Diese zehn Themen müssen deutsche Sicherheitsverantwortliche in 2011 anpacken

January 24th, 2011

Die „Agenda 2011“ für deutsche Informationssicherheitsverantwortliche enthält einige „alte Bekannte“ aus dem vergangenen Jahr. Eine zunehmende Priorität muss jedoch dem Schutz vor Wirtschaftskriminalität, Vertrauen im Web, der Absicherung heterogener Infrastrukturen sowie der Smartphone-Sicherheit beigemessen werden. Dies sind die zehn wichtigsten Sicherheits-Themen, die deutsche Unternehmen in 2011 anpacken müssen:

  • Schutz vor Wirtschaftskriminalität: Wirtschaftsspionage, Identitätsdiebstahl und Betrug, Lahmlegen von Infrastrukturen und Prozessen (ICT + Produktion) und Rufschädigung. Was viele vergessen: Wirtschaftskriminalität betrifft nicht nur Unternehmen mit Hochsicherheitsanforderungen.
  • Vertrauen im Web: Sichere Web-Angebote für Kunden, Partner und Mitarbeiter bereitstellen und das Web sicher nutzen. Dies schließt auch soziale Netzwerke mit ein, die Ihre Mitarbeiter nutzen.
  • Heterogenisierung der Infrastrukturen und sichere Cloud-Infrastruktur: Auch wenn mittelfristig nicht alle Unternehmen den Trend mitmachen – die Entwicklungen in Richtung „IT-Consumerization“ und neuer Bereitstellungsmodelle (Cloud) sind nicht aufzuhalten. Sicherheitsverantwortliche müssen verschiedene Szenarien prüfen.
  • Identität in der Cloud: Automatisierung der Benutzerverwaltung und des Ressourcenzugriffs, sichere Authentisierung. Standards und Technologien sind vorhanden, aber noch nicht etabliert.
  • Smartphone- und Tablet-Sicherheit: Security Policies und Benutzerrichtlinien sind mit Blick auf die kleinen Helfer zu aktualisieren. Einige Geräteplattformen sind noch nicht ausgereift, aber die IT-Abteilungen stehen unter Handlungszwang.
  • Endpunktsicherheit und Migration auf Windows 7: Langfristig planen – welche Auswirkungen haben neue Technologie- und Service-Paradigmen wie etwa die Cloud auf den Endpunkt?
  • Themen-Konvergenz von Informationssicherheit und Datenschutz: endlich dürfen die Datenschutzbeauftragten mitreden – Sicherheitsverantwortliche müssen nun den Dialog intensivieren, aber auf Rollentrennung zwischen IT und Datenschutz achten.
  • Kosten-Nutzen-Verhältnis von Sicherheitsinvestitionen optimieren und kommunizieren: Risikomanagement, Prozessoptimierung, Geschäftspotenziale und Anforderungen an Compliance sind die wesentlichen Bewertungsfaktoren.
  • Sicherheitsbewusstsein erhöhen: Security Policies und Benutzerrichtlinien als Leitplanken – die Kommunikation und Umsetzung der Sicherheits-Regelungen erfordern einen langen Atem.
  • Verknüpfung von unternehmensweitem mit IT-Risikomanagement: oft werden technische „Controls“ mit geschäftlichen Anforderungen verwechselt. Risikomanagement ist pragmatisch umsetzbar, wenn die Grundstrukturen für Informationssicherheitsmanagement vorhanden sind.

Wie Sie diese Themen konkret anpacken, erfahren Sie von den Experten bei SecTank. Schreiben Sie an info@wolframict.com – ich koordiniere alles Weitere.

Posted in Deutsch, Für Journalisten, User Best Practices | No Comments »

Passwort-Speicher-Werkzeuge: Gedächtniskrücke für IT-Anwender und –Administratoren

January 23rd, 2011

Viele IT-Anwender und –Administratoren stehen vor der Herausforderung, für eine Vielzahl an IT-Systemen, Anwendungen und Web-Ressourcen die jeweiligen Passwörter bereit zu halten. Software für das Identitätsmanagement und Single Sign-On (SSO) könnten hier Abhilfe schaffen, aber leider hat nicht jedes Unternehmen solche Lösungen im Einsatz, geschweige denn dass diese in der Praxis sämtliche Anwendungen und Systeme tatsächlich erfassen würden.

Dennoch ist es mit gutem Recht „Best Practice“, eine regelmäßige Änderung von Passwörtern über Policies zu erzwingen. Und so stellt sich die Frage: welche Werkzeuge ermöglichen die sichere Speicherung und Verwaltung von Passwörtern, ohne die Budgets und Realisierungszeiträume über Gebühr zu strapazieren?

Hier sind drei Stoßrichtungen erkennbar:

Beim „Password Safe“ werden Nutzernamen und Passwörter verschlüsselt in einem Archiv abgelegt. Dies geschieht oftmals auf dem Desktop, mobilen Speichermedien (USB-Flash),  online oder für Unternehmenskunden auch mittels Server-Lösungen. Beispiele für diese Lösungskategorie sind Password Safe (Open Source / Bruce Schneier), KeePass (ebenfalls Open Source), Password Depot 5 (Acebit) und Password Manager Pro (ManageEngine / ZOHO).

In der Regel ist dies ein kostengünstiger Lösungsweg, und es gibt auch kostenlose Open Source Lösungen, die sowohl bei Unternehmensanwendern als auch bei Privatleuten beliebt sind. Andererseits bieten die meisten Lösungen keine granulare Bereitstellung von Passwörtern speziell für IT-Administratoren mit unterschiedlichen Zugriffsrechten. Die dort erwünschten Logging- und Auditfunktionen sind nur bedingt verfügbar. Der Anbietermarkt und die Eigenschaften der einzelnen Lösungen sind oft intransparent – es lässt sich nicht ausschließen, dass im Einzelfall Hintertüren für Sicherheitsrisiken geöffnet werden. Die am Markt angepriesenen Online-Lösungen schließlich sind für Unternehmen aus Sicherheits- und Datenschutzsicht eher nicht geeignet.

Lösungen für „Privileged Access Management“ addressieren das Passwort-Management als ein Teilaspekt. Überwachung, Logging und Auditierung von IT-Administrator-Aktivitäten stehen dabei im Vordergrund. Diese Lösungen ermöglichen also „Password Safe“ und generell die Kontrolle der IT-Administration aus einer Hand. Leider sind sie in der Regel auch entsprechend komplex und teuer. Deshalb machen sie nur Sinn, wenn das Unternehmen nicht nur die Verwaltung von Passwörtern, sondern generell auch das Privileged Access Management anpacken möchte. Zu den Anbietern in diesem Bereich zählen e-DMZ Security und CyberArk.

Die Verschlüsselung von Dateien, Datenbanken oder Containern stellt einen weiteren Lösungsweg dar. Passwörter werden hier in Dateien gespeichert (z.B. Excel) und verschlüsselt abgelegt. Von Vorteil ist dabei, dass die notwendigen Produkte oftmals bereits im Unternehmen vorhanden sind (z.B. PGP, WinZip). Allerdings ist das Passwort-Management auf diese Art nur umständlich zu realisieren. Dass Passwörter unverschlüsselt „ausgecheckt“ werden können und nach dem Kopieren nicht automatisch aus dem Zwischenspeicher gelöscht werden, kann zu Sicherheitsrisiken führen. Es gibt außerdem kaum passwortbezogene Auditmöglichkeiten.

Wenn man nicht gleich den Weg des Privileged Access Management beschreitet, ist speziell im IT-Administrationsbereich aus meiner Sicht eine Kombination von Password Safe Software mit OTP-Tokens oder vergleichbaren starken Authentisierungsverfahren sinnvoll.

Eines würde mich dennoch interessieren: wie machen Sie das in Ihrem Unternehmen?

(Dieser Beitrag wurde parallel bei SecTank veröffentlicht.)

Posted in Deutsch, User Best Practices, Vendor Competitive Intelligence | No Comments »

Identity Federation Standards für Cloud Services

November 15th, 2010

Unternehmen mit 10000 und mehr Mitarbeitern stehen in der Regel vor der Herausforderung, den Zugriff auf eine Vielzahl von Anwendungen und Ressourcen – über organisatorische und geografische Grenzen hinweg – zu verwalten. Typischerweise sind dabei mehrere Verzeichnisse (Directories) im Einsatz, die die Vergabe von Berechtigungen (Provisioning) unterstützen. Cloud Services tragen nun weiter zur Erhöhung der Komplexität dieser Aufgabe bei. Dabei stellen sich einige Fragen. Wie kann die Benutzerverwaltung in der Wolke automatisiert werden? Kann die im eigenen Unternehmen bevorzugte Authentisierungsmethode beim Zugriff auf Cloud-Anwendungen gewählt werden? Wie lässt sich ein nutzerfreundlicher Zugriff auf Systeme in der Wolke bewerkstelligen, insbesondere durch Single Sign-On (SSO)?

Glücklicherweise gibt es Standards, die dieses Unterfangen erleichtern. Aber was sind die Zielsetzungen und Einsatzgebiete der einzelnen Standards, und wie verbreitet sind sie? Hier folgt ein kurzer Überblick zu den wichtigsten Identity Federation Standards:

  • SAML 1.0/2.0 (Security Assertion Markup Language): XML-basierter Standard für den Austausch von Authentisierungs- und Autorisierungsdaten zwischen Sicherheits-Domains, insbesondere zwischen einem IdP (Identity Provider) und einem SP (Service Provider, Bereitsteller von Ressourcen/Anwendungen). SAML ist ein Standard des OASIS Security Services Technical Committee. Der Schwerpunkt liegt auf Web SSO und Identity Federation zwischen Unternehmen. SAML ist sehr flexibel und vielseitig. Die aktuelle Version 2.0 ist weiter verbreitet als alle anderen Standards.
  • WS Federation 1.1: Ursprünglich entwickelt von Anbietern wie IBM und Microsoft und mittlerweile auch ein OASIS-Standard. WS-Federation definiert Mechanismen, die es unterschiedlichen Entitäten erlauben, Informationen über Identitäten, Attribute und Authentisierung untereinander auszutauschen bzw. zu vermitteln. Die Zielrichtung ist ähnlich wie bei SAML. WS-Federation erlaubt noch etwas mehr Feinanpassung und Individualisierung, hat aber leider auch den Ruf der Komplexität. Außerdem ist dieser Standard weitaus weniger im Einsatz als SAML.
  • OpenID stellt den einzelnen Nutzer statt das Unternehmen in den Vordergrund. Sobald sich ein Nutzer bei einem OpenID-Provider registriert und angemeldet hat, kann er alle Dienste nutzen, die OpenID als IdP und die Attribute des Nutzers akzeptieren. OpenID zielt primär auf Web-SSO-Funktionalitäten. OpenID basiert auf einem recht einfachen Modell, das interessant für Unternehmen ist, die übers Web Dienste für Konsumenten anbieten. OpenID ist derzeit noch nicht sonderlich verbreitet.
  • Oauth Core 1.0 hat eine ähnliche Ausrichtung wie OpenID, konzentriert sich aber etwas starker auf Entwickler-Communities, die etwa für Web-2.0-Anbieter wie Twitter oder Google tätig sind. OAuth bietet den Entwicklern eine standardisierte Anwendungsprogrammierung-Schnittstelle (API), über die diese ihre Dienste anbieten können, ohne ihre Passwörter oder andere Authentisierungsmerkmale preisgeben zu müssen. Derzeit geringer Einsatz- und Reifegrad.
  • SPML 2.0 (Service Provisioning Markup Language) ist ein XML-basiertes Rahmenwerk und wird von OASIS weiterentwickelt. Der Einsatzbereich liegt mehr im Bereich der Föderation der Berechtigungsvergabe und –bereitstellung (Provisioning). Mit SPML können verschiedene Unternehmen Informationen über die Provisionierung von Nutzern, Ressourcen und Services austauschen. Um Web SSO zu erreichen, kann wiederum SAML für die Übergabe von Autorisierungsdaten zum Einsatz kommen.
  • XACML 2.0 (3.0 in Arbeit): XACML steht für “eXtensible Access Control Markup Language” und ermöglicht den Einsatz von frei wählbaren Attributen in Policies, rollenbasierter Zugriffssteuerung, Sicherheits-„Labels“, zeit- und datumsbasierten Policies, indexierbaren Policies, „Deny“-Policies und in dynamischen Policies – dies alles, ohne dass an den einbezogenen Anwendungen selbst Änderungen vorgenommen werden müssen. XACML löst das Problem der vielen proprietären bzw. anwendungsspezifischen Policy-Sprachen bei der Zugriffssteuerung. Es kann auch als SAML-2.0-Profil  zur Anwendung kommen und die SAML-Funktionalität erweitern.
  • Identity Web Services Framework (ID-WSF) ist eine Plattform, um identitätsbasierte Web Services abzusichern. ID-WSF nutzt SAML „Assertions“ (Erklärungen) als Format für Security Tokens. Letztere dienen dazu, die mit verschiedenen Web Services in Verbindung stehenden Authentisierungs- und Autorisierungsinformationen untereinander zu kommunizieren. ID-WSF ist ein recht reifer Standard, aber außerhalb der Telekommunikations- und Service Provider Branche nicht so sehr verbreitet. Nach der Übernahme sämtlicher Aktivitäten der ehemaligen Liberty Alliance durch die Kantara Initiative müssen die Auswirkungen auf die Weiterentwicklung von ID-WSF noch abgewartet werden.

Im Umfeld der “Identity Federation” kristallisieren sich SAML 2.0 und WS-Federation als zwei Haupt-Opponenten heraus. Für die Mehrheit der Unternehmen wird SAML 2.0 aufgrund dessen Verbreitungsgrades und der Funktionalität eine vernünftige und sichere Wahl sein. SAML lässt sich zudem durch SPML und SACML ergänzen bzw. erweitern. Allerdings muss auch genau auf die vorhandene Infrastruktur im eigenen Unternehmen und die künftigen Cloud-Dienste geschaut werden. Wenn dort SAML nur unzureichend unterstützt wird, können andere Standards wie WS-Federation eine bessere Alternative sein.

[Dieser Artikel wurde auch bei SecTank veröffentlicht.]

Posted in Deutsch, Für Journalisten, News / Analysis, User Best Practices | No Comments »

Was taugt eigentlich… Shibboleth?

October 12th, 2010

Shibboleth (http://shibboleth.internet2.edu/) hat sich besonders im angelsächsischen Bereich und dort in öffentlichen Bildungseinrichtungen als Open-Source-Lösung für Web SSO etabliert. Es gibt aber auch vereinzelt Projekte in anderen Ländern, zum Beispiel in der Schweiz, in Oman und auch in Deutschland. Doch für wen ist Shibboleth eigentlich geeignet?

Shibboleth ist ein erprobtes und offenes Framework und unterstützt unter anderem den anerkannten Standard SAML 2.0. Es trifft insbesondere sehr gut den Bedarf von Behörden und Bildungseinrichtungen. Dort sind verschiedene Institutionen wie etwa Bibliotheken oder Bundes- und Landesbehörden mehr oder weniger eng miteinander vernetzt, ohne dass eine Zentralisierung der Nutzerverwaltung möglich oder gar gewünscht ist. Das auf einen Service Provider (SP) und Identity Provider (IdP) basierende Modell von Shibboleth ist hier gut geeignet, um eine institutionsübergreifende Web-SSO-Funktionalität herzustellen.

Sollte der Kunde echtes Federated Provisioning oder „Enterprise SSO“ benötigen, ist Shibboleth weniger geeignet. Problematisch kann auch der Support werden, denn dieser wird in Deutschland offiziell nur von einem Dienstleister angeboten. Insgesamt bleibt beim Kunden ein erheblicher Aufwand für die Konzeption, Realisierung und Wartung der Lösung hängen. Unter dem Strich dürfte die Total Cost of Ownership (TCO) bei Shibboleth nicht wesentlich niedriger sein als beim Kauf kommerzieller Softwareprodukte für Web SSO. Außerdem stellt die starke Ausrichtung von Shibboleth auf den Behörden- und Bildungssektor ein Risiko für Unternehmen aus anderen Branchen dar, denn die künftige Weiterentwicklung des Rahmenwerks wird sich primär an den Bedürfnissen der Fokusbranchen orientieren.

Während im öffentlichen Sektor die Beschaffung von Open-Source-Software oftmals politisch vorgegeben ist, hat die Privatwirtschaft das Privileg der freien Wahl. Und das ist auch gut so.

(Dieser Beitrag wird auch bei SecTank gepostet.)

Posted in Deutsch, News / Analysis, User Best Practices, Vendor Competitive Intelligence | No Comments »

IBM übernimmt Netezza

September 21st, 2010

IBM beabsichtigt, den Hersteller von Data Warehouse Appliances Netezza zu übernehmen. IBM bezahlt dafür 1,7 Milliarden US-Dollar – das ist fast das Zehnfache des vergangenen Fiskaljahrumsatzes von Netezza. Netezza bietet neben Lösungen für Data Warehousing und Geschäftsanalytik auch „Database Activity Monitoring“ (DAM). Mit DAM schaffen Unternehmen insbesondere aus dem Bankenumfeld mehr Rechtssicherheit; außerdem wird DAM zum Teil als Alternative oder Ergänzung zur komplexeren Datenbankverschlüsselung eingesetzt.

Die Übernahme ist ein Zeichen für den Trend zur Marktkonsolidierung im Bereich der Datenbanksicherheit. Die Übernahme von Guardium durch IBM ist nicht allzu lange her – Guardium ist übrigens auch im Bereich Database Activity Monitoring aktiv. Ob beide Lösungen unter dem Dach von IBM weiterentwickelt werden ist fraglich. Kunden von Netezza und Guardium sollten von IBM nun verbindliche Aussagen zur künftigen Unterstützung der Lösungen einfordern.

[Dieser Beitrag erscheint parallel bei SecTank.]

Posted in Deutsch, Für Journalisten, News / Analysis, Vendor Competitive Intelligence | No Comments »

Was macht eigentlich… OpenSSO von Sun Microsystems?

September 8th, 2010

Hinweis: dieser Beitrag wurde parallel in SecTank publiziert.

Wer sich mit Identitätsmanagement beschäftigt, kennt noch OpenSSO von Sun Microsystems. Dies war eine Open-Source-Plattform für Single Sign-On und Identity Federation. Sun gehörte seinerzeit im Bereich Identitätsmanagement zu den eher unterschätzten Anbietern im deutschsprachigen Raum. OpenSSO basierte auf einem soliden technologischen Rahmenwerk und konnte zudem auch einige Referenzkunden vorweisen.

Bis es zur Übernahme durch Oracle kam. Bei Oracle gibt es keinen Platz für OpenSSO, und so ist die Entwickler-Gemeinde nun auf sich selbst gestellt. Im Frühjahr 2010 hat das Projekt bei der norwegischen Firma ForgeRock eine neue Heimat gefunden und heißt nun „ForgeRock OpenAM“.  Es überrascht nicht, dass Lasse Andresen, der CEO von ForgeRock, ebenso wie ein Großteil des restlichen Teams, Sun-Veteranen sind.

Offen bleibt, ob die Entwickler-Community weiterhin zusammenhält. Trends wie die selektive Öffnung der Unternehmensinfrastrukturen für Partner und Kunden sowie Cloud Computing werden den Bedarf an passenden Lösungen für Identitäts-Föderation verstärken. Investitionen in diese Lösungen sind aber oftmals Teil langfristiger Projekte – umso wichtiger ist das Vertrauen in die Zukunftsfähigkeit der Produkte.

Eine Entscheidung für OpenAM ist zum heutigen Zeitpunkt riskant. Wer Zeit hat und OpenAM mag, sollte lieber ein bis zwei Jahre abwarten und beobachten, wie sich die Community entwickelt. Das ist besser, als in vier Jahren mit einer Implementierung dazustehen, die nicht mehr weiterentwickelt wird.

Posted in Deutsch, News / Analysis | No Comments »

Intel kündigt Übernahme von McAfee an – warum?

August 19th, 2010

Eine erste Analyse finden Sie im SecTank.

Posted in Deutsch, Für Journalisten, News / Analysis, Vendor Competitive Intelligence | No Comments »

Wann haben Sie zuletzt Ihre Security Policies überprüft?

July 13th, 2010

Security Policies sind ein wichtiges Instrument, um Informationssicherheit im Unternehmen zu steuern und zu verwalten. Umso wichtiger ist es, sie regelmäßig auf den neuesten Stand zu bringen. Dies hängt zum einen mit den sich ständig wandelnden Bedrohungsszenarien zusammen. Gleichzeitig verändern sich die technischen Möglichkeiten, um Risiken zu reduzieren. Außerdem müssen die Policies an neue Arbeitswerkzeuge und –modelle angepasst werden, ebenso wie an strategische Veränderungen im Unternehmen, wie sie etwa durch Fusionen und Akquisitionen auftreten können.

Für die meisten Unternehmen praktikabel sind Review-Intervalle von ein bis zwei Jahren. Um den Aufwand für Aktualisierungen und Ergänzungen in Grenzen zu halten, sollte ein Unternehmen einen sauberen und modularen Ansatz für das Regelwerk wählen:

  • Eine Unternehmens-Policy für Informationssicherheit (IS), die die generelle Intention von IS beschreibt und einen allgemeinen organisatorischen und technischen Rahmen vorgibt. Diese Policy ist in der Regel keinen häufigen Veränderungen unterworfen.
  • Standards oder Spezifikationen für die Umsetzung der Unternehmens-Policy in einzelnen Bereichen wie Mobility, dem Schutz vor Schadcode oder für die Entwicklung und Wartung sicherer Anwendungen. Diese können sich mit der Bedrohungslage, dem technologischem Fortschritt oder organisatorischen Änderungen etwas häufiger ändern.

Produktspezifische Richtlinien haben in den Policies und Spezifikationen nichts verloren, da sie stetem Wandel unterliegen. Sie sollten vielmehr getrennt als Richtlinien erfasst werden.

Wer sich mit einem Policy-Review beschäftigt, wird schnell feststellen, wo noch Lücken sind, etwa bei Organisation und Rollen, bei Risikomanagement und bei Datenklassifizierung. Eine Herausforderung ist oftmals die Kommunikation und Umsetzung der Security Policies und Spezifikationen. Speziell bei den Nutzerrichtlinien sind lokale rechtliche Gegebenheiten zu berücksichtigen. Organisationsanweisungen und Betriebsvereinbarungen sollten in Abstimmung mit dem Betriebsrat festgelegt werden.

Posted in Deutsch, Für Journalisten, User Best Practices | No Comments »

Top-5 news of the week

July 8th, 2010
  • 01 July 2010: media transfer AG launches mtG-eID, an electronic identity server that will be used for the new German identity card (to be issued shortly).
  • 01 July 2010: Attachmate announces Luminet, an enterprise fraud management solution.
  • 01 July 2010: IBM to acquire BigFix to advance smarter data centers.
  • 01 July 2010: Cloud7 GmbH acquires Defense AG, a security service provider based in Ismaning/Munich.
  • 07 July 2010: Sourcefire is delivering cloud-based Intrusion Prevention services, based on its open source Snort technology and available through Amazon Web Services.

Please note: These news are relevant for the German IT security market. However, they do not necessarily correspond to my personal opinion.

Posted in English, News / Analysis, Vendor Competitive Intelligence | No Comments »

Top-5 security news of the week

June 13th, 2010
  • Trend Micro Acquires humyo for Premium Consumer and Small Business Next-Generation Online Storage.
  • Check Point Acquires Data Security Startup Liquid Machines.
  • IBM Launches New Security Solutions, Extends Secure by Design Initiative
  • Rumours about vulnerabilities in the recently launched Apple iPad
  • eco Internet Award 2010: eleven Managed E-Mail Security Services are winner in the „Cloud Computing“ category

Please note: These news are relevant for the German IT security market. However, they do not necessarily correspond to my personal opinion.

Posted in English, News / Analysis, Vendor Competitive Intelligence | No Comments »

« Older Entries