Informationssicherheit

Wir unterstützen Sie bei der Konzeption, Implementierung sowie dem Betrieb von individuell auf Ihre Anforderungen zugeschnittenen IT-Sicherheitsarchitekturen. Dabei orientieren wir uns an etablierten Standards zum Aufbau eines Information Security Management System (BSI Grundschutz, ISO27k, VdS 3473). Durch die Einführung und Verbesserung geeigneter technischer und organisatorischer Maßnahmen (TOM) können wir in den meisten Projekten schon nach kurzer Analyse die größten Sicherheitsrisiken beseitigen und so schnell für messbar mehr Sicherheit sorgen.

Sie profitieren dabei von der langjährigen Erfahrung unserer Mitarbeiter mit RZ-Infrastrukturen verschiedenster Größe und unserer profunden Kenntnis etablierter Best Practices im Bereich IT-Sicherheit. Neben der Beratung und Konzepterstellung übernehmen wir die Beschaffung und Implementierung geeigneter IT-Sicherheits-Produkte (inklusive Lizenzberatung) und bieten bei Bedarf Betriebsunterstützung sowie Support (Remote oder vor Ort) an.

Zur Stärkung der IT-Sicherheit bieten wir Ihnen Dienstleistungen in den folgenden Bereichen:

  • Erstellen und Umsetzen eines individuell zugeschnittenen IT-Sicherheitskonzepts
  • Unterstützung beim Aufbau und Betrieb eines Security Operation Center (SOC)

Schulungen und Trainings

Zu den Lösungen der von uns angebotenen Security-Produkte und zu weiteren Themen der IT-Sicherheit bieten wir deutschlandweit Schulungen inhouse oder in unseren Trainingsräumen an. Durch die enge Zusammenarbeit mit unserem verbundenen Unternehmen, der niwis consulting GmbH, hat sich unser Angebot im Bereich Security nochmals erweitert.

Unsere Schulungen und Workshops zeichnen sich durch unsere Trainer mit umfangreichen Praxiserfahrungen aus und werden individuell auf Ihre Umgebung und Anforderungen angepasst.
Zudem bieten wir:

  • regelmäßige Webinare
  • mehrtägige Schulungen
  • offizielle Hersteller-Schulungen

Informationen zu den Terminen der Standardveranstaltungen erhalten Sie im Veranstaltungskalender der niwis consulting oder kontaktieren Sie uns für weitere Informationen.

Patchmanagement

Die meisten Angriffe durch Schadsoftware sind erfolgreich, weil Sicherheitslücken in installierter Software ausgenutzt werden. Dazu kommt es häufig, obwohl Patches zur Behebung der Sicherheitslücken oftmals vor Bekanntwerden der Lücken veröffentlicht werden. Es gibt also immer einen guten Grund, warum Hersteller Patches bereitstellen. Werden diese nicht eingespielt, ergibt sich eine größere Angriffsfläche für Schadsoftware und ein höheres Datenschutzrisiko.
Kann die IT-Abteilung die nötigen Ressourcen nicht zeitnah und regelmäßig bereitstellen, vergrößern sich die Angriffsfläche und das Zeitfenster der Verwundbarkeit.

Die häufigsten Gründe für das vernachlässigen des Patchen:

  • fehlende Informationen über Updates, Patches und Workarounds
  • fehlende Zeit um die Arbeiten auszuführen
  • zu wenige Wartungsfenster (mit genehmigter Nichtverfügbarkeit von Systemen)
  • schlechte Erfahrungen mit eingespielten Updates, die Probleme an Systemen zur Folge hatten, die zuvor störungsfrei liefen

Um der Notlage fehlender Ressourcen zu entkommen bietet anykey ihren Kunden und Partnern das Patchmanagement als Managed Service an. Die Consultants der anykey bringen Erfahrungen aus vielen unterschiedlichen Umgebungen mit und können so schnell und sicher beurteilen, ob ein Patch relevant und stabil ist. Natürlich ist jede Umgebung anders und im Zusammenspiel verschiedener Dienste ergeben sich individuelle Aufgabenstellungen. Daher ist es wichtig, dass der Patchmanagement-Prozess ordentlich ausgearbeitet und dokumentiert wird - was zur besonderen Expertise der anykey zählt.

Gerade für KMUs lohnt sich das Outsourcing des Patchmanagements. Soll der Prozess ganz oder teilweise automatisiert werden, fallen keine hohen Lizenzkosten für eine Management Suit an. In jedem Fall kann das Einstellen von hoch spezialisierten Fachkräften vermieden werden. In großen Umgebungen bietet sich eventuell die Betreuung der eigenen Lizenz durch externe Experten, oder auch die Unterstützung bei der Integration eines eigenen Dienstes an.

Sollte der Vulnerability Report aufzeigen, dass Ihre Umgebung keine oder nur wenige Sicherheitslücken aufweist, haben Sie ein funktionierendes Patchmanagement. In allen anderen Fällen funktioniert der Prozess offensichtlich nicht wie gewünscht und wir sollten gemeinsam über Lösungsmöglichkeiten sprechen.

Vulnerability Scan

Der Vulnerability Scan ist einer der ersten Schritte bei der Absicherung Ihres Unternehmensnetzwerks. Er hilft Schwachstellen (verwundbare Stellen, engl. Vulnerabilities) in Ihrem System zu identifizieren, die ein Angreifer ausnutzen könnte. Im Idealfall erkennen Sie durch den rechtzeitigen Scan die Sicherheitslücken, bevor jemand anderes diese ausnutzt.

Ziel ist es, die Dienste und Geräte zu identifizieren, die Sicherheitslücken aufweisen. Diese werden in einem Report ausführlich dokumentiert. Die anykey-Consultants analysieren den Report und besprechen mit Ihnen die Behebung der bestehenden Schwachstellen. Sofern gewünscht erhalten Sie natürlich auch hierbei fachliche Unterstützung.

Hochwertige und leistungsfähige Scanner kosten mehrere tausend Euro an Lizenzkosten und es braucht eine gewisse Qualifikation und Erfahrung, um diese Tools erfolgreich bedienen zu können. Eine sinnvolle Interpretation des Reports erfordert ebenfalls entsprechendes Know-how. Viele Unternehmer lassen sich durch die anfallenden Kosten abschrecken. anykey bringt das nötige Know-how, die langjährige Erfahrung und die stets aktuelle Zusammenstellung passender Werkzeuge mit.

Sie müssen so Ihr Budget weder mit Lizenzkosten noch mit der Bereitstellung von Ressourcen belasten und bekommen den Scan nach bewährten Methoden sowie eine aussagekräftige Zusammenfassung zu einem verbindlich vereinbarten Preis.

Im gemeinsamen Gespräch definieren wir den gewünschten Umfang (WAN-/LAN-seitig, einmalig/regelmäßig) und dokumentieren die Rahmenparameter. Auch wenn ein solcher Scan grundsätzlich keine besonderen Nebeneffekte hat und in der Regel während des normalen Tagesgeschäftes erfolgen kann, gilt jedoch: Je gründlicher der Scan, umso eher wird ein System darauf reagieren, wodurch es durchaus Performanceauswirkungen geben kann. Sollten Sie um besondere Lastzeiten ihrer Systeme wissen (z.B. ein Shopsystem), müssen Zeit und Umfang des Scans für solche Umgebungen sorgfältig geplant werden. Der Scan erfolgt nach den besprochenen Richtlinien. Der zuständige Consultant wertet die Ergebnisse aus und erstellt einen Bericht. Es ist nun definiert, welche Mängel zu beheben sind. Falls gewünscht, beheben wir gemeinsam alle gefundenen Mängel und dokumentieren mit Ihnen das erreichte Sicherheitsniveau durch einen erneuten Scan mit abschließendem Report.

Um das erreichte Sicherheitsniveau auch zukünftig zu halten, unterstützen wir Sie auf Wunsch bei Ihrem Patchmanagement oder einem regelmäßigen Vulnerability Scan als Managed Service. Empfehlenswert ist der Vulnerability Scan grundsätzlich nach jeder relevanten Veränderung der Systeme und im Idealfall in einem festgelegten Intervall. Wir helfen Ihnen auch dabei einen nachhaltigen Prozess aufzusetzen, zu implementieren und diesen nach gängigen Standards zu dokumentieren. 

Hardening

Das Härten von Systemen ist das Entfernen oder Deaktivieren aller nicht benötigten Softwarebestandteile und Funktionen eines Systems sowie die Prüfung, ob die bereitgestellten Dienste als sicher konfiguriert einzustufen sind. Dabei werden Dienste entfernt, die für die Funktion des Systems nicht notwendig oder nicht ausreichend sicher sind. Dadurch stehen diese potenziellen Angreifern nicht mehr als Angriffspunkte zur Verfügung. Zudem werden die Rechte für Benutzerkonten und Dateisystemzugriffe auf das Nötigste beschränkt.

Da Angriffe oftmals durch eine Kombination verschiedener Methoden erfolgreich sind, lässt sich die Sicherheit der Systeme durch das Hardening in der Regel deutlich steigern. Als positiver Nebeneffekt wird der Umfang des Patch- und Schwachstellenmanagements verringert.

Eine Systemhärtung setzt eine dokumentierte Vorgabe des Soll-Zustands voraus. Diese Vorgabe beschreibt für jedes Betriebssystem die zu deaktivierenden Komponenten sowie die zu implementierenden Abweichungen vom Standard des Betriebssystems (Configuration Baseline). Der Soll-Zustand muss auf jedem System hergestellt und regelmäßig überprüft werden. Im laufenden Betrieb müssen Abweichungen vom vorgegebenen Zustand erkannt, gemeldet und korrigiert werden. Idealerweise wird das Hardening beim Aufsetzen jedes neuen Systems automatisch durchgeführt. Die Baseline ist also Teil der Standardinstallation für das jeweilige Betriebssystem. Für Systeme mit zusätzlichen Anforderungen müssen Ausnahmen beschrieben werden. Bei der Ausgestaltung und Umsetzung der Hardening-Richtlinie orientieren wir uns an den etablierten Vorgaben des CIS und der ISO7002:2013.

Die Vorgaben für die Härtung der eingesetzten Betriebssysteme entwickeln wir gemeinsam mit den EDV-Verantwortlichen Ihres Unternehmens. Hierbei gehen wir von den Benchmarks des Center for Internet Security aus und passen die Vorgaben an die Gegebenheiten Ihrer Umgebung an. Die Richtlinien enthalten konkrete und überprüfbare Vorgaben für jede Betriebssystemvariante. Bestenfalls definieren wir gemeinsam die Schnittstellen des Hardening-Prozesses zum Konfigurationsmanagement und zum Changemanagement.

Wir prüfen den aktuellen Stand der Systeme auf Compliance mit der Hardening-Richtlinie und dokumentieren die Abweichungen. Hierzu entwickeln wir für Sie Skripte, die eine automatische Überprüfung der Systeme ermöglichen. Die eigentliche Prüfung kann dann mittels vorhandener System-Management-Tools erfolgen (z.B. BladeLogic).

Sofern bereits ein Risikomanagement eingeführt ist, kann das geprüfte Hardening dort positiv vermerkt werden.

Weiterführende Links:
CIS CSC 3
ISO 27002:2013

Datenschutz

Datenschutz, Informationssicherheit und IT-Sicherheit, diese Begriffe stehen für leicht unterschiedliche Sichtweisen auf eine zentrale Aufgabe: Das Informationssicherheitsmanagement. Die anykey bietet sowohl Expertise zu den technischen, als auch zu den organisatorischen Aspekten des Datenschutzes. Wir helfen Kunden bei der Vorbereitung auf Audits (ISO 27000'er, BaFin MaRisk und BAIT, BSI Grundschutz sowie anderen Sicherheitsstandards), beim Implementieren von Compliance und Security Controls, von Sicherheitsprozessen sowie bei der Durchführung von technischen Maßnahmen zur Erhöhung des Sicherheitsniveaus.

Hier erhalten Sie weitere Informationen zur Datenschutz Grundverordnung (EU-DSGV).