Citrix Technology Exchange 2014: Die besten Sessions

Morgen und übermorgen findet in München-Unterschleißheim die Citrix Technology Exchange statt – ausgebucht schon seit einigen Tagen, obwohl wir hier noch gar keine Werbung gemacht haben…

Über 1.000 Besucher freuen sich auf intensive Sessions mit vor allem technischen Inhalten. Aber auch Feedback und Erfahrungsaustausch unter anderem mit Vertretern von Citrix Consulting Services und Product Management stehen auf der Agenda. Besonders ans Herz legen möchte ich natürlich meine Session am Mittwoch nach dem Mittagessen im Raum Alpsee: „O’WASP is! – Advanced Application Security mit NetScaler“ – wer mir hinterher die korrekte Anzahl von Star Wars Zitaten sagen kann, kann etwas gewinnen. 🙂

NetScaler ShellShock

During the last days we all had the chance to start a personal panic for what kind of systems would all be affected by the newest ShellShock Security Issue.  But lets face the facts. There is a chance to survive. 😉

Citrix is actually working under pressure to fix every possible ShellShock security issue. From Citrix NetScaler point of view there are only possible security issues for NSIP and management enabled SNIP objects. But we all know that your NSIP and SNIP IPs are only home in secure networks anyway.

We are waiting for a fix to close that last possible door, while an App Firewall Signature Update is already available blocking ShellShock attacks for any service published by Citrix NetScaler!

Stay tuned!

 

Why IT Security matters, today: for engineering companies

Recently, a customer of ours pointed me to grabcad.com, a community where engineers from all over the world publish CAD models et al. to boast their skills and “to help other engineers and to speed up development”. What you can find there are full blown models from almost all major engineering and development vendors. Stuff they would never want to appear outside their own premises, because it is their core value, their intellectual property!

Our customer is happy to have Citrix XenDesktop in place as environment even for their engineers, who work from Hungary. Due to restrictive policies they don’t have a chance to copy models outside the network – even e-mail fails, because the files are larger than the maximum allowed attachment size (one reason why you would want to keep that down).

This is a striking argument showing what you can gain with XenApp and XenDesktop and what risks are out there for your IP. It is much easier to provide centralized compute power even for 3D modelling and put your data into a safe harbor network zone only accessible from these instances than to deploy all sorts of content inspection, data leak prevention and port security to cut the possibilities for efficient performance of your workforces.

This is an example I quickly found on GrabCAD showing a complete V12 motor with all nuts and bolts. 22MB, online (browser) 3D viewer enabling selection of assemblies, explode view of all or selected assemblies and so on. Stunning.

Was Prismgate zeigt und wie Sie sich trotzdem sicher fühlen können

Die Medien waren schlagartig voll von vermeintlichen Schreckensmeldungen, die zwar weder für IT-Security Profis noch Verschwörungstheoretiker irgendetwas Neues enthalten, die aber in einer neuen Qualität beweisen, was uns allen eigentlich längst klar war: Der US-Geheimdienst NSA kann jedwede Kommunikation abfangen, tut das auch und wertet vieles automatisch aus (Projekt PRISM). Außerdem stehen Ihnen organisatorisch, wenn nicht sogar transparent technisch, die Türen zu den wolkigen Datenspeichern US-amerikanischer Anbieter (und sicher nicht nur der plakativen Giganten wie Apple, Facebook, Google und Microsoft) offen, wo auch hierzulande nahezu jeder zumindest irgendetwas abgelegt hat.

„Mitarbeiter des Niedersächsischen Wirtschafts- und Geheimschutzes schockierten schon 2008 Besucher einer unserer Informationsveranstaltungen in Hannover mit der Tatsache, dass zum Beispiel der russische Inlandsgeheimdienst FSB mit seinen rund 110.000 Mitarbeitern den expliziten Auftrag zur Unterstützung der heimischen Wirtschaft hat und diesem durch entsprechende IT-gestützte Spionage auch nachkommt.“ – Michael Wessel

Da tut es schon fast nichts mehr zur Sache, dass auch hierzulande an vielen Stellen Vorratsdatenspeicherung angestrebt wird und gewisse Kreise bei jedwedem medial präsenten Ereignis als omnipotente Lösung reflexartig „mehr Überwachung!“ schreien. Unsere Daten – und mit einer gewissen Wahrscheinlichkeit auch manche Ihrer Firmendaten – liegen längst in unsicheren Gefilden.

Manche Ihrer Firmendaten? Ja. Anwender wollen effizient arbeiten. Dazu nutzen sie aktuelle Werkzeuge und Dienste, die sie kennen und die einfach funktionieren – besser als das meiste, was das Unternehmen ihnen zur Verfügung stellt. Dazu gehören heute sehr oft auch Facebook für effiziente Kommunikation, DropBox für einfaches Übermitteln von (großen oder per Mail blockierten) Dateien oder den flexiblen Zugriff auf Daten jederzeit von jedem Gerät. Unternehmen wie Microsoft, die mit ihren Produkten in nahezu jeder Firma zum Inventar gehören, schlagen unter anderem mit Skype und SkyDrive in die selbe Kerbe – und haben das selbe Problem (zusätzlich zu der wie auch bei Google per AGB definierten Un-Vertraulichkeit der dort abgelegten Daten gegenüber dem Betreiber selbst).

Was also können wir tun? Den Anwendern geben, was sie wollen – was sie für ihre Arbeit sogar brauchen – ohne selbst die Kontrolle zu verlieren – geht das?

Zunächst müssen wir uns der Situation bewusst werden und uns eingestehen, dass es in der Regel gar nicht mehr darum geht, die Kontrolle nicht zu verlieren, sondern darum sie wieder zu gewinnen. Consumerization ist Fakt. Anwender benutzen Skype, sie benutzen Facebook, sie benutzen DropBox. Nicht nur während der Arbeitszeit, sondern auch explizit für geschäftliche Belange. Falls Sie das nicht glauben, lassen Sie uns es Ihnen zeigen.

Gefragt ist also eine IT-Strategie, die effiziente Arbeitsstile und dynamische Zusammenarbeit mit der notwendigen Sicherheit vereint, und die Mitarbeiter damit positiv abholt. Diese Strategie muss mehrere Komponenten beinhalten, von den eigentlichen Lösungen zur Zusammenarbeit bis hin zur Web Content Security, mit der die Nutzung der unsicheren Dienste dann verlässlich unterbunden werden kann, nachdem das Unternehmen eigene Wege bereitgestellt hat.

Neben der strategischen Beratung stellen wir Ihnen dazu auch gerne konkrete Lösungen für die wichtigsten Bereiche der modernen und effizienten Zusammenarbeit vor:

Follow-Me-Data: Das DropBox-Problem lösen. Die äußerst praktische und effiziente Funktionalität Enterprise-tauglich und sicher bereitstellen. Das geht mit Citrix ShareFile; grundsätzlich auch ein Cloud Service, aber mit der Möglichkeit, den Ablageort ins eigene Rechenzentrum zu verlegen (Own Storage Zone). Somit sind die Daten nicht nur während der Übertragung und am Ablageort verschlüsselt (encrypted in transit & at rest), sondern die Erreichbarkeit und der genutzte Speicher selbst sind auch vollständig unter Kontrolle des Kundens. Viele weitere Funktionen neben der Erreichbarkeit von jedem Endgerät, Sync Clients für alle gängigen Plattformen vom PC und Mac bis zum Smartphone bis hin zum Outlook Plug-In, das Anhänge automatisch via ShareFile übermittelt und/oder dem Gegenüber eine Upload Möglichkeit bereitstellt, runden den Leistungsumfang ab.

Collaboration: Skype ist so praktisch. Bei Facebook ist eh jeder. Ja, aber wollen Sie Ihre Daten denn auch mit jedem teilen? Wäre es nicht besser, Ihre Mitarbeiter unternehmensweit mit Microsoft Lync zusammen arbeiten zu lassen? Eine eigene Collaboration Plattform – zum Beispiel auf Basis von SharePoint – Cloud-ready zu machen und sicher bereitzustellen? Für alle drei Aufgaben haben Sie den richtigen Partner gefunden. So sagt Andreas Goretzky, IS Global Director, IT Governance & Compliance, Hellmann Worldwide Logistics GmbH & Co. KG, nach unserem gemeinsamen Projekt:

„Aufgrund der guten Erfahrungen, die wir beim Betrieb unseres Kunden- und  Mitarbeiterportals mit NetScaler gemacht haben, wollen wir die Technologie noch für weitere Web-Anwendungen nutzen. Unter anderem denken wir darüber nach, auch unsere E-Commerce-Angebote und EDI-Systeme über die Plattform bereitzustellen.“

E-Mail: Für das immer noch äußerst wichtige Medium E-Mail ist die Hauptsorge, dass die Einführung einer Verschlüsselungslösung komplex und der Betrieb aufwändig sein könnte. Auch diese Angst möchten wir Ihnen nehmen: Wir statten seit vielen Jahren Unternehmen mit Möglichkeiten zu transparenter und sicherer E-Mail-Verschlüsselung und -Signatur aus. Wolfgang Lindner, Verantwortlicher für IT-Network-Management der Hannover Rückversicherung SE, resümiert unser gemeinsames Projekt entsprechend:

„Im Rahmen von globalen Sicherheitsprojekten defi­nierte Anforderungen an den siche­ren Informationsaustausch konnten nun erfüllt werden, ohne dass das Medium E-Mail an Attraktivität für die Anwender verlor – die Handha­bung ist transparent und für interne Benutzer wie gewohnt.“

Content Security, Data Loss Prevention: Das Clearswift SECURE Web Gateway sichert den wichtigsten Ausreisekanal von Daten und Informationen der heutigen Zeit mit granularen Regeln und tiefen Einsichten in die Nutzung des Mediums „Web“. Sowohl zum Schutz als auch zur Erfolgskontrolle der umgesetzten Lösungsstrategie erweist es sich als wichtiger und sehr leistungsfähiger Baustein.

Sie erreichen uns zu allen diesen und mehr Themen auf den üblichen, unsicheren Wegen: 0511 – 260 911 0, nm[at]consulting-lounge.de oder service[at]michael-wessel.de – aber wir kommen dann auch gerne zum Gespräch zu Ihnen und lassen alle Kommunikationsvermittler außen vor.

 

Weitere interessante Quellen zum Thema:

# Autor und Kolumnist Mike Elgan über die Vermutung, die chinesische Regierung könnte den Leak zu verantworten haben

# Der Whisteblower Edward Snowden im Interview nach seiner Flucht nach Hong Kong

E-Mail Überwachung – informieren Sie sich auf der CeBIT 2012

Heute macht eine Meldung die Runde, wie viele E-Mails und Kommunkationsverbindungen die deutschen Geheimdienste im vergangenen Jahr überwacht und ausgewertet haben: 37 Millionen.

Wer wie wir von dieser Information nicht überrascht ist, wird sich schon mit dem Thema zentrale E-Mail Verschlüsselung beschäftigt haben. Vielleicht haben Sie aber noch keine Lösung gefunden, die Ihren Anforderungen entspricht und mit wenig Aufwand zu betreiben ist? Wir laden alle Interessierten herzlich ein, mit uns zum Beispiel auf der CeBIT über die Möglichkeiten zu sprechen, wie Sie Ihre Unternehmenskommunikation, Ihren Wissensvorsprung, Ihre vertraulichen Geschäftsinformationen schützen können durch Gateway-basierte Verschlüsselung.

Besuchen Sie uns auf der CeBIT 2012 in Halle 2 auf dem Virtualisation & Storage Forum. Unsere weiteren Themen finden Sie unter www.vs-forum.com/loesungen.html. Wir freuen uns auf Sie!

Noch kein Ticket? Wir stellen Ihnen gerne ein kostenloses Tagesticket zur Verfügung, sprechen Sie uns an unter service@michael-wessel.de.

De-Mail: Risiken und Chancen

Noch immer muss man die Einführung von „De-Mail“ als schwebendes Verfahren bezeichnen. Zwar ist etwa der Wettbewerb mit der „E-Post“ schon am Markt, doch traut sich noch kaum jemand ernsthaft an das Thema heran. Wir gehören auch eher zu den Zweiflern, schließlich bestehen Risiken und es findet auch eine gewisse Augenwischerei zum Thema Sicherheit bzw. Vertraulichkeit statt, die so nicht hinzunehmen ist.

Dr. Burkhard Wiegel, Geschäftsführer und technischer Leiter eines Berliner Herstellers von Produkten für die zentrale E-Mail-Verschlüsselung und -Signatur, bewertet das Potential von De-Mail wie folgt:

Mit De-Mail wird der rechtsverbindliche E-Mail-Austausch einfach möglich. Auch für unsere Kunden ergeben sich interessante Optionen, bisher papiergebundene Geschäftsprozesse effizient über De-Mail elektronisch abzuwickeln. Hinsichtlich ‚Sicherheit‘ ist der proklamierte Zugewinn allerdings trügerisch, da De-Mails bei den Providern im Klartext durchreisen. Wer echte Vertraulichkeit benötigt, kommt daher an einer professionellen Verschlüsselungslösung wie unserem Z1 Gateway mit S/MIME und OpenPGP sowie Passwort-basierenden Mechanismen wie PDFContainer und WebSafe nicht vorbei.

Weiterhin besteht das Risiko von Patentverletzungsklagen von Seiten des US-Unternehmens RPost, das ein europaweit gültiges Software-Patent auf elektronische Einschreiben besitzt. Eine entsprechende Klage wurde bereits gegen das Schweizer De-Mail-Pendant „Incamail“ eingereicht.

Es fehlen aus unserer Sicht triftige Gründe für Unternehmen, sich aktuell näher mit De-Mail zu befassen, solange diese offenen Fragen und Risiken nicht zufriedenstellend und glaubwürdig geklärt sind.