nrw.uniTS Themen der IT-Sicherheit

Die Computertechnologie hat in allen Lebensbereichen Einzug gehalten. Mehr und mehr zeigt sich die Notwendigkeit der Informationssicherheit, der vertrauliche Umgang mit elektronischen Daten wird in jüngster Zeit immer wieder zu einer zentralen Frage.

 

 

Unternehmenserfolg hängt heute von sicherer Informations- und Kommunikationstechnik genauso ab, wie vom Verkauf von Produkten oder Dienstleistungen.

Im Wettbewerb können Sicherung von Daten und Schließen von Sicherheitslücken bei Kleinen und Mittleren Unternehmen (KMU) überlebenswichtig sein. Vorhandenes Know-How zieht Online-Kriminelle an, die sich die elektronisch verarbeiteten Geschäftsprozesse zu Nutze machen möchten.

Unser Ziel ist über verschiedene Bereiche der IT-Sicherheit zu informieren, damit das Bewusstsein zu schärfen und das IT-Sicherheitsniveau in KMUs kontinuierlich anzuheben.

IT-ForensikDem Angreifer auf der Spur

Computergestützte Datenverarbeitung entwickelte sich über Jahrzehnte zu einem elementaren Teil unseres Lebens. Doch schon in den 1980er Jahren zeigten sich erste Schattenseiten des Einsatzes von IT. Mit steigender Bedeutung der IT-gestützten Datenverarbeitung traten nämlich immer mehr digitale Bedrohungen z. B. durch Computerviren oder Würmer auf, die die Datenverarbeitungsprozesse störten oder Daten von Computern abgegriffen haben.

 

Wir sind heute an einem Punkt angekommen, an dem die digitale Datenverarbeitung Großteile unseres privaten Lebens und unserer Arbeitswelt bestimmt. So nutzen wir Smartphones, Smartwatches etc. und lassen hierbei Apple, Google, Facebook und Co. an unserem Leben teilhaben. Je mehr wir diese digitalen Medien nutzen und je mehr wir mit unseren Daten in der digitalen Welt agieren, umso bedeutsamer werden unsere Informationen und desto interessanter werden sie für die unterschiedlichsten Protagonisten.

Auch geschäftskritische Prozesse von Unternehmen hängen mehr und mehr von der Vertraulichkeit, Verfügbarkeit und Integrität der eingesetzten IT bzw. der zu verarbeitenden Daten ab. Für ein Unternehmen wird es deshalb immer wichtiger, sich vor externen und internen Gefährdungen für die IT bzw. die zu verarbeitenden Daten zu schützen.

 

Die zum Schutz vor diesen Gefährdungen zu treffenden technischen und organisatorischen Maßnahmen sind oftmals sehr komplex und erfordern einen nicht zu unterschätzenden Aufwand. Besonders kleine und mittlere Unternehmen (KMU) sind hiermit oftmals überfordert. Dies wiederum hat zur Folge, dass es trotz aller präventiver Anstrengungen immer wieder zu wirtschaftskriminellen Handlungen, IT-Sabotage, Missbrauch von IT-Systemen, Ausspähung und Datenabfluss sowie sonstigen Auffälligkeiten kommt.

 

Ist es erst zu einem solchen Vorfall gekommen, gilt es diesen zu untersuchen, u.a. auch um geeignete Folgemaßnahmen zu ergreifen. Meist lassen sich durch eine IT-forensische Untersuchung Angriffswege und Hergänge nachvollziehen.

Die Erfahrung zeigt jedoch: mangels entsprechender im Vorfeld getroffener Vorkehrungen bleiben die Täter und betroffene Daten noch immer viel zu häufig im Dunkeln . Das hat letztendlich zur Konsequenz, dass ein solcher Vorfall nicht vollends aufgeklärt werden kann.

 

So wird in der Praxis schnell deutlich, wie unzureichend viele Betroffene auf den Ernstfall vorbereitet sind. So vergeht bspw. oft zu viel Zeit, bis ein Vorfall bemerkt wird und entsprechende Schritte eingeleitet werden. Das wiederum kann zum Effekt haben, dass wichtige Spuren verloren gehen oder aus verschiedensten Gründen falsch interpretiert werden. Manchmal kommt es sogar vor, dass aufgrund zu vieler Informationen, die nach dem Vorfall noch generiert wurden, einzelne relevante Informationen komplett übersehen werden. Darüber hinaus darf man auch nicht die Tatsache unterschätzen, dass wenn es zu einem Vorfall gekommen ist und sich die Täter ein „Hintertürchen“ offengelassen haben, es im schlimmsten Fall zu weiteren Folgeereignissen wie z. B. weiteren Abflüssen von Daten kommen kann.

 

Um die Verantwortlichen auf den „Ernstfall“ besser vorzubereiten, hat es sich die Arbeitsgruppe IT-Forensik zur Aufgabe gemacht, praxisrelevante Informationen und Leitfäden zur IT-Forensik sowie zur „Incident Response“ bereitzustellen. Mit diesen Informationen sollen Sie in die Lage versetzt werden, sich besser auf diesen Fall vorzubereiten, um dann im Schadenfall als "Ersthelfer" oder IT-Experte bestmöglich reagieren zu können.

 

Ab 2015 wird die Arbeitsgruppe dazu auch Vorträge und Tagungen anbieten.

 

Teilnehmer der Arbeitsgruppe IT-Forensik in alphabetischer Reihenfolge:

 

DigiTrace GmbH - Leitung der Arbeitsgruppe (Martin Wundram)

DigiTrace GmbH (Alexander Sigel)

Kanzlei Spyra (Gerald Spyra)

Pallas GmbH (Stephan Sachweh)

Red White Silver GmbH (Alexander Dörner)

roCon - Informationstechnologie (Christian Rost)

Schreiber IT-Forensik (Walter Schreiber)

 

Cloud ComputingIT-Sicherheit in der Cloud für Anwender und Anbieter

Die Nutzung von Softwareanwendungen und Diensten sowie die Speicherung und Verarbeitung von Daten über entfernte Rechenzentren im Wege des „Cloud Computing“ hat sich mittlerweile in weiten Teilen der Wirtschaft und Verwaltung etabliert – mit stetig steigender Tendenz. Ein zentraler Aspekt ist dabei die IT-Sicherheit. Die bei dem Cloud Computing zum Einsatz kommenden Technologien bedürfen der Absicherung gegen Angriffe von innen als auch von außen. Der gesetzlich verankerte Schutz personenbezogener Daten bedingt neben technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit auch auf Rechtsebene die Beachtung einiger Anforderungen durch die Anbieter und die Nutzer von Cloud-Technologien und -Produkten.

 

Die Arbeitsgruppe Cloud Computing bietet Unternehmen u. W. sowohl auf Anwender- als auch auf Anbieterseite Information und Unterstützung bei der Erzielung und Aufrechterhaltung einer ausreichenden IT-Sicherheit und Compliance im Rahmen der Gestaltung, des Vertriebs und der Nutzung von Cloud-basierten Technologien und Produkten. Dabei erfasst der ganzheitliche Betrachtungsansatz der Arbeitsgruppe alle relevanten technischen, organisatorischen und rechtlichen Aspekte. Aktuelle Entwicklungen werden ebenso betrachtet, wie die etablierte Praxis.

 

Ihre Ansprechpartner:

SKW Schwarz Rechtsanwälte (Jan Schneider)

weitere folgen

DatenschutzGesetzliche Anforderungen verständlich gemacht und Hilfe bei der Umsetzung

Die rasante Entwicklung der Informations- und Kommunikationstechnik verbunden mit dem Komfort der globalen Vernetzung bringt viele Vorteile für die Nutzer, bedeutet aber auch eine rasant ansteigende Menge von Daten, die übermittelt und gespeichert werden. Nicht zuletzt die Möglichkeiten der umfassenden Datenspeicherung, -auswertung und die daraus resultierende Erstellung von Profilen birgt aber auch Risiken für die Nutzer. In den meisten Staaten hat der Gesetzgeber deshalb entsprechende Schutzvorschriften erlassen, die einen mehr oder weniger umfassenden Schutz der personenbezogenen Daten vorsehen. Deutschland hat dabei sehr weitgehende Vorschriften bezüglich der Nutzung und Weitergabe von Daten geschaffen. In erster Linie sind hier das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze zu nennen. Aber auch in weiteren Spezialvorschriften wie zum Beispiel dem Telemediengesetz (TMG) oder dem Telekommunikationsgesetz (TKG) finden sich Vorschriften zum Umgang mit Daten. Unternehmen haben daher eine ganze Reihe von Vorschriften zu beachten um sich gesetzeskonform zu verhalten und die Folgen möglicher Rechtsverletzungen zu vermeiden. Viele Unternehmen sind sich der Regeln und Konsequenzen jedoch nicht bewusst oder wollen sich mit dem Thema Datenschutz nicht befassen.

 

Die Arbeitsgruppe Datenschutz möchte den Unternehmen Informationen und Hilfestellungen geben um die gesetzlichen Regeln einhalten zu können, eventuelle Sanktionen zu vermeiden, aber auch im Umgang mit personenbezogenen Daten die notwendige Sorgfalt und den Respekt gegenüber den betroffenen Menschen zu zeigen. Um ein breites Spektrum abzudecken setzt sich die Arbeitsgruppe sowohl aus Juristen, als auch aus Fachleuten anderer Themengebiete (insbesondere IT) zusammen.

 

Ihre Ansprechpartner:

Business Brothers GmbH - Leitung der Arbeitsgruppe (Frank Heisel)

ANKA Rechtsanwaltsgesellschaft mbH (Alexander Hufendiek)

Kanzlei Spyra (Gerald Spyra)

legitimis GmbH (Lutz Ludwig)

SKW Schwarz Rechtsanwälte (Jan Schneider)

 

 

Endpoint SecurityUnkontrollierten Datenabfluss verhindern und Netze schützen

 

IT-RechtParagraphen für die digitale Welt

Die AG IT-Recht von nrw-units bietet Anbietern und Anwendern Beratung und Unterstützung in allen Teilbereichen des IT-Rechts. Sie informiert und berät sowohl über aktuelle IT-rechtliche Themen wie das Cloud Computing und Enterprise Mobility, als auch in Bezug auf die rechtliche Strukturierung und Betreuung „klassischer“ IT-Projekte wie Systemintegrationen und Outsourcing. Im Online-Recht bietet die AG IT-Recht u. a. rechtliche Beratung und Unterstützung bei der Entwicklung und Umsetzung von Geschäftsmodellen, Produkten und Diensten des E- und M-Business.

 

Ein weiterer wichtiger Schwerpunkt der Tätigkeit der AG IT-Recht sind der Datenschutz und die IT-Compliance. Unternehmen jeder Größenordnung sowie Branchen und Branchenverbände erhalten Rat und Unterstützung bei der Entwicklung von Datenschutzkonzepten und bei der Herstellung eines ausreichenden Datenschutzniveaus.

Industrial IT Security | Industrie 4.0Die Produktion wird vernetzt

Industrie 4.0 als derzeit beginnende Zukunftsvision ist nicht nur eine Chance für den Mittelstand am Standort Deutschland. Es gibt große Chancen für Wertschöpfung und damit für Wohlstand und Beschäftigung aller Beteiligten.

Damit dies aber gelingt, müssen Politik und Wirtschaft gemeinsam strategisch vorgehen, um den Status einer führenden Industrienation zu erhalten und eine internationale Vorreiterrolle bei Industrie 4.0 einzunehmen. Ein nicht zu unterschätzendes Thema ist dabei die IT Sicherheit. Nicht zuletzt durch die beinahe täglichen neuen Nachrichten über Sicherheitslücken und neu aufgetauchte Probleme in diesem Zusammenhang wird deutlich, dass hier erheblicher Handlungsbedarf besteht.

 

So muss eines der Ziele im Rahmen der Umsetzung der Industrie 4.0 Idee sein, begleitende IT Technologien und –Maßnahmen zu entwickeln bzw. zu implementieren, um die Projekte im Rahmen von Industrie 4.0 effizient und unter IT-Gesichtspunkten möglichst „sicher“ zu machen. Diese technischen Lösungen können z.B. hardwarebasierte Sicherheit, Protokolle, Security Management und Monitoring oder sonstige technische und organisatorische Maßnahmen beinhalten. Außerdem sollte auch auf die Berücksichtigung von Sicherheitsstandards und Sicherheitstests für neue Entwicklungen und auf geeignete Zertifizierung geachtet werden.

 

Hier will die Arbeitsgruppe Industrial IT Security den Unternehmen und Interessierten Informationen und Hilfestellungen geben, um Ansätze zu finden, in diesem Umfeld die passenden und notwendigen IT-Sicherheits- und Datenschutzaspekte zu finden und zu berücksichtigen sowie ggfs. bei Lösungsmöglichkeiten für eine „sichere“ Umsetzung von Industrie 4.0 Projektvorhaben Unterstützung zu geben.

Zu diesem Zweck sind alle, die hierzu etwas beitragen können und wollen, gerne aufgefordert, dieser Arbeitsgruppe beizutreten und sich mit Ideen und Vorschlägen einzubringen.

 

 

Ihre Ansprechpartner:

PRO-ICON IT-Consulting - Leitung der Kompetenzgruppe (Rüdiger Gropp)

Droullier Consulting - Leitung der Kompetenzgruppe (Thomas Droullier)

Krause IT Consulting (Werner Krause)

Sirrix AG (Michael Gröne)

ManagementsystemeInformation Security Management Systems und Risk Management

IT-Risiken effektiv und systematisch bewältigen

 

Die Kompetenzgruppe unterstützt Unternehmensleitungen, IT-Risiken zu erkennen, zu bewerten sowie systematisch und effektiv zu bewältigen durch

 

- technisch-organisatorische Minderungsmaßnahmen,

- rechtliche Klärung,

- Risikoübertragung (z. B. durch Versicherung) und

- bewusster Selbsttragung von Restrisiken.

 

Neue regulatorische Anforderungen wie das IT-Sicherheitsgesetz sowie neue Technologien wie Cloud Computing, Big Data und dem Internet der Dinge führen zu neuen Geschäftsrisiken. Diese können sich in einer Betriebsunterbrechung, einer Rufschädigung oder einem Datenverlust zum Ausdruck bringen, aber auch zu Bußgeldern oder Haftpflichtansprüchen führen.

 

Die Kompetenzgruppe Managementsysteme bietet Workshops an, u.a. zu IT-Risiken, Arbeitsmaterialien hierzu finden Sie auf unserer Website.

 

TeilnehmerInnen der Kompetenzgruppe Managementsysteme in alphabetischer Reihenfolge:

 

AXA Versicherung AG - Leitung der Kompetenzgruppe (Dirk Kalinowski)

isits AG (Birgitte Baardseth)

Business Brothers GmbH (Frank Heisel)

Kanzlei Spyra (Gerald Spyra)

Materna GmbH (Alfons Marx)

Pallas GmbH (Stephan Sachweh)

TÜV Trust IT GmbH (Stefan Möller)

UIMC Dr. Voßbein (Tim Hoffmann)

Mobile SecurityIPhone?Android?Blackberry? - Absicherung der mobilen Arbeitswelt

 

Physische SicherheitNicht jeder erfolgreiche Angriff erfolgt über das Netz

 

Secure CommunicationsSicherer Austausch von Daten über unsichere Netze

Ohne ständige Kommunikation ist das heutige Geschäftsleben nicht vorstellbar. Elektronische Kommunikation beschleunigt das Zusammenarbeiten von Unternehmen weltweit. Das meist genutzte weil kostengünstige und überall verfügbare Kommunikations-Medium ist das zunächst ungeschützte Internet. Die Arbeitsgruppe Secure Communication erarbeitet das Wissen um die Schutzmöglichkeiten vertraulicher Kommunikation und stellt praktikable Lösungen für jede Unternehmensgröße dar. Kommunikation bezieht sich hier vor allem auf E-Mail aber auch die neuen Kanäle Instant Messaging, VoIP und Enterprise 2.0 Technologien.

Security 2025Ein Blick in die Glaskugel - was sind die Trends von übermorgen

 

Security AwarenessDer Faktor Mensch

 

Smart Grid und Smart MeteringDas Internet der Dinge

 

Social MediaFacebook, XING, Twitter und Co - Die richtige Strategie für Soziale Netze

Social Media (also von Facebook, Twitter, Xing und Co.) ist aus unserer heutigen Kommunikationslandschaft nicht mehr wegzudenken. Drei Viertel der deutschen Internetnutzer – das sind rund 38 Millionen Menschen - sind bereits in einem sozialen Netzwerk angemeldet.

 

Social Media ist darüber hinaus nicht mehr ausschließlich „Treffpunkt der jungen Generation“

 

Mittlerweite kann kein Unternehmen mehr die Augen hiervor verschließen, ob man es nun bewusst als Kanal der Unternehmenskommunikation nutzen will oder weil die Mitarbeiter diese Dienste nutzen.

 

Warum sollten sich also Unternehmen/Organisationen mit Social Media befassen?

Für den Einzelhandel z. B. ist die Kommunikation mit den Konsumenten eine der Schlüsselvariablen für erfolgreiche und stabile Kundenbeziehungen und somit die Grundlage für einen langfristigen wirtschaftlichen Erfolg. Als Instrument zur Kundenansprache wird Social Media bei Unternehmen daher immer beliebter.

So prognostiziert das Marktforschungsunternehmen Forrester Research, dass die Werbeausgaben im Bereich Social Media in den nächsten fünf Jahren jährlich im Schnitt um 34 Prozent wachsen werden.

 

Aber nicht nur Chancen, sondern auch Risiken bergen Social-Media-Dienste!

WebsicherheitSicher Surfen, Schutz der eigenen Webseiten

Im Zeitalter des Web 2.0 ist das World-Wide-Web viel mehr als eine ständig verfügbare Quelle für Informationen: Mit Hilfe von Shops, Portalen und anderen Web-Anwendungen wird nicht nur ein erheblicher Teil des Umsatzes generiert, auch die Unternehmens-IT nutzt in verstärktem Maße die neuen Technologien zur Erweiterung der Infrastruktur. Über die offenkundige Gefahr eines Ausfalls hinaus sind die mit Web 2.0 verbundenen Risiken jedoch viel weitreichender: Neben dem Verlust von Reputation und Unternehmensdaten bedrohen diverse weitere Gefahren sowohl die Betreiber von Web-Anwendungen als auch die Nutzer von Web-Clients.

Die Arbeitsgruppe Websicherheit hat sich das Ziel gesetzt, praktische Informationen zum Schutz von Web-Server-Infrastrukturen und Web-Clients bereitzustellen. Diese Informationen sollen Ihnen nicht nur einen Überblick über die aktuelle Bedrohungs-Situation verschaffen, sondern Sie bei der Selbsteinschätzung Ihres Unternehmens unterstützen und ganz konkret die wichtigsten Schritte und Schutzmaßnahmen darstellen.

 

 

Teilnehmer der Kompetenzgruppe Websicherheit in alphabetischer Reihenfolge:

 

Barracuda Networks AG (Naim Sassi)

Ergon Informatik AG (Arne Böttcher)

Horst Görtz Institut für IT-Sicherheit (Thorsten Holz)

Institut für Internet-Sicherheit (Norbert Pohlmann, Stefan Tomanek)

Network Box Deutschland GmbH (Dariush Ansari)

Pallas GmbH (Stephan Sachweh)

secunet Security Networks AG - Leitung der Arbeitsgruppe (Markus Müller)

Sirrix AG security technologies (Michael Gröne, Norbert Schirmer)

TÜV Trust IT GmbH (Stefan Möller)

Folgen Sie uns!

Um keine der spannenden Neuigkeiten mehr zu verpassen, folgen Sie uns auch über Twitter oder Facebook.