IT-Sicherheitskonzept
Hallo Jungs !
Ich weiß eine pauschale Antwort auf die Frage "Wie soll ein IT-Sicherheitskonzept aussehen?" wird es nicht geben, aber es geht mir mehr um Eckdaten ?
Hat jmd. ein IT-Sicherheitskonzept bereits durchgeführt ? Allgemeine Fall-Beispiele in einem Windows-Netzwerk ? Mobile Anwender ? usw.
Über eine Hilfe wäre ich sehr dankbar.
Grüße
David Burkel
Ich weiß eine pauschale Antwort auf die Frage "Wie soll ein IT-Sicherheitskonzept aussehen?" wird es nicht geben, aber es geht mir mehr um Eckdaten ?
Hat jmd. ein IT-Sicherheitskonzept bereits durchgeführt ? Allgemeine Fall-Beispiele in einem Windows-Netzwerk ? Mobile Anwender ? usw.
Über eine Hilfe wäre ich sehr dankbar.
Grüße
David Burkel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 28693
Url: https://administrator.de/forum/it-sicherheitskonzept-28693.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
9 Kommentare
Neuester Kommentar
hi,
sicherheit vor was? - das jemand deinen rechner mit farbe anmalt? - stell ihn in den keller und mach ein schloss an die tür...
nein?
dann schreib mal eine liste, vor welchen szenarien dein rechner bzw. deine daten geschützt werden sollen... es gibt die vielfältigsten szenarien... für jedes dieser szenarien gibt es wieder vielfältigste lösungsmöglichkeiten mit vielfältigen prämissen. diese frage ist so nicht zu beantworten.
gruß torsten
sicherheit vor was? - das jemand deinen rechner mit farbe anmalt? - stell ihn in den keller und mach ein schloss an die tür...
nein?
dann schreib mal eine liste, vor welchen szenarien dein rechner bzw. deine daten geschützt werden sollen... es gibt die vielfältigsten szenarien... für jedes dieser szenarien gibt es wieder vielfältigste lösungsmöglichkeiten mit vielfältigen prämissen. diese frage ist so nicht zu beantworten.
gruß torsten
Ganz allgemein....
1. herausfinden was die Firma braucht (Zugang von aussen auf was? RAS? VPN? Citrix? SSH? MAIL? / Serverdienste: Datenbanken? Mail?Webserver?)
2. Wenn man weiss was gebraucht wird kann man anfangen zu planen.
Prinzipiell ist es ja meist so ungefähr
"böses Internet"--------DMZ(Webserver/Frontends)--Firewall---LAN--Server-Backend / Intranet Clients
Zugriff vom Internet sollte (möglichst) in der DMZ enden (VPN Hardware / Web Frontends / Terminaldienste). Server in der DMZ (Frontends) regeln Zugriff auf Ressourcen im Intranet von aussen.
Im Intranet selbst das übliche - SUM oder SMS für Updates (Windows), Antivirensoftware die zentral verwaltet wird.
Naja - wie du selbst sagst, es gibt viele Möglichkeiten.
1. herausfinden was die Firma braucht (Zugang von aussen auf was? RAS? VPN? Citrix? SSH? MAIL? / Serverdienste: Datenbanken? Mail?Webserver?)
2. Wenn man weiss was gebraucht wird kann man anfangen zu planen.
Prinzipiell ist es ja meist so ungefähr
"böses Internet"--------DMZ(Webserver/Frontends)--Firewall---LAN--Server-Backend / Intranet Clients
Zugriff vom Internet sollte (möglichst) in der DMZ enden (VPN Hardware / Web Frontends / Terminaldienste). Server in der DMZ (Frontends) regeln Zugriff auf Ressourcen im Intranet von aussen.
Im Intranet selbst das übliche - SUM oder SMS für Updates (Windows), Antivirensoftware die zentral verwaltet wird.
Naja - wie du selbst sagst, es gibt viele Möglichkeiten.
Hi david
Das muss ich dem Torsten Recht geben. (nur um keine Gerüchte entstehen lassen: ich kenne den Torsten72 nicht!)
Was dir duno geschrieben hat sind die Standard-Eckdaten, welche jedem Admin klar sein sollten...wenn wir nicht von Heim-PCs sprechen!
Bitte formuliere dein Posting so um, dass wir dir konkrete Antworten geben können.
gretz drop
Das muss ich dem Torsten Recht geben. (nur um keine Gerüchte entstehen lassen: ich kenne den Torsten72 nicht!)
Was dir duno geschrieben hat sind die Standard-Eckdaten, welche jedem Admin klar sein sollten...wenn wir nicht von Heim-PCs sprechen!
Bitte formuliere dein Posting so um, dass wir dir konkrete Antworten geben können.
gretz drop
Mit den Hinweisen "Windows Netzwerk" und "Mobile Anwender" hast du zwei Dinge genannt, mit denen man schon etwas anfangen kann, wenn man richtig liest
Wenn man Benutzer hat, bietet sich eine Benutzerdatenbank an. Diese dient der Authentifizierung der Benutzer und der Regelung auf welche Ressourcen ein User zugreifen können soll.
Wenn man Active Directory als zentrale Userdatenbank nimmt (was sich in einem Windows Netzwerk anbietet) bietet es sich an, alles darauf auszurichten. Will man im Netz WLAN betreiben, ist 802.1X Authentifizierung für WLAN User sicher und flexibel.
Da die meisten Access Points Radius Authentifizierung bzw. 802.1X unterstützen, und kein Kerberos, benötigt man dazu einen Dienst der Radius Pakete verstehen kann. Von Microsoft wird hierzu der IAS (Internet Authentication Server) angeboten. Dieser kann als Memberserver oder direkt auf dem DC betrieben werden.
Der letzte Schrei ist es, 802.1X im gesamten Netzwerk zu nutzen. Also auch für alle kabelgebundenen Rechner. Damit erlangt man u. U. die totale Kontrolle, wer wann was im Netz macht. Mit der richtigen Hardware Basis ist das so kompliziert garnicht, und viele Probleme die man sonst hätte sind damit gelöst.
Wenn man Benutzer hat, bietet sich eine Benutzerdatenbank an. Diese dient der Authentifizierung der Benutzer und der Regelung auf welche Ressourcen ein User zugreifen können soll.
Wenn man Active Directory als zentrale Userdatenbank nimmt (was sich in einem Windows Netzwerk anbietet) bietet es sich an, alles darauf auszurichten. Will man im Netz WLAN betreiben, ist 802.1X Authentifizierung für WLAN User sicher und flexibel.
Da die meisten Access Points Radius Authentifizierung bzw. 802.1X unterstützen, und kein Kerberos, benötigt man dazu einen Dienst der Radius Pakete verstehen kann. Von Microsoft wird hierzu der IAS (Internet Authentication Server) angeboten. Dieser kann als Memberserver oder direkt auf dem DC betrieben werden.
Der letzte Schrei ist es, 802.1X im gesamten Netzwerk zu nutzen. Also auch für alle kabelgebundenen Rechner. Damit erlangt man u. U. die totale Kontrolle, wer wann was im Netz macht. Mit der richtigen Hardware Basis ist das so kompliziert garnicht, und viele Probleme die man sonst hätte sind damit gelöst.
Deine Frage ist mehr als Berechtigt, hängt aber davon ab was Du unter Sicherheitskonzept verstehst.
Lass Dich dabei nicht von den in diesem Fall häufige gemachten "praktischen" Tipps verunsichern - das sind meist maßnahemn die sich aus einem Sicherheitskonzept ableiten. Ein IT-Sicherheitskonzept hat nur sekundär was mit Firewalls usw. zu tun, sondern setzt viel früher an.
Auch ich kann Dir hier nur einen von vielen möglichen Vorgehensweisen nennen:
Zunächst musst Du herausfinden vor was Du dich bedroht fühlst. Dazu gehören unter anderem
- Ausfallszenarien (Server fällt aus, Serverraum brennt, Internet geht nicht mehr etc.)
- Angriffsszenarien (Hacker, Script-Kiddies, Spionage)
- Häufige "Fehler" (Viren, Trojaner, fehlerhafte Programme, misslungene Updates)
- Fehlbedienungen durch Personal (unzufriedener Admin, gekündigter Mitarbeiter, DAU ....)
und noch sicherlich eieniges mehr.
All diese Punkte bringst Du nun zu Papier - dann überlegst Du dir
1. Wie hoch schätzt Du die Gefahr ein (Eintrittswahrscheinlichlkeit)
2. Wie hoch wird der Schaden sein wenns doch passiert (Schadensausmaß)
3. Welche Massnahmen werden eingeleitet um das zu verhindern.
Ein ziemlich guter Ansatz dazu ist das Grundschutzhandbuch des BSI (Ist kostenlos zum Download) und gibts auf cielen Messen als CD gereicht. Problem ist nur sich da durchzuhangeln (gedruckt sind es soweit ich mich erinnere mehr als tausend Seiten mit Fragen).
Ansonsten gibt es viele Dienstleister die hier Hilfestellung bieten - aber ein paar tausender musst Du dabei schon umdrehen.
Lass Dich dabei nicht von den in diesem Fall häufige gemachten "praktischen" Tipps verunsichern - das sind meist maßnahemn die sich aus einem Sicherheitskonzept ableiten. Ein IT-Sicherheitskonzept hat nur sekundär was mit Firewalls usw. zu tun, sondern setzt viel früher an.
Auch ich kann Dir hier nur einen von vielen möglichen Vorgehensweisen nennen:
Zunächst musst Du herausfinden vor was Du dich bedroht fühlst. Dazu gehören unter anderem
- Ausfallszenarien (Server fällt aus, Serverraum brennt, Internet geht nicht mehr etc.)
- Angriffsszenarien (Hacker, Script-Kiddies, Spionage)
- Häufige "Fehler" (Viren, Trojaner, fehlerhafte Programme, misslungene Updates)
- Fehlbedienungen durch Personal (unzufriedener Admin, gekündigter Mitarbeiter, DAU ....)
und noch sicherlich eieniges mehr.
All diese Punkte bringst Du nun zu Papier - dann überlegst Du dir
1. Wie hoch schätzt Du die Gefahr ein (Eintrittswahrscheinlichlkeit)
2. Wie hoch wird der Schaden sein wenns doch passiert (Schadensausmaß)
3. Welche Massnahmen werden eingeleitet um das zu verhindern.
Ein ziemlich guter Ansatz dazu ist das Grundschutzhandbuch des BSI (Ist kostenlos zum Download) und gibts auf cielen Messen als CD gereicht. Problem ist nur sich da durchzuhangeln (gedruckt sind es soweit ich mich erinnere mehr als tausend Seiten mit Fragen).
Ansonsten gibt es viele Dienstleister die hier Hilfestellung bieten - aber ein paar tausender musst Du dabei schon umdrehen.
Deine Frage ist mehr als Berechtigt,
hängt aber davon ab was Du unter
Sicherheitskonzept verstehst.
Lass Dich dabei nicht von den in diesem Fall
häufige gemachten
"praktischen" Tipps verunsichern -
das sind meist maßnahemn die sich aus
einem Sicherheitskonzept ableiten. Ein
IT-Sicherheitskonzept hat nur sekundär
was mit Firewalls usw. zu tun, sondern setzt
viel früher an.
Auch ich kann Dir hier nur einen von vielen
möglichen Vorgehensweisen nennen:
Zunächst musst Du herausfinden vor was
Du dich bedroht fühlst. Dazu
gehören unter anderem
- Ausfallszenarien (Server fällt aus,
Serverraum brennt, Internet geht nicht mehr
etc.)
- Angriffsszenarien (Hacker, Script-Kiddies,
Spionage)
- Häufige "Fehler" (Viren,
Trojaner, fehlerhafte Programme, misslungene
Updates)
- Fehlbedienungen durch Personal
(unzufriedener Admin, gekündigter
Mitarbeiter, DAU ....)
und noch sicherlich eieniges mehr.
All diese Punkte bringst Du nun zu Papier -
dann überlegst Du dir
1. Wie hoch schätzt Du die Gefahr ein
(Eintrittswahrscheinlichlkeit)
2. Wie hoch wird der Schaden sein wenns doch
passiert (Schadensausmaß)
3. Welche Massnahmen werden eingeleitet um
das zu verhindern.
Ein ziemlich guter Ansatz dazu ist das
Grundschutzhandbuch des BSI (Ist kostenlos
zum Download) und gibts auf cielen Messen
als CD gereicht. Problem ist nur sich da
durchzuhangeln (gedruckt sind es soweit ich
mich erinnere mehr als tausend Seiten mit
Fragen).
Ansonsten gibt es viele Dienstleister die
hier Hilfestellung bieten - aber ein paar
tausender musst Du dabei schon umdrehen.
hängt aber davon ab was Du unter
Sicherheitskonzept verstehst.
Lass Dich dabei nicht von den in diesem Fall
häufige gemachten
"praktischen" Tipps verunsichern -
das sind meist maßnahemn die sich aus
einem Sicherheitskonzept ableiten. Ein
IT-Sicherheitskonzept hat nur sekundär
was mit Firewalls usw. zu tun, sondern setzt
viel früher an.
Auch ich kann Dir hier nur einen von vielen
möglichen Vorgehensweisen nennen:
Zunächst musst Du herausfinden vor was
Du dich bedroht fühlst. Dazu
gehören unter anderem
- Ausfallszenarien (Server fällt aus,
Serverraum brennt, Internet geht nicht mehr
etc.)
- Angriffsszenarien (Hacker, Script-Kiddies,
Spionage)
- Häufige "Fehler" (Viren,
Trojaner, fehlerhafte Programme, misslungene
Updates)
- Fehlbedienungen durch Personal
(unzufriedener Admin, gekündigter
Mitarbeiter, DAU ....)
und noch sicherlich eieniges mehr.
All diese Punkte bringst Du nun zu Papier -
dann überlegst Du dir
1. Wie hoch schätzt Du die Gefahr ein
(Eintrittswahrscheinlichlkeit)
2. Wie hoch wird der Schaden sein wenns doch
passiert (Schadensausmaß)
3. Welche Massnahmen werden eingeleitet um
das zu verhindern.
Ein ziemlich guter Ansatz dazu ist das
Grundschutzhandbuch des BSI (Ist kostenlos
zum Download) und gibts auf cielen Messen
als CD gereicht. Problem ist nur sich da
durchzuhangeln (gedruckt sind es soweit ich
mich erinnere mehr als tausend Seiten mit
Fragen).
Ansonsten gibt es viele Dienstleister die
hier Hilfestellung bieten - aber ein paar
tausender musst Du dabei schon umdrehen.
Klar - man kann immer bei Adam und Eva anfangen und ALLES was irgendwie mit IT zu tun hat, durchdenken. Unter einem IT Sicherheitskonzept verstehe ich schon eher Sicherheit vor Angriffen u. Schädlingen. Dass ein Redundanz- und Backupkonzept auch zur IT gehört ist klar, hat aber (zumindest für mich) nichts mit IT Sicherheit zu tun, sondern mit Verfügbarkeit.
So wie ich den Thread verstehe, will der Threaderöffner einfach Informationen, wie er in einem windowslastigen Netzwerk unter Einbindung mobiler Anwender (Zugriff von extern? WLAN-User?) Zugriff auf Netzressourcen geben kann und gleichzeitig die Sicherheit des Netzwers vor ANGRIFFEN und SCHÄDLINGEN gewährleisten kann.
Bissi konkreter hätte die Frage schon ausfallen können...
Fallstudien gibts bei www.microsoft.de bestimmt. Ob man nach denen gehen kann weiss ich nicht. Ein Linux Überzeugter wird dir wieder was ganz anderes erzählen, was sicher ist....
Das BSI ist für grundsätzliche Infos auf jeden Fall eine Empfehlung wert.
Versteh mich nicht falsch - dein Post macht einen professionellen Eindruck. Allerdings kriegt man für teures Geld von Beratern auch gerne auf 300 PDF-Seiten und bunten Folien professionell verpacktes Allgemeinwissen präsentiert, auf das man mit 10 Min. nachdenken auch selber gekommen wäre. Hängt natürlich auch von der Grösse des Unternehmens ab, was da sinnvoller ist...
Mein Ding ist - Technik so kompliziert wie nötig, doch so einfach wie möglich.
Ich geh ins Bett.
Du hast Recht, die Frage nach dem Sicherheitskonzept ist wirklcih sehr allgemein gestellt.
Leider ist es so, dass wirklich über den Tellerrand geschaut werden muss, wenn das Thema Risiko und Sicherheit angesprochen wird.
Nur ein Beispiel: Was nutzt mir die tollste unknackbare Firewall, wenn diese offen rumsteht - jeder AZUBI die Admin-Passwörter hat, und zufällig gerade einer seinen Kaffee über der CPU ausgeschüttet hat ?
Was nutzt die gleiche Firewall, wenn die Mitarbeiter selbst die tollsten Trojaner aus dem Internet installieren können ?
Letztlich wollen dieses Konzept zumeist Prüfer sehen, welche wiederum die Finanzgeber zufrieden stellen soll. Ohne ganzheitliches Konzebt bist Du da ziemlich aufgeschmissen.
Was die Berater angeht, hast Du auch recht. Die meisten sammeln nur fleissig Powerpoints.
Ich hatte da ziemlich Glück und konnte mit guten Beratern (Integralis) das eigentliche Basiskonzept innerhalb von 2 Woche aufsetzen - Leider hängt noch brutal viel Nacharbeit in der echten Umsetzung daran (> 1 Mannjahr, aber auch ziemlich komplexe
Leider ist es so, dass wirklich über den Tellerrand geschaut werden muss, wenn das Thema Risiko und Sicherheit angesprochen wird.
Nur ein Beispiel: Was nutzt mir die tollste unknackbare Firewall, wenn diese offen rumsteht - jeder AZUBI die Admin-Passwörter hat, und zufällig gerade einer seinen Kaffee über der CPU ausgeschüttet hat ?
Was nutzt die gleiche Firewall, wenn die Mitarbeiter selbst die tollsten Trojaner aus dem Internet installieren können ?
Letztlich wollen dieses Konzept zumeist Prüfer sehen, welche wiederum die Finanzgeber zufrieden stellen soll. Ohne ganzheitliches Konzebt bist Du da ziemlich aufgeschmissen.
Was die Berater angeht, hast Du auch recht. Die meisten sammeln nur fleissig Powerpoints.
Ich hatte da ziemlich Glück und konnte mit guten Beratern (Integralis) das eigentliche Basiskonzept innerhalb von 2 Woche aufsetzen - Leider hängt noch brutal viel Nacharbeit in der echten Umsetzung daran (> 1 Mannjahr, aber auch ziemlich komplexe
Hallo David,
fürchte, bin 1 Jahr zu spät dran, aber erst seit gestern Mitglied.
Deine Wege beginnen - wenn du IT-Sicherheit RICHTIG machen willst - nur hier:
http://www.bsi.de/gshb/index.htm
Die Tools dazu machen es wirklich einfach:
http://www.bsi.de/gstool/hersteller.htm
Zukunftsweisend ist von diesen Tools SecuMax, weil dort zusätzlich zum Grundschutz noch die ISO 27001 und 17799 unterstützt wird - stells dir bitte so vor wie ISO 900x.
Gruß CGLorenzo
fürchte, bin 1 Jahr zu spät dran, aber erst seit gestern Mitglied.
Deine Wege beginnen - wenn du IT-Sicherheit RICHTIG machen willst - nur hier:
http://www.bsi.de/gshb/index.htm
Die Tools dazu machen es wirklich einfach:
http://www.bsi.de/gstool/hersteller.htm
Zukunftsweisend ist von diesen Tools SecuMax, weil dort zusätzlich zum Grundschutz noch die ISO 27001 und 17799 unterstützt wird - stells dir bitte so vor wie ISO 900x.
Gruß CGLorenzo