Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
IIoT, Mobilgeräte und Cloud Security im Mittelpunkt der RSAC 2017
Die RSA Conference (RSAC) ist regelmäßig ein Highlight im Kalender der IT-Sicherheitsbranche. Ausgehend von der Rekordteilnehmerzahl von 43.000 Fachbesuchern war dieses Jahr da keine Ausnahme.
Der RSA Conference ist seit ihren bescheidenen Anfängen in den frühen 1990er Jahren eine erfolgreiche Expansion gelungen. Sie entwickelte sich von einer kleinen Messe für Kryptographie zum unangefochtenen Spitzenreiter unter den internationalen Fachkongressen zur IT-Sicherheit.
Dadurch, dass großen Entwicklungstrends im Bereich Cybersecurity stets spezielle Vorträge und Veranstaltungsreihen gewidmet werden, ist die Veranstaltung mittlerweile ein Muss für jeden, der etwas in der IT-Sicherheitsbranche darstellt.
Ganz oben auf der Agenda der diesjährigen Veranstaltung, die vom 13. bis 17. Februar in San Francisco stattfand, standen Dauerfavoriten wie Bedrohungen durch Phishing und Ransomware.
Allerdings gab es auch neuere Themen, die die Aufmerksamkeit auf sich zogen: etwa die Sicherheit beim Industrial Internet of Things (IIoT) / Machine-to-Machine (M2M) oder die Bedrohungen und Schwachstellen im Zusammenhang mit Mobile Clients und Cloud. Alle drei Themen sind für NCP von zentraler Bedeutung.
NCP verfolgt die wichtigsten Trends in diesen Bereichen und hat zu zahlreichen Anlässen darüber gebloggt, wie Remote Access zu IIoT, Mobilgeräten und Cloud-Anwendungen am besten gesichert werden kann.
Bei der RSAC 2017 wurden die neuesten Entwicklungen in sämtlichen dieser Bereiche präsentiert. Einige der wichtigsten Highlights waren:
Zum ersten Mal gab es in diesem Jahr einen speziellen Konferenz-Track eigens für das Internet of Things beziehungsweise das Industrial Internet of Things.
Etliche Anbieter und Industrieverbände warnten vor IIoT-Schwachstellen und boten Live-Demonstrationen von Exploits beim Angriff auf industrielle Geräte, wie beispielsweise medizinische Geräte oder Solarmodule.
Eine der bemerkenswertesten dabei kam vom IBM-Team für Penetrationstests. Nach der letztjährigen Demonstration, bei der gezeigt wurde, wie IIoT missbraucht werden kann, um ein Auto von der Straße zu drängen, beschloss die IBM-Gruppe, diesmal einen Schritt weiterzugehen.
Es wurde gezeigt, dass die IoT-Geräte in den Fahrzeugen per Remote Access von den ursprünglichen Eigentümern gesteuert werden könnten, und zwar noch lange, nachdem diese die Fahrzeuge schon verkauft haben.
Bis jetzt hat kein Unternehmen ein größeres Sicherheitsproblem gemeldet, das durch ein Smartphone verursacht wurde. Allerdings bestand unter den Experten auf der RSAC 2017 der Konsens, dass die Bedrohung durch Mobilgeräte zunimmt und dass CISOs auf das Unvermeidliche vorbereitet sein sollten.
Die Schwachstellen bei Android sind gut dokumentiert. Tatsächlich nimmt Google die Bedrohung so ernst, dass das Unternehmen den Leiter von Androids Sicherheitsabteilung, Adrian Ludwig, auf die Bühne schickte, um die Bedrohung durch Bugs wie die Sicherheitslücken Stagefright, Masterkey und Fake ID zu verharmlosen.
Auch Apple ist nicht gegen Schwachstellen gefeit. Die erste kommerzielle Malware sollte im Jahr 2015 im App Store entdeckt werden. Im Anschluss folgte die Entdeckung eines Zero-Day-Exploits bei iOS im Jahr 2016.
Ein im Verlauf der Veranstaltung herausgegebener Bericht behauptete, die Cloud-Nutzung in Unternehmen habe Rekordwerte erreicht, wobei die Verwendung von individuellen Apps drastisch zunehme.
Die Studie zeigte, dass Unternehmen in der Regel 464 individuelle Applikationen verwenden. Jedoch wissen die IT-Abteilungen lediglich von 38,4 Prozent dieser Anwendungen.
An anderer Stelle waren die Meinungen hinsichtlich Cloud gespalten. Der frühere Chef der U.S. National Security Agency (NSA) General Keith Alexander sprach darüber, inwiefern die Cloud in Unternehmen aller Größenordnungen zur allgemeinen Verteidigung beitragen kann. Analyst Torsten Volk von Enterprise Management Associates warnte vor „den vier Reitern“ im Zusammenhang mit dem Ausfall der Hybrid Cloud: einen Fehler machen, auf dem Fehler sitzenbleiben, die Auswirkungen des Fehlers nicht bemerken und nicht verstehen, was der Fehler für das Unternehmen bedeutet.
Elemente einer sicheren Cloud verfügen über Flexibilität, On-Demand-Skalierbarkeit und Transparenz.
Weitere Eigenschaften sind Einfachheit bei der Einrichtung, sodass die verschiedenen Cloud-Komponenten harmonisch zusammenarbeiten, Benutzerfreundlichkeit, Plug-and-Play-Unterstützung sowie die Automatisierung von unwesentlichen Aufgaben.
Eine der besten Möglichkeiten zur Reaktion auf Sicherheitsbedenken in Verbindung mit IIoT, Mobilgeräten und Cloud ist die Verwendung von Software für Virtual Private Networks (VPNs).
VPNs sichern Daten dort, wo sie am verwundbarsten sind. Sie sichern Verbindungspunkte mit dem Internet, fügen sich nahtlos in interne Systeme ein und verschlüsseln den Datenverkehr, der zwischen ihnen und externen Adressen beziehungsweise individuellen Geräten fließt.
- IIoT - Die Installation eines VPN an einem IIoT Remote Gateway ermöglicht Unternehmen den On-Demand- oder Always-On-Zugriff auf Smart Devices. Für eine tiefer gehende Verteidigung ist die Verwaltung externer Geräte auch mittels Kommandozeilen- oder API-Steuerung möglich.
- Mobilgeräte - Ein sicherer VPN-Client sorgt für den Schutz mobiler Daten durch Verschlüsselung und Routing der Informationen über eine sichere IP-Adresse. Dadurch ist gewährleistet, dass mobile Daten selbst dann geheim bleiben, wenn die Internetverbindung über einen ungesicherten öffentlichen WLAN-Hotspot – beispielsweise am Flughafen oder im Coffee Shop – aufgebaut wird.
- Cloud - VPN ist eine wirksame Methode zum Schutz der Cloud-Daten. Das VPN errichtet einen verschlüsselten Tunnel zum Schutz und zur zentralen Verwaltung mobiler Daten, die sich zwischen internen Systemen und in der Cloud gehosteten Remote-Applikationen bewegen.
Die wichtigste Information von der RSAC 2017: Maßgebliche technologische Trends wie Cloud, IIoT und Endpoint Security von Mobilgeräten können Sicherheitsschwachstellen verursachen. NCP ist jedoch hervorragend aufgestellt, um Kunden, die sich gegen solche Schwachstellen schützen wollen, bei der Suche nach Möglichkeiten zu unterstützen.
NCPs umfangreiche Erfahrung bei der Verwirklichung von Projekten im Bereich Industrial Internet of Things (IIoT), in Deutschland als Industrie 4.0 bekannt, ist ein Vorteil auf dem amerikanischen Markt, wo IIoT noch in den Anfängen steckt.
Die langjährigen Beziehungen NCPs zu führenden US-Technologiepartnern, dazu die Reputation für herausragendes Engineering auf dem deutschen Markt sowie ein Fundament in einer Sicherheitskultur, die Anbieter nicht dazu zwingt, der Regierung ihre Quellcodes offenzulegen: Dies alles machte NCPs Erfolg auf der RSAC aus.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.