CyberSecurity – Single Sign On SSO – Sicherheit gegen gefährdenden Passwort- und Rechte-Wildwuchs

Passwort- und Rechte-Wildwuchs und eine steigende Akzeptanz der Cloud bewirken einen verstärkten Trend zum sogenannten Single-Sign-On SSO.
Diese Authentifizierungsmethode kann durch den Bedienerkomfort und die zentrale Verwaltung auch die Sicherheits- und Compliance-Anforderungen umfassend optimieren.

Im privaten und zunehmend auch geschäftlichen Umfeld kennt man gewisse Sign-In-Varianten über soziale Netzwerke wie Facebook, Twitter, Google, Amazon oder Microsoft als prominente SSO-Plattformen für den integrierten Zugang zu unterschiedlichen Services und Rechten.

Im Unternehmensumfeld wird SSO beispielsweise genutzt, um Nutzern einen integrierten, möglichst simplifizierten Zugriff auf eigene Web- oder Cloud-Anwendungen auf internen Servern oder in der (Hybrid)Cloud zu gewähren. Teilweise wird der Zugang mittels erweiterten Authentifizierungsmechanismen wie z.B. MFA (Multi Factor Authentication) oder 2FA (Two Factor Authentication) per Tokens, SMS, Email, Smartphone Authenticator Apps und dergleichen zusätzlich abgesichert. (ähnlich wie bei modernem eBanking).

Publizierter Artikel bei KSGV Gewerbeverband Schwyz

ksgv.ch – Gewerbeverband – CyberSecurity Sensilibisierung – SingleSignOn SSO MFA – Ausgabe Okt 2018 – Fridels_BLOG_F@R

Werbeanzeigen

BIM ¦ CyberSecurity ¦ Digitalisierung: BIM UND DIE IT-SICHERHEIT

Dynamische und digitale Entwicklungen führen eher früher als später auch zu technischen und prozessualen Sicherheitsherausforderungen. Alle Akteure im Bauprozess – von den Architekten, Ingenieuren und Planern über die Holzbaubetriebe bis hin zur Bauherrschaft – müssen sich im Zuge der Digitalisierungswelle ihrer Branche auch mit Fragen der Sicherheit auseinandersetzen.

Herausforderung Mensch
Ein geeignetes «Security minded»-Modell sollte der Sensibilisierung für eine maximale Sicherheitsorientierung und der Auditierbarkeit in Systemarchitekturen mit allen Akteuren dienen. Damit sich solche strategischen Vorgaben in der Praxis bewähren, stehen die Verantwortlichen vor einigen Herausforderungen.
Denn der Mensch ist – wie man so schön sagt – aus einem krummen Holz geschnitzt und passt sich nicht automatisch in die Prozesse oder Technologien ein. Dies gilt es gerade auch unter Betrachtung der physischen und logischen Sicherheit zu berücksichtigen.

Publizierter Artikel bei „Wir Holzbauer“ 07/18

Wir-Holzbauer-CyberSecurity-BIM-WHB_7_2018

 

CyberSecurity: Sensibilisierung und Stärkung der „Schwachstelle“ Mensch zugunsten der Gesamtsicherheit


Publizierter Artikel bei KSGV als PDF: ksgv.ch – Gewerbeverband – CyberSecurity Sensilibisierung – Schwachstelle Mensch – Ausgabe Juli 2018 – Fridels_BLOG_F@R

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der Analogie zum Schutz der missionkritischen Daten mittels einem Schloss wird in der Grafik gut ersichtlich, dass zwar die Schlösser immer grösser werden jedoch werden die Hämmer (CyberAttacken, Hacker) immer schneller grösser und mittlerweilen verhältnismässig mächtiger (wie ein Vorschlag-Hammer z.B. durch Social Engineering, Künstliche Intelligenz KI / AI) als die Schlösser (Gegenmassnahmen).

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Datenschutz, Datensicherheit, Verschlüsselung und Self-Service im Vordergrund.

Die Sensibilisierung der zunehmend angegriffenen „Schwachstelle“ Mensch bzw. dessen Identität und personenbezogenen Daten ist ein zunehmend wichtiger Faktor beim Erreichen eines möglichst hohen Gesamt-Sicherheits-Niveaus.
Dass unverändert und zunehmend der Mensch und dessen Identität und Rechte das wichtigste Angriffsziel bleibt zeigen die folgenden einfachen Statistik-Aussagen: Rund 90% der erfolgreichen Attacken starten mit einem Phishing-Mail basierend auf Social Engineering (Das geschickt manipulierte Ausnutzen der menschlichen Tendenz zur Gutgläubigkeit und Vertrauen). Danach entsteht bei rund 80% der Fälle ein weitergehender Schaden wegen zu schwachen Kennwörtern bzw. Systemschutz oder zu hohen Berechtigungen des angegriffenen Mitarbeiters in der angezielten Systemumgebung.

Der Mensch als kritisches Einfallstor für CyberAttacken muss umfassend informiert, aufgeklärt, unterstützt und geschützt werden damit er überhaupt eine persönliche Mitverantwortung mittragen kann.

Die Technik alleine nicht mehr reicht gegen die dynamischen Bedrohungslagen von CyberCrime und als Beispiele gegen immer ausgereifteren z.B. Phishing-Mails, Phishing-Webseiten bzw. Social Engineering Attacken. Der weltweit sprunghaft ansteigende Wirtschaftsfaktor CyberCrime bedient sich auch von schier unerschöpfbaren monetären und technologischen Ressourcen und nutzt auch die „andere / dunkle Seite der Macht“ (dual use Problematik) von neuesten technologischen Errungenschaften rund um z.B. Künstliche Intelligenz KI / AI oder Super High Computing.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Kurz-Präsentationen, Visualisierung, Workshops, wiederkehrende Newsletters, interne Informationen, ICT Security Policy und auch Beispiele / Anatomie von erfolgreichen Attacken rund um Gefahren wie z.B. Phishing-Mails, Ransom-Ware, Trojaner, Social Engineering (Das geschickt manipulierte Ausnutzen der menschlichen Tendenz zur Gutgläubigkeit und Vertrauen), Verhaltensansweisungen im Internet / Social Media und beim Datenaustausch / Datenmedien-Nutzung von auch personenbezogenen Daten kann das Gesamt-Schutzniveau zusätzlich effektiv optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)
Je nach Rolle oder Risiko-Exposition des Mitarbeiters (z.B. Kader, Aussendienst, Mobile Workplace, HomeOffice etc.) können dann bei Bedarf weitergehende Detail-Instruktionen und Sondermassnahmen erfolgen und implementiert werden.

Vorsorge ist bekanntlich immer besser als Nachsorge und betrifft auch die ICT-Strategie, ICT-Risk-Management, ICT-Audit bis hin zu auch Compliance-Themen und dem Versicherungswesen.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Daten-, Zugangs- und Rechte-Minimierung“ / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

 

Cybersecurity – Der Virenschutz hat ausgedient!?

ksgv.ch – Gewerbeverband – Virenschutz hat ausgedient – Ausgabe Mai 2018 – Fridels_BLOG_F@R

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Verschlüsselung und Self-Service im Vordergrund.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Beispielen / KnowHow-Transfer rund um Gefahren wie z.B. Phishing-Mails, Trojaner, Social Engineering, Verhaltensansweisungen im Internet und beim Datenaustausch kann das Gesamt-Schutzniveau zusätzlich optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)

„security minded but open minded“ for innovation and digitalization

        

 Beitrag von Fridel Rickenbacher


https://www.digitaldialog.swiss/de/dialog/security-minded-open-minded-innovation-and-digitalization 

Um die Strategie „Digitale Schweiz“ weiterzuentwickeln, braucht es die Bündelung der kreativen und innovativen Kräfte in der Schweiz.Die fortschreitende Digitalisierung hat einen Transformationsprozess ausgelöst, der unsere Gesellschaft und die Wirtschaft betrifft. Daraus ergeben sich oft komplexe Fragen, die diskutiert werden müssen. Deshalb ist es nötig, alle Anspruchsgruppen zu vernetzen und die Zusammenarbeit aller Ebenen der Verwaltung mit der Wirtschaft, der Zivilgesellschaft, der Politik und der Wissenschaft zu fördern. Der Bundesrat hat mit der Verabschiedung seiner Strategie „Digitale Schweiz“ im 2016 zu einem interdisziplinären Dialog zur Weiterentwicklung der digitalen Schweiz aufgerufen.

Eine „security minded“ Grundeinstellung im Rahmen der Digitalisierung / Industrie 4.0 und Gesamt-Konzeption von entsprechenden Prozessen und eingesetzten Technologien ist nicht in jedem Falle ein Widerspruch zum „open minded“, mutigen Hunger gegenüber Innovationen.

Innovationen und Strategien zur Digitalisierung funktionieren wie „rettende“ Fallschirme… am besten wenn sie „offen“ sind! Dieser Leitspruch soll einem vor Augen führen, dass bildlich gesehen selbst der Sprung aus dem sicheren (?) Flugzeug (Business) in neue Erfahrungen (Innovation, Digitalisierung, Industrie 4.0) trotz aller Euphorie begleitet sein sollen von Sicherheitsmechanismen. Genau dadurch lässt es sich vorallem „open minded“ besser „fallen“ in das Wagnis und neuen Erfahrungen in Wissen der besseren Sicherheit.

Echte Innovation und Weiterentwicklung auf strategischer Ebene kann optimiert und teilweise gar erst ermöglicht werden, wenn gewisse operative Kern-Prozesse und Disziplinen als mittragende Säulen wie z.B. Managed Services in den Fachbereichen ICT, Security, Software, Clouds hochstandardisiert bzw. hochspezialisiert betrieben oder gar ausgelagert werden. Erst dann kann man befreiter und unbelasteter «innovativ mitdenken und qualitativ handeln» für neue Geschäftsmodelle und Transformation. Diese Konzentration auf die eigene Kernkompetenz und Auslagerung von möglichst vielen, nicht kernkompetenz-kritischen Prozessen hat wiederum positive Seiteneffekte auf z.B. das eigene Risk Management, Compliance und Auditierung.

Vorallem auch Regulatorien rund um „privacy and security“ wie z.B. das Datenschutz-Gesetz (CH-DSG), elektronischer Identitätsnachweis (CH-e-ID) und internationale, auch für Schweizer Unternehmen relevante Compliance Anforderungen wie die Datenschutzgrundverordnung / general data protection regulatory (EU-DSGVO / EU-GDPR) ab dem 25. Mai 2018 sind hierbei als weitere Impacts zu beachten.

Zwar ist das Auseinandersetzen mit Themen rund um Security, Privacy, Regulatorien, Compliance Anforderungen und Audits auf den ersten Blick vermeintlich unnötig oder mitunter mühsam. Jedoch bieten genau diese auch Chancen, sich mit der Sicherheit und dem Schutz der persönlichen oder firmensensitiven Daten kritisch auseinanderzusetzen, Licht in ältere, optimierbare Prozesse oder gar «ShadowIT» zu bringen und dadurch auch mehr Kontrolle zu erlangen und befreiendes Vertrauen zu schaffen für neue, hochdynamische Herausforderungen der Transformation und Digitalisierung.

 
Fridel Rickenbacher
Unternehmer, geschäftsführender Partner, VR, Fachgruppen-/Verbands-Aktivist