BEISPIELKONZEPT

NETZWERK

Das interne Netzwerk muss in mehrere Segmente unterteilt werden, um unterschiedliche Sicherheitsstufen abbilden zu können.

Das WLAN mit Windows-Domänenrechner kann über Zertifikate abgesichert werden und benötigt daher kein Passwort. Smartphones dürfen nur auf ausgewählte, minimale interne Systemressourcen zugreifen. (bspw. bestimmte Webdienste)

Ein Gast-WLAN mit ungehindertem Internetzugang wird in den meisten Fällen auch benötigt.

Weitere Netzwerke wären dann noch DMZ/Out-Of-Band Management/Server/Client, je nach Größe des Unternehmens und Leistungsfähigkeit der Firewall.

SERVERLANDSCHAFT

Die Herausforderung in aktuellen Firmennetzwerken sind die Vielzahl unterschiedlicher Server, die miteinander vereint, überwacht und kontrolliert werden müssen

Domänencontroller: Die sind das Herz und die Datenbank der internen Sicherheitsstrukturen und bedarf eines besonderen Schutzes – idealerweise in einem separaten Netzwerksegment nur mit besonderen Zugriffsbenutzern und 2-Faktor Authentifizierung

Zertifizierungsdienst: Hier werden „Ausweise“ für unterschiedliche Dienste im internen Netz ausgestellt und verwaltet

Dateiserver: Stellvertretend für Applikations-/Datenbank und sonstige Anwendungsdienste im Netzwerk – die Sicherheit wird zumeist direkt im Active-Directory definiert

2-Faktor Authentifizierung: Verwaltung und Kontrolle der 2-Faktoren Authentifizierung für Außenzugänge und Serveradministratoren

Eine besonderen Blick auf die IT-Struktur haben folgende Server:

ISMS System: zentrales Logging aller internen Server: Auswertung/Bewertung/Korrelation aller Log-Daten. Diese werden für die Sicherheitsadministratoren passend aufbereitet und bei gravierenden Vorfällen eine direkte Alarmierung durchgeführt

Schwachstellen-Scanner: Regelmäßige, automatisierte Überprüfung aller internen IT-Strukturen auf aktuelle Schwachstellen.