News und Produkte
Standard für sichere, passwortlose Anmeldungen im Web
Das World Wide Web Consortium (W3C) und die FIDO Alliance haben Anfang März bekanntgegeben, dass die Spezifikation Web Authentication (WebAuthn, https://www.w3.org/TR/webauthn/) nunmehr ein offizieller WebStandard ist. Bei WebAuthn handele es sich um eine Kernkomponente der FIDO2-Spezifikationen, eines Browser-/Plattformstandards für eine gleichzeitig einfache wie starke Authentifizierung. Die API zum Zugriff auf Public-KeyCredentials werde bereits in Windows 10, Android und Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari (Vorschau) unterstützt.
Mit WebAuthn können sich Benutzer mit einem Gerät ihrer Wahl bei Internetkonten anmelden. Webservices und Apps können – und sollten – diese Funktion aktivieren, damit ihre Nutzer sich mit biometrischen Verfahren, mobilen Geräten und/oder FIDO Security-Keys anmelden können, empfiehlt eine gemeinsame Pressemitteilung. Das sei einfacher und gewährleiste eine deutlich höhere Sicherheit als die Anmeldung nur mithilfe von Passwörtern. (www.w3.org / www.fidoalliance.org)
Handreichung zum Stand der Technik
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und der TeleTrusT – Bundesverband IT-Sicherheit e. V. haben im Februar eine Handreichung zum Stand der Technik in der IT-Sicherheit veröffentlicht. Verschiedene nationale wie europäische Regularien – allem voran die EU-Datenschutzgrundverordnung (DSGVO) – fordern die Orientierung der IT-Sicherheit am „Stand der Technik“, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist. Der TeleTrusT hat hierzu nun eine 73-seitige Handreichung erarbeitet, deren englische Sprachfassung in Kooperation mit der ENISA publiziert wird.
Das Dokument liefert laut TeleTrusT konkrete Hinweise und Handlungsempfehlungen und könne als Referenz, zum Beispiel für vertragliche Vereinbarungen und Vergabeverfahren oder auch für die Einordnung implementierter Sicherheitsmaßnahmen dienen. Es ersetze zwar keine technische, organisatorische oder rechtliche Beratung oder Bewertung im Einzelfall, unterstütze aber Unternehmen, Anbieter und Dienstleister bei der Einschätzung und Definition des Stands der Technik.
Die zeitgleich veröffentlichte englische Fassung unterstreicht dabei eine europäische Ausrichtung. ENISA Executive Director Dr. Udo Helmbrecht kommentierte: „Die Mitwirkung an diesem Handbuch ist Teil der Unterstützung, die ENISA für die EU-Mitgliedsstaaten leistet. Die Inhalte bieten konkrete Informationen und Empfehlungen, wie die IT-Sicherheit verbessert werden kann. Für IT-Experten ist die Handreichung eine nützliche Leitlinie, um in der Praxis den rechtlichen Anforderungen technisch gerecht zu werden.“
TeleTrusT-Vorstand Rechtsanwalt Karsten U. Bartels ergänzte: „Die Berücksichtigung des Stands der Technik ist eine technische, organisatorische und rechtliche Aufgabe für Unternehmen und Behörden. Die Handreichung hilft auf diesen drei Ebenen sehr konkret – und das sowohl bei der operativen Umsetzung als auch bei deren Dokumentation.“
Die deutsche PDF-Fassung ist über www.teletrust.de/publikationen/broschueren/stand-der-technik/ kostenlos zum Download verfügbar, die Version in englischer Sprache über www.teletrust.de/en/publikationen/broschueren/state-of-the-art-in-it-security/. (www.teletrust.de / www.enisa.europa.eu)
Leitfaden zur technischen Umsetzung von IoT-Security
Kaspersky Lab hat gemeinsam mit weiteren Mitgliedern des Industrial Internet Consortium (IIC) einen Leitfaden zur technischen Umsetzung von Security im Internet of Things (IoT) entwickelt. Der Security Maturity Model (SMM) Practioner’s Guide unterstütze IoT-Betreiber bei der Einschätzung ihres aktuellen und anvisierten Security-Reifegrads, helfe bei der Optimierung des IoT-Sicherheitsniveaus und empfehle anhand von 36 Parametern entsprechende Verbesserungen.
Der SMM-Leitfaden baue dazu auf Konzepten auf, die bereits 2016 als IIC Industrial Internet Security Framework definiert wurden (vgl. www.iiconsortium.org/pdf/IIC_PUB_G4_V1.00_PB-3.pdf ). Das angepasste Modell befasst sich im neuen Leitfaden mit einem Security-Maturity-Ansatz für das Internet der Dinge. Es identifiziere dazu einen Sicherheitsrahmen für IoT-Interessengruppen auf Grundlage ihres Sicherheitsniveaus und bewerte den Reifegrad der Security von IoT-Systemen eines Unternehmens anhand von Governance, Technologie und Systemmanagement
Die Leitlinien habe man unter Berücksichtigung verschiedener IoTInteressengruppen erstellt, betont Kaspersky. Der Grund: Die Sicherheit einer Infrastruktur, die Informationssysteme mit physischen Objekten verbindet, sei in Zeiten der Digitalisierung gleichermaßen für Betreiber von Industrieanlagen, Entwickler von Spezialsoftware, Inhaber relevanter Unternehmen und Aufsichtsbehörden essenziell. Das IoT-SMM berücksichtige daher anders als viele Regulierungsstandards und -anforderungen die Interessen und Sicherheitsanforderungen aller Organisationen und Einzelpersonen, die an IoT-Vorgängen beteiligt sind und diese verwalten.
Darüber hinaus enthalte der Leitfaden drei Fallstudien, die bei der Anwendung des Security-Maturity-Models helfen. Dazu gehören ein intelligentes, datengesteuertes Abfüllsystem, ein Automotive-Gateway, das OTA-Updates unterstützt, sowie drittens Sicherheitskameras für den Einsatz in Wohngebieten.
Die Expertengruppe habe fast zwei Jahre lang an dem Projekt gearbeitet: Anfang 2017 untersuchte demnach das Team für Security-Applicability, das sich auf die Anwendung von Sicherheitspraktiken in realen IoT-Anwendungen im IIC konzentriert, ein Reifegradmodell. Als Autoren und Beitragende führt der SMM Practitioner‘s Guide Sandy Carielli (Entrust Datacard), Matt Eble (Praetorian), Frederick Hirsch (Fujitsu), Ekaterina Rudina (Kaspersky), Ron Zahavi (Microsoft) und Marcellus Buchheit (Wibu-Systems) auf. Das Dokument ist unter www.iiconsortium.org/pdf/IoT_SMM_Practitioner_Guide_2019-02-25.pdf als 129-seitiges PDF in englischer Sprache kostenlos erhältlich. Er ist ein Begleitdokument zum IoT SMM: Description and Intended Use White Paper, das bereits 2018 veröffentlicht wurde und über www.iiconsortium.org/pdf/SMM_Description_and_Intended_Use_FINAL_Updated_V1.1.pdf in einer aktualisierten Version ebenfalls kostenlos verfügbar ist. (www.iiconsortium.org / www.kaspersky.com)
Praxis-Ratgeber Videosicherheit erweitert
Die Ende Februar erschienene 4. Auflage des „Praxis-Ratgebers Videosicherheit“ des BHE Bundesverband Sicherheitstechnik e. V. greift laut Herausgeber nun auch das Thema Cyber-Security bei Videoanlagen sowie die Auswirkungen des neuen Datenschutzrechts auf. Damit Überwachungskameras die gewünschte Wirkung entfalten, seien viele Stellschrauben zu beachten – von der Auswahl der Videotechnik bis zum Zusammenspiel mit anderen Sicherheitskomponenten, aber auch externen Sicherheitsdienstleistern. Der BHE-Ratgeber solle Planern, Errichtern und Anwendern hier möglichst passgenaue Entscheidungen ermöglichen.
Die überarbeitete Neuauflage sei notwendig geworden, weil technische Aspekte und rechtliche Fragestellungen sich in den vergangenen Jahren erheblich verändert haben, betont BHE. Die umfassend aktualisierte und erweiterte Ausgabe für 2019/2020 führe auf rund 200 Seiten „nahezu alle wichtigen Details“ auf, die für ein leistungsfähiges Videosicherheitssystem sowie für seinen rechtssicheren Betrieb von Bedeutung sind. Der Praxisratgeber wird als Einzelexemplar zum Preis von 14,80 e (zzgl. MwSt. und Versand) angeboten – für größere Bestellmengen gibt es Staffelpreise. Das Inhaltsverzeichnis sowie verschiedene Leseproben sind unter www.bhe.de/de/Praxisratgeber-Video einsehbar. (www.bhe.de)
Firmen, Finanzen & Fusionen
- Deutsche Post verkauft ihren Messenger an die Brabbler AG: Die Betreiberin des Business-Messengers ginlo habe mit der Deutschen Post eine verbindliche Vereinbarung zum Erwerb von SIMSme getroffen. Im Gegenzug beteilige sich die Deutsche Post an der Brabbler AG, um „auch weiterhin an der positiven Entwicklung“ des Produkts teilzuhaben. (brabbler.ag / www.dpdhl.de)
- Deutschlandstart von Cybereason: Das in den USA gegründete Unternehmen baut mit seiner Präsenz in Deutschland nach eigenen Angaben die weltweit fünfte Zweigstelle auf. Seine Cyber-DefensePlattform ermögliche die Erkennung von Bedrohungen in Echtzeit, decke mithilfe künstlicher Intelligenz (KI) und Verhaltensdaten Anomalien und Gefahren auf und unterscheide im gesamten Unternehmen zwischen gutartigen und bösartigen Vorgängen. (cybereason.com)
- Giesecke+Devrient startet neues Unternehmen für AppSicherheit: Mit der Gründung des Spin-outs Build38 GmbH übertrage man alle Aktivitäten rund um das Thema sichere Apps und sichere mobile Software an ein eigenständiges Unternehmen. Das Portfolio ziele auf App-Entwickler sowie Großunternehmen und biete diesen Funktionen für Sicherheit, Kontrolle, Verbindung und Reporting. (gi-de.com / https://build38.com)
- Partnerschaft von INSYS icom und Rhebo: Der Industrierouterhersteller und das Netzwerksicherheitsunternehmen wollen gemeinsam ein breiteres Portfolio für Cybersicherheit und Netzwerkstabilität anbieten. Nutzer der INSYS icom Industrierouter sollen zukünftig die industrielle Anomalieerkennung Rhebo Industrial Protector als Virtual Machine auf ihren Geräten integrieren und somit ein umfassendes Monitoring der Sicherheit und Performance ihrer Steuerungsnetze aufbauen können. (insys-icom.de / www.rhebo.com)
- Kooperation von Koramis und Symantec: Das auf Cybersicherheit spezialisierte Unternehmen der euromicron-Gruppe und Symantec wollen gemeinsam kritische Produktionsumgebungen vor Cyberattacken schützen. Im Mittelpunkt der strategischen Partnerschaft stehe dabei der „Schutz anspruchsvoller Industrial-Internet-of-Things- (IIoT)-Netze“. (koramis.de / www.symantec.com)
- NTT Security Corporation akquiriert WhiteHat Security: Nach der Übernahme werde das bislang in Privatbesitz befindliche Unternehmen als unabhängige, hundertprozentige Tochtergesellschaft agieren. Gemeinsam wolle man mit einem erweiterten Lösungsangebot zukünftig Sicherheitsanforderungen „von der IT-Infrastruktur bis hin zu kritischen Geschäftsanwendungen“ erfüllen und den gesamten Lebenszyklus der digitalen Transformation abdecken. (nttsecurity.com / www.whitehatsec.com)
- P3 group gründet neue Tochterfirma: Mit der P3 security consulting GmbH wolle die Stuttgarter Unternehmensberatung ihren Kunden künftig „professionelle Beratung für die komplexe IT- und CyberSecurity-Welt“ anbieten. Kernkompetenz sei ein „umfassendes, skalierbares Baukastensystem für dieses oft unternehmenskritische Thema“. (p3-group.com)
- Sophos übernimmt DarkBytes: Der Anbieter von Endpoint-Security-Plattformen biete „Unternehmen jeder Größe eine einheitliche Plattform für SecurityOperations-Center-(SOC)-Services“; erste Produkte waren nach Firmenangaben seit etwa einem Jahr auf dem Markt. Mit der Akquisition wolle Sophos eine Grundlage für neue Dienstleistungen zur Managed Detection and Response (MDR) legen. (www.sophos.de / darkbytes.com)
- Venafi und nCipher Security erweitern Zusammenarbeit: Im Rahmen einer Technologiepartnerschaft kombiniere eine integrierte Lösung Venafi Advanced Key Protect mit nCipher nShield Hardware-Sicherheitsmodulen (HSM). Das Produkt könne zu Skalierung, Erzeugung und Schutz von Maschinenidentitäten „auch in komplexen, hochsicheren Umgebungen“ eingesetzt werden. (venafi.com / www.ncipher.com)