IT-Sicherheitskonzept

Ganz allgemein....


1. herausfinden was die Firma braucht (Zugang von aussen auf was? RAS? VPN? Citrix? SSH? MAIL? / Serverdienste: Datenbanken? Mail?Webserver?)

2. Wenn man weiss was gebraucht wird kann man anfangen zu planen.

Prinzipiell ist es ja meist so ungefähr


"böses Internet"--------DMZ(Webserver/Frontends)--Firewall---LAN--Server-Backend / Intranet Clients

Zugriff vom Internet sollte (möglichst) in der DMZ enden (VPN Hardware / Web Frontends / Terminaldienste). Server in der DMZ (Frontends) regeln Zugriff auf Ressourcen im Intranet von aussen.

Im Intranet selbst das übliche - SUM oder SMS für Updates (Windows), Antivirensoftware die zentral verwaltet wird.


Naja - wie du selbst sagst, es gibt viele Möglichkeiten.

Hi david

Das muss ich dem Torsten Recht geben. (nur um keine Gerüchte entstehen lassen: ich kenne den Torsten72 nicht!)

Was dir duno geschrieben hat sind die Standard-Eckdaten, welche jedem Admin klar sein sollten...wenn wir nicht von Heim-PCs sprechen!
Bitte formuliere dein Posting so um, dass wir dir konkrete Antworten geben können.

gretz drop

Mit den Hinweisen "Windows Netzwerk" und "Mobile Anwender" hast du zwei Dinge genannt, mit denen man schon etwas anfangen kann, wenn man richtig liest

Wenn man Benutzer hat, bietet sich eine Benutzerdatenbank an. Diese dient der Authentifizierung der Benutzer und der Regelung auf welche Ressourcen ein User zugreifen können soll.

Wenn man Active Directory als zentrale Userdatenbank nimmt (was sich in einem Windows Netzwerk anbietet) bietet es sich an, alles darauf auszurichten. Will man im Netz WLAN betreiben, ist 802.1X Authentifizierung für WLAN User sicher und flexibel.
Da die meisten Access Points Radius Authentifizierung bzw. 802.1X unterstützen, und kein Kerberos, benötigt man dazu einen Dienst der Radius Pakete verstehen kann. Von Microsoft wird hierzu der IAS (Internet Authentication Server) angeboten. Dieser kann als Memberserver oder direkt auf dem DC betrieben werden.

Der letzte Schrei ist es, 802.1X im gesamten Netzwerk zu nutzen. Also auch für alle kabelgebundenen Rechner. Damit erlangt man u. U. die totale Kontrolle, wer wann was im Netz macht. Mit der richtigen Hardware Basis ist das so kompliziert garnicht, und viele Probleme die man sonst hätte sind damit gelöst.

Deine Frage ist mehr als Berechtigt, hängt aber davon ab was Du unter Sicherheitskonzept verstehst.
Lass Dich dabei nicht von den in diesem Fall häufige gemachten "praktischen" Tipps verunsichern - das sind meist maßnahemn die sich aus einem Sicherheitskonzept ableiten. Ein IT-Sicherheitskonzept hat nur sekundär was mit Firewalls usw. zu tun, sondern setzt viel früher an.
Auch ich kann Dir hier nur einen von vielen möglichen Vorgehensweisen nennen:
Zunächst musst Du herausfinden vor was Du dich bedroht fühlst. Dazu gehören unter anderem
- Ausfallszenarien (Server fällt aus, Serverraum brennt, Internet geht nicht mehr etc.)
- Angriffsszenarien (Hacker, Script-Kiddies, Spionage)
- Häufige "Fehler" (Viren, Trojaner, fehlerhafte Programme, misslungene Updates)
- Fehlbedienungen durch Personal (unzufriedener Admin, gekündigter Mitarbeiter, DAU ....)
und noch sicherlich eieniges mehr.
All diese Punkte bringst Du nun zu Papier - dann überlegst Du dir

1. Wie hoch schätzt Du die Gefahr ein (Eintrittswahrscheinlichlkeit)
2. Wie hoch wird der Schaden sein wenns doch passiert (Schadensausmaß)
3. Welche Massnahmen werden eingeleitet um das zu verhindern.

Ein ziemlich guter Ansatz dazu ist das Grundschutzhandbuch des BSI (Ist kostenlos zum Download) und gibts auf cielen Messen als CD gereicht. Problem ist nur sich da durchzuhangeln (gedruckt sind es soweit ich mich erinnere mehr als tausend Seiten mit Fragen).
Ansonsten gibt es viele Dienstleister die hier Hilfestellung bieten - aber ein paar tausender musst Du dabei schon umdrehen.

Klar - man kann immer bei Adam und Eva anfangen und ALLES was irgendwie mit IT zu tun hat, durchdenken. Unter einem IT Sicherheitskonzept verstehe ich schon eher Sicherheit vor Angriffen u. Schädlingen. Dass ein Redundanz- und Backupkonzept auch zur IT gehört ist klar, hat aber (zumindest für mich) nichts mit IT Sicherheit zu tun, sondern mit Verfügbarkeit.
So wie ich den Thread verstehe, will der Threaderöffner einfach Informationen, wie er in einem windowslastigen Netzwerk unter Einbindung mobiler Anwender (Zugriff von extern? WLAN-User?) Zugriff auf Netzressourcen geben kann und gleichzeitig die Sicherheit des Netzwers vor ANGRIFFEN und SCHÄDLINGEN gewährleisten kann.
Bissi konkreter hätte die Frage schon ausfallen können...
Fallstudien gibts bei www.microsoft.de bestimmt. Ob man nach denen gehen kann weiss ich nicht. Ein Linux Überzeugter wird dir wieder was ganz anderes erzählen, was sicher ist....
Das BSI ist für grundsätzliche Infos auf jeden Fall eine Empfehlung wert.

Versteh mich nicht falsch - dein Post macht einen professionellen Eindruck. Allerdings kriegt man für teures Geld von Beratern auch gerne auf 300 PDF-Seiten und bunten Folien professionell verpacktes Allgemeinwissen präsentiert, auf das man mit 10 Min. nachdenken auch selber gekommen wäre. Hängt natürlich auch von der Grösse des Unternehmens ab, was da sinnvoller ist...
Mein Ding ist - Technik so kompliziert wie nötig, doch so einfach wie möglich.

Ich geh ins Bett.

Du hast Recht, die Frage nach dem Sicherheitskonzept ist wirklcih sehr allgemein gestellt.
Leider ist es so, dass wirklich über den Tellerrand geschaut werden muss, wenn das Thema Risiko und Sicherheit angesprochen wird.
Nur ein Beispiel: Was nutzt mir die tollste unknackbare Firewall, wenn diese offen rumsteht - jeder AZUBI die Admin-Passwörter hat, und zufällig gerade einer seinen Kaffee über der CPU ausgeschüttet hat ?
Was nutzt die gleiche Firewall, wenn die Mitarbeiter selbst die tollsten Trojaner aus dem Internet installieren können ?
Letztlich wollen dieses Konzept zumeist Prüfer sehen, welche wiederum die Finanzgeber zufrieden stellen soll. Ohne ganzheitliches Konzebt bist Du da ziemlich aufgeschmissen.

Was die Berater angeht, hast Du auch recht. Die meisten sammeln nur fleissig Powerpoints.
Ich hatte da ziemlich Glück und konnte mit guten Beratern (Integralis) das eigentliche Basiskonzept innerhalb von 2 Woche aufsetzen - Leider hängt noch brutal viel Nacharbeit in der echten Umsetzung daran (> 1 Mannjahr, aber auch ziemlich komplexe