:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schnittstellen-Überwachung beim BfW Hamm Netzwerk-Zugriffe nach innen und außen absichern
Wer durch Krankheit oder Unfall berufsunfähig wird, der kann sich in Berufsförderungswerken umschulen lassen. In deren Netzwerken finden sich zahlreiche sensible Personendaten, die man vor unautorisierten Zugriffen schützen muss. Im Falle des BfW Hamm wird dies mit Analyse- und Port-Überwachungsprogrammen realisiert.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Treffen kann es jeden, auch wenn Dachdecker die Statistik anführen: Langzeit-Studien lassen die statistische Prognose zu, dass 43 Prozent der heute 20-jährigen Männer wahrscheinlich bis zum Rentenbeginn einmal berufsunfähig werden.
Berufsunfähigkeit ist für die Betroffenen zweifelsohne ein schwerer Einschnitt in ihre Lebensplanung. Ein schwerer Unfall, eine chronische Krankheit, Depressionen, Burn Out: Oft ist ein Wiedereinstieg in den erlernten Beruf nicht mehr möglich.
Berufsförderungswerke wie in Hamm geben den Betroffenen eine Umschulung in einem für sie geeigneten Berufsfeld und damit eine neue Lebensperspektive. In zweijährigen Ausbildungsgängen kann man sich beispielsweise zum IT-System-Elektroniker umschulen lassen, zum Augenoptiker oder Immobilienkaufmann, zum Podologen oder Bademeister.
178 Mitarbeiter betreuen jährlich 600 bis 800 Umschüler, vor Ort stehen 350 Wohneinheiten für ortsferne Berufsumsteiger zur Verfügung. Seit 1976 hat die Einrichtung schon mehr als 9000 Frauen und Männern zu einer neuen beruflichen Zukunft verholfen.
Netzwerke für Administration und Ausbildung
Etwa 750 Clients umfasst das Netzwerk des BfW Hamm. Die 60 Server sind zu etwa 50 Prozent virtualisiert, dabei kommt Microsoft Hyper-V zum Einsatz. 178 Rechner stehen im Verwaltungsnetz und damit in einem speziell gesicherten Bereich. „Daneben gibt es auch noch ein Ausbildungsnetz und eine ‚Dirty Area‘“, erklärt Jörg Germies, DV-Koordinator und IT-Sicherheitsbeauftragter beim BfW Hamm. Alle Bereiche sind durch eine restriktive Firewall voneinander getrennt.
Gerade im Bürokommunikationsnetzwerk gilt es, hochsensible Datenbestände zu verwalten. Schließlich beinhalten die Datenbanken Berichte über gesundheitliche Einschränkungen, Berufsunfähigkeit und viele andere persönliche Daten, die auf keinen Fall in die Hände Unbefugter gelangen dürfen.
Seite 2: Persönliche Daten auf Nummer sicher
Persönliche Daten auf Nummer sicher
Dass personenbezogene Daten versehentlich oder absichtlich nach außen gelangen, „daran mag ich gar nicht denken“, schaudert es Herrn Germies. Gedanken über eine wirkungsvolle Prävention hat sich der EDV-Profi allerdings sehr wohl gemacht.
Damit steht Germies nicht allein. „Netzwerk-Absicherung war in unseren Vertriebsregionen Deutschland Österreich und Schweiz schon immer ein wichtiges Thema“, weiß Robert Korherr, Marketingleiter beim Security-Spezialisten ProSoft. „Schon allein wegen der gesetzlichen Vorgaben ist eine wirkungsvolle Analyse und Absicherung des Netzwerks sehr wichtig.“
Vorgesorgt hatte man beim BfW Hamm allerdings schon seit längerem. Bereits seit 2007 sind Datenschutz-Programme eingerichtet. (Siehe Kasten ‚Ergänzendes zum Thema‘). Vor kurzem wurde das System von Grund auf in der aktuellen Version neu installiert. „Ich habe da eine Möglichkeit gesehen, auf einfache Weise ein gewisses Sicherheitspotenzial aufzubauen“, begründet Germies seine Entscheidung.
Analyse als Grundlage
Am Anfang stand auch beim Berufsförderungswerk Hamm die Bestandsaufnahme. Hierzu wurde mit dem Safend Auditor ein Analyse-Tool eingesetzt. Das Programm liefert Reports, identifiziert angeschlossene Endgeräte und zeigt damit Sicherheitsgefährdungen innerhalb des Unternehmens auf.
Da ein Firmennetz normalerweise einem kontinuierlichen Veränderungsprozess unterliegt, muss auch die Bestandsaufnahme regelmäßig wiederholt werden. Die Reports werden im XML-Format ausgegeben, man kann sie aber auch in MS-Excel exportieren und dort sortieren.
Port-Überwachung schafft Sicherheit
Mit der Port-Überwachungs-Software Safend Protector wurden alle Schnittstellen im LAN in beide Richtungen abgesichert: Sensible Daten dürfen nicht nach außen gelangen – genauso wichtig ist aber, dass über angeschlossene Datenträger keine Malware eingeschleppt wird.
Zentral definiert werden Regeln für physikalische Ports, wie USB, FireWire oder PCMCIA, und natürlich für alle drahtlosen Verbindungen, also WLAN, Bluetooth oder Infrarot. Speicher-Devices hat man mit zeitgemäßer Software ebenfalls unter Kontrolle; dazu zählen die bei Sicherheitsbeauftragten so gefürchteten USB-Sticks, aber auch mobile Festplatten, CDs oder DVDs sowie Bandlaufwerke.
Die Schnittstellen und Speichergeräte werden permanent und in Echtzeit überwacht. Bei jedem nicht autorisierten Zugriffsversuch greift die Port-Überwachung sofort ein. Der Anwender wird über den Grund der Blockade informiert, das vermeidet unnötige Anfragen an den Support.
Seite 3: Installation und Feinjustierung
Installation und Feinjustierung
Die Installation und Grundkonfiguration der neuen Programmversionen von Safend Auditor und Protector war beim BfW Hamm nach wenigen Stunden abgeschlossen. Für die genaue Definition der Zugriffsrechte nahm sich Jörg Germies dann mehr Zeit. „Wir haben zuerst die Hürden ziemlich hoch gesetzt und dann genau analysiert, welche Zugriffe für wen erforderlich sind“, berichtet Germies.
Die notwendigen Software-Clients werden beim BfW Hamm automatisch über die Deployment-Infrastruktur installiert. Bei der Anmeldung wird die bestehende Software geprüft und, falls erforderlich, automatisch aktualisiert. Erst dann gelangt der Anwender zum Login-Fenster der Domäne.
Executables bleiben draußen, SQL Queries drinnen
Die Port-Abschirmung wurde so konfiguriert, dass zum Beispiel von externen Speichermedien keine ausführbaren Dateien überspielt werden können. „Wir können USB-Sticks einsetzen und dennoch haben notorische Störenfriede wie der Wurm Conficker keine Chance“, freut sich der DV-Koordinator Germies.
Word-Dokumente oder PowerPoint-Präsentationen dürfen passieren, werden danach aber vom Viren-Scanner des Netzwerks unter die Lupe genommen. Umgekehrt dürfen SQL-Abfragen aus der Datenbank das Netzwerk nicht verlassen. Das Abspeichern von sicherheitsrelevanten Daten, zum Beispiel auf eine CD R/W wie im Fall Bradley Manning, wäre also beim BfW Hamm nicht möglich.
Erweiterung auf Ausbildungsbereich
Die bestehende Installation wird künftig sukzessive erweitert, beispielsweise auf den Ausbildungsbereich, wo es vor allem um die Abschirmung von außen nach innen geht. „Die Ausbildungsrechner sind zum großen Teil Thin Clients“, erklärt Germies, „aber eine USB-Schnittstelle haben Sie natürlich schon. Was da eingestöpselt wird, darauf haben wir wenig Einfluss. Aber was ins Netz kommt, das bestimmen wir“.
(ID:2050268)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930807/original.jpg "Network Detection and Response (NDR) ermöglicht durch kontinuierliche Analyse des Netzwerkverkehrs verdächtigen Datenverkehr zu erkennen und darauf zu reagieren. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923702/original.jpg "Die neuen Switches der Serien 100 und 200 von Sophos umfassen Modelle mit jeweils 8, 24 und 48 Ports. (Sophos)")