Cyber Security im Mittelstand - Burkhard Fertig / Leiter Organisation und IT - Cyber Security Fairevent
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Jahresumsatz in 2019 250 Mill. € Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 2
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Agenda 1. Die Herausforderung -> unsere Lösungsansätze 2. E-Mail Verkehr 3. Netzwerke LAN WAN WLAN 4. Mobility 5. Homeoffice 6. Portale 7. Cloud 8. M2M – Predictive Maintenance 9. Datensicherung 10.Datenschutz / DSGVO / Mitarbeiter Sensibilisierung 11. Zusammenfassung und Empfehlungen Agenda | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 3
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Die Herausforderung ➢ Die Bedrohung bei einem KMU ist die gleiche wie bei großen Unternehmen. Gerne werden Vertriebsorganisationen auch als Backdor in Konzernbetriebe genommen. ➢ Die Personaldecke ist überschaubar und ist in der Regel mit dem Kerngeschäft schon sehr gut ausgelastet. Den Kampf um gutes Personal verliert man oft gegen die Global Player. Security kann dann meist nur als lästiges Muss und damit nicht mit der nötigen Sorgfalt implementiert und überwacht werden. ➢ Oftmals fehlt das Verständnis für das Risiko bei der Geschäftsführung mit der Folge, dass die dafür notwendigen Mittel nicht bereit gestellt werden. ➢ Die Mitarbeiter in den Fachbereichen werden entweder unzureichend oder gar nicht sensibilisiert. ➢ Auf Notfälle ist man kaum vorbereitet. Es fehlt an Dokumentation was gemacht werden soll und auch an Übung im Ablauf eines Desaster Falls. Die Herausforderung | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 4
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Unsere Lösungsansätze ➢ Wir haben einen Mitarbeiter im IT-Bereich zum Security Beauftragten ernannt. Er hält sich durch Weiterbildung, Besuch von Veranstaltungen, Erfahrungsaustausch via Security Stammtisch, Foren, etc. soweit fitt, dass er die richtigen Verfahren und Partner auswählen und vorallem die Risiken richtig bewerten kann. ➢ Wo immer möglich, setzen wir auf outsorcing oder maneged Services. Profis auf diesem Gebiet sind immer auf dem actuellsten Stand, da dies ihr ausschließliches Business ist. Noch viel wichtiger ist für uns, diese sind nicht Betriebsblind, da sie über Erfahrung aus unterschiedlichsten Kundenscenarien verfügen. ➢ Durch konsequente Risikobewertung identifizieren wir, was es zu schützen gilt und mit welchen technischen Mitteln oder auch durch gezielte Aufklärung die Umsetzung erfolgen soll. ➢ Wir haben dafür gesorgt, dass Security ein Dauerthema in unseren Geschäftsleitungssitzungen ist. Bei IT Anforderungen aus den Fachbereichen, die mit zunehmender Digitalisierung wachsen, werden hier immer auch die Anforderungen im Hinblick auf Datensicherheit formuliert und bewertet. Unsere Lösungsansätze| Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 5
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. E-Mail Verkehr ➢ Wir wollen gar nicht erst herein lassen was nicht herein gehört. Dazu lassen wir alle eingehenden Mails – auch die verschlüsselten – beim Carrier durch eine Security Guard Lösung öffnen, auf Viren und Links untersuchen. Was unter Schadverdacht steht, kann über Browser außerhalb des Netzwerks geöffnet werden. Je nach Klassivizierung kann die Mail freigeben oder auch gar nicht importiert werden. ➢ Was rein kommt läuft durch eine zweite Firewall Lösung von einem anderen Anbieter zwecks doppelter Sicherheit. ➢ Ausgehende Mails können verschlüsselt oder auch durch einen gesicherten Download Bereich mit oder ohne Passwort übermittelt werden. Was angewendet wird entscheidet die Anwendung oder der Anwender. ➢ Unternehmensweit gibt es für alle Standorte nur ein Mail Gateway, das über das interne Netz erreichbar ist. E-Mail Verkehr | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 6
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Netzwerke LAN ➢ Am Standort Aschaffenburg unterhalten wir zwei Rechenzentren, die untereinander über zwei redundante Datenwege verbunden sind und auch nach außen über getrennte Wege angebunden sind. Die Umschaltung erfolgt vollautomatisch. Hier sind alle Server, TK-Anlagen und Storage hoch verfügbar ausgelegt. ➢ Alle Lokationen (8) verfügen über getrennt berechtigte Netzwerksekmente. ➢ Das Gebäudemanagement verfügt über ein eigenes V-LAN. ➢ Die Schulungsbereiche, die wir auch extern zu Verfügung stellen müssen, verfügen ebenfalls über ein eigenes V-LAN. Netzwerke LAN | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 7
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Netzwerke WAN ➢ Die drei Hauptstandorte sind über MPLS verbunden für die es ein automatisches Backup über LTE gibt. ➢ Zwei Standorte in Aschaffenburg haben wir über Richtfunk angebunden, da diese in Sichtweite sind. Ebenfalls mit LTE Backup. ➢ Unser in einem anderen Stadtteil liegendes Technik Center ist mit einer Gigabit Standleitung angebunden. Einen Notbetrieb gewähren wir über eine 100 Mbit Standleitung, die wir über einen anderen Carrier routen. ➢ Einen weiteren Standort mussten wir über Deutschland LAN anbinden, da es keine andere, bezahlbare Möglichkeit gab. Aber auch hier gibt es ein LTE Backup. ➢ Der Datenverkehr im gesamten WAN erfolgt verschlüsselt. ➢ Das Netzwerk wird extern überwacht, damit wir einen 24Std. Betrieb sicher stellen können. ➢ Externe Teilnehmer wie Kunden, Lieferanten und die gesamte Mobile Welt sind durch eine redundante Internetstandleitung mit uns verbunden. Netzwerke WAN | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 8
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Netzwerke WLAN ➢ Hier unterhalten wir eine extern gemanagte Infrastruktur von CISCO. Diese ist in sämtlichen Gebäuden unseres Unternehmens erreichbar. ➢ Interne Teilnehmer können sich dauerhaft durch ein auf die Devices aufgespieltes Zertifikat (PKI) autentifizieren. ➢ Externe Teilnehmer erhalten von uns ein zeitlich begrenztes Voucher ausgedruckt und gelangen damit in ein Gast WLAN. ➢ Schulungsteilnehmer können sich über eine von unserem Netzwerk abgekoppelte Lösung ohne Autentifizierung im Internet anmelden. Netzwerke WLAN | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 9
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Mobility ➢ Gut 2/3 unserer Mitarbeiter sind mit Smartphone, Tablet und Notebook bei unseren Kunden unterwegs. Jedes unserer 275 Servicefahrzeuge verfügt z.B. über ein Notebook mit einem Leaser Drucker. ➢ Die Verbindung zu uns stellen wir über ein IP-VPN der Telekom her. ➢ Nur registriete SIM-Karten gelangen ins Netz. ➢ Ein Kennwort muss als 2. Autentifizierung eingegeben werden. ➢ Das Device verfügt über ein Zertifikat, das über unsere Cisco PKI geprüft wird. ➢ Ein direkter Zugang ins Internet ist nicht möglich. Die Karten haben eine entsprechende Sperre. ➢ WLAN Zugänge wollen wir nicht ausschließen. Diese sind jedoch nur über VPN-Tunnel möglich und werden über die PKI zusätzlich autentifiziert. Alle Devices die das dürfen verfügen über eine von uns gemanagte Endpoint Security. Mobility | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 10
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Homeoffices ➢ Für Verkäufer, Serviceberater, Mitarbeiter in festen Werkstätten bei Kunden, das Top Management oder auch Mitarbeiter in der Kinderpause ist es bei uns üblich, dass diese über ein Homeoffice verfügen. ➢ Dauerhafte Homeoffice Arbeitsplätze werden von uns mit einer gemanagten Firewall eingerichtet. Hier ist es möglich das private DSL mit zu benutzen oder ein vom Unternehmen zu Verfügung gestelltes DSL. Diese Arbeitsplätze verfügen über ein IP-Telefon das als Nebenstelle unserer TK-Anlage angesprochen wird. ➢ Temporäre Arbeitsplätze werden wie ein mobiler Arbeitsplatz eingerichtet. Homeoffices | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 11
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Portale ➢ Grundsätzlich arbeiten wir hier mit der Technik von WEB-Datenverzeichnissen. Diese schließen einen direkten Zugriff auf unsere Laufwerke aus. ➢ Für die Anmeldung erhält der Teilnehmer ein Einmalkennwort, das er sich selbständig ändern muss. ➢ Wir administrieren wie bei einem internen Teilnehmer mit Rollen was dieser bei uns machen darf. Kunden werden z.B. auf ihre Kundennummer eingeschräkt. ➢ In einem Mitarbeiter Portal stellen wir Dokumente aus der Personalabteilung bereit z.B. Gehaltsabrechnungen, Steuerbescheinigungen, Schriftverkehr. Es werden ausschließlich PDF Dokumente zur Verfügung gestellt, die über ein zweites Kennwort geöffnet werden können. Informationen darüber was bereit steht, erhält der Mitarbeiter an eine E-Mail-Adresse, die er mit der Personalabteilung abstimmt. In diesem Portal kann der Mitarbeiter auch Urlaubsanträge stellen. Portale | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 12
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Cloud ➢ Daten und Services aus der Cloud lassen sich aus wirtschaftlichen, funktionalen Gründen und auch wegen externer Verfügbarkeit (dort Sicherheit) nicht mehr vermeiden. ➢ Es ist auch unrealistisch, dass man nur mit einem Cloud Anbieter zusammenarbeitet. Je nach Anforderung sind hybriede Ansätze an der Tagesordnung. ➢ Die AGB der Anbieter sind von KUM Unternehmen kaum beeinflussbar. Wichtig ist, dass man bei der Entscheidung den Datenschutzbeauftragten ( was geht in die Cloud und wie sehen die Verträge aus ) und die Security ( Bewertung der Zugangswege ) von Anfang an mit mit Boot hat. Die Rechenzentren der Anbieter sind in der Regel sicherer als die, die wir uns selbst leisten können. ➢ Bei allen Entscheidungen ist immer auch zu bewerten wie ein Cloud Exit aussehen kann. Dabei ist es auch wichtig sich die eigenen Skills soweit zu erhalten, dass man nicht in eine totale Abhängigkeit gerät. ➢ Im Bezug auf Security sehen wir hier kaum Bedenken. Ein öffentlich bekannt gemachtes Leck wäre das wirtschaftliche Aus des Anbieters. Cloud | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 13
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. M2M – Predictive Maintenance ➢ Seit etwa 2 Jahren werden die Geräte unserer Vertragslieferanten mit Connect Systemen ausgestattet. Diese sammeln Daten in der jeweiligen Hersteller Cloud. ➢ Über feste Geräte Händlerzuordnung oder auch über Ortung des Gerätes und damit flexibele Händlerzuordnung werden die so gewonnenen Daten verdichtet in Form von XML oder Webservices an uns verschickt. ➢ Wir haben unsere IT-Systeme so erweitert, dass die Daten in unseren ERP Systemen entsprechende Prozesse antrickern. ➢ Durch diese Verfahrensweise ist der Webzugang für die Datensammlung völlig von den opterativen Netzwerken abgekoppelt und stellt damit kein Risiko dar. M2M - Predictive Maintenance | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 14
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Datensicherung ➢ Daten halten wir grundsätzlich nur Zentral. Das vereinfacht deren Verwaltung uns stellt deren Hochverfügbarkeit sicher. ➢ Auf zwei in unterschiedlichen Gebäuden stehenden Storageeinheiten von IBM spiegeln wir unsere Datenbestände. Unsere Hostsysteme zwei Systeme i werden einmal täglich mit einem Snapphot eingefroren und auf einem Dell Storage für die Bandsicherung bereit gestellt. Dabei werden die Systeme für etwa 1 Minute eingefrohren. Wir gewähren damit einen 7x24 ausfallfreien Betrieb. Zur schnellen Wiederherstellung können wir auf 30 Tagesbestände auf dem Storage zurück greifen. Während des Tages können wir über Journaling entsprechnde Rollbacks steuern. ➢ Die Daten aus der Microsoft Welt werden stündlich mit einem Snapshot über VEEAM auf das Dell Storage gesichert und in der Nacht auf eine Tagesversion konsolidiert. ➢ Die Tägliche Bandsicherung (ULTRIUM 7) erfolgt für beide Welten auf ein gemeinsames Tagesband. Datensicherung | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com 12.03.2020 | 15
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Datenschutz / DSGVO / Mitarbeiter Sensibilisierung ➢ Datenschutz ist kein reines IT Thema. Außer technischen Maßnahmen bestimmen hier vielmehr organisatorische und verhaltensbedingte Faktoren die Aufgaben. Ganz im Gegenteil die IT ist hier als ein zu überwachendes Risiko einzustufen, das sich nicht selbst überwachen kann. ➢ Wir haben einen externen Datenschutzbeaufragten bestellet. Dieser ist Fachmann für diese Aufgabe und er kann seine in anderen Unternehmen gesammelten Erfahrungen als Mehrwert mit einbringen. ➢ In unserem Firmen Wiki wird einmal monatlich ein Newsleter des Datenschutzbeauftragten veröffentlicht. Dies greift aktuelle Bedrohungen auf und gibt entsprechnde Handlungsanweisungen. ➢ Bei Mitarbeiterversammlungen oder auch in Bereichsbesprechungen ist der Datenschutzbeauftragte mehrfach im Jahr als Referent und Ansprechpartner präsent. Natürlich kann er über E-Mail und Telefon auch jederzeit direkt erreicht werden. ➢ In regelmäßigen Abständen besucht er nach dem Zufallsprinzip Mitarbeiter am Arbeitsplatz oder auch im Außendienst. 12.03.2020 | 16 Datenschutz / SGVO / Mitarbeiter Sensibilisierung | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT. Zusammenfassung und Empfehlungen ➢ Cyber Security ist eine sehr vielschichtige Herausforderung. Es ist eine ständige Challenge zwischen Angreifer und Abwehr. Wie im Sport sollte man hier täglich trainieren um vorne zu bleiben um das Unternehmen nicht in der Existenz zu gefährden. ➢ Je nach Branche sind die Anforderungen unterschiedlich hoch aber bitte niemals zu unterschätzen. ➢ Ohne aktives Patchmanagement sind die Systeme offen wie Scheunentore. Dies gilt nicht nur für die Server sondern vielmehr auch für dies Devices im Endpoint (z.B. auch für MFP Drucksysteme) ➢ Berichten Sie regelmäßig nach Oben und nach Unten. Nur so gelingt es das Thema präsent zu halten und ihm den richtigen Stellenwert zu verschaffen. Ja es ist eine Art Versicherung aber halt eine für ein die Existenz bedrohendes Risiko. ➢ Machen Sie nicht alles selber. Es gibt genügend Profis die das besser können. Das Wissen und die Arbeitskraft unser IT Mitarbeiter brauchen wir viel dringender um unsere Prozesse voran zu bringen. ➢ Stellen Sie eine Risiko Analyse auf und gehen Sie problemorientiert nach Prioritäten vor. Zuviele Baustellen lösen keine Probleme sonder schaffen nur neue. 12.03.2020 | 17 Zusammenfassung und Empfehlungen | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com
Danke für Ihre Aufmerksamkeit. Ihr Ansprechpartner Hauptfirmensitz Brukhard Fertig Wailandtstraße 11 Telefon: +49 6021 861-246 63741 Aschaffenburg Mail: burkhard.fertig@suffel.com Tel. 06021 861-0 www.suffel.com
Sie können auch lesen