Cyber Security und -Compliance zu managen ist beim heutigen Stand der Technik und wachsenden Bedrohungen eine wesentliche Management-Funktion und Anforderung für IT-Leitung und Sicherheitsfachleute. Systeme, Geräte und Netzwerke müssen ständig überwacht und bewertet werden, um gesetzliche Anforderungen zu erfüllen und die branchenübliche IT-Compliance zu gewährleisten.
Insbesondere in stark regulierten Branchen werden Vorschriften und Standards häufig angepasst, um neue Bedrohungen und Schwachstellen zu neutralisieren. Unternehmen müssen schnell reagieren, was bei komplexen Infrastrukturen und Teams, die über verschiedene Plattformen und geographische Distanzen verteilt sind, zur Herausforderung werden kann.
Compliance-Verstöße können sehr teuer werden. Wenn Unternehmen die Vorschriften nicht einhalten und durch konkrete Angriffe die Daten- und Systemintegrität gefährdet ist, drohen nicht nur Bußgelder und Gerichtsverfahren, Unternehmen verlieren auch das Vertrauen ihrer Kunden.
noventum ist mit allen Aspekten der Cyber-Sicherheit seit Jahrzehnten vertraut. Unsere Konzepte für lokale Data Center sowie alle Varianten von Cloud Computing und gemischte IT-Architekturen sind für unsere Kund:innen der Garant für einen regelkonformen Betrieb, der auch mit Hackerangriffen nicht zu erschüttern ist. Insbesondere in stark regulierten Branchen, die mit sensiblen Kundendaten umgehen, sind unsere Berater:innen als Expert:innen gefragt.
Reine Cloud-Umgebungen oder mit On-Prem gemischte IT-Architekturen sind der normale Standard im Unternehmensalltag. Zumeist schrittweise gewachsen, ergeben sich für diese IT-Konstruktionen oftmals sehr individuelle Herausforderungen, die ein planvolles Vorgehen erfordern.
Die Konfiguration von Software auf der Kundenseite, das Zugriffsmanagement auf die Daten, die Klärung von datenschutzrechtlichen Aspekten sind Teil eines vollständigen Cloud-Konzeptes. Der Einsatz von Software as a Service-Produkten mit Plan und Konzept macht Cloud Computing zu einer sicheren Angelegenheit.
Wurde in der Vergangenheit aus Sicherheitsgründen ein interner Datenraum als On-Premises-Umgebung mit einer Firewall nach Außen abgeschirmt, so stellt sich bei jeder Öffnung über externe Schnittstellen die Sicherheitsfrage neu und Systeme werden mit entsprechenden Komponenten abgesichert.
Wenn heute Mitarbeiter:innen orts- und geräteunabhängig arbeiten und mit Kolleg:innen und Externen in Echtzeit zusammenarbeiten wollen, wird die Frage nach der IT-Sicherheit dadurch immer komplexer. Die Weiterentwicklung einer reinen On-Premises-Umgebung hin zu einer Cloud-Umgebung bzw. einer hybriden Umgebung beschreibt diesen Weg. User, die außerhalb des Unternehmensnetzwerkes arbeiten, müssen sich an Diensten authentifizieren, Username und Passwort reichen nicht mehr aus, um Sicherheit zu gewährleisten. So muss z. B. überprüft werden, ob das Gerät, mit dem ein:e Mitarbeiter:in sich anzumelden versucht, den Unternehmensrichtlinien entspricht.
Microsoft 365 bietet für die User- und Geräte-Authentifizierung out of the box die technischen Möglichkeiten, all das abzubilden. Hierbei werden bei der Anmeldung verschiedene Kriterien abgefragt, aus denen nachfolgend pro Anmeldung ein Echtzeitrisiko berechnet wird. Je nachdem wie hoch der Risikowert ist, der berechnet wurde, kann entweder ein vollständiger Zugriff, ein Zugriff in Teilen oder gar kein Zugriff auf die Unternehmensdaten gewährt werden, oder es wird zunächst ein zweiter Faktor abgefragt.
Meldet sich User „Max Mustermann“ jetzt von Deutschland aus an und eine halbe Stunde später aus China, so wird diese Anmeldung als Anmeldung mit hohem Risiko eingestuft. Es liegt jedoch im Ermessen des Unternehmens, diese Information zu gewichten und selbst zu entscheiden, wie strikt man an dieser Stelle vorgeht.
Zusätzlich wird überprüft, ob das Gerät mit den definierten Unternehmensrichtlinien kompatibel ist.
Nahezu jede Software ist unsicher, wenn sie falsch eingerichtet und konfiguriert wird!
noventum orientiert sich bei der Konfiguration von Microsoft 365 Komponenten an international anerkannten Best Practices, wie z.B. dem CIS-Benchmark (Center of Internet-Security). Ebenso schöpfen wir aus unseren umfangreichen Erfahrungen bei Unternehmen verschiedener Branchen und unterschiedlicher Unternehmensgröße.
Wurde bereits eine Microsoft 365 Tenant initial erstellt, vielleicht auch unter Zeitdruck und ohne durchdachtes Sicherheitskonzept? Dann bietet sich der Tenant Check an. Fehlkonfigurationen und grobe Sicherheitsmängel können auch nachträglich aufgedeckt und behoben werden. Die zertifizierten noventum Sicherheitsexpert:innen überprüfen Ihren Tenant und nehmen die entsprechenden Konfigurationen vor zum Schutz Ihrer IT vor. Dabei werden auch frühere und aktuelle Angriffe aufgedeckt und Maßnahmen empfohlen, die Angriffe in Zukunft minimieren können.
Identity Management (IdM), auch bekannt als Identity- und Access-Management (IAM), gewährleistet, dass autorisierte Personen auf die Technologieressourcen zugreifen können, die sie zur Erfüllung ihrer Aufgaben benötigen. Zugleich verhindert es unerlaubte Zugriffe.
Es umfasst Richtlinien und Technologien, die einen unternehmensweiten Prozess zur ordnungsgemäßen Identifizierung, Authentifizierung und Autorisierung von Personen, Personengruppen oder Softwareanwendungen umfassen.
Der Active Directory-Domänendienst ist im Grunde eine Datenbank, in der Sie alle Ihre Computer, Benutzer:innen und andere Personen organisieren können. Er ermöglicht die Authentifizierung und Autorisierung für Anwendungen, Dateidienste, Drucker und weitere Ressourcen vor Ort. AD verwendet Protokolle wie NTLM und Kerberos für die Authentifizierung und LDAP für die Ressourcenerkennung. Mit einer besonderen Funktion, der Gruppenrichtlinie, können Sie Einstellungen in einem ganzen Netzwerk verteilen. Es gibt viele Sicherheitsgruppen, Benutzer- und Administratorkonten, Passwörter, Identitäts- und Zugriffsrechte, und deshalb ist die Sicherung von AD der Schlüssel. Ein wichtiger Aspekt ist jedoch, dass AD nicht für die Welt der webbasierten Dienste konzipiert wurde.
Die Azure Active Directory ist kein Active Directory, leider führt der Name zu vielen Verwechslungen. AAD hat jedoch eine ähnliche Funktion mit Authentifizierung und Autorisierung für Anwendungen. Im Unterschied zur AD wurde Azure Active Directory entwickelt, um webbasierte Dienste zu unterstützen, die RESTful-Schnittstellen für Office 365, Google Apps usw. verwenden. Es verwendet auch andere Protokolle für die Arbeit mit diesen Diensten (SAML, OAuth 2.0.). AAD ist insofern ein "AD-Dienst in der Cloud".
Ein weiterer Unterschied ist, dass es im AAD keine Forests und Domains gibt. Stattdessen sind Sie ein Tenant, der Ihre gesamte Organisation repräsentiert, und Sie können alle Benutzer:innen mit ihren Passwörtern, Berechtigungen usw. verwalten. Ein Benutzer mit einer einzigen Identität kann sich bei Tausenden von SaaS-Anwendungen anmelden und nicht nur bei Office 365, Sharepoint oder Exchange online von Microsoft. Und er kann dies tun, ohne sich wiederholt anmelden zu müssen.
Deshalb ist es in komplexen Umgebungen, wie sie viele unserer Kunden verwalten, wichtig zu wissen, welche Authentifizierungsstelle und welches Autorisierungsmodell am besten zu verwenden ist.
Wichtig ist auch, dass Sie wissen, wie Sie diese beiden Umgebungen absichern und, falls Sie Microsoft 365 verwenden, Ihre Benutzer:innen und Computer mit Azure Active Directory synchronisieren, um eine gut verwaltete hybride Umgebung zu haben, die Ihren Benutzer:innen eine komfortable und sichere IT-Umgebung bietet.
Um heute und in Zukunft alle IT-Sicherheits- und Compliance-Anforderungen zu erfüllen, die in Ihrer Branche wichtig sind, brauchen Sie einen Plan. Zusammen mit unseren Berater:innen entwickeln Sie systematisch Ihr ganz individuelles Regelwerk für Cyber Security und IT-Compliance. Unsere Berater:innen orientieren sich an international anerkannten Best Practices, wie z. B. dem CIS-Benchmark (Center of Internet-Security) für das Microsoft 365 Umfeld. Ebenso schöpfen wir aus unseren umfangreichen Erfahrungen bei Unternehmen verschiedener Branchen und unterschiedlicher Unternehmensgröße.
Das alte Microsoft Partner Network wurde abgelöst durch das Microsoft Cloud Partner Program (MCPP) und noventum hat sich gleich für zwei sogenannte Designations qualifiziert. Künftig können IT-Unternehmen in sechs Kompetenzfeldern ihre Expertise nachweisen. Dafür stehen drei verschiedene „Partner Capability Scores“ bereit, in denen Unternehmen sich beweisen müssen: Leistung, Qualifikation und Kundenerfolg.
Große Cloud-Anbieter wie Amazon oder Microsoft überlassen das Beratungsgeschäft Partnern, für deren Expertise sie sich verbürgen. Für einen zertifizierten Partnerstatus stellt Amazon hohe Anforderungen und hat diese in seinem AWS Partnermodell systematisch festgeschrieben. noventum consulting ist AWS Cloud-Partner und hat in diversen Projekten beispielsweise für die Deutsche Bahn (DB Regio Bus) seine Expertise bewiesen.
Am dritten Oktober 2022 wurde das „Microsoft Partner Network“ abgelöst und auf das neue „Microsoft Cloud Partner Program“ (MCPP) umgestellt. Künftig können IT-Unternehmen in sechs Kompetenzfeldern ihre Expertise nachweisen. Dafür stehen drei verschiedene „Partner Capability Scores“ bereit, in denen Unternehmen sich beweisen müssen: Leistung, Qualifikation und Kundenerfolg.
Im Bankenwesen wird Cloud-Computing ein immer wichtigeres Thema. Trotz Orientierungshilfen von EBA und BAFIN bleibt die Unsicherheit über die regulatorischen Anforderungen. Es stellt sich daher die Frage, welche aufsichtsrechtlichen und relevanten Vorgaben im Cloud-Computing beachtet werden müssen.
