First Tuesday: Schulung „Militärische IT-Sicherheit für Ihr Unternehmen?“
Dienstag, den 05. Juni reihte sich das House of Energy erstmals in das regelmäßige Veranstaltungsformat des Science Park ein und bot Interessierten einen spannenden Vortrag, der von dem Mitglied QGroup gehalten wurde. Das Thema „Militärische Sicherheit für Ihr Unternehmen“ sprach sowohl Vertreter junger Unternehmen aus dem Science Park als auch externe IT-Fachleute aus etablierten Unternehmen an.
Die Einführung übernahm Prof. Birkner. Er stellte das House of Energy, seine Aufgaben und seine Arbeitsweise vor. Weiterhin erläuterte er die Grundlagen aktiver „intelligenter“ Netze und damit verbundene Rolle der Datenerfassung, -übermittlung und -bearbeitung. Energiesysteme von morgen und Digitalisierung konvergieren. Das Internet of Things – IOT – hält Einzug in die Energietechnik. Mit dem "Smart Grid" bekommen Datenschutz, IT- und Datensicherheit eine völlig neue Qualität.
Herr Blumenthal, Geschäftsführer der QGroup bot anschließend einen tiefen Einblick in die IT-Sicherheit. Anhand von demonstrativen Beispielen, die auch für Nicht-ITler verständlich waren, schilderte er, worauf es bei IT-Sicherheit ankommt und welche Konzepte und Strategien anzuwenden sind. Mit Hilfe bekannter Szenen aus den Filmen „Kevin-Allein-zu-Haus“ oder „Titanic“ wurde das Thema Trusted Computing & Multilevel Security den rund 25 Teilnehmern nähergebracht und anschließend vertiefend hinterfragt. Dieser Ansatz ist vielschichtig und kann auf viele Situationen angepasst werden. Multilevel Security heißt so viel wie mehrstufige Sicherheit und kommt bei der Architektur hochsicherer Computersysteme zum Einsatz. Dabei geht es sowohl um die Reduzierung der Wahrscheinlichkeit eines erfolgreichen Hackerangriffs als auch um die Schadenseingrenzung im Eintrittsfall. Hierzu werden strukturierte Sicherheitsmechanismen umgesetzt. Diese basieren auf dem Konzept streng klassifizierter Daten mit entsprechend qualifizierten Zugangsberechtigungen (je nach Level und Datencompartment), konsequenter Datenflusskontrolle, Integritätskontrollen der Datenquellen und unterschiedlichen Betriebsmodi für Regelbetrieb und Systemkonfigurationen. Ein Computeradministrator hat so z.B. die Möglichkeit, Datenbackups durchzuführen, ohne Zugang zu Daten und Inhalten oder Systemen zu erhalten, die für die Aufgabe nicht erforderlich sind. Zum Beispiel kann er Geschäftsdokumente nicht einsehen oder kopieren und Logs ändern.
Im Grundsatz ist festzuhalten, dass es immer eine Restwahrscheinlichkeit gibt, dass ein Unbefugter in ein System eindringt. Wenn dies also der Fall ist, wird in einem zweiten Schritt, durch passende Segmentierung – Einrichtung von Compartments – den Schadensumfang begrenzt und Applikationen und Daten werden z.B. entsprechend hoheitlichen oder faktischen Aufgaben gesetzeskonform voneinander abgegrenzt ohne die IoT Funktionalität und Sicherheit zu beeinträchtigen. Die IT-Sicherheitsphilosophie muss also mehr auf Daten und Datenströme als auf Betriebssystem und Infrastruktur abzielen. Auch sind die Aspekte einer sicherheitsgetriebenen IT und einer funktionsgetriebenen IT auszutarieren.
Für kleine Unternehmen empfahlen die Experten der QGroup sich mindestens an den IT-Grundschutz-Katalog (gemäß ISO 27001) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu halten. Auch würde die QGroup Audits durchführen, bei der die Basissicherheit professionell überprüft würden. Beim anschließenden Networking klang der Abend kommunikativ und gemütlich aus.