SASE, Secure Access Service Edge – Definition, Vorteile und Anwendungsfall

Was ist SASE?

SASE, Secure Access Service Edge, wurde erstmals Ende 2019 als Schlagwort im Gartner Bericht „Die Zukunft der Netzwerksicherheit liegt in der Cloud“ erwähnt. Seitdem verschaffte sich der Begriff im Netzwerkbereich einen schnellen Auftrieb, heute kommt man an SASE kaum noch vorbei. Kurz gesagt ist SASE ein Sicherheitskonzept, das standortunabhängig eine nahtlose und sichere Verbindung mit Anwendungen in jeder Umgebung ermöglicht und gleichzeitig die Netzwerk- und Sicherheitsfunktionen für die IT optimiert. 

Das SASE-Modell vereint SD-WAN- und Netzwerksicherheitsfunktionen in einer Single-Pass-Architektur, die über eine zentrale Managementebene für Networking und Cybersicherheit verwaltet wird. Gartner hat hierbei die Funktionen der Architektur in Hauptfunktionen und empfohlene Funktionen unterteilt: 

  • Hauptfunktionen 
    SD-WAN, Secure Web Gateway, Cloud Access Security Broker, Zero-Trust-Netzwerkzugriff, Firewall as a Service, Schutz vor Datenverlust, Maßstabsgerechte Ver- und Entschlüsselung in Leitungsgeschwindigkeit 
  • Empfohlene Funktionen 
    Schutz von Web-Anwendungen und APIs, Remote-Browser-Isolierung, Netzwerk-Sandboxen, Support für verwaltete und nicht verwaltete Geräte 

Vorteile mit SASE

  • Verbesserung der IT-Agilität 
  • Schneller, sicherer Zugriff auf Cloud-Anwendungen, unabhängig vom Standort 
  • Steigerung des Benutzerkomfort durch Beseitigung von Latenz, da Traffic nicht mehr durch das Rechenzentrum geleitet werden muss 
  • Steigerung der IT-Flexibilität, da Netzwerk- und Sicherheitslösungen verschiedener Anbieter konsolidiert werden, dies fördert die bessere Integrationsmöglichkeiten sowie ein zentrales Management, was wiederum Implementierung, Konfiguration, Berichterstellung und Support-Services vereinfacht 
  • Verbesserung der Elastizität und Skalierbarkeit der Architektur, da durch die Migration der Sicherheitsfunktionen in die Cloud insgesamt weniger Hardware erforderlich ist 
  • Steigerung der Sicherheit, da durch Anwendung des Zero-Trust-Modells mit Identitätserkennung die Angriffsfläche verringert und die Verbreitung von Malware innerhalb des Unternehmensnetzwerks vorgebeugt wird 

Herausforderungen bei der Einführung von SASE 

  • Beseitigung unzureichende Zusammenarbeit und mangelndes Vertrauen zwischen Netzwerk- und Sicherheitsteams  
  • Vorantreiben des erforderlichen organisatorischen Wandels 
  • Regelung von Verantwortlichkeiten 
  • Auswahl des richtigen Anbieters 

Zero-Trust Network Access als Bestandteil von SASE bereits im Einsatz 

Gemeinsam mit unserem Partner Sophos können wir bereits heute einen wichtigen Bestandteil von SASE mit Zero-Trust Network Access (ZTNA) realisieren. 

Hierbei handelt es sich um eine intelligente Weiterentwicklung des klassischen Client-VPNs zum externen Zugriff auf interne Ressourcen unter dem Vorsatz von „Zero Trust“ – also vertraue niemandem. 

Zunächst steht die Verifizierung des Benutzers im Vordergrund, idealerweise gepaart mit einer Multi-Faktor-Authentifizierung, um mögliche Szenarien rund um kompromittierte Login-Daten direkt im Kern zu ersticken. Im Anschluss daran wird das zugreifende Device auf Compliance kontrolliert und im Anschluss daran über einen Cloud-Connector mit SingleSignOn-Features nur genau die Ressource zur Verfügung gestellt, für die der User berechtigt ist und die er überhaupt angefragt hat. Das funktioniert durch granulare, cloud-verfügbare Richtlinien. Die Benutzererfahrung ist dabei simpel und fehler-unanfällig. 

Vorteile von ZTNA gegenüber klassischem Client-VPN: 

Granulare Kontrolle
ZTNA ermöglicht eine granularere Kontrolle darüber, wer auf Applikationen und Daten aus dem internen Netzwerk zugreifen kann und stellt auch nur genau diese Applikationen und Zugriffe bereit. Klassisches Client-VPN ist hingegen eher „alles-oder-nichts“ – Einmal im Netzwerk kann grundsätzlich mehr erreicht werden, als eigentlich möglich ist und eine Kontrolle darüber ist nach erfolgreicher Verbindung nahezu unmöglich. 

Bessere Sicherheit
ZTNA vertraut nicht anhand statischer Richtlinien, sondern bezieht nebst der Benutzer-Authentifizierung auch den Geräte-Status und dessen Compliance in die Auswahl der anschließenden Zugriffsberechtigungen mit ein. 

Einfach erweiterbar
ZTNA ist spürbar einfacher in der Erweiterung oder zur Bereitstellung neuer Mitarbeiter – besonders wenn diese von Beginn an exklusiv remote arbeiten und dennoch Zugriff auf interne Ressourcen benötigen. 

Tranparent für den Benutzer
ZTNA folgt dem „It just works“-Konzept und erspart daher dem Benutzer komplexeres Verständnis eines Client-VPNs und Verbindungsstatus. Für den Benutzer ist es ein transparentes Benutzererlebnis ohne spürbare Erkenntnis, dass es sich teilweise um Remote-Ressourcen handelt. 

Wie kann es weitergehen?

Sie haben weitere Fragen oder Anregungen zu diesem Thema und sich auf der Suche nach einem aktiven Austausch?
Unsere Experten stehen Ihnen gerne zur Verfügung.

Sicherheitslücke Log4J und was zu tun ist!

Am 09.12.2021 wurde eine kritische Sicherheitslücke in Apache’s Log4J veröffentlicht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Sicherheitlücke mit maximaler Warnstufe (Stufe 4 von 4) ein und beschreibt die IT-Bedrohungslage damit als extrem kritisch.

log4j ist ein Framework zum Logging von Anwendungsmeldungen in Java. Es hat sich innerhalb vieler Softwareprodukte (Kommerzielle Systeme und Open Source) über viele Jahre zu einem De-Facto-Standard entwickelt. log4j gilt als Vorreiter für andere Logging-Umgebungen und wird von Entwicklern von Web- und Server-Applikationen intensiv genutzt, die in Java und anderen Sprachen entwickeln. Deshalb liegt die Gefährlichkeit dieser Schwachstelle in dem Umstand, dass sie einen großen Bereich von Services und Server-Anwendungen betrifft.

Kleinere, private IT-Umgebungen, z.B. in Home Offices und im Home Entertainment wurden bereits am letzten Wochenende durch Hersteller gepatcht, wie zum Beispiel die Firmware einiger Router des Herstellers von Ubiquiti – die Updates erfolgten hier automatisch.

Der Hersteller Sophos stellt in seinem Security Advisory eine Reihe von Informationen bereit: „SophosLabs has deployed a number of IPS signatures for Sophos Firewall, Sophos Endpoint, and Sophos SG UTM that scan for traffic attempting to exploit the Log4J vulnerability. The Sophos Managed Threat Response (MTR) team is actively monitoring MTR customer accounts for post-exploit activity. Sophos XDR customers can use a query to help identify vulnerable Log4J components in their environment.“

Kunden sollten Ihre IT-Infrastrukturen auf das Vorhandensein bzw. den Einsatz von Log4J kritisch prüfen – im ersten Schritt mit Fokus auf die Systeme, die dem Internet nahe Funktionen ausführen und daher extern erreichbar sind. Da so viele interne und externe Anwendungen auf diesem Java-Framework basieren, ist eine Identifikation aller betroffener Software in der gesamten Infrastruktur weiterhin sehr herausfordernd.

Parallel prüfen auch alle Hersteller aktuell die Anfälligkeit Ihrer eigenen Produkte und Software auf die Sicherheitslücke und entwickeln entsprechende Patches.
Dazu gibt es aktuell eine inoffizielle Liste bei GitHub mit einer Zusammenstellung und Verlinkung aller möglich betroffenen Hersteller und entsprechender Analysen.
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Kunden die bereits ein automatisches Schwachstellenmanagement im Einsatz haben, profitieren in dieser Zeit von automatisierten Scans der Unternehmenes-IT. Ebenfalls sind zu dieser Sicherheitslücke bereits ausführliche CVEs und NVTs (Network Vulnerability Tests) vorhanden, sodass betroffene Software und Dienste mit einem Schwachstellenscanner wie #Greenbone im gesamten Netzwerk einfach und zuverlässig identifiziert werden können.

Gerne unterstützen wir Sie!

How To: Performanceanalysen

Möglicherweise kennt man noch die Sanduhr, den Ladebalken oder einfach eingefrorene Sitzungen in Citrix- oder Microsoft-RDP-Umgebungen. Das muss aber nicht sein. Lange Ladezeiten und hohe Latenzen bei der Datenübertragung können Anzeichen für ein unperformantes Netzwerk sein. Der Grund dafür muss nicht immer an einer zu hohen Auslastung der Hardware liegen. Von verschmutzten Lichtwellenleitern, gebrochenen Kupferkabeln zu Netzwerkloops über falsch konfigurierte Routen bis hin zum unbemerkten Ausfall einzelner Komponenten ist alles dabei. Auch Unstimmigkeiten im Verhalten der Virtualisierungs-Umgebung auf Basis von VMware vSphere oder Microsofts HyperV sowie Engpässen im SAN oder an zentralen / dezentralen Speichersystemen können so lokalisiert, eingegrenzt und entschärft werden. Um diesem meist unübersichtlichen, ggf. langwierigen Troubleshooting eine Struktur zu geben, hat sich bei der michael wessel ein Standardvorgehen etabliert. Davon profitieren Sie als Auftraggeber vor allem durch Struktur, Transparenz und eine Vergleichbarkeit der Ergebnisse.

Wer nicht neugierig ist, erfährt nichts.

 Johann Wolfgang von Goethe

Ablauf einer Performanceanalyse

Wie läuft so etwas ab? Um unnötige Aufwände zu vermeiden, wird sich zuerst auf die bestehende Dokumentation und die problembehaftete Verbindung konzentriert. Daraus und ggf. weiterer Hintergrundrecherche werden gemeinsam individuelle Testszenarien aufgestellt und eine Abgrenzung zu angrenzenden Themen geschaffen, um im gesamten Vorgehen durchgehende Transparenz gewährleisten zu können.

Wir messen im Anschluss die Performance Ihres Netzwerkes und analysieren die Gegebenheiten, um Ihnen im Nachgang eine fundierte Handlungsempfehlung vorzustellen. Die Handlungsempfehlung erhalten Sie, begleitet durch Erläuterung im Abschlussgespräch, in digitaler Form.

Ablauf einer Performanceanalyse

Definieren von Testszenarien

Gemeinsam definieren wir Strecken, auf welchen die Performance spürbar eingeschränkt ist oder auf der es zu sporadischen Leistungseinbrüchen kommt. Diese Strecken werden in einem Aufnahmegespräch immer weiter analysiert, die eingesetzten Anwendungen und deren Eigenheiten bedacht und in einem Testszenario oder sofern zielführend mehreren Testszenarien zum Schaffen einer Vergleichbarkeit zusammengefasst.

Schaffen von Abgrenzungen

Wer einen klaren Blick auf die eigentliche technische Herausforderung benötigt, muss Inhalte und Verhaltensweisen abgrenzen können. Deshalb ist die Abgrenzung von technischen wie inhaltlichen Themen fester Bestandteil des Analyseprozesses. Man kennt es aus der Tierwelt – ein Turmfalke im Anflug auf die Beute zählt auch nicht die Wolken und Blätter an den Bäumen um ihn herum, er fokussiert seine Beute, blendet alles irrelevante aus, schärft seine Sinne. Nur, dass in diesem Fall die Infrastruktur fokussiert wird.

Transparenz im Vorgehen

Im Fokus der Analyse steht die Transparenz der geplanten Szenarien und eingesetzten Tools. Diese werden gemeinsam abgestimmt und zur Bestätigung von beiden Seiten vor Beginn jeder Messung oder eines Belastungstests unterzeichnet. Somit wird eine detaillierte Analyse nicht zum allumfassenden Infrastruktur-Review, sondern bleibt fokussiert. Wie der Turmfalke auf der Jagd. Jederzeit nachvollziehbar, mit höchster Konzentration.

Durchführung der Performance-Messung

Im Anschluss der Definition von Testszenarien und der eindeutigen Abgrenzung wird die Performance-Messung selbst durchgeführt. Im Idealfall kann anhand der gewonnenen Daten bereits jetzt eingegrenzt werden, an welcher Stelle im Netzwerk sich der Flaschenhals befindet. Sollte die Messung noch nicht zielführend gewesen sein, können zusätzlich weitere Auswertungen zu Statistiken, Logs und weiteren Parametern stattfinden. In diesem Zuge werden auch Konfigurationsunstimmigkeiten und weitere Möglichkeiten zur Performance-Optimierung aufgedeckt. Dies bedeutet meist einen deutlich geringen Aufwand im Vergleich zu einer möglicherweise nicht notwendigen Neuanschaffung der Hardware und schafft zusätzliche Transparenz im eigenen Netz, was wiederum künftiges Troubleshooting erheblich vereinfacht.

Nach Definition von Testszenarien beginnt die eigentliche Messdatengewinnung zur tiefergehenden Analyse

Auswertung der Ergebnisse

Die Auswertung der gesammelten Ergebnisse wird im Nachgang durchgeführt. Um falsche Schlussfolgerungen aufgrund eines ungewöhnlichen Verhaltens vorzubeugen, werden mehrere Fachkollegen mit einbezogen. Die Erstellung der aufbereiteten Handlungsempfehlung erfolgt stets mindestens im Vier-Augen-Prinzip und wird erst nach Review zur Veröffentlichung freigegeben.

Handlungsempfehlung und Abschlussgespräch

Daraus ergibt sich eine Handlungsempfehlung, die zum Abschluss gemeinsam besprochen wird und wo konkrete Möglichkeiten zur Verbesserung aufgezeigt werden. Oftmals bewirken schon geringe Konfigurations- oder Designänderungen die ersten spürbaren Verbesserungen, auch der Tausch von Kabeln und Transceivern kann manchmal wahre Wunder wirken.

Nur eine nachvollziehbare Handlungsempfehlung ist eine gute Handlungsempfehlung. Darum besprechen wir die Ergebnisse und die daraus abgeleiteten Empfehlungen ausführlich mit Ihnen.

Ein möglicher Handlungsschritt bei z.B: unnötig großen Netzen wäre unter anderem die Minimierung von Broadcastdomänen. Auch ein verlässliches Spanning-Tree-Konzept sowie dessen Umsetzung können die Netzwerkperformance und -stabilität erhöhen. Des Weiteren kann durch die Optimierung einzelner Verbindungen und das auflösen von Netzwerkkaskaden die Produktivität in Ihrem Unternehmen gesteigert werden.

Bei Bedarf kann neben dem Netzwerk auch die Server- und Storage-Performance, sogar Wireless-Infrastrukturen geprüft werden. Für die Analyse von drahtlosen Infrastrukturen liegt aufgrund der hohen Komplexität der möglichen Störquellen genormtes Testequipment und ungeahntes, im Kopf schlummerndes Know How unserer Wireless-Experten parat. Weitere Informationen zu WLAN-Ausleuchtungen finden Sie hier.

… und dann?

In möglichen Folgeprojekten können Sie natürlich auch auf unsere Expertise setzen. Von punktuellem Troubleshooting in der Tiefe, der Durchführung von Infrastrukturmodernisierungen oder der Entwicklung einer Cloud- oder einer Digitalstrategie bietet sich ein weites Themen-Spektrum bei fachlicher Tiefe im Hause der michael wessel. Sie beherrschen Ihr Business, wir unseres.

Sophos Firewall zur Abwehr von Ransomware

Cyberkriminelle scannen Netzwerke mittlerweile genau so professionell wie Penetration-Tester nach potentiellen Schwachstellen und Angriffspunkten. Angriffe werden immer raffinierter und effizienter: Hacker nutzen Sicherheitslücken in Netzwerken und Systemen aus – und die Unternehmen bleiben auf dem Schaden sitzen. In Deutschland betragen die Kosten im Durchschnitten 420.000 EUR. Deshalb müssen Firmen und öffentliche Einrichtungen ihre IT-Security-Strategien und -Verteidigungslinien immer wieder neu überdenken und anpassen. In der aktuellen Studie der Sophos Labs „The State of Ransomware 2020“ gaben die Hälfte der befragten Unternehmen in 26 Ländern an, im vergangenen Jahr Opfer von Ransomware geworden zu sein.

„Wenn Sie im Netz nach dem Schlagwort „Ransomware-Angriffe“ suchen, werden Sie jede Woche neue Meldungen zu erfolgreichen Angriffen finden“, so der Sales Engineer und Firewall-Experte Björn Zackenfels (Sophos). „Zuletzt hat der Kaseya Angriff gezeigt, wie verheerend die Auswirkungen sind. Und wir sprechen hier nicht nur von horrenden Lösegeldforderungen, sondern auch Reputations- und vor allem Datenverlust.“

Firewall- und Endpoint-Security können dafür sorgen, dass Angriffe gar nicht erst in Unternehmensnetzwerke gelangen. Dafür müssen diese allerdings dem aktuellen Stand der Technik entsprechen. Sophos bietet die ultimative IT-Security-Lösung zur Abwehr neuester Ransomware. Im April 2021 wurden die neuen Sophos Firewall XGS-Appliances gelauncht: Mit Cloud-Sandboxing-Technologie und Machine-Learning-Analyse von Dateien verhindert die Sophos Firewall, dass bekannte und unbekannte Ransomware-Varianten, Exploits und Malware sich über Spam, Phishing oder Web-Downloads verbreiten. „Außerdem bietet die Sophos Firewall mit den XGS-Appliances durch ihre Hardware-Beschleunigung eine noch schnellere und leistungsstärkere Xstream TLS 1.3 Inspection mit flexiblen Richtlinienkontrollen. Sophos Kunden erhalten dadurch eine optimale Balance zwischen Sicherheit und Performance,“ erklärt Björn Zackenfels. Weitere Informationen zur Sophos Firewall finden Sie hier.

Sophos revolutioniert IT-Sicherheit mit offenem Ökosystem

Um den immer komplexeren und gezielteren Cyberattacken die Stirn bieten zu können, müssen IT-Sicherheitsunternehmen auf Teamwork und neueste Technologien setzen. Sophos trägt dieser Entwicklung mit seinem Adaptive Cybersecurity Ecosystem (ACE) Rechnung. Hierbei handelt es sich um eine neue, offene Sicherheitsarchitektur zur Optimierung von Threat Prevention, Detection und Response. Sophos ACE nutzt Automatisierung und Analysen sowie den kollektiven Input von Sophos-Produkten, -Partnern, -Kunden sowie Entwicklern und anderen Security-Anbietern. So schafft diese Architektur einen Schutz, der ständig dazu lernt und sich weiterentwickelt.

„Sophos bietet unseren Kunden die branchenweit umfassendste Suite hocheffektiver, KI-basierter, cloudnativer Cybersecurity-Lösungen für Endpoints, Daten und Netzwerke“, erklärt Stefan Fritz (Channel Account Executive, Sophos). „Über eine zentrale Verwaltungsplattform arbeiten die Produkte von Sophos als synchronisiertes System zusammen.“

IT-Sicherheit ist zurzeit eines der Topthemen in jedem Unternehmen, egal ob groß oder klein. Entscheidend für die effektive Absicherung ist eine umfassende Expertise sowie die Erstellung eines individuellen IT-Security-Konzepts – und genau hier kommen Partner wie michael wessel ins Spiel. „Wir bei Sophos sind der festen Überzeugung, dass IT-Sicherheit erfolgreich nur im Teamwork realisiert werden kann“, verdeutlicht Stefan Fritz. „Unsere Partner sind der entscheidende Baustein als regionaler Anbieter vor Ort und leisten dort einen Service, den wir als internationaler Hersteller in diesem Umfang nicht alleine umsetzen könnten. Deshalb ist für uns die Zusammenarbeit mit regional etablierten Systemhäusern wie michael wessel von entscheidender Bedeutung und wir setzen alles daran, diese Partner bestmöglich zu unterstützen, damit sie ihren Kunden zukunftsfähige IT-Sicherheit aus einer Hand anbieten können.“

Michael Wessel, Geschäftsführer der michael wessel Informationstechnologie GmbH, bekräftigt: „Als innovativer wie auch bodenständiger IT-Security Anbieter setzen wir bei unseren Kunden in Mittelstand, öffentlichem Sektor und international tätigen Konzernen sowohl standardisierte als auch hochgradig individuell konzipierte Systeme ein.
Unser Partner Sophos bietet uns hierzu ein breites Lösungsspektrum. Bei der Integration von u.a. Edge-VPN, zentralen Firewall-Systemen und hochintegrierten, individuellen Security-Umgebungen arbeiten wir seit Jahren erfolgreich auf Augenhöhe zusammen, um unseren Kunden stets die optimale Lösung zu bieten.“

Wie nutzt michael wessel SD-WAN, um die Netzwerkumgebung eines Kunden zu optimieren?

Die Ausgangssituation: Die ca. 150 Nutzer des Kunden sind auf 7 Filialen verteilt und arbeiten in Terminal-Umgebungen auf Thin-Clients. Diese greifen auf ein zentrales Rechenzentrum zu, in dem alle Anwendungen gehostet werden. Da eine hohe Verfügbarkeit der Daten an allen Standorten für einen reibungslosen Arbeitsablauf essenziell ist, sind diese jeweils einzeln per MPLS an das Rechenzentrum angeschlossen.

Die Herausforderungen: Diese Struktur sorgt häufig für lange Antwortzeiten und eine insgesamt schwache Performance der gesamten Umgebung. Die Nutzer sind häufig unzufrieden und Arbeitsabläufe werden unnötig verzögert. Zudem entstehen durch die dedizierten MPLS-Verbindungen hohe Kosten.

Die Lösung: michael wessel führt in diese Umgebung eine intelligente und hochflexible SD-WAN-Infrastruktur ein. Statt der teuren MPLS-Verträge, erhalten die Standorte eine Kombination aus herkömmlichen Kabel- und DSL-Anschlüssen, die lediglich einen Bruchteil kosten. In jeder Filiale und auch im Rechenzentrum werden SD-WAN-Appliances eingerichtet, die in Ihrem Durchsatz den jeweiligen Anforderungen entsprechen. Kleinere Zweigstellen können so mit einem Gerät ausgestattet werden, das in der Anschaffung günstiger ist, den Nutzern aber dennoch eine optimale Bandbreite zur Verfügung stellt.

Die Vorteile: Durch die intelligente Bündelung der Anschlüsse steht dem SD-WAN eine deutlich höhere Bandbreite zur Verfügung als über MPLS. Die Redundanz der verschiedenen Leitungen stärkt dabei die Ausfallsicherheit der Verbindungen sogar noch zusätzlich. Dank der Vernetzung der einzelnen Standorte untereinander müssen zudem nicht mehr alle Daten zwangsweise über den „Flaschenhals“ Rechenzentrum laufen. Diese Maßnahmen führten zu einer deutlichen Steigerung der Performance der gesamten Umgebung und damit zu merklich zufriedeneren Nutzern.

Langfristig profitiert der Kunde mit der neuen Struktur auch erheblich von der zusätzlichen Flexibilität. Das gesamte SD-WAN wird zentral gesteuert und kann somit ohne große Aufwände an neue Gegebenheiten angepasst und aktualisiert werden. Sollte die Anzahl der Mitarbeiter an einem Standort wachsen, kann die vorhandene Aplliance einfach durch ein leistungsstärkeres Modell ersetzt werden. Ein Eingriff in die restliche Infrastruktur ist nicht erforderlich. So können auch neue Standorte sehr unkompliziert dem SD-WAN hinzugefügt oder vorhandene Standorte umgezogen werden. Dabei sind die einzelnen Verbindungen durch eine Ende-zu-Ende-Verschlüsselung ebenso sicher, wie mit der bisherigen Lösung.

Ein wirtschaftlicher Vorteil ist vor allem, dass mit der Einführung von SD-WAN die Notwendigkeit der kostenintensiven MPLS-Leitungen wegfällt. Da zudem die Umgebung als Ganzes lizensiert wird, sind z.B. einzeln lizensierte Firewalls an den verschiedenen Standorten nicht mehr erforderlich. Dies spart einerseits Kosten, vereinfacht aber vor allem das Lizenzmanagement enorm.

Durch die Einführung eines SD-WAN konnte michael wessel somit die Performance der Umgebung und die Zufriedenheit der Nutzer steigern, während gleichzeitig die Kosten und der Administrationsaufwand reduziert wurden.

Microsoft <3 Europe

Microsoft kündigte gestern in einem Blogpost an, künftig alle Daten ihrer EU-Kunden innerhalb der EU zu halten und spricht dabei von einer „EU Data Boundary for the Microsoft Cloud“. Dies gilt für Azure, Microsoft 365 und Dynamics 365.

Wir haben heute ein wichtiges Versprechen für unsere Kunden in Europa gegeben. Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. In anderen Worten: Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen.

https://news.microsoft.com/de-de/unsere-antwort-an-europa-microsoft-ermoeglicht-speicherung-und-verarbeitung-von-daten-ausschliesslich-in-der-eu/

Zuletzt gab es immer wieder Kritik von Datenschützern, die sich gegen einen Einsatz von modernen Tools, wie Microsoft Teams ausgesprochen haben. Teilweise aus technischem Unverständnis oder aus Angst über den Kontrollverlust der Daten. Ob dies alles auch berechtigte Kritik gewesen ist, sei mal dahingestellt. Nichtsdestotrotz ist das ist ein starkes Versprechen, seitens Microsoft und wird hoffentlich so manchen Zweifler milde stimmen.

Angekündigt sind die Maßnahmen für Herbst 2021. Wir bleiben also als Partner dran und informieren unsere Kunden umgehend über die Entwicklungsschritte.

Was haben der Mädchenname Ihrer Mutter, Ihr erstes Auto und der Name Ihres liebsten Haustieres gemeinsam?

Diese müssen häufig dafür herhalten, wenn bei einer Neuanmeldung ein Passwort verlangt wird. So ist es eigentlich kaum verwunderlich, dass schwache und mehrfach verwendete Passwörter für 80% der gehackten Online-Konten verantwortlich sind. Für viele Nutzer stellt es noch immer eine zu hohe Belastung dar, für die stetig wachsende Zahl ihrer Zugänge ein separates Passwort zu wählen.

Dies gilt nicht nur für Menschen, die mit IT wenig Erfahrung haben. Als 2016 die Twitter-, LinkedIn- und Pinterest-Konten von Facebook-Gründer Marc Zuckerberg gehackt wurden, lautete sein Passwort angeblich „Dadada“.

Um das Bewusstsein für die Wichtigkeit von starken und sicheren Passwörtern zu erhöhen, hat Intel deshalb im Jahr 2013 den „Welt-Passwort-Tag“ ausgerufen. An jedem ersten Donnerstag im Mai sollen sich Nutzer bewusst mit ihren Zugangsdaten auseinandersetzen und schlechte Kennwörter durch sichere und starke ersetzen. Passend zum michael wessel Security Mai möchten auch wir Ihnen mit den folgenden Tipps helfen, Ihre Online-Zugänge vor den ständig wachsenden gefahren zu schützen:

Nehmen Sie sich die Zeit, ein wirklich starkes Passwort zu überlegen:

Ein einzelnes Wort, dass z.B. aus 6 Zeichen besteht hat 310 Millionen Kombinationsmöglichkeiten. Diese können von einem aktuellen PC innerhalb von 30 Sekunden durchgespielt werden. Sinnvoller ist es deshalb, z.B. die Anfangsbuchstaben der Wörter eines Merksatzes zu wählen, der im besten Fall noch eine Zahl enthält. (Meine Tochter ist 5 Jahre alt!

Wechseln Sie ein starkes Passwort nicht zu häufig:

Entgegen früherer Empfehlungen ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) mittlerweile dazu übergegangen, vom sehr häufigen Wechsel des Passworts abzuraten. Dies beruht auf der Erkenntnis, dass nach einiger Zeit aus Bequemlichkeit dann doch auf die Verwendung schwacher Passwörter zurückgegriffen wird.

Vergeben Sie für jedes Konto ein eigenes Passwort:

Die Gefahr, dass ein Hacker nach der Übernahme eines Accounts auch Ihre anderen Zugänge übernehmen kann, sinkt hierdurch rapide.

Nutzen Sie einen Passwort-Manager:

Anstatt alle Passwörter im Browser zu speichern, können Sie diese auch in einer Software hinterlegen. Hier gibt es sogar bereits kostenlose Lösungen, die Ihre Zugänge verwalten und Ihnen eine bequeme und sichere Anmeldung ermöglichen.

Verwenden Sie eine Multifaktor-Authentifizierung:

Wo immer es möglich ist, verwenden Sie für den Zugang einen 2. Faktor, wie z.B. die Freigabe über eine App auf dem Smartphone.

Haben Sie noch weitere Tipps, die Sie ergänzen möchten? Teilen Sie uns die lustigsten und skurrilsten Passwörter mit. Wie lauten Ihre Highlights?

Passend dazu, melden Sie sich gerne zu unserer „Alles sicher macht der Mail“ Webinar-Reihe an. Wir freuen uns auf Sie.

Alles sicher macht der Mai

Unternehmen und öffentliche Einrichtungen investieren bereits seit Jahren hohe Summen in den Bereich IT-Security. Damit wurden die Möglichkeiten für Angreifer „von außen“, durch das klassische Ausnutzen von Sicherheitslücken, in eine Umgebung einzudringen, stetig minimiert.

Deshalb richtete sich das Augenmerkt der professionellen Hackergruppen seit Mitte der 2010er Jahre verstärkt auf die Mitarbeiter der Unternehmen. Eine internationale Studie des Marktforschungsinstituts Vanson Bourne aus dem Jahr 2020, bei der 5000 IT-Beauftragte aus 26 Ländern befragt wurden, hat belegt, dass fast 30% der erfolgreichen Ransomware-Angriffe durch den Klick auf einen manipulierten Link durchgeführt wurden. 16% erfolgten über einen verseuchten Dateianhang. Damit wurden 46% der gehackten IT-Umgebungen nicht durch Angriffe von außen übernommen, sondern durch unachtsames oder falsches Verhalten der Nutzer.

Die michael wessel möchte ihren Teil dazu beitragen, den Schutz Ihres Unternehmens und das Bewusstsein Ihrer Mitarbeiter für Sicherheitsfragen zu erhöhen und hat deshalb den Mai zum Monat der IT-Security ausgerufen.

Im Rahmen von 4 Webinaren, jeweils am Dienstag des Monats, informieren wir deshalb praxisnah und spannend über wichtige Aspekte aus diesem Bereich.

Den Anfang macht am 04.05. ein Webinar zum Thema „IT-Security Awareness“, in dem wir Ihnen näher bringen, wie Sie durch den Einsatz von Schulungen Ihre Mitarbeiter von einem potentiellen Sicherheitsrisiko zur ersten Verteidigungslinie im Kampf gegen Cyberangriffe machen.

Am 11.05. befassen wir uns mit dem Schutz Ihrer Endpoints und erläutern die wichtigsten Bestandteile eines modernen Schutzkonzeptes. Anhand eines „live“ durchgeführten Angriffs auf eine Testumgebung zeigen wir, welche Wege moderne Hacker wählen und wie diese erfolgreich abgewehrt werden können.

Der 18.05. steht im Zeichen der Sophos Next Generation Firewall. Wir zeigen Ihnen anschaulich, wie Traffic-Analyse, SSL-Decryption und weitere Funktionen einer fortschrittlichen Firewall zusammenarbeiten, um die IT-Sicherheit Ihres Unternehmens rund um die Uhr zu gewährleisten.

Zum Abschluss erfahren Sie am Beispiel des Next Generation Access-Managements mit tenfold, welche Vorteile Ihnen eine moderne und intelligente Rechteverwaltung bietet. Diese erleichtert nicht nur das Onboarding neuer Mitarbeiter ungemein, sondern erlaubt auch die Erstellung von Reportings, die als Grundlage für Zertifizierung oder der Dokumentation Ihrer DSGVO-Konformität dienen können.

Melden Sie sich noch heute an und sichern Sie sich einen Platz in unseren Webinaren!

Nach Hafnium ist vor…??? – Zeit für mehr Sicherheit mit Azure Sentinel

Durch die fortschreitende Digitalisierung und die immer steigende Komplexität der Informationstechnologie müssen auch die Administratoren sich immer wieder neuen Herausforderungen stellen. Die Daten der Unternehmen müssen vor fortschrittlicheren Cyber-Bedrohungen oder Schwachstellen in der eingesetzten Software (z.B. Exchange-Server und der HAFNIUM-Exploit vor kurzer Zeit) weiter fachkundig geschützt werden. Bei Problemen oder Sicherheitsvorfällen müssen in großen Mengen Logdaten gesichert und gesichtet werden. Meist war an dieser Stelle aber schon alles zu spät, die Administratoren im reaktiven Arbeits-Modus. Die Auswertungen nehmen Wochen oder Monate in Anspruch. Daher ist es in der heutigen Zeit noch wichtiger geworden, die Sicherheit der IT-Infrastruktur proaktiv im Blick zu behalten. Aber wie?

Im diesem Blog-Beitrag wollen wir eine Möglichkeit vorstellen, mit der diese reaktive Arbeit auf relativ einfache Art und Weise weitestgehend automatisiert werden kann: Azure Sentinel – der Cloud-basierten SIEM (Security Information Event Management)- und SOAR (Security Orchestration Automated Response)-Lösung von Microsoft.

Azure Sentinel wird von Microsoft seit 2019 angeboten und als Dienst innerhalb der Azure-Plattform betrieben. Auf dieser Basis ist mit einem aktiven Azure-Konto die schnelle Installation und der einfache Betrieb der Lösung möglich. Weitere Investitionen in Hard- und/oder Software sind nicht nötig. Die Abrechnung der genutzten Ressourcen (z.B. Log-Speicherplatz etc.) erfolgt, wie in Azure gewohnt, entweder nutzungsbasiert oder auf Basis von zuvor festgelegten Kontingenten.

Für die grundsätzliche Funktion sammelt und aggregiert die SIEM-Komponente fortwährend Logdaten, die in der gesamten IT-Infrastruktur des Unternehmens generiert werden. Dabei spielt es keine Rolle, ob die Daten von Systemen und Anwendungen aus der Cloud (auch Clouds anderer Anbieter) oder der lokalen Infrastruktur erzeugt und Azure Sentinel zugeführt werden. Mit den dafür genutzten Monitoring-Agenten auf Linux- oder Windows-Servern können auf gleichem Wege die Logdaten von Netzwerk- und Sicherheitsgeräten wie Firewalls oder dem Endpoint-Schutz gesammelt werden. Innerhalb dieser Datenmenge werden über Analyse-Regeln sicherheitskritische Vorfälle und Ereignisse identifiziert, kategorisiert und analysiert. Für die Erkennung werden unter anderem auch die im Mitre ATT&CK-Framework (https://attack.mitre.org/matrices/enterprise/) aufgeführten Angriffs-Taktiken und -Techniken genutzt. Erkannte Bedrohungen, Anomalien oder Angriffe werden automatisch innerhalb von Azure Sentinel als Incidents angelegt und damit zum weiteren Handeln der IT-Administration übergeben. Diese Administratoren können nun über die erstellten Incidents auf umfangreiche Details der Vorfälle zurückgreifen. Hier werden die beteiligten Objekte im Einzelnen aufgeführt und zusätzlich in einer Übersichtgrafik dargestellt, so dass Zusammenhänge schnell erfasst werden können.

In der Praxis bietet Azure Sentinel dafür schon von Haus aus eine Vielzahl von vorkonfigurierten oder individuell anpassbaren Daten-Konnektoren, mit denen auf einfache Weise die nötigen Daten strukturiert gesammelt werden können. Viele Konnektoren haben dieselben Datenquellen, so dass z.B. im Bereich der Server nur ein zu installierender Monitoring-Agent auf Windows- oder Linux-Systemen unterschiedliche Daten sammelt – egal ob sie in der Cloud oder lokal betrieben werden.

Azure Sentinel bietet aber standardmäßig nicht nur die Daten-Konnektoren an, sondern auch weitere Bausteine:

  • Analyseregel-Vorlagen zum Auswerten der Logdaten mit intelligenten KI-Algorithmen und maschinellem Lernen
  • Arbeitsmappen zur Visualisierung der Logdaten
  • Thread-Hunting-Regeln zur aktiven Suche von Sicherheitsbedrohungen
  • Analyse des Benutzer- und Entity-Verhaltens für zuverlässige, handlungsrelevante Informationen zu den Vorfällen

Um dann aber auch automatisiert auf die durch SIEM erkannten Sicherheitsbedrohungen zu reagieren geht die SOAR-Komponente einen weiteren Schritt: Azure Sentinel bietet dafür die sogenannten Playbooks an. Durch die bereits integrierten Konnektoren zu unterschiedlichen externen Systemen könne über Trigger und Aktionen auch komplexere Szenarien abgebildet werden, wenn durch SIEM ein Vorfall gemeldet wird. Hier z.B. eine Reaktion auf einen eventuell kompromittierten Benutzer:

Dieser Beitrag kann nur einen groben Überblick über das breite Leistungsspektrum von Azure Sentinel liefern. Haben wir Ihr Interesse für diesen zusätzlichen, proaktiven Schutz Ihrer IT geweckt? Dann sprechen Sie uns gerne für weitere Informationen oder eine Live-Demo in Azure Sentinel an. Gehört Microsoft 365 / Microsoft Azure bereits zu Ihrer IT-Infrastruktur, dann bieten wir Ihnen gerne auch einen individuellen Proof-of-concept direkt in Ihrer IT-Umgebung an.