AdNovum Security Update 2014 Sicherheit in der Extended Enterprise

IT-Sicherheit ist zunehmend Gegenstand von Medienberichten. Welches sind typische Angriffspunkte und -szenarien? Wie können Unternehmen sich und uns besser schützen? Dies war das Thema am Medienanlass „Security Update“ von AdNovum am 3. März 2014.

Die durch Snowden aufgedeckte NSA-Affäre war letztes Jahr das dominante IT-Sicherheits-Thema in den Medien. Die täglichen Angriffe auf IT-Systeme wurden dadurch fast überschattet. Obwohl die Geheimdienst-Aktivitäten Insider kaum überraschen, erstaunte doch deren Umfang und kompromisslose Anwendung. Als Haupterkenntnis aus der Affäre lässt sich feststellen, dass Insider-Attacken (wie diejenige durch Snowden selber) verheerende Auswirkungen haben können und dass die Bedrohungsmodelle in der IT Security bisher wohl zu optimistisch waren. Denn bisher ging man frohen Mutes davon aus, dass Standardisierungsgremien, Staaten und Hersteller im Allgemeinen vertrauenswürdige Akteure seien. Diese Annahme hat sich mittlerweile als falsch herausgestellt. Ein Beispiel für eine Schwächung von IT-Standards und IT-Produkten ist der erst letzte Woche bekannt gewordene “gotofail”-Fehler bei Apple. Unabhängig davon, ob ein solcher Fehler im Auftrag eines Geheimdienstes gemacht wurde oder versehentlich entstand, er wird über kurz oder lang bekannt und auch von unlauteren Akteuren genutzt werden.

Extended Enterprise

Wie stellt sich denn heute die Bedrohungssituation für Unternehmen dar und wie können sie sich schützen? Während Unternehmen früher mehr oder weniger in sich geschlossene Organisationen mit klar definierten Schnittstellen gegen aussen waren, sind heute in der Regel Partner, Broker, Kunden, Supplier und sogar Konkurrenten direkt in die Geschäftsprozesse involviert. Man spricht hier auch von der Extended Enterprise (vgl. Tim Cole, Unternehmen 2020. Hanser, München/Wien 2010). In der Zusammenarbeit mit diesen Stakeholders werden sowohl sensitive Daten nach aussen gereicht wie auch Daten ins Unternehmen zurückgespiesen, die kontaminiert sein können.

 

Das Aufbrechen des traditionellen Security-Perimeters eines Unternehmens hat Konsequenzen für die Gestaltung der Sicherheitsmassnahmen. Es reicht nicht mehr, einen Schutzwall um das Unternehmen zu bauen und die Tore zu bewachen. Vielmehr ist die Schildwache am Tor durch Patrouillengänge im Innern zu ergänzen. Mit anderen Worten: Massnahmen für die ‘innere’ Sicherheit in der Unternehmung wie Intrusion Detection und Anomalie-Erkennung gewinnen zunehmend an Bedeutung. Parallel dazu wird auch die Security-Einbindung externer Akteure z.B. über Identity Federation, IAM as a Service oder Trust Delegation immer wichtiger. Sensitive Daten wie Passwörter oder Kreditkarteninformationen werden heute dezentral in diversen Applikationen und bei diversen Organisationen gehalten und können über undichte Stellen, Datendiebstahl oder Profiling in die falschen Hände geraten.

Sicherer Umgang mit Identitätsdaten

stephanie_stroka_sec_update_2014
Zoom
Informatik-Ingenieurin Stephanie Stroka erläutert die Funktionsweise
von OAuth.

Für einen sicheren Umgang mit Identitätsdaten existieren technische Lösungsansätze wie z.B. Privacy by Design, Life Management Platforms und Records Management. Letztlich heisst das, dass heute nicht mehr nur Geräte, Orte, Applikationen und Unternehmen geschützt werden müssen, sondern auch direkt die sensitiven Daten.

 

Wie ein solcher Schutz aussehen könnte, zeigte Informatik-Ingenieurin Stephanie Stroka in einer Live-Demonstration des OAuth-2.0-Protokolls für Open Authorization. Dieser IETF-Standard ist ein freies und offenes Protokoll, mit dem einer Drittpartei sicher Zugriff zu Web-Ressourcen gewährt werden kann, ohne dafür ein Passwort freigeben oder sich registrieren zu müssen.