BWI | HERKULES im Faktencheck » HERKULES bloggt ...

Cloud-Dienste: Sicherer und transparenter dank BSI-Anforderungskatalog

Thu, 24 Mar 2016 07:29:40 +0000

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich des Themas Cloud Computing angenommen. Um die Informationssicherheit und die Transparenz von Cloud-Diensten zuverlässig beurteilen zu können, veröffentlichte das BSI am 14. März 2016 einen Anforderungskatalog. Bei der CeBIT in Hannover stellte sie ihn vor.

2006 wurde Cloud Computing erstmals theoretisch behandelt. Seitdem ist der Einsatz von Cloud-Technologien bei IT-Dienstleistungen zu einer bedeutsamen Größe geworden. Doch während sich standardisierte Prozesse und Infrastrukturen herausgebildet haben, wie eine Cloud zu betreiben ist, sieht das bei der Sicherheit noch etwas anders aus. „Beim Cloud-Computing existiert noch kein etabliertes Mindestmaß an Sicherheit, sondern ein Potpourri an Standards und Zertifikaten, die beim Kunden für Verwirrung sorgen“, bemängelte Dr. Patrick Grete vom BSI bei der CeBIT. Das BSI wolle dem effektiv entgegenwirken, indem es in einem Katalog klare und prüfbare Anforderungen vorgebe.

114 Anforderungen sollen Klarheit schaffen

Das BSI bediente sich bei der Erstellung seines Anforderungskatalogs überwiegend aus bereits vorhandenen Standards und konkretisierte dort, wo dies sinnvoll bzw. notwendig erschien. Erfüllen Cloud-Dienstleister die 114 Anforderungen, dann erlangen sie ein international anerkanntes Testat. Der Katalog hält neben den Basisanforderungen gegebenenfalls weiterführende Anforderungen bereit. So können unterschiedliche Sicherheitsbedürfnisse berücksichtigt und bescheinigt werden. Etwa wenn physikalische Zutrittskontrollen in Rechenzentren einer sogenannten Zwei-Faktor-Authentifizierung unterliegen.

Wirtschaftsprüfer untersuchen Wirksamkeit der Maßnahmen

Die Prüfung durchführen und das Ergebnis bestätigen sollen Wirtschaftsprüfer. Das BSI entschied sich laut Dr. Grete zu dieser Vorgabe, da viele Unternehmen ohnehin gesetzlich dazu verpflichtet seien, ihre Jahresabschlussprüfung von Wirtschaftsprüfern durchführen zu lassen. Da dies auch die Prüfung der IT-Systeme umfasse, könnten Synergieeffekte genutzt werden. Der Wirtschaftsprüfer habe vor allem darauf zu achten, dass sicherheitsrelevante Prozesse bei Cloud Anbietern nicht nur vorhanden und etabliert seien, sondern vor allem wirksam. „Dazu werden bei der Prüfung aller Anforderungen konkrete Fälle aus der Praxis des Anbieters betrachtet“, konkretisierte Dr. Grete. Der klar formulierte Anforderungskatalog setze dem Prüfer bei seiner Bewertung des Cloud-Dienstleisters im Übrigen enge Grenzen. Letztlich müssten seine Prüfergebnisse einer gerichtlichen Überprüfung standhalten können.

Umfeldparameter sorgen für Transparenz

Das Ziel des BSI ist es, ein vertrauenswürdiges Sicherheitsniveau zu erlangen. Um eine kundenfreundliche Transparenz herzustellen, sind im Anforderungskatalog sogenannte Umfeldparameter enthalten. Sie tragen eine Fülle an Details zusammen. Etwa, wo die Daten tatsächlich vorgehalten werden, wie der Dienst konkret erbracht wird, wo der Gerichtsstand ist, welche Zertifizierungen bereits erlangt wurden und wie die Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen sind. Die Offenlegung solcher Informationen soll Cloud-Dienste transparenter machen. Unterauftragnehmer sind entweder komplett durch den Wirtschaftsprüfer mitzuprüfen oder der Cloud-Anbieter vereinbart mit dem Unterauftragnehmer, dass sich dieser regelmäßig in einem separaten Verfahren durch einen Wirtschaftsprüfer testieren lässt.

Fragenkatalog soll weiterentwickelt werden

Dr. Grete stellte bei der CeBIT abschließend klar, dass der Fragenkatalog ein lebendes Dokument darstelle, das regelmäßig fortgeschrieben und kontrolliert werde. Dabei ermunterte er ausdrücklich die Mitglieder der Cloud-Community daran mitzuwirken.

]]>

Die kleine CeBIT in olivgrün

Fri, 15 May 2015 09:00:36 +0000

Am 6. und 7. Mai war Bad Godesberg erneut Treffpunkt für IT-Experten aus der Bundeswehr und Behörden und Organisationen für Sicherheitsaufgaben (BOS). Zum 29. Mal fand die AFCEA Fachausstellung statt, diesmal unter dem Motto „IT ‚organisiert‘ – Bundeswehr und Behörden in der digitalen Welt“. Da durfte die BWI nicht fehlen und hatte nicht weniger als Ausblicke in eine mögliche Zukunft des IT-Systems der Streitkräfte im Gepäck.

Mehr Mobile Computing, mehr Cloud-Technologie, mehr Kollaboration – in diesem Dreiklang lässt sich die Zukunft zusammenfassen. Und zu allem hatte die BWI eine entsprechende Lösung aus der Praxis dabei. Zum Beispiel: ConnectLw. Was als kleines Pilotprojekt startete ist nun ein cloudbasiertes Netzwerk mit rund 3.000 Nutzern. Der Clou: Alle Anwender können – obwohl räumlich und örtlich verteilt – problemlos zusammenarbeiten, sei es mit Blogs, Wikis oder anderen Web-2.0-Werkzeugen. Damit konnte der immer weiter steigenden E-Mail-Flut Einhalt geboten werden.

Vorreiter Kollaborationsplattformen

Neben den vielen Vorteilen von Netzwerken in der Cloud muss aber vor allem eines stets gewährleistet sein: die IT-Sicherheit. Ein Aspekt, der auch auf der „großen“ CeBIT in Hannover stark diskutiert wurde. Die BWI hat in Bad Godesberg einen Überblick über die von ihr in den letzten Jahren implementierten IT-Sicherheitsmaßnahmen gegeben und anhand von Beispielen gezeigt, welche Bedrohungen entstehen könnten und wie dagegen vorgegangen wird.

Virtuelle Zukunft

Neben laufenden Projekten erweckte auf der Fachausstellung der Blick auf zukünftige IT-Lösungen großes Interesse bei den Besuchern. So war das Projekt „Virtuelle-Desktop-Infrastruktur (VDI)“, das sich gerade noch in der Entwicklung befindet, Anziehungspunkt. Bei der VDI befinden sich Betriebssystem und Software nicht mehr direkt auf dem PC, sondern werden komplett aus der Cloud bezogen. Der Nutzer hat die Möglichkeit, sich mit jedem zugelassenen Endgerätetyp anzumelden und kann jeweils auf seine eigenen Daten zugreifen. Updates müssen nicht mehr individuell auf allen 140.000 HERKULES-APC aktualisiert werden, sondern nur noch einmal – in der Cloud.
„Über mangelnden Zulauf konnten wir uns wirklich nicht beklagen“, fasst Jochen Reinhardt, Pressesprecher der BWI, zusammen. „Unser Stand war teilweise rappelvoll. Dies zeigt, dass wir mit unserem bewährten Konzept weiterhin richtig liegen: eine Plattform für Gespräche bieten und darüber hinaus eine zukunftsweisende Informationstechnologie für die Bundeswehr greifbar machen.“ – Die nächste AFCEA Fachausstellung ist vom 27. auf den 28. April 2016 wieder in der Stadthalle Bonn-Bad Godesberg.

]]>

CeBIT 2015 – Die digitale Transformation schreitet voran

Tue, 31 Mar 2015 08:16:49 +0000

Es ist das zweite Jahr nach ihrer Fokussierung auf professionelle Geschäftskunden und die CeBIT legt zu – an Fläche und Besucherzahlen. Was waren die Highlights 2015?

3.300 Aussteller aus 70 Nationen, 200 Sprecher und insgesamt 201.000 Besucher, das ist die Bilanz der größten IT-Messe der Welt. Unter dem Motto „D!conomy“ rückten die Veranstalter die Digitalisierung aller Bereiche von Wirtschaft und Gesellschaft in den Mittelpunkt. Oliver Frese, Vorstand der Deutschen Messe AG, dazu: „Die Besucher der CeBIT wollen Orientierung in der digitalen Wirtschaft. Insbesondere der Mittelstand hat erkannt, dass er vor großen Herausforderungen steht – und hat die CeBIT als die relevante Plattform für sich genutzt.“ Der Anteil der Besucher aus Unternehmen mit bis zu 1.000 Mitarbeitern habe deutlich zugenommen, so Frese. „Außerdem stellen wir ein stärkeres Interesse aus nahezu allen Anwenderindustrien fest.“

Datenschutz im Internet der Dinge

Im Mittelpunkt vieler Gespräche an den Messeständen standen Lösungen für das Internet der Dinge. Sicherheit war dabei ein großes Thema, da Anlagen und Komponenten in intelligenten Fabriken künftig untereinander vernetzt sein werden. Die gesammelten und zentral abgelegten Daten sind ein attraktives Angriffsziel für Hacker. Darunter fallen auch Personaldaten. Viele Aussteller kennen diese Problematik und präsentierten neue Lösungen für bestmöglichen Schutz.

Beispiel Bundesdruckerei: Mit einem intelligenten Ausweisdokument erhöhen die Berliner Experten das Sicherheitsniveau ihrer Kunden. Der Vorteil liegt in der Kombination aus Besitz des Ausweises und der zusätzlichen biometrischen Erkennung des Fingerabdrucks. Es werden dabei keine personenbezogenen Daten an ein Hintergrundsystem übermittelt. Alles wird auf dem Dokument gespeichert. „Diese sogenannte Verification on Document ist einfach in der Bedienung, schnell und bietet eine hohe Sicherheit“, sagte Ulrich Hamann, Vorsitzender der Geschäftsführung der Bundesdruckerei GmbH.

Nach fünf Tagen in Hannover nehmen die Besucher daher vor allem eines mit: Die digitale Transformation schreitet mit großen Schritten voran, birgt aber auch Gefahren für sensible Daten in Unternehmen.

Die nächste CeBIT findet vom 14. bis 18. März 2016 statt.

]]>

Digitaler Wandel braucht seine Zeit

Wed, 25 Mar 2015 07:57:43 +0000

Die Digitalisierung hat begonnen, auch bei der Bundeswehr und anderen Organisationen mit Sicherheitsaufgaben (BOS). Dass es allerdings kein Ad-hoc-Projekt ist, hat das CeBIT-Forum von AFCEA Bonn und dem Behörden Spiegel in Hannover deutlich gemacht.

Wie digital sind Bundeswehr und andere Behörden und BOS? Was fehlt noch? Und was bietet die Industrie? Um Antworten auf diese Fragen zu finden, trafen sich Vertreter von Bundeswehr und Industrie auf der CeBIT in einem vom AFCEA Bonn und dem Behörden Spiegel organisierten Forum. Generalmajor Dr. Ansgar Rieks, Amtschef Luftfahrtamt der Bundeswehr, berichtete über die Erfahrungen aus der Aufstellung des Luftfahrtamtes. „Wir waren frei, unsere Prozesse und IT zu strukturieren“, sagte er. Sämtliche Maßgaben von mobiler Kommunikation bis hin zu IT-Sicherheit konnten erfüllt werden. Bedenken äußerte Rieks nur hinsichtlich der bestehenden organisatorischen Abläufe. Diese seien nur schwer zu ändern.

Erfahrungen der BWI

Ewald Glaß betonte die Vorteile einer flächendeckenden Digitalisierung. Der Geschäftsführer der BWI Informationstechnik GmbH zeigte anhand der Modernisierung im IT-Projekt HEKRULES, welche Bedeutung die Standardisierung und Zentralisierung nichtmilitärischer Informationstechnologien für eine organisierte IT der Bundeswehr hat. Mit der Einführung eines zentralen User Help Desk oder der Anwendungsfamilie SASPF habe das Projekt auch die IT-Prozesse organisiert und Nutzer unterstützt. Diese Standardisierung erlaube es, künftig Forderungen nach anderen Zusammenarbeitsformen und sichererer Architektur besser umzusetzen.

IT als Mittel zum Zweck

Im weiteren Verlauf der Diskussion wagten die Beteiligten einen Blick in die Zukunft: Dr.-Ing Michael Wunder vom Fraunhofer Institut warb beispielsweise für eine Kultur der Zusammenarbeit. Die Basis dafür sei in der öffentlichen Verwaltung bereits geschaffen, dies würden Gesetzen und politischen Initiativen belegen. Trotzdem sei es noch ein weiter Weg bis zu einem reibungslosen Ablauf aller Prozesse. Einig waren sich die Referenten auf dem Podium, dass IT letztendlich immer ein Mittel zum Zweck sein müsse, um die Menschen, die sie nutzen, so effizient wie möglich in ihrer Arbeit zu unterstützen.

]]>

CeBIT 2015 – Alles im Zeichen der D!conomy

Mon, 16 Mar 2015 09:33:31 +0000

Heute startet die weltgrößte IT-Messe. Wir stellen das Diskussionsthema Nummer eins vor: das Internet der Dinge.

Die Zahl ist gigantisch: Bis 2020 soll es etwa 50 Milliarden vernetzte Geräte geben. Darunter fallen nicht nur PCs, Tablets und Smartphones, sondern auch Küchengeräte, Autos und ganze Fabriken.

Experten sehen im Internet der Dinge den Wegbereiter der vierten industriellen Revolution. Alle Bereiche der Wirtschaft, aber auch das Leben der Menschen im Allgemeinen wird es massiv verändern. Ob in der digitalen Fabrik, in der Warenlogistik, in der Landwirtschaft, im Smart Home, im Straßenverkehr, in der Kommunikation oder in der Medizin.

Experten erwarten ein gigantisches Umsatzplus

Das Internet der Dinge breitet sich rasant aus – vor allem wegen immer kostengünstigeren Sensoren, RFID-Tags und Kleinstrechnern. Das macht nicht nur unser Leben einfacher: Unternehmen in allen Branchen schwärmen von den riesigen Chancen der Technologie. Nahezu alles ist mit allem vernetzt, Daten lassen sich in Höchstgeschwindigkeit verarbeiten und auswerten. Auf diese Weise entstehen völlig neue Geschäftsmodelle und Einsatzzwecke. Deshalb wird auch ein gigantischer Markt erwartet: US-amerikanische Experten erwarten in den kommenden zehn Jahren ein Umsatzplus von 19 Billionen US-Dollar durch das Internet der Dinge. Das wird sich spürbar auf den Arbeitsmarkt auswirken: Heute sind weltweit rund 500.000 Entwickler mit dem Internet der Dinge beschäftigt , bis 2020 sollen es vier Millionen sein.

Herausforderung auch für die Bundeswehr

Beim Thema „Internet der Dinge“ bleibt die Frage nach der Daten-Sicherheit einer globalen Vernetzung letztlich nicht aus. So diskutierten bereits im letzten Jahr auf der AFCEA Fachausstellung verschiedene Experten aus Bundeswehr und Wirtschaft über eventuelle zukünftige Aufgaben. „In der zunehmend vernetzten Welt verzeichnen wir vor allem einen Zuwachs an gezielten und hoch spezialisierten Angriffen“, berichtete Prof. Dr. Gabi Dreo-Rodosek, Lehrstuhlinhaberin für Kommunikationssysteme und Netzsicherheit an der Universität der Bundeswehr in München. Gerade Cloud Computing, die zunehmende Nutzung mobiler Endgeräte und eben das Internet der Dinge seien dabei besonders zu schützen. Alles in Allem komme es dabei auf eine reibungslose Kommunikation zwischen der Bundeswehr, zivilen Organisationen und Nicht-NATO-Staaten an, so das Fazit.

Das Thema Datenschutz und Netzwerk-Sicherheit ist auch auf der diesjährigen CeBIT besonders im Fokus. Viele Aussteller präsentieren ihre Innovationen in dem Bereich. Lösungen, die auch auf der nächsten AFCEA Fachaustellung Thema sein dürften.

]]>