IT-SECURITY

AZISTA DATENSICHERHEIT

Das Thema Datensicherheit ist schier unerschöpflich. Aber was muss ich als Unternehmer tun um auf Nummer sicher zu gehen?

Wir haben für Sie einige einfache Fragen zusammengestellt, um Sie bei Ihren internen Prozessen zu unterstützen.

Datensicherheit beschränkt sich nicht nur auf Schutz vor Trojanern, Viren, Phishing- Emails, Würmer, Spam, Ransomware oder Malware. Datensicherheit beginnt beim Zutritt zu Ihrem Unternehmen, zu PC, Laptop und Server und endet mit den Möglichkeiten im Zugriff auf sensible Daten durch den Benutzer selbst. Mehr dazu finden Sie in der Rubrik „SYSTEM„.

Wartung, Update, Monitoring

Never touch a running system… Das mag für Bastler und Entwickler gelten, aber für Unternehmer stellen veraltete Software und Hardware ein ernst zu nehmendes Risiko dar. Plötzliche Hardwareausfälle in Verbindung mit nicht mehr erhältlichen Ersatzteilen sind mit hohen Kosten zur schnellen Wiederherstellung verbunden. Software und Betriebssysteme, die nicht up to date sind, sind Einfallstore und leichte Beute für Schadsoftware. Regelmäßige Wartung und Updates sowie aktives Monitoring Ihrer Systeme verringert das Risiko immens.

Sorgen Sie mit einer Wartungsvereinbarung vor! Die Kosten für regelmäßiges Service und Monitoring sind ein Klacks gegenüber denen einer Disaster Recovery Aktion.

Überlassen Sie Ihre Daten nicht dem Zufall!

Der IT- Service Continuity Plan sollte vor der Umsetzung jeder IT- Infrastruktur- Lösung erarbeitet werden. Die gewonnenen Erkenntnisse sind auch die Grundlage für die verwendete Hardware, Software, Datensicherung und Sicherungsmedien und Lagerung der gesicherten Daten außerhalb des Unternehmens.

Was ist ein IT- Service Continuity Plan?

Der IT- Service Continuity Plan stellt eine Sammlung von Richtlinien, Standards, Prozeduren und Werkzeugen dar, durch die Ihr Unternehmen nicht nur ihre Fähigkeit zur Reaktion bei großen Systemausfällen, sondern auch die Widerstandsfähigkeit gegenüber plötzlichen Ereignissen verbessert und so sicherstellt, dass kritische Systeme und Dienste wieder innerhalb der RTO- Grenzen (Recovery Time Objective- Wiederanlaufdauer) wiederhergestellt werden können. Weitere Infos zum IT- Service Continuity Plan finden Sie auf der Webseite der enisa.

Wo liegen die größten Risiken?

Nicht oder zu wenig geschulte und sensibilisierte Benutzer stellen den größten Unsicherheitsfaktor im Bereich der IT- Security dar. Darum sind Schulungen bei Aufnahme von neuen Mitarbeitern und laufende Schulungen z.B. nach Änderungen der Sicherheitsregeln oder vor Umstellungen essenziell.

Oft werden kommunizierte aber nicht technisch Umgesetzte Regeln nicht beachtet. Man will ja nicht alles verbieten. Doch Fakt ist, dass Mitarbeiter versuchen Sicherheitseinstellungen zu umgehen um risikobehaftete Anwendungen, private Email oder Cloud- Dienste, unsichere Webseiten (online shopping, Social Media, Musik Downloads,…) zu nutzen.

Stellen Sie sich vor, jemand verschafft sich Zugang zu Ihrem Amazon Account weil er den Namen Ihres Kindes, Ihr Geburtsdatum oder den Namen Ihres Hundes kennt? Unsichere Passwörter sind der Hauptgrund für Datendiebstahl. Sichere Passwörter am PC, am Mobiltelefon, am Laptop oder Tablet sind der erste Schritt in Richtung Datensicherheit.

Nicht gesperrte PCs beim Verlassen des Arbeitsplatzes, die Weitergabe von Passwörtern oder die Nutzung „gemeinsamer“ Zugangsdaten um auf interne Daten zuzugreifen, auf Zettel notierte Passwörter am Schreibtisch und nicht versperrte Datenträger, die offen herumliegen, runden leider das Portfolio negativ ab.

Man möchte niemandem Böswilligkeit unterstellen doch egal ob absichtlich oder unabsichtlich, Datenverlust zieht oft hohe Kosten nach sich.

DATENSICHERUNG (BACKUP)

Datensicherung, Datensicherung, Datensicherung… Doch was heißt das wirklich für mein Unternehmen?

Einfach gesagt ist eine Datensicherung das Erzeugen von Kopien gespeicherter Daten auf einem externen Speicher um sich vor Datenverlust zu schützen.

Die benötigte Aktualität sowie die Aufbewahrungszeit der gesicherten Daten wird in mehreren Schritten definiert:

• Bedingen meine Geschäftsabläufe das jederzeit auf gesicherte Daten zurückgegriffen werden kann (Versionsverwaltung)?

• Muss ich auf mehrere Generationen von Daten zurückgreifen können (Aufbewahrungsfristen, Archivierung)?

• Welche Frequenz der Sicherungen wird in meinem IT- Service Continuity plan definiert (Disaster recovery)?

Aus Ihrem ITSCP (IT- Service Continuity Plan) und den zu erwartenden Datenmengen ergeben sich die eingesetzte Hardware, Speichermedien und der zeitliche Ablauf des Backups.

Die nach der Fertigstellung der Datensicherung zeitnahe Lagerung von Kopien der Datensicherungsmedien außerhalb des Unternehmens ist unerlässlich. Man sollte sich immer bewusst sein, dass sich auf dem ausgelagerten Datenträger sämtliche Firmendaten befinden. Daher sollte der Lagerort entsprechend sicher sein.

Mit stabilen Breitbandverbindungen und optimierter Backupsoftware sind heutzutage auch online- Backups für große Datenmengen möglich. Das ist als zusätzliche Kopie der gesicherten Daten eine empfehlenswerte Option.

AZISTA CLOUD SECURITY

Jeder spricht darüber. Aber was bedeutet eigentlich CLOUD?

Im Grunde nichts weiter als das Bereitstellen von IT- Dienstleistungen wie Anwendungen, Speicherplatz,  und Rechenleistung über das Internet.

Dazu gibt es mehrere Begriffe die verschiedene Arten von Cloud- Systemen beschreiben:

Public Cloud

Zugänglich für alle über das Internet. Der Benutzer mietet sich einfach seinen Bedürfnissen entsprechende Services. Der Speicherort der Daten obliegt dem Service Provider. Z.B. Google Drive, Dropbox.

Private Cloud

Hardware und Verwaltung liegen innerhalb einer Organisation. Diese ist auch nur Personen innerhalb der Organisation zugänglich.

Hybrid Cloud

Ist eine Mischung zwischen Private Cloud und Public Cloud. Gewisse Bereiche sind Personen auch außerhalb der Organisation zugänglich.

Virtual Private Cloud

Abgeschlossener Bereich auf Public Cloud Hardware Basis.

Primär besteht Cloud computing aus folgenden, vereinfacht dargestellten Bereichen:

Xaas Anything oder Everything as a Service

Sie beziehen von einem oder mehreren Serviceprovidern sämtliche der benötigten, in Folge untenstehend erklärten Dienste.

Iaas Infrastructure as a Service

Man nutzt zur Verfügung gestellte Hardware über das Internet. Server, Speicherplatz, Netzwerk werden nach Bedarf angemietet und selbst verwaltet.

Paas Platform as a Service

Vom Service Provider zur Verfügung gestellte Programmier- Umgebungen werden flexibel angemietet ohne das sich der Entwickler um Hardware kümmern muss.

SaaS Software as a Service

Der Service Provider bietet verschiedene Software- Pakete und Anwendungen zur Miete an. Der Benutzer muss sich nicht um Hardware kümmern. Office 365 ist dafür ein gute Beispiel.

CaaS Communication as a Service

bezeichnet alle Formen der digitalen Kommunikation wie z.B. Voice over IP- Virtuelle Telefonanlagen und Messaging Dienste wie z.B. Skype.

MaaS Monitoring as a Service

Monitoring as a Service lagert die laufende Prüfung Ihrer lokalen Systeme zu einem Serviceprovider aus. Der Vorteil ist die geographische Unabhängigkeit und die zentralisierte Überwachung Ihrer Systeme.

DATENSICHERHEIT UND DATENSCHUTZ IN DER  PUBLIC CLOUD

Datensicherheit haben Sie selbst und der Service Provider in der Hand. Wie sicher ist das dann wirklich?

Bevor Sie Ihre Daten in einer Cloud- Lösung speichern, informieren Sie sich über Ausfallssicherheit, Schutzmechanismen und Anwendungen zur Absicherung der gespeicherten Daten beim Service Provider. Meist sind diese Informationen in den Allgemeinen Geschäftsbedingungen zu finden.

Hier ein paar Tipps im Umgang mit Public Cloud Diensten.

Datenfreigabe „sharen“

Die Möglichkeit, Daten in bestimmten Bereichen Ihrer Cloud anderen, nicht der Organisation angehörigen Nutzern, freizugeben („sharen“), ist wohl eines der wichtigsten aber auch gefährlichsten Features von Cloud- Services. Der Komfort, große Datenmengen nicht mehr mühsam als z.B. ZIP- Datei per Email versenden zu müssen, überblendet oft das Risiko, dass Freigaben weitergegeben, oder wird auf die Sperre vergessen, weiterhin und möglicherweise auch missbräuchlich genutzt werden können!

Passwortsicherheit und Passwort- Stärke

Geben Sie niemals Ihr Passwort weiter oder notieren es an für Dritte zugänglichen Orten. Wählen Sie für Ihre Cloud- Dienste ausnahmslos „starke“ Passwörter. Was ist ein „starkes“ Passwort.

Hier einige Tipps für starke Passwörter: Mindestens 8 Zeichen, kein Wort das in einem Wörterbuch vorkommt, keine Zeichen- und Zahlenfolgen die im Zusammenhang mit Ihnen stehen (Geb.Dat., Adresse, Haustier,…), Klein- und Großbuchstaben, Sonderzeichen und Zahlen. Benutzen Sie verschiedene Passwörter für verschiedene Services. Viele Browser bieten an, Ihre Passwörter zu speichern. An sich eine gute Funktion aber stellen Sie auch sicher, dass Ihr Benutzer auch nur von Ihnen verwendet wird. Verwenden mehrere Personen den gleichen PC, Laptop oder Handy, legen Sie in der Benutzerverwaltung für jede Person einen eigenen Benutzer mit eigenem Passwort an.

Datensicherung

Wie bei lokal gespeicherten Daten verhält es sich auch mit den Daten in der Cloud. Gelöscht ist gelöscht. Da hilft nur regelmäßige Datensicherung auf ein lokales Medium. Ist mal die Internetverbindung weg, sind die Daten nicht mehr erreichbar. Meist genau dann, wenn man die Daten dringend benötigt. Auch hier hilft wieder eine lokale Datensicherung.

Wo werden meine Daten in der Cloud physich gespeichert?

Das weiß in Wahrheit niemand wirklich ganz genau. Nicht mal der Service Provider selbst. Da große Anbieter über Rechenzentren mit Standorten über den ganzen Globus verfügen und diese miteinander vernetzt sind, werden zum Zweck der Ausfallssicherheit Daten an mehreren Orten automatisch verteilt. Zwar gibt es zwischen den Ländern Abkommen über die Speicherung von privaten Daten aber wer die AGB der Anbieter genau liest und sich darüber informiert, muss wohl oder übel schwammige Definitionen zu dem Thema in Kauf nehmen.

Werden meine privaten Daten zur Erstellung von Profilen herangezogen oder analysiert?

Diesen Passus können Sie wieder im Kleingedruckten der Service Provider finden. Seit das Thema Cloud auch kritisch behandelt wird, ist aber bekannt, dass in der Cloud abgelegte Daten anonymisiert zur Berechnung von Trends, Nutzungsprofilen und Weiterentwicklung der Services verwendet werden. Ob und in wie weit Nachrichtendienste Zugriff auf private Daten haben ist mit einem dicken grauen Schleier verdeckt.

AZISTA INFRASTRUKTUR & SYSTEMSICHERHEIT

Welche sicherheitstechnischen Aspekte muss ich bei der Planung und dem Betrieb meiner IT & EDV Infrastruktur beachten?

Der Ansatz möglichst sicherer IT- Infrastruktur beginnt mit baulichen Maßnahmen beziehungsweise mit der Wahl des Standortes von kritischen Infrastruktur- Komponenten wie Server, aktiven und passiven Netzwerkkomponenten und Datensicherungsgeräten sowie die Zutrittskontrolle zu diesen Räumlichkeiten.

In Folge müssen auch Aspekte wie Gefährdung durch Elementarschäden…

…wie Hochwasser, Feuer, Blitzschlag, sowie Sabotage (z.B. Einbruch, Vandalismus, unbeabsichtigtes Beschädigen bei z.B. Firmenfeiern) beachtet und eingeplant werden. Räumlichkeiten im Keller sind eher durch Wasser (Hochwasser, Rohrbruch) gefährdet. Gleiches gilt für Räumlichkeiten unter dem Dach (Regenwasser durch Sturmschäden). Ebenerdige Räume sind meist stark frequentiert und bei Einbruch leicht zu erreichen. Zentral im Gebäude liegende Räume eigenen sich meist am Besten, auch durch die Tatsache, dass die Wege für sternförmige Verkabelungen am kürzesten sind.

Der Faktor Wärmeentwicklung…

…durch aktive IT- Infrastrukur- Komponenten darf auf keinen Fall vernachlässigt werden. Zu hohe Betriebstemperaturen forcieren Abnutzung und Ausfälle. Die optimale Temperatur für einen Serverraum liegt zwischen 22°C und 24°C. Eine automatische Klimatisierung wird für den Standort von Servern dringend empfohlen.

Aktive Netzwerkkomponenten…

…in Netzwerkschränken erzeugen ebenfalls eine nicht zu unterschätzende Menge an Abwärme. Backbone- Racks oder Netzwerk- Verteilerschränke sind die Basis aller Netzwerkverbindungen in Ihrem Unternehmen und daher entsprechend zu planen und schützen.

Besenkammer, Lager, Kaffeeküche…

…oder frequentierte Räume sind denkbar ungeeignet für aktive IT- Infrastruktur- Komponenten. Aber auch passive Komponenten wie CAT- Pachpanel, Glasfaser LWL Patchpanel oder Glasfaser LWL Spleißboxen sind vor unbefugter Manipulation zu schützen. Netzwerkschränke mit verschließbaren Türen sind die optimale Lösung. Das Reinigungspersonal weiß oft nicht, dass ein Netzwerkschrank kein idealer Aufbewahrungsort für Putzmittel, Besen und Schaufel ist.

Strom, Gas, Wasser, Abfluss…

…Starkstromleitungen, Wasserleitungen, Gaszähler, Gasleitungen,Wasserzähler, Gasthermen, Abflussrohre, Stromzähler,… sind keine guten Nachbarn von Serverschränken und Netzwerkschränken in Serverräumen. Es muss nicht immer der Rohbruch sein, der für Katastrophen sorgt. Ein Hoppala vom Installateur bei Wartungsarbeiten ist schnell passiert. Ein Serverraum sollte eigentlich wie ein Konferenzraum behandelt werden: optimales Klima, keine Störungen und ein überwachter Zugang sind gute Bedingungen für störungsfreien Betrieb.

Die Stromversorgung…

…Ihrer aktiven Infrastruktur- Komponenten stellt einen äußerst wichtigen Faktor der gesamten Sicherheitslösung dar. Autonome Stromkreise mit geeigneten Sicherungsautomaten, Fehlerschutzstromschaltern (FI) und Überspannungsableitern für alle IT- & EDV- Komponenten schützen Ihre IT- Hardware Investition vor globalen Ausfällen und Beschädigungen durch Überspannungen und Fehlfunktionen im allgemeinen lokalen Stromnetz. Der Zugang zu Elektroverteilern darf nur befugten Personen möglich sein. Ein defekter Mikrowellenherd, welcher einen Kurzschluss auslöst, kann Ihre gesamte EDV lahmlegen- nicht gesicherte Daten gehen verloren, Datenbanken werden inkonsistent und müssen mit viel Aufwand wiederhergestellt werden, die Produktivität Ihres Unternehmens ist unterbrochen.

Die Unterbrechungsfreie Stromversorgung (USV)…

…für aktive IT- Infrastrukur- Komponenten wird entsprechend den im IT- Service Continuity Plan erarbeiten Szenarien ausgelegt und konfiguriert. Primär ist es wichtig Server geregelt und „sauber“ herunterzufahren um Datenverlust, defekte Datenbanken und korrumpierte Anwendungen zu vermeiden. In wie weit Services wie z.B. Telefonanlage, Internetverbindung oder spezielle Arbeitsstationen/ PC eine bestimmte Zeit am Leben erhalten werden müssen, wird wie eingangs erwähnt im ITSCP definiert. Danach richtet sich die Dimensionierung der USV (Unterbrechungsfreie Stromversorgung, UPS Uninterruptible Power Supply).

Zutrittskontrolle…

…und Dokumentation der befugten und unbefugten Zutritte über entsprechende Schließsysteme und Sicherheitskameras ist schon bei der Planung der Räumlichkeiten als essenzieller Bestandteil der Datensicherheit zu behandeln. Sie verhindern damit nicht nur unbefugte Zutritte, sondern verhindern auch, dass aus den Server- und Netzwerkräumen ungeplante Lagerräume werden.

Die Strukturierte Verkabelung…

…des Gebäudes muss den aktuell geltenden Verlegevorschriften für CAT- Verkabelungen (CAT1- CAT8, Twisted Pair: S/STP- Screened Shielded Twisted Pair, S/FTP- Screened Foiled Twisted Pair) entsprechen. Das hat nicht nur gesetzliche Gründe, sondern stellt sicher, dass Sie auch die Bandbreite nutzen können die von den aktiven Komponenten zur Verfügung gestellt wird. Falsch verlegte und aufgeschaltene Kabelverbindungen führen zu Flaschenhälsen im Datenstrom, welche nur schwer zu lokalisieren sind. Der Aufwand solcher Fehler zu finden, ist wesentlich höher als beim Verlegen auf gute Qualität und ein professionelles Netzwerk- Messprotokoll zu achten.

PC- Arbeitsplätze…

…stellen die am schwersten zu sichernden Bereiche dar. Permanente Überwachung und Dokumentation der physischen Zugriffe ist nahezu unmöglich und auch nicht zielführend. Hier müssen unternehmensweite Compliance Regeln, welche über verschiedene Automatismen (Gruppenrichtlinien, Policies,…) durchgesetzt werden, greifen. Unbedingt zu vermeiden sind das Ausführen von privaten Datenträgern (CD, DVD, USB- Stick- USB Anschluss am Mobiltelefon,…), der Zugriff auf das BIOS (Basis Betriebssystem von Computern, welches die Hardwarekomponenten mit dem Betriebssystem verbindet) und der unbeaufsichtigte Zugriff von Dritten in Abwesenheit des angemeldeten Benutzers.

AZISTA INTERNET & NETWORK SECURITY

Eines ist sicher – nichts ist 100% sicher!

Schulung & Sensibilisierung

Welche Konsequenzen das unachtsame Bewegen im Internet haben kann muss allen Mitarbeitern bewusst sein. Auch das grundsätzliche Unterschiede vom „Surfen“ Zuhause zum „Arbeiten“ im Unternehmensnetzwerk bestehen, muss jedem Mitarbeiter mitgegeben werden. Die Konsequenzen für unbedachtes Handeln verteilen sich innerhalb vom Unternehmensnetzwerken sehr schnell und richten Schäden bis zu existenzbedrohenden Summen an.

Firewall?

Firewall ist nicht gleich Firewall! Viele all in one- Router- Systeme bieten zwar eine integrierte Firewall, welche in Ihrem Funktionsumfang aber sehr beschränkt ist. Oft wähnt man sich hinter einem Billig- Router- Firewall- System als sicher. Leider zu oft falsch gedacht- billig kann da sehr schnell sehr teuer werden.

Professionelle, korrekt ausgewählte und konfigurierte UTM oder SSA- Systeme sorgen durch umfassende Analysen des Datenverkehrs für Sicherheit in und aus Ihrem Netzwerk.

Durch die permanente Überwachung des Datenstromes (Emails, Webseiten, Downloads, Übertragungen,…) von Ihrer Organisation ins Internet und vom Internet in Ihr lokales Netzwerk werden ein Großteil der entdeckten Trojaner, Viren, Phishing- Emails, Spam- Emails, Würmer, Ransomware (Krypto- Erpressungstrojaner) oder Malware identifiziert und entfernt oder abgewiesen. Auch innerhalb Ihres Netzwerkes lassen sich durch Security Appliances Sicherheitsebenen etablieren um Outbreak Szenarien zu minimieren.

Netzwerk & WLAN Security

Planung und korrekte Konfiguration sind essenziell für ein sicheres und gut funktionierendes Netzwerk. Aspekte wie die Trennung von internen Netzen, Firmen- WLAN und Gastzugänge im WLAN, Bandbreitenmanagement (QoS Quality of Service), IP- Telefonie, Test- und Live- Umgebungen fließen schon in die Planung der Verkabelung und Hardware ein und beeinflussen diese Grundlegend.

PC Security

Lokal installierte Internet Security Lösungen (Firewall, Antivirus, Anti- Spam) von namhaften Herstellern bieten einen guten Basis- Schutz. Gratis Lösungen bieten meist nur sehr eingeschränkte Funktionalität und sind damit mit Vorsicht zu genießen.

Doch wie eingangs erwähnt – nichts ist 100% sicher.

Eine optimale Lösung für Firmennetzwerke sind lokal am PC oder Laptop installierte Security Agents welche direkt mit der Security Appliance interagieren. Auch abnormes Verhalten von Programmen wird bei diesen Lösungen identifiziert und die betroffene(n) Arbeitsstation(en) wird/werden automatisch aus dem Netz genommen.

Klicken oder nicht klicken?

Es gibt eine wirklich wirksame Verhaltensregel für sicheres Surfen im Internet: Lesen – Verstehen – Klicken | Lesen – nicht verstehen – nicht klicken! Das mag witzig klingen doch ist dies der beste Schutz vor hausgemachten Problemen. Lieber einen IT- Mitarbeiter einmal zu viel fragen.

Auf vielen Webseiten wird man oft gezwungen einige Dialoge zu beantworten um an Daten und Informationen zu gelangen. Hier ist wieder genaues Lesen gefragt. Achten Sie auf vorausgewählte Optionen die eine Installation von Malware starten sobald Sie bestätigen das sie die Informationen sehen möchten.

AZISTA SICHERHEITSTECHNIK & OBJEKTÜBERWACHUNG

Videoüberwachung

Technisch wie rechtlich ein heikles Thema welches einige Fragen aufwirft.

Welche Bereiche darf ich überwachen? Wer hat Zugriff auf die Aufzeichnungen? Darf ich die Aufzeichnungen verwenden? Wo werden die Aufzeichnungen gespeichert? Vandalismussicher? Welche Kamera für welchen Zweck? Sind die technischen Voraussetzungen gegeben?…

Diese Fragen und die draus resultierenden Schritte beantworten sich während der Planung der Videoüberwachungsanlage. Der Auftragnehmer muss den Kunden über die Meldepflicht der Kameras beim Datenverarbeitungsregister (DVR) und der Datenschutzbehörde (DSB) informieren und bei groben Widersprüchen zum DSG 2000 den Kunden drauf aufmerksam machen.

Private Bereiche können in der Verwaltungssoftware der Kamera definiert und damit von der Aufnahme ausgeschlossen werden. Aufnahme erst nach Bewegungsdedektion im Aufnahmebereich oder zu definierten Zeiten starten ist ebenso möglich wie der Einsatz von externen Bewegunsmeldern oder anderen externen die Aufnahme auslösenden Sensoren. Alarmmeldungen in nahezu Echtzeit bei verschiedenen Kamera- Events auf Ihr Mobiltelefon oder andere Benachrichtigungsmethoden wie SMS oder Email sind oft sehr hilfreiche Features.

Natürlich ist eine live Übertragung auf verschiedene Mobile Geräte wie Handy oder Tablet möglich. Dazu ist eine Anbindung der Kameras ans Internet notwendig. Wir empfehlen hier auf Cloud- Lösungen zu verzichten und statt dessen eine sichere Verbindung durch Ihre Firewall herzustellen.