IAS ist die Abkürzung für „International Accounting Standards“, auf Deutsch internationale Rechnungslegungsstandards. Dabei handelt es sich um eine Reihe von international vereinbarten Grundsätzen und Verfahren, die festlegen, auf welche Art und Weise die Rechnungslegung in kapitalmarktorientierten Unternehmen oder Konzernen erfolgen soll.

IAS – Basis für die Rechnungslegung internationaler Unternehmen

Im Zuge der seit Mitte der 1960er Jahre zunehmenden Globalisierung der Wirtschaft wurde deutlich, dass ein weltweit akzeptierter Rahmen für die auf internationaler Ebene konsistente, vergleichbare, zuverlässige und transparente Erstellung von Finanzunterlagen und -berichten notwendig ist. Diesen einheitlichen Rahmen bilden die bis 2001 veröffentlichten IAS und die nachfolgenden IFRS.

Wer ist für die IAS verantwortlich?

Die IAS wurden vom International Accounting Standards Committee (IASC) erstellt und herausgegeben. Das IASC wurde 1973 von Australien, Kanada, Frankreich, Deutschland, Japan, Mexiko, den Niederlanden und dem Vereinigten Königreich gegründet. 1989 veröffentlichte das IASC mit dem „Framework for the Preparation and Presentation of Financial Statements“ das erste internationale akzeptierte „konzeptionelle Rahmenwerk“, um Unternehmen bei der Rechnungslegung und Berichterstattung zu unterstützen. Bis zum Jahr 2001 wurden insgesamt 41 IAS Standards vom IASC entwickelt und veröffentlicht.

Ab dem Jahr 2001 wurde eine neue Reihe mit insgesamt 17 Standards entwickelt, die als International Financial Reporting Standards (IFRS) bezeichnet werden. Gleichzeitig erfolgte eine Umbenennung des International Accounting Standards Committee in International Accounting Standards Board (IASB). Seit dem 1. Dezember 2016 hat das IASB 14 Vorstandsmitglieder. Die Mitglieder werden für eine fünfjährige Amtszeit ernannt. Die Verfassung des IASB schreibt vor, dass jeweils vier Vorstandsmitglieder aus der Region Asien/Ozeanien, Europa, Nord- und Südamerika, ein Mitglied aus Afrika und ein weiteres aus einem beliebigen Gebiet stammen müssen. Die Mitglieder des IASB Boards müssen einerseits über praktische Erfahrung und andererseits über eine hohe fachliche Kompetenz in Bezug auf die Rechnungslegung großer Unternehmen verfügen.

Das IASB hat seinen Sitz in London und ist bis heute Herausgeber der aktuellen IFRS. Die älteren IAS werden vom International Accounting Standards Board regelmäßig überarbeitet und bei Bedarf aktualisiert. In der Europäischen Union sind die IFRS seit dem Jahr 2005 von kapitalmarktorientierten Unternehmen bei der Bilanzerstellung verpflichtend anzuwenden. Andere Unternehmen, die international tätig sind, von denen jedoch keine Aktien, Anleihen oder andere Wertpapiere an einer Börse gehandelt werden, können diese Standards ebenfalls anwenden, sind jedoch nicht dazu verpflichtet.

Warum wurden die IAS entwickelt?

Moderne Volkswirtschaften sind auf grenzüberschreitende Transaktionen und den freien Fluss von internationalem Kapital angewiesen. Mehr als ein Drittel aller weltweiten Finanztransaktionen finden heute grenzüberschreitend statt – mit steigender Tendenz. Investoren suchen weltweit nach Diversifizierungs- und Investitionsmöglichkeiten und Unternehmen beschaffen Kapital an den globalen Finanzmärkten, agieren zunehmend international und haben Tochtergesellschaften oder Niederlassungen in mehreren Ländern.

In der Vergangenheit wurden grenzüberschreitende Aktivitäten dadurch erschwert, dass verschiedene Länder ihre eigenen nationalen Rechnungslegungsstandards hatten. Dieser Flickenteppich unterschiedlicher Vorschriften erhöhte häufig die Kosten für internationale Transaktionen, die Komplexität der Abschlüsse und letztendlich das Risiko für Investoren und andere, die diese Abschlüsse für wirtschaftliche Entscheidungen verwenden.

Die Anwendung nationaler Rechnungslegungsstandards bedeutete, dass die im Jahresabschluss ausgewiesenen Beträge oft auf unterschiedlichen Grundlagen berechnet werden. Für Kapitalgeber und andere interessierte Personenkreise bedeutet dies, dass die Details der nationalen Rechnungslegungsstandards im Einzelnen untersucht werden müssen, da selbst ein geringer Unterschied in den Anforderungen bei der Rechnungslegung einen erheblichen Einfluss auf die veröffentlichte Leistung und finanzielle Lage eines Unternehmens haben kann.

Mit den IAS und den seit 2001 veröffentlichten IFRS wurden die Jahresabschlüsse transparenter und leichter vergleichbar. Die IAS und IFRS-Standards behandelt einzelne Themenbereiche der Rechnungslegung und empfehlen, wie bestimmte Transaktionen in der Rechnungslegung dargestellt werden sollten, Sie sorgen für Transparenz, indem sie die Qualität von Finanzinformationen vereinheitlichen und verbessern. Dies ermöglicht Anlegern und anderen Marktteilnehmern, fundierte wirtschaftliche Entscheidungen zu treffen. Die IAS und IFRS Standards verringern die Informationslücke zwischen den Kapitalgebern und den Unternehmen und Personen, denen sie ihr Geld anvertraut haben. Die Standards schreiben die Veröffentlichung von Informationen vor, die erforderlich sind, um das Management zur Rechenschaft zu ziehen.

Als Rahmen für global vergleichbare Informationen sind die IAS und IFRS-Standards auch für Aufsichtsbehörden auf der ganzen Welt von entscheidender Bedeutung. Nicht zuletzt tragen die Standards zur Wirtschaftlichkeit bei, indem sie Anlegern helfen, Chancen und Risiken zu identifizieren und so die Kapitalallokation zu verbessern. Für Unternehmen reduziert die Verwendung weltweit gültiger Standards die Kapitalkosten und senkt die Kosten für die internationale Berichterstattung.

Welche Vorteile bietet diese Rechnungslegung?

Die Mitgliedsländer der G20 und andere große internationale Organisationen sowie sehr viele Regierungen, Wirtschaftsverbände und Investoren unterstützen das Ziel eines einheitlichen Satzes von qualitativ hochwertigen, globalen Rechnungslegungsstandards. Unter anderem macht die Weltbank die Vergabe von Krediten davon abhängig, ob die IAS verwendet werden. In der Regel verlangen international tätige Investoren Abschlüsse, die auf Grundlage dieser Standards erstellt worden.

Dies hat dazu geführt, dass die IAS und IFRS trotz eines für viele Unternehmen zunächst erhöhten Aufwandes bei der Rechnungslegung heute weitgehend akzeptiert werden. Die IAS und IFRS ermöglichen Investoren und anderen interessierten Personenkreisen den unkomplizierten Vergleich von Unternehmen bei einem Unternehmensverkauf egal, in welchem Land das Unternehmen seinen Sitz hat. Diesen Vorteil wissen Investoren zu schätzen, wenn sie im Datenraum ein Unternehmen im Rahmen der Due Diligence bewerten.

Die Abkürzung Vserver steht für „virtuelle Server“. Durch den Einsatz einer Software für Virtualisierung kann ein Hardwaresystem in einige einzelne, voll funktionsfähige Server aufgeteilt werden. Durch die Virtualisierung, wie sie zum Beispiel Proxmox ermöglicht, lässt sich der Zugriff zwischen den einzelnen Systemen unterbinden bzw. steuern. Darüber hinaus kann ein virtueller Server mittels verschiedener Distributionen, wie zum Beispiel CentOS, Ubuntu oder Debian, betrieben werden.

Das allgemeine Leistungsspektrum von Vservern

Wenn Sie sich zum Beispiel einen Vserver über das Internet mieten möchten, dann bedeutet das nicht gleichzeitig, dass einen Server erhalten, der ausschließlich für Sie arbeitet. Ein virtueller Server ist im Grunde genommen eine „kleiner Teil“ eines noch weitaus größeren Servers, welche etwa in einem Rechenzentrum aufgestellt ist. Auf einem solchen physisch vorhandenen Server werden eine Vielzahl unterschiedlicher Nutzer verwaltet, die wie Sie ebenfalls eine virtuelle Maschine für ihre Zwecke angemietet haben.

In der Regel werden sowohl die Leistung als auch die Größe vom Anbieter/Hoster festgelegt. Die Netzanbindung unterliegt größtenteils etwaigen Vorgaben des Dienstleisters. Sie können sich jedoch darauf verlassen, dass Vserver mit überaus schnellen Anbindungen an ein Netzwerk bzw. an das Internet ausgestattet sind.

Häufig müssen Sie sich allerdings um die Installation des Vserers selbst kümmern und regelmäßige Backups erstellen, damit Sie keinen Datenverlust hinnehmen müssen, wenn der Server ausfällt. Derart aufwendige Aufgaben entfallen bei einem sogenannten Managed Server, welcher Serviceleistungen, wie zum Beispiel Backup-Systeme, eine regelmäßige Wartung ihres Internetauftritt oder auch unendlichen Speicherplatz, beinhaltet.

Wenn die Leistungsfähigkeit eines gesamten Servers aufgrund der hohen Last der angemeldeten Nutzer nicht mehr ausreicht, kann der Host den Vserver auf eine Maschine umziehen, welche zu diesem Zeitpunkt noch über freie Kapazitäten verfügt. Von diesem Umzug bemerken Sie im Regelfall so gut wie nichts und können wie gewohnt Ihrer Arbeit nachgehen.

Basis für viele Programme

Vserver zeichnen sich vor allem durch die Tatsache aus, dass sie eine augenscheinlich unendliche Menge an verschiedenen Programmen unterstützen und Nutzern zielgerichtet zur Verfügung stellen können. Dabei kann es sich um eine simple Seite im Internet, einen Mehrspieler-Server für PC- und Konsolen-Spiele oder komplexe Datenbanken handeln.

Die durchweg individuelle Skalierbarkeit bietet Nutzern zahlreiche Entscheidungsmöglichkeiten und steigert auf diese Weise die Flexibilität bei der täglichen Arbeit. Insbesondere Menschen jüngerer Generationen stehen dieser modernen Technologie überaus offen gegenüber. Firmen erkennen die Technik zunehmend häufiger als zielführend, wenn es um das Erreichen wichtiger unternehmerischer Ziele geht. Zudem schätzen Firmen jedweder Größe den Komfort durch die bereitgestellten dynamischen Server sowie die damit einhergehende Skalierbarkeit.

Die Virtualisierung im Detail

Wie Sie bereits erfahren haben, kümmert sich in der Regel ein Hoster bzw. ein Rechenzentrum um die Virtualisierung von physisch vorhandenen Computern bzw. Servern. Handelt es sich also um einen virtuellen Server/Vserver, handelt es sich im Grunde genommen um einen Computer, welche virtuell in viele einzelne Computer einschließlich alle dazugehörigen Ressourcen aufgeteilt wurde. Ein einzelner dieser kleineren Rechner bezeichnen IT-Experten als sogenannten Container.

Durch den Einsatz dieses Konzepts ist es möglich, dass die Ressourcen aufgespalten werden können und vollkommen dynamisch zu jeder Zeit an die Nutzer verteilt werden können. Besteht bei einem Kunden demnach ein größerer Bedarf, kann ihm der Hoster mehr Kapazität dauerhaft oder für einen begrenzten Zeitraum zuweisen.

Auf einem Vserver lässt sich darüber hinaus ein Betriebssystem installieren, welches im Anschluss einen „vollständigen“ Computer abbildet. Üblicherweise kommt auf einem Vserver das Betriebssystem Linux ohne eine grafische Oberfläche zum Einsatz. Mit Hilfe einer sogenannten SSH-Verbindung kann der Vserver verwaltet werden.

Der Verbindungsaufbau zu einem Vserver

Der SSH-Verbindungsaufbau unter Linux ähnelt dem Terminal- bzw. CMD-Programm der Betriebssysteme Unix und Windows. Sobald ein Administrator die IP-Adresse der virtuellen Maschine sowie die zwingend notwendigen Zugangsdaten (Benutzer und Passwort) eingibt, kann er eine Verbindung zum Server aufbauen und diesen Remote (aus der Ferne) verwalten. Er kann ein Programm durch die entsprechenden Befehle in der Kommandozeile installieren oder Update einspielen. Dieses Vorgehen ist vor allem für einen Administrator überaus komfortabel und zeitsparend. Server mit einer grafischen Oberfläche benötigen weitaus mehr Ressourcen, sodass auf einem Vserver kaum andere Betriebssysteme anzutreffen sind.

Für wen sich Vserver eignen

Vserver sind mittlerweile wahre Alleskönner und sind in nahezu allen Bereichen einsetzbar. Sollten Sie darüber nachdenken, Ihren bereits vorhandenen Webspace abschaffen zu wollen und nach geeigneteren Technologien suchen, dürften Sie für einen oder mehrere Vserver in Frage kommen. Sofern Sie auf die Möglichkeit eines Manged Server verzichten möchten, sollten Sie in diesem Zusammenhang beachten, dass die erstmalige Konfiguration allerdings wesentlich aufwendiger und zeitintensiver ist.

Einsteiger können bei einem Hoster meist eine Basiskonfiguration für den virtuellen Server erwerben und sich mit der Materie vertraut machen. Wenn Sie im Lauf der Zeit feststellen, dass Ihnen die zur Verfügung gestellten Ressourcen nicht mehr ausreichen, können Sie Ihren Vserver jederzeit erweitern lassen. Für die Konfiguration des Servers sollte jedoch Fachwissen beim Nutzer vorhanden.

Relationale Datenbanken, anders als MongoDB, wurden jahrzehntelang als die einzige Lösung zur Archivierung und Verwaltung elektronischer Daten angesehen. Nicht ohne Grund handelt es sich bei dem im Jahr 1995 veröffentlichten Datenbanksystem MySQL auch heute noch um das beliebteste Datenbank-Managementsystem für viele Webanwendungen.

Das kontinuierlich steigende Volumen an Daten, mit dem moderne Webanwendungen konfrontiert werden, bedarf jedoch neuer Ansätze und Lösungen. Genau diese Probleme versuchen Datenbanken mit nichtrelationalem Ansatz zu lösen, die sich allmählich zu ernsthaften Konkurrenten des traditionellen Modells entwickeln. Diese verteilten Systeme, wie beispielsweise das im Jahr 2009 erschienene MongoDB, basieren auf dokumentorientierten Prinzipien und werden als NoSQL-Datenbanken bezeichnet (Not only SQL), da sie auf den Einsatz der traditionellen Abfragesprache SQL völlig verzichten. Obwohl dies zwar höhere Ansprüche an die Anwendungsschicht stellt, erlaubt es jedoch den Datenbestand und Arbeitsprozesse auf verschiedene virtuelle Server zu verteilen, sodass sich diese modernen Systeme fast unbegrenzt skalieren lassen.

MongoDB im Detail

Das US-amerikanische Unternehmen 10gen mit Hauptsitz in Palo Alto im US-amerikanischen Bundesstaat Kalifornien begann im Jahr 2007 mit der Entwicklung von MongoDB, einer dokumentorientierten NoSQL-Datenbank, die zwei Jahre später in der finalen Version der breiten Öffentlichkeit vorgestellt wurde. Die Open-Source-Datenbank entwickelte sich binnen kürzester Zeit zu der beliebtesten NoSQL-Datenbank. Das Unternehmen 10gen, das jetzt als MongoDB Inc. firmiert, ist weiterhin für die Entwicklung, Verwaltung und den Vertrieb kommerzieller Lösungen verantwortlich.

Die NoSQL-Datenbank MongoDB ist in der Programmiersprache C++ entwickelt und speichert Daten im binären JSON-Format „BSON“, das sich im hohen Maße am JSON-Format (JavaScript Object Notation) orientiert. Dadurch werden sämtliche JS-Datentypen unterstützt, weshalb MongoDB in erster Linie in NodeJS-Anwendungen eingesetzt wird. Eine MongoDB-Datenbank setzt sich aus einer oder mehreren Datensammlungen zusammen, die unterschiedliche Dokumente mit unendlich vielen und verschiedenen Datenfeldern verwalten.

In vielen Distributionen ist die Mongo Shell standardmäßig enthalten. Dabei handelt es sich um einen Client, mit dem sich der Zugriff via Kommandozeile realisieren lässt. Darüber hinaus lässt sich eine webbasierte Administrationsoberfläche aktivieren und direkt im Webbrowser aufrufen. Zusätzlich sind verschiedene Nutzeroberflächen erhältlich, wie beispielsweise:

–       MongoChef

–       MongoClient

–       RoboMongo

Mit diesen Tools können Sie die Daten grafisch anzeigen lassen und bearbeiten. MongoDB ist mit allen aktuellen Windows-, Linux- und MacOS-Systemen kompatibel.

Datenbankenmodelle im Vergleich: NoSQL vs. SQL

Anders als relationale Datenbanken verfolgt MongoDB einen dokumentorientierten Ansatz und geht dementsprechend ganz andere Wege bei der Speicherung der Daten. Die Grundstruktur weist jedoch gewisse Ähnlichkeiten auf:

–       Die Daten werden anstatt in Tabellen in Sammelmappen, den sogenannten „Collections“ gespeichert.

–       Die Spalten der SQL-Tabellen werden durch Zeilen ersetzt, die durch Dokumente im BSON-Format definiert werden.

–       Ein Feld setzt sich dabei immer aus einem Paar zusammen, und zwar einem Schlüssel, der den Namen des Feldes darstellt, und dem jeweiligen Wert.

Bei einem MongoDB-Dokument handelt es sich also um eine Sammlung von Schlüssel-Werte-Paaren. Der bedeutendste Unterschied zwischen NoSQL- und SQL-Systemen spiegelt sich jedoch in der Tatsache wider, dass MongoDB-Dokumente keinem festen Schema folgen. Dokumente in einer NoSQL-Datenbank haben ihre eigene einzigartige Struktur. Dadurch können jederzeit neue Felder mit neuen Werten hinzugefügt werden, was bei einer SQL-Datenbank wie MySQL undenkbar wäre und eine komplette Umstrukturierung des Systems erfordern würde.

Wo wird MongoDB eingesetzt?

Die hoch performante Datenbank ist immer dann eine gute Wahl, wenn Sie Webanwendungen realisieren möchten, die auf einer großen Menge unstrukturierter Daten basieren. Der dokumentbasierte Ansatz und die Tatsache, ohne an ein festes Schema gebunden zu sein, ermöglicht, dass unterschiedliche Datentypen schnell verarbeitet und gespeichert werden können. MongoDB kann außerdem nahezu unbegrenzt skaliert werden, da sich die Datenbank schnell und unkompliziert auf mehrere virtuelle Server verteilen lässt, ohne die Performance einzuschränken. Um die Verfügbarkeit und Sicherheit der gespeicherten Daten zu gewährleisten stellt MongoDB mehrere Mechanismen zur Verfügung.

Der Einsatz von MongoDB kann dementsprechend für alle Webanwendungen empfohlen werden, bei denen folgende Kriterien wichtig sind:

–       Flexibilität: Das Webprojekt soll jederzeit dynamisch modifiziert werden können.

–       Skalierbarkeit: Wenn die Anzahl Ihrer Nutzer steigt, wird auch dementsprechend die Zahl der Anfragen größer.

–       Verfügbarkeit: Die Webanwendung soll jederzeit in der Lage sein, Dienste Ihren Nutzern zur Verfügung zu stellen, selbst im Falle Serverausfalls.

In der Verteilung der Daten auf mehrere virtuelle Server besteht der wesentliche Unterschied zwischen MongoDB und relationalen Datenbanken: Nach der Speicherung der Daten bleibt ein kurzes Zeitfenster offen, in dem nachfolgende Lesezugriffe nur auf den alten Datenbestand zurückgreifen können. Dieses Konsistenzmodell wird als „Eventual Consistency“ bezeichnet.  Es stellt die Funktionalität zur Verfügung, das virtuelle Datenbanken-Server, die Teil eines größeren Datenbank-Clusters sind, Schreibzugriffe von Webanwendungen zulassen können, wenn sie vom Cluster getrennt sind.

Die National Security Agency (NSA) ist ein Auslandsgeheimdienst der Vereinigten Staaten von Amerika. Seine Hauptaufgabe besteht in der Überwachung elektronischer Kommunikation ausländischer Geheimdienste und Militärs. Das bringt ihm, berechtigt oder nicht, einige Kritik ein. Wussten Sie aber, dass Entwicklung und Forschung im Bereich von Sicherheit und Verschlüsselung auch Aufgaben des Geheimdienstes sind? Quellcode der Behörde befindet sich beispielsweise in fast jedem Android-Mobiltelefon und auf nahezu jedem Linux-Server.

Geschichte und Entwicklung der NSA

Gegründet wurde der Vorläufer der NSA, die Army Security Agency (ASA) 1945 durch den damaligen Präsidenten Harry S. Truman. Sie war zunächst eine Unterabteilung des Verteidigungsministeriums. Hauptgrund der Gründung war in der Anfangszeit die Spionage gegen das Deutsche Reich. Später trug der beginnende Kalte Krieg mit der Sowjetunion zum Fortbestand und Ausbau der Abteilung bei.

Im Jahr 1952 ging die NSA aus der ASA hervor. Sie ist mittlerweile der größte Auslandsgeheimdienst der USA.

De NSA hat über die Jahre beträchtliche Verdienste an der Entwicklung von Sicherheitsstandards in Hard- und Software erworben. Zum Beispiel auf dem Feld der Kryptografie.

Aufgaben der NSA heute

Die Aufgaben der NSA sind gesetzlich festgelegt. Sie hat Informationen zu sammeln, die zum Schutz der nationalen Sicherheit benötigt werden. Die zweite Hauptaufgabe ist der Schutz vor Angriffen auf geheime Informationen der US-Regierung. Die NSA untersteht dem Verteidigungsministerium. Das Internet wiederum basiert auf einer Entwicklung des US-Militärs, dem APRANET. Daher war die Behörde von Anfang an in die Entwicklung von Sicherheitsstandards eingebunden. Sie hat sich im Laufe der Jahre maßgeblich an der Forschung im Bereich der Verschlüsselungstechnik beteiligt. Dies beschreibt zugleich auch das dritte große Aufgabenfeld der NSA.

Entwicklung von Verschlüsselung

Die verschlüsselte Übertragung von Daten wurde in den 1970er Jahren als Schutz vor unbefugtem Abhören etabliert. Die NSA arbeitete früh an der Entwicklung und Implementierung von Algorithmen mit.

Der Data Encryption Standard (DES) wurde ab 1977 durch die US-Regierung für die verschlüsselte Übertragung von Daten eingesetzt. Der symmetrische Verschlüsselungsalgorithmus war für lange Zeit erste Wahl, wenn im Internet Daten verschlüsselt versandt werden sollten. Erst in den 1990er Jahren äußerten Forscher vermehrt Sicherheitsbedenken. Die Entwicklung erfolgte durch die Firma IBM, die US-amerikanische Behörde NBS (National Bureau of Standards) und die NSA. Sie war auch in die Planung und Ausschreibung eingebunden.

Am Nachfolger von DES, dem Advanced Encryption Standard (AES), war der Geheimdienst dann nicht mehr beteiligt.

Entwicklung von Software

Im Open-Source-Bereich hat die NSA gemeinsam mit Red Hat-Linux die Kernel-Erweiterung SELinux entwickelt. Diese setzt das Prinzip der Mandatory Access Control (MAC) für Zugangsrechte um. Nach der ist jeglicher Zugriff verboten, es sei denn, er wird explizit erlaubt. Das System wurde in den Linux-Kernel integriert (ab Version 2.6). In das Smartphone-Betriebssystem Android fand es mit der Version 4.3 als SEAndroid Einzug.

Seit 2017 veröffentlicht die NSA zahlreiche Programme auf Github.com in einem eigenen Repository. Darunter befinden sich einige zum Aufspüren von Sicherheitslücken. Auch Programme zum Absichern der eigenen Kommunikation werden angeboten, beispielsweise das VPN-Tool goSecure.

Für Aufsehen sorgte das kostenfreie Angebot des mächtigen Reverse-Engineering-Frameworks Ghidra. Dieses wird von Fachleuten als ernstzunehmender Konkurrent für das bekannte „IDA Pro“ angesehen.

Für alle Programme ist der Quellcode öffentlich. Daher können sich Sicherheitsexperten weltweit daran beteiligen, sie auf ihre korrekte Funktionalität zu überprüfen.

Dies wurde für Ghidra intensiv betrieben. Dabei fanden Forscher einen gravierenden Fehler im Code. Es herrscht aber Einigkeit unter den Fachleuten, dass es sich um einen Bug und keine Hintertür handelt.

Engagement im Bereich IT-Sicherheit

Die Behörde überprüft und zertifiziert Verschlüsselungsalgorithmen. Sie arbeitet mit Entwicklern von Verschlüsselung zusammen, beispielsweise beim Protokoll RSA.

In der „NSA Suite B“ werden die getesteten Produkte veröffentlicht und in Sicherheitsstufen eingeteilt. Sie empfiehlt beispielsweise folgende Standards:

-Verschlüsselung: AES (Schlüssellänge 128/256 für „geheim“/“streng geheim“)

-Digitale Signatur: ECDSA (Schlüssellänge 256/384 für „geheim“/“streng geheim“)

-Schlüsseltausch: ECDH (Schlüssellänge 256/384 für „geheim“/“streng geheim“)

-Hashfunktion: SHA-2 (Schlüssellänge 256/384 für „geheim“/“streng geheim“)

Die NSA veröffentlicht zudem Schwachstellen und Möglichkeiten, sich davor zu schützen. Über die Plattform Github.com lässt sich der „Hardware-and-Firmware-Security-Guidance“ herunterladen. Dieser gibt Anleitungen, sein System auf Verwundbarkeiten („Vulnerabilities“) zu überprüfen. Möglichkeiten zum Patchen werden dort beschrieben.

Sponsoring durch die NSA

Auch im Bereich der Ausbildung und Förderung junger IT-Talente engagiert sich die NSA. Sie pflegt Kooperationen mit Schulen. Ausgewählte Universitäten sponsert sie als Center of Academic Excellence (CAE). Zudem beteiligt der Geheimdienst sich an der Ausschreibung von Preisen für Forschungsergebnisse von Wissenschaftlern und Ingenieuren.

 

IT-Sicherheit ist ein Thema, um das sich Verantwortliche in jedem Unternehmen, das Daten digital verarbeitet, Gedanken machen sollten. Doch im Alltag besteht die Gefahr, dass es beim guten Vorsatz bleibt, wenn nicht explizit ein Mitarbeiter, als IT-Sicherheitsbeauftragter, mit dieser Aufgabe betraut wird. Daher gibt es die Möglichkeit, einen Mitarbeiter vorzusehen, der sich haupt- oder nebenamtlich darum kümmert, das eigene System abzusichern.

Muss jedes Unternehmen einen IT-Sicherheitsbeauftragten bestellen?

IT-Sicherheit ist vom Datenschutz zu unterscheiden. Der eine Bereich umfasst die Absicherung der IT-Infrastruktur, der andere den Umgang mit personenbezogenen Daten. Zu trennen sind beide Felder dennoch nicht. Bei einem Systemeinbruch durch einen Hacker, sind meistens auch persönliche Daten von Kunden und Mitarbeitern betroffen. Für die meisten Firmen gibt es zwar keine Pflicht, einen IT-Sicherheitsbeauftragten zu bestellen. Wenn aber Daten abfließen konnten, weil eklatante Sicherheitsmängel in der IT vorlagen, kann eine Haftung der Geschäftsführung gegeben sein. Diese kann sich, je nach Rechtsform des Unternehmens, aus nachfolgenden Gesetzen ergeben:

-Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG),

-dem Aktiengesetz (AktG),

-Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).

Für Unternehmen, die eine Tätigkeit im Bereich der kritischen Infrastrukturen (KRITIS) ausüben, ist die Benennung eines IT-Sicherheitsbeauftragten ohnehin vorgeschrieben. Dies ist im IT-Sicherheitsgesetz festgelegt (IT-SIG). Zu den Unternehmen zählen beispielsweise Energieerzeuger, Telekommunikationsanbieter und Wasserwerke.

Wo ist ein IT-Sicherheitsbeauftragter angegliedert?

Die Rolle des IT-Sicherheitsbeauftragten ist nicht starr festgeschrieben. Dies ist beim Datenschutz anders. Die Rechte und Pflichten des Datenschutzbeauftragten sind im Bundesdatenschutzgesetz in den Paragraphen 6 und 7 festgelegt. Unter anderem ist dort geregelt, dass er rechtzeitig in Entscheidungen eingebunden werden soll und nicht weisungsgebunden sein darf.

Es ist sinnvoll, sich daran zu orientieren. Ein IT-Sicherheitsbeauftragter sollte direkt der Geschäftsführung unterstellt sein. Handelt es sich um einen Mitarbeiter der IT-Abteilung, besteht die Gefahr, dass es zu Interessenskonflikten kommt. Zudem sollte er standardmäßig gehört werden, bevor im IT-Bereich Entscheidungen getroffen werden. Außerdem muss ihm die Möglichkeit gegeben werden, auf die für seine Tätigkeit notwendigen Informationen Zugriff zu bekommen. Daher muss er freien Zutritt zu allen Bereichen haben und Zugriff auf die Systeme bekommen. Sinnvoll ist es auch, ihm das Recht zu geben, Kontrollen durchzuführen.

Welche Aufgaben erfüllt ein IT-Sicherheitsbeauftragter?

Grundsätzlich soll ein IT-Sicherheitsbeauftragter über Aufbau und Struktur der Informationstechnik im Unternehmen Bescheid wissen. Ihm obliegt es, sich zu Beginn seiner Tätigkeit einen kompletten Überblick zu verschaffen. Dazu muss er genau wissen, wie und wo Daten erhoben und weiterverarbeitet werden. Es ist für ihn notwendig, Kenntnis zu haben, welche Systeme und was für Hardwareprodukte eingesetzt werden. Zudem muss er die Schnittstellen zwischen den einzelnen Bereichen kennen. Dieses Wissen muss er laufend aktualisieren.

Darüber hinaus muss er über die aktuelle Bedrohungslage informiert sein. Nur so ist ihm möglich, die konkrete Gefährdung des eigenen Unternehmens einzuschätzen. Dies kann sich auf Schadsoftware, wie beispielsweise als Mailanhänge kursierende Verschlüsselungstrojaner beziehen. Ebenso aber auch auf unsichere Hardware, wie zum Beispiel eingesetzte Router, deren Verschlüsselung angreifbar ist.

Aus diesen Informationen soll ein IT-Sicherheitsbeauftragter konkrete Maßnahmen zur Einhaltung und Verbesserung der Datensicherheit entwickeln und vorschlagen. Dies sollte in Form von Richtlinien oder eines Maßnahmenkatalogs geschehen. Wichtig ist es, die Schutzziele und Maßnahmen zur Einhaltung zu dokumentieren. Nur so kann das Unternehmen im Schadensfall nachweisen, dass es Vorkehrungen getroffen hat und nicht fahrlässig gehandelt wurde.

Als Orientierung kann hierbei die Beschreibung eines Informationssicherheitsmanagements (ISMS) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dienen. Dort sind mögliche Gefahren systematisch in den Grundschutzkatalogen aufgelistet. Dies betrifft Elementarschäden wie Feuer und Wasser, aber auch Datenverlust durch Fehlbedienung oder Sabotage. Zudem werden dort konkrete Einschätzungen der Gefährdung von Geräten mit spezifischen Betriebssystemen gegeben. In der Folge sind dort Maßnahmen beschrieben, die zur Absicherung einzelner Endgeräte empfohlen werden.

Weitere Orientierungen können an den Normen:

– ISO/IEC 27001 (IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme, Anforderungen, zuletzt aktualisiert im Juni 2017) und

-ISO/IEC 27002 (IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management, zuletzt aktualisiert im Oktober 2013)

erfolgen.

Die Umsetzung der vorgeschlagenen Maßnahmen wird in der Praxis nach Beratung mit der Geschäftsführung geschehen. Schließlich können durch Austausch unsicherer Hardware oder Umstrukturierung von Arbeitsabläufen Kosten entstehen.

Zudem sollten vorgegebene Richtlinien auch in Audits oder Revisionen kontrolliert werden.

Weiterhin muss ein IT-Sicherheitsbeauftragter den Mitarbeitern als Ansprechpartner zur Verfügung stehen. Sie sollen ihm aufkommende Fragen, die IT-Sicherheit betreffend, stellen können. Auch Schulungen der Mitarbeiter führt ein IT-Sicherheitsbeauftragter durch.

Bei konkreten Gefährdungen, soll er kurzfristige Warnungen und Verhaltenshinweise an die Mitarbeiter herausgeben.

Zudem erstellt ein IT-Sicherheitsbeauftragter, Pläne für das Verhalten im Schadensfall und macht diese den Mitarbeitern zugänglich.

Voraussetzungen für den IT-Sicherheitsbeauftragten

In gewisser Weise muss ein IT-Sicherheitsbeauftragter Allrounder im IT-Bereich sein. Er benötigt das notwendige Fachwissen im gesamten überwachten Bereich. Um Kontrollen durchführen zu können, muss er in der Lage sein, die verwendeten Systeme auch selber zu bedienen. Zudem müssen seine Vorschläge zur Verbesserung praxistauglich sein, was ebenfalls entsprechende Kenntnisse voraussetzt.

Darüber hinaus muss er über aktuelle Entwicklungen in der Hardware, hier insbesondere in sicherheitsrelevanten Belangen, informiert sein.

Insbesondere aber muss er Kenntnisse im Bereich der IT-Security haben. Angriffe lassen sich am wirksamsten abwehren, wenn man weiß, wie sie im Detail funktionieren. Auch kann nur dann eine Überprüfung der eigenen Systeme auf eine Anfälligkeit erfolgen.

Einige Universitäten bieten Studiengänge mit Spezialisierung auf den Bereich an. Zudem gibt es diverse Anbieter von Fortbildungen und Zertifizierungen für dieses Tätigkeitsfeld.

Für kleine und mittelständische Unternehmen ist die Variante interessant, einen IT-Sicherheitsbeauftragten von einem externen Dienstleister zu verpflichten. Dies vermeidet den Schulungsaufwand eigener Mitarbeiter. Zudem kann es eine objektive Herangehensweise garantieren, wenn eine externe Person die Aufgabe übernimmt. Diese wird üblicherweise keine persönlichen Bindungen zu den Mitarbeitern haben und auch gegenüber der Geschäftsführung unbefangener auftreten. Weiterhin hat dieses Modell einen Vorteil, wenn die Größe der eigenen IT-Landschaft es nicht rechtfertigt, einen Mitarbeiter komplett mit der Aufgabe der IT-Sicherheit zu betrauen.

Fazit

Jedes Unternehmen tut gut daran, sich mit dem Thema zu beschäftigen, ob ein IT-Sicherheitsbeauftragter bestellt werden soll. Einerseits trägt es die Verantwortung für die ihm anvertrauten Daten, was bis zu einer persönlichen Haftung der Geschäftsführung bei Missbrauch führen kann. Andererseits gibt es inzwischen Bedrohungen, wie Verschlüsselungstrojaner, die auch umsichtige und vorsichtige Unternehmen betreffen und erhebliche Schäden anrichten.

Schadsoftware und heimtückische Websites erkennen Sie nicht mit dem bloßen Auge. Auch Angriffe von Hackern können nicht einfach so und ohne eine im Hintergrund laufende Unterstützung abgewehrt werden. Hier kommt der Virenscanner ins Spiel, der sich auf jedem PC und Smartphone befinden und neben der Firewall zusätzlich vor Eindringlingen auf einem Computer oder dem Server schützen soll.

Definition Virenscanner

Grundsätzlich werden Virenscanner in drei verschiedene Arten, abhängig von ihrer Funktion unterteilt. Es gibt manuelle Scanner, Echtzeitscanner und Onlineprogramme zur Aufspürung und Unschädlichmachung von Schadware. Jeder Virenscanner dient unabhängig seiner häufig implementierten Zusatzfunktionen dazu, Würmer, Trojaner und Viren aufzuspüren und diese in die Quarantäne zu verschieben oder durch Löschung unschädlich zu machen. Antivirus-Programme sperren Hacker aus und sind neben der Firewall essenzielle Schutzmechanismen für die sensiblen Daten auf Servern und Computern. Der Begriff Virenscanner ergibt sich aus der Funktion des Programms, das bestenfalls automatisch im Hintergrund läuft und den PC kontinuierlich nach Schadware scannt.

Anwendungsbereiche von Virus-Scannern

Ein Antivirus-Programm ist für Heimanwender ebenso wichtig wie für Firmen. Viren oder Mal- und Spyware gefährden die Funktionalität Ihres Computers und stellen die digitale Sicherheit durch das Ausspähen und Abgreifen von Daten in Frage. In den letzten Jahren haben sich immer mehr Virenscanner-Hersteller darauf konzentriert, künstliche Intelligenz einzubauen und auf diesem Weg die Entdeckung und Unschädlichmachung von Schadware zu beschleunigen. Noch vor einigen Jahren brauchte ein Virenprogramm bis zur Lösungsfindung meist einige Tage, was in der heutigen schnelllebigen Zeit unverhältnismäßig wäre. Ältere Scanner beschäftigten sich mit der Suche nach bekannten „Verhaltensmustern“ von Websites und nahmen die Einordnung in sicher und unsicher anhand dieser Faktoren vor.

Heute arbeitet der Virenscanner mit Analysen, die sich nicht auf bekannte Muster, sondern auf das tatsächliche Verhalten einer Website oder Software in Echtzeit beziehen. Schadware, aber auch Sicherheitslücken und Bugs werden aufgespürt und können nach der Verschiebung ins Quarantäneverzeichnis entfernt werden.

Die verschiedenen Begrifflichkeiten im Zusammenhang mit Virenscannern

Wenn Sie sich intensiv mit Virenscannern beschäftigen, wird Ihnen der Begriff Vulnerability häufiger vor Augen geführt. Die Bezeichnung wird in verschiedenen Bereichen verwendet und steht für die Wunde, beziehungsweise die Verwundbarkeit. PC-Technik und Serverschutz mit geringer Vulnerabilität, also mit einem minimalen Verwundungsrisiko bieten Ihnen die beste und der Datenschutzgrundverordnung entsprechende Sicherheit. Im Kontext zu Sicherheitslücken taucht der Begriff Exploit auf. Exploits sind kleine Programme von Hackern. Sie spüren Schwachstellen in Software und auf Computern auf. Für einen effektiven Rundumschutz sollte Ihr Antivirus-Programm daher nicht nur konventionelle Schadware aufspüren, sondern sich vollumfänglich für die Sicherheit im Internet und die Sicherheit Ihrer Daten einsetzen lassen. Beim effektiven Schutz für Unternehmen muss man auf komplexere und geräteübergreifende Lösungen setzen.

Antivirus-Lösungen für Firmen

Zwei essenzielle Faktoren spielen bei der Entscheidung für einen Virenscanner eine übergeordnete Rolle. In größeren Firmen werden Programme bevorzugt, die man unkompliziert zentral installieren und auf gleichem Weg verwaltet. Dabei sollte der Virenscanner kostenlos und äußerst effektiv sein. Die Einzelinstallation und Updates über jeden einzelnen Computer wären zu aufwendig. Sie würden obendrein innerhalb des Systems Lücken und damit die Gefahr von Eindringlichen von außen begünstigen. Zentrale Lösungen mit Management-Option sind für Firmenkunden die beste Lösung. Es gibt verschiedene renommierte Hersteller von Antivirus-Software, die kostenlose Komplettlösungen für Unternehmen anbieten.

Bei ESET nennt sich die Lösung ESET Remote Administrator (kurz ERA) und ist eine kostenlose Möglichkeit für Firmen, sich umfassend vor Schadware und den damit verbundenen Sicherheitsrisiken und Kosten zu schützen. Die Ausrichtung des Managements hängt davon ab, wie viele Geräte Sie mit einem Virenscanner überwachen und von Sicherheitsrisiken befreien möchten.

Der Virenscanner muss zum Risiko passen

Bei der Auswahl eines Virenscanners sollten Sie als gewerblicher Anwender mit Kompetenz und einer realistischen Einschätzung Ihrer Risiken vorgehen. Fakt ist, dass ein Scanner für Trojaner und Würmer heute nicht mehr ausreicht und mehr Schadware durchlässt als stoppt. Da die Kombination von Scanner häufig zu Kompatibilitätsproblemen führt, sollten Sie sich für eine Software entscheiden. Arbeiten Sie mit sensiblen Daten im Kundenverkehr, ist ein besonders umfangreicher Schutz notwendig. Wenn Sie sich für einen Virenscanner entscheiden, prüfen Sie vorab die Updates für die stetige Aktualisierung und Anpassung auf neue Risiken.