Bürozeiten
Mo-Fr 8-17 Uhr
Sicherheit ist nicht alles. Aber ohne Sicherheit ist alles nichts.
Es ist selbstverständlich, dass Sicherheitsaspekte neben Funktionalität, Kapazität, Effizienz und Verfügbarkeit beim Betrieb einer IT-Infrastruktur eine zentrale Rolle spielen. Hinzu kommen die in den letzten Jahren verstärkt in den Fokus geratenen Anforderungen an den Datenschutz, u.a. gesetzlich definiert in der „Datenschutzgrundverordnung“ (DSGVO).
Im Managed IT-Services definieren wir VIT Security als ganzheitlichen, systematischen, auf die bestmögliche Definition, Einhaltung und kontinuierliche Kontrolle des IT-Sicherheitsstatus eines Unternehmens gerichteten Leistungs- und Maßnahmenkatalog, der auch die organisatorischen und technischen Aspekte des Datenschutzes einschließt, soweit sie mit Informationstechnologie im Zusammenhang stehen.
Mit dieser Definition grenzen wir uns deutlich von Marktbegleitern ab, für die Managed Security sich auf das bloße Bereitstellen und Betreiben von standardisierten Sicherheitselementen beschränkt.
Unsere VIT Managed Security-Services fügen sich in Ihr IT-Service Management ein.
Unser VIT Security-Servicekatalog umfasst:
Vorschlag einer verbindlichen betrieblichen Sicherheitspolicy einschließlich durch den IT-Betrieb umzusetzender Datenschutzrichtlinien
Identifikation sicherheitskritischer Systeme und Schnittstellen innerhalb der IT-Infrastruktur
Vorschlagen und nach Bestätigung durch den Auftraggeber das Umsetzten von Maßnahmen des physischen und organisatorischen Datenschutzes
Bereitstellung von geeigneten Funktionen zur Gewährleistung von Dokumenten- und insbesondere von eMail-Sicherheit
Klassifizierung, Freigabe, Zuweisung oder Sperrung von Anwendungen und Diensten unter Sicherheitsgesichtspunkten
Sicherheitsklassifizierung der Serverinfrastruktur einschließlich Maßnahmen zur Serverabsicherung und „-härtung“
Sicherheitsklassifizierung der internen Netzwerkinfrastruktur einschließlich Maßnahmen zur internen Netzwerksicherheit wie Netzwerksegmentierung, VPN usw
Sicherheitsklassifizierung der Netzwerkschnittstellen einschließlich Maßnahmen zur Absicherung (Firewallkonfiguration, Sicherheits-Proxys, Application Level-Filter, Einsatz von Unified Threat Management Systemen (UTM), Intrusion Detection/Prevention Systeme (IDS/IPS) usw.)
Absicherung externer Verbindungen (Homeoffice/mobiles Arbeiten)
Regelmäßiges oder permanentes Sicherheitsmonitoring
Organisation, Durchführung, Überwachung und Protokollierung aller Maßnahmen der Datensicherung, einschließlich Sicherheits- und Replikationsmaßnahmen zur Wiederherstellung vollständiger Systeme
Entwickeln und Testen von Worst-Case-Szenarien mit dem Ziel der schnellen Systemwiederherstellung im Notfall
Kontinuierliche Überprüfung und wenn erforderlich Anpassung der Sicherheitsmaßnahmen
Alle Leistungen und Bedingungen Ihres VIT Managed Security-Servicepakets definieren wir gemäß Ihrer Anforderungen transparent und nachvollziehbar in den Service-Level-Agreements (SLA).
In unserem ganzheitlichen Servicekonzept VIT-Full Site Service sind ausgewählte Elemente des VIT Managed Security-Service ein integraler Bestandteil.
Die Zahl, Intensität und negative Professionalität von Cyberangriffen haben in den letzten Jahren deutlich zugenommen. Keineswegs sind nur die „Großen“ davon betroffen. Auch Mittelständische und kleine Unternehmen geraten ins Visier Krimineller.
Letztlich verhindern kann man einen Angriff nicht. Man kann sich nur so gut wie möglich vorbereiten und schützen. Es sollte aber im Bewusstsein bleiben, dass auch umfassende Schutzmaßnahmen nur relative Sicherheit gewährleisten können.
Im Folgenden finden Sie einige Punkte, die Ihnen helfen, Ihr Schutzniveau zu verbessern.
Daten richtig sichern und aufbewahren
Daten richtig und regelmäßig zu sichern ist ein elementarer Bestandteil eines guten IT-System-Managements. Dazu sollte ein Backup-Konzept erstellt werden, welches den unternehmerischen/institutionellen Anforderungen Rechnung trägt.
Dieses Backup-Konzept enthält ebenfalls Angaben zum Wie und Wo der Datensicherung und -aufbewahrung. Denn aktuelle Angriffe mit Verschlüsselungstrojanern (Ransomware) befallen auch angeschlossene Datensicherungen und verschlüsseln diese ebenfalls. Daher ist eine vom System physisch getrennte Aufbewahrung der Datensicherung wichtig, das sogenannte Offline-Storage.
Gern sind wir Ihnen bei der Erstellung Ihres individuellen Backup-Konzepts behilflich.
Update- und Patchmanagement
Bei der Entwicklung von Software ist davon auszugehen, dass die Programmierer Sorgfalt hinsichtlich der IT-Sicherheit ihrer Produkte walten lassen. Jedoch bleibt es auf Grund der Komplexität moderner IT-Systeme und Programme nicht aus, dass nach der Veröffentlichung kritische Fehler gefunden werden, die so schnell als möglich behoben werden müssen. Idealerweise bevor Kriminelle diese als Einfallstore entdecken und ausnutzen. Umfangreichere Aktualisierungen einer Software werden in Form von Updates zur Verfügung gestellt, einzelne Softwarekorrekturen werden durch sogenannte Patches behoben. Updates und Patches müssen regelmäßig geprüft und für die eigenen Systeme bereitgestellt werden.
Unterbrechungsfreie Stromversorgung (USV)
Trotz moderner Technik der Energieversorgung ist das Auftreten von kürzeren oder längeren Stromschwankungen, -unterbrechungen und Stromausfällen generell nicht auszuschließen. Insbesondere Server- und Speichertechnik reagiert bekanntlich sehr sensibel auf Probleme mit der Energieversorgung. Das Schadensszenario kann sich von Hardwareschäden bis zu Datenverlusten erstrecken.
Eine richtig eingestellte USV überbrückt kürze Stromausfälle und -schwankungen und sorgt bei längerem Ausfall für ein geordnetes Herunterfahren aller angeschlossenen Geräte.
Sie möchten eine unterbrechungsfreie Stromversorgung für Ihr IT-Netzwerk? Wir beraten Sie gern zu diesem Thema und finden eine passende Lösung für Ihr System.
IT-Sicherheitstraining
Dem Menschen als Nutzer von IT kommt im Rahmen der Diskussion über IT-Sicherheit eine zentrale Bedeutung zu.
Für die Belange der IT-Sicherheit sensibilisierte und geschulte MitarbeiterInnen sind ein wichtiger Baustein in Ihrem IT-Sicherheitskonzept.
Mit speziellen Trainings und kleinen Erinnerungen sorgen wir dafür, dass Ihre MitarbeiterInnen sensibilisiert werden und es bleiben.
Daten verschlüsseln
Insbesondere mobile Endgeräte, aber auch Arbeitsplatzcomputer, die, z.B. bei einem Einbruch einfach mitgenommen werden können, sollten verschlüsselte Datenträger verwenden. Damit soll sichergestellt werden, keine Unberechtigten Zugriff auf die Ihre gespeicherten Daten bekommen können.
Firewalls
Eine korrekt konfigurierte Firewall ist ein wichtiger Baustein jeder Sicherheitsarchitektur. Sie verhindert unerwünschten Datenverkehr und schützt vor Angriffen über die Netzwerkinfrastruktur, von Extern oder auch aus dem eigenen Netz heraus. Schützen auch Sie Ihre IT-Netzwerke, Anwendungen und Daten vor unerwünschten Besuchern.
Anti-Virus-Software
Eine Anti-Virus-Software schützt Ihre Computer, Anwendungen und das IT-Netzwerk vor bekannten Schadprogrammen wie „Viren“ und „Trojaner“. Diese Schutzfunktionen können jedoch nur so zuverlässig sein, wie Ihre Anti-Virus-Software aktuell ist. Achten Sie stets darauf.
Spamfilter
Spamfilter, sofern sie richtig eingestellt sind, helfen dabei, Ihr elektronisches Postfach sauber zu halten. Die als Spam bezeichneten Massen-E-Mails enthalten nicht nur unerwünschte Werbung, sondern oft auch Schadprogramme, die teilweise große Schäden im IT-System verursachen können. Dazu gehören auch die teils katastrophalen Auswirkungen der grassierenden „Verschlüsselungstrojaner“, die in der Lage sind, den kompletten Datenbestand eines Unternehmens durch Verschlüsselung unbrauchbar zu machen.
Passwort-Safe
Passwörter begleiten uns in vielen Lebenslagen. Sichere Passwörter sind meist kompliziert, lang und schlecht zu merken.
Daher empfehlen wir die Nutzung von Passwort-Safes. Das sind kleine Programme, in denen sich strukturiert Log-In-Daten sicher aufbewahren lassen. Merken muss man sich nur ein einziges (Master-) Passwort.
Ein Pkw muss regelmäßig zur TÜV-Untersuchung, bei der insbesondere die sicherheitsrelevanten Komponenten geprüft werden. Wie bei einem Fahrzeug Teile verschleißen, so veralten auch die Sicherheitskomponenten eines IT-Systems, da die Cyberkriminalität sich leider stetig weiterentwickelt. Deshalb sollte regelmäßig geprüft werden, ob ein IT-System gegen die bekannten Bedrohungen ausreichend geschützt ist.
Mit dem VIT Sicherheits-Checkup überprüfen wir Ihre IT. Lassen Sie uns gemeinsam Ihren individuellen Sicherheits-Checkup zusammenstellen und durchführen.
Schritt 1: Struktur-, Zustands- Anforderungsaufnahme
Aufnahme der logischen und physischen Struktur des betrieblichen IT-Systems
Aufnahme aller internen betriebskritischen Systeme, Anwendungen, Funktionen und Abhängigkeiten (betriebliche Funktion, Kritikalität, Worst-- Case, Auswirkung, Toleranzschwelle)
Aufnahme aller kritischen Schnittstellen, Schnittstellenfunktionen, externen Funktionen und Dienste (betriebliche Funktion, Kritikalität, Worst-Case, Auswirkung, Toleranzschwelle)
Aufnahme der betrieblich-organisatorischen Funktionen mit Kritikalität und Priorität
Zustandsanalyse des IT-Systems (Lastzustände, Versionsstände, technische Alterung, Wartungsintervalle, End of Lifetime-Prognosen, …)
Schritt 2: Maßnahmen-Checkup IST-Zustand
Daten- und Systemsicherheit:
Stand der Absicherung gegen Sicherheitsvorfälle von außen (Firewall, DMZ, VPN, IDS/IPS, Monitoring, … )
Stand der Absicherung gegen Sicherheitsvorfälle von innen ( Passwortregelungen, Zugangsregelungen, Kontrollfunktionen, Sicherheitstools, …)
Betrieblich-organisatorische Standards zu Daten- und Systemsicherheit (betriebliche Regelungen und Dienstanweisungen, MA-Schulungen, MA-Überprüfungen, Verwendung von Signaturen und Verschlüsselungen, …)
Softwarebezogene Maßnahmen und betriebliche Standards (Richtlinien für Softwarefreigabe und -einsatz, Update- und Patchmanagement, Lizenzmanagement, … )
Maßnahmenstand der technischen und funktionalen Redundanz:
Redundanz auf System- und Komponentenebene (HW) (Serverkomponenten, Server, Endsysteme, Netzwerkkomponenten Sicherheitskomponenten, RAID, USV, …)
Redundanz auf Funktionsebene (WAN-Zugänge/Internet, Serverfunktionen, VMs, Failover-Funktionen, RAID-Konfigurationen, USV-Management, …)
Praktizierte Datensicherung (technische Realisierung, Organisation, Turnus, Umfang, Kontrollmechanismen, Verantwortlichkeiten, Dokumentation, Wiederbereitstellung, …)
Praktizierte Datenarchivierung (zyklische Auslagerung und Archivierung von Sicherungsdaten, sicherungsunabhängige Datenarchivierung, E-Mail-Archivierung, … )
Datenschutzanforderungen (soweit beim Checkup der Daten- und Systemsicherheit noch nicht erfasst)
Explizite Datenschutzanforderungen (Vorgaben aus dem betrieblichem Datenschutzhandbuch bzw. der Datenschutzbeauftragten):
Klassifizierung von betrieblichen Daten im Sinne der DSGVO
Datenschutzrechtliche Anforderungen, Regelungen und Absicherungen (personenbezogene Daten, Fremd- und Auftragsdaten, Vereinbarungen mit Externen, Außenauftritte/Websites, E-Mail, Datenlöschung, … )
Schritt 3: Aktive kontrollierte und protokollierte Sicherheitstests
Komponentenausfalltests von:
USV-Funktion
RAID-Funktion
Failover-Funktion
Wiederanlaufzeiten
Wiederbereitstellungszeiten
Wiederbeschaffungszeiten
Notbetrieb
Funktionsausfalltest (Anwendungen, WAN/Internet, E-Mail, VPN, … ):
Wiederherstellungszeit virtueller Maschinen (VMs)
Wiederherstellungszeit von Anwendungen
Wiederherstellbarkeit und Wiederherstellungszeit von Datenbeständen(kurz-, mittel- und langfristig)
Wiederzugriff auf archivierte Datenbestände
Simulation von Sicherheitsfällen:
Netzwerkpenetration
Ausbreitung von Schadsoftware
Sensibilität und Reaktion der Nutzer in sicherheitskritischen Situationen
Überlastszenarien (DoS-Angriffe)
Social-Engineering-Szenarien
Passwortverwendung
Schritt 4: Auswertung des IT-Sicherheitszustandes und der Testresultate
Auswertung der Zustands-Checkups (Ihr Management und IT-Fachpartner)
Auswertung der aktiven Sicherheitsprüfungen (Ihr Management und IT-Fachpartner)
Auswertung der Situation des betrieblichen Datenschutzes (Ihr Management und IT-Fachpartner unter Einbeziehung der/des Datenschutzverantwortlichen)
5: Maßnahmenempfehlungen bzw. -festlegungen
Im Ergebnis der durchgeführten Prioritätensetzungen, Checkups, Tests und Auswertungen werden technische und organisatorische Maßnahmen vorgeschlagen und ihrerseits mit Prioritäten versehen, um aufgedeckte Schwachstellen zu beheben bzw. das IT-System stabil und zukunftsfähig auszurichten.
Alle Schritte des Sicherheits-Checkup werden vollständig dokumentiert und Ihrem Management zur Verfügung gestellt.
In unserem ganzheitlichen Servicekonzept VIT-Full Site Service ist der VIT IT-Sicherheitscheck ein integraler Bestandteil.