Workshop Sicherheit

IT-Sicherheit ist keine spezielle Software - es ist vielmehr ein Unternehmensprozess

Die Sicherheit von IT-Systemen ist ein wesentlicher Bestandteil um eine vertrauensvolle Zusammenarbeit zwischen Unternehmen und Nutzern zu gewährleisten, sowie die Daten des Unternehmens und der Nutzer (nicht nur im Sinne der DSGVO) zu schützen. Gerade bei der Kommunikation zwischen Unternehmen sind Themen wie Vertraulichkeit, Integrität und Authentizität unerlässlich.

Das BSI sieht im Rahmen des deutschen IT-Grundschutzes regelmäßige Sicherheitsaudits als zwingend erforderlich an, um den sich verändernden Gefährdungen immer mit den geeigneten Maßnahmen begegnen zu können.

Durch die Schaffung eines solchen Unternehmensprozesses kann ein höchstmöglicher Sicherheitsstandard realisiert werden.

Einige potentielle Gefährdungen sind nachfolgend gelistet.

Abhören

von unverschlüsselter Kommunikation ist viel leichter als die meisten Nutzer ahnen und technisch einfach.

SPIT

ist die Abkürzung von “Spam over Internet Telephony” und geht von riesigen Botnetzen aus.

Angriffe

können erheblichen Schaden anrichten. Eine externe DDOS-Attacke ist dabei noch die einfachste Form.

Ausfälle

von zentralen Systemen sind mit viel Ärger verbunden. Über Redundanz wurde zwar gesprochen, aber…

Toll Fraud

ist ein Gebührenbetrug mittels unerlaubter Nutzung von PSTN – Gateways durch Unbefugte.

Zugang

von unbefugten Personen oder Systemen und eine mangelnde Passwortpolicy sind ein hohes Risiko.

Schadcode

kann über verschiedene Wege auf Systeme gelangen und von dort weiteren Schaden anrichten.

Überlast

mangels technischer Ressourcen oder Fehlplanung kann den Betrieb gefährden oder behindern.

Beispiel - Expressway / CUBE

Auf den Internetanbindungen mittels Cisco Expressways oder CUBE sind regelmäßig SPIT-Anrufe zu sehen.

Diese dienen dem Ausspähen von Rufnummern, unerlaubten Zugängen zu Gateways, Konferenzen und Endsystemen oder der Werbung und belasten nicht nur die Infrastruktur sondern sind auch lästig.

Eine einfache Möglichkeit der Verbesserung sind hier Call-Policies.

Workshop - Methodik

Zur Erreichung Ihrer IT-Sicherheitsziele werden zunächst alle Gefährdungen für Ihre Videokonferenzsysteme oder UC-Umgebung tabellarisch gelistet und mit Ihnen gemeinsam nach den Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachprüfbarkeit klassifiziert und bewertet.

Dabei werden nicht nur die direkten Systeme beleuchtet, sondern auch Prozesse wie Service, Datensicherung, Archivierung und Restore.

Neben allen technischen Lösungen sind jedoch auch Administratoren und Anwender zu sensibilisieren, denn menschliche Fehler können nur schwierig technisch gelöst werden.

Die Matrix

Eventuelle Risiken werden in einer Matrix dargestellt. Dabei werden Eintrittswahrscheinlichkeit, mögliche Schadenshöhe und das daraus folgende IT-Risiko bewertet. Die sich daraus ergebende Ampelmatrix gibt dann einen Überblick über verbleibende Risken und eventuell notwendige zusätzliche Maßnahmen.

Vertraulichkeit

Systeme und Daten dürfen ausschließlich von autorisierten Benutzern gelesen oder verändert werden.

Integrität

Systeme und Daten dürfen nicht unbemerkt verändert oder manipuliert werden, alle Änderungen müssen nachvollziehbar sein.

Verfügbarkeit

Systeme und Daten müssen im Rahmen des SLA verfügbar sein, ungeplante Systemausfälle müssen verhindert werden.

Authentizität

Systeme und Daten müssen auf Echtheit und Vertrauenswürdigkeit geprüft werden können und dieses muss dokumentiert werden.

Nachprüfbarkeit

Nachprüfbarkeit von Systemen und Daten und Nichtabstreitbarkeit von Handlungen (z.B. von Administratoren).

4 Schritte zur
Umsetzung Ihrer Sicherheitsziele

Step 1

Workshop

Inhalt:
Festlegen Ihrer Sicherheitsziele und des Schutzbedarfs sowie Erläuterung der Best Practices für Sicherheit von Konferenzsystemen je nach Hersteller abgestimmt

Ziel:
Grobkonzeption und Übersicht der vorhandenen Systeme sowie Ihrer Anforderungen

Step 2

Analyse

Inhalt:
Detaillierte Analyse der vorhandenen Systeme in Bezug auf die im Step 1 festgelegten Sicherheitsziele, Prüfung notwendiger Maßnahmen abgestimmt auf Ihre Umgebung

Ziel:
Detaillierte Übersicht über evtl. Schwachstellen und Entscheid über mögliche Maßnahmen

Step 3

Report

Inhalt:
Schriftlicher Report von Step 2 und detaillierte Beschreibung der festgelegten Maßnahmen, Darlegung der Veränderung des Sicherheitsstatuses. Erneuter Review (Statusabhängig)

Ziel:
Detaillierte Beschreibung der durchzuführenden Maßnahmen mit Erfolgskonzeption

Step 4

Change

Inhalt:
Umsetzung der festgelegten Maßnahmen wahlweise durch Sie, Ihren Dienstleister oder durch araneco GmbH gemäß der im Step 3 festgelegten Maßnahmen, Konfigurationsarbeiten

Ziel:
Erhöhung der Sicherheit und Vorbereitung auf einen evtl. folgenden Penetrationstest Ihrer Umgebung

Planen Sie mit uns Ihren Workshop

Nutzen Sie unser Quick Formular, rufen Sie uns an oder schreiben uns eine ausführliche Kontaktanfrage.