key: cord-0064758-r27os5d3
authors: nan
title: Report
date: 2021-06-21
journal: Datenschutz Datensich
DOI: 10.1007/s11623-021-1477-3
sha: 9c41ff81110bf88046a8a8338ea55b5cafeba872
doc_id: 64758
cord_uid: r27os5d3

nan

und effizient implementiert werden können. Die PKIaaS-Architektur ermöglicht Unternehmen zudem eine bedarfsgerechte Skalierung und Kapazitätssteigerung -während sie durch Reduzierung der Notwendigkeit von On-Premise-Diensten, Anwendungen und Software die Komplexität der Infrastruktur so gering wie möglich hält.

Skalierbarkeit Kunden ihren Bestand an öffentlichen und privaten Zertifikaten an einem zentralen, benutzerfreundlichen Ort verwalten können. Die Markteinführung ist Teil des umfassenden Entrust as-a-Service-Angebots, das Organisationen bei der Migration in die Cloud maximale Einfachheit, Sicherheit, Geschwindigkeit und Skalierbarkeit für Security-und Identity-Anwendungen bieten soll. Entrust PKI as a Service lässt sich zudem nahtlos mit nShield Hardware-Sicherheitsmodulen (HSMs) integrieren, was eine klare und vertrauenswürdige Roadmap für Cloud-Implementierungen darstellt.

"Entrust PKIaaS bringt unsere bewährte PKI-Technologie und langjährige Erfahrung in die Cloud und gewährleistet Unternehmen jene Skalierbarkeit, Geschwindigkeit und Einfachheit, die sie für eine schnelle Cloud-Migration ihrer geschäftskritischen Anwendungen benötigen", meint Jon Ferguson, Product Management Director of PKI & IoT bei Entrust. "Durch Nutzung unserer hochsicheren Rechenzentren und die Verwaltung über unsere Experten sichern unsere ‚Born in the cloud'-Lösungen ein breites Spektrum an kritischen Security-und Identity-Anwendungen mit schlüsselfertigen, schnell und einfach zu implementierenden Cloud-Services ab." Weitere Informationen zu Entrust PKI as a Service unter: https:// www.entrust.com/digital-security/certificate-solutions/products/pki/ managed-services/pki-as-a-service

Utimaco, ein weltweit führender Anbieter von IT-Sicherheitslösungen, bringt am 06. Mai 2921 Mobile Network TrustServer auf den Markt, eine skalierbare und anpassbare Lösung für die hochsichere Authentifizierung von Mobilfunkteilnehmern und die Schlüssel-vereinbarung in 3G-, 4G-und insbesondere 5G-Mobilfunknetzen. Mobile Network TrustServer erfüllt die Konformitätsanforderungen gemäß der Sicherheitsspezifikation 3GPP TS 33.501 "Sicherheitsarchitektur und -verfahren für das 5G-System".

5G als Schlüsseltechnologie und Treiber für das Internet der Dinge wird die Anzahl der vernetzten Geräte drastisch erhöhen. Mit dem großen Potenzial dieser Entwicklung steigt aber auch die Zahl potenzieller Schwachstellen und neuer Angriffsmethoden, und damit die Anforderungen an die Sicherheit. Insbesondere zwei Faktoren bestimmen das Sicherheitsbedürfnis: Viele industrielle -d.h. kritische und systemrelevante -Anwendungen basieren auf der 5G-IoT-Technologie, und die 5G-Netze selbst sind Teil nationaler kritischer Infrastrukturen und stehen daher im Fokus von Regierungen und Regulierungsbehörden.

Als "Mit CANCOM konnten wir einen international anerkannten Partner für die Vermarktung von QSEC® gewinnen, dessen Know-How bei der Einführung und Umsetzung von internationalen Projekten sich optimal mit dem Leistungsvermögen unserer Softwarelösung QSEC® ergänzt. Mit dieser Expertise können wir unsere Kunden gemeinsam optimal bei der Lösung ihrer Anforderungen unterstützen." Werner Wüpper, Geschäftsführer WMC GmbH.

Umsetzung des IT-Sicherheitsgesetzes 2.0 in der Praxis Am 24.09.2021 veranstaltet der Bundesverband IT-Sicherheit e.V. (TeleTrusT) in Berlin den jährlichen IT-Sicherheitsrechtstag, in dem die aktuelle Rechtslage bzw. Rechtsetzungsinitiativen vorgestellt und erörtert werden.

Im diesjährigen Fokus steht die praktische Umsetzung des IT-Sicherheitsgesetzes 2.0. Das IT-Sicherheitsgesetz 2.0 (ITSIG) wirft bereits jetzt eine Reihe von Fragen politischer, rechtlicher und technischer Art auf, die nach Kommentierung rufen. Der Rechtsmaterie entsprechend muss die Analyse interdisziplinär, das heißt aus rechtlichem, politischem und technischem Blickwinkel erfolgen.

Dieser Interdisziplinarität ist der Bundesverband IT-Sicherheit verpflichtet.

"Nicht nur Betreiber kritischer Infrastrukturen, sondern auch Zulieferer werden vom IT-Sicherheitsgesetz 2.0 vor neue Anforderungen gestellt. Die Änderungen sind wesentlich -und ihre Umsetzung sollte rechtzeitig angegangen werden. Beim 6. IT-Sicherheitsrechtstag befassen wir uns deshalb mit der Regulierung aus rechtlicher, aufsichtsrechtlicher und praktischer Sicht. Wir diskutieren hier sehr offen die Fragen und Erfahrungen aus der Umsetzungs-, Beratungs-und auch Prüfungspraxis." erklärt RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender und Leiter der TeleTrusT-AG "Recht".

Die Veranstaltung ist praxisnah angelegt, um jedem Interessenten die Möglichkeit zu geben, sich über die aktuelle Gesetzeslage zu informieren, die Möglichkeiten der rechtskonformen Umsetzung kennenzulernen und dabei wertvolle Kontakte zu knüpfen. Daher richtet sich die Veranstaltung an Interessierte aus Unternehmen und öffentlichen Einrichtungen und Behörden jeder Größe.

RAin Mareike Gehrmann, Taylor Wessing: "Allgemeine Einführung: IT-Sicherheitsgesetz 2.0" Isabel Münch, BSI: ""Das IT-Sicherheitsgesetz aus aufsichtsbehördlicher Sicht / Prüfschwerpunkte für KRITIS" RA Karsten U. Bartels, LL.M., HK2 RAe: "Rechtliche Herausforderungen des ITSIG 2.0 für Technologielieferanten" Armin Lehmann/Björn Huber-Puls, secunet: "Praktische Herausforderungen des ITSIG 2.0 für Technologielieferanten" Wolfgang Straßer, @-yet: "Das ITSIG 2.0 in der Anwendungspraxis am Beispiel eines Unternehmens der Automatisierungstechnik" Volker Witt/Dr. Philipp Gerlach, Hamburg Verkehrsanlagen: "Erfüllung von KRITIS-Anforderungen in der Praxis -Herausforderungen und ‚Lessons Learned' am Beispiel Lieferantenmanagement für die Verkehrssteuerungs-Infrastruktur"

Vollständiges Programm und Anmeldung: https://www.teletrust.de/... Zentraler Bestandteil der Fraunhofer Cyber Range ist eine Simulationsplattform, mit deren Hilfe die Teilnehmenden in Kleingruppen reale Angriffssituationen durchlaufen. Die Plattform unterstützt ganz unterschiedliche Angriffsszenarien und ist wie ein tatsächliches Firmen-Netzwerk gestaltet. Wie im Ernstfall haben die Teams Analysewerkzeuge zur Verfügung, müssen den Angriff damit analysieren, Hinweisen nachgehen und schließlich Gegenmaßnahmen ergreifen, um den Angriff abzuwehren. Dabei kommt es nicht nur auf das Wissen der Teilnehmenden an, sondern auch auf gute Zusammenarbeit und Kommunikation im Team. Unterschiedliche Angriffsszenarien und Übungsformen ermöglichen eine Anpassung der Trainings an den Kenntnisstand der jeweiligen Teams.

Ergänzt werden die Trainings durch Fachvorträge und Praxisdiskussionen zu einzelnen Angriffen oder besonderen Themen der Cybersicherheit. So lernen die Teilnehmenden auch aktuelle Angriffe aus den Cyber-Laboren von ATHENE kennen, und Unternehmen können ihre Trainings durch Spezialschulungen zu interessanten Themen wie dem Darknet oder der IT-Forensik ergänzen. Zusätzlich organisiert das Trainingszentrum Innovation Sessions, bei denen junge Startups neue Sicherheitswerkzeuge vorstellen.

"Obwohl sie ein noch relativ junges Konzept sind, setzen sich Simulationsplattformen weltweit als integraler Bestandteil einer umfassenden Cybersecurity-Ausbildung durch. Im Rahmen der Fraunhofer Cyber Range ermöglichen wir realistische Angriffssimulationen, die wir auch an individuelle Anforderungen sowie an den aktuellen Stand der Technik anpassen können", sagt Cyber-Range-Leiterin Dr. Haya Shulman vom Fraunhofer SIT. "Gleichzeitig erhalten die Teilnehmenden Einblicke in den Stand der Forschung. Unternehmen können so unterschiedliche Trainingsziele verfolgen, zum Beispiel den Erfahrungsstand und das Zusammenspiel junger Teams verbessern, erfahrenen Teams einen Ausblick auf die aktuellen und künftigen Angriffe und Verteidigungsmöglichkeiten geben oder die Awareness für Cybersicherheitsgefahren erhöhen." Der neuste Cyber Security Threat Radar zeigt: Die Anzahl Angriffe bewegt sich nach wie vor auf konstant hohem Niveau. Während einzelne -eher klassische -Angriffsmethoden rückläufig sind, kommen intelligente und oftmals KI-gesteuerte Vorgehensweisen vermehrt zum Einsatz. Unternehmen und Organisationen werden dadurch zusätzlich gefordert den Überblick zu behalten -die Methoden der Angreifer entwickeln sich stetig weiter.

So zählt etwa Workplace Heterogeneity inzwischen zu den grössten Herausforderungen in der IT-Sicherheit. Die sofortige Entsendung ins Homeoffice war eine der grössten Herausforderungen, die IT-und Sicherheitsabteilungen in jüngster Vergangenheit bewältigen mussten. Homeoffice sowie mobile und agile Arbeitsmodelle, wie beispielsweise "Bring your own device", bieten grosse Chancen -sie eröffnen aber auch neue Angriffsflächen. Und diese Entwicklung nutzen Angreifer gekonnt zu ihrem Vorteil aus.

Auch Angriffe mittels Einsatzes künstlicher Intelligenz, sogenannte AI-based Attacks, treten vermehrt in den Vordergrund und werden im Cyber Security Threat Radar als eine zunehmende Bedrohung eingestuft. Sie kommen beispielsweise bei gezielter Desinformation zum Einsatz, wie man sie etwa von Deepfakes kennt. So sorgte jüngst der Tiktok-Kanal «Deeptomcruise» für Furore. Auf Videos zeigte Tom Cruise Zaubertricks und spielte Golf. Der eigentliche Zaubertrick war aber das Video selbst: Denn dafür ist der Hollywoodstar für einmal nicht vor der Kamera gestanden, er wusste nicht mal davon. Es handelt sich um eine fast perfekte Fälschung, die dank künstlicher Intelligenz geschaffen worden ist. Durch sie sind Cyberkriminelle in der Lage, aus unterschiedlichsten Informationen automatisiert ein künstliches Profil zu erschaffen, das nur sehr schwer als Fälschung erkennbar ist. Welche Gegenmassnahmen Unternehmen gegen diese und andere Herausforderungen treffen können, wird im Report erläutert. 

CISOs sehen sich mit einer steigenden ‚Sicherheitsschuld' konfrontiert, um ihre Organisationen gegen die zunehmende Zahl von Angriffen durch gut gerüstete Kriminelle zu schützen. Die kriminelle Industrie ist in puncto Geschwindigkeit und eingesetzter Mittel im Vorteil. Dennoch können CISOs und ihre Abteilungen immer mehr Angriffe abwehren und so verhindern, dass es nicht noch mehr zu Sicherheitsverletzungen oder Kompromittierungen kommt, so ein am 27. April 2021 veröffentlichter Bericht des Cybersicherheitsanbieters F-Secure in Zusammenarbeit mit Omnisperience.

Ein überwältigender Prozentsatz der CISOs (96 Prozent) räumt ein, dass sie es mit einer gut organisierten, auf finanziellen Gewinn ausgerichteten kriminellen Industrie zu tun haben. Darüber hinaus sagen etwa sieben von zehn CISOs (72 Prozent), dass die Gegner schneller agieren als sie selbst. Eine ähnliche Anzahl (69 Prozent) gibt an, dass ihre Gegner ihre Angriffsmöglichkeiten in den letzten 12 bis 18 Monaten verbessert haben.

Ransomware-Angriffe sind erfolgreich und öffentlichkeitswirksam. Die Service-und Partnermodelle der Bedrohungsakteure macht Angriffe noch effektiver und macht es einfacher, mehr Angriffe gegen mehr Ziele durchzuführen. Doch "trotz dieser Tatsache sagen CISOs, dass die Anzahl der Vorfälle, zu denen ein Einbruch oder ein unbefugter Zugriff auf ein System gehört, mit denen sie konfrontiert waren, ziemlich gleich geblieben ist", sagt Michael Greaves, Sicherheitsberater für Managed Detection & Response bei F-Secure. "Das könnte daran liegen, dass die CISOs die richtigen Investitionen getätigt haben. Es sind jedoch die Vorfälle, die nicht entdeckt werden, die uns am meisten Sorgen machen. Aufgrund der Komplexität einiger dieser Angriffe verfügen Unternehmen möglicherweise nicht über die Technologie oder die Mitarbeiter, um zu erkennen, dass sie sich mitten in einer Kompromittierung befinden, die beispielsweise erst Monate später zu einem Ransomware-Einfall führen kann".

Der Bericht deckt zahlreiche Aspekte der komplexen Dilemmata ab, mit denen CISOs täglich konfrontiert sind:

Mitarbeiter sind der primäre Angriffsvektor, so 71 Prozent der befragten CISOs, da Angreifer soziale Kanäle nutzen, um immer raffiniertere gezielte Angriffe zu starten. 

der Informationstechnik | Bonn Prof. Dr. T. Petri | Bayerischer Landesbeauftragter für den Datenschutz | München Prof. Dr. A. Roßnagel | Projektgruppe verfassungsverträgliche Technikgestaltung provet) | Universität Kassel P. Schaar | Vorsitzender