IT-Security

IT-Security Management

Security Management ist die Anstrengung, Anstrengungen zu ersparen ...

Operative IT-Security in den Händen von Experten

Wichtigstes Ziel bei der Umsetzung von Sicherheitsmaßnahmen ist die kontinuierliche Aufrechterhaltung des erforderlichen Schutzniveaus. Die Dynamic in der technologischen Entwicklung erfordert deshalb ein flexibles Design der Security Controls um neue Schwachstellen zu erkennen, zu beheben und potentielle Angreifer erfolgreich abzuwehren.

Nicht zuletzt die konsquente Aktualisierung der Systeme bedeutet für viele Unternehmen hohe Investitionen in Personal und Entwicklung. Mit unseren umfassenden Security Controls zum Schutz von Internet Services profitieren Sie von dem detaillierten Fachwissen unserer Spezialisten.

Zudem sparen Sie Kosten in die Entwicklung automatisierter Prozesse im Rahmen des Monitorings von Schwachstellen, des Patch-/Update-Managements und der Konfiguration von Sicherheitssystemen. Als Hosting Provider Ihrer Anwendung sind wir letztendlich bestens vertraut mit der Infrastruktur Ihrer Applikation und können schnell und gezielt auf neue Bedrohungen reagieren.

Technische Security Controls
Technische Security Controls wie Firewalls, VPNs und Intrusion Prevention Systeme sorgen für den Schutz aller Assets, Informationen und Daten hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit
Prozedurale Security Controls
Prozedurale Security Controls wie Software Inventarisierung, Schwachstellen Monitoring und Patch Management sind präventive Maßnahmen zur Abwehr von Angriffen und Verletzungen der Informationssicherheit
Security Audits und Reviews
Security Reviews überprüfen, ob technische Sicherheitsmaßnahmen und Prozeduren den Risikoeinschätzungen entsprechen und Sicherheits-Mechanismen regelmäßigen Tests unterzogen wurden.

Umsetzung individueller Security Policies

Bei der Definition von Security Policies für den operativen Betrieb muss auf Interessenskonflikte geachtet werden, die sich aus dem Funktionsdesign der Anwendung und den erforderlichen Schutzbedarf ergeben können. So erscheinen Regelungen in Muster-Policies oder Dokumentationen „aus dem Netz“ zwar sinnvoll, sind aber in der Praxis nicht anwendbar. Gerade bei komplexen E-Commerce Anwendungen ist ein fachübergreifendes Wissen erforderlich, um effektive Sicherheitsregeln zu definieren, die nicht permanent aufgrund funktionaler Probleme angepasst werden muss.

Unsere Experten für Netzwerk und Firewall Systeme, Systemadministration, Softwareentwicklung und IT-Security unterstützen Sie bei der Implementierung einer bedarfsgerechten Security Policy, die alle relevanten Themen wie Zugriffskontrolle, Update und Patch Prozesse, Datensicherung, Verschlüsselung und Schutz vor Denial of Service umfasst.

Application Security Management

Ein wirkungsvoller Schutzschild für Anwendungen und Daten bietet unser Application Security Service mit Web Application Firewall auf der Basis des Application Security Managers von F5. BIG-IP ASM ermöglicht die effiziente Abwehr ausgeklügelter Bedrohungen und filtert einen Großteil der illegalen Zugriffe.

BIG-IP ASM schützt vor den OWASP Top 10 gelisteten Sicherheitsbedrohungen wie Layer-7-DoS, SQL-Injection, XSS (Cross Site Scripting), Brute-Force und Zero-Day Angriffen. Der innovative Schutz ermöglicht auch die Abwehr von Heavy-URL Angriffen, betrügerischen Transaktionen und Session Hijacking.

Das System bietet proaktive Funktionen zur Abwehr von Bots und verfügt über integrierte Techniken wie CAPTCHA-Abfragen. So werden verdächtige Anfragen verlangsamt, um Bots zu ermitteln, und dann abgelehnt, bevor sie einen Server erreichen.

Die regelmäßige Aktualisierung von Signaturen sorgt dafür, dass auch neuartige Angriffe erkannt werden. Hierzu sendet das System automatisch Anfragen an den Signatur-Service von F5 und bringt sich somit selbständig auf den neuesten Stand.

Software Upgrade Policy

Ein wichtiges Thema für Security Policies sind Regelungen zum Upgrade von System- und Applikationssoftware. Hier sind klare Handlungsanweisungen an Management und Administratoren festzulegen, da gerade Software-Upgrades oftmals auf die lange Bank geschoben werden und somit ein Einfallstor für System-Exploits entsteht.

Bei der Aktualisierung von Betriebssystem und Anwendungen muss prinzipiell zwischen der Aktualisierung aufgrund von Sicherheitslücken (Patch) und dem Einspielen einer neuen Softwareversion (Upgrade) unterschieden werden. Für beide Prozesse bieten wir ein Software Repository, dass aktuelle Softwareversionen der Hersteller und selbst kompilierte Versionen bereitstellt.

Bei der Installation eines Patches bleibt der Funktionsumfang identisch und Kompatibilitätsprobleme können ausgeschlossen werden. Patches werden durch das Patchmanagement terminiert, wobei die Vulnerability Informationen der Hersteller bzgl. Bedrohung und Risiko bewertet werden. Ad hoc Patches werden signalisiert, wenn implementierte Sicherungsmaßnahmen (Hardening, Firewall) keinen ausreichenden Schutz vor einem Ausnutzen der Schwachstelle bieten.

Upgrades auf sog. Minor-Releases sind wie Patches meist für die Funktionalität der Anwendung unkritisch, da es sich ausschließlich um sog. Bug-Fixes und kleinere Funktionserweiterungen ohne Einfluss auf den Datenbestand handelt.

Software Upgrade Policy

Major-Release Upgrades

Major-Release Upgrades erfolgen ausschließlich nach Freigabe durch den Kunden. Vor der Installation neuer Major-Releases ist zunächst ein Imaging des produktiven Systems durchzuführen. Zudem ist die Rollback-Strategie zu beachten, die die Aufbewahrungszeit von Images und die Prozesse zur Rückkonvertierung von Daten beinhaltet.

Bei Upgrades mit Konvertierung des Datenbestandes, ist die Installation des Major-Releases zunächst auf einem Clone System durchzuführen und die Funktionalität zu überprüfen. Die Tests müssen Datenkompatibilität, Sicherheit (Security Audit) und Nebenwirkungen auf andere Systeme abdecken.

Um den Aufwand von Major-Release-Upgrades in Grenzen zu halten ist die operative Version von Betriebssystem und Anwendung turnusmäßig zu aktualisieren. Die installierte Softwareversion auf den für wichtige Betriebsprozesse benötigten Systemen darf im Regelfall nicht um mehr als zwei Major-Release von der vom Hersteller freigegeben Version abweichen. Für die Systeme sind Upgrade-Verträge (Subscriptions) mit den Herstellern abzuschließen.

Security Reviews

Turnusmäßig stattfindende Security Reviews mit unseren Kunden bringen Transparenz in die Umsetzung von Security Policies und zeigen ob Sicherheitsvorfälle zielgerichtet behandelt wurden. Zudem werden einzelne Prozesse wie das Change Management auf Korrektheit in der Umsetzung und Vollständigkeit der Dokumentation geprüft. In Security Reviews wird auch festgelegt, ob und wie veränderte technische oder regulatorische Rahmenbedingungen in der Security Policy abgebildet werden müssen.

Der richtige Weg zu einem kontinuierlich hohen Sicherheitsniveau mag am Anfang anstrengend sein, wenn sich die Prozesse einmal eingespielt haben, ist er leichter als vermutet.