
Kleinbeträgen ohne Karteninhaber-Prüfung ist somit für
den Kunden als relativ gering einzustufen.
Theoretische Betrugsszenarien haben in der
Praxis geringe Erfolgschance
In Bezug auf Mobile Payment werden häufig Betrugsszenarien genannt, die entweder eine sehr geringe Erfolgschance haben oder für den Angreifer äußerst schwer
umzusetzen sind. Ein häufig genanntes Szenario betrifft
Malware-Angriffe auf Mobiltelefone. Mit Hilfe von Malware könnten Betrüger das Mobiltelefon manipulieren,
um Transaktionen abzufangen oder zu verändern. Daneben wäre auch das Szenario eines Abhörangriffes,
insbesondere der sogenannte Replay-Angriff, denkbar,
bei dem der Angreifer Kreditkartendaten aus größerer
Entfernung abhört und aufzeichnet. Ebenso werden sogenannte „Man in the Middle“ (MitM) Angriffe erwähnt,
bei denen sich der Angreifer zwischen zwei Kommunikationsteilnehmer stellt, um die zwischen den beiden
Parteien ausgetauschten Transaktionsdaten abzufangen.
Eine Analyse der potenziellen Schwachstellen und
praktischen Umsetzbarkeit von Angriffen zeigt, dass
das Sicherheitsrisiko durch Malware-Angriffe auf Mobiltelefone sehr gering und für die Kreditkartenanbieter
kalkulierbar ist. Schadprogramme wie Computerviren,
Würmer, Trojanische Pferde oder Spionageprogramme
werden gezielt entwickelt, um vom Benutzer unerwünschte oder schädliche Funktionen auszuführen. Aktuelle Smartphones sind in der Lage, ein breites Spektrum
von Anwendungen, darunter Instant-Messaging, Social
Media, aber auch Online-Banking und E-Trading auszuführen. Die Fülle an Anwendungen, deren Funktionalität
teilweise nicht ausreichend auf Sicherheit geprüft wurde,
22
DMR Impulse • Security • 2014
macht Mobiltelefone grundsätzlich anfällig für Schadprogramme. Die rasche Entwicklung, der Vertrieb und die
Verbreitung von Anwendungen durch sogenannte App
Stores stellt die größte Malware-Gefahr für mobile Betriebssysteme dar. Die bestehende Sicherheitsarchitektur
aus Trusted Element, zertifizierter Anwendung sowie
automatischer Deaktivierung der Zahlungsfunktion bei
einem Rooting, das heißt beim Entfernen der herstellerseitigen Software-Restriktionen, reduziert das Risiko
eines erfolgreichen Angriffs. Sofern die Mobile Payment
Anwendung korrekt umgesetzt ist, grundlegende Sicherheitseinstellungen bestehen und vom Benutzer nicht
umgangen werden, hat der Kunde grundsätzlich keinen
finanziellen Schaden zu befürchten.
Ebenso ist das Risiko eines Abhörangriffs, bei dem der
Angreifer versucht, Kreditkartendaten abzufangen und
wiederzuverwenden, als sehr gering einzustufen. In
der Theorie ermöglicht das Mitlesen von übertragenen
­Kreditkartendaten einem Angreifer, einmal zur Authentifizierung benutzte Daten, zum Beispiel verschlüsselte
Kreditkartendaten, bei einem späteren Zugangsversuch
wieder einzuspielen (ein sogenannter Replay-Angriff).
Auf Seite der Applikationen ist es zudem möglich,
mit speziellen Programmen Kreditkartendaten auszulesen, um diese zur späteren Nutzung weiterzuverwenden. ­Damit lassen sich theoretisch Transaktionen
­wiederholen, ­jedoch nicht im E-Commerce-Bereich,
da der Name des Karteninhabers sowie die Kartenprüf­
nummer (CVC/CVV2) nicht digital, sondern nur physisch auf der Kreditkarte aufgedruckt ist.
Für den Angreifer gestaltet es sich als sehr schwierig, die
übertragenen Daten zur Wiederholung einer bestimmten Transaktion zu nutzen, da diese durch einmalige
Kryptogramme geschützt wird. Aufgrund der Vielzahl an
Parametern, welche die Qualität des NFC-Signals beeinflusst, ist es schwierig einzuschätzen, wie nah ein Angreifer sein muss, um ein brauchbares Signal abzufangen. Die
Reichweite zwischen NFC-Chip und dem Lesegerät darf
bei der Transaktion maximal vier Zentimeter betragen.
Zudem ist das abgefangene Signal für den Angreifer von
geringem Nutzen, da die Transaktion an das BackendSystem des Kreditkartenherausgebers weitergeleitet werden muss. Hier würde die zweite, vom Angreifer wiederholte Transaktion, entdeckt werden.
Ebenso als sehr unwahrscheinlich sind MitM-Angriffe
einzustufen, bei denen der Angreifer die zwischen beiden Parteien ausgetauschten Transaktionsdaten abfängt.
Der Angreifer bringt dabei das Mobiltelefon des Kunden
und das Zahlungsterminal des Händlers dazu, über ihn
statt direkt miteinander zu kommunizieren. Die Täuschung des Angreifers besteht darin, dass er sich den
Kommunikationspartnern gegenüber als der jeweils Andere ausgeben kann, ohne dass sie dies bemerken.
Diese Schwachstelle rührt daher, dass es kein Verfahren
gibt, um die Echtheit eines einzelnen NFC-Geräts zu verifizieren. Diese Angriffe scheitern aber daran, dass sie sehr
schwierig durchzuführen sind und die Interaktion des
Angreifers durch die legitimen Benutzer leicht entdeckt
werden kann. Beispielsweise könnte ein Angreifer in der
Nähe des Zahlungs-Terminals unbemerkt ein zweites,
von ihm kontrolliertes Gerät mit stärkerer Reichweite in
Betrieb nehmen. Bei der Bezahlung könnte der Transaktionsbetrag bei „Low Value“-Transaktionen mehrmals
abgebucht werden. Dies ist aber für den Angreifer von
geringem Nutzen, da die Transaktion an das BackendSystem des Kreditkartenherausgebers weitergeleitet und
dort als mehrfach durchgeführte Transaktion entdeckt
werden würde. Durch die Verschlüsselung der übertragenen Nachrichten ist der Kanal nur gegen ein Abhören
gesichert.
Spannungsverhältnis zwischen Sicherheit und
Benutzerakzeptanz bleibt bestehen
Aufgrund der bestehenden Sicherheitsarchitektur ist das
Risiko eines Betrugsfalls sowie finanziellen Verlustes
sehr gering. Zusätzliche Sicherheitsmechanismen würden den Transaktionsprozess für den Kunden kompliziert
machen. Die Einfachheit und Geschwindigkeit dieser
neuen Bezahlungsmethode stellt jedoch einen wichtigen
Erfolgsfaktor dar. Es besteht also ein grundsätzliches
Spannungsverhältnis zwischen Sicherheit und Benutzerakzeptanz im Bereich mobiler Bezahlungsmethoden.
Neben der Sicherheitsarchitektur bieten die bereits beschriebenen Sicherheitsmechanismen einen grundlegenden Schutz vor Missbrauch:
> Karteninhaber-Prüfung durch PIN bei „High Value“
Transaktionen.
> Offline Transaktionen Zähler, der in regelmäßigen
Abständen eine Online-Verbindung zum Kreditkartenherausgeber herstellt.
> No-PIN Transaktion Zähler, der die Anzahl der
Transaktionen ohne PIN-Eingabe einschränkt.
Zusätzliche Sicherheitsmechanismen, die von den Kreditkartenherausgebern umgesetzt werden können, ber-
gen das Risiko einer verringerten Kundenakzeptanz bei
der Einführung der mobilen Bezahlungsmethoden:
> Eine Verringerung des maximalen Transaktionsbetrags, bei dem keine PIN-Eingabe notwendig ist, reduziert das maximale finanzielle Risiko weiter, jedoch mit
dem Risiko einer negativen Auswirkung auf die Kundenakzeptanz.
> Ein zweistufiges „Two Tap“-Verfahren (Initialisierung und Transaktion) erhöht die Sicherheit weiter,
jedoch auf Kosten der Kundenakzeptanz, da der Transaktionsprozess komplizierter wird als mit Kreditkarte
normalerweise üblich ist.
> Dem Kunden könnte die Möglichkeit gegeben werden, die Zahlungsfunktion nur dann zu aktivieren, wenn
sie für eine Transaktion benötigt wird.
Mobile Payment erhöht die Sicherheit im
Vergleich zu klassischen Zahlungsmitteln
Bei der aktuellen Diskussion potenzieller Sicherheitsrisiken im Bereich des mobilen Bezahlens wird häufig außer Acht gelassen, dass die neue Technologie auch eindeutige Verbesserungen bestimmter Sicherheitsaspekte
mit sich bringt. Insbesondere gewährleistet das Secure
Element den Schutz der Kreditkartendaten, ein Zugriffskode sichert die digitale Brieftasche. Zudem kann angenommen werden, dass der Verlust des Mobiltelefons
vom Kunden schneller bemerkt würde als der Verlust
der physischen Kreditkarte. Ebenso muss der Kunde die
Kontaktlos-Kreditkarte oder das Mobiltelefon während
des Bezahlungsvorgangs nicht aus der Hand geben. Abgesichert wird das Sicherheitsrisiko mit sehr geringen
­Limiten bei der Bezahlung.
Trotz der Mobile-Payment-Sicherheitsarchitektur kann
ein Restrisiko nie ausschlossen werden. Der Kunde vergleicht diese Anwendungen jedoch nicht mit Bargeld,
das ebenfalls gestohlen werden kann und über keinen
PIN-Schutz verfügt, sondern mit Bank- und Kreditkarten und fühlt hier tendenziell ein höheres Sicherheitsrisiko. Zu bedenken ist darüber hinaus, dass zu starke
Sicherheitsmechanismen den Kunden überfordern und
dazu verleiten können, Grundregeln der Sicherheit, wie
die Geheimhaltung der PIN, zu vernachlässigen oder
zu umgehen. Das Risiko eines erfolgreichen Angriffs ist
kalkulierbar und sehr gering, sofern die Mobile-Payment-Anwendung korrekt umgesetzt und grundlegende
­Sicherheitsstandards eingehalten werden.
23
DMR Impulse • Security • 2014
Vorteile und Mehrwert von Mobile Payment
DMR: In den Medien wird derzeit häufig über „Mobile
Payment“ berichtet. Was genau ist darunter zu verstehen?
Aduno-Gruppe: Mobile Payment sind Bezahlvorgänge,
bei denen mindestens die zahlungspflichtige Person ein
mobiles Endgerät wie ein Smartphone für die Zahlung
einsetzt. Im Rahmen von Mobile Payment unterscheiden wir ­heute zwischen verschiedenen Ausprägungen:
­mobile, kontaktlose Bezahlvorgänge können heute über
SMS, Anruf, Apps, QR-Codes und mit Unterstützung
von NFC durchgeführt werden. Diese verschiedenen
Verfahren setzen jeweils ein entsprechendes Eco-System
innerhalb des Bezahlvorgangs voraus, um einen kundenfreundlichen und vor allem sicheren Transaktions­
abschluss g­ ewährleisten zu können.
Die Anzahl der Studien im Bereich Mobile Payment,
welche immer wieder die Frage nach der richtigen Technologie und das Bedürfnis nach einem Standard hervorheben, haben in den letzten zwei Jahren enorm zugenommen. Im Verlauf dieser Zeit konnte sich vor allem
der Einsatz von NFC immer mehr durchsetzen. Diese
Technologie wird heute zum Beispiel auch für Bezahlvorgänge mittels „kontaktlos-fähigen“ Geldkarten eingesetzt, worin die zahlungspflichtige Person lediglich
ihre physische Geldkarte in die Nähe des Kassensystems
führen muss. In der Schweiz können so ­Bezahlvorgänge
unter 40 Schweizer Franken ohne Eingabe eines PINs
schnell und sicher abgeschlossen werden.
Auch im Rahmen von Mobile Payment bietet NFC die
ausgereifteste Basis für das digitale Portemonnaie. In
Kombination mit einer speziellen SIM-Karte und einem
NFC-fähigen Smartphone können Kunden an unterstützten Kassensystemen mobil und kontaktlos bezahlen.
24
DMR Impulse • Security • 2014
Kunden müssen für das Bezahlen mit dem Smartphone
lediglich ihr Gerät nahe an das Zahlterminal halten, innerhalb von ein bis zwei Sekunden ist der Einkauf bezahlt.
DMR: Wie sieht es um die zukünftige Bedeutung des
mobilen Bezahlens aus?
Aduno-Gruppe: Mobile Payment ermöglicht es, tägliche
Einkäufe einfach und bequem zu bezahlen, ohne lästiges
Kleingeld hervorkramen zu müssen. Es ersetzt primär das
Bargeld und ergänzt bestehende Zahlungsmöglichkeiten
wie beispielsweise Kreditkarten.
DMR: Worin liegt der Mehrwert für den Kunden?
Aduno-Gruppe: Mobile Payment wird zukünftig Teil
des „Digital Lifestyle“ der Konsumenten. Dies bedeutet
einerseits, dass Konsumenten ihre Einkäufe schneller
und einfacher bezahlen können. Andererseits wird das
digitale Portemonnaie auf dem Smartphone viele verschiedenen Karten wie Bezahlkarten und Kundenkarten,
Tickets und Gutscheine von Detailhändlern enthalten,
die man nun nicht mehr physisch im Portemonnaie mit
sich tragen muss. Daneben hat man per App jederzeitige
Kontrolle über seine Ausgaben. Die NFC-Technologie
ermöglicht Bezahlvorgänge selbst dann, wenn der Akku
des Smartphones erschöpft ist.
DMR: Welche Vorteile haben Unternehmen, die ­mobiles
Bezahlen anbieten?
Aduno-Gruppe: Über die Befriedigung eines Kundenbedürfnis hinaus bietet Mobile Payment neue Möglichkeiten für die Verbindung von Zahlfunktion und
­weiteren Dienstleistungen, beispielsweise Bonussysteme.
Thomas Weber, Manager Card Scheme Compliance bei der Aduno-Gruppe und Mitglied
des European Fraud Advisory Committee MasterCard. Viseca Card Services SA ­(Viseca)
ist ein Geschäftsbereich der Aduno-Gruppe. Viseca ist einer der größten Schweizer
­Herausgeber von Kredit- und PrePaid-Karten und gibt Kreditkarten unter den Marken
der Kreditkartenunternehmen MasterCard® und Visa heraus. Dies erfolgt an Privatund Firmenkunden, für Schweizer Retailbanken, mehrere Co-Branding-Partner und im
­eigenen Namen. Sie erbringt sämtliche zugehörigen Kundendienstleistungen.
DMR: Die NFC-Technologie eröffnet neue Geschäftsfelder. Welche Anwendungsbereiche sind am erfolg­
versprechendsten?
DMR: Und wie sieht es mit der Sicherheit aus? Welche
potenziellen Gefahren bestehen für den Kunden beim
mobilen Bezahlen?
Aduno-Gruppe: Mit der NFC-Technologie kann die Bezahlmöglichkeit auf diverse neue Träger übertragen werden. Intern wurden beispielsweise Tests mit Stickern und
Schlüsselanhängern mit Kontaktlos-Funktion durchgeführt.
Aduno-Gruppe: Das mobile Zahlen ist genauso sicher
wie das Zahlen mit einer herkömmlichen Kreditkarte:
Das Smartphone bleibt während des ganzen kontaktlosen
Zahlungsvorgangs in Ihrer Hand. Für eine Transak­tion
muss die das Smartphone unmittelbar, das heißt mit
zirka vier Zentimeter Abstand, ans Terminal gehalten
werden. Pro Kontakt mit dem Terminal ist jeweils nur
eine Transaktion möglich, da beim kontaktlosen Zahlen
der Sicherheitschip einen dynamischen Code generiert,
der für jede Transaktion einmalig ist. Mehrfachverwendungen dieses Codes oder falsche Codes werden sofort erkannt. Personenbezogene Daten, zum Beispiel der Name
des Karteninhabers, werden nicht übertragen und sind
nicht auf dem Chip gespeichert. Letztlich muss wie beim
herkömmlichen Einsatz der Kreditkarte der Händler die
Transaktion freigeben. Eine ungewollte Transaktion ist
somit ausgeschlossen.
DMR: Was ist entscheidend für die Kundenakzeptanz
beim Einsatz dieser neuen Art des Bezahlens?
Aduno-Gruppe: Um das elektronische Bezahlen in der
Schweiz zu fördern, braucht es standardisierte Verfahren
für alle Teilnehmer, seien dies Kreditkartenherausgeber,
Mobilfunkanbieter oder andere Teilnehmer. Wichtig
ist auch die Abdeckung der Akzeptanzstellen, die über
ein kontaktlosfähiges Bezahlterminal verfügen. Diese ist
heute jedoch bereits gut und verbessert sich laufend.
DMR: Welches sind die größten Herausforderungen bei
der Einführung von „Mobile Payment“?
Aduno-Gruppe: Eine erfolgreiche Einführung hängt
von der Akzeptanz im Markt ab, sowohl von den Händlern als auch der Konsumenten. Aus technologischer
Sicht soll natürlich die Sicherheit für den Konsumenten
jederzeit garantiert werden können. Diese erstreckt sich
von der „over-the-air“ Personalisierung der Kreditkarte,
beim Kontakt des Smartphone mit einem Kassensystem
bis hin zu den jeweiligen Verwaltungsmöglichkeiten für
den Kreditkarteninhaber. Dieses Ziel setzt ein durchdachtes Eco-System voraus, das von verschiedenen Technologie-Partnern getragen werden muss.
DMR: Inwieweit wird „Mobile Payment“ das B
­ ezahlen
mit Bargeld oder Kreditkarte in Zukunft ersetzen
­können?
Aduno-Gruppe: Zahlungen sollen in der Form durchgeführt werden können, die den individuellen Wünschen
des Kunden entspricht. Mobile Payment wird eine neue
Möglichkeit der Zahlung sein, die die Kreditkarte mehrheitlich ergänzt und nicht ersetzt. Aktuell und bis auf
weiteres legen wir den Fokus klar auf die Kreditkarte.
Ob Mobile Payment die Kreditkarte vollständig ersetzen
kann, bleibt abzuwarten.
25
DMR Impulse • Security • 2014
Praxisbeispiel:
SAP Security Framework –
Sicherheit muss gelebt werden
Jeder Konzern kennt Vorgaben und Regularien für die IT-Sicherheit, die an den verschiedensten Stellen – manchmal aus recht konkreten Anlässen oder einer speziellen
„technologischen Brille“ heraus – erarbeitet werden. Sehr viele. Denn Daten- und Informationssicherheit sind nicht nur in diesen Zeiten aktuell. Woher will man wissen, was
„sicher“ ist, wenn die Vorgaben zur Messung nicht einheitlich und bekannt sind? Dies
gilt besonders für SAP-Systeme und deren spezifische Sicherheitsvorgaben.
Bisher waren diese nur über eine Menge einzelner Dokumente zu finden – Dokumente
mit verschiedenen Aktualitätsstufen, anderem inhaltlichem Aufbau, unterschiedlichem
Scope, verschiedenen Fundorten, verschiedenen Autoren und Blickwinkeln sowie einer Menge an Querverweisen. Konkrete und umfassende Handlungsanweisungen zum
Schutz der SAP-Systeme sind so für die, die es verantworten oder umsetzen sollen, nur
unter Aufwand im Kontext zu erfassen – die Gefahr von „Schrankware“.
Im Rahmen eines aktuellen Projektes hat Detecon ein SAP-Security Framework konzipiert und aufgebaut, um die Vorgaben inhaltlich zu konsolidieren, Whitespots zu
identifizieren und die Inhalte intern online verfügbar zu machen. Zusätzlich wurde der
Abgleich mit Rahmenwerken ermöglicht, etwa zu COBIT, ISO 27000 (Informationsicherheit, ISMS) oder ISO 22301 (Business Continuity).
„Single Point of Truth“ – konsolidiert und verbindlich
In mehreren Workshops wurde die Idee zusammen mit den betroffen Einheiten des
Kunden konkretisiert und geplant: relevante und verpflichtende Vorgaben des Konzerns
filtern, einheitlich erfassen, inhaltlich konsolidieren und übersichtlich wie transparent
verfügbar machen. Mit Blick auf die mehr als 1000 SAP-Systeme im Scope und weltweit
mehr als 100.000 SAP-Anwendern sehr verständlich. Richtlinien und Konfigurationen
können nun zielgerecht abgefragt werden – eine erhebliche Arbeitserleichterung.
Heute ist das erste Framework-Release live. Die wesentlichen ­Dokumente wurden analysiert, in inhaltliche Einheiten zerlegt und modularisiert – die Basis. Das Framework setzt
die Module in den Kontext und deckt dadurch alle Ebenen ab. Über allgemeine Policies
kann bis zu konkreten Security-Einstellungen für ein spezielles Release eines Application
Servers navigiert werden, um konkrete Vorgaben zu finden – und so die reale Sicherheit
an vielen Stellen schnell anheben und harmonisieren.
Alle Vorgaben in der neuen Library sind weiterhin konzernweit verbindlich. Nun können diese über eine Datenbank und ein Web-Frontend auch zentral gepflegt und ausgewertet werden. Die Suche führt schnell, intuitiv und verlässlich zum Ziel – das Framework ist alltagstauglich. „Fragen wie ‚Welche Standard gilt für die Verschlüsselung
bei SAP NetWeaver AS Java 7.3?‘ dürfen uns nicht in Verlegenheit bringen“, so Mark
Großer, Projektleiter.
Durch die Umsetzung mit Web 2.0-Elementen kann das Know-how der Experten ein­
fließen. Sie können Ergänzungsvorschläge machen, Kommentare hinterlassen und
­Change-Alerts für Änderungen an Vorgaben einstellen oder Checklisten erzeugen. Derzeit gibt es drei „Bäume“ für die aktive, persönliche Navigation zu den Antworten auf
wichtige tägliche Fragen: die inhaltliche Hierarchie über alle Ebenen, den Aufruf nach
Technologien – Einstieg nach GUI, Datenbank, Application Server, SAP-­Release – und
die Struktur der bisherigen Einzeldokumente.
26
DMR Impulse • Security • 2014
Intuitiv, modular und skalierbar
Ob Fachbereich, IT-Verantwortlicher oder Administrator – jede Nutzergruppe muss im
Framework finden, was sie braucht. Der ­Aufbau der inhaltlichen Hierarchie orientiert
sich zur Wieder­erkennung an den grundlegenden Security-Dokumenten auf Kundenseite. Dies umfasst die von SAP selber herausgegebenen Unterlagen.
Das Framework bietet nun die Brücke zwischen allen Ebenen, um von Überschriften bis
zur konkreten Handlungsanweisung zu navigieren: zielgruppenorientierte Transparenz.
Neue einzelne Inhalte oder Dokumente können integriert werden – das Framework ist
skalierbar und inhaltlich erweiterbar. So kann jede Nutzergruppe ihren Einstieg gemäß
der eigenen Aufgabe wählen – wichtige Hilfe für gelebte Sicherheit. Alles Verbindliche
ist aus einer Quelle verfügbar: online, transparent und zielgerichtet abrufbar. Der nächste
Schritt ist die komplett individuelle, personalisierte Auswertung aus dem Tool. Schließlich will sich das Projektteam regelmäßig von der ­Nutzerfreundlichkeit der Security Library und seiner Akzeptanz überzeugen. Denn: „Ist Sicherheit anstrengend und unkonkret, wird sie vernachlässigt“.
27
DMR Impulse • Security • 2014
8.
Detecon Statements
„Die Mobilisierung des Unternehmens war der Auslöser für die Entwicklung
einer umfassenden Informationssicherheitsstrategie.“
Dr. Etienne Auger
„Auch für Security gilt, dass der Mensch immer weiter strebt.
Was möglich ist, wird gemacht – Komplettschutz gibt es nicht.“
Mark Großer
“Engagement für Informationssicherheit schafft Vertrauen – Vertrauen ist
der Schlüssel zum Erfolg in der Dienstleistungsgesellschaft.“
Matthias Gruber
„Das Kernelement sämtlicher Unternehmen liegt in ihrem s­ pezifischem Fachwissen. Diese
Informationen werden teilweise in Daten g­ espeichert und sind schutzbedürftig – sie entscheiden
über den U
­ nternehmenserfolg.“
Alexander Helm
„BCM stellt sicher, dass die kritische Geschäftsaktivitäten nach einer Störung im
geforderten Zeitfenster wieder aufgenommen werden können“.
Alexandre Horvath
„Die Komplexität der Leistungsbeziehungen in Unternehmen und über die Unternehmensgrenzen
hinweg nimmt zu. Business ­Continuity M
­ anagement hilft Unternehmen bei der Minimierung der
damit e­ inhergehenden Risiken und Abhängigkeiten.“
Jakob Keller
„Viele der als theoretisch möglich eingestuften Angriffe auf mobile B
­ ezahlungsmethoden konnten
bis heute unter realen Bedingungen nicht durchgeführt werden. Bei einer nüchternen Betrachtung
der potenziellen Schwachstellen stellt sich heraus, dass andere Angriffsmuster, wie Social Engineering oder das „Hacken“ von Kundendatenbanken, für Angreifer viel erfolgsversprechender sind.“
Leo Niedermann
„Dem Schutz der kritischen Informationen der Unternehmens wird nach den umfangreichen
Veröffentlichungen über die Aktivitäten staatlicher Institutionen sowie dem starken Anwachsen
organisierter Kriminalität von allen Firmen verstärkt Aufmerksamkeit gewidmet.“
Torsten Stimmel
„Ein effektives Sicherheitsmanagement führt zur Freisetzung von E
­ insparungspotenzialen.“
Andrea Tribelhorn
28
DMR Impulse • Security • 2014
Kein Teil dieser Veröffentlichung darf ohne schriftliche Genehmigung
der Detecon International GmbH r­ eproduziert oder vervielfältigt werden.
© Detecon International GmbH, Januar 2014
[email protected]
www.detecon.com
DMR Impulse / Security / Januar 2014
[email protected]
www.detecon.com