- Philosophie
- Referenzen
- Migration/ Zentralisierung AD/ MSX 2003
- E-Mail und File-Archivierung
- Konzeption AD/MSX Konsolidierung
- SAN-Virtualisierung
- Server Deployment
- Standardisierung IT Standorte
- Migration Windows 2008 AD
- Fileservices Migration/ Betriebskonzept
- Server Konsolidierung/ Virtualisierung
- Hochverfügbarkeit kritischer RZ-Anbindung
- Reorganisation IT (RZ) Betrieb
- Aufbau IT Security Management System
- Risikoanalyse Serverinfrastruktur
- Replikation MS SQL Server
Netlution Referenzprojekt: Hersteller von Steuerelementen
Projekt:Aufbau eines IT Security Management Systems
Unternehmen:
Hersteller von elektronischen Steuerelementen mit weltweiten Niederlassungen
Ausgangssituation:
Der Kunde betreibt weltweit mehrere Standorte. Durch den Zukauf von Unternehmen und durch die Entwicklung der letzten Jahre, ist die IT Infrastruktur sehr heterogen aufgebaut. Da der Kunde teilweise „just in time“ produziert, sind die Geschäftsprozesse sehr stark von der eingesetzten IT abhängig. Um diesem Umstand gerecht zu werden, war es notwendig, weitgehende Sicherheitsmaßnahmen zu etablieren bzw. vorhandene Maßnahmen zu erweitern. Vor allem Sicherheit und Verfügbarkeit kritischer Systeme standen im Zentrum.
Projektziele:
Hauptziele:
- Mittel- bzw. langfristiger Aufbau eines IT Security Management Systems
- Erfassung der Geschäftsprozesse, um besonders kritische Systeme zu identifizieren
- Bewertung der IT Infrastruktur im Umfeld der Firewall bzgl. Security
- Erfassung und Bewertung der Serverlandschaft inkl. der vorhandenen Sicherheitsmaßnahmen
- Klassifikation von Systemen und Erstellen von Verfahrensanweisungen, um diese Systeme sicher zu betreiben
Projektdurchführung:
IT Security Management
Zum Aufbau eines Informationssicherheits-Managements gibt es verschiedene Methoden. Das Grundschutzhandbuch des deutschen BSI und der Standard BS7799 (der British Standards Institution – BSi) geben entsprechende Hinweise zur Vorgehensweise. Die generelle Vorgehensweise ist sehr ähnlich. Unterschiede gibt es jedoch bei der Definition und Auswahl der Schutzmaßnahmen (BS7799: Controls).
Ein gut funktionierendes IT Security Management besteht im Wesentlichen aus einem Regelkreis mit folgenden Komponenten (nach BSI):
Abbildung 1 - Quelle: Grundschutzhandbuch des BSI
Der Aufbau eines IT Security Management Systems erfordert mehrere Schritte: von der Erstellung einer Security Policy bis hin zur Sensibilisierung und Schulung der Mitarbeiter. Dem Kunden war es besonders wichtig, einen „pragmatischen“ Ansatz zu wählen und den Ablaufplan nicht stur nach der Vorschrift abzuarbeiten. Aus diesem Grund wurden einzelne Schritte vorgezogen, um schnelle Erfolge erzielen zu können. Parallel wurden die notwendigen anderen Prozesse in Gang gesetzt (Erstellen eine Security Policy, Einrichtung eines IT Security Managements etc.).
Ermittlung der Geschäftsprozesse:
Eine der ersten Sofortmaßnahmen war die Analyse der Geschäftsprozesse. Der Kunde hatte zwar viele Systeme bereits dokumentiert, er konnte jedoch nicht mit Sicherheit ausschließen, dass kein unternehmenskritisches System lokal betrieben wurde, welches bei Ausfall den Produktionsprozess nicht empfindlich gestört hätte. Aus diesem Grund wurde der Ansatz gewählt, die Geschäftsprozesse zu benennen und mit vorhandenen, aber auch der EDV Abteilung unbekannten, Systemen zu verknüpfen.
Die Hauptprozesse wurden ermittelt und den verantwortlichen Personen zugeordnet. Diese Personen wurden dann in Einzelgesprächen zu den Detailprozessen und den damit verbunden Systemen befragt. Bei den befragten Personen handelte es sich zum Teil um Mitarbeiter der EDV und zum Teil um Verantwortliche der jeweiligen Abteilung. Im Rahmen der Analyse mussten die Befragten die gefundenen Systeme nach Ihrer Wichtigkeit bzgl. Sicherheit, Vertraulichkeit und Verfügbarkeit bewerten.
Das Ergebnis war eine Detaildarstellung der wichtigsten Prozesse und Systeme. Diese Liste wurde mit der bereits vorhandenen Systemdokumentation verglichen. Dabei stellte sich heraus, dass die EDV bereits einen sehr guten Überblick über die kritischen Systeme hatte. Es wurden jedoch auch einige bislang „übersehene“ Systeme entdeckt, die bei Ausfall massive Probleme mit sich gebracht hätten.
Bewertung der Internet-/Firewall-Umgebung
Eine weitere kurzfristige Maßnahme war die Bewertung der Internet-/Firewall-Umgebung, um eine Basis für die weitere Planung des IT Security Management Systems zu schaffen. Im Rahmen dieser Untersuchung wurden Infrastruktur und Systeme in der „Internetzone“ untersucht: Entweder durch in Augenscheinnahme vor Ort oder durch die Überprüfung der Konfigurationsdaten (Cisco Router, Firewall etc.). Das Ergebnis war ein Gefährdungskatalog gemäß BSI Grundschutzhandbuch mit entsprechenden Empfehlungen zur Verbesserung der Sicherheit einzelner Komponenten.
Eingesetzte Methoden, Technologien oder Produkte
- Interviews mit Mitarbeitern
- Erstellen von Konzepten
- Projektmanagment
- Dokumentation der Server im Firewall-/Internetumfeld
Status:
Das Projekt ist langfristig angelegt und befindet sich noch in der Durchführungsphase. Der Kunde hat erste Maßnahmen eingeleitet, um die Sicherheit von besonders kritischen Systemen zu verbessern.