Die 6 Kernkompetenzen unserer BIO FRIENDLY IT-Dienstleistungen

Health

Open Source

IT Footprint

Security

Privacy

Independence

IT Sicherheit

Was machen wir?

Wir bieten unseren Kunden nur die allerhöchste Stufe der Internet Sicherheit. Zu diesem Thema empfehlen wir Open Source Lösungen und Unix-basierte Betriebssysteme. Wir beschreiben hier alle Teile der BIO FRIENDLY IT Sicherheit, und das Thema Datensicherheit beschreiben wir gesondert auf der nächsten Seite. Wenn Ihr Unternehmen dazu gehört, wissen Sie genau, dass IT-Sicherheit nicht Ihre einzigste Sorge ist. Vielmehr ist es die Erfüllung der zahlreichen Compliance-Vorgaben, die in Ihrem Betrieb einzuhalten sind.

4D Netzwerkschutz (© Gaastra GmbH 2021)

Wir helfen Ihnen, Ihren Datenverkehr sollte so gut wie möglich zu identifizieren, isolieren und abzusichern. Unser Bestreben ist es, mögliche Einfallstore und Hintertüren für Malware soweit wie möglich bei Ihnen zu schliessen. Wir analysieren Ihren Datenverkehr, der in 3 Richtungen erfolgt: eingehend, ausgehend und innerhalb Ihres Netzwerkes. Wir identifizieren dabei immer die Quelle und das Ziel des Datenverkehrs. Die Art des Datenverkehrs wird definiert durch Protokoll und Ports. Wir unterscheiden folgende Geräteklassen bei Ihnen: Arbeitsplatz-Rechner je nach Betriebssystem, Server, mobile Geräte, Smart-Home-Geräte und Network-Appliances wie Firewalls, Routers und Switches.

Wir sichern alle Ihre Geräte auf Basis der Geräte-Klasse in eigenen getrennten Subnets (Unternetzwerke) voneinander ab. Wenn Ihre Subnets nicht ausreichend getrennt sind, kann z.B. ein infizierter Windows-Rechner einen wichtigen Server mit Ransomware lahmlegen. Deshalb trennen wir Ihre Subnets, um so etwas zu vermeiden. Bei Ihrem eingehenden Datenverkehr werden für jedes Subnet nur die absolut notwendigen Ports/Protokolle zugelassen. Für Ihren ausgehenden Datenverkehr und für Server-Subnets lassen wir für bestimmte Zielgeräte nur minimale Protokolle zu.

Falls Ihr Server vollen Zugang zum Internet hat, so empfehlen wir Ihnen das Back-End Ihrer Plattform zusätzlich mit einem eigenen Zugang abzusichern, entweder über einen eigenen VPN-Tunnel oder über eine eigene Liste von zugelassenen IP-Adressen. Zusätzlich sorgen wir hier für einen ausreichenden Schutz gegen feindliche Logins und DDOS-Angriffe. Wir helfen Ihnen Angriffe dieser Art so gut wie möglich zu erkennen und automatisch umzulenken.

Geplante Software Aktualisierungen

Um bei Ihnen maximale Sicherheit zu gewährleisten, halten wir Aktualisierungen für alle Ihre IT-Komponenten für unverzichtbar. Dies betrifft Endverbraucher-Software, Server-Software, Plugins, Firmware, Treiber, Betriebssystem und BIOS-Updates. Wenn möglich empfehlen wir aktivierte automatische Updates bei Ihnen, damit Ihre Komponenten immer auf dem neusten Stand bleiben. Wenn automatische Updates bei Ihnen aus Stabilitätsgründen nicht aktiviert sind, empfehlen wir Ihnen, nach Überprüfung diese Updates manuell innerhalb einer Woche durchzuführen. Die Quelle Ihrer Updates sollte stets als Aktuell gekennzeichnet sein. Sollten Sie nur eine nicht mehr aktualisierte Quelle zur Verfügung haben, so könnnen wir Ihnen hier leider keine optimale Sicherheit mehr gewährleisten. Hier empfehlen wir Ihnen, diese Komponente auszutauschen.

Ausfallsicherheit

Es kann niemals ausgeschlossen werden, dass Netzwerke ausfallen, Hardware-Komponenten versagen oder Software-Fehler auftreten. Deshalb schlagen wir Ihnen zur Vorsorge einen für Sie optimierten Wiederherstellungsplan für jede Komponente vor. Zur Internet Anbindung in ihrem Büro empfehlen wir Ihnen zwei oder mehr konkurrierende Provider-Leitungen permanent zur Verfügung zu haben, bevorzugt mit verschiedenen Technologien, z.B. Glasfaser und DSL. Kritische Server bei Ihnen wie Firewalls, Telefon-Systeme, Switches und CRM/Finanzielle Server, sollten als Reserve über einen synchronisierten Hot-Standby Server verfügen, der innerhalb von wenigen Sekunden automatisch die Arbeit des ausgefallenen Server übernimmt.

Als Alternative zum "Hot-Standby-Server" bieten wir Ihnen an, die Cloud-Hardware mit sehr vielen internen Redundanzen auszustatten. Dies reduziert Ihren IT-Footprint, bietet jedoch immer noch ausreichende Ausfallsicherheit. So konfigurieren wir zum Beispiel Ihre Server mit zwei Trafos, so dass bei einem Trafo der Strom oder der Trafo selbst ausfallen kann. Mit einer täglichen Sicherung innerhalb des Servers kann auf RAID-6 abgesicherte Festplatten zurückgegriffen werden, falls die Haupt-Solid-State-“Platten" ausfallen. Auch empfehlen wir immer doppelte 10Gb-Glasfaser-Verbindungen zur Internet-Backbone auf verschiedene Switches im Rechnenzentrum.

Unnötige Software

Jede Software, Bibliothek oder jedes Plugin führt zu einem zusätzlichen Sicherheitsrisiko. Deshalb empfehlen wir - wie bereits beim Thema "IT-Footprint" beschrieben - nur wirklich erforderliche Software zu verwenden. Wir inventarisieren ausschließlich notwendige Software, die für Ihren Betrieb erforderlich ist. Darum raten wir Ihnen dringend, unnötige Software zu entfernen.

Warum ist das für Sie interessant?

BIO_FRIENDLY_IT_shield_alpha_warped

Ihre Vorteile sind, dass wir Ihnen helfen, Ihre Sicherheit zu optimieren durch Netzwerkschutz, Softwareaktualisierungen, Ausfallsicherheit Ihrer Hard- und Software sowie durch die Beschränkung auf notwendige Software. Dies Alles läuft Hand in Hand mit den anderen Kernpunkten unserer BIO FRIENDLY IT.

Gesundheit ⇄ IT Sicherheit: WLAN bietet im Vergleich mit kabelgebundenen Verbindungen (LAN) immer potenzielle Sicherheitslücken, denn Funksignale können abgefangen & manipuliert werden. WLAN-Zugänge können folglich außerhalb von Gebäuden niemals ganz abgesichert werden. WLAN sollte, wenn es überhaupt verwendet wird, deshalb immer innerhalb geschlossener LAN-Netzwerke, jeweils in einem OPEN-Quarantäne-Netzwerk abgesichert werden.
[Referenz: https://www.purevpn.com/blog/wifi-hacking-scty/]

Open Source ⇄ IT Sicherheit: Durch die Verwendung von Open-Source-Software kann die Datensicherheit für grössere Firmen aus folgenden Gründen erhöht werden:

  • qualitativ hochwertig programmierter Quellcode
  • Schnittstellen für die Netzwerkautomatisierung
  • Security- und Compliance-Automatisierung
  • Perfekte Einbindung mit unserer Cloud 4.0

Durch die globale Open-Source-Community werden Sicherheitslücken schneller aufgespürt und geschlossen.

IT Sicherheit ⇄ IT Fußabdruck: Durch optimalen Netzwerkschutz, gut geplante Software Aktualisierungen, und durchdachte Ausfallsicherheit gehen wir davon aus, dass Ihre Mitarbeiter und IT-Infrastruktur insgesamt weniger belastet werden. Weniger Hacker-Angriffe und Wiederherstellungen der Hardware und Software bedeuten auch weniger Stromverbrauch.

Weniger benötigte Software und Hardware hat Vorteile für die Sicherheit, weil jede entfernte überflüssige Komponente - oder Vereinfachung Ihrer IT Infrastruktur auch jedesmal ein Sicherheitsrisiko weniger bedeutet.

IT Sicherheit ⇄ Datensicherheit: IT-Sicherheit, Datensicherheit und Datenschutz gehen nicht nur Hand in Hand, sondern bedingen sich gegenseitig. Bei anderen IT-Dienstleistern werden diese Begriffe manchmal aus Versehen kombiniert. Wir trennen hier alle Sicherheitsaspekte, die direkt mit Daten zu tun haben als Datensicherheit. Unter dem breiterem Begriff IT Sicherheit geht es um den Schutz der technischen Verarbeitung von Informationen. Hauptsächlich geht es um das fehlerfreie Funktionieren und die Zuverlässigkeit Ihrer IT-Systeme. Referenz: Dr. Datenschutz

Unabhängigkeit ⇄ IT Sicherheit: Mehr Unabhängigkeit von Drittanbietern und Investoren erlaubt uns Ihre IT-Sicherheit so zu gestalten wie wir das für Sie richtig halten. Wir sind nicht eingeschränkt auf nur vorgegebene Lösungen. Selbstverständlich bedeuten weniger Partnerschaften mit Drittanbietern auch weniger Potenzial für Sicherheitslücken.

Wie machen wir es? Unsere eigene BIO-Zertifizierung

4D Netzwerkschutz (© Gaastra GmbH 2021)

Jede Art von Datenverkehr sollte so gut wie möglich identifiziert, isoliert und abgesichert werden. Unser Bestreben ist, abgetrennte Subnetzwerke zu schaffen, alle Einfallstore und Hintertüren soweit wie möglich zu schliessen. Wir versuchen dies auf Basis folgender wichtigen Unterscheidungen zu realisieren. Datenverkehr kann in 3 Richtungen erfolgen: eingehend, ausgehend und innerhalb des Netzwerkes. Wir identifizieren dabei wird immer die Quelle und das Ziel des Datenverkehrs. Die Art des Datenverkehrs wird definiert durch Protokoll und Ports. Als Teilnehmer gelten alle Geräte des Netzwerkes, wobei wir folgende Geräteklassen unterscheiden: Computer (je nach Betriebssystem), Server, mobile Geräte, Smart-Home-Geräte und Network-Appliances wie Firewalls, Routers und Switches.

  • BIO SN SUB Cl 1 OK: Alle Geräte der selben Geräte-Klasse werden in eigenen getrennten Subnets (Unternetzwerke) voneinander abgesichert.
  • BIO SN SUB Cl 2 FAIL: Subnets werden nicht ausreichend getrennt, z.B. ein infizierter Windows-Rechner ist im gleichen Netzwerk wie ein Server und könnte deshalb diesen Server mit Ransomware lahmlegen.
  • BIO SN INC Cl 1 OK: Eingehender Datenverkehr: für jedes Subnet werden nur die absolut notwendigen Ports/Protokolle zugelassen, z.B. für WebServer nur SSL über Port 443 und für das Management nur Port 22/SSH von einem VPN-Tunnel-Subnet.
  • BIO SN INC Cl 2 FAIL: Unnötige Ports/Protokolle sind geöffnet mit sehr weitreichenden Risiken.
  • BIO SN OUT Cl 1 OK: Für ausgehenden Datenverkehr und für Server-Subnets gilt: für bestimmte Zielgeräten werden nur minimale Protokolle zugelassen, z.B. nur SSL zu relevanten Update-Servern, um Software zu aktualisieren. Ansonsten sind alle möglichen Hintertüren abgesperrt.
  • BIO SN OUT Cl 2 FAIL: Der Server hat vollen Zugang zum Internet.
  • BIO INC443 BACK Cl1 OK: Auch wenn ein eingehender SSL-Verkehr für das ganze Internet zugelassen wird, sichern wir das Back-End einer Plattform zusätzlich mit einem eigenen Zugang, entweder über einen eigenen VPN-Tunnel oder über eine eigene Liste von zugelassenen IP-Adressen.
  • BIO INC443 BACK Cl2 FAIL: Das Backend ist von überall aus erreichbar.
  • BIO ICN443 DDOS Cl 1 OK: Es ist ein ausreichender Schutz gegen feindliche Logins und DDOS-Angriffe vorhanden. Diese werden erkannt und automatisch umgelenkt, um den Server zu schützen.
  • BIO INC443 DDOS Cl 2 FAIL: Angriffe dieser Art werden nicht ausreichend identifiziert und umgelenkt.

Geplante Software Aktualisierungen

Software-Aktualisierungen können zu einem Konflikt zwischen Stabilität und Sicherheit führen. Neuere, aktualisierte Software deckt in der Regel mehr Sicherheitslücken ab, allerdings nur unter Inkaufnahme einer verminderten Stabilität. Eine Relevanz ergibt sich vor allem bei kritischen Sicherheitslücken. Um maximale Sicherheit zu gewährleisten, halten wir jeweils aktuelle Aktualisierungen für alle IT-Komponenten für unverzichtbar. Dies betrifft Endverbraucher-Software, Server-Software, Plugins, Firmware, Treiber, Betriebssystem oder BIOS-Updates. Für alle Komponenten gilt:

  • BIO SU AUTO Cl 1 OK: Automatische Updates sind aktiviert. Nur so bleibt diese Komponente immer auf dem neusten Stand.
  • BIO SU AUTO Cl 2 WEEK OK: Automatische Updates sind möglich, sind jedoch aus Stabilitätsgründen nicht aktiviert. Trotzdem werden nach Überprüfungen diese Updates manuell innerhalb einer Woche durchgeführt.
  • BIO SU AUTO Cl 3 FAIL: Automatische Updates sind nicht aktiviert und werden auch nicht durchgeführt.
  • BIO SU MAN Cl 1 OK: Monatlich wird nach neuen Updates gesucht und diese dann - nach optionaler Überprüfung - innerhalb einer Woche implementiert.
  • BIO SU MAN Cl 2 HALT OK: Es finden keine Updates für bestimmte Komponenten statt, wenn diese momentan nicht gebraucht werden. Vor der nächsten Verwendung muss jedoch ein Update durchgeführt werden.
  • BIO SU MAN Cl 3 FAIL: Manuelle Updates für eine bestimmte Komponente werden nicht durchgeführt, obwohl diese benutzt wird.
  • BIO SU SOURCE Cl 1 OK: Die Quelle der Updates ist aktuell und als aktuelle "Stable Branch" gekennzeichnet.
  • BIO SU SOURCE Cl 2 FAIL: Es wird eine "Old Stable Branch" verwendet oder die Quelle wird nicht mehr aktualisiert, weil sie den Status "End Of Life" erreicht hat.

Ausfallsicherheit

In Falle von Netzwerk-, Hardware- oder Software-Schaden schlagen wir einen optimierten Wiederherstellungsplan für jeden Server und jedes Arbeitsgerät vor. Es kann niemals ausgeschlossen werden, dass Netzwerke ausfallen, Hardware-Komponenten versagen oder Software-Fehler auftreten. Deshalb ist es wichtig Vorsorge zu treffen.

  • BIO SC WAN Cl 1 OK: Zur Internet Anbindung stehen zwei oder mehr konkurrierende Provider-Leitungen permanent zur Verfügung, noch besser mit verschiedenen Technologien, z.B. Glasfaser und DSL.
  • BIO SC WAN Cl 2 FAIL: In ihrem Büro stehen entweder nur eine Leitung oder mehrere Leitungen des selben Providers zur Verfügung.
  • BIO SC CRIT Cl 1 OK: Kritische Server wie Firewalls, Telefon-Systeme, Switches und CRM/Finanzielle Server, haben einen Hot-Standby Server der innerhalb von wenigen Sekunden automatisch die regelmäßige Datensynchronisation und Ausfallprüfungen übernimmt.
  • BIO SC CRIT Cl 2 HW OK: Auch ohne Hot-Standby bleibt der Server besonders gut abgesichert durch Redundanzen in der Stromversorgung, SSDs, Festplatten und Netzwerk-Anbindung.
  • BIO SC CRIT Cl 3 FAIL: Ein Defekt führt zu Ausfallzeiten. Es müssen Wartezeiten in Kauf genommen werden bis zur Lieferung von Ersatz-Hardware. Die Geräte müssen wieder neu angeschlossen werden und die Software neu installiert werden.
  • BIO SC NON-CRIT Cl1 OK: Um den Ausfall von nicht kritischer Hardware zu kompensieren, wird ein Klone (replication) Backup empfohlen. Teilweise ist es sinnvoll, eine Konfigurationsdatei für eine schnelle Wiederherstellung zu erstellen. Durch einen Hardware-Ersatzplan kann zügig neue Hardware beschafft werden.
  • BIO SC NON-CRIT Cl1 FAIL: Bei einer Wiederherstellung von Daten ohne Backup oder Hardware-Ersatzplan geht viel Zeit verloren.

Als Alternative zum "Hot-Standby-Server" bieten wir Ihnen an, die Cloud-Hardware mit sehr vielen internen Redundanzen auszustatten. Dies reduziert Ihren IT-Footprint, bietet jedoch immer noch ausreichende Ausfallsicherheit. So konfigurieren wir zum Beispiel die Server mit zwei Trafos aus, so dass bei einem Trafo der Strom oder der Trafo selbst ausfallen kann. Mit einer täglichen Sicherung innerhalb des Servers kann auf RAID-6 abgesicherte Festplatten zurückgegriffen werden, falls die Haupt-Solid-State-“Platten" ausfallen. Auch empfehlen wir immer doppelte 10Gb-Glasfaser-Verbindungen zur Internet-Backbone auf verschiedene Switches im Rechnenzentrum.

Unnötige Software

Jede Software, Bibliothek oder jedes Plugin führt zu einem zusätzlichen Sicherheitsrisiko. Deshalb empfehlen wir - wie bereits beim Thema "IT-Footprint" beschrieben - nur wirklich erforderliche Software zu verwenden. Wir inventarisieren ausschließlich notwendige Software.

  • BIO SSW Cl1 OK: Die Software für Ihren Betrieb erforderlich
  • BIO SSW Cl2 FAIL: Die Software ist unnötig und sollte dringend entfernt werden.