SICHER3 | IT-Sicherheit

Cookie-Name	Domain	Beschreibung	Gültigkeit	Sicherheit
csrftoken	sicher3.de	Das CSRF-Token wird serverseitig generiert und enthält keine Benutzerdaten. Es wird zum Schutz gegen Cross Site Request Forgery (CSRF) Angriffen genutzt.	Sitzung	HTTPS
sessionid	sicher3.de	Die Session-ID wird serverseitig generiert und enthält keine Benutzerdaten. Sie wird genutzt um Benutzeranfragen einer Sitzung zuzuordnen und auch bestimmte Funktionen zu ermöglichen (CSRF, Login, Warenkörbe, etc.).	7 Tage	HTTPS
sicher3_open_basket	sicher3.de	Speichert Informationen zu offenen Warenkörben des Besuchers.	7 Tage	HTTP
wtm	sicher3.de	Speichert Informationen bzgl. der Einstellungen bei der Datenverarbeitung.	1 Jahr	HTTPS

Cookie-Name	Domain	Beschreibung	Gültigkeit	Sicherheit
_pk_id.*	.sicher3.de	Speichert eine eindeutige Benutzer-ID für die Webseitenbesuche	13 Monate	HTTP
_pk_ses.*	.sicher3.de	Wird benutzt um temporär Daten von vom Webseitenbesuch zu speichern.	30 Minuten	HTTP

IT-Sicherheit schützt vor Schäden

Bist Du dir über die Risiken bewusst, die deinem Unternehmen durch einen (einfachen) Sicherheitsvorfall drohen können?
Wir geben Dir einen Überblick, was IT-Sicherheit bedeutet und welche Ziele sie verfolgt, damit mögliche Risiken reduziert und damit auch die negativen Auswirkungen gesenkt werden können.

IT-Sicherheit (oder auch Angriffssicherheit, IT-Security) bezeichnet die Sicherheit gegen Angriffe auf IT-Systeme und deren Abläufe. Diese kann durch die Reduktion von Schwachstellen in Software oder durch Sicherheitsmaßnahmen erreicht werden.

Geeignete IT-Sicherheitsmaßnahmen schützen dein Unternehmen vor folgenden Schäden:

Wirtschaftlicher Schaden: Dein Unternehmen könnte durch einen Sicherheitsvorfall (z. B. eine verschlüsselte Festplatte und die Forderung von Geld für die Entschlüsselung) direkten finanziellen Schaden erleiden.
Image- oder Reputationsschaden: Durch einen Sicherheitsvorfall könnten die Medien hellhörig werden und dein Unternehmen würde Negativschlagzeilen machen, z. B. mit der Veröffentlichung von Klartextpasswörtern deiner Kunden.
Sozialer Schaden: Durch einen Identitätsdiebstahl von einem deiner Mitarbeiter oder Dir könnten Kriminelle unter dem Namen deines Unternehmens falsche Informationen veröffentlichen. Dadurch entstehen meist soziale Schäden.

Um das Risiko der oben genannten Schäden zu minimieren, verfolgt die IT-Sicherheit in der Regel drei Hauptziele (engl. CIA):

Vertraulichkeit (engl. Confidentiality)

Integrität (engl. Integrity)

Verfügbarkeit (engl. Availability)

Immer häufiger gehört auch Authentizität (engl. Authenticity) zu den Zielen dazu (CIAA).

Was die einzelnen Ziele der IT-Sicherheit genau bedeuten, erfährst du unter Wissenswertes.

Wir helfen Dir, dein Unternehmen sicherer zu machen

Du weißt nicht, ob Du ausreichende Sicherheitsvorkehrungen getroffen hast? Du willst wissen, ob bestimmte Mechanismen für Dich in Frage kommen? Du willst eine einfache und klare, nicht technische Erklärung für Sicherheitsmechanismen?

Deine Fragen rund um die IT-Sicherheit haben Antworten verdient – damit Du handeln kannst und keine Zeit mehr verlierst. Wir stehen Dir gerne zur Seite.

Wir können Dir in den folgenden Bereichen helfen...

Netzwerk- und Infrastruktursicherheit: IT-Netzwerke bilden in Zeiten der Digitalisierung eine wichtige Grundlage, dass alle Unternehmensprozesse reibungslos funktionieren. Umso wichtiger ist es die Sicherheit und die Architektur der Netzwerke ständig zu kontrollieren und ggfls. zu optimieren. Oft kann nicht nur die Sicherheit für Angreifer erhöht werden, sondern auch Kosten gespart werden. Eine Ebene höher sind meistens Server, die eine wichtige Grundlage für Unternehmensapplikationen bilden. Hier müssen auch gewisse "Sicherheitshausaufgaben" erledigt werden, damit ein sicherer Betrieb gewährleistet ist und bleibt.
Softwaresicherheit: Die Digitalisierung erhöht die eingesetzten Softwareprodukte jeden Tag. Egal, ob Eigenentwicklung oder Fremdentwicklung, eine Analyse ob und wie sich die Software sicher im Unternehmenskontext einsetzen lässt, wird immer wichtiger. Gezielte Handlungsempfehlungen können schnell einen spürbaren Sicherheitsgewinn bedeuten.
Benutzbare Sicherheit / Security Awareness: Mit Security Awareness bezeichnen wir die Sensibilisierung von Mitarbeitern und Bürgern für bestimmte Sicherheitsrisiken. Es gibt mittlerweile sehr viele Sicherheitstechnologien auf dem Markt. Viele davon sind nützlich, nur meist ist nicht ganz klar, ob diese im spezifischen Umfeld benötigt werden. Security Awareness soll hier zwei Probleme lösen: Mitarbeiter und Bürger auf bestimmte Sicherheitsprobleme aufmerksam machen und geeignete Sicherheitsmaßnahmen an die Hand geben. Die Sicherheitsmaßnahmen müssen benutzbar bleiben, sonst werden sie nicht eingesetzt. Nicht eingesetzte Sicherheitsmaßnahmen sind leider unnötig...

Konkret können wir Dir folgendes anbieten...

Basisberatung: Wir holen Dich in den oben genannten Themen dort ab, wo Du stehst und helfen Dir dabei, dass Du sofort gezielt überlegen kannst, wie Du dein Unternehmen sicherer machen kannst. Wir haben vereinfachte Listen für die Grundsicherheit erstellt und können Dir ganz individuell einen Überblick für deine Unternehmensgröße – auch für Ein-Mann-Betriebe und Selbstständige – geben.
Gezielte Begleitung bei bestimmten Themen: Durch die Vielzahl an abgeschlossenen Projekten, haben wir viel Erfahrung bei der Projektbegleitung als technischer Ansprechpartner.
Umsetzung von Sicherheitslösungen: Eine Vielzahl von Sicherheitslösungen können wir optimal auf Dich zugeschnitten in dein Netzwerk/Software integrieren.
Vorträge: Im Rahmen von Vorträgen kann ein bestimmtes Thema sehr klar und verständlich für Bürger und Mitarbeiter (auch nicht technisches Personal) so aufbereitet werden, dass dann sinnvolle Gegenmaßnahmen ergriffen werden können.

Falls Du eine Leistung suchst, die wir hier nicht aufgelistet haben, melde Dich sehr gerne bei uns. Wir besprechen eine individuelle Ausgestaltung in einem persönlichen Gespräch.

Wir geben Dir einen Eindruck, was wir schon mit unseren Kunden erreicht haben

SICHER3 ist Dein zuverlässiger Partner rund um IT-Sicherheit und IT-Infrastrukturen. Nutze unser Wissen und unsere Erfahrung für dein Projekt. Gerne zeigen wir Dir eine Auswahl der vielfältigen Projekte, die wir bereits umgesetzt haben.

Bitte habe Verständnis, dass wir keine Kunden nennen, da wir großen Wert auf deren Privatsphäre legen.

Vulnerability Management mit Nessus

Der Kunde hat bereits ein hohes Maß an Sicherheitsvorkehrungen. Als zusätzliche Maßnahme sollte nun ein Schwachstellenscanner zum Einsatz kommen. Die gefunden Schwachstellen sollten so aufbereitet werden, dass ein Team diese beheben und lösen kann. Zuerst musste ein passender Schwachstellenscanner ausgewählt und danach in die (Cloud-)Systemlandschaft eingebettet werden.

Ausgeführte Aufgabe: Wir haben den Kunden bei der Auswahl eines geeigneten Schwachstellenscanners unterstützt. Er beauftragte verschiedene Hersteller mit einer Vorführung verschiedener Produkte. Nach erfolgreicher Auswahl durch den Kunden auf Nessus Professional wurde dieser in die Systemlandschaft virtuell eingebunden, konfiguriert und mit sinnvolle Zeitpläne und sinnvolle regelmäßige Scans festgelegt.

Projektergebnis: Erfolgreiche Auswahl eines Produkts zum Schwachstellenscannen, erfolgreiche Inbetriebnahme von Nessus Professional und Übergabe an den Kunden.

Methodik/Technologie: Nessus, Schwachstellenscanner, Linux, Debian, Sicherheitsmaßnahmen

Erweitertes Monitoring mit Graylog und Prometheus

Der Kunde betreibt ein komplexes Netzwerk, wo alle Geräte und Dienste lokale Protokolldateien befüllen. Im Rahmen einer Optimierung des Netzwerks soll ein zentraler Platz für Logdateien geschaffen werden, der es dann ermöglicht kosteneffizient ein SIEM aufzubauen.

Ausgeführte Aufgabe: Wir planten ein System, was aus Graylog/Prometheus besteht und eine Anbindung an verschiedene Kollaborationsplattfomen (Slack, Teams) hat. Die komplette Installation und Konfiguration lag in unserer Verantwortung. Dies umfasste die Installation aller Komponenten und auch Reverse Proxies. Nach Inbetriebnahme wurde das System dem Kunden übergeben und nach und nach Protokolldateiquellen hinzugefügt. Wir konfigurierten viele Kundensystem so, dass sie hauptsächlich im Syslog-Format Daten an das neu aufgebaute Graylog-System senden.

Projektergebnis: Erfolgreiche Inbetriebnahme und Integration des Graylog und Prometheus Verbunds in ein bestehendes Netzwerk. Kundenanforderungen wurden übertroffen, da bereits weitere Funktionalitäten als nur ein zentraler Logserver entstanden sind.

Methodik/Technologie: Nginx, Graylog, Elastic Search, Grafana, Promtheus, Syslog , Elasticsearch, Ubuntu 18 LTS

Planung, Konzeption und Implementierung einer DMZ

Durch neue Anforderungen des Kunden in Bezug auf öffentlich verfügbare Webservices, sowie die Einführung einer Mobile Device Management (MDM) Lösung war es erforderlich eine DMZ zu planen und in das bestehende Netzwerk zu implementieren. Weitere Anforderungen waren u.a. ein Sicherheitsgateway für Webanwendungen.

Ausgeführte Aufgabe: Wir analysierten die Gegebenheiten, so dass die Integration einer DMZ mit möglichst wenig Ausfallzeiten möglich war. Das Firewallsystem (pfSense) wurde im Zuge des redundant aufgesetzt. Nach der Planungs- und Konzeptphase war ein reibungsloser Übergang gewährleistet. Wir installieren gemeinsam mit dem Kunden ein Sicherheitsgateway basierend auf Apache2, einer Web Application Firewall (Mod Security) und Client Certificate Authentication. Jeder Client benötigt nun Zertifikat, dass eine Verbindung überhaupt aufgebaut werden kann. Andere Systeme wie z.B. ein Proxy wurden umgezogen. Den Dienstleister für die MDM-Lösung wurde von uns unterstützt.

Projektergebnis: Erfolgreiche Inbetriebnahme der DMZ und Gewährleistung eines ausfalllosen Übergangs. Erfolgreiche Inbetriebnahme des Sicherheitsgateways und erfolgreicher Umzug des Proxys.

Methodik/Technologie: pfSense, IP, Routing, Websicherheit, Web Application Firewall, Apache2, SSL/TLS, PKI, CARP, Client Certificates, mod_security, iptables, TCP/IP

Planung und Umsetzung einer sicheren Übertragungsmethode an Fahrzeuge des Kunden

Der Kunde hat mehrere Dienstfahrzeuge, die auf eine Intranetanwendung zugreifen können sollen. Es musste gewährleistet werden, dass keine Unbefugten zugreifen können. In den Dienstfahrzeugen soll die Konnektivität über das Mobilfunknetz stattfinden.

Ausgeführte Aufgabe: Es wurde eine pfSense Firewall Appliance von Netgate mit Reverse Proxy Funktionalität und Intrusion Detection System in das Netzwerk geplant und integriert. Zusätzlich haben die Geräte in den Dienstfahrzeugen Client Zertifikate erhalten, die sie eindeutig identifizieren. Wir waren verantwortlich für die Integration, Konfiguration und Inbetriebnahme der Firewall. Konfiguration aller beteiligten Services wie z.B. DHCP-Server. Ein Dyndns Service wurde genutzt, da es sich hierbei um ein Internetzugang mit dynamischer IP handelte.

Projektergebnis: Erfolgreiche Inbetriebnahme und funktionale Tests in den Fahrzeugen des Kunden.

Methodik/Technologie: pfSense Firewall Appliance, DHCP, Squid als Reverse Proxy, Snort als IDS, OpenVPN, Dyndns

Benutzerbarkeit von S/MIME und PGP

Verschlüsselung und Signaturen in E-Mails waren zum Zeitpunkt des Forschungsprojekt (auch heute noch) wenig genutzt. Ziel war es zu analysieren, welche Hemmnisse und Probleme es bei der Nutzung von PGP und S/MIME im E-Mail-Versand gibt.

Ausgeführte Aufgabe: Wir waren verantwortlich für die technische Umsetzung, der notwendigen Projektdokumentationen und Durchführung von Nutzerstudien. Zusätzlich haben wir das Controlling des Budgets übernommen, sowie die Mitarbeiter koordiniert.

Projektergebnis: Erfolgreiche Nutzerumfrage und Ableitung von Verbesserungen für E-Mail-Clients.

Methodik/Technologie: PGP, S/MIME, Nutzerumfragen, Outlook, Thunderbird

Wir können hier nicht alle Projekte dieses Themengebiets ausführen. Weitere Schwerpunkte, zu denen wir unsere Kunden bisher erfolgreich unterstützt haben, sind:

Verschiedene Projekte mit der Erstellung von Sicherheitsanalysen,
Erstellung von Schulungsmaterialien für Cyber Sicherheit,
Sicherheitskonzepte für Webanwendungen,
Hardening von Systemen.

Sprich uns gerne an, wenn Du weitere Informationen für Dein geplantes Projekt brauchst.