CEBIT 2018 : Messenachlese

Wie war die erste „neue“ CEBIT? Das ist gar nicht so einfach zu beantworten: Beim Blick in die Messehallen, in denen dieses Jahr weniger Security-Aussteller präsent waren, schien das zunächst alles gar nicht so neu – wenn auch in einem etwas aufgelockerten „Layout“. Insgesamt kamen jedoch nur noch 120 000 Besucher aufs Gelände (2017: ca. 200 000). Laut Veranstalter haben allerdings weitere rund 400 000 Teilnehmer online die Livestreams der Konferenzen genutzt und die sozialen Netzwerke der CEBIT sollen jeden Tag mehr als eine halbe Million Menschen erreicht haben.

Auch draußen war alles anders: Riesenrad, Foodtrucks, Musikbühnen, Strandatmosphäre … vermischt mit einem gewissen Maß an Ausstellerpräsenz in Pavillons, Containern oder kleineren Ständen. Wer das Neue wollte, scheint vom Ergebnis überzeugt. So kommentierte Heiko Meyer, Vorsitzender des CEBIT-Messeausschusses und Geschäftsführer von Hewlett Packard Enterprise: „Mit dem Mut zur radikalen Transformation hat das CEBIT-Team die Basis für die Zukunft gelegt. Die neue CEBIT hat Business mit Festival verbunden. Die beteiligten Unternehmen sind von dem neuen Konzept überzeugt.“ Oliver Frese, Vorstand der Deutschen Messe AG, ergänzte: „Wir haben überaus positives Feedback zur Zukunftsfähigkeit des neuen Konzeptes und zu unserem Mut, nicht nur von Disruption zu sprechen, sondern sie auch anzupacken.“

Etwas differenzierter bilanzierte der VOICE – Bundesverband der IT-Anwender: Das neue Konzept sei zwar nicht auf ungeteilte Zustimmung unter den Digitalentscheidern gestoßen, doch die positiven Reaktionen hätten eindeutig überwogen: „Besonders gut angekommen sind die Talk-Formate“, erklärte Dr. Thomas Endres, Vorsitzender des VOICE Präsidiums, und: „Viele Kollegen loben trotz einzelner Kritikpunkte den neuen Ansatz und den Mut der Messe und vieler Aussteller, neue Wege zu gehen.“ Letztlich könne bei einer Premiere nicht alles perfekt laufen – so müsse etwa „noch eine bessere Balance zwischen Business-Event und Festival gefunden werden“, um eine zu geringe Betonung der Geschäftswelt zu kompensieren.

Die Kollegen von heise online konstatierten: „Die Cebit 2018 ist tatsächlich eine komplett neue Messe geworden. … [Sie] war ein gelungener erster Aufschlag und sie hat Spaß gemacht.“ Die „alte IT, die ihre Technik auf Ständen wie seit 20 Jahren präsentierte, dürfte dagegen enttäuscht sein“ – und müsse vielleicht überlegen, was man nächstes Jahr anders machen könnte. Die CEBIT werde den „Spagat zwischen alter IT und neuen Konzepten“ auch in Zukunft aushalten müssen – ob sie dauerhaft erfolgreich sein kann, müssten die nächsten Jahre erweisen.

Gleichermaßen muss man abwarten, ob die Security-Branche die Chance wahrnehmen will und kann, dieses wichtige Querschnittsthema ins Event-Format zu übersetzen und auf den kommenden CEBITs auch einem breiteren Publikum näherzubringen. Die nächste Chance dazu gibt es vom 24. bis 28. Juni 2019.

Produkte und Aussteller

Zum ersten Mal auf der CEBIT war die APIIDA AG (vormals Vero Certus GmbH), die dort ihr Produktportfolio rund um die Themen Identity- und Access-Management (IAM) sowie API-Management gezeigt hat. Als Neuheit hatte das Unternehmen unter anderem die „Business Edition“ von APIIDA Mobile Authentication im Gepäck, einer Lösung zur 2-Faktor-Authentifizierung mittels Smartphone. Anders als die „Enterprise Edition“, die auf Zertifikaten beziehungsweise einer Public-Key-Infrastruktur (PKI) aufsetzt, nutzt die neue „Business Edition“ eine Kombination aus Benutzername/Passwort sowie einer PIN oder einem Fingerabdruck-Scan. Dabei werde das Secure Element (SE) des Smartphones zur sicheren Speicherung von Credentials verwendet, wodurch man das Sicherheitsniveau einer Smartcard erreiche. Die Kommunikation mit dem PC beziehungsweise Zielsystem der Anmeldung erfolgt via „Bluetooth Low Energy“ (BLE). Dadurch ergebe sich einerseits ein geringer Energieverbrauch am Handy und andererseits nutze man die darin spezifizierte Feldstärkemessung, um einen „Annäherungssensor“ zu implementieren, der beim Überschreiten einer vorgegebenen Entfernung das Anmeldesystem sperren kann. Die Lösung besteht aus einer Smartphone-App für Android-Systeme, einer Client-Komponente (Credential-Provider) sowie einem Backend-System zur Integration in eine (bestehende) PK-/Zertifikats-Infrastruktur. (https://apiida.com)

Cloud-Security / OpenStack

OpenStack darf wohl als De-facto-Standard für Open-Source-Cloud-Computing und Rechenzentren gelten. Die Lösungen sind beliebig skalierbar und lassen sich je nach aktueller Auftragslage flexibel erweitern oder reduzieren, wodurch Unternehmen jeder Größe mit OpenStack eine maßgeschneiderte Cloud-Struktur ermöglicht wird, erklärt secunet. Um in diesem Umfeld auch erhöhte Sicherheitsanforderungen beispielsweise von Forschungs- und Entwicklungs-Einrichtungen (F&E), Industrie-4.0-Anwendungen sowie Behörden und Banken umzusetzen, haben secunet und Cloud&Heat eine Kooperation geschlossen, deren Ziel es ist, eine sicherheitsgehärtete Cloud-Plattform für kritische Prozesse und Daten zu etablieren. Denn eine OpenStack-Infrastruktur könne eine hohe Komplexität erreichen, was Anbieter und Nutzer vor Herausforderungen unter anderem beim Lifecycle-Management stellen kann. Außerdem besitze OpenStack selbst zunächst nur einen begrenzten kryptografischen Schutz für Ressourcen in der Cloud. Hier soll das Projekt SecuStack ansetzen und eine modulare Lösung schaffen, die sowohl Code-Erweiterungen (SecuStack Core) als auch eine Management-Komponente (SecuStack Infra) umfasst. (www.secunet.com / www.secustack.com)

Mit seinem virtuellen Cloud Security Gateway hat genua eine neue Lösung zur Absicherung der Cloud/Internet-Schnittstelle vorgestellt: Das Gateway prüfe empfangene Daten auf Anwendungsebene, um unerwünschte Inhalte oder gefährliche Malware zu erkennen und abzublocken – mit TSL verschlüsselte Daten würden dazu dekodiert und ebenfalls analysiert. Der Umfang dieser Inhaltskontrolle unterscheide das System dabei von anderen Sicherheitslösungen wie Paketfiltern und vielen Next-Generation-Firewalls, die keine oder nur stichprobenartige Content-Analysen durchführen. Pro genutztem Core bietet das virtuelle System nach Herstellerangaben einen Datendurchsatz von bis zu 700 Mbit/s. Steige die Datenlast an der Schnittstelle, starte das Cloud-Management automatisch weitere Gateway-Instanzen, die bei geringerem Durchsatz wieder deaktiviert werden. Das System ist derzeit auf die Absicherung von Clouds auf OpenStack-Basis ausgelegt, werde aber noch an weitere Umgebungen angepasst. Darüber hinaus hat genua Lösungen zur sicheren Fernwartung von Maschinen in Produktionsbereichen gezeigt: Die Fernwartungs-Appliance genubox ermögliche es, Wartungsverbindungen ausschließlich aus dem Kundennetz heraus zu initiieren und zuverlässig zu verschlüsseln. Der Hersteller-Service am anderen Ende muss sich authentifizieren und seine Aktionen werden per Videomitschnitt aufgezeichnet, um Verantwortlichkeiten jederzeit klären zu können, betont der Anbieter. (www.genua.de)

Auch Rohde & Schwarz Cybersecurity hat eine Cloud-Security-Lösung präsentiert: R&S Trusted Gate setze auf eine neue Art der Absicherung von Daten in der Cloud mittels „datenzentrischer Sicherheit“. Darüber hinaus hat das Unternehmen seine neue Firewall-Linie R&S Unified Firewalls vorgestellt: Dabei biete die Integration von Deep-Packet- (DPI) und SSL-Inspection einen transparenten Einblick in den IP-basierten Netzwerkverkehr und soll eine hochpräzise Klassifizierung von Netzwerkprotokollen ermöglichen, um feingranulare Sicherheitsrichtlinien einzurichten. Als weitere Vorzüge nennt das Unternehmen ein intuitives Webinterface und webbasiertes Command-Center: So ließen sich Sicherheitsrichtlinien von jedem Browser aus einstellen – Anwender könnten im Ernstfall auch über Tablet und Smartphone auf die Administrationsoberfläche zugreifen und notwendige Anpassungen schnell vornehmen. Die Benutzerfreundlichkeit des Web-interfaces sorge dabei für eine „unkomplizierte Konfiguration“ und vermeide damit eine der Hauptursachen für Sicherheitslücken. (https://cybersecurity.rohde-schwarz.com/de)

Junge Unternehmen / Start-ups

comcrypto liefert Lösungen für sichere E-Mail, vor allem im B2C-Umfeld: Neben dem Secure-Mail-Client encurity.complete für kleine Installationen gibt es mit encurity.business auch eine Art virtuelle Poststelle, die als Desktop-Hintergrundanwendung läuft und E-Mails für Anwender vollständig transparent verschlüssele. Dabei werden laut Anbieter alle potenziell vertraulichen Daten chiffriert (Betreff, Textteil und alle Anhänge von vertraulichen E-Mails). Das Schlüsselmanagement arbeite automatisch – unbekannte Kommunikationspartner könnten ein separat zu übermittelndes Passwort zur Entschlüsselung eines HTML-Anhangs durch aktive Inhalte nutzen. Zur Verschlüsselung/Signatur kommen anerkannte standardisierte Algorithmen zum Einsatz – ein proprietäres Übermittlungsprotokoll sorge dabei für kryptografische Folgenlosigkeit (Perfect Forward Secrecy) auf Nachrichtenebene. (https://comcrypto.de)

Eine kombinierte Lösung für IT-Monitoring, Host-Management und Sicherheitsanalysen will Enginsight anbieten. Das System ist in verschiedenen Ausbaustufen als Software-as-a-Service (SaaS) oder On-Premise-Lösung
verfügbar. In Sachen Sicherheit sind unter anderem die Funktionen zum Schwachstellen-Scan von außen gegen
die OWASP Top-10 sowie eine Threat-Intelligence-Komponente zu nennen, die aus der Innensicht via SoftwareAgents die eigenen Systeme analysieren könne. Zudem zeige die Threat-Manager-Komponente auf einen Blick, welche Webseiten, Anwendungen und Server von einer Sicherheitslücke betroffen sind – dazu halte die Lösung die CVEs aller Systeme und Plattformen vor und ermögliche darin auch eine Suche nach Hersteller oder Produkt. Patchund Update-Management sowie die Automatisierung von Workflows sollen zudem bei der Beseitigung von Schwachstellen unterstützen. (https://enginsight.com)