die sechste Security Forenreihe fand in diesem Jahr ganz im Zeichen der Fußball Weltmeisterschaft statt. Als Veranstaltungsorte wurden die Business-Lounges der WM Stadien von 2006 in Frankfurt, Hannover und München ausgewählt. Um ein perfektes WM Gefühl zu erreichen, wurde überall „Public Viewing“ von WM Spielen in die Veranstaltungen eingebaut. Ziel der Foren war natürlich, wie in jedem Jahr, den Teilnehmern einen entscheidenden Vorsprung in der IT Sicherheit, durch die Präsentation aktueller Angriffsszenarien und der entsprechenden Lösungen dafür, zu verschaffen. Also das entscheidende 1:0 für die IT-Sicherheit.
Während eines solchen Großereignisses, wie die diesjährige Fußball-Weltmeisterschaft in Südafrika, meint man manchmal die Zeit steht still und alles dreht sich für fünf Wochen nur noch um Fußball. Das ist allerdings nicht so, denn die Angreifer auf die kritischen Daten von Unternehmen, Behörden und Organisationen kennen keine Auszeit - Daten sind immer gefährdet. Aus dem Grunde entschied man sich, die Security Foren zur gewohnten Zeit stattfinden zu lassen und die Weltmeisterschaft einfach mit einzubauen.
Die Veranstaltungen zeigten wieder eine interessante Mischung aus Präsentationen von Angriffsszenarien, die Vorstellung von Lösungen zum Schutz dagegen und schließlich Referenzberichte, die den Einsatz dieser Lösungen abgestimmt auf konkrete Unternehmensgegebenheiten darstellten.
Michael George, Spezialist für Wirtschaftsspionage beim Bayrischen Innenministerium, demonstrierte zunächst einmal, wie der „typische“ Wirtschaftsspion eigentlich aussieht. Dazu ließ er das Auditorium aufstehen und entsprechend gewisser Kriterien, wie zum Beispiel Geschlecht, Alter oder Betriebszugehörigkeit, durften sich die Betroffenen wieder setzen. Am Schluss standen „nur“ noch die Kandidaten, die aufgrund der Eigenschaften „typische“ Wirtschaftsspione sein könnten – das Beunruhigende daran war allerdings, dass es sich um etwa die Hälfte der Forumsteilnehmer handelte. Das Fazit daraus war also, dass es unmöglich ist, Spione zu erkennen und das man das bei seinen Schutzmaßnahmen stets berücksichtigen muss.
Schaut man sich die Fülle der Daten an, die in einem Unternehmen verarbeitet und gespeichert werden, erkennt man schnell, dass ein kompletter Schutz aller Daten gegen einen völlig undurchschaubaren Feind, ein Unternehmen komplett lähmen würde. Hier konnte George jedoch beruhigen – in der Regel sind es nur ca. 5 % der Daten, die wirklich geschäftskritisch sind. Der erste Schritt einer Datenschutzstrategie sollte es also sein, diese 5 % unbedingt schützenswerter Daten zu ermitteln.
Einen weiteren Aspekt, der Unternehmen buchstäblich dazu zwingt effektive Datenschutzmaßnahmen zu implementieren, beleuchtete der Rechtsanwalt Dr. jur. Wolfgang Hackenberg aus Reutlingen. Alleine zum Thema Zugriff auf IT-Systeme enthalten mehr als 25 Gesetze und Regularien Bestimmungen, die Unternehmen verpflichten Maßnahmen zu ergreifen. Bei Verstößen stehen bei Aktiengesellschaften die Vorstände und bei GmbH´s die Geschäftsführer in der Haftung.
Auch der Ex-Hacker Gunnar Porada konnte mit seinen Live-Hacking Demonstrationen das Auditorium aufschrecken. Zunächst zeigte er, wie schnell man ein Windows-Passwort mit frei verfügbaren Online-Hilfsmitteln knacken kann. Danach verschaffte er sich Zugang zu einem durch ein Security-Token geschütztes Bankkonto und stellte damit dar, dass auch eine moderne technische Schutzmaßnahme nur funktionieren kann, wenn sie in ein ganzheitliches Sicherheitsmanagement integriert ist, das auch die menschlichen Faktoren mit berücksichtigt.
Um es nicht bei den Verunsicherungen zu belassen, wurden natürlich auch Lösungen vorgestellt, die die Datenschutzstrategien effektiv und effizient unterstützen. Der Sicherheitsspezialist SECUDE stellte die Erweiterungen seines End-to-End Data Protection Portfolios um die Lösungen Secure Folder Enterprise, Secure Web Folder und Security Intelligence vor. Secure Web Folder verschlüsselt Datenobjekte und Dateien in Dokumenten- und Content-Management-Systemen und macht so zum Beispiel Upload- und Download-Prozesse sicher. Security Intelligence bietet endlich die Möglichkeit, gesetzmäßige- und sicherheitsrelevante Informationen aus den SAP Log-Dateien unterschiedlichster SAP-Systeme zu selektieren, und pro aktiv und automatisch auszuwerten.
Bei der Administration setzt SECUDE auf eine zentrale Managementkonsole, die das Organisieren der IT-Sicherheitslandschaft deutlich vereinfacht. In diese Konsole sind auch bereits Partnerlösungen integriert, wie zum Beispiel die Devicemanagement-Lösung DevicePro, die durch Sergej Schlotthauer vom Ettlinger Unternehmen cynapspro GmbH vorgestellt wurde. DevicePro stellt unter anderem sicher, dass keine Daten, jenseits der Unternehmens-Firewall, auf USB-Sticks oder externen Festplatten das Unternehmen verlassen können. Als Ergänzung zeigte Marco Smeja von cv cryptovision GmbH eine herstellerunabhängige Security-Token Lösung, die verschiedene Authentifizierungsmethoden wie zum Beispiel als PIN, PIN-Pad, Match on Cards und Biometric unterstützt.
Zwei große Referenzen für den End-To-End Data Protection Ansatz im SAP Bereich sind zum einen die Volkswagen AG und zum anderen die BMW Group. Bei der Veranstaltung in Frankfurt präsentierte Stefan Kohn von Volkswagen SAP-Sicherheit mit SECUDE innerhalb der Volkswagen PKI als Basis für Single Sign-On mit Mitarbeiterausweis. In München stellte Michael Rybak IT Sicherheit und Komfort in SAP-Umgebungen durch SECUDE Secure Login vor. Die Zusammenarbeit zwischen SECUDE und Volkswagen im Bereich der SAP-Sicherheit besteht nun schon 10 Jahre und die Lösungen des Darmstädter Unternehmens gehören mit zu den Wenigen, die bei Volkswagen global eingesetzt und auch akzeptiert werden. Die BMW Referenz ist noch relativ neu, der Zugewinn an Sicherheit, Benutzerkomfort und die Reduktion der Aufwände in den Projekten ist jedoch deutlich spürbar.
In Hannover referierte Michael Esser vom IT-Dienstleister ITErgo Informationstechnologie GmbH der Ergo Versicherungsgruppe über die Implementierung von FinallySecure Enterprise zur Verschlüsselung von ca. 3.100 Festplatten. Nach einem Jahr erfolgreichen Massenbetriebes von FinallySecure Enterprise konnte Esser den Zuhörern jegliche Angst vor der Einführung einer Festplatten-Vollverschlüsselung nehmen und ausschließlich von deutlichen Vorteilen berichten.
Während eines solchen Großereignisses, wie die diesjährige Fußball-Weltmeisterschaft in Südafrika, meint man manchmal die Zeit steht still und alles dreht sich für fünf Wochen nur noch um Fußball. Das ist allerdings nicht so, denn die Angreifer auf die kritischen Daten von Unternehmen, Behörden und Organisationen kennen keine Auszeit - Daten sind immer gefährdet. Aus dem Grunde entschied man sich, die Security Foren zur gewohnten Zeit stattfinden zu lassen und die Weltmeisterschaft einfach mit einzubauen.
Die Veranstaltungen zeigten wieder eine interessante Mischung aus Präsentationen von Angriffsszenarien, die Vorstellung von Lösungen zum Schutz dagegen und schließlich Referenzberichte, die den Einsatz dieser Lösungen abgestimmt auf konkrete Unternehmensgegebenheiten darstellten.
Michael George, Spezialist für Wirtschaftsspionage beim Bayrischen Innenministerium, demonstrierte zunächst einmal, wie der „typische“ Wirtschaftsspion eigentlich aussieht. Dazu ließ er das Auditorium aufstehen und entsprechend gewisser Kriterien, wie zum Beispiel Geschlecht, Alter oder Betriebszugehörigkeit, durften sich die Betroffenen wieder setzen. Am Schluss standen „nur“ noch die Kandidaten, die aufgrund der Eigenschaften „typische“ Wirtschaftsspione sein könnten – das Beunruhigende daran war allerdings, dass es sich um etwa die Hälfte der Forumsteilnehmer handelte. Das Fazit daraus war also, dass es unmöglich ist, Spione zu erkennen und das man das bei seinen Schutzmaßnahmen stets berücksichtigen muss.
Schaut man sich die Fülle der Daten an, die in einem Unternehmen verarbeitet und gespeichert werden, erkennt man schnell, dass ein kompletter Schutz aller Daten gegen einen völlig undurchschaubaren Feind, ein Unternehmen komplett lähmen würde. Hier konnte George jedoch beruhigen – in der Regel sind es nur ca. 5 % der Daten, die wirklich geschäftskritisch sind. Der erste Schritt einer Datenschutzstrategie sollte es also sein, diese 5 % unbedingt schützenswerter Daten zu ermitteln.
Einen weiteren Aspekt, der Unternehmen buchstäblich dazu zwingt effektive Datenschutzmaßnahmen zu implementieren, beleuchtete der Rechtsanwalt Dr. jur. Wolfgang Hackenberg aus Reutlingen. Alleine zum Thema Zugriff auf IT-Systeme enthalten mehr als 25 Gesetze und Regularien Bestimmungen, die Unternehmen verpflichten Maßnahmen zu ergreifen. Bei Verstößen stehen bei Aktiengesellschaften die Vorstände und bei GmbH´s die Geschäftsführer in der Haftung.
Auch der Ex-Hacker Gunnar Porada konnte mit seinen Live-Hacking Demonstrationen das Auditorium aufschrecken. Zunächst zeigte er, wie schnell man ein Windows-Passwort mit frei verfügbaren Online-Hilfsmitteln knacken kann. Danach verschaffte er sich Zugang zu einem durch ein Security-Token geschütztes Bankkonto und stellte damit dar, dass auch eine moderne technische Schutzmaßnahme nur funktionieren kann, wenn sie in ein ganzheitliches Sicherheitsmanagement integriert ist, das auch die menschlichen Faktoren mit berücksichtigt.
Um es nicht bei den Verunsicherungen zu belassen, wurden natürlich auch Lösungen vorgestellt, die die Datenschutzstrategien effektiv und effizient unterstützen. Der Sicherheitsspezialist SECUDE stellte die Erweiterungen seines End-to-End Data Protection Portfolios um die Lösungen Secure Folder Enterprise, Secure Web Folder und Security Intelligence vor. Secure Web Folder verschlüsselt Datenobjekte und Dateien in Dokumenten- und Content-Management-Systemen und macht so zum Beispiel Upload- und Download-Prozesse sicher. Security Intelligence bietet endlich die Möglichkeit, gesetzmäßige- und sicherheitsrelevante Informationen aus den SAP Log-Dateien unterschiedlichster SAP-Systeme zu selektieren, und pro aktiv und automatisch auszuwerten.
Bei der Administration setzt SECUDE auf eine zentrale Managementkonsole, die das Organisieren der IT-Sicherheitslandschaft deutlich vereinfacht. In diese Konsole sind auch bereits Partnerlösungen integriert, wie zum Beispiel die Devicemanagement-Lösung DevicePro, die durch Sergej Schlotthauer vom Ettlinger Unternehmen cynapspro GmbH vorgestellt wurde. DevicePro stellt unter anderem sicher, dass keine Daten, jenseits der Unternehmens-Firewall, auf USB-Sticks oder externen Festplatten das Unternehmen verlassen können. Als Ergänzung zeigte Marco Smeja von cv cryptovision GmbH eine herstellerunabhängige Security-Token Lösung, die verschiedene Authentifizierungsmethoden wie zum Beispiel als PIN, PIN-Pad, Match on Cards und Biometric unterstützt.
Zwei große Referenzen für den End-To-End Data Protection Ansatz im SAP Bereich sind zum einen die Volkswagen AG und zum anderen die BMW Group. Bei der Veranstaltung in Frankfurt präsentierte Stefan Kohn von Volkswagen SAP-Sicherheit mit SECUDE innerhalb der Volkswagen PKI als Basis für Single Sign-On mit Mitarbeiterausweis. In München stellte Michael Rybak IT Sicherheit und Komfort in SAP-Umgebungen durch SECUDE Secure Login vor. Die Zusammenarbeit zwischen SECUDE und Volkswagen im Bereich der SAP-Sicherheit besteht nun schon 10 Jahre und die Lösungen des Darmstädter Unternehmens gehören mit zu den Wenigen, die bei Volkswagen global eingesetzt und auch akzeptiert werden. Die BMW Referenz ist noch relativ neu, der Zugewinn an Sicherheit, Benutzerkomfort und die Reduktion der Aufwände in den Projekten ist jedoch deutlich spürbar.
In Hannover referierte Michael Esser vom IT-Dienstleister ITErgo Informationstechnologie GmbH der Ergo Versicherungsgruppe über die Implementierung von FinallySecure Enterprise zur Verschlüsselung von ca. 3.100 Festplatten. Nach einem Jahr erfolgreichen Massenbetriebes von FinallySecure Enterprise konnte Esser den Zuhörern jegliche Angst vor der Einführung einer Festplatten-Vollverschlüsselung nehmen und ausschließlich von deutlichen Vorteilen berichten.
