|
|
|
|
Datensicherheit im Unternehmen — Komplexe Security-Lösungen von IBH
|
Die Welt ist mein Büro
Eine vernetzte Welt schafft komplexe Herausforderungen für die Datensicherheit im Unternehmen. Nahezu täglich begegnen uns neue, technologisch anspruchsvolle Lösungen, wie z.B. interaktive Webseiten, Werkzeuge für die Zusammenarbeit, serviceorientierte Architekturen (SOA) und Virtualisierung. Daneben entwickeln sich natürlich auch die Bedrohungen weiter und werden immer raffinierter. Zu den heute üblichen Bedrohungen zählen die zunehmende Mobilität der Nutzer, unerwünschte E-Mails, Botnetze, als nützlich getarnte Schadsoftware und der Diebstahl von internen Firmeninformationen. Alle diese Elemente stören die Produktivität, gefährden Kundenbeziehungen und beeinflussen den wirtschaftlichen Erfolg negativ.
Der starke Partner an Ihrer Seite
Die IT-Abteilungen der Unternehmen müssen die Sicherheitsrisiken kennen und davon ausgehende Gefahren abwehren, ohne gegen gesetzliche und unternehmensinterne Vorschriften zu verstoßen. Damit einher geht die Anforderung, ständig auf dem neusten Stand zu sein, was aktuelle Bedrohungsszenarien betrifft. Mit der IBH IT-Service GmbH greifen Sie auf einen Partner zu, der einen umfangreichen Erfahrungsschatz aus der langjährigen Tätigkeit als Internet-Provider und Systemhaus bereitstellt. So lassen sich auch komplizierte Anforderungen genau analysieren und eine optimale, kundenspezifische Lösung finden.
Consulting & Beratung
Zur objektiven und nachvollziehbaren Bewertung der Sicherheit in der Informationstechnik hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein IT-Grundschutzhandbuch erarbeitet, auf dessen Grundlage die Sicherheit der IT in den Unternehmen bewertet und attestiert werden kann.
Die Mitarbeiter der IBH IT-Service GmbH orientieren bei allen Consulting- und Beratungsleistungen an den Vorgaben des BSI. Zunächst erfolgt eine Aufnahme des IST-Zustandes im Unternehmen – welche Geschäftsprozesse müssen geschützt werden, welche Bedrohungen sind bekannt, welche Maßnahmen sind bereits ergriffen worden. Auf Grundlage BSI-Grunschutzhandbuchens und in Verbindung dem reichen Erfahrungsschatz der Systemingenieure von IBH wird ein konkreter Maßnahmenplan erstellt, der eine wesentliche Optimierung der Datensicherheit zum Ziel hat.
Die konkrete Umsetzung ist in vielen Variationen möglich, und IBH bietet eine Vielzahl bewährter Security-Lösungen, von denen nachfolgend einige kurz vorgestellt werden sollen.
|
Hesteller im Portfolio
| Hersteller |
Leistung |
| Cisco |
Firewall, VPN, IDS, IPS, AntiVirus, AntiSpam, AntiPhishing, Analyse, Zentrales Management |
| CheckPoint |
Firewall, VPN, IDS, IPS, AntiVirus, AntiSpam, AntiPhishing, Analyse, Zentrales Management |
| OpenSource / Linux |
Firewall, VPN, AntiVirus, AntiSpam |
| ESET |
AntiVirus, AntiSpam, AntiPhishing, Zentrales Management |
| F-Prot |
AntiVirus |
Systematischer Ansatz zur Sicherheit von Cisco:
„Cisco Self-Defending Network“
|
|
|
Schutz von Internet-Peripherie und -Gateway
Das klassische Mittel zur sicherheitstechnischen Beherrschung der Grenze zwischen Internet und lokalem Netz ist ein Firewall. IBH installiert und wartet Firewall-Lösungen verschiedener Hersteller mit ganz unterschiedlichen Leistungsparametern
|
-
Appliance-basierte Modelle
Security Appliances sind ein interessanter Trend, denn sie vereinen zahlreiche Sicherheitsfunktionen in einem Gerät. IBH hat u.a. die Adaptive Security Appliances (ASA) von Cisco und die UTM-1 bzw. VPN-1 Edge Appliances von CheckPoint im Portfolio. Die Geräte sind in unterschiedlicher Konfiguration und mit verschiedenen Kapazitäten verfügbar. Über optionale Management-Features lassen sich auch mehrere Geräte von einer zentralen Stelle aus verwalten. Security Appliances tragen auf Grund ihres All-in-One-Ansatzes wesentlich zur Stromeinsparung und zur Reduzierung von Wartungsaufwendungen bei. Allerdings sind sie selten flexibel erweiterbar.
-
Server und Firewall-Software
Auf der Basis von HP-Servern in Verbindung mit der CheckPoint Secure Platform lassen sich flexibel konfigurierbare Firewall- und VPN-Lösungen aufbauen. Durch die Nutzung eines Standard-Servers von HP erlaubt das System eine groß zügige Erweiterung von Schnittstellen und Leistungsparametern (Prozessor, Speicherkapazität). Die Secure Platform von CheckPoint ist ein Linux-basiertes, extra gehärtetes Betriebssystem, das den sicheren und optimalen Betrieb von CheckPoint Firewall Software Blades garantiert. CheckPoint Software Blade ist die umfassende Lösung einer Netzwerk- und Application-Firewall mit Access Control, Schutz vor Angriffen, Anwendungssicherheit, Authentifikation und Netzwerk-Adressübersetzung (NAT).
|
-
Universelles Internetgateway von IBH
Für kleine und mittelständische Unternehmen bietet IBH auch eine eigene Security-Lösung als Internetgateway an. Das System basiert auf Debian GNU/Linux und ermöglicht umfangreiche Spezialkonfigurationen hinsichtlich demilitarisierter Zonen (DMZ) sowie die freie Auswahl an notwendigen Serverdiensten. Das Internetgateway von IBH kann zusätzlich mit AntiVirus- und AntiSpam-Diensten ausgerüstet werden.
-
Hochverfügbarkeitslösungen
Bei allen vorgenannten Komponenten sind Hochverfügbarkeitslösungen denkbar. Diese basieren auf der Integration von mindestens 2 typgleichen Firewall- bzw. Gateway-Systemen und den damit verbundenen Mechanismen für ein Stateful Failover. Alternativ kann auch ein Cluster-Betrieb für Loadsharing und Failover zum Einsatz kommen.
|
Schutzmaßnahmen im Netzwerk
|
|
Die immer komplexeren Dienste fordern eine intelligente Selbstverteidigung des Netzwerkes gegen Angriffe von innen und von außen. Dafür sind Netzwerkgeräte wie Switche und Router zunehmend mit Sicherheitsfunktionen ausgerüstet.
IBH bringt auf Basis der Produkte von Cisco und HP Sicherheitsmaßnahmen bis auf den einzelnen Switch-Port, z.B. mit Netzwerk Port Security. Der Hersteller Cisco arbeitet beispielsweise auch mit Antivirus-, Patchmanagement-, Softwareverteilungs- und Endgerätsicherheits-Herstellern in der Cisco Network Admission Control Initiative (NAC) zusammen, mit dem Ziel, Geräte die nicht den aktuellen Sicherheitsrichtlinien entsprechen erst gar nicht in das Netzwerk hinein zu lassen. Solche sich selbst schützenden Netzwerke identifizieren Bedrohungen, reagieren je nach Schweregrad der Bedrohung, isolieren infizierte Server und Desktops und passen die Netzwerkressourcen an, um adäquat reagieren zu können. Durch die Integration von Ressourcen für Intrusion Prevention und Intrusion Detection im Netzwerk lassen sich Bedrohungen schnell erkennen und abwehren. Auch die Analysetools wie z.B. Nagios (Linux-basiert) und Cisco MARS bieten die optimale Unterstützung für den IT-Administrator, um jederzeit die vollständige Kontrolle des Sicherheitsstatus im Netzwerk zu behalten.
|
-
Schutz für die Server
Im allgemeinen wird auf einem Server nur das Filesystem mit einem AntiVirus-Werkzeug überwacht. Dafür empfiehlt IBH die Produkte von FRISK (F-Prot) und ESET (NOD32 bzw. Security Suite). Zusätzliche Sicherheit kann durch den Cisco Security Agent erreicht werden, der die Installation und Ausführung schädlicher Programme proaktiv verhindert.
-
Schutz für die Clients
Einzelne PCs und Notebooks sollten mit eine m wirkungsvollen Schutz gegen Viren, Trojaner und Phishing ausgestattet sein. Der Einsatz von ESET (in verschiedenen Versionen erhältlich) unterstützt den IT-Administrator bei der Wartung der Security-Software, da sich Installations- und Updateprozesse remot e durchführen lassen. Auch für die Desktops ist der Cisco Security Agent verfügbar, der durch eine flexible Konfiguration einen sehr umfangreichen Schutz auch gegen noch unbekannte Viren oder Trojaner bietet.
-
Schutz für mobile Endgeräte
mobile Endgeräte
Die ESET Mobile Security ist für den Einsatz auf Mobiltelefonen konzipiert.
EMAVs Heuristik ist für die mobile Antivirus Plattform optimiert und basiert auf ESET NOD32s mehrfach ausgezeichnetem proaktivem Schutz-Konzept. Es bietet Schutz vor Gefährdungen von heute und morgen in Echtzeit. Mit dem On-Demand Scanning scannt und säubert es integrierte und wechselbare Datenspeicher. Die Funktion Advanced On-Access Scanning scannt in Echtzeit bei hervorragender Erkennungs-Rate alle erstellten und genutzten Dateien ebenso wie per drahtloser Verbindung (Bluetooth, Wi-Fi, Infrarot) eingehende Dateien. Mit SMS Anti-spam findet der Ärger mit nervenden Spamnachrichten ein Ende! ESET Mobile Antivirus bietet effektives Blockieren ungewollter Nachrichten durch anpassbares Black-White-Listing.
|
Sicherheitsüberprüfung
Die bei IBH beschäftigten Systemingenieure haben umfangreiche Erfahrungen im Monitori ng und Testen TCP/IP-basierter Netzwerke. Die von IBH angebotene „PEN-Analyse“ (allgemein als Penetration-Test bezeichnet) orientiert sich an den Vorgaben des BSI (http://www.bsi.bund.de/literat/studien/pentest/index.htm) und basiert auf den umfangreichen Erfahrungen, die bei IBH im Laufe von 15 Jahren durch die Geschäftstätigkeit als Internet-Provider gesammelt worden sind.
In 4 Stufen erfolgt ein ausführlicher Test auf Angriffspunkte und anschließend eine detaillierte Auswertung mit konkreten Handlungsempfehlungen zum Schließen der „Lücken“.
Ein weiterer wertvoller Service von IBH ist de r Linux Update-Service. Im Rahmen dieses Services werden regelmäßig Gefahrenpotentiale durch bekanntgewordene Sicherheitslücken in Debian GNU/Linux ausgewertet und bei Bedarf proaktive Updates für die Linux-basierten Internet-Gateways von IBH durchgeführt.
|
Datenschutz und Datensicherheit
IBH verpflichtet sich ausdrücklich zur Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikationsgesetzes (TKG). Generell sind alle Mitarbeiter von IBH gemäß §5 des BDSG (Datengeheimnis) und alle Servicetechniker sind zusätzlich gemäß § 11 BDSG verpflichtet, bei der Prüfung beziehungsweise Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen personenbezogene und kundenspezifische Daten gegen Missbrauch zu schützen.
| Begriffe |
| DMZ |
Demilitarisierte Zone
Erlaubt den Zusammenschluss mehrerer Netzwerke mit verschiedenen Schutzbedürfnissen |
| NAT |
Network Address Translation
Ein Internet-Standard zur Umsetzung der in lokalen Netzwerken gebräuchlichen privaten IP-Adressen in offiziell im Internet geroutete Adressen
|
| Spam |
Unerwünschte Werbe-E-Mail |
| Stateful Failover |
Verbindungsübernahme durch ein Ersatzsystem ohne Verbindungsausfall |
| Firewall-Cluster |
Einsatz mehrerer Firewallsysteme zur Erzielung von Redundanz und Erreichen der maximalen Firewall-Verfügbarkeit |
|
Leistungsbeschreibung IBH PEN-Analyse (Penetration-Test)
Die bei IBH beschäftigten Systemingenieure haben umfangreiche Erfahrungen im Monitoring und Testen TCP/IP-basierter Netzwerke, Netzwerkgeräte und sonstiger internetfähiger Geräte. Die von IBH angebotene „PEN-Analyse“ (allgemein als Penetration-Test bezeichnet) orientiert sich an den Vorgaben des BSI (http://www.bsi.bund.de/literat/studien/pentest/index.htm) und basiert auf den umfangreichen Erfahrungen, die bei IBH im Laufe von 15 Jahren durch die Geschäftstätigkeit als Internet-Provider gesammelt worden sind.
Die nachfolgende Übersicht vermittelt die 4 Stufen, in denen IBH eine PEN-Analyse durchführt.
|
Stufe 1 – Informationsbeschaffung
Der Auftraggeber gibt den zu testenden IP-Adressbereich bekannt. IBH führt Portscans aus, die zunächst zur Sammlung von Informationen über den definierten IP-Adressbereich dienen. Im Ergebnis entsteht auch eine Liste der gefundenen Dienste.
Stufe 2 – Analyse
In diesem Schritt nimmt der Auftragnehmer eine Analyse der gefundenen Dienste vor. Damit in Verbindung werden Informationen über potentielle Sicherheitslücken beschafft und deren Auswirkung geprüft. Weiterhin wird festgelegt, welche Dienste im weiteren Verlauf detaillierter untersucht werden müssen.
|
Stufe 3 – Eindringversuche (NDT)
In diesem Schritt werden konkrete Angriffe gegen einzelne Dienste ausgeführt. Diese sind nicht destruktiv. Bei den Angriffen werden die Ergebnisse der Stufe 2 weiterverwendet. Das Ziel ist, eventuelle Konfigurationsfehler oder auch Fehler auf der Anwendungsebene (schwache Passwörter, schwache OpenSSL Keys, fehlerhafte Web-Portale) zu entdecken. Einige der Eindringversuche können vollautomatisiert durchgeführt werden, andere werden manuell durchgeführt.
Stufe 4 – Abschlussanalyse
Die Abschlussanalyse stelle die Ergebnisse der Prüfungsschritte in einer übersichtlichen Form dokumentiert zusammen. Darin wird ebenfalls eine Bewertung der Sicherheit der vorgefundenen Dienste und Systeme vorgenommen. Empfehlungen zur Risiko-Minimierung werden in das Dokument ebenfalls eingearbeitet. Das Gesamtergebnis der IBH PEN-Analyse wird beim Auftraggeber vor Ort präsentiert und erläutert.
|
Leistungsbeschreibung Optimierte AntiSpam-Maßnahmen
Die detaillierte Leistungsbeschreibung für Optimierte AntiSpam-Maßnahmen finden Sie hier.
AntiVirus-Produkte bei IBH
Die detaillierte Übersicht der AntiVirus-Produkte bei IBH finden Sie hier.
Sicherheitszertifikate
Die detaillierte Übersicht zu den Sicherheitszertifikaten finden Sie hier.
|
|
|
