Von DSGVO über IEC 62443 bis ISO/IEC 27000 – IT-Security-Experten müssen ständig neue Anforderungen und rechtliche Vorgaben erfüllen. Mit uns bleiben Sie up to date!
Als Information Security Officer hat Johannes Wollstein jeden Tag eine andere, herausfordernde Aufgabe: Wie man die Software-Entwicklung innerhalb seines sechsköpfigen Teams sicherer machen kann? Darum kümmert sich der 36-Jährige, der seit fünf Jahren in einem Start-up in Nürnberg arbeitet.
Um zu sehen, welche Herausforderungen Johannes tagtäglich begegnen, hat die TÜV SÜD Akademie ihn einen Tag lang an seinem Arbeitsplatz begleitet: Sein erster Weg am Morgen führt zur Kaffeemaschine, während der PC hochfährt. “Ich starte den Tag immer recht gemütlich”, sagt er. “Am Morgen checke ich immer erst einmal meine Mails und sehe mir die anstehenden Tickets an.” Wenn Probleme gleich beseitigt werden können, startet er direkt durch.
Den restlichen Vormittag verbringt Johannes damit, einen Sicherheitsaudit für einen Kunden zu planen: “Die Vorbereitungen werden immer aufwändiger und man muss sorgfältiger arbeiten als noch vor fünf Jahren. Es bleibt auf jeden Fall spannend, wenn man potentiellen Angreifern einen Schritt voraus sein will. Man muss sich schon selbst sehr engagieren und informieren.” Eine der zu beachtenden Richtlinien ist zum Beispiel ISO 27001, der internationale Standard für Informationssicherheitsmanagement.
Cybersecurity rückt immer mehr in den Mittelpunkt und mehr Firmen wünschen spezifische Softwarelösungen. Für den Arbeitsalltag bedeutet das, dass häufiger firmenübergreifende Teams aus externen Entwicklern und Requirements Engineers des Kunden gebildet werden. Auch für die Kollegen aus anderen Bereichen gewinnt das Thema eine immer größere Bedeutung. Grund für die Veränderungen sind die zunehmende Digitalisierung und Internationalisierung und die daran geknüpften Erwartungen von Kunden, die immer häufiger Themen wie Cyber-Sicherheit und Datenschutz explizit einfordern.
Für das Mittagessen bleibt wenig Zeit und so bestellt sich Johannes eine Pizza ins Büro, bevor wir ins anschließende SCRUM-Meeting gehen. In der Sprint-Retrospektive werden die Probleme eines vergangenen Projekts angesprochen: Das gesamte System ist für einige Stunden ausgefallen – und das hat die Produktion eines Kunden temporär lahmgelegt – ein Worst-Case-Szenario.
Doch aus Fehlern lernt man: “Es hilft uns unheimlich, unsere Prozesse zu strukturieren. Wir wachsen durch unsere Aufträge stetig und werden dadurch immer effizienter”, meint Johannes. “Eine Zeit lang dachte ich, dass ich mir alles selber beibringen kann. Für manche Anwendungsgebiete benötigt man aber ein passendes Zertifikat.” Daher hat er vor einigen Monaten ein Seminar zum Führen in agilen Kontexten besucht.
Nach dem Meeting entschuldigt sich Johannes wegen eines Telefonats. “Bei den Integrationstests wurde ein Fehler in der Kommunikation zwischen zwei Modulen entdeckt und wir haben den Bug noch nicht finden können”, erzählt er uns sichtlich angestrengt. Da der Fehler kurz vor der Deadline schnell gefixt werden muss, verschanzt sich Johannes eine ganze Weile mit seinen Kollegen hinter dem Bildschirm.
Kurz vor Schluss verlässt Johannes erleichtert das Büro: “Der Fehler ist gefunden und konnte behoben werden. Der Kunde erwartet ein absolut perfektes Produkt, immerhin hängt die Sicherheit seines Unternehmens davon ab.”
Johannes wurde von seiner IT-Leitung mit der Einführung der ISO 27001 beauftragt, weshalb er die entsprechende Fortbildung der TÜV SÜD Akademie besucht. Möchten auch Sie sich diversifizieren oder Ihr Know-how mit den passenden Zertifikaten veredeln? Wir haben eine Vielzahl an Fortbildungen für Führungskräfte im IT-Bereich, wie IT-Service Management nach ITIL® oder ein Seminar für Agiles Produktmanagement mit SCRUM und KANBAN.
Die Digitalisierung eröffnet nicht nur viele Chancen für Staat, Wirtschaft und Gesellschaft, sondern birgt auch Risiken. Denn überall dort, wo Software eingesetzt wird, verstecken sich auch Sicherheitslücken, die von Hackern und Cyber-Kriminellen gnadenlos ausgenutzt werden können.
Gerade mit der Vernetzung von Geräten, Smart-Home Lösungen und Weiterentwicklungen Richtung Industrie 4.0. können aktuelle Cyber-Bedrohungen wie Ransomware, Exploit Kits, Botnetze und DDoS-Angriffe Schäden verursachen. Einige der größten aktuellen und künftigen Herausforderungen der Cybersecurity haben wir im Folgenden für Sie zusammengefasst:
1. Security-by-Design lautet die Devise
Das Internet-of-Things hält rasant Einzug in den Alltag. Allerdings bietet die Vernetzung intelligenter Geräte nicht nur mehr Komfort für den Verbraucher, sondern öffnet gleichzeitig auch Angreifern die Tür zu persönlichen Daten. Die immer weiter wachsende Anzahl an IoT-Geräten kann zudem für DDoS-Angriffe missbraucht werden und so bei Dritten immensen Schaden anrichten.
Gerade deshalb muss in Zukunft “Security by Design” der Leitsatz sein, an dem sich der gesamte Prozess der Herstellung von IoT-Geräten orientiert und der auch die Lieferketten adäquat einbindet. Praktikable und risikobasierte Sicherheitsstandards mit standardisierten Schnittstellen müssen geschaffen und implementiert werden, um Cyber-Risiken auf ein akzeptables Maß zu begrenzen.
2. Industrielle Anlagen vor Cyber-Angriffen schützen
Anlagen für die industrielle Automation und Leittechnik können heute aus standardisierten Hardware- und Softwarekomponenten zusammengesetzt werden. Diese offenen Systeme erleichtern die Integration und vermindern die Abhängigkeit von Zulieferern. Standardbasierte Komponenten ermöglichen die Vernetzung von Leittechnik, Anlagen und Büro-IT – auch über größere Entfernungen hinweg. Die durchgängige Kommunikation beschleunigt die Produktion, ermöglicht eine bessere Übersicht und senkt die Entwicklungs- und Betriebskosten.
Die Herausforderung für die Sicherheit liegt darin, dass offene Systeme leichter angreifbar sind. Spätestens seit Stuxnet – dem wohl bekanntesten Computerwurm – wissen wir, dass Anlagen der industriellen Automation und Leittechnik angreifbar sind. Daher müssen wir sie gegen feindliche Attacken, Sabotage und Spionage schützen. Die wichtigsten Methoden, um solchen Bedrohungen mit geeigneten Schutzmaßnahmen zu begegnen, sind Analysen, Prüfungen und Tests auf Basis eines fundierten Risikomanagements und international anerkannter Normen wie IEC 62443.
3. Künstliche Intelligenz – Chance und Risiko zugleich
Die künstliche Intelligenz wird auch als Top-Thema der Cybersecurity gehandelt und die Grenze bestehender Hindernisse, z.B. in der Sprachverarbeitung wird ständig verschoben. Ziel ist eine Erleichterung unseres Arbeitsalltags durch weitgehend automatisierte Entscheidungen mit einem ständigen Lernen, das menschliche Fähigkeiten übersteigen soll.
Damit entstehen ganz neue Anwendungsgebiete: Eine wichtige Rolle kann KI in der zunehmend automatisierten Erkennung und Behandlung von Cyber-Risiken einnehmen. In der Umkehrung steht jedoch der Missbrauch von KI durch die intelligente und automatische Ausnutzung dieser Risiken. Damit entsteht ein neues Spannungsfeld, in dem die Risiken der KI beherrschbar und die Chancen für die Cybersecurity nutzbar gemacht werden.
4. Kryptographie – Das Must-have der IT-Sicherheit
Es mag offensichtlich erscheinen, aber die Kryptographie stellt die zentrale Technik zum Schutz digitaler Daten dar. Ohne sie würden Unternehmensgeheimnisse und persönliche Daten beim Online-Shopping oder Online-Banking einfach unverschlüsselt im World Wide Web herumschweben – für jedermann zugänglich.
Aus diesem Grund nennt auch die Datenschutzgrundverordnung (DSGVO) in den knapp beschriebenen technischen und organisatorischen Maßnahmen in Artikel 32 die Verschlüsselung personenbezogener Daten als zentrales Instrument. Besonders im Bereich der E-Mail-Kommunikation muss die Ende-zu-Ende-Verschlüsselung noch weiter ausgebaut werden, da sie im Gegensatz zu den verschlüsselnden Messengern praktisch noch eine Nischenanwendung darstellt.
5. Ohne neue Standards keine Sicherheit
Um IT-Sicherheit gewährleisten zu können, sind fundierte Standards für potenziell gefährdete Systeme oder Software unabdingbar. Aus diesem Grund sind in der IT-Sicherheit weitere Regularien notwendig. So hat die EU-Kommission im Rahmen der europäischen Cybersicherheitsstrategie 2017 den Entwurf der Verordnung "Cybersecurity Act" veröffentlicht. Damit soll ein einheitlicher europäischer Rahmen für die Zertifizierung von IoT-Produkten geschaffen werden.
Ein anderes Beispiel ist das Forschungsprojekt European Cloud Service Protection Certification (AUDITOR). Zielsetzung ist eine europaweit anerkannte Zertifizierung von Cloud-Diensten nach Anforderungen der EU-Datenschutz-Grundverordnung, die geeignete technische und organisatorische Maßnahmen fordert. Die Nutzer von Cloud-Diensten sollen somit eine hohe Sicherheit erhalten.
Eines steht jedenfalls fest: Cybersecurity kann und wird nicht stillstehen. Wie Sie bei den stetigen digitalen Weiterentwicklungen up to date bleiben? Mit unserem Kursangebot im Bereich Cybersecurity und Datenschutz bietet die TÜV SÜD Akademie Ihnen zahlreiche Weiterbildungsmöglichkeiten – damit Sie gegen Cyber-Angriffe bestens gewappnet sind und im Digitalisierungs-Dschungel nicht den Überblick verlieren.
You are using an outdated browser.
Upgrade your browser today to better experience this site.
Upgrade
