Die Sicherheit der Daten aus Ihrem Unternehmen hat für uns oberste Priorität!

Ganz gleich ob wir über den Schutz im Bereich normaler Geschäftsaktivität wie Emails oder technischer Details, wie etwa Zeichnungen, sprechen oder ob es um die Sicherheit gegen Eindringen im Bereich Industrie 4.0 geht, die Basis bleibt die Selbe.

Eine starke Defensive besteht niemals aus nur einem Faktor alleine. Firewall oder ein mächtiges Anti-Viren Programm sind nur zwei Beispiele um den Schutz Ihrer Daten zu garantieren.

Im Folgenden wollen wir Ihnen unsere Konzepte der Sicherheitstechnik darstellen und aufgegliedert. Wir freuen uns darauf, mit Ihnen gemeinsam, Ihr Unternehmen zu schützen!

IT-Sicherheitskonzepte

Mit unseren IT-Sicherheitskonzepten bieten wir Ihnen optimalen Schutz für Ihre Unternehmensdaten, Ihre Hardware und Ihre gesamte IT-Infrastruktur.
Die immer gezielteren Angriffe durch Schadsoftware haben immer noch gravierendere Auswirkungen auf Unternehmen zur Folge. Riskieren Sie keine Ausfälle und Datenverluste und schützen Sie, was Ihnen wichtig ist!

 

Basis Schutz: Die Grundlagen

  • Firewall
  • Anti Virus
  • Anti Spam
  • Patchmanagement

Erweiterter Schutz: Rundet die Sicherheit ab

  • Syslog
  • Reverse Proxy
  • PKI
  • Verschlüsselung
  • Backup Lösungen ins RZ
  • 2 Faktor Auth
  • Segmentierung
  • Sand Boxing
  • NAC

Weitere Details zu den Teilbereichen finden Sie in unserem Überblick.

Mobile Device Management

Die Anzahl der Geräte, mit denen Mitarbeiter im Unternehmen arbeiten, steigt stetig.

Mittlerweile zählen zu Arbeitsgeräten nicht nur Workstations, Laptops oder fest verbaute Maschinencomputer, sondern immer mehr Tablets, Smartphones oder andere mobile Geräte finden Einzug in den Arbeitsalltag.
Im Augenblick werden in vielen Firmen diese Geräte jedoch nur selten von der IT mit administriert und falls doch: Oftmals manuell und mit viel Arbeitsaufwand.
Um die Sicherheit und den Datenschutz Ihres Unternehmens auch bei geschäftlicher Nutzung mobiler Endgeräte gewährleisten zu können, gibt es auf dem Markt viele Anbieter die spezielle Mobile Device Management Lösungen zur Verfügung stellen.

Wir arbeiten zu diesem Thema mit verschiedenen Herstellern zusammen, beispielsweise Baramundi oder MobileIron wir beraten Sie gerne, um eine passende Lösung für Ihr Unternehmen zu finden.

Überblick

IT-Sicherheit gliedert sich in viele Teilbereiche und ist je nach Anforderungen und Bedürfnissen individuell anzupassen. Dieser Überblick zeigt Ihnen die Teilbereiche auf und erläutert kurz Fakten und Funktionen.

Firewall – Ihr Tor zum Internet

Die Aufgabe einer Firewall ist so ähnlich wie die einer Brandschutzmauer. Die Firewall besteht aus Hard– und Software, die den Datenfluss zwischen dem internen Netzwerk und dem externen Netzwerk kontrolliert. Alle Daten die das Netz verlassen werden ebenso überprüft wie solche, die hinein wollen.

Firewalls werden in der Regel von Unternehmen eingesetzt. Allerdings sind auch Privatanwender gut beraten sich nach einer Firewall-Lösung umzusehen. Schließlich ist es hier besonders wichtig, dass die Computer nicht ungeschützt mit dem Internet verbunden sind. Mit Hilfe der Firewall müssen die Firmen nicht jeden einzelnen Arbeitsplatzrechner absichern, sondern nur die Rechner und Server, die unmittelbar an das externe Netzwerk angeschlossen sind. Diese Rechner werden so konfiguriert, dass sie die sie passierenden Daten kontrollieren können. Die Firewall überprüft beispielsweise anhand der IP-Adresse IPv4, IPv6 , ob das Datenpaket das ins Netzwerk hinein will von einer vertrauenswürdigen Quelle stammt. Der Firewall-Administrator legt dafür Listen mit erlaubten Sendern (Adressen) an. Nur die Daten dieser Sender dürfen die Mauer passieren.

Quelle: www.bsi.de

Der Spamfilter-Service für Ihr Unternehmen von uns

Laut einer aktuellen Studie des Bundesministeriums  für Informationstechnologie sind die Kosten, die Spam Mails innerhalb  von Unternehmen  verursachen, überraschend hoch. Bei einer Größe von 25 PC Arbeitsplätzen entstehen Kosten von weit über 12.000 € im Jahr! Unser Spamfilter-Service bietet die optimale Lösung für Unternehmen zum Schutz vor Spam.
Keine eigene Hardware, keine zusätzliche Software und ohne Administrationsaufwand für Sie.

Warum Virenschutzprogramme

Wie Sie bereits wissen, ist ein Virus für Ihren PC so ähnlich wie für Sie eine Grippe. Nur, dass Sie Ihren Rechner nicht zum Arzt bringen müssen. Wichtiger ist vielmehr, ihn vor der Infektion zu schützen. Das können Sie tun, indem Sie ein Anti-Viren-Programm oder Viren-Scanner installieren. Unter Windows ist eine gute Antiviren-Software unerlässlich, da Windows-Rechner aufgrund ihrer weiten Verbreitung am häufigsten angegriffen werden Für Linux und MAC OS X sind bislang kaum Schadprogramme bekannt, die „kommerziell“ genutzt werden. Ein Programm zum Schutz des eigenen Rechners ist daher bei privater Nutzung des Rechners nicht zwingend notwendig, aber dennoch empfehlenswert, um nicht versehentlich gefährliche Dateien an andere weiterzugeben.

Antiviren-Software überprüft neue Dateien (zum Beispiel Anhänge von E-Mails) und den gesamten Computer auf Anzeichen einer Infektion. Dazu vergleicht sie in erster Linie die Daten auf Ihrem Rechner mit den „Fingerabdrücken“ bekannter Schadprogramme. Diese „Signaturen“ müssen aber immer auf dem aktuellen Stand sein, weil täglich neue Varianten von Schädlingen auftreten. Deshalb müssen Sie die Software regelmäßig aktualisieren (updaten). Das geht entweder über die automatische Update-Funktion Ihres Programms. Oder Sie laden die Updates direkt von der Herstellerseite herunter. Hinzu kommen Verfahren, die auch bislang noch unbekannte Schadprogramme finden sollen. Um nicht zu viele Fehlalarme zu produzieren, ist die Erkennungsleistung dieser „heuristischen“ Verfahren jedoch nicht sehr gut.

Früher mussten die Benutzer das Viren-Schutzprogramm in regelmäßigen Zeitabständen starten und dann wurde die ganze Festplatte, einzelne Laufwerke, Disketten oder CD-ROMs überprüft. Heute ist es viel einfacher. Wenn die Auto-Protect-Funktion eingeschalten ist, überprüft das Programm Ihren Rechner nach jedem Systemstart automatisch im Hintergrund. Sie erkennen das am Icon in der Task-Leiste. Wird ein Virus gefunden oder hat der Scanner etwas Verdächtiges bemerkt, erhalten Sie eine Nachricht in einem Mitteilungsfenster.

Quelle: www.bsi.de

Syslog: Sammlung und Auswertung

Nur wenn die protokollierten Ereignisse regelmäßig ausgewertet und kontrolliert werden, können eventuelle Sicherheitslücken, Manipulationsversuche und Unregelmäßigkeiten erkannt werden. Eine Analyse zeigt neben Sicherheitsereignissen und Fehlern auch Informationen über die aktuelle Auslastung an.
Quelle: www.bsi.de

Die wichtigsten Schritte für den richtigen Umgang mit Meldungen der einzelnen Systeme sind.

  • Zentralisierung
  • Normalisierung
  • Filterung
  • Aggregation
  • Kategorisierung und Priorisierung
  • Korrelation
  • Auswertung und Kontrolle
  • Alarmierung
  • Archivierung

Reverse Proxy – Ihr Sicherheitsgateway – Tor zur Welt!

Die Integration eines Webservers in ein Sicherheitsgateway ist in vielen Fällen kritisch, da ein Webserver oft hohe Anforderungen an die Netz-Bandbreite stellt. Neben der Sicherstellung der Verfügbarkeit ist zum Schutz vor gezielten Angriffen auch die Wahl der richtigen Variante zur Server-Platzierung wichtig, da Webserver auf Grund ihrer hohen „Sichtbarkeit“ besonders Angriffen ausgesetzt sind und in Webserver-Programmen in der Vergangenheit oft Sicherheitslücken vorhanden waren.

Soll der Webserver von eingehenden Anfragen entlastet werden, kann ein Reverse Proxy eingesetzt werden, der häufig wiederkehrende Anfragen aus seinem Cache beantwortet und so die Belastung des Webservers selbst reduziert.

Zur Erzielung eines möglichst hohen Durchsatzes ist es notwendig, Webserver und Reverse Proxy in der gleichen DMZ aufzustellen. Der Zugriff aus dem nicht-vertrauenswürdigen Netz sollte nur auf den Reverse Proxy gestattet sein, der direkte Zugriff auf den Webserver aus dem nicht-vertrauenswürdigen Netz sollte durch den äußeren Paketfilter unterbunden werden.

Reverse Proxies wurden meist nicht primär unter dem Aspekt der Sicherheit entwickelt. Daher sollte gegebenenfalls in Betracht gezogen werden, den Reverse Proxy durch einen weiteren Paketfilter vom Webserver zu trennen. Dies erhöht die Sicherheit für den Webserver, kann aber andererseits zu einer Reduzierung der zur Verfügung stehenden Bandbreite führen.

Auf diese Weise können bei einer etwaigen Kompromittierung des Reverse Proxy unerwünschte Zugriffe vom Reverse Proxy auf den Webserver (z. B. auf Administrationsports) unterbunden werden.

Quelle: www.bsi.de

Digitale Zertifikate: ausstellen – verteilen – prüfen

Die PKI (Public Key Infrastruktur) ist eine Zertifizierungsstelle die für interne Zwecke Zertifikate erstellt, verteilt und unterstützt.

Benutzt ihre Firma interne Programme oder Webseiten so erstellt und verteilt die PKI an alle Clients die auf das Ziel zugreifen wollen, ein Zertifikat. Das ist nötig damit der Client weiß, dass das Ziel Vertrauenswürdig ist und erlaubt damit den sicheren Zugriff darauf.

Wie können Sicherheitsprobleme entdeckt und behoben werden?

Um Ihren Kunden ein sicheres Netzwerk zu bieten, bietet die RiverSuite Ihnen mehrere Funktionen an um die Sicherheit Ihrer Netzwerke zu verbessern.

Schwachstellen von Drittanbieter Software entdecken und beheben

Möchten Sie wissen welche Sicherheitsrisiken Software von Drittanbieter bei Ihnen verursacht?

Kein Problem, mit der RiverSuite Inventory können Sie eine Sicherheitsanalyse durchführen die, die Software von Ihrem Kunden auf Schwachstellen prüft und Ihnen ermöglicht einen Report dazu auszugeben. Dadurch bekommt Ihr Kunde ein Überblick durch welchem Geräte welche Sicherheitsrisiken entstehen.

Wie genau macht das die Riversuite?

Common Vulnerabilities and Exposures kurz CVE Ist ein Industriestandard, welcher eine einheitliche Namenskonvention für Sicherheitslücken und Schwachstellen in Computersystemen beschreibt.

Und wie werden diese CVE´s genutzt?

Die RiverSuite Inventory gleicht die inventarisierte Software Ihrer Kunden mit einer CVE Datenbank ab und zeigt Ihnen alle Schwachstellen auf, die in den Systemen zu finden sind.

Diese können dann über das Compliance Management der RiverSuite oder manuellen Eingriff behoben werden.

Patchmanagement

Über unser RiverSuite Monitoring Patchmanagement können Sie komfortabel all Ihre Clients auf den neusten Windows Update Stand bringen und somit die Sicherheit Ihres Unternehmens und Ihrer Kunden stark verbessern.

Verschlüsselung als Sicherheitskonzept für Unternehmen

Verschlüsselung oder „Kryptografie“ bezeichnet das systematische Unkenntlich machen von Textinformationen.

In jedem Unternehmen gibt es sensible Daten die vor unberechtigtem Zugriff geschützt werden müssen. Wir bieten Ihnen entsprechende Lösungen an.

Hier einige Beispiele:

  • Verschlüsselung Ihrer Daten
  • Verschlüsselung Ihrer Festplatte
  • Verschlüsselung Ihrer E-Mails
  • Verschlüsselung Ihrer Datenübertragung
  • Verschlüsselung Ihres WLAN`s

Datensicherung im Rechenzentrum

Ein externes Backup beschreibt die Datensicherung des Produktivsystems an einen geologisch anderen Standort. Im besten Fall werden für ein georedundantes Backup Standorte mit verschiedenen geologischen Beschaffenheiten ausgewählt um im Katastrophenfall vor möglichst vielen Szenarien zu schützen.

Für viele Unternehmen ist der Aufbau eines Sekundärstandortes nur für die Datensicherung jedoch nicht sinnvoll, daher bietet Celos ein gehostetes Backup an. Hier werden die Daten von Ihrem eigenen Backup in unser Rechenzentrum gespiegelt.

Gerne beraten wir Sie über eine geeignete Backup Strategie.

2 Faktor Authentisierung

Für sicherheitskritische Anwendungsbereiche sollte starke Authentisierung verwendet werden, hierbei werden zwei Authentisierungstechniken kombiniert, wie Passwort plus Transaktionsnummern (Einmalpasswörter) oder plus Chipkarte. Daher wird dies auch häufig als Zwei-Faktor-Authentisierung bezeichnet. Beide eingesetzten Authentisierungstechniken müssen sich auf dem Stand der Technik befinden.

Bekannteste Authentisierungstechniken:

  • PINs (Persönliche Identifikationsnummern)
  • Passwörter
  • Token wie z. B. Zugangskarten
  • Biometrie

Vor der Übertragung von Nutzerdaten muss der Kommunikationspartner (Rechner, Prozess oder Benutzer) eindeutig identifiziert und authentisiert sein. Erst nach der erfolgreichen Identifikation und Authentisierung darf eine Übertragung von Nutzdaten erfolgen. Beim Empfang von Daten muss deren Absender eindeutig identifiziert und authentisiert werden können. Alle Authentisierungsdaten müssen vor unbefugtem Zugriff und vor Fälschung geschützt sein.

Kriterien, die bei der Auswahl von Identifikations- und Authentikationsmechanismen beachtet werden müssen:

  • Administration der Authentikationsdaten
  • Schutz der Authentikationsdaten gegen Veränderung
  • Systemunterstützung
  • Fehlerbehandlung bei der Authentikation
  • Administration der Benutzerdaten
  • Definition der Benutzereinträge
  • Umfang der Benutzerdaten
  • Passwortgüte
  • Biometrie (Iris, Fingerabdruck, Gesichtsproportionen, Stimme und Sprachverhalten, Handschrift, Tippverhalten am Rechner)
  • Authentisierung mit Token
  • Anforderungen an Authentikationsmechanismen für Benutzer
  • Protokollierung der Authentisierungsmechanismen

Gerne unterstützen wir Sie bei der Findung der richtigen Authentikationsmechanismen für Sie und Ihr Unternehmen!

Quelle:www.bsi.de

Performance und Sicherheit für Ihr Firmennetzwerk

Die Segmentierung von Netzen Beschreibt die Aufteilung eines Netzes in mehrere Netze.
Segmentierung kann sowohl bei Netzen im LAN, als auch im WLAN stattfinden.

Folgende Gründe sprechen für eine Segmentierung von Netzen:

Sicherheit: Durch die Aufteilung der Netze können unter Anderem Zugriffe beschränkt und Sicherheitsrichtlinien festgelegt werden. So kann beispielweise ein Netz für Gastzugriffe aufgebaut werden, das den Zugang zum Internet bereitstellt, jedoch keinen Zugriff auf das internen Firmennetz zulässt.

Priorisierung: Müssen im Unternehmen ausgewählte Dienste, wie zum Beispiel Voice over IP (VoIP) gegenüber anderen Anwendungen priorisiert behandelt werden, bietet es sich an auch hierfür ein separates Netz aufzubauen.

Verringerung des Broadcast Traffic: Je mehr Geräte in einem Netz sind, desto höher ist die Auslastung des Netzes durch den permanent vorhandenen Broadcast Traffic. Wird ein Netz segmentiert, sind weniger Geräte in einem Teilnetz und somit wird der Broadcast Traffic und damit die Auslastung des Netzes verringert.

Gerne unterstützen wir Sie bei der Planung und Durchführung der Segmentierung Ihrer Firmennetze.

Sandboxing – Qua­ran­tä­ne für Ihre Daten

Die Technik des „Sandboxings“ beschäftigt Entwickler schon seit den 70er Jahren.

Durch diese Technik wird ein Verfahren beschrieben, dass es ermöglicht potentielle Schadsoftware in einer abgeschotteten Umgebung zu testen ohne dabei Einfluss auf die produktive Umgebung zu nehmen. Die Technik an sich kann mit einem Container (Docker) verglichen werden.

Gerade durch Gefahren wie Locky und ähnlicher Bedrohungen durch E-Mails ist das Thema Sandboxing noch interessanter geworden. Potentiell gefährliche Emails werden in der Software geöffnet und Anhänge aktiviert. Da das Schadprogramm nur in der Sandbox ausgeführt wird, erreicht dieses nicht die Hardware des Rechners und kann diese auch nicht verschlüsseln.

Wird die Sandbox zudem in einer VM ausgeführt und nicht auf den Rechnern der User erhöht sich die Sicherheit nochmals deutlich. Der Benutzer kann verdächtige Emails auf einem internen Portal prüfen lassen.

Zum Thema Datenschutz und Briefgeheimnis: Der Test läuft vollautomatisch ab und die betreffende Sandbox wird nach beenden des Tests zurückgesetzt – somit werden Inhalte oder Daten weder gesammelt noch preisgegeben.

Network Access Control (NAC; deutsch Netzwerkzugangskontrolle)

ist eine Technologie, die die Abwehr von Viren, Würmern und unautorisierten Zugriffen aus dem Netzwerk heraus unterstützt.

Heutige IT-Netze von Unternehmen stehen vor vielen Herausforderungen.
So nimmt die Anzahl der verschiedenen Endgeräte, Betriebssysteme und Anwendungen im Netz zu.
Außerdem verschwimmen die Netzgrenzen zunehmend, da mobile Mitarbeiter von außerhalb der Unternehmen auf das Netz zugreifen wollen, sowie Auftragnehmer und Gäste auch innerhalb der Unternehmen auf das Netz zugreifen sollen.

Mit NAC werden die Endgeräte während der Authentisierung auf Richtlinienkonformität geprüft.

Ist z. B. der Virenscanner nicht aktuell oder fehlt dem Client-Betriebssystem der neueste Security-Patch, wird das betroffene Endgerät unter Quarantäne gestellt und mit aktuellen Updates versorgt, bis es wieder den geltenden Sicherheitsrichtlinien entspricht.

Kernaufgaben sind:

– eindeutige Identifizierung und Rollenverteilung von Nutzern und Geräten
– Wahrung von erstellten Sicherheitsrichtlinien
– Quarantäne und automatische Wiederherstellung nichtkonformer Endgeräte
– Verwaltung und Erstellung individueller Richtlinien und Rollen für verschiedene Nutzergruppen

Netzzugangskontrollsystem, dass als eine Art internes Intrusion Prevention System auftritt, kann dabei nur ein Baustein eines umfassenden Sicherheitssystems sein.

Es ist die stufenweise Einführung eines NAC´s zu empfehlen.
Es sollte beachtet werden, dass das gewünschte NAC unter Umständen zwar mit allen derzeit vorhandenen Komponenten zusammenarbeitet, aber unflexibel gegenüber weiteren Betriebssystemen und Komponenten sein kann.

Für eine gute Planung ist es deshalb wichtig, Anwendungsszenarien und Sicherheitsziele zu formulieren.

Mit CELOS haben Sie einen zuverlässigen und kompetenten Partner an Ihrer Seite, auf den Sie sich jederzeit verlassen können.