Cyber Security im Mittelstand - Burkhard Fertig / Leiter Organisation und IT - Cyber Security Fairevent

Die Seite wird erstellt Pirmin Philipp
 
WEITER LESEN
Cyber Security im Mittelstand - Burkhard Fertig / Leiter Organisation und IT - Cyber Security Fairevent
Cyber Security im
Mittelstand
Burkhard Fertig / Leiter Organisation und IT
28. Januar 2019
Cyber Security im Mittelstand - Burkhard Fertig / Leiter Organisation und IT - Cyber Security Fairevent
Jahresumsatz in 2019   250 Mill. €

Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com                               12.03.2020 | 2
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Agenda
1. Die Herausforderung -> unsere Lösungsansätze
2. E-Mail Verkehr
3. Netzwerke LAN WAN WLAN
4. Mobility
5. Homeoffice
6. Portale
7. Cloud
8. M2M – Predictive Maintenance
9. Datensicherung
10.Datenschutz / DSGVO / Mitarbeiter Sensibilisierung
11. Zusammenfassung und Empfehlungen

           Agenda | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com               12.03.2020 | 3
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Die Herausforderung
➢ Die Bedrohung bei einem KMU ist die gleiche wie bei großen Unternehmen. Gerne werden
  Vertriebsorganisationen auch als Backdor in Konzernbetriebe genommen.
➢ Die Personaldecke ist überschaubar und ist in der Regel mit dem Kerngeschäft schon sehr gut
  ausgelastet. Den Kampf um gutes Personal verliert man oft gegen die Global Player. Security kann dann
  meist nur als lästiges Muss und damit nicht mit der nötigen Sorgfalt implementiert und überwacht
  werden.
➢ Oftmals fehlt das Verständnis für das Risiko bei der Geschäftsführung mit der Folge, dass die dafür
  notwendigen Mittel nicht bereit gestellt werden.
➢ Die Mitarbeiter in den Fachbereichen werden entweder unzureichend oder gar nicht sensibilisiert.
➢ Auf Notfälle ist man kaum vorbereitet. Es fehlt an Dokumentation was gemacht werden soll und auch an
  Übung im Ablauf eines Desaster Falls.

          Die Herausforderung | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com   12.03.2020 | 4
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Unsere Lösungsansätze
➢ Wir haben einen Mitarbeiter im IT-Bereich zum Security Beauftragten ernannt. Er hält sich durch
  Weiterbildung, Besuch von Veranstaltungen, Erfahrungsaustausch via Security Stammtisch, Foren, etc.
  soweit fitt, dass er die richtigen Verfahren und Partner auswählen und vorallem die Risiken richtig
  bewerten kann.
➢ Wo immer möglich, setzen wir auf outsorcing oder maneged Services. Profis auf diesem Gebiet sind
  immer auf dem actuellsten Stand, da dies ihr ausschließliches Business ist. Noch viel wichtiger ist für
  uns, diese sind nicht Betriebsblind, da sie über Erfahrung aus unterschiedlichsten Kundenscenarien
  verfügen.
➢ Durch konsequente Risikobewertung identifizieren wir, was es zu schützen gilt und mit welchen
  technischen Mitteln oder auch durch gezielte Aufklärung die Umsetzung erfolgen soll.
➢ Wir haben dafür gesorgt, dass Security ein Dauerthema in unseren Geschäftsleitungssitzungen ist. Bei IT
  Anforderungen aus den Fachbereichen, die mit zunehmender Digitalisierung wachsen, werden hier
  immer auch die Anforderungen im Hinblick auf Datensicherheit formuliert und bewertet.

          Unsere Lösungsansätze| Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com    12.03.2020 | 5
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

E-Mail Verkehr
➢ Wir wollen gar nicht erst herein lassen was nicht herein gehört. Dazu lassen wir alle eingehenden Mails
  – auch die verschlüsselten – beim Carrier durch eine Security Guard Lösung öffnen, auf Viren und Links
  untersuchen. Was unter Schadverdacht steht, kann über Browser außerhalb des Netzwerks geöffnet
  werden. Je nach Klassivizierung kann die Mail freigeben oder auch gar nicht importiert werden.
➢ Was rein kommt läuft durch eine zweite Firewall Lösung von einem anderen Anbieter zwecks doppelter
  Sicherheit.
➢ Ausgehende Mails können verschlüsselt oder auch durch einen gesicherten Download Bereich mit oder
  ohne Passwort übermittelt werden. Was angewendet wird entscheidet die Anwendung oder der
  Anwender.
➢ Unternehmensweit gibt es für alle Standorte nur ein Mail Gateway, das über das interne Netz erreichbar
  ist.

          E-Mail Verkehr | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com        12.03.2020 | 6
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Netzwerke LAN
➢ Am Standort Aschaffenburg unterhalten wir zwei Rechenzentren, die untereinander über zwei
  redundante Datenwege verbunden sind und auch nach außen über getrennte Wege angebunden sind.
  Die Umschaltung erfolgt vollautomatisch. Hier sind alle Server, TK-Anlagen und Storage hoch verfügbar
  ausgelegt.
➢ Alle Lokationen (8) verfügen über getrennt berechtigte Netzwerksekmente.
➢ Das Gebäudemanagement verfügt über ein eigenes V-LAN.
➢ Die Schulungsbereiche, die wir auch extern zu Verfügung stellen müssen, verfügen ebenfalls über ein
  eigenes V-LAN.

          Netzwerke LAN | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com         12.03.2020 | 7
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Netzwerke WAN
➢ Die drei Hauptstandorte sind über MPLS verbunden für die es ein automatisches Backup über LTE gibt.
➢ Zwei Standorte in Aschaffenburg haben wir über Richtfunk angebunden, da diese in Sichtweite sind.
  Ebenfalls mit LTE Backup.
➢ Unser in einem anderen Stadtteil liegendes Technik Center ist mit einer Gigabit Standleitung
  angebunden. Einen Notbetrieb gewähren wir über eine 100 Mbit Standleitung, die wir über einen
  anderen Carrier routen.
➢ Einen weiteren Standort mussten wir über Deutschland LAN anbinden, da es keine andere, bezahlbare
  Möglichkeit gab. Aber auch hier gibt es ein LTE Backup.
➢ Der Datenverkehr im gesamten WAN erfolgt verschlüsselt.
➢ Das Netzwerk wird extern überwacht, damit wir einen 24Std. Betrieb sicher stellen können.
➢ Externe Teilnehmer wie Kunden, Lieferanten und die gesamte Mobile Welt sind durch eine redundante
  Internetstandleitung mit uns verbunden.

          Netzwerke WAN | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com         12.03.2020 | 8
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Netzwerke WLAN
➢ Hier unterhalten wir eine extern gemanagte Infrastruktur von CISCO. Diese ist in sämtlichen Gebäuden
  unseres Unternehmens erreichbar.
➢ Interne Teilnehmer können sich dauerhaft durch ein auf die Devices aufgespieltes Zertifikat (PKI)
  autentifizieren.
➢ Externe Teilnehmer erhalten von uns ein zeitlich begrenztes Voucher ausgedruckt und gelangen damit
  in ein Gast WLAN.
➢ Schulungsteilnehmer können sich über eine von unserem Netzwerk abgekoppelte Lösung ohne
  Autentifizierung im Internet anmelden.

          Netzwerke WLAN | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com           12.03.2020 | 9
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Mobility
➢ Gut 2/3 unserer Mitarbeiter sind mit Smartphone, Tablet und Notebook bei unseren Kunden unterwegs.
  Jedes unserer 275 Servicefahrzeuge verfügt z.B. über ein Notebook mit einem Leaser Drucker.
➢ Die Verbindung zu uns stellen wir über ein IP-VPN der Telekom her.
   ➢ Nur registriete SIM-Karten gelangen ins Netz.
   ➢ Ein Kennwort muss als 2. Autentifizierung eingegeben werden.
   ➢ Das Device verfügt über ein Zertifikat, das über unsere Cisco PKI geprüft wird.
   ➢ Ein direkter Zugang ins Internet ist nicht möglich. Die Karten haben eine entsprechende Sperre.
   ➢ WLAN Zugänge wollen wir nicht ausschließen. Diese sind jedoch nur über VPN-Tunnel möglich und
     werden über die PKI zusätzlich autentifiziert. Alle Devices die das dürfen verfügen über eine von uns
     gemanagte Endpoint Security.

          Mobility | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com              12.03.2020 | 10
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Homeoffices
➢ Für Verkäufer, Serviceberater, Mitarbeiter in festen Werkstätten bei Kunden, das Top Management oder
  auch Mitarbeiter in der Kinderpause ist es bei uns üblich, dass diese über ein Homeoffice verfügen.
➢ Dauerhafte Homeoffice Arbeitsplätze werden von uns mit einer gemanagten Firewall eingerichtet. Hier
  ist es möglich das private DSL mit zu benutzen oder ein vom Unternehmen zu Verfügung gestelltes DSL.
  Diese Arbeitsplätze verfügen über ein IP-Telefon das als Nebenstelle unserer TK-Anlage angesprochen
  wird.
➢ Temporäre Arbeitsplätze werden wie ein mobiler Arbeitsplatz eingerichtet.

          Homeoffices | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com           12.03.2020 | 11
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Portale
➢ Grundsätzlich arbeiten wir hier mit der Technik von WEB-Datenverzeichnissen. Diese schließen einen
  direkten Zugriff auf unsere Laufwerke aus.
➢ Für die Anmeldung erhält der Teilnehmer ein Einmalkennwort, das er sich selbständig ändern muss.
➢ Wir administrieren wie bei einem internen Teilnehmer mit Rollen was dieser bei uns machen darf.
  Kunden werden z.B. auf ihre Kundennummer eingeschräkt.
➢ In einem Mitarbeiter Portal stellen wir Dokumente aus der Personalabteilung bereit z.B.
  Gehaltsabrechnungen, Steuerbescheinigungen, Schriftverkehr. Es werden ausschließlich PDF
  Dokumente zur Verfügung gestellt, die über ein zweites Kennwort geöffnet werden können.
  Informationen darüber was bereit steht, erhält der Mitarbeiter an eine E-Mail-Adresse, die er mit der
  Personalabteilung abstimmt. In diesem Portal kann der Mitarbeiter auch Urlaubsanträge stellen.

          Portale | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com               12.03.2020 | 12
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Cloud
➢ Daten und Services aus der Cloud lassen sich aus wirtschaftlichen, funktionalen Gründen und auch
  wegen externer Verfügbarkeit (dort Sicherheit) nicht mehr vermeiden.
➢ Es ist auch unrealistisch, dass man nur mit einem Cloud Anbieter zusammenarbeitet. Je nach
  Anforderung sind hybriede Ansätze an der Tagesordnung.
➢ Die AGB der Anbieter sind von KUM Unternehmen kaum beeinflussbar. Wichtig ist, dass man bei der
  Entscheidung den Datenschutzbeauftragten ( was geht in die Cloud und wie sehen die Verträge aus )
  und die Security ( Bewertung der Zugangswege ) von Anfang an mit mit Boot hat. Die Rechenzentren der
  Anbieter sind in der Regel sicherer als die, die wir uns selbst leisten können.
➢ Bei allen Entscheidungen ist immer auch zu bewerten wie ein Cloud Exit aussehen kann. Dabei ist es
  auch wichtig sich die eigenen Skills soweit zu erhalten, dass man nicht in eine totale Abhängigkeit gerät.
➢ Im Bezug auf Security sehen wir hier kaum Bedenken. Ein öffentlich bekannt gemachtes Leck wäre das
  wirtschaftliche Aus des Anbieters.

          Cloud | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com                  12.03.2020 | 13
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

M2M – Predictive Maintenance
➢ Seit etwa 2 Jahren werden die Geräte unserer Vertragslieferanten mit Connect Systemen ausgestattet.
  Diese sammeln Daten in der jeweiligen Hersteller Cloud.
➢ Über feste Geräte Händlerzuordnung oder auch über Ortung des Gerätes und damit flexibele
  Händlerzuordnung werden die so gewonnenen Daten verdichtet in Form von XML oder Webservices an
  uns verschickt.
➢ Wir haben unsere IT-Systeme so erweitert, dass die Daten in unseren ERP Systemen entsprechende
  Prozesse antrickern.
➢ Durch diese Verfahrensweise ist der Webzugang für die Datensammlung völlig von den opterativen
  Netzwerken abgekoppelt und stellt damit kein Risiko dar.

          M2M - Predictive Maintenance | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com   12.03.2020 | 14
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Datensicherung
➢ Daten halten wir grundsätzlich nur Zentral. Das vereinfacht deren Verwaltung uns stellt deren
  Hochverfügbarkeit sicher.
➢ Auf zwei in unterschiedlichen Gebäuden stehenden Storageeinheiten von IBM spiegeln wir unsere
  Datenbestände. Unsere Hostsysteme zwei Systeme i werden einmal täglich mit einem Snapphot
  eingefroren und auf einem Dell Storage für die Bandsicherung bereit gestellt. Dabei werden die Systeme
  für etwa 1 Minute eingefrohren. Wir gewähren damit einen 7x24 ausfallfreien Betrieb. Zur schnellen
  Wiederherstellung können wir auf 30 Tagesbestände auf dem Storage zurück greifen. Während des
  Tages können wir über Journaling entsprechnde Rollbacks steuern.
➢ Die Daten aus der Microsoft Welt werden stündlich mit einem Snapshot über VEEAM auf das Dell
  Storage gesichert und in der Nacht auf eine Tagesversion konsolidiert.
➢ Die Tägliche Bandsicherung (ULTRIUM 7) erfolgt für beide Welten auf ein gemeinsames Tagesband.

          Datensicherung | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com        12.03.2020 | 15
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Datenschutz / DSGVO / Mitarbeiter Sensibilisierung
➢ Datenschutz ist kein reines IT Thema. Außer technischen Maßnahmen bestimmen hier vielmehr
  organisatorische und verhaltensbedingte Faktoren die Aufgaben. Ganz im Gegenteil die IT ist hier als ein
  zu überwachendes Risiko einzustufen, das sich nicht selbst überwachen kann.
➢ Wir haben einen externen Datenschutzbeaufragten bestellet. Dieser ist Fachmann für diese Aufgabe
  und er kann seine in anderen Unternehmen gesammelten Erfahrungen als Mehrwert mit einbringen.
➢ In unserem Firmen Wiki wird einmal monatlich ein Newsleter des Datenschutzbeauftragten
  veröffentlicht. Dies greift aktuelle Bedrohungen auf und gibt entsprechnde Handlungsanweisungen.
➢ Bei Mitarbeiterversammlungen oder auch in Bereichsbesprechungen ist der Datenschutzbeauftragte
  mehrfach im Jahr als Referent und Ansprechpartner präsent. Natürlich kann er über E-Mail und Telefon
  auch jederzeit direkt erreicht werden.
➢ In regelmäßigen Abständen besucht er nach dem Zufallsprinzip Mitarbeiter am Arbeitsplatz oder auch
  im Außendienst.

                                                                                                                                 12.03.2020 | 16
          Datenschutz / SGVO / Mitarbeiter Sensibilisierung | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com
CYBER SECURITY IM MITTELSTAND. WIE MAN GROßE ANFORDERUNGEN MIT BEGREN ZTEN RESSOURCEN BEWÄLTIGT.

Zusammenfassung und Empfehlungen
➢ Cyber Security ist eine sehr vielschichtige Herausforderung. Es ist eine ständige Challenge zwischen
  Angreifer und Abwehr. Wie im Sport sollte man hier täglich trainieren um vorne zu bleiben um das
  Unternehmen nicht in der Existenz zu gefährden.
➢ Je nach Branche sind die Anforderungen unterschiedlich hoch aber bitte niemals zu unterschätzen.
➢ Ohne aktives Patchmanagement sind die Systeme offen wie Scheunentore. Dies gilt nicht nur für die
  Server sondern vielmehr auch für dies Devices im Endpoint (z.B. auch für MFP Drucksysteme)
➢ Berichten Sie regelmäßig nach Oben und nach Unten. Nur so gelingt es das Thema präsent zu halten
  und ihm den richtigen Stellenwert zu verschaffen. Ja es ist eine Art Versicherung aber halt eine für ein
  die Existenz bedrohendes Risiko.
➢ Machen Sie nicht alles selber. Es gibt genügend Profis die das besser können. Das Wissen und die
  Arbeitskraft unser IT Mitarbeiter brauchen wir viel dringender um unsere Prozesse voran zu bringen.
➢ Stellen Sie eine Risiko Analyse auf und gehen Sie problemorientiert nach Prioritäten vor. Zuviele
  Baustellen lösen keine Probleme sonder schaffen nur neue.

                                                                                                                12.03.2020 | 17
          Zusammenfassung und Empfehlungen | Cyber Security im Mittelstand | Burkhard Fertig | www.suffel.com
Danke für Ihre
Aufmerksamkeit.

Ihr Ansprechpartner                Hauptfirmensitz
Brukhard Fertig                    Wailandtstraße 11
Telefon: +49 6021 861-246          63741 Aschaffenburg
Mail: burkhard.fertig@suffel.com   Tel. 06021 861-0
www.suffel.com
Sie können auch lesen