Kategorie: Cybersecurity

ISO 27001 Zertifizierung: Sicherheit als Standard unserer Cloud-Produkte

Die Digitalisierung prägt unsere Lebens- und Arbeitswelt wie nie zuvor. Mit dieser Entwicklung wächst die Verantwortung, Daten effektiv zu schützen und eine stabile Servicebereitstellung sicherzustellen gleichermaßen. Informationssicherheit ist längst kein „should“ mehr, sondern ein absolutes „must“.

Als Anbieter industrieller Software-Lösungen aus der Cloud stehen Qualität, Sicherheit und Zuverlässigkeit für uns an erster Stelle. Daher freuen wir uns sehr über die erfolgreiche ISO 27001 Zertifizierung durch Datenschutz Cert. Dies bestätigt unseren Anspruch, Produkte bereitzustellen, die höchsten Sicherheitsstandards entsprechen und Daten wirksam schützen.

Mit Automatisierung zu mehr Sicherheit, Effizienz und Nachhaltigkeit

Unser Ziel war von Anfang an klar: Sicherheits- und Stabilitätsanforderungen mit innovativen Technologien zu erfüllen. Dafür setzen wir konsequent auf Automatisierung und Infrastructure as Code (IaC). Diese Maßnahmen erlauben uns, Sicherheitsmechanismen nicht nur effektiv umzusetzen, sondern sie auch nahtlos in unsere Entwicklungs- und Betriebsprozesse zu integrieren.

Ein entscheidender Aspekt unserer Vorbereitungen war es, Klimarisiken mit einzubeziehen. Ereignisse wie Extremwetter stellen potenzielle Gefahren für IT-Infrastrukturen dar. Daher haben wir Lösungen entwickelt, die sowohl Risiken minimieren als auch die Effizienz steigern – etwa durch Monitoring-Tools und automatisierte Skalierung. Diese Technologien reduzieren nicht nur unsere CO2-Bilanz, sondern tragen auch dazu bei, ein hohes Maß an Sicherheit und Nachhaltigkeit zu gewährleisten.

Sicherheitskultur als Erfolgsfaktor

Informationssicherheit ist mehr als das Erfüllen von Standards – sie ist ein fester Bestandteil unserer Unternehmenskultur. Prinzipien wie Hochverfügbarkeit, Automatisierung und die Nutzung einer Single Source of Truth prägen unsere Arbeitsweise und fördern eine strukturierte Herangehensweise an komplexe Herausforderungen.

Besonders hervorzuheben ist der Beitrag unseres Teams. Regelmäßige Schulungen und ein hohes Sicherheitsbewusstsein sorgen dafür, dass Informationssicherheit nicht nur als Aufgabe der IT betrachtet wird, sondern im gesamten Unternehmen gelebt wird. Diese ganzheitliche Denkweise war ein zentraler Baustein auf unserem Weg zur ISO 27001 Zertifizierung.

Unsere Automatisierungsstrategien sind ein weiteres Beispiel dafür, wie wir Effizienz und Sicherheit miteinander verbinden. Durch die Standardisierung von Prozessen reduzieren wir menschliche Fehler und schaffen gleichzeitig die Grundlage für eine kontinuierliche Weiterentwicklung.

Mehrwert für Kunden und Partner

Für unsere Kunden bedeutet die Zertifizierung vor allem eines: Vertrauen. Die Zertifizierung nach ISO 27001 ist ein international anerkanntes Gütesiegel und bestätigt, dass wir höchste Sicherheitsstandards einhalten. Dies stärkt nicht nur die Zuverlässigkeit unserer Cloud-Produkte, sondern gibt unseren Kunden auch die Gewissheit, dass ihre Daten in sicheren Händen sind.

Auch für unsere Partner bietet die Zertifizierung viele Vorteile. Standardisierte Prozesse und klar definierte Sicherheitsanforderungen erleichtern die Zusammenarbeit, steigern die Effizienz und schaffen eine vertrauensvolle Basis für zukünftige Projekte. Gerade in einem dynamischen Umfeld wie der Cloud-Industrie ist dies ein entscheidender Wettbewerbsvorteil.

Unsere Vision für die Zukunft

Die ISO 27001 Zertifizierung ist für uns kein Endpunkt, sondern ein Meilenstein auf dem Weg, unserer Sicherheitsmaßnahmen immer weiterzuentwickeln. So planen wir beispielsweise, unsere Monitoring-Systeme noch leistungsfähiger zu machen, um potenzielle Risiken nicht nur schneller zu erkennen, sondern auch gezielt zu adressieren. Darüber hinaus wollen wir unser Partnernetzwerk stärken und mit Self-Service-Portalen sowie standardisierten Templates die Zusammenarbeit noch einfacher und effizienter gestalten. Die digitale Landschaft verändert sich ständig – wir sind bereit, uns diesen Herausforderungen zu stellen und die Sicherheit unserer Kunden, Partner und deren Daten zu gewährleisten.

Was bedeutet der Data Act der EU für produzierende Unternehmen?

Erfolgreiche Digitale Transformation bedingt den Zugriff auf Daten sowie deren intelligente Nutzung. Daher hat die EU mit dem Data Act eine Verordnung definiert, die den europäischen Datenmarkt stärken soll. Darauf müssen auch Unternehmen aus den klassischen Industrien möglichst bald reagieren.

Was ist der Data Act?

Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act) ist eine Initiative der Europäischen Union, die Vorschriften bezüglich des Zugangs zu Daten und deren Verwendung definiert. Sie soll innerhalb der EU einen fairen, transparenten Rahmen für den Austausch und die Nutzung von Daten schaffen. Ziel ist, Innovationen zu fördern und die Wettbewerbsfähigkeit europäischer Firmen auf dem globalen Datenmarkt zu stärken.

Der Data Act ist ein wesentlicher Baustein der Digitalstrategie der EU. Der Europäische Rat hat ihn bereits am 27. November 2023 verabschiedet. Die Verordnung trat am 11. Januar 2024 in Kraft und soll nach 20-monatiger Karenzzeit ab dem 12. September 2025 EU-weit in direkt anwendbares Recht umgemünzt werden.

Was steckt dahinter?

In der digitalen Wirtschaft sind Daten eine zentrale Ressource. Mangels Richtlinien, rechtlicher Vorgaben und Standards bleibt jedoch gerade in der Industrie ein Großteil der generierten Daten ungenutzt.

Zugleich beobachten wir aktuell ein starkes Ungleichgewicht am Markt: Daten befinden sich meist im Besitz eines kleinen Kreises von Großunternehmen. Im Vergleich zu KMU und Start-Ups genießen diese Firmen einen erheblichen Wettbewerbsvorteil, der sich unter anderem in einseitigen Verträgen hinsichtlich Datenzugang und -nutzung widerspiegelt.

Vor diesem Hintergrund hat die EU den Data Act erarbeitet. Die Verordnung strebt eine Demokratisierung des Marktes sowie ein ausgewogenes, faires Datenökosystem an. Dafür hat die EU einen rechtlichen Rahmen definiert. Er stellt sicher, dass Anwender*innen bei der Nutzung eines vernetzten Produktes oder verbundenen Dienstes zeitnah auf die dabei entstehenden Daten zugreifen können.

Die Ziele des Data Acts im Überblick:

  • Klare Regeln für die Nutzung und den Austausch von Daten
  • Transparenz und Fairness auf dem Datenmarkt
  • Schutz persönlicher Daten
  • Sichere Datenverarbeitung
  • Förderung datengetriebener Innovationen
  • Höhere Wettbewerbsfähigkeit von EU-Unternehmen

Wer ist vom Data Act betroffen?

Der Data Act richtet sich an Unternehmen, Organisationen und Personen, die innerhalb der EU

  • vernetzte Produkte in Verkehr bringen,
  • verbundene Dienste anbieten,
  • als Dateninhaber generierte Daten an Dritte weitergeben,
  • Daten von Dateninhabern empfangen,
  • als öffentliche Einrichtung Dateninhaber zur Weitergabe von Daten aufrufen oder
  • Datenverarbeitungsdienste offerieren.

Betroffen sind außerdem Personen, die an Datenräumen teilnehmen, sowie Anbieter von Anwendungen, die intelligente Verträge beinhalten. Personen, deren Gewerbe, Geschäft oder Beruf die Einführung intelligenter Verträge für andere im Zusammenhang mit der Durchführung einer Vereinbarung umfasst, müssen den Data Act ebenfalls erfüllen.

Welche Aufgaben ergeben sich aus dem Data Act?

Durch den Data Act kommen auf die Industrie zahlreiche neue Pflichten zu. Dazu zählen:

Daten zugänglich machen: Anbieter müssen sicherstellen, dass Nutzer*innen vernetzter Geräte oder verbundener Dienste Zugang zu den davon generierten Daten erhalten.

Portabilität gewährleisten: Der Data Act fordert Mechanismen, die es Nutzer*innen ermöglichen, ihre Daten einfach und sicher an Dritte zu übertragen. Dies umfasst die Entwicklung von Standards und Schnittstellen für den Datenaustausch.

Transparenz und Fairness sicherstellen: Unternehmen müssen transparent darüber informieren, welche Daten sie sammeln, wie sie diese verwenden und wer Zugang dazu hat.

Datenschutz gewährleisten: Die Verarbeitung und Weitergabe von Daten muss im Einklang mit geltenden Datenschutzgesetzen (z. B. der DSGVO) erfolgen.

Zusammenarbeit mit Behörden ermöglichen: In vielen Fällen ist es nötig, Daten an öffentliche Einrichtungen weiterzugeben. Dafür sind klare Prozesse und Verantwortlichkeiten erforderlich.

Data Act vs. Data Governance Act

Der Data Act ist nicht die einzige Säule der europäischen Datenstrategie. Hierzu zählt auch der Data Governance Act (DGA), eine bereits geltende Verordnung, die Prozesse und Strukturen für den Datenaustausch zwischen Personen, Unternehmen und öffentlichen Einrichtungen definiert. Im Gegensatz dazu fokussiert sich der Data Act stärker auf die Förderung der Digitalwirtschaft. Er regelt, welche Akteure entstehende Daten unter welchen Bedingungen verwerten dürfen.

Welche Folgen haben Verstöße gegen den Data Act?

Wie diese Baustellen im Detail ausgestaltet sein werden, ist heute leider noch nicht absehbar. Bislang wurde die EU-Verordnung nicht in deutsches Recht umgesetzt. Welche Pflichten sich hierzulande ergeben und welche Aufsichtsbehörden die Umsetzung kontrollieren, ist daher offen.

Klar ist jedoch: Verstöße gegen den Data Act werden analog zur DSGVO Bußgelder nach sich ziehen. Außerdem besteht die Gefahr, dass Firmen bei Missachtung der Vorgaben von anderen Akteuren am Markt auf Schadensersatz verklagt werden. Möglich ist darüber hinaus, dass Produkte und Services, die dem Data Act nicht entsprechen, nicht mehr in der EU vertrieben werden dürfen.

Birgt der Data Act lediglich neue Aufgaben?

Die EU-Verordnung bringt nicht nur Pflichten mit sich. Gerade KMU eröffnen sich dadurch viele neue Chancen. Stehen Daten in interoperablen Formaten allen Akteuren am Markt zur Verfügung, erleichtert das die Umsetzung innovativer, datenbasierter Angebote, z. B. Predictive Maintenance.

Genau darauf zielt die Demokratisierung des Datenmarktes ab. Sie gewährt Unternehmen mehr Kontrolle im Umgang mit ihren Daten und erzeugt Regeln, die den Datentransfer erleichtern. Davon sollen sowohl Dateninhaber als auch -nutzer profitieren.

Prozesse, die aktuell noch komplex und zeitaufwendig sind, werden beschleunigt. Beispielsweise sieht die Verordnung klare Regeln für das Vertragsmanagement vor. Cloud- oder Edge-Anbieter etwa müssen vertraglich und technologisch sicherstellen, dass Kunden ihre Daten beim Wechsel des Systems möglichst einfach übertragen können.

Die Industrie profitiert darüber hinaus von zunehmendem Wettbewerb. Maschinenbauer, die ihre Produkte für das Internet of Things befähigen wollen, können sich mit diesem Anliegen Stand heute z. B. nur an wenige Anbieter wenden. Der Data Act öffnet diesen eingeschränkten Kreis. Dies erhöht nicht nur die Qualität der Angebote, sondern führt auch zu geringeren Preisen.

Laut einer repräsentativen Umfrage des Digitalverbands Bitkom ist Deutschlands Wirtschaft in Puncto Data Act aktuell geteilter Meinung. 49 Prozent der 603 befragten Unternehmen aus allen Wirtschaftsbereichen bewerten die neue EU-Regelung als Chance für ihr Unternehmen. 40 Prozent der Befragten gaben hingegen an, den Data Act als Risiko zu betrachten.

Wie gehen Unternehmen am besten vor?

Firmen, die sich mit dem Data Act befassen, stoßen schnell auf komplexe Themen: Wie stellen sie sicher, dass die Datenschnittstellen ihrer Maschinen, Anlagen und Produkte für Dritte zugänglich sind? Welchen Einfluss nimmt die Weitergabe von Daten auf ihr Geschäftsmodell? Welche Chancen ergeben sich dadurch (z. B. neue Services und Angebote)?

Viele dieser Fragen sind derzeit noch nicht eindeutig zu beantworten. Das erschwert es, sich auf die EU-Verordnung vorzubereiten. Ratsam ist, das Thema auf die strategische Agenda zu setzen und den Austausch zu Verbänden wie dem VDI oder BITKOM sowie anderen Unternehmen zu suchen. Dieser Dialog hilft, den Einfluss des Data Acts auf das eigene Geschäft einzuschätzen.

Zusammengefasst

Mit dem Data Act will die EU den europäischen Datenmarkt für den internationalen Wettbewerb wappnen. Die Verordnung fördert einen sicheren, effizienten Datenfluss und schafft einen Rahmen, der den Austausch sowie die Nutzung von Daten erleichtert. Daraus ergeben sich neue unternehmerische Pflichten, aber auch gerechtere Marktbedingungen.

Wie der Data Act in Deutschland umgesetzt wird, ist noch offen. Gerade produzierende Unternehmen sollten sich trotzdem möglichst bald mit den Inhalten auseinandersetzen. Es ist ein komplexes Regelwerk, das u. a. die technologische Infrastruktur, die Prozesse sowie Themen wie die Vertragsgestaltung beeinflusst. Darauf müssen sich betroffene Firmen ausreichend vorbereiten.

Weitere Informationen

Der Umgang mit Daten gewinnt für den Unternehmenserfolg immer mehr an Bedeutung. Gerade für Cloud-Anwender ist nicht zuletzt eine zuverlässige Sicherheitsarchitektur essenziell. Was es dafür braucht und worauf Sie in diesem Kontext bei der Auswahl von Software-Anbietern achten sollten, lesen Sie in unserem Ratgeber „IT-Sicherheit für Unternehmen“.

Mit dem Passwort zu mehr Cybersecurity

Heute ist wieder der „Ändere dein Passwort-Tag“. Eine gut gemeinte
Initiative für mehr IT-Sicherheit. Die ursprünglich aus dem militärischen Kontext der 1960er-Jahre stammende Empfehlung, das Passwort regelmäßig zu wechseln, findet sich auch heute noch in vielen Unternehmensrichtlinien wieder. Moderne Richtlinien wie das aktuelle BSI Grundschutzkompendium und die NIST Digital Identities Guidelines streichen diese Anforderung, denn es gibt effektivere Strategien, die Passwortsicherheit zu erhöhen:

Passwortlänge schlägt -komplexität

Zuallererst gilt: Ein starkes Passwort muss nur dann geändert werden, wenn es
den Verdacht gibt, dass es enthüllt wurde.

Angreifer können heute mit automatisierten Systemen Milliarden von Passwörtern innerhalb kürzester Zeit ausprobieren. Insbesondere wenn diese Systeme über das Netzwerk erreichbar sind oder Zugriff auf die Passwort Hashes haben und daher effektiv offline ausprobiert werden können. Die Komplexität des Passwortes ist daher vollkommen gleichgültig, wenn es zu kurz ist. Die Empfehlungen für die Länge schwankt zwischen 8 bis zu mindestens 14 Zeichen. Fortschritte bei Angriffswerkzeugen wie zum Beispiel Hashcat und durch schnellere, spezialisierte Hardware zum Passwortraten treiben diese Anforderungen immer weiter in die Höhe.

Compliance-Richtlinien verlangen heutzutage individualisierte Zugangsdaten. Damit entfällt die Gefahr, dass ein Passwort vielen Leuten bekannt ist und so auch die Notwendigkeit dieses regelmäßig zu ändern. Ein langes Passwort für genau eine Person für genau einen Dienst. Ziemlich sicher.

Passworte sind keine Wiederholteile

Hand aufs Herz, haben Sie nicht auch schon mal das identische oder ein sehr ähnliches Passwort für mehrere Dienste verwendet? Das sollten Sie sich schnell abgewöhnen, denn so führt ein erfolgreicher Angriff auf einen Dienst automatisch zu einem erfolgreichen Angriff auf weiteren. Vor allem die Verwendung bereits privat genutzter Passwörter im Unternehmensumfeld ist besonders kritisch.

Moderne Passwortrichtlinien stellen sicher, dass Passworte abgelehnt werden, die in Listen erbeuteter Passwörter vorkommen. Die Webseite haveibeenpwand zum Beispiel zeigt an, ob ein Passwort erbeutet wurde. Moderne Systeme bieten hier Schnittstellen, um Passworte dahingehend zu prüfen. In CONTACT Elements können Sie diese ganz einfach aktivieren:

from cdb.sig import connect
from cdb.authentication import check_pwned_password
connect(‚password_acceptable_hook‘)(check_pwned_password)

Passwort-Manager statt Einheitsbrei

Passwortwiederholung ist schlecht, kurze Passwörter auch. Benutzer stehen vor der Herausforderung, sich eine große Anzahl langer Passwörter im Kopf zu merken. Auf einen Zettel schreiben und diesen unter der zu Tastatur verstecken oder an die Pinnwand zu kleben ist keine Lösung, da eine Kamera das Passwort abfilmen kann.

Besser ist es, einen Passwort-Manager zu verwenden. Dieser kann lange Passwörter erstellen, verwalten und erleichtert per Copy und Paste die Eingabe. Leider blockieren einige Unternehmen, getrieben von der Sorge, dass ein Trojaner die Passwörter in der Zwischenablage abfangen, die Copy und Paste-Methode in ihren Anwendungen und verhindern damit die Verwendung eines Passwort-Managers. Bei einem Trojaner-Befall ist diese Maßnahme jedoch meist wirkungslos und Unternehmen sollten die Benutzer anleiten, einen Passwort-Manager zu benutzen, um Ihre IT-Sicherheit zu erhöhen.

Vorsicht vor Wegelagerern und Trickbetrügern

Selbst das stärkste Passwort schützt nicht vor Angriffen, wenn es abgefangen wird. Das geht oft erstaunlich einfach. Verbindungen ohne ein Mindestmaß an Sicherheit wie Transport Layer Security (TLS) sind ein offenes Buch für jeden Angreifer. Auch ältere Netzwerkprotokolle wie Kerberos bieten zahlreiche Einfallstore. Ransomware nutzt diese aus, um sich im Firmennetz auszubreiten. Sobald sich ein Administrator auf einem befallenen Rechner anmeldet, hat der Angreifer die Zugangsdaten und kurz darauf sind goldene und silberne Tickets erstellt und die Windows-Domäne ist fest in der Hand des Angreifers. Auch hier steht und fällt die Sicherheit mit dem Passwort, da dieses in die Berechnung der Authentifizierungstickets eingeht und aufgrund der symmetrischen Verschlüsselung dem Angreifer ermöglicht, aus dem Ticket das Passwort zurückzurechnen.

Sicherheit durch mehrere Faktoren steigern

Eine Empfehlung, um die Schwächen von Passworten zu umgehen, ist es, weitere Faktoren einzubeziehen. Das funktioniert sehr gut aus der Perspektive der Sicherheit. Ein zweiter Faktor erhöht in praktisch jedem Fall die Sicherheit deutlich. Dabei ist es in den meisten Fällen zweitrangig, ob es sich um Einmalpassworte wie TANs per SMS, zeitbasierte Codes wie Definition Time-based One-time Password (TOTP) oder auch schlichte Bestätigungsemails mit Links handelt.

Die Schattenseite von zweiten Faktoren ist der zusätzliche Aufwand und die Auswirkungen auf die Usability. Helpdesk Prozesse werden komplizierter, Benutzer müssen geschult werden und Anmeldevorgänge passieren oft langsamer.

Single Sign-On – Fluch und Segen zugleich

Benutzer:innen lieben Single Sign-On (SSO), bei dem man nur einmalig ein Passwort und einen zweiten Faktor eingeben muss, um zahlreiche Dienste zu nutzen. Das minimiert den Aufwand enorm – allerdings auch für den Angreifer. Insbesondere, wenn der Zugang nur an einem schwachen Passwort hängt. Ein zentrales Login-System löst auch viele Probleme für Compliance, wenn Benutzer:innen gesperrt oder Reports erstellt werden. Auch die Kosten für Benutzerverwaltung reduzieren sich.

Single Sign-On stellt die oben angeführte Argumentation „Ein Passwort pro Dienst“ auf den Kopf. Wieder steht nur ein Passwort zwischen dem Angreifer und Ihrem System. Kennt der Angreifer das Passwort, so hat er Zugang. Und dann öffnet das Single Sign-On-System dem Angreifer alle Türen.

Phishing erkennen

Auch stärkere Verfahren wie TOTP oder Hardware-Keygeneratoren bieten keinen Schutz, wenn man Passwort und Zugangscode auf einer gefälschten Webseite eingibt. Diese Praxis ist bekannt unter dem Namen Phishing. Die Lösung dagegen lautet Kanal- oder Token-Binding und verknüpft (bindet) den gewünschten Zugang mit dem Kanal, über den der Zugang angefragt wird. Was bedeutet, dass ein Token nur für den Zugang zu Gerät A akzeptiert wird, nicht aber für Gerät B des Angreifers.

Diese Form der Mehrfaktorauthentifizierung ist sehr sicher und mit moderner Hardware oder Mobiltelefonen einfach zu verwenden. Für die Unternehmens-IT ist die Integration in gängige Plattformen dabei relevant. Windows Hello, Apple und Android unterstützen den von der FIDO Alliance spezifizierten FIDO2 / WebAuthn-Standard, um Phishing aufzudecken und Single Sign-On sicher zu machen.

Passworte sind überflüssig!?

Ausgehend vom WebAuthn-Standard gibt es seit 2022 mit Passkeys eine neue Initiative – getrieben von Apple, Microsoft und Google – um Passworte aus Anwendungen und Single Sign-On zu verbannen. Sie können Ihr Passwort bereits heute schon in einen Passkey ändern, wenn Ihr Gerät das unterstützt und 2024 den „Change your Password Day“ dazu nutzen, Ihr Passwort zu löschen und nie wieder verwenden zu müssen.

Mehr zum Thema Cybersecurity

In unserem kostenlosen White Paper „IT Sicherheit für Unternehmen“ erfahren Sie alles zum Aufbau einer verlässlichen IT-Sicherheitsarchitektur zum Schutz vor Cyberattacken.