Hurra – es ist / war it-sa!

Endlich wieder Messe. Lang, lang ist es her, dass der Besuch einer „richtigen“ Messe – also mit Menschen im direkten Kontakt, dem gemeinsamen Kaffee von Angesicht zu Angesicht und nicht per Video etc. – anstand. Bei mir genau genommen 23 Monate. Zufall oder nicht, die beiden letzten Veranstaltungen die ich besucht habe fanden in Nürnberg statt, die it-sa im Oktober und die SPS im November 2019 und die beiden ersten, die ich 2021 besucht habe bzw. besuchen werde sind ebenfalls it-sa und SPS.

Das Mobile Incidence Response Center der QGroup GmbH – Hingucker in Halle 7
© itbeobachter

Die Vorfreude war groß. Denn wie sehr man diese Möglichkeit sich mit anderen Menschen direkt auszutauschen vermisst, wie schön es ist Information, Marktübersicht und Wissenstransfer geballt an einem Ort zu finden, das war uns anscheinend gar nicht mehr so bewusst, schließlich war es ja in all den Jahren eine Selbstverständlichkeit. Eine Pandemie später hat sich das jedoch deutlich geändert. So lautete zumindest das allgemeine Credo aller Beteiligten, vom Aussteller, über die (Fach-)Besucher bis hin zu den Journalisten mit denen ich gesprochen habe – endlich wieder Messe, endlich kann man sich wieder live treffen.

Okay, die offiziellen Zahlen klingen im Vergleich zu den Vorjahren vielleicht etwas ernüchternd, 274 Aussteller aus 18 Ländern, 5.200 Besucher aus 28 Ländern – da ist man aus Nürnberg deutlich größere Zahlen gewohnt. Was auffiel einige Schwergewichte der Branche waren nicht da – am Auffälligsten die Gruppe der AV Hersteller. Für Unternehmenskunden sicherlich nicht die relevanteste Produktgruppe beim Thema IT-Sicherheit, aber eben allen Besuchern ein Begriff und damit fällt ihr Fehlen sofort auf.

Doch war es auch kein Jahr wie jedes andere, sondern quasi ein Neustart nach Corona. Und dafür sind die Zahlen auf jeden Fall in Ordnung. Aber Zahlen sind eben noch längst nicht Alles, ja für einen Aussteller schon einmal gar nicht. Was zählt sind die Qualität der Besucher, die Gespräche und die möglichen oder gar vereinbarten Projekte, die sich im Rahmen einer Messe ergeben. Und bei diesem Thema, da sieht das komplett anders aus. Bis auf einen Aussteller, den ich gesprochen habe, waren alle zufrieden mit der Messe, der Großteil sogar überaus zufrieden. Gelobt wurde allenthalben die hohe Qualität der Besucher und der Gespräche, die oftmals mit sehr konkreten Projektvorstellungen einherging. Enttäuschung klingt wahrlich anders.

Eigentlich berichte ich an dieser Stelle auch über Trends der IT-Sicherheit, doch in diesem Jahr möchte ich da eigentlich gar nichts erzählen, denn der Trend lautete – die Messe war wieder da und hat erneut „funktioniert“. Und damit wäre an dieser Stelle Schluss mit dem Hinweis, auf Wiedersehen in Nürnberg vom 25. bis zum 27. Oktober auf der it-sa … wenn ich nicht von einer Marketingmitarbeiterin angesprochen worden wäre. Sie versprach mir, sie hätten die beste Software aus Deutschland im Portfolio, ob ich mir die nicht mal anschauen wolle. Ich gebe zu, der Spruch hat gezogen und ich habe mir die Funktionen und Funktionsweise der Datensicherheitsplattform der comforte AG einmal genauer erklären lassen. Es geht dabei um einen ganzheitlichen Ansatz der datenzentrierten Sicherheit, der On-premise, in der Cloud oder parallel in beiden Welten funktioniert. Dabei werden sensible Daten teilweise oder auch vollständig tokenisiert, also durch nicht-sensible Datenelemente ersetzt, ohne das ursprüngliche Format zu verändern und werden dann Datenschutz-konform gespeichert. Autorisierte Personen können natürlich jederzeit diese Token wieder de-tokenisieren, also in den ursprünglichen Datenzustand umwandeln. Schutz und Einhaltung der gesetzlichen Vorgaben wie zum Beispiel der Pseudonymisierung zur Verhinderung von Datenschutzverstößen bleiben gewährt, während die tokenisierten Daten für die weitere Bearbeitung genutzt werden können. Das Ganze geht mit einer hohen Performance einher: 50.000 Transactions per Second sind kein Problem. 60 Prozent der weltweiten Kreditkartentransaktionen werden mit Software-Lösungen von comforte geschützt. Ob es jetzt die beste Software aus Deutschland war oder nicht, das habe ich nicht überprüft, aber eine beeindruckende Story war das mit Sicherheit.

Im Oktober zählt die Sicherheit

Wie bereits in den vergangenen 10 Jahren hat sich die Reise zur it-sa nach Nürnberg gelohnt. Es waren – ausnahmsweise einmal nur zwei – spannende Tage auf der Veranstaltung, die wie keine andere in Europa für IT Sicherheit steht. Und das Fazit lautet ebenso wie in der Vergangenheit, mehr Aussteller, mehr Besucher, mehr Ausstellungsfläche, Was insbesondere für die Nürnberg Messe ein Erfolg ist? Das Wachstum bei den Besuchern aus dem Ausland war größer, als das Wachstum innerhalb Deutschlands, die Messe strahlt über die DACH-Region hinaus. Mit Halle 11 gab es zudem eine neue, die vierte, Halle, die zwar prominent belegt war, jedoch weniger Besucher als die anderen Hallen anzog.

Die stets bestens besuchte Halle 9 – © itbeobachter

Was die Themen betrifft, so wurden folgende Schwerpunkte gesetzt: KI beziehungsweise Machine Learning, das Internet der Dinge (IoT) und der Dauerbrenner Datenschutz. Dabei soll die KI die Rolle eines wesentlichen Unterstützers für die IT-Sicherheit übernehmen. So soll lernende Software Malware erkennen und abwehren oder Nutzerverhalten analysieren. Die von Sensoren oder Log-Files erhobenen, großen Datenmengen können dann auf Anomalien durchsucht werden und Ergebnisse liefern, mit denen die Security-Spezialisten in der Lage sind, auf Bedrohungen schneller zu reagieren. Mit dem Internet of Things – egal ob im Business-, Consumer- oder Industriebereich – steigt die Gefahr von Angriffen. Botnetze greifen sehr gerne auf diese Geräte zurück, da sie für einen Zugriff oftmals viel zu leicht genutzt werden können. Schuld daran tragen alle Beteiligten, die Hersteller und die Anwender. Denn unverschlüsselt zu kommunizieren ist ebenso naiv wie beispielsweise ein hart codiertes Einheitspasswort zu verwenden oder Updates erst gar nicht zu ermöglichen. Lösungsansätze bieten die Überwachung der Zugriffe auf Devices oder die Verschlüsselung der M2M-Kommunikation an. Last but not least stand auch Anno 2019 der Mensch im Mittelpunkt der IT-Sicherheit. Denn auch wenn die DSGVO jetzt bereits seit über einem Jahr rechtlich bindend ist, aktuell war und ist sie immer noch. Und auch ein weiteres Thema wird uns wohl weiterhin beschäftigen, die Security Awareness. Denn der Mensch ist und bleibt eine zentrale Schwachstelle der IT-Sicherheit, sei es über Social Engineering, Phishing oder Insider Threat.

Die „neue Halle 11“ – © itbeobachter

Was dabei ins Auge fiel? Das Bewusstsein, dass IT-Sicherheit kein Produkt von der Stange ist, wächst auf Anwenderseite. Denn One-Size-fits-all ist selten eine gute und beim Kapitel IT-Sicherheit schon gar keine seriöse Lösung. Sie gefährdet sogar eher die Sicherheit, als dass sie nutzt. Denn der Glaube „wir haben doch etwas für die Sicherheit getan“ wiegt den Anwender nicht nur in vermeintlicher Sicherheit, sondern hindert ihn unter Umständen daran, die exakt auf seine Bedürfnisse und Aufgaben angepasste, optimale Lösung zu implementieren. Und wer sich diesbezüglich umfassend informieren möchte, für den bietet der Oktober eine exzellente Lösung, die it-sa in Nürnberg. Da kann, besser sollte, man sich den sechsten bis achten Oktober 2020 schon einmal rot im Kalender markieren!

Zum 10. Geburtstag: itsa 2018 oder Das Prinzip Messe lebt

Wieder ist eine it-sa über die Bühne gegangen – und wie! Offensichtlich kennt der Branchentreff in Nürnberg mittlerweile nur noch eine Richtung, nach oben! Denn auch in 2018, dem 10. Messejahr, ist die Veranstaltung wieder gewachsen. Statt 630 Aussteller nun 696, ein Flächenplus von 20%, deutlich internationaler bei Besuchern und Ausstellern und 12 Prozent mehr Besucher als 2017. Wenn man über 10 Jahre hinweg ständiges Wachstum verzeichnet, dann sind in der Frankenmetropole wohl einige Dinge richtig gemacht worden. Ein Vergleich mit der Entwicklung anderer IT-Messen, den Standorten Hannover und Stuttgart etwa, belegt dies eindeutig. Statt Schrumpfen oder Einstellung von Messen, kontinuierliches Wachstum. Aber es ist wohl zwei Dingen geschuldet, der Konzentration auf ein Thema und der Tatsache, dass mittlerweile auch dem letzten Anwender klar wurde – IT ohne Security stellt eine Gefahr dar, eine Gefahr für die Gesellschaft und für jedes einzelne Unternehmen. Erhalte ich also an einem fixen Ort einen breiten Überblick über den Markt, dann ist das Gespräch, das Fachsimpeln Aug-in-Aug immer noch attraktiv und zielführend!

So verwundert es auch nicht, dass die Aussteller absolut zufrieden waren. Das schlechteste Urteil, das ich gehört habe, lautete: „Die Messe entspricht unseren Erwartungen.“ Ansonsten reichten die Urteile von toll, über klasse, hoch zufrieden bis hin zu „super, unsere kühnsten Ziele wurden übertroffen!“ Dabei überzeugt die Aussteller die Qualität der Besucher, Fachpublikum und Entscheider, während die Besucher mittlerweile zu jedem Aspekt der IT-Security alle relevanten Marktteilnehmer vor Ort antreffen. Ergänzt um ein umfangreiches Kongressprogramm und einen neuen Startup-Wettbewerb untermauert die NürnbergMesse den Anspruch der it-sa als führende IT-Security Messe. Nur das Forenprogramm kann da mittlerweile nicht mehr mithalten, denn vieles was dort angeboten wird ist eher unter Unternehmens- und Produktpräsentation denn Information zu verstehen.

Und der Rheinländer ist sich bereits jetzt sicher: Vom 08. Bis 10. Oktober 2019 geht es zum „jecken Jubiläum“ wieder nach Nürnberg!

IT Sicherheit 2.0/17

Sie ist Geschichte, die it-sa 2017! Und wieder ist sie größer geworden was die Zahl der Aussteller (Plus 28%), die verkaufte Fläche (Plus 46%) und die Zahl der Besucher (Plus 25%) anbetrifft. Wenn man wie ich – die Messe vom ersten Tag an in Nürnberg begleitet hat – dann beeindruckt diese Entwicklung ganz besonders. Damals als es los ging, verströmte die Messe den Charme der Improvisation. Viele Foren und Diskussionen, dazwischen einige einfache Messestände das war es. Und heute ist es eine „richtige“ Messe geworden – dieses Jahr der Umzug in die Hallen 9 und 10 – samt Negativentwicklungen. Die Stände deutlich größer, professioneller und beeindruckender. Die üblichen Versuche den Besucher mit Einladungen zu Kaffee, Eis, Popcorn & Co. an den eigenen Stand zu locken. Vortragsreihen mit 15-Minuten-Slots, die oftmals immer noch zu lang und in einigen wenigen Fällen leider zu kurz sind. Und gestritten wird auf Podien leider viel zu selten, eher gar nicht, da es die Podien auch nicht mehr gibt.

Aber eines ist die Messe heute auf jeden Fall, die Leitmesse zum Thema IT-Security. Und betrachtet man die steigenden Besucherzahlen, dann trifft sie auch den Nerv der Zeit. IT-Security gewinnt eben, auch aufgrund zusätzlicher Vorschriften und Gesetzesverschärfungen, endlich die Bedeutung, die ihr schon seit langem zusteht. Begeistert – „tolle Messe“, „wir sind sehr zufrieden“, „wenn jetzt der Donnerstag noch genauso verläuft dann war es super“ – waren auf jeden Fall alle Austeller, die ich gesprochen habe. Zumindest sofern diese noch reden konnten, denn bei einigen war die Stimme entweder schon stark angegriffen oder hatte bereits kapituliert.

Zu den Themen zählten Cloud Security, die von den meisten Ausstellern bedient wurde, und natürlich die im Mai 2018 umzusetzende DSGVO. Trend- oder Mussthemen halt, die auf die ein oder andere Weise wohl bei allen Unternehmen Beachtung finden. Verständlich, denn als Aussteller verfolgt man eben nicht caritative Ziele! Was mir persönlich jedoch viel zu kurz kam, war das Feld der IoT-Security. Im vergangenen Jahr noch war IoT, ob des Mirai-Botnetzes ein wichtiges, da brandaktuelles Thema. Schaut man in die Prognosen, dann gehen die Experten mittlerweile von mindestens 25 Milliarden smarten Geräten / Dingen in 2020 aus. Und dennoch waren viel zu wenige Aussteller auf das Thema fokussiert. Wenn dann war es oftmals lediglich ein Randthema und auf den Ständen in die Ecke gedrängt. Hier hätte ich mir einen stärkeren Schwerpunkt gewünscht, auch und gerade im Vorgriff auf die Zukunft und die damit verbundenen großen Risiken und Gefahren! Ärgerlich war auch der Messestand der Startups. Selbst wenn es keine ausreichende Anzahl an Interessenten gegeben haben sollte, auf einen Anbieter, der seit fast anderthalb Jahrzehnten mit Erfolg auf dem Markt agiert, trifft jedenfalls die Bezeichnung Startup längst nicht mehr zu! Aber das kann sich ja in 2018 dann auch ändern. Überprüfen werde ich das mit Sicherheit, denn der Oktober ist auch in 2018 bei mir wieder der itsa-Monat!

Meine CeBIT-Highlights

Okay, die CeBIT besuche ich zuerst aus beruflichen Gründen, aber dennoch gönne ich mir in den Tagen in Hannover immer auch eine Auszeit und schlendere durch einige Hallen, um mich ganz persönlich über Produkte zu informieren oder im Messe-Gewusel kleine Perlen zu entdecken. In diesem Jahr habe ich dabei insgesamt drei subjektive Highlights gefunden, ein Vortrag und zwei Startups:

Der Vortrag der mediaTest digital GmbH beschäftigte sich mit dem Thema ”Gefährliche Apps”. Nun fallen einem dabei in der Regel direkt die üblichen Verdächtigen ein wie etwa Whatsapp & Co., aber diese standen gar nicht im Fokus des Vortrages. Vielmehr ging es um die Beurteilung beliebter oder nützlicher Apps. Am Beispiel von Shazam, Quizduell, Eurosport, Wall Street Journal oder Hotel.de wurden die Gefahren / Risiken für Unternehmen verdeutlicht. So werden etwa von Shazam, getestet in der iOS-Version, Geräte-IDs wie die Seriennummer der Netzwerkkarte (IMEI) und die MAC-Adresse an Dritte übertragen. Zudem wird der Standort des Gerätes teilweise im 3-Sekunden-Rhtyhmus an Shazam übermittelt. Vielleicht hat ja jemand eine Idee, warum eine Musikerkennungssoftware den Zugriff auf Geodaten benötigt, mir jedenfalls fällt dazu keine zitierfähige Erklärung ein! Aber auch Quizduell, getestet in der Android-Version, überträgt munter Hashwerte, eine verschleierte Form der IMEI-Adresse und weitere eindeutige IDs inklusive Benutzernamen unverschlüsselt an ein Werbe-Netzwerk. Die eindeutige Identifizierung des Anwenders ist damit ein Kinderspiel. Und wer bei Eurosport Kommentare abgeben möchte, steht vor der schönen Erfahrung, dass Benutzernamen und Passwörter unverschlüsselt übermittelt werden – ein gefundenes Fressen für Angreifer. Hotel.de (iOS-Version) überträgt hingegen unverschlüsselt alle Buchungsdetails. Vom Einsatz der Wall Street Journal App (Test der Android-Version) kann nur abgeraten werden, denn hier erfolgt die unverschlüsselte Weitergabe von IMEI und die Android ID an ein Werbe-Netzwerk! Leichter kann es Angreifern nicht gemacht werden! Und der Wettbewerb ist sicher interessiert, wenn beispielsweise Vertriebsmitarbeiter eindeutig erkannt und deren Bewegungsprotokolle verfolgt werden können.

Zu den Unternehmens-Perlen gehörte das Münchener Unternehmen Stackfield GmbH. Stackfield ermöglicht die Verwaltung von Aufgaben und Projekten im Browser, unter einer übersichtlichen und schnellen Oberfläche. Aus Sicht der IT-Security ist dabei die Ende-zu-Ende-Verschlüsselung von besonderer Bedeutung. Denn alle Informationen werden direkt auf dem Gerät des Nutzers ver- und erst beim Empfänger wieder entschlüsselt. Die Server stehen in Deutschland, an ein weiteres Rechenzentrum zur zusätzlichen Sicherung ist nach Aussage des Geschäftsführers gedacht. Besonders hat mir der modulare Aufbau der Software gefallen. So kann jedes Unternehmen sich genau die Teile aus einem Pool heraussuchen die es benötigt. Statt teurer Gesamtpakete exakt den eigenen Bedarf abdecken – sicher, individuell und auch noch kostengünstig, charmanter geht es für KMU kaum! Und die E-Mail-Flut wird auch reduziert, denn ein Projekt ist gleichzeitig ein Kommunikationsraum!

Mein zweites Unternehmens-Highlight ist die Kölner pixolus GmbH, deren Gründer Mitarbeiter des Fraunhofer Institutes waren. Pixolus stellte eine Software zur mobilen visuellen Erfassung von Daten via Smartphone vor, eine einfache und geniale Lösung. Einsatzmöglichkeiten wurden am Stand demonstriert etwa beim Ablesen von Strom-, Gas- oder Wasserzählern. Dabei können die erhobenen Daten sofern ein Netz zur Übertragung vorhanden ist direkt, zeitversetzt bei der Einwahl in ein Netz oder gesammelt zu einem festgelegten Zeitpunkt übermittelt werden. Das Fehler-behaftete und aufwändige Abtippen von Daten entfällt. Die Installation auf gängigen Smartphone und Tablets oder branchenspezifischen MDE-Geräten genügt und schon kann der mobile Scanner eingesetzt werden.

Zwei Lösungen, die durch ihre Einfachheit bestechen und die Arbeit von Unternehmen vereinfachen. Ich bin gespannt darauf, wie sich Stackfield und pixolus in der nächsten Zeit schlagen werden und was sie im nächsten Jahr auf der CeBIT zu berichten haben!

Die CeBIT und die Welt der Traktoren

100 % Business – so lautete die Formel für Hannover in 2014 und ob es eine erfolgreiche Messe gewesen ist, das zeigt wohl erst die Zukunft. Spätestens bei den Anmeldungen für 2015 ist nämlich erkennbar, ob die Aussteller dem Konzept auch weiterhin folgen wollen. Gut, die Messeleitung veröffentlichte natürlich bereits heute, am letzten Messetag, die üblichen (Erfolgs-) Zahlen: So sollen 25 Mrd. Euro (Bestwert für Hannover) konkrete IT-Investitionen von den 92 % Fachbesuchern angeschoben worden sein. Mit 210.000 Besuchern, davon ein Viertel aus dem Ausland, habe man das angestrebte Ziel zu 90 % erreicht. Wie bereits früher angemerkt – Business as usual in der Messebranche.

Aber so rosig war zumindest nicht alles. Weniger Aussteller, weniger Besucher, Gänge in Straßenbreite und Hallenplatzierungen, deren Logik nicht nachvollziehbar war. So bekam ich bei meinem ersten Besuch in Halle 12, Thema IT-Security, einen echten Schock und kontrollierte zuerst, ob ich versehentlich die falsche Messe aufgesucht hatte. Ich stand nämlich vor mehreren riesigen Maschinen des Herstellers von Landtechnik Claas. Zugegeben, ein imposanter Anblick und technisch sicherlich interessant. Doch welcher Grund – außer dem die leere Halle zu füllen – spricht eigentlich dafür Traktoren & Co. den Fachbesuchern einer IT-Messe zu präsentieren? Dass Aussteller dies gar nicht lustig fanden und sich verar… vorkamen nicht ernst genommen sahen, habe ich dann in Gesprächen feststellen dürfen. Wenn Oliver Frese nächstes Jahr einen weiteren Rückgang bei den Ausstellerzahlen in Halle 12 zu verzeichnen haben sollte, könnte es daran liegen, dass diese Aussteller ein Langzeitgedächtnis haben!

Und was die Besucher angeht, so fiel auch in diesem Jahr die große Zahl an Fachbesuchern auf, die zwischen 16 und 18 Jahren alt war. Dagegen ist nichts einzuwenden, denn das sind die Fachkräfte der Zukunft und in Zeiten von BYOD ist der Einfluss des Anwenders auf die betriebliche IT auch enorm. Aber geplant und gewollt ist das eben auch nicht und damit schönen sie eigentlich nur die Bilanz. Denn zieht man sie von der Zahl der Gesamtbesucher ab, dann haben nur rund 194.000 Fachbesucher die Messe besucht und statt 90 Prozent stehen dann 84 Prozent bei der angestrebten Zahl an Fachbesuchern. Aber wie bereits gesagt, einen Erfolg verzeichnet die Messe ja eigentlich in jedem Jahr!

Oracles Verständnis von Sicherheit

Die allgemein gültige Weisheit, man solle nicht den Ast absägen auf dem man sitzt gilt offensichtlich nicht unbedingt für jeden. Dies ist die Quintessenz des aktuellen Editorials der iX 3/2013 von Christian Kirsch. In „Write once, bugs everywhere“ wird auf das zentrale Argument für den Einsatz kommerzieller, proprieträrer Software verwiesen – Wartung (und die Realität).

Oracle scheint es mit der Wartung insofern nur ernst zu nehmen, als der Kunde pünktlich und regelmäßig zahlt. Der Rest ist egal dann gelaufen. Beispiele gefällig? Seit vier Jahren existiere so Christian Kirsch „in Oracles namensgebender Datenbank (vulgo Database) eine Lücke die Man-in-the-Middle-Angriffe ermögliche“. Kunden der Version 11g sollen zwar bezahlen, eine Korrektur aber nicht mehr erhalten. Oder aber der Umgang mit MySQL. Die Bezeichnung kein Ruhmesblatt für Oracle ist in diesem Zusammenhang eine echte Untertreibung. Exploits für die Zero-Day-Lücken sind seit Dezember bekannt und Oracle tue nichts für seine Kunden mit Wartungsvertrag

Interessiert man sich in Redwood Shores nicht dafür? Kann man die Bugs nicht beheben, fehlt es vielleicht an einer Lösung? Das kann es wohl nicht sein, denn der Clone MariaDB habe die meisten bereits beseitigt. Es wird aber noch besser. Christian Kirsch führt aus: „Die allgemein zum Herunterladen verfügbaren MySQL-Quellen und -Binaries der Community-Version enthalten zwar bereits einige Korrekturen, doch wer zahlt, soll darauf noch warten.“ Ähm, ja, verstehe ich das jetzt richtig? Wer zahlt ist der Dumme, weil er etwas nicht erhält was derjenige der nichts zahlt bereits hat?

Setzt sich dieses Geschäftsgebaren durch, dann gehen den Unternehmen die Wartungsverträge anbieten langsam aber sicher die Argumente für solche Verträge aus. Und es ist Wasser auf die Mühlen derjenigen, die grundsätzlich für den Einsatz von Open Source Software plädieren. Aus Sicht von Oracle und Co. sicherlich nicht die beste Lösung!

PS: Erneut ist dieses Editorial der Beleg dafür, dass sich die regelmäßige Lektüre der iX lohnt. Bei mir jedenfalls ist es das erste was ich lese, wenn ich die iX aus dem Briefkasten geangelt habe. Daher an dieser Stelle ein Dankeschön an Christian Kirsch und alle seine Kollegen die Monat für Monat ein tolles Editorial auf die Beine stellen – und der Rest des Heftes ist wie immer auch noch einen Blick wert. 🙂