Die Grundlage für eine umfassende und nachhaltige Informationssicherheit bildet ein sogenanntes Information Security Management System (ISMS), in dem Organisation, Rollen und Verantwortlichkeiten sowie ein Richtlinienapparat für die Informationssicherheit festgelegt werden.

Hierzu gehören auch Prozesse zur Erstellung, Umsetzung und Pflege von Sicherheitskonzepten sowie zur Erkennung und Behandlung von Sicherheitsvorfällen und Schwachstellen. Ein ISMS hat also einen erheblichen operativen Anteil (Security Operations, kurz: SecOps). Typischerweise werden diese operativen Elemente der Informationssicherheit als spezieller kontinuierlicher Verbesserungsprozess (KVP, engl. Continuous Improvement Process) realisiert.

Sie wollen den kompletten Artikel lesen? Dann melden Sie sich jetzt zum ComConsult Informationsservice an.

Traditionelle Zonenkonzepte, bei denen Sicherheitszonen (kurz: Zonen) meist auf Ebene des Netzwerks mit den Mitteln von VLANs und ggf. Virtual Routing and Forwarding (VRF) geschaffen und die Kommunikation von und zu Zonen mit Firewall-Techniken kontrolliert werden, haben bauartbedingte Probleme. Zunächst erfordert der Umzug eines Systems von einer Zone in eine andere Zone eine Änderung der IP-Adresse. Nur kann eine solche Änderung erhebliche Seiteneffekte haben. Beispielsweise würden Anwendungen, die statt des Namens direkt die IP-Adresse eines IT-Systems (z.B. eines Servers), mit dem sie kommunizieren wollen, verwenden, nach dem Umzug zunächst nicht mehr funktionieren. Daher sind solche Änderungen mit erheblicher Vorsicht durchzuführen, was dazu führt, dass die Umsetzung eines Zonenkonzepts meist als ein langfristig angelegtes strategisches Vorhaben zu sehen ist. Außerdem lassen sich mit VLANs und VRF zwar große Zonen im RZ oder flächendeckend im Campusbereich schaffen, sobald jedoch viele kleine Zonen notwendig sind oder mit einer gewissen Dynamik Zonen neu geschaffen bzw. entfernt werden sollen, sind die Grenzen einer Betreibbarkeit eines traditionellen Zonenkonzepts schnell erreicht.

Das letzte Jahr ist für die Welt der Microsoft Cloud nicht gut zu Ende gegangen und das neue Jahr hat auch nicht gut begonnen. Microsoft meldet seit geraumer Zeit für verschiedenste Cloud-Dienste von Office 365 bis zu Azure immer wieder Verfügbarkeitsprobleme. Um ein paar Beispiele zu nennen: Mal funktioniert der Cloud-Speicher für mehrere Stunden nicht, Skype und E-Mail gehen nicht, die Anmeldung an allen möglichen Diensten klappt über einen längeren Zeitraum nicht und als GAU wurde jetzt kürzlich ein Datenverlust bei Azure SQL-Datenbanken gemeldet

Umgang mit zielgerichteten Angriffen 

• Wie zielgerichtete Angriffe bzw. Advanced Persisten Threats (APTs) funktionieren und welche Bedrohungen davon ausgehen 
• Welche Angriffsmethoden werden genutzt und wie sieht ein typischer Werkzeugkasten eines Angreifers aus? 
• Analyse von bekannten Angriffen: Warum sind system-und anwendungsübergreifende Strategien notwendig? 
• Wie können Symptome von Angriffen erkannt werden und welche Rolle spielen Protokollierung, 2nd Generation SIEM und Big Data? 
• Sicherheitsgateways im Netzwerk zur Abwehr von Angriffen 
• Notwendigkeit einer effektiven und effizienten operativen Informationssicherheit  
• Entscheidende Grundlage: Security by Design 
• Bedeutung eines Information Security Management System (ISMS) für den Umgang mit zielgerichteten Angriffe 
• Sensibilisierung der Nutzer und Administratoren 

Elemente der operativen Informationssicherheit 

• Anforderungen in Standards: ISO 27001 und BSI IT-Grundschutz-Kompendium 
• Wie unterscheiden sich spezielle Bereiche wie z.B. Industrial IT und gibt es besondere Anforderungen für Kritis-Bereiche? 
• Aufbau eines Security Operation Center (SOC) 
• Prozesse der operativen Informationssicherheit 
• Systematisches Schwachstellen-Management und zugehöriger Werkzeugkasten 
• Integration der operativen Informationssicherheit in den Lebenszyklus von IT-Komponenten 
• Security Testing und Penetration Testing 
• Kernelement Security Incident Management / Prozess zur Behandlung von Sicherheitsvorfällen 
• Von Change Management über das Incident Management bis zum Notfallmanagement: Schnittstellen zu IT-Prozessen 
• Ohne Risikomanagement geht es nicht 

Schwachstellen-Scanner und Angriffswerkzeuge 

• Wie Schwachstellen-Scanner funktionieren und welche Möglichkeiten sie bieten 
• Scanning auf Netzwerk-, Betriebssystem- und Anwendungsebene 
• Scanning und Security Testing von Web-Anwendungen und Web-Services 
• Compliance Checks: Möglichkeiten und Grenzen 
• Produktbeispiele: Nessus, OpenVAS, Burp, ZAP und andere Werkzeuge 
• Automatisiertes Schwachstellen-Scanning 
• Integration von Schwachstellen-Scannern in internes Netz und in den DMZ-Bereich 
• Risiken beim Schwachstellen-Scanning und Penetration Testing 
• Datenschutzaspekte 
• Welche Anforderungen an Security Scans und Tests gibt es in Standards zur Informationssicherheit? 
• Elemente eines Konzepts für Schwachstellen-Scanning, Security Testing und Penetration Testing 
• Festlegung von Scan-Zielen und Vorgaben zu Scan-Methode, Testtiefe, Testfrequenz 
• Auswertung von Scan- bzw. Testergebnissen und zugehöriges Berichtswesen 

Security Information and Event Management (SIEM) 

• Architektur, Funktionsweise von SIEM-Lösungen und Abgrenzung zu Log Management 
• Welchen Mehrwert bietet ein SIEM für den Nutzer? 
• Typische Anforderungen an eine SIEM-Lösung 
• Wie funktioniert die Anbindung der IT an ein SIEM? 
• Schnittstellen zu Ticketing-Systemen und Systemen der operativen Informationssicherheit 
• Wie funktioniert eine anwendungs- und systemübergreifende die Erkennung von Anomalien und Angriffen? 
• Besondere Bedeutung von Künstlicher Intelligenz 
• SIEM as a Service und Managed SIEM: Betriebsformen, Möglichkeiten und Grenzen des Outsourcing 
• Welche Produkte sind am Markt verfügbar und was leisten sie? 
• Ist ein SIEM nur passiv oder könnte auch aktiv und selbständig ein Sicherheitsvorfall beseitigt werden? 
• Prozesse, typische Organisationsformen und notwendige Kompetenzen für Betrieb und Nutzung eines SIEM 
• Datenschutz und Risiken: Worauf ist beim Betrieb eines SIEM zu achten? 

Automatisierte Abwehr von Angriffen und anderen Sicherheitsvorfällen  

• Network Access Control (NAC): Einsatz von Profiling-Techniken 
• Next Generation NAC und Compliance Checks 
• Dynamische Netzsegmentierung: SDN-basierte Konzepte, Mikrosegmentierung mit VMware NSX und Cisco SDA 
• Interaktion zwischen Sicherheitskomponenten zur Erkennung und Abwehr von Angriffen 
• User and Entity Behavior Analytics in Verbindung mit dynamischen Policies auf Sicherheitskomponenten 
• Beispiele Cisco Tetration und Aruba Introspect 
• Auslösen von Aktionen auf Sicherheitskomponenten durch ein SIEM 

Praxisdemonstrationen 

• KI zur Erkennung von Malware, Spam- und Phishing-Mails und Angriffsmustern in Netzwerken
• KI zur automatisierten Klassifikation von Daten für Data Loss Prevention (DLP)
• KI zur Schwachstellenanalyse und zur Fehlersuche in Diensten und Anwendungen mit Code-Analysen und Blackbox-Tests auf Schnittstellenbasis
• Kehrseite der Medaille: KI als Angriffswerkzeuge
• Systematische Ausnutzung von Fehlern in einer KI und Provokation von Fehlentscheidungen einer KI
• Notwendigkeit von Sicherheitskonzepten für KI

Künstliche Intelligenz (KI) ist inzwischen an vielen Stellen ein fester Bestandteil unseres Alltags und zu einem Grundbestandteil von einer Vielzahl von Diensten und Anwendungen geworden. Beispiele sind sprachbasierte Assistenzsysteme wie Amazon Echo (bzw. Alexa), Sprachübersetzungen z.B. mit dem Google Übersetzer und Chat Bots, die automatisiert Nutzeranfragen beantworten. Autonomes Fahren im Straßenverkehr ist ohne KI zur Erkennung der Umwelt undenkbar. Fehlentscheidungen einer KI könnten hier jedoch höchst gefährliche Konsequenzen haben.

KI ist daher ohne Zweifel in vielen Bereichen auch mit Risiken verbunden. Um diese Risiken einschätzen zu können, betrachten wir zunächst kurz die Techniken, die bei KI zum Einsatz kommen, und untersuchen dann Beispiele für aktuelle Anwendungsbereiche insbesondere in der Informationssicherheit genauer. Es wird sich dabei zwar zeigen, dass KI ausgesprochen erstaunliche Potentiale, jedoch auch höchst interessante Nebenwirkungen haben kann und neue Angriffsvektoren ermöglicht. Daher muss überlegt werden, welche Sicherheitsmaßnahmen hier erforderlich und nach dem aktuellen Stand der Entwicklung auch möglich sind.

Die Arbeit in der operativen Informationssicherheit ist neben der nachhaltigen Umsetzung von Sicherheitsmaßnahmen wie Virenschutz, Firewalling und Co. geprägt vom Management von Schwachstellen und Sicherheitsvorfällen, die oft ihre Ursache in Fehlern in einer Software oder (Spectre lässt grüßen) auch auf Hardware-Ebene haben. Wenn eine Schwachstelle nicht schnell genug gepatcht werden kann, bleibt der Informationssicherheit oft nur eine Risikominderung durch manchmal sehr aufwändige alternative Maßnahmen, wie z.B. die Trennung der Systeme in eine eigene Sicherheitszone hinter einer Firewall in Verbindung mit der Analyse des Kommunikationsverkehrs hinsichtlich Anomalien über Intrusion Prevention auf der Firewall.

• KI zur Erkennung von Malware, Spam- und Phishing-Mails, Angriffsmustern in Netzwerken
• KI zur automatisierten Klassifikation von Daten für Data Loss Prevention (DLP)
• KI zur Schwachstellenanalyse und zur Fehlersuche in Diensten und Anwendungen mit Code-Analysen und Blackbox-Tests auf Schnittstellenbasis
• Kehrseite der Medaille: KI als Angriffswerkzeuge
• Systematische Ausnutzung von Fehlern in einer KI und Provokation von Fehlentscheidungen einer KI
• Notwendigkeit von Sicherheitskonzepten für KI

Ein Kernelement der operativen Informationssicherheit ist das effiziente und effektive Management von Schwachstellen und Sicherheitsvorfällen.

Wir benötigen hierzu eine zentrale Stelle an der sicherheitsrelevante Informationen und Ereignisse zusammenlaufen, protokolliert und in Echtzeit analysiert werden. Hier sollten auch Schwachstellen in der IT systematisch erfasst und in die Analyse mit einbezogen werden. Dabei sollte auch die Information vorliegen, welche Risiken hinsichtlich der Informationssicherheit bestehen, welche Sicherheitsmaßnahmen umzusetzen sind und wie der Umsetzungsstatus ist. Bei Feststellung von Sicherheitsvorfällen kann von dieser zentralen Stelle aus unmittelbar reagiert werden, Sofortmaßnahmen können eingeleitet werden und im Nachgang auf Basis des gesammelten Datenmaterials können forensische Analysen durchgeführt werden.

Die Netzsegmentierung ist eine klassische Maßnahme der Informationssicherheit, die seit Jahren in entsprechenden Standards verankert ist und inzwischen in vielen IT-Infrastrukturen umgesetzt wird. Der Standard ISO 27001 fordert in der aktuellen deutschen Fassung von 2015 in Maßnahme A 13.1.3: „Informationsdienste, Benutzer und Informationssysteme werden in Netzwerken gruppenweise voneinander getrennt gehalten“. Dies gilt dann nicht nur für die Trennung des internen Netzes von Außenanbindungen (insbesondere der Internet-Anbindung), sondern auch für die Segmentierung des internen Netzes selbst.

Ohne Zweifel: Wir befinden uns im Jahrhundert der Künstlichen Intelligenz (KI).

KI ist inzwischen an vielen Stellen fester Bestandteil unseres Alltags und zu einem Grundbestandteil von einer Vielzahl von Diensten und Anwendungen geworden. Beispiele sind sprachbasierte Assistenzsysteme wie Amazon Echo (bzw. Alexa), Gesichtserkennung zur Authentisierung z.B. mit Face ID am iPhone, Sprachübersetzungen z.B. mit dem Google Übersetzer und Chat Bots, die automatisiert Nutzeranfragen beantworten. Interaktionen der Form „Alexa, bin zuhause, mach Licht und die Klimaanlage an und bestell mir meine Lieblingspizza.“ wären vor einigen Jahren noch Science Fiction gewesen.

Weiterlesen »

Je mächtiger die Berechtigungen eines Nutzers für den Zugriff auf IT-Systeme oder Anwendungen ist, desto wichtiger ist die Absicherung solcher Zugriffe. Dies gilt insbesondere für administrative Zugriffe auf IT-Komponenten und erfordert einen umfassen spezifischen Maßnahmenkatalog, der sich verschiedenster Techniken der Informationssicherheit von Sicherheitszonen, Firewall-Techniken über Authentisierung & Autorisierung bis hin zur Protokollierung und Verhaltensanalyse bedient. Dieser Artikel beschreibt die Techniken, die sich dabei als Best Practice in verschiedensten IT-Infrastrukturen bewährt haben.

Der Netzwerk Insider gehört mit seinen mittlerweile über 15.000 eingetragenen Lesern zu einem der führenden deutschen Technologie-Magazine. Er vertritt die Sichtweise von Technologie-Anwendern und bewertet Produkte und Technologien im Sinne der wirtschaftlichen und erfolgreichen Umsetzbarkeit in der täglichen Praxis. Durch seine strenge wirtschaftliche Unabhängigkeit (keine Hersteller-Anzeigen) kann er es sich leisten, Schwachstellen und Nachteile offen anzusprechen. Der Netzwerk-Insider ist bekannt für seine kritische, herstellerneutrale und fundierte Technologie-Bewertung.
Der Netzwerk Insider ist Bestandteil des ComConsult Research Informationsservice.

Für den Download füllen Sie bitte folgendes Formular aus:

Seminare

Die ComConsult Akademie bietet Ihnen Seminare mit dem Wissen erfahrener Praktiker, auf höchstem Niveau mit vielen Tipps und Tricks, die in keinem Lehrbuch stehen. Dazu umfangreiches Lehrmaterial und viele Anregungen für die Nachbearbeitung zu Hause. Die ComConsult-Berater und herausragenden Spezialisten vergleichen Technologien und Produkte herstellerneutral und geben umsetzbare Empfehlungen. Aus diesem Grund sind unsere Seminare inzwischen im deutschsprachigen Raum anerkannt und werden von den Unternehmen als Qualifikationsnachweis angesehen.

Kongresse

Die ComConsult Kongresse richten sich sowohl an den Einsteiger als auch an den Experten und bieten pro Themenbereich jedes Jahr die Möglichkeit des Erfahrungsaustausches und der Weiterbildung. ComConsult Kongresse sind zentrale Treffpunkte für ausgewählte, hochaktuelle Netzwerk-Technologien und Aufgabenstellungen um das Netzwerk herum. Sie sind seit vielen Jahren ein fester Bestandteil unseres Veranstaltungsprogramms. In der Regel wird jeder Kongress von einer repräsentativen Ausstellung begleitet, in der die darzubietende Technik Vorrang vor dem Marketing hat. Wegen der hohen Dynamik der jeweiligen Themen stellen wir für Sie das Programm brandaktuell erst wenige Wochen vor Veranstaltungsbeginn zusammen.

Videos

ComConsult-Study.tv ist mit seiner Gründung im Jahr 2009 das jüngste Unternehmen der ComConsult Research. ComConsult-Study.tv bietet mit seinem breit gefächerten Angebot an Video-Trainingsmodulen die ideale Ergänzung zum bestehenden Portfolio der ComConsult Akademie mit ihren bewährten Präsenz-Veranstaltungen und den Produkt- und Technologie-Analysen aus dem Testlabor der ComConsult Research GmbH.
In rund 250 Videobeiträgen werden IT-Techniken anschaulich vorgestellt, Trends analysiert und Prognosen zur Marktentwicklung gegeben. Neben klassischen IT-Techniken wie UC, Rechenzentrum und Sicherheit werden auch Themen behandelt, die über das reine Fachwissen hinausgehen. So gibt es Schulungen zur Präsentationstechnik, Fotografie für PR und Marketing und Empfehlungen für einen erfolgreichen Webauftritt. Monatlich kommen weitere, aktuelle Videos hinzu. Mit dem Abo bleiben Sie immer auf dem aktuellen Stand.

Technologie-Reports

Mit den Technologie-Reports hat ComConsult Research eine wichtige Ergänzung zu unseren Präsenzseminaren geschaffen. Die Reports bieten Ihnen eingehende Analysen aktueller Technologien und technologischer Entwicklungen. Diese Form ermöglicht dabei sowohl die präzise und detaillierte Beschreibung von Grundlagen, Protokollen und Standards als auch eine intensive Auseinandersetzung mit den Vor- und Nachteilen der beschriebenen Techniken und Produkte anhand praxisnaher Beispiele.

ComConsult Research Informationsservice

Unser Informationsservice informiert Sie regelmäßig per E-Mail und per Post über aktuelle Entwicklungen in der IT-Branche und über unsere Veranstaltungen und Neuerscheinungen. Der Service umfasst unser monatliches Magazin „Der Netzwerk Insider“, sowie regelmäßigen E-Mails über unser aktuelles Produktangebot. Darüber hinaus senden wir Ihnen im Bedarfsfall unsere Technologie-Standpunkte und Technologie-Warnungen zu aktuellen Entwicklungen zu. Die Teilnahme am ComConsult Research Informationsservice CRI erfordert eine Anmeldung.

Je mächtiger die Berechtigungen eines Nutzers für den Zugriff auf IT-Systeme oder Anwendungen ist, desto wichtiger ist die Absicherung solcher Zugriffe. Dies gilt insbesondere für administrative Zugriffe auf IT-Komponenten und erfordert einen umfassen spezifischen Maßnahmenkatalog, der sich verschiedenster Techniken der Informationssicherheit von Sicherheitszonen, Firewall-Techniken über Authentisierung & Autorisierung bis hin zur Protokollierung und Verhaltensanalyse bedient.

Dieser Artikel beschreibt die Techniken, die sich dabei als Best Practice in verschiedensten IT-Infrastrukturen bewährt haben.

Es scheint kaum noch eine Gerätekategorie zu geben, die von der allgegenwärtigen „Smartifizierung“ nicht betroffen ist. Alles wird smart: Spielzeuge, Fernseher, Kühlschränke, Heizungen, Staubsauger, Kameras, Uhren, Glühbirnen, Lichtschalter, Türschlösser, Fahrzeuge usw. sind Bestandteil des Internet of Things (IoT), werden also über das Internet vernetzt und können z.B. über das eigene Smartphone per Cloud-Dienst abgefragt und gesteuert werden.

Bereits in der Mitte des vergangenen Jahres konnte man durchaus schon ahnen, dass sich etwas im Dunstkreis der Informationssicherheit moderner Prozessoren zusammenbraut, wenn man die News-Ticker genauer verfolgt hat. Hier gab es Veröffentlichungen, die sich damit beschäftigten, wie man Seitenkanalangriffe auf gewisse Funktionen moderner Prozessoren, die letztendlich die strikte Trennung des Speichers zwischen Prozessen aufweichen, verhindern kann.

• Wie wichtig ist Netzwerk-Sicherheit für die Gesamt-Sicherheit?
• Wer sollte die Planungs- und die Betriebs-Hoheit haben?
• Haben wir hiermit eine Neupositionierung der Bedeutung von Netzwerken??

• Besondere Gefahr durch Angriffe auf Administrations-Schnittstellen
• Problem: Unsichere Management-Protokolle und Schwachstellen in Managementsystemen
• Was fordern anerkannte Standards?
• Aufbau von sicheren Management-Umgebungen
• Sicherer Fernzugriff für Wartung und Administration
• Integration von Monitoring, Protokollierung und SIEM
• Protokollierung von administrativen Zugriffen

Die IT hat ein grundlegendes, eingebautes und natürlich seit Jahrzehnten bekanntes Dilemma: Ohne mächtige Administratoren und ebenso mächtige Werkzeuge gibt es einerseits keine funktionstüchtige IT, andererseits können eben diese Administratoren und Werkzeuge innerhalb von kürzester Zeit die komplette IT lahmlegen oder kritische Daten kompromittieren und einen erheblichen Schaden für die betroffene Institution verursachen. Vielleicht erinnern Sie sich an den Film Jurassic Park von 1993. Hier war es ein IT-Administrator, der die IT sabotierte, um Dinosaurier-Embryonen zu stehlen, und dabei als Kollateralschaden letztendlich die gefährlichen Dinosaurier frei gelassen hat. Diese Problematik ist bis heute aktuell.

Die üblichen Angriffe, mit denen wir tagtäglich zu kämpfen haben, folgen oft einem einheitlichen Muster, bei dem der Virenschutz eine ganz entscheidende Rolle spielt: Es beginnt z.B. mit einer E-Mail, die einen Anhang (z.B. eine PDF-Datei) enthält, in dem auf trickreiche Art und Weise ein ausführbarer Code verborgen ist [1]. Wenn der Nutzer den Anhang öffnet, wird der Code ausgeführt und infiziert den PC des Nutzers.

Weiterlesen »

„Eine solide Verschlüsselung der Daten ist das A und O bei der Nutzung von Cloud-basierten Diensten.“

Sollte Ihnen dieser Anfang des Artikels irgendwie bekannt vorkommen, ist es kein Wunder, denn vor ziemlich genau vier Jahren hatte ich mich im September 2013 mit dem Thema Verschlüsselung in der Cloud schon einmal auseinandergesetzt, letztendlich mit der pessimistischen Feststellung, dass die Public Cloud für Daten mit erhöhtem Schutzbedarf hinsichtlich Vertraulichkeit und/oder Integrität eigentlich nicht in Frage kommt. Inzwischen habe sich aber einigen Stellen entscheidende Dinge getan!