Schlagwortarchiv für: Zugriffskontrolle

IT-Security – Eine Frage der Dynamik?

,

Lesedauer: ca. 3 Min

Dass Kriminelle oft schneller und weiter sind als die Kriminalisten, ist bekannt. Das gilt auch und umso mehr für die Cyber-Kriminalität. Deshalb schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in dem auf seiner Webseite veröffentlichtem Bericht „Die Lage der IT-Sicherheit in Deutschland 2020“:

„Wie wichtig Flexibilität und Praxisorientierung im Bereich der Cyber-Sicherheit sind, wird auch am Beispiel der Corona-Krise deutlich. Denn diese hat gezeigt, wie adaptionsfähig auch Cyber-Kriminelle sind und welche Bedrohungslage daraus entstehen kann. Das BSI beobachtete eine Zunahme von Cyber-Angriffen mit Bezug zur Corona-Thematik auf Unternehmen ebenso wie auf Bürgerinnen und Bürger.“

Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.pdf?__blob=publicationFile&v=2 (Seite 80)

Und auf Focus Online stand im Dezember zu lesen:

„Mittwoch, 23.12.2020 | 12:43
Ein Hackerangriff legt die Produktion des deutschen Aromaherstellers und Dax-Kandidaten Symrise lahm. Es ist das nächste Beispiel dafür, dass eine bestmögliche Cyber-Sicherheit im Zeitalter der Digitalisierung für Unternehmen essenziell ist. …
Der Hersteller von Duft- und Aromastoffen aus dem niedersächsischen Holzminden ist unter der Woche das nächste, prominente Opfer von Cyber-Kriminalität in Deutschland geworden. Unbekannte Täter sollen ein Virus installiert haben. Die Behörden ermitteln. Bis der Sachverhalt geklärt ist, steht ein Konzern mit einem Jahresumsatz von 3,4 Milliarden Euro und über 10.000 Mitarbeitern quasi still. In einem eng getakteten Wertschöpfungs- und Lieferkettensystem eine wirtschaftliche Katastrophe. Für das Unternehmen selbst, wie auch für Zulieferer und Abnehmer.“

Quelle: https://www.focus.de/finanzen/boerse/aktien/s-s_id_12783995.html

Was das für Unternehmen bedeutet

IT-Security ist nicht nur essenziell, sie ist auch weder statisch noch eine einmalige Angelegenheit. Vielmehr fordert sie Unternehmen und Mitarbeiter – vor allem auch diejenigen, die seit Corona im Home-Office arbeiten – immer wieder heraus.

Das betrifft die Bereiche:

  • IT-Sicherheit
  • Computersicherheit
  • Datensicherheit
  • Datensicherung
  • Datenschutz

Auch wenn sich diese Bereiche teilweise überschneiden, so erfordern Sie doch unterschiedliche Sicherheitsinstrumente und Sicherheitsmaßnahmen. Beides möglichst aufeinander abgestimmt und in regelmäßigen Abständen angewendet. Am besten noch durch externe Sicherheitsexperten, denn die haben eine gewisse Distanz zu den ansonsten eingefahrenen Abläufen und Prozessen in den Unternehmen und damit eher die Chance, Schwachstellen, die immer wieder neu und anders entstehen können, aufzudecken.

Was können IT- bzw. Management-Verantwortliche tun?

Beginnen Sie damit, Informationssicherheit als einen dynamischen Zyklus zu verstehen. Nach einem Penetrationstest und der Ermittlung des Sicherheitsstandes werden die erforderlichen Sicherheitsmaßnahmen implementiert und umgesetzt. Dann folgen regelmäßig wiederkehrende Prüfungen, ob die ermittelten Risiken weiterhin erfolgreich beseitigt oder neue hinzugekommen sind. Dabei werden die technischen wie auch organisatorischen sowie infrastrukturellen Voraussetzungen geprüft und entsprechende Maßnahmen besprochen, die die Sicherheit optimieren.

Fragen Sie einfach unsere Sicherheitsexperten nach der Basisprüfung ITQ. Sie beraten Sie gerne und besprechen mit Ihnen die relevanten Sicherheitsbereiche hinsichtlich Ihrer Geschäftsprozesse, IT-Anwendungen, IT-Systeme und betriebsrelevanten Räumlichkeiten des Unternehmens. Einen Termin dazu können Sie gerne auch online vereinbaren. Zur online Terminvereinbarung geht es hier.

/von

ITQ: mehr als nur Sicherheit?

, ,

Lesedauer: ca. 4 Min

ITQ, diesen Begriff haben Sie sicherlich schon einmal im Schneider + Wulf Universum gehört. ITQ ist ein Prüfsystem, mit dem Unternehmen gesetzliche Anforderungen erfüllen und sich auf Herz und Nieren prüfen lassen können. ITQ gehört zum Schneider + Wulf Portfolio und unsere Kunden zeigen sich regelmäßig begeistert davon! Aber warum?

https://schneider-wulf.de/wp-content/uploads/2021/03/Schneider-Wulf-Referenz-ITQ-Bastian-Tambe-Jaeger-Direkt.jpg

„Wir haben Schneider + Wulf kennengelernt als einen Partner auf Augenhöhe. Die ITQ Basisprüfung durchzuführen war eine sehr gute Entscheidung. Jetzt haben wir Klarheit, wo wir mit der IT Sicherheit stehen. Auf dieser Basis können wir jetzt gemeinsam Entscheidungen treffen, um mit einem guten Gefühl die IT Sicherheit proaktiv weiterzuentwickeln. Auch bei diesen nächsten Schritten hat uns Schneider + Wulf zielorientiert beraten und pragmatische Lösungen erarbeitet, die ins gesteckte Budget passen.

Bastian També
Geschäftsführer Jäger Direkt

Warum ist ITQ das richtige für Ihr Unternehmen?

Das ITQ-Prüfsystem ist optimal angepasst für KMU und hat sich über die Jahre immer weiter entwickelt. Mit unserem Fragebogen und unserer regelmäßigen Abfrage haben Sie die Sicherheit, gesetzliche Anforderungen zu erfüllen und können Ihre unternehmerische Sorgfaltspflicht nachweisen. Außerdem schaffen Sie perfekte Bedingungen für ISO- und DIN-Zertifizierungen, als deren Vorbereitung eine ITQ-Prüfung angesehen werden kann.

Hand aufs Herz: eine interne Prüfung hat häufig ein anderes Ergebnis, als wenn unabhängig geprüft wird. Allein die eigene „Unternehmensbrille“ verschleiert den Blick auf viele Themen. Darüber hinaus schonen Sie intern wichtige Ressourcen – und bezahlbar ist ITQ auch!

Wie läuft eine ITQ-Prüfung ab?

Am Anfang jeder ITQ-Prüfung steht ein Kick-off Webinar. Hier sind zuerst Sie am Zug: wie ist Ihre IT aufgestellt, was ist vorhanden? Wir sehen uns gemeinsam Dokumentationen, Netzwerkpläne und Vereinbarungen an. Parallel bearbeiten wir den ITQ-Fragebogen, aus deren Beantwortung sich erste Rückschlüsse auf die Qualität Ihrer Unternehmenssicherheit ziehen lassen.

Im Anschluss erfolgt eine Prüfung vor Ort. Wir sprechen mit den Machern, also Ihren ITlern, Sicherheitsbeauftragten, etc. Wir besichtigen Ihre IT-Räume und prüfen Aushänge, Ordner, etc.

Im Anschluss erhalten Sie einen maßgeschneiderten Maßnahmenkatalog, aus dem schnell klar wird, wo Sie Nachholbedarf haben, aber auch, wo Sie bereits gut oder sehr gut aufgestellt sind.

Im Anschluss machen wir auf monatlicher Basis weiter: was hat sich getan, wo sehen Sie und wir Fortschritte, welche Themen gehen wir als nächstes an? Unsere Berater unterstützten Sie kompetent und zeigen Ihnen mögliche Szenarien auf.

Warum ist der ITQ-Check mehr als nur eine reine „Sicherheitsdienstleistung“?

Wir meinen: mit keinem anderen Sicherheitscheck beurteilen Sie diverse Sicherheitsaspekte in Ihrem Unternehmen ganzheitlicher als mit ITQ. Neben Abfragen zu Firewalls, Passwortsicherheit und mehr, sind auch auf den ersten Blick unübliche Themen, wie Sicherheit in Form von Brandschutz und erster Hilfe Teil der Befragung. Aufgrund diesen ganzheitlichen Blickes empfehlen wir ITQ sehr gerne!

Neugierig geworden?

Lassen Sie sich gerne von uns unverbindlich beraten. Die Erstberatung ist dabei sogar kostenlos. Einfach hier einen Termin vereinbaren.

Autor: Sebastian Gottschalk

/von

Passwortdiebstahl in Unternehmen – so schützen Sie sich!

,

Lesedauer: ca. 3 Min

Gerät ein Passwort in die falschen Hände, kann das für ein Unternehmen sehr unangenehm werden. Mögliche Folgen reichen vom Image-Verlust über finanzielle Schäden bis zur Gefährdung der Existenz der Firma. Wie Sie das Unternehmen und Ihre Mitarbeiter vor Passwortdiebstahl schützen, verrät Ihnen unser aktuellster Blog-Beitrag.

Mitarbeiter sensibilisieren und sichere Passwörter verwenden

Der Mensch ist ein wichtiger Faktor, um den Diebstahl von Passwörtern zu verhindern. Es ist daher entscheidend, die Mitarbeiter hinsichtlich möglicher Gefahren und eines verantwortungsvollen Umgangs mit Passwörtern zu sensibilisieren. Die typischen Methoden der Cyber-Kriminellen wie Phishing, Brute-Force-Angriffe, Keylogger oder Malware müssen den Mitarbeitern bekannt sein.

Selbstverständlich sollte es sein, dass im Unternehmen keine leicht zu erratenden, sondern sichere Passwörter verwendet werden. Typische Standardpasswörter wie “12345678”, “qwertzu” oder “passwort” sind tabu. Die Zeichenkombinationen sollten eine Mindestkomplexität aufweisen und für jeden Service unterschiedlich sein. Damit Sie den Mitarbeitern den Umgang mit komplexen Passwörtern erleichtern und kein unnötiger Frust entsteht, empfiehlt sich der Einsatz eines Passwort-Managers beziehungsweise eines unternehmensweiten Passwort-Managements. Solche Lösungen generieren auf Knopfdruck sichere Passwörter und reduzieren den Aufwand der Passwortverwaltung.

Multi-Faktor-Authentifizierung einsetzen

Mit dem Einsatz der Multi-Faktor-Authentifizierung heben Sie die Passwortsicherheit in Ihrem Unternehmen auf ein deutlich höheres Niveau. Selbst wenn ein Passwort in die Hände eines Cyber-Kriminellen gerät, ist es ihm noch nicht möglich, sich unter fremder Identität anzumelden. Er benötigt zur Authentifizierung einen weiteren vom Passwort unabhängigen Faktor wie eine per SMS versandte PIN, eine Identity-Card oder ein biometrisches Merkmal wie einen Fingerabdruck. Aus diesem Grund sollte die Multi-Faktor-Authentifizierung dort, wo sie unterstützt wird, die bevorzugte Authentifizierungsmethode sein.

Weitere IT-Sicherheitslösungen zur Verhinderung des Passwortdiebstahls

Technische Sicherheitslösungen wie Firewalls, Intrusion Detection und Intrusion Prevention Systeme (IDS und IPS), mobiles Geräte-Management (MDM), Viren-Scanner oder Mail-Filter schützen nicht nur die IT-Umgebung Ihres Unternehmens, sondern tragen auch zum Schutz Ihrer Passwörter bei. Sie verhindern, dass Unbefugte in Ihre Systeme oder Netzwerke eindringen, schädliche Software installieren, Server, Client-Rechner oder mobile Endgeräte kompromittieren und Passwörter stehlen. Darüber hinaus ist stets darauf zu achten, dass sämtliche im Unternehmen eingesetzte Software auf dem aktuellsten Stand ist. Verfügbare Updates oder Sicherheits-Patches sind zeitnah einzuspielen.

Möchten Sie Ihr Unternehmen zuverlässig vor Passwortdiebstahl schützen und sich über verfügbare Lösungen informieren, stehen Ihnen die Sicherheitsexperten von Schneider + Wulf mit Rat und Tat zur Seite. Gerne übernehmen wir die Implementierung einer optimalen Lösung und weisen Ihre Mitarbeiter ein. Melden Sie sich jetzt direkt bei Schneider + Wulf und buchen Sie eine kostenlose Erstberatung.

Autor: Sebastian Gottschalk

/von

Ihren Ausweis, bitte – Netzwerkzugriffe reglementieren

,

Lesedauer: ca. 3 Min

Wenn wir Sie spontan fragen würden, ob Sie wissen, wer welchen Zugriff auf Ihr Firmennetzwerk hat … hätten Sie eine Antwort? Können Sie sagen, wer Ihr Gäste WLAN benutzen kann, weil er in der Vergangenheit schon einmal Zugang dazu erhalten hat? Werden weitere Fremdzugriffe verhindert und Zugriffe generell protokolliert?

Unbefugte Netzwerkzugriffe haben gravierende Auswirkungen auf Unternehmen – die Gefahr eines Datenklaus ist akut. Und wenn einzelne Komponenten innerhalb des Netzwerks unbemerkt infiziert werden, geschieht dies über einen längeren Zeitraum.

Um solche Situationen zu vermeiden (und ihr Unternehmen auf diesem Gebiet rechtsicher zu machen) ist es sinnvoll, das Netzwerk mit einem Werkzeug zur Zugriffskontrolle zu versehen. Zumal selbst eine funktionierende Firewall kein Garant für besagte Sicherheit ist – mobile Endgeräte (vor allem BYOD) und Cloud-Anwendungen sind klassische Einfalltore in sensible Bereiche.

Unter all diesen Gesichtspunkten macht eine Zugriffskontrolle (und – in Erweiterung – Identitätskontrolle) Sinn. Wer mit welchen Geräten auf welche Systemressourcen zugreifen kann, lässt sich damit lückenlos erfassen bzw. reglementieren. Im Englischen hat sich in diesem Zusammenhang das Kürzel IAM (für Identity and Access Management) etabliert.

In diesem Zusammenhang wird grundlegend zwischen 2 Arten der Zugriffskontrolle unterschieden: Der physischen (Zugangslimitierung zu Arealen, Gebäuden und Räumen) und der logischen (Zugangslimitierung zu Netzwerken, Ordnern und Dateien). Zudem spricht man von 4 primären Kategorien:

– Verbindlicher
– Frei (vom Anwender) bestimmbarer
– Rollen-basierter und
– Richtlinien-basierter Zugriffskontrolle

Entsprechende Anwendungen fungieren als ‘digitaler Türsteher’. Neben den Zugangsdaten zum Unternehmens-WLAN werden weitere personenbezogene Informationen abgefragt, um sich im wahrsten Sinne des Wortes auszuweisen und so Zugang zu erhalten. Diese Informationen sind im Netzwerk selbst hinterlegt (z.B. in der AD) und bedürfen deshalb administratorseitig keiner doppelten Pflege. Abgefragt werden Anmeldeinformationen wie Passwörter, PINs, biometrische Scans oder physische bzw. elektronische ‘Schlüssel’.

Ist das System zur Zugriffskontrolle entsprechend ausbaufähig bzw. zukunftssicher, sind damit noch etliche weitere Parameter konfigurier- und zum Zwecke der Netzwerksicherheit anwendbar:

– Ungewöhnliche Anmeldezeiten oder -situationen werden berücksichtigt
– Die Einwahl aus dem Home Office, aus Filialen oder einem Tochterunternehmen wird entsprechend reglementiert
– BYOD und Unternehmens-Hardware werden individuell betrachtet
– Arbeitszeiten haben Auswirkungen auf die Zugriffsrechte
– Auf von der Norm abweichenden Netzwerkverkehr wird hingewiesen

In der Praxis kann die Unternehmensleitung so z.B. festlegen, dass Kollegen bei einem Netzwerkzugriff nach Feierabend oder am Wochenende nur Mails abrufen können; weiterführende Zugriffsrechte gibt es dann nicht. Und falls der Kollege mit dem festinstallierten PC im Büro sich auf einmal per VPN mit einem Privat-Laptop anmeldet, können weiterführende Maßnahmen zur Wahrung der Netzwerksicherheit eingeleitet werden.

IAM-Systeme lassen sich recht unkompliziert und am besten in mehreren Projektschritten im Unternehmen einführen: Zuerst werden die Mitarbeiterzugriffe kontrolliert. Greift das hier definierte Regelwerk, aktiviert man die Anwenderauthentifizierung. Im Gegensatz zu einer traditionellen Lösung über feste IP-Adressen wird so übrigens sowohl die Hardware als auch die Personen dahinter geprüft (ganz abgesehen vom geringeren Umsetzungsaufwand).

Unser Partner in diesem Zusammenhang ist das Unternehmen Macmon mit Sitz in Berlin und seinem Produkt NAC. So wird zudem garantiert, dass DSGVO-seitig alles mit ‘rechten Dingen’ zugeht.

Sie haben Fragen zum Thema ‘Zugriffskontrolle’ oder zu weiteren IT-Sicherheitsthemen? Sie möchten wissen, wie sicher ihr Netzwerk im Hinblick auf Fremdzugriffe wirklich ist? Wir beraten Sie gerne und sind spezialisiert auf passende Sicherheitsanalysen. Kontaktieren Sie uns unter der kostenfreien Nummer 0800 4883 338 oder vereinbaren Sie direkt hier einen Anruftermin.

Autor: Manuel Büschgens

/von

Schlagwortarchiv für: Zugriffskontrolle

Es konnte leider nichts gefunden werden

Entschuldigung, aber kein Eintrag erfüllt Ihre Suchkriterien