Security

Application Security

Application Security ist heutzutage, durch die Allgegenwärtigkeit von Software einer der bekanntesten Aspekte der Security Branche. Dabei ist das Ausnutzen von fehlerhaftem Code nur ein ganz kleiner Teil.

Die meiste Zeit wird bereits beim Design von Applikationen aufgewendet. Fragen wie: Welches Communications Model soll verwendet werden, Client/Server oder doch nur Lokal? Welche Daten-Typen oder Technologien sollen genutzt werden? Wo sollen diese Daten gespeichert oder abgefragt werden? Wieviele Aufgaben soll das Betriebssystem übernehmen und welche Teile sollen in der Application Control bleiben?

Schon eine kleine Entscheidung beim Datenbank Model kann gravierende Auswirkungen auf die fertige Applikation haben. Doch glücklicher Weise gibt es Methoden und Tools, die schnell, sicher und iterativ auch den Security Aspekt berücksichtigen. Sie müssen nicht mehr auf Funktionalität verzichten, um Ihre Software sicher zu machen, ebenso wenig müssen Sie Ihre Entwickler Ressourcen verdoppeln, um einem Application Audit stand zu halten.

Alles was Sie tun müssen ist, Know-How aufzubauen und mit modernen Methoden in Ihren Software Release Prozess einbauen. So wird Application Security für Sie nicht zum Add-On sondern fester Bestand Ihrer Software.

Lassen Sie uns helfen.

Operations Security

Ihr IT-Betrieb ist nicht nur das Herzstück Ihrer IT-Verfügbarkeit sondern auch der Knotenpunkt für Operations Security.

Backup und Restore gehören genauso zum Thema Security, wie der RAID Verbund Ihrer Festplatten. Die Sicherheit Ihrer Datenverfügbarkeit, als auch Integrität, verdient dezidierte Aufmerksamkeit, um Ihren operativen Betrieb aufrecht zu erhalten.

E-Mail Security, das regelmäßige updaten Ihrer Betriebssysteme und Antivirus Software erfordert dezidierte Ressourcen und Know-How. Unsere Experten helfen genau dort aus, wo Sie sie brachen.

Regulations and Compliance

Regulations und Compliance sind mittlerweile ein nicht zu unterschätzender Aufwand, den fast jedes Unternehmen treiben muss. Selbst wenn Sie nicht ISO, SOX, PCI oder GMP Zertifiziert sind, müssen Sie sich zumindest an den Datenschutz oder die 6 European Union Priciples on Privacy halten.

• Definieren Sie welche Daten Sie sammeln müssen bevor Sie anfangen diese zu speichern.
• Daten können nur für den vordefinierten Grund genutzt werden.
• Unnötige Daten sollen nicht gespeichert werden.
• Daten sollen nur so lange gespeichert werden, solange Sie für eine bestimmte Aufgabe benötigt werden.
• Es sollen nur Personen Zugang zu Daten haben, die diese zur Erfüllung von Aufgaben benötigen.
• Wer auch immer für die Datenspeicherung zuständig ist darf nicht zulassen, dass diese unbeabsichtigt herausgegeben werden.

“Unwissenheit ist keine Entschuldigung für Fehlverhalten oder Missbrauch”, ist die Devise von allen Behörden und natürlich dem Gesetz.

Leider haben nur sehr wenige Unternehmen die Zeit und das Personal die Grundlagen, wie eine Security Policy und Prozess Dokumentation für Security Compliance zu schaffen. Wir nehmen Ihnen gerne die Arbeit ab und helfen Ihnen alle Zertifizierungen zu bestehen.

Business Continuity

Was machen Sie, wenn Ihr Datacenter oder Ihr Bürogebäude abbrennt, oder Sie wegen technischen Komplikationen alle Daten verlieren.

Mit uns entwickeln Sie einen klaren Business Continuity Plan

• Business Impact Analyse
• Präventive Kennzahlen
• Recovery Strategien
• Business Process Recovery
• Facility Recovery
• Supply and Technology Recovery
• Umgang mit End-User
• Data Backup Alternativen
• Versicherungen
• Entwicklung der Ziel für alle Pläne
• Implementierung der Strategien
• Testen und Beurteilen den Pläne

Network Security

Netzwerk Security bedeutet nicht nur Firewalls und Proxies zu installieren. Network Security fängt schon bei der intelligenten  Netzwerk Architektur an. Klassifizieren Sie Ihre Daten in unterschiedliche Security Level, welche die Wichtigkeit diese Informationen beschreibt. Anschließend definieren Sie Zonen und Kommunikationswege von Applikationen und Komponenten. Setzen Sie nun die Daten in die richtige Zone und Sie hindern bereits die meisten Angreifer Ihre Ziele zu erreichen.

In den nächsten Schritten bestimmen Sie alle Zugangspunkte zu Ihren Daten und überlegen die verschiedenen Lines of Defense. Dabei sollten Sie sowohl die TCP/IP Layer als auch die verschiedenen Technologien berücksichtigen, die Sie in Ihrer Verteidigungslinie einsetzen möchten.

Vergessen Sie nicht Monitoring und Alerting für Früherkennung und forensische Analyse einzubauen. Nur so erkennen Sie Angreifer rechtzeitig und können reagieren bzw im schlimmsten Fall nachvollziehen, wie der Eindringling vorgegangen ist.

Planen Sie Ihre Network Security mit uns. 

Security Architecture und Design

Ist-Status evaluieren, Policy definieren, auf Security Models herunter brechen und die Security Modes betreiben. So einfach klingt der ganzheitliche Ansatz eine Security Architektur zu erstellen.

Doch bei genauem hinsehen bemerken Sie, dass es sehr viele Unterkategorien gibt, die Sie berücksichtigen müssen. Je nach Kerngeschäft und Geschäftsmodell müssen Sie andere Aspekte betrachten.

Ein Hardware Hersteller betrachtet Security Architektur aus der Sicht der Computer Architektur, wo CPU Protection Rings und die unterschiedlichen Zugriffe auf den Memory eine größere Bedeutung haben als bei einem Produktionsbetrieb. Bei diesem liegt der Fokus oftmals bei der System Architektur und dem bedingungslosen Weiterlaufen der zu produzierenden Güter. Zutrittssystem und Zulieferungsprozesse für Rohstoffe benötigen mehr Aufmerksamkeit als bei anderen Branchen.

Viele Unternehmen halten sich bei Security Architecture an die Richtlinien der Common Criteria. Wir gehen einen Schritt weiter. Wir betrachten die Auswirkungen von Security auf Ihren operativen Betrieb und finden Lösungen, die Sie nicht einschränken.

Access Control

Access Control beschreibt, wie Menschen und Systeme miteinander und mit anderen Systemen oder Ressourcen interagieren. Sie schützt sensible Informationen vor unbefugten Zugriffen durch Identifizierung und Autorisierung nach einer erfolgreichen Authentisierung.

Viele Unternehmen setzen Access Control Technologien ein, um Arbeitsabläufe zu vereinfachen. Mitarbeiter sollen von überall und am besten von allen Geräten Ihre Aufgaben bewältigen können. Ein einfaches Single Sign On am privaten Rechner soll Zugang ins Firmennetzwerk geben und das Arbeiten, wie am Arbeitsplatz möglich machen.

Diese Szenarien sind keine Wunschvorstellungen sondern reale Möglichkeiten, die mit dem richtigen Know-How und den nötigen Ressourcen sicher umgesetzt werden können. Auch bring your own device lässt sich sicher umsetzen.

Wir helfen Ihnen Ihre Wünsche zu erfüllen.

Physical and Environmental Security

Einige Unternehmen investieren riesige Summen in die Absicherung Ihrer IT-Infrastruktur. Sie installieren mehrere Lines of Defense, um Angreifer aus dem Internet abzuwehren. Dabei sind es oft die kleinen Dinge, die Hacker und Social Engineers einsetzen, um an die wichtigen Daten heran zu kommen.

Ein einfaches Beispiel sind Zutritts Systeme. Der Zutritt in die Firma ist zwar nur mit Karte zugänglich, aber oft gibt es keine unterschiedlichen Berechtigungen. Alle denken, dass es nur um den Zugang ins Stockwerk geht, doch die Karte sperrt auch die Tür zum Rechnerraum. Ein Eindringling braucht nur eine Karte stehlen und kann ungehindert außerhalb der Geschäftszeiten einen Keylogger zwischen Tastatur und Computer installieren.

Beim Nächsten Login des Admins für ein Backup oder ähnliche Routine Tätigkeiten, hat der Angreifer nun das Admin Passwort und kann sich ganz normal Zugang zu Ihrer Infrastruktur holen.

Der Physikalische Zugang ist einer der häufigsten Security Leaks mit der größten Erfolgsquote bei Angreifern. Lassen Sie Ihre Physical Security prüfen und setzen Sie die richtigen Maßnahmen.

Cryptography

Cryptography ist wohl der komplexeste Teil in der Security, aber glücklicher weise müssen sich die wenigsten Unternehmen direkt mit den mathematischen oder konzeptionellen Themen in der Cryptography beschäftigen.

Die meisten Firmen brechen diesen Teil der Security in die vereinfachte Verschlüsselung runter. Verschlüsselung von Daten und Festplatten sowie Verbindungen zu Applikationen. Schon der Einsatz von grundlegenden Cryptopgraphy Technologien, wie SSL verschlüsselte Webseiten bringt große Sicherheit. Eine strickte Passwort Policy mit monatlichem Änderungszwang, ist zwar oft lästig für einige User, schützt Sie aber wenn Sie vergessen sollten Passwörter zu ändern, wenn Sie Schlüsselpersonal verlieren.

Bereiche wo Verschlüsselung und Cryptography oft vergessen werden sind

• VoIP Telefonie.
• E-Mail Verschlüsselung bei geschäftskritischem Verkehr.
• Personen Daten Verschlüsselung bei externen Cloud Diensten.
• Verschlüsselung von Leitungen zwischen Rechenzentren.

Wir prüfen gern Ihre Anforderungen und finden den richtigen Grad an Sicherheit für Ihr Budget.