Wirtschaftlich und politisch auf der Höhe der Zeit gab sich der IT-Security-Kongress, den der TÜV Rheinland zwei Tage lang in Fürstenfeldbruck bei München veranstaltete. Zu den Hauptthemen gehörte die Absicherung der sich unter dem Schlagwort Industrie 4.0 vernetzenden Unternehmen. Vor allem aber ging es um die Verzahnung von Politik und Wirtschaft.
Von Hermann Gfaller
Seit Jahrzehnten erfährt man auf IT-Security-Kongressen, dass technische Maßnahmen wie Firewalls allein keine Sicherheit garantieren und die Unternehmen meist erst aus Schaden klug werden. Und auch beim TÜV Rheinland konnten Teilnehmer in den Workshop lernen, wie man sich durch die Bewertung der Relevanz von Informationen und den Mix aus sozialen und technischen Maßnahmen auf Angriffe vorbereite.
Externe Security-Feuerwehr senkt Personalkosten
Als neuen Service stellte der TÜV-Rheinland beispielsweise die Security Incident Response Teams (SIRT) vor. Olaf Siemens, Global Vice President Information Security beschreibt den Dienst als „IT-Sicherheitsfeuerwehr“, die beim ersten Anzeichen eines Angriffs aktiv wird und rasch Gegenmaßnahmen ergreift. Diese externe Truppe erspart den Unternehmen, für selten auftretende Angriffe ständig eigenes Personal vorzuhalten.
Aktuelle IT-Security-Trends des TÜV Rheinland
In Fürstenfeldbruck hat der TÜV durch das Aufgreifen aktueller Diskussionen seinen Kongress gewürzt. In diesem Jahr thematisierten die Veranstalter auch die politische Dimension und dem Zusammenhang zwischen Sicherheit und Wohlstand im Zeitalter von Industrie 4.0. Unter anderem daraus leitete der TÜV auch aktuelle Security-Trends ab:
- Informationssicherheit in der Produktion/Industrie 4.0: Die offenen Sicherheitsfragen bremsen diesen Wachstumsbereich – zumal die Bedrohungslage sich für Industrieanlagen verschärft
- Internationalisierung/Mobilität: Die Vorstellung, es gäbe ein „Innen“ hinter der Firewall und ein „Außen“ vor der Firewall wird bei mobilen Mitarbeitern zunehmen irrelevant. Umso wichtiger wird es, den Zugang zu den Unternehmensservices und zu den Webapplikationen abzusichern.
- Cloud: Anbieter von Cloud-Services werden Transparenz und Qualitätssicherung anbieten müssen, um Vertrauen im Markt zu gewinnen – insbesondere wenn die Anbieter aus dem USA kommen oder die Cloud für unternehmenskritische Anwendungen zum Einsatz kommen soll.
- Komplexe, gezielte Angriffe: Hier ist nicht nur die Sicherheitsarchitektur zuständig, sondern die komplette Infrastruktur des Unternehmens sowie dessen Prozesse einzubeziehen. Da man nicht alles schützen kann, muss man die Gefahr akzeptieren und die bisherigen präventiven Abwehrmechanismen um Lösungen ergänzen, die den Zeitraum zwischen dem Erkennen eines Angriffs und der Behebung auf ein Minimum begrenzen.
- Ganzheitliche Informationssicherheit: Das Security Information and Event Management (SIEM) hat hier die Aufgabe die Informationen aus verschiedenen Sicherheitsystemen zu korrelieren. Hier geht es über kurz oder lang um Big-Data-Analysen.
- Kritische Infrastrukturen: In Europa sind Infrastrukturen wie Wasserwerke oder die Stromversorgung bislang nur rudimentär geschützt.
- Application Security: Noch immer spielt bei der Software-Entwicklung die Security gegenüber Funkttionalität und Performance eine nachrangige Rolle. So entstehen Lücken, die Hacker später nutzen können.
TÜV-Rheinland-Vorstand Thomas Biedermann sieht insbesondere bei Industrie 4.0 für die hiesige Wirtschaft große Wachstumschancen. Allerdings fehlten hier noch weltweite Normen und Standards für eine sichere Produktion in der Fabrik der Zukunft, sowie Regeln für schnelle und schnittstellenfreie Kommunikation. Und auch Datenschutz und Datensicherheit seien Voraussetzungen für den Erfolg von Industrie 4.0.
Zu den Highlights des TÜV-Kongresses gehörten neben dem schon obligatorischen Live-Hack die Statements von Phil Zimmerman, Erfinder der PGP-E-Mail-Verschlüsselung, die er inzwischen allerdings nicht mehr benutzt. Er beklagte, wie sehr die NSA-Aktivitäten gerade den transatlantischen Handel verunsichere und forderte dazu auf, jeder solle in seinem Land Einfluss auf die Gesetze nehmen, um derartige Aktivitäten zu unterbinden. Besonders politisch waren die Keynotes angelegt. So wurde die Veranstaltung mit Berichten aus einen Trainingscenter gegen Angriffe in Cyber-Kriegen eröffnet.
Spannend wurde es, als ein Teilnehmer fragte, ob die vom TÜV angebotenen Cloud-Zertifizierung auch Sicherheit für US-Anbieter von Security as a Service gelte. Hendrik Reese, Principal Consultant beim TÜV Rheinland antwortet ausweichend: „Da gibt es ja nur Selbstverpflichtungen und deren rechtliche Bedeutung einzuschätzen, gehört nicht zu unseren Kompetenzen.“ Er versichert aber, der TÜV prüfe, ob Behauptungen technisch und inhaltlich eingehalten würden. Hermann Gfaller/hei
Anzeige
IT-Security Guide 2014
Zum ersten Mal erstellt die isi Medien GmbH den IT-Security Guide.
Informationen und Beteiligungsmöglichkeiten erhalten Sie von Frau Charlotte Fellermeier unter: 089/ 90 48 62 23 oder per E-Mail: cfellermeier@isreport.de
