Cyber Security Pakete

Aufgrund der immer stärker zunehmenden Angriffe auf Netzwerksysteme, bieten wir individuelle Sicherheitspakete an, die ein Verbesserung bzw. zeitgemäße Anpassung der aktuell verwendeten Sicherheitslösungen darstellen.

Auf Anforderung erhalten Sie eine individuell angepasste Aufstellung von Informationen und Sicherheitspaketen, die Sie bereits verwenden bzw. die erweitert oder angepasst werden sollten.

Passwort Komplexität

Benutzer Passwörter für den Zugriff auf relevante Systeme, sollten definierten Richtlinien entsprechen und regelmäßig geändert werden.

Beispiel – Passwortrichtlinie:

  • Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen
  • Das Kennwort muss mindestens 7 Zeichen lang sein
  • Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
    o Großbuchstaben (A bis Z)
    o Kleinbuchstaben (a bis z)
    o Zahlen (0 bis 9)
    o Nicht alphabetische Zeichen (z.B.: !, $, #, %)
  • Regelmäßige Änderung der Passwörter
  • Sichere Externe Aufbewahrung der Passwörter

01 Microsoft 365 Benutzerzugriff

Der Zugriff auf Microsoft 365 Ressourcen (Mailbox, OneDrive, Virtual Desktop…) sollte aus Sicherheitsgründen mit Multifaktor Authentifizierung (MFA) und Bedingtem Zugriff (Conditional Access CA) reglementiert werden.
Die Problematik ergibt sich aus der Tatsache, dass der Zugriff global via Internet erfolgen kann und dazu ein Benutzername und Passwort zu wenig Sicherheit bieten.

Multifaktor Authentifizierung (MFA) = Zum Benutzernamen und Passwort ist eine zusätzliche Identifikation notwendig:

  • Code über Authenticator App (Microsoft Authenticator für Android/IOS)
  •  Push Nachricht über Authenticator App
  •  SMS
  • Anruf an Mobiltelefon
  • Anruf an Festnetztelefon
  • Code über Hardware-Token (Extra Hardware Token notwendig)

Bedingter Zugriff (CA) = Regelung von wo, wie und mit was ich Zugreifen darf/kann:

  • Blockieren des Zugriffs aus bestimmten Ländern
  • Nur Zugriff aus bestimmten Ländern erlauben
  • Erlaubter Zugriff abhängig vom Gerät (Windows, Android, IOS) oder der Applikation (Browser, Outlook…)
  •  Erzwingung MFA außer aus eigenem Netzwerk (Trusted Locations)

Voraussetzungen:

  • Microsoft Active Directory Premium P1 Lizenz
  • Microsoft 365 Business Premium Lizenz (beinhaltet Active Directory Premium P1)

02 Microsoft 365 Mailschutz

Office 365 Mailboxen bieten im Bereich Virenschutz und Antispam bereits einen hohen Basisschutz.
Durch die aktuell immer stärker werdenden Angriffe, die zum Teil über Pishing-Mails (Erlangen von geheimen Daten) oder Spoofing-Mails (Vortäuschung einer Identität) erfolgen, empfiehlt es sich die Mailboxen hinsichtlich dieser Bedrohungen noch besser zu schützen.

Sichere Anlagen (Safe Attachements)
Mail Datei Anhänge werden vor der Zustellung in einer gesicherten virtuellen Umgebung (Sandbox) geöffnet, untersucht und nur wenn keine Schadfunktion dadurch ausgelöst werden kann, freigegeben.

Sichere Links (Safe Links)
In Mail enthaltene Links werden geprüft und der Zugriff darauf über eine Microsoft Sicherheitsplattform umgeleitet (Proxy), die im Falle einer Schadfunktion den Zugriff darauf unterbindet.

Voraussetzungen:

  • Microsoft Defender für Office 365 Plan 1 Lizenz
  • Microsoft 365 Business Premium Lizenz (beinhaltet Defender für Office 365 Plan 1)

03 Microsoft Azure Cloud Backup

Datensicherungen sollten immer zusätzlich auch extern aufbewahrt werden.
Eine einfache Möglichkeit bietet hier Microsoft Azure Cloud Backup.
Die Daten werden in einem europäischen Microsoft Rechenzentrum der Wahl abgelegt und sind vor Angriffen geschützt.

Vorteile:

  • Keine Limitierung der Datenmenge (keine Dimensionierung notwendig)
  • Kosten anhand der verwendeten Datenmenge (Pay per Use)
  • Aufbewahrung bis zu 99 Jahren
  • Die Daten liegen verschlüsselt in einem geschützten Rechenzentrum
  • Die Datensicherung ist vor Manipulationen aus dem lokalen Netzwerk geschützt
  • Geschützter Zugriff auf Backup Portal

Die aktuelle Hauptgefährdung, dass durch langfristig geplante Angriffe auf das lokale Netzwerksystem, die bestehenden Datensicherungssysteme ausgehebelt bzw. manipuliert wurden, können mit dieser Lösung verhindert werden.
Bei Azure Backup handelt es sich um eine Datensicherung mit Langzeitaufbewahrungsmöglichkeit und um keine Systemwiederherstellungslösung (Disaster Recovery).

Voraussetzungen:

  • Microsoft Azure Abonnement mit Speicherplatz für Datensicherung
  • Backup Administrator Benutzer mit Multifaktor Lizenz

04 Office 365 Cloud Backup

Bein einem umfänglichen Datensicherungskonzept sollten auch die Daten in Office 365 (Mailbox, OneDrive…) nicht übersehen werden.

Microsoft gewährleistet, das es zu keinem Ausfall oder Verlust der aktuellen Daten in Office 365 kommen kann – dies schützt aber nicht vor absichtlichen oder unabsichtlichen Manipulationen der Daten (zB Mails oder Kontakte werden versehentlich oder durch einen Angreifer gelöscht).

Mit Office 365 Cloud Backup werden sämtliche relevanten Daten in Office 365 in ein Europäisches Microsoft Azure Rechenzentrum gesichert.

Vorteile:

  • Keine Limitierung der Datenmenge (keine Dimensionierung notwendig)
  • Fixkosten pro Benutzer und Monat
  • Unbegrenzte Aufbewahrung (kann manuell limitiert werden)
  • Sicherung aller relevanten Daten (E-Mails, Kontakte, Kalender, OneDrive…)
  • Die Daten werden 6x pro Tag gesichert
  • Komplette oder granulare Wiederherstellung von Daten
  • Geschützter Zugriff auf Backup Portal

Voraussetzungen:

  • Microsoft 365 Cloud Backup Lizenz
  • Backup Administrator Benutzer mit Multifaktor Lizenz

05 Lokale Datensicherung

Die Notwendigkeit einer lokalen Datensicherung muss nicht weiter geklärt werden.

Zur Wiederherstellung von Daten (Backup) oder ganzen Systemen (Disaster Recovery) waren die Hauptziele, sich vor Löschung von Daten oder Ausfällen der Hardware-Infrastruktur (Festplattenausfall, Brand, Wasserschaden…) zu schützen.

Aufgrund aktueller Bedrohungs-Szenarien kommt der zusätzliche Schutz vor Manipulation der Daten (Verschlüsselung der Datensicherung) durch externe Angreifer, die sich mitunter bereits seit geraumer Zeit im System befinden und das Sicherungskonzept bereits kompromittiert haben, hinzu.

Ein Lösungsansatz ist die Trennung der Datensicherung vom Produktivsystem bzw. die Erstellung von sogenannten Snapshots der Datensicherungsstände in einem vom Produktivsystem nicht erreichbaren Bereich.

Voraussetzungen:

  • Acronis Cyber Backup Lizenz
  • Lokaler Daten- bzw. Netzwerkspeicher

06 Fortinet FortiGate Firewall

Am sogenannten Gateway zwischen internem Netzwerk und Internet, sollte eine Firewall für den Schutz vorhanden sein bzw. implementiert werden.

Die Firewall soll nicht nur verhindern, dass keine unberechtigten Zugriffe von extern erfolgen können, sondern auch die Tätigkeiten innerhalb eines Netzwerkes Richtung Internet reglementieren, überwachen und schützen.

Dabei ist wie bei einer Virenschutz Software, ein aktiver Vertrag inkl. entsprechender Wartung, ein Wichtiger Punkt, um immer aktuell geschützt zu sein.

Vorteile einer Fortinet FortiGate Firewall:

  • Virenschutz am Gateway
  • Web Filter (blockieren von unerwünschten Internetseiten)
  • Application Control (blockieren von unerwünschten Anwendungen
  • Sicherer Zugriff von Extern oder Verbindung von Zweigstellen (Home Office, VPN)
  • u.v.m.

Zusätzlich zu einem aktiven Vertrag mit dem Hersteller, der die Schutzupdates und eine Garantie auf die Hardware zur Verfügung stellt, empfiehlt es sich auch die Firewall regelmäßig zu warten und zu überprüfen.

Voraussetzungen:

  • Fortinet FortiGate Firewall mit aktivem Vertrag

07 Clientschutz

Ein Virenschutz für Windows schützt Sie vor Bedrohungen wie Ransomware, Cryptolocker und Hacker. Er ist benutzerfreundlich und läuft nahtlos im Hintergrund, um Ihren PC zu schützen.
ESET Endpoint Security Cloud erfüllt alle Anforderungen an die IT-Sicherheit in Ihrer Organisation. Das Zentrale Management biete viele Vorteile für Sie und den Administrator.

ESET ist nicht nur ein Virenschutz am Client, er bietet auch zusätzliche Möglichkeiten wie Geräte Kontrolle, Reglementierung von Cloud-Diensten und WLAN-Kontrolle.

Vorteile 

  • Blockiert Viren und Malware in Echtzeit
  • Verhindert, dass Hacker Ihren PC per Fernzugriff übernehmen
  • Sorgt dafür, dass Ihr Gerät schnell und reibungslos funktioniert
  • Mobile Endgeräte wie Android und IOS inkludiert
  • Gerätekontrolle (zB.: USB-Stick, externe Festplatten – Blockieren, Ausnahmen definieren…)
  • Blockieren oder Erlauben von Cloud Services (Facebook, Dropbox, Onedrive…)
  • Blockieren oder Erlauben von Internetseiten anhand von Kategorien

Voraussetzungen:

  • ESET Endpoint Security Cloud Lizenz

08 WLAN Absicherung

Bei Nutzung von WLANs muss man sich im Klaren sein, dass eine 100%ige Absicherung nur schwer möglich ist.
D.h. es gilt generell zu hinterfragen, für welche Anwendungen bzw. Anforderungen WLAN-Verbindungen verwendet werden sollen bzw. müssen.
Ist es zum Beispiel notwendig, dass Geräte, die mit dem WLAN verbunden sind, auf das interne Produktiv-Netzwerk zugreifen müssen oder benötigen diese Geräte nur eine Internetverbindung.
Generell sollten WLANs in einem eigenen, getrennten und regulierten Netzwerk betrieben werden.

Varianten:

  • WLAN nur für Internetzugriff
  • WLAN nur für Gäste
  • WLAN mit Zugriff auf Produktivnetzwerk und Benutzerverifizierung (WPA Enterprise)
  • WLAN mit Zugriff auf Produktivnetzwerk und gesicherter Verbindung (VPN)

Voraussetzungen:

  • Fortinet FortiGate Firewall mit aktivem Vertrag
  • Fortinet WLAN Access Point
  • WLAN Access Point

09 Netzwerk Segmentierung

Eine der Hauptbedrohungen sind kompromittierte Clients, auf denen ein Schadcode installiert wurde (Mail-Anhang, Internet-Link, Datenträger, Fernwartungen durch vermeintliche Supporter…) und über die sich die Angreifer immer tieferen Zugriff auf die Systeme verschaffen.

D.h. die Zugriffsberechtigungen der Clients bzw. Benutzer sollte sich auf das Minimum beschränken (Zero Trust) und das Produktivsystem (Benutzerbereich) sollte vom Managementbereich (Administrationsbereich) strikt getrennt werden.

Benutzerbereich:

  • Kontrollierter Zugriff auf die entsprechenden Daten bzw. Applikationen
  • Berechtigung je nach Gruppenzugehörigkeit (Buchhaltung, Technik…)

Managementbereich:

  • Betrieb der physischen Host Server
  • Bereich für die Datensicherung bzw. Disaster Recovery
  • Bereich für das Management der zentralen Netzwerkkomponenten (Firewall, Switche…)

Eine weitere Trennung der jeweiligen Bereiche (Server, Clients, Drucker, Büro, Produktion…) macht je nach Anforderung bzw. Netzwerkgröße durchaus Sinn und muss explizit geprüft werden.

Voraussetzungen:

  • Fortinet FortiGate Firewall mit aktivem Vertrag
  • Management Switch(e) / VLAN Switch(e)

10 Administrator Segmentierung

Bei einer Cyber Attacke versuchen die Angreifer an Informationen von Benutzern zu gelangen, die Administratorrechte haben, um damit tiefer in das System einzudringen.

D.h. zusätzlich zur Verwendung von komplexen Passwörtern ist es auch notwendig, dass normale Benutzer keine Administratorenrechte (auch nicht Lokal am Client) haben, keine Anmeldung als Administrator aus einer „ungesicherten“ Umgebung möglich ist und die jeweiligen Administrativen Aufgaben auf unterschiedliche Benutzer aufgeteilt werden.

Maßnahmen:

  • Benutzer haben keine lokalen Administratorrechte
  • Aus Clients bzw. Benutzerumgebungen ist kein Administrativer Zugriff möglich
  • Administrativer Remotezugriff (Fernwartung) ist nur aus gesicherten Bereichen möglich
  • Jede Administrative Aufgabe erhält einen eigenen Benutzer (Firewall, Server, Backup…)
  • Übliche Benutzernamen wie „Administrator“ oder „admin“ werden nicht verwendet bzw. deaktiviert

Mitarbeitersensibilisierung

Einer der Wichtigsten Sicherheitsfaktoren ist jeder Mitarbeiter bzw. Benutzer, der Zugriff auf die Systeme hat.
D.h. es ist ratsam die Mitarbeiter regelmäßig über die Sicherheitsmaßnahmen zu informieren, sie miteinzubeziehen und entsprechende Anweisungen zu definieren bzw. Informationen über sicherheitsrelevante Themen zu teilen.

Wichtige Punkte:

  • Vorsicht bei E-Mails mit Anhängen oder Links!
    Ist der Absender wirklich der Angegebene und Vertrauenswürdig?
  • Vorsicht bei Links auf Internetseiten!
    Ist die Internetseite seriös?
  • Niemals Bekanntgabe von Zugangsdaten via Mail oder telefonischer Anfragen!
    Keine Bekanntgabe oder Eingabe von Zugangsdaten!
  • Niemals fremde Datenträger anschließen bzw. verwenden!
    (USB Sticks, Festplatten…)
  • Werden die verwendeten Zugangsdaten Sicher aufbewahrt?
    Keine Passwörter als Notiz am Arbeitsplatz!
  • Niemals Fernwartungen mit unbekannten Personen durchführen!
    (Microsoft, Banken oder andere Hersteller würden diesbezüglich niemals, unaufgefordert bzw. direkt Kontakt aufnehmen)