Cybersecurity Report – Trends und Entwicklungen 2019

Cyberkriminalität boomt weiterhin und auch 2019 wird rasante Entwicklungen und Herausforderungen für die IT-Sicherheit mit sich bringen. Sicherheitsexperten und Datenwissenschaftler des US-amerikanischen Cyber-Security-Anbieters Forcepoint haben sieben Trends und Bedrohungen identifiziert, die ein Umdenken in der Cybersecurity erfordern: Von Biometrischen-Hacking, Künstlicher Intelligenz und der Cloud als Einfallstor für IoT-Hacks bis hin zu branchenweiten Security Trust Ratings und einem Cyber Cold War aufgrund von neuem Isolationismus der Politik und Wirtschaft durch Handelsembargos.

Das gefälschte Gesicht – Hacker manipulieren Gesichtserkennungssoftware

Mit Phishing-Attacken und Hacks wie „SIM SWAPS“ untergraben Angreifer bereits regelmäßig die Wirksamkeit von Zwei-Faktor-Authentifizierung-(2FA)-Methoden (z. B. Login mit Passwort und SMS-Code).  Eine mehrstufige Authentifizierung  durch biometrische Merkmale bietet hier eine zusätzliche Sicherheitsebene. Sie verwendet Daten, die spezifisch für den End User sind. Der Technologiegigant Apple setzt bei seinen neuen iPhones etwa auf Gesichtserkennung. Fakt jedoch ist: Keine Authentifizierungs-Methode ist zu 100 Prozent sicher. Hacker werden zukünftig Identitäten trotz und gerade mit Gesichtserkennungssoftware stehlen. So überlistete bereits 2016 ein Bildverarbeitungsspezialist der University of North Carolina Gesichtserkennungssysteme mit öffentlich verfügbaren Digitalfotos und mobiler VR-Technologie. Unternehmen sollten sich daher mit verhaltensbasierten Systemen schützen. Tastenanschlag, Mausbewegungen, Geschwindigkeit beim Scrollen, etc. – physisches Verhalten einer Person ist eindeutig und lässt sich nicht nachahmen.

Industrie-4.0 – Angreifer nutzen Schwachstellen bei Hardware- und Cloud-Infrastruktur

In einer Umfrage unter 1.000 Forcepoint-Kunden identifizierten 76 Prozent die massive Einflussnahme auf industrielle IoT als wichtige Sicherheitsfrage. Die Vielzahl vernetzter Geräte, mobile Zugriffe und verschiedene Applikationen machen den Schutz von Systemen und Daten zunehmend komplexer. Mit gleichzeitig steigender Datenmenge setzen Unternehmen immer mehr auf Cloud-Lösungen und -Provider für Wartung, Updates und Device-Management. Die Multi-Tenancy-Architektur vieler skalierbarer Dienste für IoT-Systeme führt aber zu technologischen Schwachstellen. Angriffe auf die Cloud-Infrastruktur sind daher deutlich lukrativer, um wichtige Systeme zum Stillstand zu bringen. Produktion, Energieerzeugung und andere wichtige Sektoren könnten gleichzeitig betroffen sein. Ein effektiver, ganzheitlicher Schutz erfordert daher Einblicke in das Verhalten von Mensch und Maschine, um automatisch unautorisierte Eingriffe in IoT-Systeme zu verhindern, ohne dass die Verfügbarkeit beeinträchtigt wird.

Künstliche Intelligenz bleibt nur ein „Buzzword“ in der Cyber-Sicherheit

Künstliche Intelligenz, die menschliche Kognition bzw. geistige Aktivität reproduzieren kann, gibt es in der Cybersecurity nicht. Auch in 2019 wird KI ein beliebtes Schlagwort für Marketer und unausgereifte Produktlösungen bleiben. Manche Firmen gehen dabei sogar soweit, menschliche Eingriffe in ihr Produkt zu verschleiern. Automation und nicht KI per se, kann Security-Experten im Unternehmen in hohem Maße entlasten. So können sich diese durch einen hohen Automatisierungsgrad und adaptive, risikobasierte Lösungen sowie Anpassungen etwa ganz auf relevante, auffällige Aktivitäten konzentrieren.

Politische Isolation und Handelsstreit beschwören Cyber Cold War herauf

Spionage hat Staaten und Unternehmen schon immer einen Weg zum Erwerb neuer Technologien eröffnet.  Allein 43 Milliarden Euro Schaden durch Hackerangriffe hat der IT-Verband Bitkom und das Bundesamt für Verfassungsschutz für Unternehmen in Deutschland in den vergangenen zwei Jahren festgestellt. Isolationismus bei der Handelspolitik wird in vielen Fällen Nationen und Unternehmen dazu veranlassen, noch stärker durch Cyber-Taktiken Einfluss auf andere Staaten, kritische Infrastrukturen oder wichtige Branchen zu nehmen oder geistiges Eigentum stehlen. Solche Angriffe zielen dabei häufig auf einzelne Mitarbeiter als Einfallstor für Schadsoftware. Statt weitere Mauern zu bauen, gilt es daher, besser zu verstehen, wie und warum Menschen mit sensiblen Daten umgehen und wo sich diese bewegen. Mit der Analyse von Nutzerverhalten kann gezielt auf hochriskante Aktivitäten eingegangen werden. Mittels automatischer Anomalie-Erkennung können Unternehmen normales Nutzerverhalten sowie gewöhnlichen ein- und ausgehenden Datenverkehr von verdächtigen Datenbewegungen unterscheiden

Security Trust Ratings – die neue Grundlage für Kooperationen in der Wirtschaft

In der heutigen „Zero Perimeter World“, einer digitalen Welt ohne klare Grenzen, sind kritische Daten und geistiges Eigentum mehr denn je gefährdet. Die Verantwortung für die Datensicherheit bleibt dabei jedoch immer beim Unternehmen, auch wenn die Daten beispielsweise bei einem Provider liegen. Branchenweite Security Trust Ratings sind notwendig, wenn Unternehmen nach Zusicherungen suchen, dass Partner und Wertschöpfungsketten vertrauenswürdig und ausreichend gesichert sind. Firmen müssen Sicherheit daher von oben nach unten in ihre Unternehmenskultur integrieren. So funktioniert Sicherheit etwa nur, wenn Mitarbeiter das Gefühl haben, einen Beitrag zur ganzheitlichen Sicherheit des Unternehmens zu leisten. Sicherheit darf daher nicht nur in der Verantwortung der IT-Teams liegen, sondern ist ein Geschäftswert. So suchen schon jetzt 58 Prozent der befragten Forcepoint-Kunden aktiv nach vertrauenswürdigen Cloud-Anbietern mit einem guten Ruf für Sicherheit.

DSGVO – Mitarbeiter und Unternehmen streiten über Verantwortlichkeiten bei Datenverlust

Mit der DSGVO sind Konfrontationen im Gerichtssaal vorprogrammiert: 2019 wird es Gerichtsverfahren wegen Datenschutzverletzungen geben, bei denen ein Mitarbeiter seine Unschuld bekundet und ein Arbeitgeber vorsätzliches Handeln unterstellt. Ob ein Richter zugunsten eines Arbeitgebers oder eines Arbeitnehmers entscheidet, ist dabei nahezu irrelevant. Vielmehr werden mangelhafte IT-Sicherheitsmaßnahmen eines Unternehmens öffentlich präsentiert. Unternehmen müssen daher Menschen und Daten schützen und bösartige Aktivitäten identifizieren, bevor sie kritische Systeme und IPs schädigen. Die Analyse von Nutzerverhalten und Datenbewegungen am Arbeitsplatz hilft dabei das Gesamtbild eines Vorfalls zu verstehen. Eingesetzte Lösungen müssen dabei drei Grundprinzipien erfüllen: legitimer Zweck, Verhältnismäßigkeit und vollständige Transparenz. Der Schutz personenbezogener Daten und der Privatsphäre sollte Grundvoraussetzungen für jedes erfolgreiche Unternehmen sein.

Datenskandale – Mit Edge Computing die Vertrauenslücke schließen

Der Facebook-Datenskandal rund um Cambridge Analytica war 2018 nur die Spitze des Eisbergs. Das Vertrauen der User in viele Online-Dienste und dem verantwortungsvollen Umgang mit ihren Daten ist gering. Unternehmen werden versuchen mit Edge Computing diese Vertrauenslücke zu schließen. Daten werden nicht mehr automatisch in die Cloud geladen und zentral in einem Datencenter gespeichert, sondern auf dem jeweiligen Endgerät oder der Applikation (der „Edge“). Das verbessert den Datenschutz und erlaubt Usern mehr Kontrolle über ihre Daten. Edge Computing allein wird das mangelnde Vertrauen der Verbraucher aber nicht überwinden können. Es reicht nicht aus, dass Unternehmen Daten sowohl auf dem Gerät als auch in der Cloud erfassen und sichern. Um Vertrauen zu schaffen, müssen sie nachvollziehbar offenlegen, wie Nutzerdaten gesichert und genutzt werden.

Das gehört zum Sicherheitsportfolio

Software Composition Analysis (kurz SCA) bezeichnet die detaillierte Untersuchung aller Open-Source-und Dritt-Komponenten, die sich in Anwendungen befinden. Die Analyse liefert Sicherheits-, Rechts- und Entwicklerteams verwertbare Daten, um Schwachstellen im Code eines Softwareprodukts zu identifizieren und zu beseitigen. Gleichzeitig lassen sich auch Verstöße gegen Open Source Compliance-Richtlinien aufdecken, denn nur wenn Unternehmen wissen, welche OSS- Komponenten von ihnen genutzt werden, können sie auch Lizenzbestimmungen zuverlässig einhalten und auf Anfrage eine entsprechende Dokumentation vorlegen.

Scannerlösungen ermöglichen Softwareanbietern und Hersteller von IoT-Geräten:

  • eine durchgängige Inventarisierung aller Open-Source-Assets (Software Bill of Materials – BOM)
  • das Managen von Open-Source-Schwachstellen
  • die Sicherstellung von Open-Source-Compliance
  • die Auslieferung ihrer Anwendungen und Geräte unter Angabe der Nutzungsrechte von Dritten (Third Party Disclosures)

Über SCA-Lösungen lassen sich automatisierte Prozesse innerhalb des Schwachstellen- und Compliance-Managements realisieren. Sie decken nicht nur auf, welche Source Libraries von den Entwicklern genutzt werden, sondern auch welche Drittanbieter-Bibliotheken standardmäßig damit verknüpft sind. Dabei lässt sich der genaue Anteil des übernommenen Codes innerhalb des proprietären Quellcodes prozentual bestimmen. Das Sicherheitsteam wird zudem automatisch per Warnmeldung über neu entdeckte Schwachstellen benachrichtigt.   

Das entgeht statischen Analyse-Tools

Viele Unternehmen vertrauen bei der Sicherheit ihrer Anwendungen noch immer zu sehr auf statische Analyse-Tools. Nicht immer reichen diese jedoch aus. Grundsätzlich können Softwareanbieter und Gerätehersteller mit statischen Analyse-Tools ihren eigenen proprietären Source Code analysieren. Entweder wird dazu ein abstrakter Syntaxbaum (AST) oder ein Modell der Anwendung erstellt, das unter anderem Ablaufsteuerung, Datenfluss oder Variablen abbildet. Einmal fertiggestellt, kann der AST nach vordefinierten Regeln abgefragt werden und so Schwachstellen und andere Sicherheitsprobleme aufdecken.

Statische Anwendungssicherheitstests (SAST) sind ohne Frage ein wichtiger Bestandteil des Software Development Life Cycles. Sie haben jedoch Grenzen – vor allem wenn es um die Analyse von Open Source geht. In vielen Fällen können die statischen Tools nicht den schnellen Veränderungen der OSS-Welt nachkommen. So werden in OSS-Paketen beispielsweise Sicherheitsschwachstellen gefunden, die längst von den verantwortlichen Autoren oder der Community beseitigt wurden.

Oft ist der Output der statischen Analyse-Tools auch einfach so umfangreich, dass es für Entwicklerteams extrem schwierig ist, einen klaren Blick auf die Ergebnisse zu erhalten und die Probleme schnell und effektiv zu lösen. Darüber hinaus kommen statische Tests meist erst gegen Ende des Entwicklungsprozesses zum Einsatz, um alle Abhängigkeiten in der vollständigen Anwendung berücksichtigen zu können.

Tests für die Anwendungssicherheit

Blitztest für Open Source Software

Ob statische oder dynamische Analysen, Penetrationstests und Fuzzing – das Managen von Open Source bleibt zentrale Aufgabe der Software Composition Analysis. Wer Software entwickelt oder diese in seine Geräte integriert und sich in Sachen OSS auf der sicheren Seite glaubt, sollte seinem Entwicklerteam oder externen Dienstleister einfach einmal die folgenden Fragen stellen:

  • “Nutzen wir die neueste Version von Apache Struts 2?”

Die Frage nach Apache Struts ist ein guter Test. Das Open-Source-Framework zur Entwicklung und Bereitstellung von Web-Applikationen in Java stand bereits 2017 im Mittelpunkt des spektakulären Equifax-Hacks. Damals konnten Angreifer über eine Sicherheitslücke insgesamt  145,5 Millionen Datensätze des US-amerikanische Finanzdienstleisters Equifax abgreifen. Auch in diesem Jahr wurden neue Schwachstellen bekannt. Gibt es auf die Schnelle keine klaren Informationen darüber, wo und wie Apache Struts 2 genutzt wird, ist davon auszugehen, dass sich das Unternehmen nicht auf dem neuesten Stand befindet.

  • “Was tun wir, wenn ein Kunde Anwendungen oder Geräte, in denen OpenSSL genutzt wird, aus Sicherheitsgründen ablehnt?“

Software-Sicherheitsaudits beinhaltet fast immer eine Überprüfung von Komponenten Dritter. Mit Unterstützung einer SCA-Plattform können Anbieter ihren Kunden einen detaillierten und vollständigen Einblick über die Verwendung von OSS- und Dritt-Komponenten bieten. Um langfristig Sicherheitsbedenken aus dem Weg zu räumen, können Unternehmen zudem auf das kontinuierliche Scannen und Monitoring aller Software-Komponenten verweisen.

  •  „Eine neue Vulnerability macht gerade Schlagzeilen. Sind wir davon betroffen?”

SCA-Lösungen beinhalten in der Regel Dashboards und Reports die das Risikopotential ihrer Anwendungen und die Gefährdung durch spezifische Schwachstellen über das ganze Unternehmen hinweg analysieren und bewerten. Sinnvoll ist hier auch die Integration der SCA-Plattform in den Build-Zyklus, um schnell und proaktiv Sicherheitslücken zu schließen.

Wer die Vorteile von Open Source Software für sich nutzen will, muss sich auch mit den Risiken hinsichtlich Sicherheit und Compliance auseinandersetzen. Die Grundregel lautet: „Kenne Deinen Code!“ Unternehmen, die Software Composition Analysis aktiv in ihre Sicherheits- und Compliancestrategie einbeziehen, schützen sich nicht nur vor Schwachstellen, sondern tragen auch zu einer sicheren Software Supply Chain im IoT bei.

Hyper-V mit dem Windows Admin Center verwalten

Nach der Installation sind auf einem Server die beiden Menüpunkte „Virtuelle Computer“ und „Virtuelle Switches“ zu finden. Hierüber werden die VMs und virtuellen Switches des ausgewählten Hyper-V-Hosts verwaltet.

 

Mit dem Menüpunkt „Inventar“ erhalten Sie Zugriff auf die VMs des Servers und können diese über den Menüpunkt „Mehr“ auch verwalten.

Über den Menüpunkt „Einstellungen“ unten links lassen sich serverspezifische Einstellungen im Windows Admin Center vornehmen. Hier lassen sich zum Beispiel auch die Hyper-V-Einstellungen eines Hyper-V-Hosts vornehmen.

Im Windows Admin Center ist auch die neue Funktion Windows Server System Insights über den Menüpunkt „Systemdaten“ integriert. Hier kann über einen Assistenten zum maschinellen Lernen ein Hyper-V-Host überwacht werden. Dazu kann Insights auch Prognosen erstellen, wann es zum Beispiel auf einem Server zu Engpässen kommen kann.

Windows Admin Center und Microsoft Azure

Um das Windows Admin Center mit Microsoft Azure zu verbinden, müssen Sie die entsprechende Konfiguration nur auf dem Server vornehmen, auf dem das Admin Center-Gateway verbunden ist. Sobald die Anbindung einmal erfolgt ist, erhalten Administratoren, die mit dem Webbrowser auf das Gateway zugreifen, auch Zugriff auf die Funktionen in Microsoft Azure.

Zur Anbindung rufen Sie im Windows Admin Center über das Zahnradsymbol die Einstellungen auf. Über den Menüpunkt „Azure“ können Sie mit „Registrieren“ den Vorgang starten. Danach erscheint auf der rechten Seite ein Code, den Sie für die Anmeldung benötigen. Kopieren Sie den Code in die Zwischenablage.

Klicken Sie auf den Link „Geräteanmeldung“ und melden Sie sich mit Ihrem Azure-Konto an. Fügen Sie den Code im Fenster ein. Danach ist das Windows Admin Center mit dem entsprechenden Azure-Abonnement verbunden. Als nächstes müssen Sie im Azure-Portal die Berechtigungen für das Windows Admin Center steuern.

Sobald das Windows Admin Center in Microsoft Azure registriert ist, wird der Status im Windows Admin Center angezeigt. Sie können an dieser Stelle die Berechtigungen auch wieder entfernen.

Im Azure-Portal müssen Sie noch die Berechtigungen für das Windows Admin Center freischalten. Dazu klicken Sie im Windows Admin Center in den Einstellungen bei Azure auf „In Azure anzeigen.“

Klicken Sie im Azure-Portal bei der registrierten App auf „Einstellungen“ und dann auf „Erforderliche Berechtigungen“. Danach klicken Sie auf „Berechtigungen erteilen“.

API? Bitte effizient und sicher!

Sicherheit von Anfang an

Merkwürdig bleibt die Erkenntnis, dass viele Unternehmen unabhängig von ihrer Branche bereits praktische Erfahrungen mit solchen negativen Auswirkungen gemacht haben – dennoch wird die IT-Sicherheit in der Entwicklung meist viel zu spät oder gar nicht betrachtet. Das ist nicht nur verwunderlich, sondern hat im Ernstfall fatale Folgen. Darum sollte das Thema „IT-Sicherheit“ in einem professionell geplanten „Secure Software Development Life Cycle“ (SSDLC) in jedem Schritt integriert sein. Insbesondere im boomenden Bereich der „Internet of Things“ (IoT) -Applikationen ist verstärkt darauf zu achten, dass eine ausreichende Sicherheitsbetrachtung bereits in der Design-Phase erfolgt. Kostspielige Anpassungen nachträglich sichtbar werdender Schwachstellen können so bereits im Vorfeld vermieden werden. Eine Korrektur ist in diesem frühen Zustand deutlich einfacher umzusetzen.

Auch in Industrieanlagen ist mit Blick auf I.40 Anwendungen ein starker Anstieg von APIs feststellbar. Der Vorteil, einen einfachen REST-API-Aufruf aufzubauen, abzuschicken und ggf. das Ergebnis zu verarbeiten, benötigt in den meisten Fällen nur wenig Rechenkapazität. Auch hier kann der fehlende Fokus auf die IT-Sicherheit die angedachten Vorteile einer digitalen Transformation des innerbetrieblichen Logistikwesens schnell neutralisieren.

Fünf Faktoren für sichere APIs

Um Schnittstellen (APIs) sicher entwickeln zu können, sollten stets diese fünf Faktoren beachtet werden:

  • Erster Schritt: Identifizierung & Authentifizierung. Zuerst muss klar sein, wer oder was auf die eigenen Ressourcen zugreifen möchte. Nur, wenn diese Daten vorliegen, sollte ein Zugriff erlaubt werden.
  • Zweiter Schritt: Autorisierung. Nach einer erfolgreichen Authentifizierung sollte eine separate Autorisierung erfolgen, um einen Zugriff / Nutzbarkeit entsprechend der Benutzerberechtigung bereitzustellen.
  • Dritter Schritt: Hiernach ist eine Überprüfung erforderlich, ob ein API-Aufruf  Informationen über die dahinter liegende Architektur preisgibt. Denn das darf in niemals der Fall sein.
  • Vierter Schritt: API Keys sind keine Secrets. Daher muss sicher gestellt sein, dass diese auch nicht als solche behandelt werden.
  • Fünfter Schritte: Nun können Input-, Data- und Plausibilitätskontrollen folgen.

Natürlich gibt es neben den fünf genannten Faktoren noch weitere, welche in der Entwicklung und im Lifecycle beachtet werden sollten.

Beispielarchitektur

Im Kontext der industriellen Nutzung von APIs und IoT-Geräten würde eine Architektur wie folgt aussehen (siehe Abbildung 1). Die Grafik veranschaulicht beispielhaft, wie Sensoren oder andere IoT- Geräte an Maschinen einer Produktion über eine (Micro-) API-Architektur angebunden werden könnten. Hierbei hat jede Maschine eigene IoT Geräte, welche jeweils eine andere Funktion erfüllen. Jene sind durch diverse Anwendungsfälle definiert, wie beispielsweise das Messen der Temperatur, Luftfeuchtigkeit, die Position der Produkte oder deren Abmessung. Dabei koordiniert ein API-Gateway die Schnittstellen, damit die IoT-Geräte die Anfragen an eine zentrale Stelle schicken. An dieser Stelle können dann entsprechende Sicherheitsmechanismen platziert werden. Das API- Gateway leitet die Anfragen an die einzelnen Endpunkte zu Verarbeitung weiter. Zusätzlich helfen Micro Gateways dabei, die Micro Services zu koordinieren und zu managen.

 

 

 

Gesunde IT-Systeme: Wie sich Fehler erkennen lassen

Mehr als jedes zweite Industrieunternehmen (52 Prozent) in Deutschland hat laut Unternehmensberatung Staufen in diesem Jahr Industrie-4.0-Initiativen in Einzelprojekten oder unternehmensübergreifend umgesetzt. Die Mehrheit verfolgte das Ziel, digitale Produktions-Prozesse und -Techniken (Smart Factory) einzuführen oder zu verbessern. In den kommenden drei bis fünf Jahren wollen Unternehmen in Deutschland vor allem weiter in Multi-Cloud-Umgebungen (37 Prozent) und IoT-Technologien (36 Prozent) im Rahmen ihrer IoT-Projekte investieren, so  Dell.

Multidisziplinärer Ansatz zur Fehler-Erkennung und -Behebung

Dreh- und Angelpunkt von Smart-Factory-Konzepten sind naturgemäß vor allem digitale, durchgängige Prozesse und intelligente Technologien. Hierbei beteiligt sind Anwendungen, Maschinen, Netzwerke, Infrastrukturen, Rechenzentrums-Dienste und schließlich der Endnutzer. In einer vernetzten Industrieumgebung müssen all diese Komponenten fehlerfrei und meist sogar unter Berücksichtigung sehr geringer Latenzzeiten zusammenarbeiten können. Dennoch ist gerade bei vernetzten Komponenten in einer hochverteilten Umgebung die Störanfälligkeit hoch. Wie können (Industrie-) Unternehmen also die Gesundheit ihrer digitalen Dienste und Systeme sicherstellen?

 

Empfehlen lässt sich ein multidisziplinärer Ansatz, der alle beteiligten Komponenten überwacht und Fehler schnell identifizierbar macht. Hierbei sollten Industrieunternehmen im ersten Schritt die Funktionen ihrer jeweiligen digitalen Dienste zerlegen. Ein Dienst lässt sich in diesem Zusammenhang als eine technische Einheit verstehen. Dieser bündelt zusammenhängende Funktionen und stellt diese zum Beispiel einem Nutzer per Schnittstelle zur Verfügung.

Digitale Dienste identifizieren

Der digitale Dienst sollte nun also in seine einzelnen Funktionen, wie den allgemeinen Dienstzustand, beteiligte Anwendungen und Diensteabhängigkeiten (Mapping) zerlegt werden. Außerdem sind die Parameter Reaktionszeiten des Endbenutzers, Sessions, forensische Diagnose, System- und Konnektivitäts-Zustand sowie die IT-Security zu berücksichtigen.

Auf Basis all dieser Kriterien kann der allgemeine Gesundheitszustand des jeweiligen Dienstes gemessen, quantifiziert und ausgewertet werden. Fehlerpotentiale lassen sich so identifizieren und Probleme in der Regel schneller beheben.

1. Allgemeinen Gesundheitszustand eines digitalen Dienstes definieren

In diesem Schritt empfiehlt es sich, eine sogenannte Baseline zu etablieren. Diese hilft zu verstehen, wie sich ein Dienst im Laufe der Zeit verändert oder wie er unter außergewöhnlichen Belastungen reagiert, etwa bei Produktionsspitzen. Dabei kann auch untersucht werden, ob sich der Dienst flexibel erweitert, wenn beispielsweise Cloud-basierte Komponenten dazu geschaltet werden. Sobald eine Baseline festgelegt wurde, kann diese mögliche Anomalien, die zu einer Verschlechterung des Services führen, aufzeigen. Die Baseline soll also den Normalzustand eines Dienstes definieren und als Ausgangszustand dienen, um einen Bezugspunkt für spätere Vergleichsanalysen zu haben.

2. Anwendungsfehler erkennen

Anwendungen werden in Testumgebungen unter meist optimalen Bedingungen erstellt und geprüft. In einer Produktionsumgebung muss die eingesetzte Anwendung jedoch mit anderen Komponenten fehlerlos interagieren – und wird somit zu einem System aus mehreren Variablen. Unternehmen sollten daher prüfen, ob sie nach Anwendungsimplementierung noch die Möglichkeit haben, Anwendungsfehler zu detektieren, die für die Anwendung selbst, den Anwendungsentwickler oder den Endbenutzer möglicherweise nicht erkennbar sind. Fehler können sich auch erst später bemerkbar machen, etwa in Form erhöhter Response-Zeiten.

Oft können sich Fehler auch in der Kommunikation zwischen den Komponenten eines Dienstes verbergen. Aus Redundanzaspekten haben Dienste mehrere Komponenten, die wiederum vielfältige Abhängigkeiten aufweisen, um den Dienst auszuführen, Benutzer zu authentifizieren und Informationen zwischen den Komponenten des Dienstes zu verteilen.

3. Dienstabhängigkeiten zuordnen: Service Dependency Mapping

Ein digitaler Dienst kann sich im Laufe der Zeit verändern, wenn etwa neue Komponenten zugeschaltet oder zusätzliche Aufgaben von ihm übernommen werden. Damit der Überblick nicht verloren geht, sollten Unternehmen definieren: Was macht einen Dienst aus, wie kommuniziert dieser und wovon ist er abhängig? Diese Übersicht (Logic Map) ist besonders hilfreich, wenn etwa eine System- oder Plattformmigration ansteht.

4. Antwortverhalten des Systems bezogen auf Endnutzer messen

Digitale Dienste werden neben Maschinen auch von Endanwendern, etwa Mitarbeitern, genutzt. Hierbei ist es ein wesentlicher Faktor, das Antwortzeitverhalten von Anwendungen (Response Time) zu messen, um die User Experience hoch und Produktivitätseinbußen gering zu halten. Sind diese Reaktionszeiten zu lang, sollten entweder eine Kapazitätserweiterung oder Fehlerbehebungsmaßnahmen eingeleitet werden. Haben Unternehmen keinen Überblick über die angesprochenen Diensteabhängigkeiten, gestaltet sich die Fehlersuche nach langen Reaktionszeiten jedoch oft zeit- und kostenintensiv.

5. Sessions: bestehende Verbindungen prüfen

Bei einem Dienst mit mehreren Komponenten besteht jede Interaktion zwischen den Komponenten aus mehreren Sessions. Jede Sitzung sollte überwacht und per Session Health Score bewertet werden. So ist es einfacher, fehlgeschlagene Sitzungen zu detektieren. Diese führen oft zu höheren Response-Zeiten und können auf mögliche Ressourcen-Engpässe hinweisen.

6. Forensik-Tools frühzeitig etablieren

Gibt es Probleme mit Ineffizienzen im System, müssen Unternehmen forensische Maßnahmen ergreifen. Damit ist es möglich, tiefergehende Ursachenforschung zu betreiben, um etwa Verbindungsprobleme innerhalb und zwischen den Diensten aufzudecken. Liegen jedoch zum Zeitpunkt der Fehlermeldung zu wenig forensische Daten vor, muss oft abgewartet werden, bis das Problem erneut auftritt. Ebenso verkürzen erst zu diesem Zeitpunkt eilig eingerichtete Forensik-Systeme die Zeit für die Fehlerbehebung nicht.

7. Systemmonitoring einbinden

Oft haben Unternehmen ein Systemmonitoring eingerichtet. Doch wie knüpft dieses an die oben genannten Themen an. Unternehmen müssen sich die Frage stellen, ob sie alle erwähnten Parameter mit einem gemeinsamen Datensatz verknüpfen können – oder ob alle Datensätze isoliert gesammelt werden, ohne dass sie miteinander in Beziehung gesetzt werden können.

8. IT-Sicherheit

Mit zunehmender Bedrohungslage ist auch der Aspekt IT-Sicherheit unbedingt zu berücksichtigen. So ist laut IT-Sicherheitsbericht 2018, den das BSI im Oktober veröffentlich hat, die Gefährdungslage im Bereich Cybersecurity in den vergangenen Monaten abermals vielschichtiger geworden. Gerade Distributed-Denial-of-Service (DDoS) -Attacken sind gefährlich. Bei einer DDoS-Attacke werden Server, Web-Dienste, IT-Komponenten oder die IT-Infrastruktur solange mit Datenverkehr überlastet, bis diese nicht mehr verfügbar sind. Laut Sicherheitsbericht von NETSCOUT Arbor gab es 2017 in der DACH-Region knapp 197.000 derartiger Cyber-Attacken. Organisationen und Unternehmen mussten also umgerechnet 22 DDoS-Angriffe pro Stunde abwehren.

Vor allem die Zahl von Multivektor-Angriffen wird künftig zunehmen. Diese hochkomplexen Attacken richten sich gleichzeitig gegen die Verbindungsbandbreite, Applikationen, Infrastrukturen und Dienste. Somit ist es also möglich, per DDoS-Attacke digitale Dienste zu schädigen oder lahmzulegen. Unternehmen sollten daher prüfen, wie sie ihre vernetzten Dienste mit geeigneten Security-Tools vor Ausfall und Datenabfluss schützen können.

Fazit

Gerade in der Smart Factory, aber auch anderen IIoT-Szenarien, in dem die hochgradige Vernetzung im Mittelpunkt steht, muss die eingesetzte Technologie reibungslos funktionieren. Geht es beispielsweise um vernetzte Maschinen, die schnell und selbstständig Entscheidungen treffen müssen, kann eine fehlerhafte Dienstkomponente gravierende Konsequenzen nach sich ziehen. So kann der Informationsaustausch zwischen Maschinen und Produkten beeinträchtigt werden und nachgelagerte Prozesse oder gar Produktionsschritte komplett zum Erliegen kommen. Digitale Dienste müssen also vielfältige Aufgaben übernehmen, steuern und dabei höchsten Anforderungen Rechnung tragen. Ein geeigneter, multidisziplinärer Ansatz, um Fehler und Störquellen im Vorfeld zu identifizieren, ist für Unternehmen daher erfolgskritisch.

Die Gewinner des digitalen Umbruchs sind etablierte Unternehmen

Unternehmen sehen sich einer Reihe von signifikanten Veränderungen gegenüber. Dazu gehört die digitale Transformation, die Organisationen von Grund auf verändert. Teil der digitalen Transformation ist die fortschreitende Vernetzung von Menschen, Geräten und Maschinen im Internet der Dinge (IoT) und seiner industriellen Ausrichtung, Industrie 4.0. Unternehmen wissen, dass am IoT kein Weg vorbei führt. Doch die Realisierung stellt viele Firmen vor signifikante Herausforderungen, denen sie sich häufig nicht gewachsen sehen. Damit die Vernetzung innerhalb des Internet der Dinge nicht nur ein Lippenbekenntnis bleibt, müssen Unternehmen allerdings umdenken. Doch nicht alle sind für diesen Wandel gerüstet. Auch wenn Start-ups oftmals technologisch im Vorteil sind: Beim Thema digitale Transformation haben etablierte Unternehmen die Nase vorn, so das Ergebnis einer aktuellen Infosys Studie. Grund dafür ist, dass sie sich bereits seit Jahren mit einer Reiher von Veränderungen hinsichtlich Technologien und Marktgegebenheiten auseinandersetzen müssen. Kontinuierlicher Wandel gehört damit für sie zur Normalität, während Start-ups dies zum ersten Mal erleben.

Der wahre Wandel beginnt im Kern eines Unternehmens

Die Studie teilt Firmen in drei Kategorien ein: Beobachter, Entdecker und Visionäre. Während sich Beobachter und Entdecker hauptsächlich auf neue Technologien wie künstliche Intelligenz (KI), Blockchain und 3D-Druck für ihre Initiativen der digitalen Transformationen fokussieren, haben Visionäre auch Technologien wie Mainframe- und ERP-Modernisierung im Blick. Denn sie sind der Meinung, dass es nicht ausreicht, einfach neue Technologien zu implementieren. Die Herausforderung, um die digitale Transformation zu realisieren, ist deutlich größer: Neue und bestehende Technologien müssen intelligent miteinander kombiniert werden, um einen Mehrwert für Unternehmen zu bieten. Darüber hinaus müssen Organisationen auch die Mitarbeiter entsprechend trainieren. Der momentane technologische Wandel kann sie überfordern. Entsprechende Schulungen und vor allem auch die Beteiligung der Unternehmensleitung können Teams abholen und entsprechen weiterbilden. Organisationen müssen sich daher von innen heraus wandeln – und dies auf allen Ebenen – um erfolgreich in der vernetzten IoT-Welt bestehen zu können. Denn ohne ein starkes Fundament können digitale Technologien ihr volles Potenzial nicht entfalten. Ein weiteres Ergebnis der Studie: das Engagement von Visionären, ihre Unternehmen von Grund auf zu modernisieren, führt zu höherer Produktivität und Effizienz.

Gleichzeitig werden Firmen auch flexibler und agiler – sie realisieren die Vorteile neuer Technologien wie künstliche Intelligenz und IoT schneller und integrieren sie ihn ihre Geschäftspläne und Lösungen. Damit sind sie schneller am Markt und ihren Wettbewerbern den entscheidenden Schritt voraus. Doch auch sie sehen Herausforderungen hinsichtlich der Realisierung ihrer Pläne.

Die größte Hürde – fehlende digitale Fähigkeiten

Die Frage nach Hindernissen auf dem Weg zur Digitalisierung beantwortete die Mehrheit der Befragten dahingehend, dass die größte Herausforderung darin besteht, digitale Kompetenzen aufzubauen. Dies unterstreicht den Mangel an verfügbaren digitalen Fähigkeiten. Der in Deutschland herrschende Fachkräftemangel ist sicherlich einer der Gründe, dass diese Fähigkeiten nicht ausreichend zur Verfügung stehen.

Der Wandel von einer risikoscheuen Organisation hin zu einem experimentierfreudigen Unternehmen (43 Prozent) sowie ein fehlendes Change Management (43 Prozent) folgten auf Platz zwei und drei. Sie unterstreichen die Unruhe und den Widerstand, die Veränderungen im Zusammenhang mit der digitalen Transformation hervorrufen. Unternehmen sollten sich Gedanken machen, wie sie die digitale Transformation, inklusive der Anforderungen des IoT, umsetzen können. Denn nur solche Organisationen, die in diesen Bereichen Fortschritte machen, werden künftig in einer immer vernetzteren Welt erfolgreich bestehen.

 

Realistische Erwartungen an das IIoT

Das Industrial Internet of Things (IIoT) ist für die meisten Unternehmen nach wie vor Neuland. Die Erwartungshaltung ist hoch, verspricht die umfassende Automatisierung, Konnektivität und Analytik doch ein Plus an Effizienz und damit Chancen auf Gewinnsteigerung und Kostenminimierung. Anwender, die zum ersten Mal in Richtung IIoT aufbrechen, erwarten dabei häufig ähnliche Vorteile und Verbesserungen wie durch Manufacturing Execution Systeme (MES). Die Wunschvorstellung: 100.000 im Sekundentakt erfasste Sensordaten und IIoT-Edge-Geräte, die über massive Skalierbarkeit und endlose Rechenleistung verfügen und die Daten in die Cloud übertragen.

Diese Vorstellung mag nicht ganz falsch sein, kann jedoch in einigen Fällen zu Enttäuschungen und Fehleinschätzungen führen. Nicht jedes Edge-Gerät bietet automatisch die nötige Bandbreite oder die Funktionen, um Daten wunschgemäß zu verarbeiten. Wie effizient und sinnvoll IIoT-Anwendungen tatsächlich sind, hängt immer von mehreren Faktoren ab und unterscheidet sich von Fall zu Fall. Selbst wenn die passende Edge-Hardware für ausreichend Konnektivität ausgewählt wurde, können trotzdem Einschränkungen in Bezug auf das Datenvolumen und Häufigkeit der Datenübermittlung auftreten.

Kostenfaktor und Sicherheit IIoT

Bei der Umsetzung eines industriellen IoT-Projekts ist es wichtig, genaue Informationen zu den betreffenden Edge-Geräten, Industrieprotokollen, Sensoren und Netzwerken vorliegen zu haben. Insbesondere betrifft das auch die Kosten jedes einzelnen IIoT-Bausteins. Edge-Geräte verfügen in der Regel über eine Vielzahl von Features, die mit unterschiedlichen Kosten verbunden sind. Dabei reicht die Spannweite von einigen Hundert bis zu Tausenden von Euros. Hinzu kommen hohe Netznutzungsentgelte – zum Beispiel für die Übertragung per Mobilfunk oder Satellit– sowie durch Kosten für die Datenspeicherung in der Cloud. Letztendlich ist das Ziel von IIoT-Projekten zwar die Optimierung der maximalen Wertschöpfung. Doch zunächst ist dabei immer auch mit Kosten zu rechnen.

Der Umgang mit den hohen Erwartungen ist ein wichtiger Aspekt eines jeden IIoT-Projekts. Ein mobiles Edge-Gerät mit niedrigem Stromverbrauch und geringen Onboard-Ressourcen ist schlichtweg nicht darauf ausgelegt, die Daten von 10.000 Sensoren in die Cloud zu übertragen. Realistischer ist es hier entweder das Datenvolumen auf 100 Sensordaten zu reduzieren oder ausreichende Ressourcen an der Schnittstelle zwischen Sensoren und Cloud zur Verfügung zu stellen, – einschließlich der nötigen Bandbreite für das Netzwerk.

Neben Kosten ist auch das Thema Sicherheit zu berücksichtigen. Eine absolute Garantie gibt es hier nicht, lediglich Best-in-Class Practices und bewährte Sicherheitsmaßnahmen. Sicheres IIoT kann als Kombination von zuverlässiger Hardware + Software + Installation + sicherer Kommunikationsprozesse verstanden werden. Sind in einem IIOT-Projekt diese Vorgaben erfüllt, lässt sich das Sicherheitsrisiko zumindest auf ein Mindestmaß reduzieren.

Die passende Anwendung

Grundlegendes Know-how in der Prozessinstrumentierung ist die Voraussetzung dafür, um die richtige Entscheidung bei der Auswahl der Geräte, Sensoren und Anwendungen treffen zu können. Dabei muss von vorherein klar definiert sein, welche Aufgaben durch den Einsatz von IIoT gelöst werden sollen. Klare Zielvorgaben erleichtern es, die passende Anwendung auszuwählen und gleichzeitig Anforderungen hinsichtlich des Prozessbetriebs, der Wartung und der IT-Teams im Unternehmen zu erfüllen. Nicht alle gesammelten Daten aus Edge-Geräten sind relevant für die geschäftlichen Anforderungen und rechtfertigen ein IIoT-Projekt.

IIoT-Anwendungen sind für komplexe Aufgaben konzipiert, um eine große Menge an Prozessdaten-Variablen und ihren Beziehungen untereinander zu verarbeiten und nutzbar zu machen. Gefragt sind Big Data Tools und hohe Rechenleistung. Es ist das Einsatzgebiet von Künstlicher Intelligenz, multivariater Analyse, Mustererkennung, Ereigniserkennung und maschinellem Lernen. Sämtliche Systeme und Anlagen für IIoT aufzurüsten, hilft Unternehmen nicht zum Durchbruch.

Vielmehr sollte die ausgewählte Lösung auf die spezifischen Anforderungen der Anlage und der Prozesse zugeschnitten sein (zum Beispiel kontinuierliche oder Batch). Soll beispielsweise ein Qualitätsproblem eines Assets behoben werden, sind mit hoher Wahrscheinlichkeit multivariate Analysetools notwendig. Handelt es sich um die Implementation von vorausschauender Wartung und Fehlerfrüherkennung mit dynamischen Modellen, empfiehlt sich eine Applikation für Maschinelles Lernen.

IIoT-Deployment

Auch in Sachen IIoT-Deployment gilt es, eine Vielzahl von Fragen zu beantworten: Soll die Anwendung cloudbasiert arbeiten oder On-Premise? Benötigt die Lösung High-Speed-Computing mit geringer Latenzzeit, um die Appplikation näher an das Edge-Gerät zu bringen? Und wie wirken sich die damit verbundenen Kosten auf das Return on Investment (ROI) aus?

Mit der Wahl der richtigen Konnektivität, der richtigen Sensoren und der richtigen Anwendung unter Berücksichtigung aller Kosten ist ein erster wichtiger Schritt in Richtung IIoT getan. Doch sollten Unternehmen sich bewusst sein, dass die Auswahl an Lösungen und Technologien in allen Bereichen von Tag zu Tag wächst. Umso wichtiger ist es, bei allen Vorteilen und Möglichkeiten des IIoTs realistische Erwartungen vorzugeben, die sich innerhalb der eigenen Unternehmensstrategie umsetzen lassen.

 

 

Besitzer für ein Objekt festlegen

Besitzer für ein Objekt festlegen

Der Objektbesitzer ist der Anwender mit den umfangreichsten Rechten für einen Ordner oder eine Datei. Vor allem wenn Anwender versehentlich auch den Administrator von der Berechtigungsliste streichen, kommt dem Objektbesitzer eine besondere Bedeutung zu. Dieser kann nämlich auf den Administrator geändert werden. So lassen sich auch versehentlich gesperrte Ordner durch die Hintertür wieder öffnen:

  1. Um den Besitzer einer Datei festzustellen oder zu ändern, öffnen Sie zunächst die Eigenschaften des Objekts und wählen dort die Registerkarte Sicherheit.
  2. Anschließend klicken Sie auf die Schaltfläche Erweitert.
  3. Auf der Registerkarte Berechtigungen sehen Sie unter Besitzer den Inhaber dieses Objekts.
  4. Um den Besitz zu übernehmen, klicken Sie auf Ändern und wählen dann das Konto in der Liste aus.
  5. Wollen Sie den Besitzer nicht nur für diesen Ordner, sondern auch für alle Unterordner und darin enthaltenen Dateien ersetzen, aktivieren Sie das Kontrollkästchen Besitzer der Objekte und untergeordneten Container ersetzen.

Vererbung von Berechtigungen

Grundsätzlich gilt bei Ordnerstrukturen das Prinzip der Vererbung. Das heißt, eine Berechtigung, die ein Benutzer auf einen Ordner erhält, erhält er auch auf die darin enthaltenen Verzeichnisse und Dateien. Weisen Sie einem Benutzerkonto die Berechtigung Ändern für einen Ordner zu, sehen Sie in den untergeordneten Ordnern, dass der Benutzer die gleichen Berechtigungen hat. Allerdings sind die entsprechenden Felder grau unterlegt. Damit wird angezeigt, dass die Berechtigungen nicht explizit in diesem Ordner zugewiesen werden, sondern vom übergeordneten Ordner vererbt sind.

Sie können für Unterordner einzelne Rechte verweigern. Wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert. Mit der Schaltfläche Vererbung deaktivieren, schalten Sie die Berechtigungsweitergabe ab. Anschließend können Sie bereits gesetzte Rechte übernehmen, oder die Liste löschen lassen und neu setzen. Sie können über die Schaltfläche auch die Vererbung wieder aktivieren.

Wichtig ist noch das Kontrollkästchen Alle Berechtigungseinträge für untergeordnete Objekte durch vererbbare Berechtigungseinträge von diesem Objekt ersetzen. Aktivieren Sie diese Option, übernimmt Windows die hier gesetzten Rechte für alle Ordner und Dateien, die in dem aktuellen Ordner gespeichert sind. Windows setzt alle bereits konfigurierten Berechtigungen zurück. In der Liste der Berechtigungen sehen Sie den Vererbungsstatus von Berechtigungen in der Spalte Geerbt von.

Effektive Berechtigungen

Um die effektiven Berechtigungen anzuzeigen, öffnen Sie in den Eigenschaften des Ordners die Registerkarte Sicherheit und dann die erweiterten Einstellungen. Wählen Sie die Registerkarte Effektiver Zugriff aus. Sie sehen alle speziellen Berechtigungen, die der Benutzer in Summe hat. Um die Berechtigungen für einen anderen Benutzer anzuzeigen, wählen Sie über Einen Benutzer auswählen ein anderes Konto aus.

Versteckte Freigaben nutzen

Spezielle Freigaben können aber vor Anwendern versteckt werden, sodass diese nicht als Freigaben auftauchen, unabhängig von den jeweiligen Berechtigungen. Um zu verhindern, dass Anwender eine Freigabe sehen, verstecken Sie die Freigabe, indem Sie dem Freigabenamen ein Dollarzeichen anhängen. Sie können sich mit dieser Freigabe jetzt nur noch durch direkte Eingabe des Freigabenamens (inklusive Dollarzeichen) verbinden.

Administratoren können auf die komplette Festplatte über das Netzwerk zugreifen, indem sie die Freigabe C$ bzw. <Laufwerksbuchstabe>$ verwenden. Diese Freigaben werden Adminfreigaben genannt. Nur Administratoren haben Zugriff darauf.

Sie sollten auf der Ebene der Freigaben die gleichen Gruppen berechtigen, wie auf NTFS-Ebene. Die Festlegung auf NTFS-Ebene erfolgt über die Eigenschaften eines Ordners auf der Registerkarte Sicherheit.

Sie können in der Computerverwaltung alle Freigaben Ihres Servers verwalten. Sie finden die Verwaltung der Freigaben in der Computerverwaltung. Alternativ können Sie die Computerverwaltung über compmgmt.msc starten. In der Computerverwaltung können Sie sich auch mit anderen Servern verbinden, zum Beispiel Core-Server, die lokal nicht über dieses Snap-In verfügen.

In der Eingabeaufforderung sehen Sie Freigaben, wenn Sie den Befehl net share eingeben. Eine weitere Möglichkeit ist der Aufruf von fsmgmt.msc. Mit diesem Tool können Sie sich auch in der grafischen Oberfläche die geöffneten Dateien anzeigen lassen.

BAM – CMS Blog