Was lange läuft, wirkt selten gut

IT-Sicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess. Brav wird diese Maxime allseits abgenickt – und dann beharrlich das seit Jahren eingespielte Security Management fortgeführt. Doch viele gängige Sicherheitslösungen sind längst nicht mehr zeitgemäß und wirken manchmal wie der Versuch, Datendiebe und Cyberspione von einem Schutzmann mit Trillerpfeife verfolgen zu lassen.

Sven Malte Sopha und Jan Graßhoff fordern angesichts dieser gefährlichen Systemtreue: „Always change a running system!“ – und erklären ab Seite 12, wie veraltete IT-Systeme nachhaltig auf Vordermann gebracht werden können. Praxisbeispiele für haarsträubende Sicherheitslücken gibt es nämlich satt.

So erläutert Marco Di Filippo, wie einfach es Hackern im IoT oft gemacht wird, sich in hochsensible Unternehmensprozesse einzuschleichen und die Kontrolle zu übernehmen (Seite 18). Auch in vernetzten Gebäuden können strukturell bedingte Schwachstellen zu unliebsamen Überraschungen führen, wie Henning von Kielpinskiauf Seite 17 ausführt. Und damit bei der bevorstehenden flächendeckenden Einführung von Smart Metering nicht ähnliche Datenlecks aufreißen, plädiert Andreas Philipp für eine konsequente Verschlüsselung der Verbraucherdaten (Seite 22).

Einen Blick auf den aktuellen Stand der Dinge zum Thema Sicherheit in der Cloud wirft Eduard Heilmayr auf Seite 16: Obwohl nach wie vor viele Unternehmen aus Sicherheitsbedenken ihren Einstieg in die Cloud hinauszögern, steigt die Nachfrage nach Cloud-basierten Security-Lösungen deutlich an. Dass ein sicherer Datenaustausch aber auch dann reibungslos funktioniert, wenn Unternehmen die Kontrolle über ihre Daten physisch behalten möchten, demonstriert Geert-Jan Gorter ab Seite 8. Er präsentiert mit der Initiative „IndustrialData Space“ ein dezentralisiertes Datenökosystem, das eine flexible Infrastruktur für digitale Geschäftsmodelle zur Verfügung stellt.

Warum klassische Access-Lösungen für zeitgemäße Kundenzugangssysteme nicht flexibel genug sind, beschreibt Dr. Martin Burkhart ab Seite 6. Consumer-taugliche Login-Routinen behalten neben Sicherheitsaspekten auch die Benutzerfreundlichkeit im Auge.

Zum Abschluss erklärt Marius Brüggemann ab Seite 24, dass ein zertifiziertes Information Security Management System (ISMS) alle sicherheitsrelevanten Faktoren im Unternehmen bündeln, für Compliance-sicher nachvollziehbare Abläufe sorgen und bestehende Managementstrukturen sinnvoll koordinieren kann. Seine Empfehlung, welches der unterschiedlich dimensionierten ISMS-Regelwerke für mittelständische Unternehmen am besten geeignet ist, sollte dann endlich Mut machen, den Schutzmann durch ein schlagkräftiges Einsatzkommando zu ersetzen.

Quelle: Security Solutions 1/2016 in c’t 20/2016

Matomo