Security & Compliance

Cyber Security und -Compliance zu managen ist beim heutigen Stand der Technik und wachsenden Bedrohungen eine wesentliche Management-Funktion und Anforderung für IT-Leitung und Sicherheitsfachleute. Systeme, Geräte und Netzwerke müssen ständig überwacht und bewertet werden, um gesetzliche Anforderungen zu erfüllen und die branchenübliche IT-Compliance zu gewährleisten.

Insbesondere in stark regulierten Branchen werden Vorschriften und Standards häufig angepasst, um neue Bedrohungen und Schwachstellen zu neutralisieren. Unternehmen müssen schnell reagieren, was bei komplexen Infrastrukturen und Teams, die über verschiedene Plattformen und geographische Distanzen verteilt sind, zur Herausforderung werden kann.

Compliance-Verstöße können sehr teuer werden. Wenn Unternehmen die Vorschriften nicht einhalten und durch konkrete Angriffe die Daten- und Systemintegrität gefährdet ist, drohen nicht nur Bußgelder und Gerichtsverfahren, Unternehmen verlieren auch das Vertrauen ihrer Kunden.

noventum ist mit allen Aspekten der Cyber-Sicherheit seit Jahrzehnten vertraut. Unsere Konzepte für lokale Data Center sowie alle Varianten von Cloud Computing und gemischte IT-Architekturen sind für unsere Kund:innen der Garant für einen regelkonformen Betrieb, der auch mit Hackerangriffen nicht zu erschüttern ist. Insbesondere in stark regulierten Branchen, die mit sensiblen Kundendaten umgehen, sind unsere Berater:innen als Expert:innen gefragt.

Sicheres Cloud Computing Management mit Konzept

Reine Cloud-Umgebungen oder mit On-Prem gemischte IT-Architekturen sind der normale Standard im Unternehmensalltag. Zumeist schrittweise gewachsen, ergeben sich für diese IT-Konstruktionen oftmals sehr individuelle Herausforderungen, die ein planvolles Vorgehen erfordern.

Die Konfiguration von Software auf der Kundenseite, das Zugriffsmanagement auf die Daten, die Klärung von datenschutzrechtlichen Aspekten sind Teil eines vollständigen Cloud-Konzeptes. Der Einsatz von Software as a Service-Produkten mit Plan und Konzept macht Cloud Computing zu einer sicheren Angelegenheit.

Wurde in der Vergangenheit aus Sicherheitsgründen ein interner Datenraum als On-Premises-Umgebung mit einer Firewall nach Außen abgeschirmt, so stellt sich bei jeder Öffnung über externe Schnittstellen die Sicherheitsfrage neu und Systeme werden mit entsprechenden Komponenten abgesichert.

Die Herausforderung

Wenn heute Mitarbeiter:innen orts- und geräteunabhängig arbeiten und mit Kolleg:innen und Externen in Echtzeit zusammenarbeiten wollen, wird die Frage nach der IT-Sicherheit dadurch immer komplexer. Die Weiterentwicklung einer reinen On-Premises-Umgebung hin zu einer Cloud-Umgebung bzw. einer hybriden Umgebung beschreibt diesen Weg. User, die außerhalb des Unternehmensnetzwerkes arbeiten, müssen sich an Diensten authentifizieren, Username und Passwort reichen nicht mehr aus, um Sicherheit zu gewährleisten. So muss z. B. überprüft werden, ob das Gerät, mit dem ein:e Mitarbeiter:in sich anzumelden versucht, den Unternehmensrichtlinien entspricht.

Sicherheit in der Microsoft 365 Umgebung



Sicherheit bei Microsoft 365

Microsoft 365 bietet für die User- und Geräte-Authentifizierung out of the box die technischen Möglichkeiten, all das abzubilden. Hierbei werden bei der Anmeldung verschiedene Kriterien abgefragt, aus denen nachfolgend pro Anmeldung ein Echtzeitrisiko berechnet wird. Je nachdem wie hoch der Risikowert ist, der berechnet wurde, kann entweder ein vollständiger Zugriff, ein Zugriff in Teilen oder gar kein Zugriff auf die Unternehmensdaten gewährt werden, oder es wird zunächst ein zweiter Faktor abgefragt.

Meldet sich User „Max Mustermann“ jetzt von Deutschland aus an und eine halbe Stunde später aus China, so wird diese Anmeldung als Anmeldung mit hohem Risiko eingestuft. Es liegt jedoch im Ermessen des Unternehmens, diese Information zu gewichten und selbst zu entscheiden, wie strikt man an dieser Stelle vorgeht.

Zusätzlich wird überprüft, ob das Gerät mit den definierten Unternehmensrichtlinien kompatibel ist.

  • Hat das Gerät eine ausreichende Betriebssystemversion?
  • Wurde das Gerät durch mein Unternehmen bereitgestellt oder handelt es sich um ein privates Gerät?
  • Ist die Festplatte des Gerätes verschlüsselt?

Nahezu jede Software ist unsicher, wenn sie falsch eingerichtet und konfiguriert wird!

Microsoft 365 mit bewährten Konzepten konfigurieren

noventum orientiert sich bei der Konfiguration von Microsoft 365 Komponenten an international anerkannten Best Practices, wie z.B. dem CIS-Benchmark (Center of Internet-Security). Ebenso schöpfen wir aus unseren umfangreichen Erfahrungen bei Unternehmen verschiedener Branchen und unterschiedlicher Unternehmensgröße.

Tenant Check

Wurde bereits eine Microsoft 365 Tenant initial erstellt, vielleicht auch unter Zeitdruck und ohne durchdachtes Sicherheitskonzept? Dann bietet sich der Tenant Check an. Fehlkonfigurationen und grobe Sicherheitsmängel können auch nachträglich aufgedeckt und behoben werden. Die zertifizierten noventum Sicherheitsexpert:innen überprüfen Ihren Tenant und nehmen die entsprechenden Konfigurationen vor zum Schutz Ihrer IT vor. Dabei werden auch frühere und aktuelle Angriffe aufgedeckt und Maßnahmen empfohlen, die Angriffe in Zukunft minimieren können.

Sicherheit durch Identity Management



Was ist Identity Management?

Identity Management (IdM), auch bekannt als Identity- und Access-Management (IAM), gewährleistet, dass autorisierte Personen auf die Technologieressourcen zugreifen können, die sie zur Erfüllung ihrer Aufgaben benötigen. Zugleich verhindert es unerlaubte Zugriffe.

Es umfasst Richtlinien und Technologien, die einen unternehmensweiten Prozess zur ordnungsgemäßen Identifizierung, Authentifizierung und Autorisierung von Personen, Personengruppen oder Softwareanwendungen umfassen.

Active Directory im Überblick

Der Active Directory-Domänendienst ist im Grunde eine Datenbank, in der Sie alle Ihre Computer, Benutzer:innen und andere Personen organisieren können. Er ermöglicht die Authentifizierung und Autorisierung für Anwendungen, Dateidienste, Drucker und weitere Ressourcen vor Ort. AD verwendet Protokolle wie NTLM und Kerberos für die Authentifizierung und LDAP für die Ressourcenerkennung. Mit einer besonderen Funktion, der Gruppenrichtlinie, können Sie Einstellungen in einem ganzen Netzwerk verteilen. Es gibt viele Sicherheitsgruppen, Benutzer- und Administratorkonten, Passwörter, Identitäts- und Zugriffsrechte, und deshalb ist die Sicherung von AD der Schlüssel. Ein wichtiger Aspekt ist jedoch, dass AD nicht für die Welt der webbasierten Dienste konzipiert wurde.

Azure Active Directory unterstützt webbasierte Dienste

Die Azure Active Directory ist kein Active Directory, leider führt der Name zu vielen Verwechslungen. AAD hat jedoch eine ähnliche Funktion mit Authentifizierung und Autorisierung für Anwendungen. Im Unterschied zur AD wurde Azure Active Directory entwickelt, um webbasierte Dienste zu unterstützen, die RESTful-Schnittstellen für Office 365, Google Apps usw. verwenden. Es verwendet auch andere Protokolle für die Arbeit mit diesen Diensten (SAML, OAuth 2.0.). AAD ist insofern ein "AD-Dienst in der Cloud".

Ein weiterer Unterschied ist, dass es im AAD keine Forests und Domains gibt. Stattdessen sind Sie ein Tenant, der Ihre gesamte Organisation repräsentiert, und Sie können alle Benutzer:innen mit ihren Passwörtern, Berechtigungen usw. verwalten. Ein Benutzer mit einer einzigen Identität kann sich bei Tausenden von SaaS-Anwendungen anmelden und nicht nur bei Office 365, Sharepoint oder Exchange online von Microsoft. Und er kann dies tun, ohne sich wiederholt anmelden zu müssen.

Deshalb ist es in komplexen Umgebungen, wie sie viele unserer Kunden verwalten, wichtig zu wissen, welche Authentifizierungsstelle und welches Autorisierungsmodell am besten zu verwenden ist.

  • Verwenden Sie eine Webanwendung, die auf REST-APIs angewiesen ist? Dann ist es besser, Azure Actice Directory für die Verwaltung von Zugriff, Berechtigungen und Authentifizierung zu verwenden.
  • Wenn Sie eine lokale Anwendung verwenden, die auf Kerberos und/oder SAML basiert, ist Active Directory die empfohlene Plattform für Sie.

Wichtig ist auch, dass Sie wissen, wie Sie diese beiden Umgebungen absichern und, falls Sie Microsoft 365 verwenden, Ihre Benutzer:innen und Computer mit Azure Active Directory synchronisieren, um eine gut verwaltete hybride Umgebung zu haben, die Ihren Benutzer:innen eine komfortable und sichere IT-Umgebung bietet.

Lernen und Innovation haben bei uns eine sehr hohe Bedeutung, so dass sich jeder voll entfalten und einen Beitrag zur Zukunftsgestaltung leisten kann.

Was dürfen Sie erwarten, wenn Sie mit unseren Berater:innen
Ihr Sicherheits- und Compliancekonzept überarbeiten?

  • Eine sichere hybride IT-Umgebung, auf die Verlass ist
  • Sicherheit in allen Szenarien
  • User- und Geräte-Authentifizierung
  • Gefilterten Zugriff auf Unternehmensdaten
  • Definierte Unternehmensrichtlinien
  • Aufdeckung von Fehlkonfigurationen und groben Sicherheitsmängeln durch denTenant Check

Unser Vorgehen

Um heute und in Zukunft alle IT-Sicherheits- und Compliance-Anforderungen zu erfüllen, die in Ihrer Branche wichtig sind, brauchen Sie einen Plan. Zusammen mit unseren Berater:innen entwickeln Sie systematisch Ihr ganz individuelles Regelwerk für Cyber Security und IT-Compliance. Unsere Berater:innen orientieren sich an international anerkannten Best Practices, wie z. B. dem CIS-Benchmark (Center of Internet-Security) für das Microsoft 365 Umfeld. Ebenso schöpfen wir aus unseren umfangreichen Erfahrungen bei Unternehmen verschiedener Branchen und unterschiedlicher Unternehmensgröße.

 

Nehmen Sie eine umfassende Risikobewertung vor, um Schwachstellen und Bedrohungen zu erkennen.

Entwickeln Sie für Ihr Unternehmen klare IT-Sicherheitsrichtlinien und -verfahren, die die Anforderungen der Compliance-Vorschriften Ihrer Branche entsprechen und berücksichtigen Sie einschlägige Best Practices.

Führen Sie für ein abgestimmtes Identity Management Mechanismen zur Zugriffssteuerung ein, die von der Benutzerkontenverwaltung über die Berechtigungsprüfung bis zu starken Passwortrichtlinien die wesentlichen Angriffspunkte im Blick hat.

Entwickeln Sie Routinen für die wiederkehrende Kontrolle wichtiger Faktoren der Netzwerksicherheit durch regelmäßige Scans von Firewalls sowie Intrusion Detection/Prevention Systemen.  

Schulen Sie regelmäßig Ihre IT-Mitarbeiter:innen und bringen Sie sie auf den neuesten Stand für alle Fragen der IT-Sicherheit.

Incident Response Management: Bereiten Sie sich und Ihr Team auf den Ernstfall vor, der nie ganz auszuschließen ist. Ihr Incident Response Plan hilft, souverän auf Sicherheitsvorfälle zu reagieren.

Compliance-Monitoring: Führen Sie regelmäßig interne Audits durch, um sicherzustellen, dass die Compliance-Vorschriften von allen verstanden und eingehalten werden.

Wenn wir auch für Sie tätig werden können, freuen wir uns über Ihre Kontaktaufnahme.

Tim Schneider
Senior Business Development Manager
+49 2506 93020

Lösungsszenarien zum Thema Hybrid Cloud
Success Stories // Fachartikel // News

Ihr Ansprechpartner zum Thema Security & Compliance.

Sie haben die Fragen, wir haben die Antworten und freuen uns über Ihre Kontaktaufnahme.

Dr. Frank Gutberlet
Director