Andererseits zögern wir nicht, regelmäßig zur ärztlichen Vorsorge oder zur Wartung unseres fahrbaren Untersatzes zu gehen.

Für Unternehmen sind die Auswirkungen durch verstärkte Cyberattacken aufgrund veralteter Netzwerktechnik jedoch weit gravierender zu beheben, als ein zu füllendes Loch im Zahn oder Rost an der Radaufhängung.

Was hält Sie davon ab, einen Netzwerk-Check durchzuführen?

Möglicherweise geht es im Tagesgeschäft unter, oder die Angst vor Folgekosten besteht.

Dabei lässt sich mit einem Network Assessment bei system.de leicht herausfinden, ob mit Ihrer Netzwerktechnik alles optimal für Sie läuft.

Sie erfahren, ob Ihre Ausstattung noch Ihren Anforderungen entspricht:

• Skalierbarkeit: Ihr Unternehmen wächst, aber die Technik kollabiert irgendwann unter der zunehmenden Anwenderzahl?
• Sicherheit: Bietet Ihr Netzwerk wirklich ausreichenden Schutz vor Angriffen?
• Stromverbrauch: Verbrauchen Ihre Geräte unnötig Strom?
• Leistungsfähigkeit: Komplexere Anwendungen verlangsamen mit jeder Aktualisierung die Performance?
• Herstellergewährleistung: Gibt es überhaupt noch Ersatzteile, falls ein veraltetes Gerät ausfällt?

Mehr erfahren

Brillenträger verstehen sofort, worum es geht:

Selbst wenn sie nicht regelmäßig einen Sehtest machen, sie merken irgendwann, dass sie nicht mehr den klaren Durchblick haben und entscheiden sich spätestens aus ästhetischen Gründen für ein moderneres Modell.

Und auch, wenn sie an ihrem heißgeliebten Signature-Gestell festhalten, erneuern sie zumindest die Gläser.

Doch bevor sie das tun, machen sie ganz selbstverständlich einen kostenfreien Sehtest. Egal, ob sie bei dem selben Optiker bleiben oder woanders mit ihren neuen Werten hingehen. Sie machen diesen Test.

Und genau so machen Unternehmen ihr Network Assessment bei system.de:

Damit sie Klarheit erhalten.

Das Ergebnis kann auch sein, dass alles optimal eingestellt ist. Und auch da schafft system.de Transparenz. Denn wenn Ihre Netzwerktechnik bereits bestens aufgestellt ist, werden Sie darin bestätigt und nicht zu sinnlosen Investitionen gedrängt.

Wir sind natürlich auch für Sie da, wenn Sie nach Ihrem Network Assessment durch uns erfahren, an welchen Stellen Handlungsbedarf ist.

Denn am Ende geht es uns darum, dass Sie sich beruhigt auf Ihr Geschäft konzentrieren können und sich keine Sorgen über anfällige Netzwerktechnik machen müssen.

Hier erfahren Sie mehr über unser Network Assessment

Was ist neu bei Wi-Fi 7?

Bevor wir ins Detail gehen, lohnt sich ein kurzer Blick auf Wi-Fi 7 selbst. Der neue WLAN-Standard (802.11be) verspricht:

• Noch höhere Geschwindigkeiten (bis zu 46 Gbit/s)
• Niedrigere Latenzen – für Echtzeitanwendungen wie AR/VR oder Cloud-Gaming
• Multi-Link Operation (MLO): gleichzeitige Nutzung mehrerer Frequenzbänder
• Bessere Spektral-Effizienz durch 4K QAM und größere Kanalbreiten (bis 320 MHz)
• Mit anderen Worten: Wi-Fi 7 ist nicht nur schneller, sondern auch intelligenter und zuverlässiger.

Mehr erfahren

Der erste Eindruck – Cisco CW9172I ausgepackt

In unserem Unboxing-Video zeigen wir euch, was in der Verpackung enthalten ist und welche Designentscheidungen Cisco getroffen hat. Hier die wichtigsten Eckpunkte auf einen Blick:

• Elegantes, professionelles Design
• Robuste für langfristigen Einsatz – ideal für den Enterprise-Bereich
• Wand- oder Deckenmontage möglich
• Lieferumfang: Access Point, Kurzanleitung, Montagezubehör
• Besonders auffällig: Beim Verpackungsmaterial wird auf Recyclingfähigkeit besonderen wert gelegt
• Achtung: Der CW9172I bringt keinen Netzadapter mit – wie bei vielen professionellen Geräten wird PoE++ (Power over Ethernet) vorausgesetzt, um volle Leistung und Funktionsumfang zu ermöglichen.

Technische Highlights des CW9172I

Der Cisco CW9172I ist mehr als nur ein schneller Access Point – er ist ein echtes Technologiekraftpaket:

• Wi-Fi 7 mit 4K QAM, 320 MHz Kanalbandbreite und MLO
• Tri-Radio-Design: 2,4 GHz, 5 GHz und 6 GHz
• Dual 5 Gbps Ethernet Ports für hohe Ausfallsicherheit und maximale Bandbreite
• Flexible Verwaltung via Cisco Catalyst Center oder Web UI
• IoT-Integration: Unterstützung für BLE, Zigbee und Thread (je nach Modell)

Für wen eignet sich der CW9172I?

Der CW9172I richtet sich klar an mittelständische Unternehmen, Bildungseinrichtungen und große Campus-Umgebungen, die zukunftssichere Infrastruktur benötigen. Dank Wi-Fi 7 lassen sich Engpässe vermeiden – insbesondere bei hohem Datenverkehr, Videokonferenzen oder BYOD-Szenarien.

„Ich bin schon sehr gespannt, den [AP] endlich in Betrieb nehmen zu können!“

Wie Jens es so schon auf den Punkt brachte: Hier steckt viel Technik auf kompaktem Raum. Mit dem Cisco CW9172I bringt Cisco einen durchdachten Wi-Fi 7 Access Point für professionelle Umgebungen auf den Markt. Die Kombination aus Leistung, Management-Features und Zukunftssicherheit macht ihn zu einer spannenden Option für IT-Verantwortliche, die bereit für den nächsten Schritt sind.

Zum Unboxing-Video: Jens packt aus!

Ein weiterer Meilenstein für system.de

Mit dem 30. Geburtstag von system.de 2024 und dem Zusammenschluss mit Springboard Network belegt der erreichte Cisco Gold-Partner-Status nun noch stärker unseren Fokus auf Cisco-Technologien. Unsere Mitarbeiter verfügen über ausgezeichnete Fähigkeiten, um die komplexesten Netzwerkumgebungen mit Cisco-Lösungen entwerfen, implementieren und managen zu können.

Unsere Spezialisierungen:

Die Cisco Collaboration SaaS Partner-Spezialisierung garantiert, dass wir über das nötige Fachwissen verfügen, um unseren Kunden maßgeschneiderte, zuverlässige und leistungsstarke Cisco Cloud-Lösungen, z. B. Webex, zu bieten – mit unserem gewohnt erstklassigen Service.

Als Cisco Core Security Partner stellen wir sicher, dass wir über tiefgehende Expertise in den Bereichen Netzwerksicherheit und Sicherheitslösungen von Cisco verfügen. Damit schützen wir die IT-Infrastruktur unserer Kunden effektiv und erfüllen höchste Sicherheitsstandards.

Mit der Spezialisierung als Cisco Environmental Sustainability Partner zeigen wir, dass wir aktiv umweltfreundliche und nachhaltige IT-Lösungen umsetzen. Unsere Kunden profitieren so von innovativen Technologien, die ihre Effizienz steigern und darüber hinaus den ökologischen Fußabdruck minimieren.

Die Cisco Networking Partner-Spezialisierung bestätigt, dass wir umfassendes Fachwissen in der Planung, Implementierung und dem Support von Cisco Netzwerklösungen besitzen. So erhalten unsere Kunden skalierbare Netzwerkinfrastrukturen, die optimal zu ihren individuellen Anforderungen passen.

Zukünftige Services

Die Zertifizierung als Cisco Gold Partner markiert für uns somit ein krönendes Jahresfinale – und wir sehen darin vor allem für unsere Kunden das Potenzial, noch zielgerichteter erstklassige Services und innovative Lösungen zu bieten.

Mit einem großartigen Team von 450 engagierten Mitarbeitenden innerhalb der Springboard Network Gruppe stärken wir darüber hinaus kontinuierlich unsere Fachexpertise und fördern weiterhin die Entwicklung neuer Spezialisierungen, besonders innerhalb unserer Cisco-Fokussierung.

Springboard Network hat die Übernahme von system.de – System & Project GmbH, einem etablierten deutschen IT-Beratungsunternehmen und Cisco-Partner, bekannt gegeben. Dieser Schritt folgt unmittelbar auf die Übernahme von Friday Networks durch Springboard und markiert einen weiteren wichtigen Meilenstein in der europäischen Expansionsstrategie des Unternehmens.

„Wir freuen uns über die engere Zusammenarbeit mit Springboard Network“, sagt Peter Schulte, CEO von system.de. „Seit der Übernahme des Unternehmens im Jahr 2018 und der Entwicklung zu einem Managed Service Provider für kritische Netzwerkprojekte ist nun die Zugehörigkeit zu Springboard Network entscheidend für unser weiteres Wachstum. Wir können uns mit bewährten Partnern wie Wingmen Solutions, Friday Networks und Avit ergänzen sowie unsere Ressourcen und Services in einer sich entwickelnden IT-Landschaft bündeln. Wichtig ist auch, dass Springboard unsere Werte teilt, und durch unsere Cisco Net Academy können wir die Cisco-Ausbildung und -Zertifizierung innerhalb der Gruppe weiter ausbauen.“

Deutschland, der größte IT-Markt in Europa, ist Teil der Wachstumspläne von Springboard. Die Übernahme von system.de mit über 50 Mitarbeitern, seinem guten Ruf und fundiertem Fachwissen verschafft Springboard eine solide Grundlage in diesem hart umkämpften Markt.

„Wir freuen uns, system.de in der Springboard-Familie begrüßen zu dürfen“, sagt Kåre Christensen, CEO von Springboard Network. „Ihr tiefes technisches Wissen und das Teilen unserer Vision für das Cisco-Portfolio machen diese Partnerschaft perfekt. Wie unsere Akquisitionen von Friday Networks, Avit Group und Wingmen Solutions teilt system.de unsere DNA für Exzellenz bei Cisco-Lösungen.“

Mit dem Fokus auf hochqualifizierte Berater und einer nachgewiesenen Erfolgsbilanz in der deutschen IT-Landschaft bietet system.de Springboard die notwendige lokale Expertise, um seine Expansion in Deutschland fortzusetzen. Mit dieser Akquisition ist Springboard in der Lage, seine Präsenz in ganz Europa auszubauen, beginnend mit einer starken Präsenz in Deutschland.

„Dies ist nur der erste Schritt“, sagte Kåre Christensen. „Wir sehen Deutschland als entscheidend für unsere langfristige Strategie und freuen uns darauf, die starke Tradition von system.de fortzuführen und unsere Reichweite auf das ganze Land zu erweitern.“

Der Zeitpunkt der Akquisition ist bedeutsam, da system.de am 8. November sein 30-jähriges Bestehen in Berlin mit einer großen Kundenveranstaltung und Party feiern wird. Die jahrzehntelange Erfahrung des Unternehmens und die starken Kundenbeziehungen in Deutschland werden Springboard einen vertrauenswürdigen lokalen Partner bieten, um sein Wachstum voranzutreiben.

Über Springboard Network

Springboard Network ist eine europäische Dach-Marke von Cisco-Unternehmen, das 2022 von der Avit Group und Wingmen mit Unterstützung der niederländischen Private-Equity-Gesellschaft Quadrum Capital ins Leben gerufen wurde. Unter dem Label wird ein spezialisiertes Netzwerk von IT-Integratoren und Managed-(Security-)Service-Providern in Europa aufgebaut. Die teilnehmenden Marken arbeiten gemeinsam an neuen Initiativen und teilen miteinander ihr Wissen, ihre Erfahrung und ihre Ressourcen, um ihren Kunden hervorragende und sich ergänzende Dienstleistungen zu bieten.

Weitere Informationen hier: www.springboard-network.com/

Für weitere Informationen wenden Sie sich bitte an:

TEAM LEWIS
Rosanne Westbroek / Benjamin Gildein
[email protected]

Einige Internet Service Provider werden als Tier1 Provider bezeichnet. Diese sehr großen Provider betreiben Netzwerke, die auf allen Erdteilen präsent sind. Beispiele wären die Deutsche Telekom, AT&T (USA), NTT (Japan) oder Telia Carrier (Skandinavien). Wenn sich ein Unternehmen bei einem dieser Provider an das Netzwerk anschließt, bekommt es weltweite Erreichbarkeit. Zurzeit übergeben die Provider ca. 845.000 IPv4 Routen und ca. 130.000 IPv6 Routen an ihre Kunden. Allerdings lassen sich die Provider für diese Leistung bezahlen.

Wenn nun zwei kleinere Provider Daten austauschen wollen, müssen beide Parteien bei einem oder mehreren Tier1 Providern einkaufen. Das ist erstens teuer und zweitens steht der große Provider mit seinem Netzwerk, aber auch mit seinen kommerziellen Interessen, zwischen den kleineren Unternehmen.

Da es nicht praktisch ist, dass alle kleineren Provider direkte Verbindungen untereinander halten, wurden Peeringpunkte eingerichtet. Ein Peeringpunkt ist eine Layer2 Switching-Infrastruktur, die von einer neutralen Organisation betrieben wird. Jeder Teilnehmer bekommt aus dem Netzwerk des Peeringpunkts eine IPv6- und eine IPv4-Adresse zugeteilt und kann mit allen anderen Teilnehmern des Peeringpunkts direkten Datenaustausch vereinbaren. Jeder Teilnehmer macht aber nur seine eigenen Routen bekannt, und er empfängt auch nur die Routen seiner direkten Nachbarn, nicht die volle, weltweite Routingtabelle mit allen Informationen.

Jeder kleine Provider oder jedes Unternehmen, das sich ans Internet anschließt, benötigt einen Provider, der die volle Routingtabelle bereitstellen kann und ergänzt seine Routinginformationen um die Routen des Peeringpunkts.

Große Peeringpunkte sind nicht nur in einem Rechenzentrum präsent, sondern bieten ihre Infrastruktur in vielen Rechenzentren einer Stadt an. So ist der BCIX in Berlin in 10 Rechenzentren aktiv. Egal in welchem Rechenzentrum das eigene Equipment steht, der Datenaustausch mit allen anderen Partnern ist möglich.

Die größten Peeringpunkte in Europa sind der DE-CIX (Frankfurt), der LINX (London) und der AMS-IX (Amsterdam).

Zugang zum Peeringpunkt

Für einen Anschluss an den Peeringpunkt werden ein Router und eine Zuleitung benötigt. Der Router steht im Idealfall in einem der Rechenzentren, in denen der Peeringpunkt präsent ist. So wird als Zuleitung nur eine Glasfaserverkabelung innerhalb des Rechenzentrums benötigt (Cross Connect in der Fachsprache des Internet). Der Router muss in das Netzwerk des Providers oder Unternehmens eingebunden sein.

Sollte es nicht möglich sein einen Router vor Ort aufzustellen und zu betreiben, kann eine Remote-Zuführung genutzt werden. Entweder ist das eine dedizierte Leitung, oder ein Dienst des Providers, an dem das Unternehmen angeschlossen ist.

An allen Peeringpunkten wird das Protokoll BGP zum Austausch der Daten genutzt. Es ist also zwingend notwendig selbst über BGP zu verfügen. Zusätzlich benötigt man eine AS-Nummer (Autonomes System), die das eigene Netzwerk kennzeichnet, und IPv6-/IPv4-Adressen, die man der Welt bekannt machen möchte.

Route Server am Peeringpunkt

Große Peeringpunkte, wie z.B der DE-CIX in Frankfurt, bieten Verbindungen zu mehr als 1.000 angeschlossenen Netzwerken. Um mit allen Netzwerken zu peeren, müsste für jedes Netzwerk eine eigene Konfiguration vorgenommen werden, was einen zu hohen Aufwand bedeuten würde.

Viele Unternehmen freuen sich über zahlreiche Verbindungen, scheuen aber die Mühe der Einrichtung. Dafür gibt es die Routeserver. Diese zentralen BGP-Router halten die Verbindung zu vielen der Teilnehmer und reichen die gesammelten Routinginformationen weiter. Dabei stehen die Routeserver nicht selbst im Trafficfluss, sondern dienen nur der Verbreitung von Informationen. Als Teilnehmer der Peeringpunkte kann man so viele Routinginformationen mit einer BGP-Session bekommen, ohne einzelne BGP-Verbindungen zu jedem anderen Teilnehmer aufbauen zu müssen. Es wird allerdings erwartet, dass man die eigene Information auch in die Routeserver einspeist. Nur so ist ein gegenseitiger Austausch von Daten möglich.

Cloud Zugang am Peeringpunkt

Viele Unternehmen benötigen den direkten Zugang zu einem der großen Cloud-Provider, z.B. AWS, Azure oder Google Cloud. Über die Infrastruktur des Peeringpunkts ist diese Verbindung leicht zu realisieren. Vorteil ist, dass eine Leitung / Glasfaser zum Peeringpunkt sowohl für den Zugang zur Cloud als auch für den Austausch von Daten mit anderen Providern genutzt wird. Das spart Kosten am Router und bei der Zuführung. Es muss nur darauf geachtet werden, dass die Bandbreite für beide Anwendungen ausreichend dimensioniert ist.

Private Network Interconnect (PNI)

An großen Peeringpunkten, wie z.B. in Berlin oder Frankfurt, kann neben dem Zugang zum Peeringpunkt auch die Schaltung einer direkten Verbindung mit einem anderen Provider realisiert werden. Dafür wird in einem Rechenzentrum ein Cross Connect bestellt und eine private Verbindung mit dem Partner konfiguriert. Das fühlt sich an wie am Peeringpunkt, ist aber privat und die Bandbreite wird nicht über den Peeringpunkt geführt.

Die Schaltung eines PNI kann nicht nur von großen Unternehmen genutzt werden, sondern es bietet sich vor allem an, wenn private und geschützte Daten zwischen Partnern übermittelt werden müssen.

BGP-Betrieb

Der Betrieb von BGP-Routern stellt viele Unternehmen vor Herausforderungen. Die Service Manufaktur von system.de betreibt, überwacht und steuert Ihre BGP-Router und Ihre Peerings zu Providern und Cloud-Anbietern. Sprechen Sie uns an!

Phishing E-Mails werden allerdings an alle Mitarbeiter geschickt, und daher ist es wichtig, dass alle Mitarbeiter geschult sind und die Risiken kennen. Regelmäßige Schulungen sind daher unabdingbar. Schulungen zur Cybersicherheit können intern oder extern gehalten werden. Wenn ein Unternehmen nach ISO 27001 zertifiziert ist, kann die Cybersecurity-Schulung Teil des Bereiches „Awareness“ sein.

Welche Themen müssen in der Cybersecurity-Schulung behandelt werden?

Das Thema E-Mail Phishing steht ganz oben auf der Agenda. Hilfreich ist es, wenn die Schulung anschauliche Beispiele enthält, an denen die Mitarbeiter lernen können, wie die Angreifer vorgehen. Mitarbeiter müssen lernen zu zweifeln, nicht zu vertrauen. Wenn der Absender der E-Mail unbekannt ist, darf die E-Mail nicht geöffnet werden. Mitarbeiter müssen lernen verantwortungsvoll zu handeln. Die IT-Abteilung muss jederzeit bereit sein anderen im Unternehmen zu helfen. Wenn Mitarbeiter nicht den Mut haben, in der IT um Hilfe zu bitten, kann die Abwehr gegen Cyberangriffe nicht effektiv organisiert werden.

In der Schulung werden die Mitarbeiter auch über das Verhalten bei Diebstahl von Geräten informiert. Was muss eigentlich im Fall der Fälle getan werden? Wer muss angerufen werden? In jeder Schulung werden die Telefonnummern der zuständigen Cybersecurity Kollegen eingeblendet. Wenn diese Telefonnummern aber nicht in das eigene Telefonbuch übertragen werden, stehen die Telefonnummern im Notfall nicht zur Verfügung.

Eine Cybersecurity-Schulung wird vom CISO (Chief Information Security Officer) immer auf dem aktuellen Stand gehalten und jeder Mitarbeiter nimmt mindestens einmal im Jahr an der Schulung Teil. Neue Mitarbeiter werden kurz nach dem ersten Arbeitstag in gesonderten Schulungen unterrichtet. Es bietet sich an, die unregelmäßigen Schulungen für alle interessierten Mitarbeiter zu öffnen.

In einem Schulungsprotokoll werden Zeit, Ort, Teilnehmer und Schulungsinhalte des Trainings dokumentiert.

Neben der Cybersecurity-Schulung sollte jedes Unternehmen auch Schulungen für andere Themen bereithalten. Hier sind vor allem „Datenschutz“ und „Brandschutz / Verhalten bei Feuer“ zu nennen.

System.de hält für Sie eine Cybersecurity-Schulung als einen Baustein unserer Service Manufaktur bereit.

Fazit

Cybersecurity ist nicht eine Aufgabe oder ein Projekt einer IT-Abteilung, sondern ein Prozess, der fortwährend verbessert werden muss. Alle Teile der Organisation sind betroffen und daher aufgefordert, ihren  Beitrag zu leisten. Die Bedrohung durch Angreifer ist real, und es ist immer besser im Vorfeld zu handeln, als den Schaden zu erleiden und dann die Investitionen zu tätigen, die vorher notwendig gewesen wären.

System.de hilft Ihnen gerne bei der Festlegung ihrer Cybersecurity Strategie. Sprechen Sie uns an!

Netzwerke aus Kabeln

Bei Kabeln unterscheidet man grob zwischen Kupfer- und Glasfaserkabeln. Beide werden in unterschiedlicher Qualität und Güte angeboten, aber das ist hier jetzt nicht wichtig. Grundsätzlich gilt, dass Glasfaserkabel größere Strecken überwinden und höhere Bandbreiten transportieren können als Kupferkabel, aber teurer sind. In industriellen Umgebungen mit elektrischen oder magnetischen Feldern können Glasfaser eingesetzt werden, um Störungen in Kupferleitungen zu umgehen.

Kabel abzuhören ist möglich, aber aufwändig. In Bürogebäuden verlaufen die Kabel häufig zwischen den Etagen über Kabelschächte, die ein Unternehmen nicht kontrollieren kann. Ob ein Schacht in einer Etage geöffnet wird, sieht man nicht. Daher ist auch für die Kommunikation über Kabel eine gute Verschlüsselung wichtig.

Funknetzwerk

Bei Funknetzwerken unterscheiden wir zwischen Wireless LAN (WLAN) und Mobilfunk (GSM, 3G, 4G, 5G). Bei beiden Technologien werden die Daten mit Funkwellen übermittelt. Und hier ist auch ein entscheidender Unterschied zu Kabeln. Funkwellen breiten sich im Raum aus, je nach Antenne wie eine Kugel oder gerichtet. Aber es kann nicht kontrolliert werden, wer die Wellen empfängt. Und nur weil unsere Geräte des täglichen Gebrauches die Verbindung bei schwachem Signal verlieren, heißt das nicht, dass nicht Angreifer mit empfindlichen Antennen auch aus großer Entfernung unsere Signale empfangen können.

Funknetzwerke lassen sich leicht abhören, was technisch nicht zu verhindern ist. Daher müssen die Daten in Funknetzwerken immer verschlüsselt sein. So können die Signale zwar gelesen aber nicht entschlüsselt werden.

WLAN

Aus Sicht der Cybersecurity ist WLAN die Technologie, die ein Unternehmen gut steuern kann. Mobilfunk ist entweder vorhanden oder nicht, je nach Position der Sendemasten und der Struktur eines Gebäudes. Bei WLAN kontrollieren wir die Position der Accesspoints, und damit auch die Aussendung der Signale in Richtung und Stärke.

Grundsätzlich gilt, dass Accesspoints in das Gebäude hinein und nicht auf die Straße senden sollten. Bei modernen Accesspoints kann die Signalstärke angepasst werden. So kann verhindert werden, dass zu viele Signale das Gebäude verlassen, ohne das die Qualität des WLAN im Inneren leidet. Eine gute Ausleuchtung der Räume vor der Installation der WLAN-Accesspoints ist daher wichtig.

Netzwerkdesign

Ein gutes Netzwerkdesign kann zwar nicht die Infektion eines Rechners mit einem Virus / einer Ransomware verhindern, aber die Ausbreitung über die ganz Organisation kann mindestens erschwert werden. So wird der Schaden minimiert und die Infektion bleibt lokal und kontrollierbar. Wo also liegt das Problem?

Die Netzwerke, an die die Arbeitsplätze der Mitarbeiter angeschlossen sind, sind häufig zu groß. Bis zu 2.000 Arbeitsplätze werden in einem Netzwerk zusammengefasst. Es gibt keine Schranken in so einem großen Netzwerk. Wenn dann neben Computern weitere Geräte wie Drucker oder Fileserver in dem Netzwerk stehen, hat der Angreifer leichtes Spiel. Es gibt einfach keine Grenzen, die Schutz bieten würden.

Wie trägt gutes Netzwerkdesign zur Sicherheit bei? Das Netzwerk muss in seine Einzelteile zerlegt, oder segmentiert werden. Drucker gehören in ein eigenes Netzwerk. Fileserver sollen ebenfalls aus dem Büronetzwerk entfernt werden. Auch Geräte wie Kameras, Türöffner und Alarmanlagen müssen isoliert werden. So können Gruppen von Geräten einzeln geschützt und andere Gruppen vor diesen Geräten geschützt werden.

Die Arbeitsplätze können entweder nach Funktion oder Ort in Gruppen gefasst werden. Je eine Etage wäre eine Einheit, oder ein Teil der Etage. Eine Gruppierung nach Funktion würde die Abteilung Marketing von der Buchhaltung trennen. Und warum sollte der Empfang im gleichen Netzwerk arbeiten wie die Entwicklungsabteilung?

Wenn Netzwerke getrennt werden, ergeben sich zwei unmittelbare Vorteile. Angriffe, die nur innerhalb eines Netzwerkes funktionieren, wirken sich auf weniger Ziele aus. Und an den Netzwerkgrenzen können Filter und Firewalls eingesetzt werden, die unerwünschte Datenpakete löschen.

Mikrosegmentierung

Wenn der Gedanke der Segmentierung noch weiter vorangetrieben wird, kommen wir zu Mikrosegmentierung. Aus dem Design von Rechenzentren ist dieser Gedanke bereits bekannt. Die Idee muss nur auf die Arbeitsplätze übertragen werden.

Wenn jeder Arbeitsplatz, jeder Drucker und jede Kamera in einem Netzwerk für sich isoliert läuft, kann auch jedes Gerät einzeln geschützt werden. Der Schutz kann viel individueller erfolgen, als wenn eine Gruppe von Geräten pauschal abgesichert wird.

Diese granulare Netzwerksegmentierung stellt die IT-Organisation vor große Herausforderungen. Es ist eine Abkehr von liebgewonnenen Gewohnheiten.

Der Übergang zu IPv6 ist eine Chance das Netzwerk für die Arbeitsplätze radikal zu ändern. Bei IPv6 stehen genug IPv6-Adressen zur Verfügung, um jedem Arbeitsplatz ein Netzwerk zuzuweisen. Details können unter

IPv6 in Enterprise Client Networks | RIPE Labs https://labs.ripe.net/author/wilhelm_boeddinghaus/ipv6-in-enterprise-client-networks/

nachgelesen werden.

Sprechen Sie uns zu den Themen Cybersecurity und IPv6 an.

Geschäftsleitung

Ein Wort zur Geschäftsleitung. Ohne ausreichendes Budget für Mitarbeiter, Weiterbildung und Material kann die IT-Abteilung der Aufgabe nicht gerecht werden. Die Geschäftsleitung muss die Cybersecurity-Strategie des Unternehmens aktiv fördern und begleiten.

Aufgaben und Rollen der IT in der Cybersecurity

Die IT entwirft die Cybersecurity-Strategie des Unternehmens. Diese wird dann mit relevanten Abteilungen und der Geschäftsführung zusammen verabschiedet.

• Die IT ist immer Ansprechpartner für die Kollegen. Wenn ein Mitarbeiter unsicher ist, ob er oder sie angegriffen wird (E-Mail Phishing, etc.), dann muss die IT schnell, freundlich und unbürokratisch helfen.
• Die IT pflegt die Sicherheitssysteme, z.B. Firewalls und VPN-Dialin. Es sind feste Prozesse einzuführen, die den vollständigen Zyklus von Sicherheitseinstellungen überwachen. Besonders wichtig ist die Löschung nicht mehr benötigter Einstellungen.
• Die IT beobachtet das Netzwerk und weitere Systeme, um Angriffe zu erkennen und nach einem Angriff die Ursachen zu erforschen.
• Die IT lässt sich über Sicherheitsprobleme der eingesetzten Hersteller informieren. Wenn notwendig, werden schnell Updates eingespielt.
• Die IT stellt Backup und Restore zur Verfügung. Regelmäßige Tests, besonders von Restore, belegen, dass die Mechanismen klaglos funktionieren.
• Die IT hält alle Systeme des Unternehmens auf einem aktuellen Stand. Das gilt für Hardware und Software. Die Geschäftsleitung stellt sicher, dass hierfür das notwendige Budget bereitsteht.
• Die IT stellt sicher, dass keine „Schatten-IT“ entstehen kann. Nur von der IT genehmigte und betriebene Komponenten dürfen genutzt werden.

Organisatorische Maßnahmen

Sollte ein Angriff erfolgen und das Unternehmen in seiner Handlungsfähigkeit beeinträchtigen, dann muss die IT Sofortmaßnahmen einleiten können. Dafür bedarf es im Vorfeld bindender Absprachen und Rollenverteilungen.

Wichtige Fragen (Liste nicht abschließend), die beantwortet sein müssen:

• Wer leitet die technischen Notfallmaßnahmen?
• Wer kommuniziert mit wichtigen Kunden?
• Wer kommuniziert mit der Presse?
• Wer bindet Hersteller und Behörden ein?

Im Notfall muss alles wie am Schnürchen laufen, Kompetenzfragen können dann nicht mehr geklärt werden. Eine Übung vorab bringt hilfreiche Erkenntnisse.

Email Phishing 

Beim E-Mail Phishing wird dem nichtsahnenden Opfer eine vermeintlich interessante, auch private E-Mail, geschickt. Es wird vorgegeben, dass die E-Mail vom Paketdienst oder der Bank käme, von eBay abgeschickt wurde oder das PayPal der Absender sei.

Immer wird mit negativen Folgen gedroht, wenn der Empfänger nicht sofort reagiert, den Anhang der E-Mail nicht öffnet oder einem Link nicht folgt. Typische Drohungen sind:

• Sperrung des Kontos
• Verlust eines Paketes
• Kein Geldempfang über PayPal
• Amazon hat eine Rückfrage

Die Liste könnte endlos fortgeführt werden. Da viele Menschen wirkliche Beziehungen zu den Unternehmen haben, deren Absender missbraucht werden, ist der Reiz groß, die E-Mail oder den Anhang zu öffnen.

Gegenmaßnahmen E-Mail Phishing 

Die Mitarbeiter müssen in Schulungen über die Gefahren aufgeklärt werden. Jeder Empfänger einer E-Mail kann erkennen, ob es sich um eine gefälschte E-Mail handelt und sich vorsichtig verhalten. Grundsätzlich gilt, dass Banken niemals per  E-Mail Daten erfragen oder zu einem Login aufrufen. Wenn sich AGB der Banken ändern, wird ein Hinweis per E-Mail geschickt aber es gibt keinen Login Link. Der Kunde muss sich regulär in sein Konto einloggen. Im Zweifel muss die Bank zur Klärung angerufen werden.

Aber an welchen Merkmalen erkenne ich eine Phishing E-Mail?

• Schlechte Grammatik
• Falsche Rechtschreibung
• Umlaute fehlen. Jede deutsche Sparkasse hat auch deutsche Zeichensätze
• Falsche, aber ähnliche Adressen: amazon.de <-> amazones.de (Nur als Beispiel)

Private E-Mails auf dienstlichen Rechnern kann verboten werden. So gefährden die privaten Phishing E-Mails nicht die Dienstgeräte. Der Einsatz von Viren- und Spam-Filtern ist dringend geboten. Weitere technische Maßnahmen werden in einem späteren Teil besprochen.

Diebstahl von Laptops und Telefonen 

In der mobilen Welt zwischen Büro und Homeoffice werden Laptops und Telefone jeden Tag transportiert.“. Mitarbeiter sind auf dem Weg zur Arbeit vielen Gefahren ausgesetzt, ganz unterschiedlich je nach Verkehrsmittel. Jeder Mitarbeiter muss sorgfältig mit den Dienstgeräten umgehen und sie vor Verlust schützen. Unachtsamkeit (Tasche im Bus vergessen) ist mindestens so gefährlich wie Diebstahl durch Dritte.

Wenn ein Gerät abhandenkommt, muss der Mitarbeiter unverzüglich seinen Arbeitgeber informieren. Der Arbeitgeber muss sicherstellen, dass diese Meldung unverzüglich bearbeitet wird und nicht im Tagesgeschäft untergeht.

Selbstverständlich müssen auch in Büro und Homeoffice die Geräte geschützt werden. Bei Einbrüchen sind teure elektronische Geräte eine bevorzugte Beute und so können vertrauliche Daten in fremde Hände gelangen.

Gegenmaßnahmen Diebstahl

Wenn es zum Verlust von Geräten kommt, müssen mindestens die Daten gut geschützt sein. Der Finder oder Dieb darf keinen Zugriff auf die Daten erlangen. Daher sind technische Maßnahmen zu ergreifen und es ist regelmäßig zu prüfen,  ob  die Daten des Unternehmens und der Kunden vor fremden Augen verborgen sind.

• Alle Laptops und Standrechner müssen über eine verschlüsselte Festplatte verfügen. So wird verhindert, dass bei einem Diebstahl wichtigen Daten in falsche Hände geraten.
• Laptops müssen auf dem Weg zwischen Büro und Wohnort oder einem Kundenbüro ausgeschaltet werden. Einfaches Zuklappen aktiviert die Festplattenverschlüsselung nicht vollständig und reicht daher nicht aus.
• Standrechner sind nach Feierabend auszuschalten, damit auch bei diesen Rechnern die Festplattenverschlüsselung aktiv ist.
• Alle Daten müssen auf einem zentralen Backupgerät liegen.

Phishing Anrufe

Ein beliebter Trick von Angreifern ist die persönliche Kontaktaufnahme mit dem Opfer per Telefon. Der Anrufer gibt sich als Mitarbeiter der IT aus und bittet um das Passwort des Users. Angeblich würde das bei der Diagnose eines Fehlers helfen, wird dem ahnungslosen Opfer vorgespielt. So oder ähnlich wird der User zu einer unbedachten Aktion verleitet. Diese Technik nennt man auch „Social Engineering“.

Mitarbeiter müssen klare Regeln kennen, die diese Form des Angriffes unmöglich machen.

Gegenmaßnahmen Phishing-Anrufe

Nur Aufklärung im Vorfeld und klare Regeln, an die sich Mitarbeiter und Techniker halten, schützen vor dieser Form des Angriffes.

Regeln für Mitarbeiter und Techniker:

• Die Telefonnummer, von der der IT-Support anruft, ist vorher bekannt. Anrufe von unbekannten Telefonnummern werden dem Security Team gemeldet.
• Der IT-Support benötigt die Passworte von Mitarbeitern nicht, Test und Diagnose erfolgen auf anderen Wegen.
• Wenn der IT-Support doch die Hilfe eines Users benötigt, gibt es einen persönlichen Kontakt vor Ort oder per Videokonferenz. Der Mitarbeiter kann den IT-Support so leicht identifizieren.
• Banken rufen nicht an, um Zugangsdaten zu erfragen.
• Onlineportale (Amazon, SAP, Salesforce, etc.) rufen nicht an, um Passworte zu erfragen.

Die Liste ist nicht abschließend und soll individuell ergänzt werden.

USB-Hacking

Öffentliche Ladestationen für USB-Geräte (Telefon, Tablet, Kindle Reader, Kopfhöhrer, etc.) werden immer beliebter und sind heute leicht zugänglich. An Flughäfen und Bahnhöfen sind die Ladestationen zu finden, aber auch an Parkbänken und in Bussen und Bahnen.

Ein USB-Kabel besteht aus Daten- und Stromleitungen. Für das Laden werden die Datenleitungen nicht benötigt, sind aber offen und aktiv, wenn sie nicht geschützt werden. Eine manipulierte USB-Ladestation kann von Angreifern genutzt werden, um das Opfer zu hacken. Entweder werden Daten vom Gerät entwendet oder es werden Schadprogramme aufgebracht.

Gegenmaßnahmen USB-Hacking

Es gibt USB-Adapter, die die Datenleitungen des USB-Kabels blockieren und nur die Stromleitungen offenlassen. So wird effektiv ein Angriff verhindert.

Das Laden über das 230V-Netzteil an einer regulären Steckdose schützt ebenfalls vor Angriffen.

Wer von zuhause eine Powerbank mit Strom mitbringt, kommt gar nicht erst in die Not, eine öffentliche Ladestation nutzen zu müssen.

Man sollte das Haus immer nur mit vollständig geladenen Geräten verlassen. Auch so wird verhindert, dass man unterwegs eine USB-Ladestation benötigt. Freunde und auch Geschäftsfreunde stellen gerne während des Besuches einen USB-Port zur Verfügung.

Was ist Cybersecurity? 

Als Cybersecurity wird die Sicherheit der gesamten IT einer Organisation bezeichnet. Der Begriff umfasst alles, von technischen Sicherheitsmaßnahmen über Hardware und Software bis hin zu dem Verhalten der Menschen in einer Organisation. 

Es spielt dabei keine Rolle, ob es sich um eine große oder kleine Organisation handelt, ob es ein Unternehmen oder eine gemeinnützige Organisation, ein Krankenhaus oder ein Handwerksbetrieb ist. 

Warum ist Cybersecurity wichtig? 

Die Vernetzung aller Unternehmen über das Internet ist für Kriminelle ein gefundenes Fressen. Firmengeheimnisse, Konstruktionsdaten, Patente oder Patientendaten liegen auf Servern, die mit dem Internet verbunden sind. Oft ist es nur eine Firewall, die die Verbindung kontrolliert oder kontrollieren soll. Man kann das mit einer Wohnungstür vergleichen. Wenn das Schloss zu einfach ist, das Holz zu dünn oder die Türzarge zu instabil, ist es für einen Einbrecher leicht, in die Wohnung zu gelangen. Doch noch viel einfacher wäre es gleich den Schlüssel zu stehlen oder eine Kopie des Schlüssels zu erstellen. Dann fiele niemandem das Fehlen eines Schlüssels auf. 

Bei einer Firewall verhält es sich gleich. Der Schutz, den eine Firewall bieten kann, ist nur so gut wie das Regelwerk. 

Das Internet bietet, neben allem unzweifelhaften Nutzen, auch Kriminellen und anderen Angreifern eine willkommene Plattform. Die Motive der Angreifer sind vielfältig. Die Bandbreite reicht von Jugendlichen, die sich beweisen wollen, über Hacker mit rein finanziellen Interessen bis zu Geheimdiensten, die im Auftrag von Staaten spionieren.  

Das Ausspähen von Betriebsgeheimnissen und die Erpressung von Geld scheinen heute die häufigsten Angriffe zu sein. 

Angriffe können abgewehrt werden, aber  dazu müssen Maßnahmen ergriffen werden, die entweder den Angriff verhindern oder den Schaden minimieren. Bei Industriespionage hilft nur verhindern, denn wenn die Daten einmal den Weg zum Angreifer gefunden haben, ist alles zu spät.  Gegen Verschlüsselung von Daten hilft eine geschützte Kopie (Backup), die nicht vom Angriff betroffen ist. So können die Daten wieder hergestellt werden, ohne dass ein Lösegeld bezahlt werden muss. 

Eine gute Vorbereitung für die Abwehr von Angriffen ist nicht nur notwendig, sondern geradezu geboten. 

Diese Artikelserie beschreibt die Angriffspunkte, mögliche Vorbereitungen und die Verteidigung gegen Angriffe.