Security Information and Event Management

CYBERSECURITY: Die vielfältigen Möglichkeiten eines SIEM

Es werden immer wieder Informationen von angegriffenen Unternehmen veröffentlicht. Leider wurden diese Unternehmen nicht durch ein SIEM auf mögliche Gefahren aufmerksam gemacht.

Ein Security Incident und Event Management System (SIEM) ist hauptsächlich dazu da, um mögliche Einfallstore zu überwachen. Hierzu werden Quellen in das SIEM eingebunden, um so eine Sichtbarkeit herzustellen. Die Regeln, die dann im SIEM konfiguriert werden, können Angriffe nahezu in Echtzeit entdecken und stehen einem Security Team (einem Security Operation Center, kurz SOC) zur Verfügung.

Viele SIEM bieten hier eine Bandbreite an vordefinierten Regeln an, die die Detektion von möglichen Angriffen aufzeigen. Oft basieren diese Regeln auf der Mitre Att&ck Matrix und decken somit die verschiedenen Angriffsphasen eines Security Incident ab.

Cloud oder On-Premise?

Die Cloud-Anbietenden stellen ihre SIEM-Lösung als SaaS Modell (Software as a Service) bereit. Mit diesem Modell können die Anbietenden schneller neue Funktionen hinzufügen. Zusätzlich kommt hier die nahezu unendliche Kapazität der Cloud zum Tragen. Da Maschine-Learning viel Computer Power und sehr viele Referenzdaten benötigt, ist dies in der Cloud einfacher als in einer lokalen Infrastruktur.

Dennoch haben auch SIEM-Infrastrukturen in der On-Premise Welt ihre Daseinsberechtigung. Allein um die Hoheit über die Daten zu behalten, ist eine On-Premise Variante konkurrenzlos. Zusätzlich verlangen die typischen Anbietenden für die Cloud SIEM-Lizenzkosten oder Integrationskosten, wenn Daten aus der lokalen Infrastruktur in ein Cloud-SIEM geladen werden sollen.

Die Quelldaten sind der Schlüssel

Eine SIEM-Lösung ist nur so gut wie die Informationen, die sie ausgibt und die darauf basierenden Quellen. Es reicht nicht, einfach nur alle Daten in ein SIEM zu laden. Vielmehr gilt es, die Probleme zu identifizieren und fundierte Lösungsansätze zu finden.

Zum Beispiel können die Daten von SAP-Systemen und -Applikationen zwar in ein Standard-SIEM geladen werden, aber bis auf zwei SIEM-Lösungen können diese Daten nicht verarbeitet werden. Hier sind die Hersteller SAP im engeren und Microsoft im weiteren Sinne die Nischenplayer im Bereich Applikation Security Monitoring SAP-Applikationen. Einfache Quellen wie die von Microsoft Systemen kann jedes SIEM verarbeiten.

Analysefähigkeit und Automation

Ein Security-Produkt ist nur so gut wie die Menschen, die es konfigurieren und benutzen. Ist ein SIEM unnötig kompliziert, kann das in der Bearbeitung von Security Alerts zu Problemen und zu hochgradig kritischen Situationen führen. Daher sollte ein SIEM folgende Voraussetzungen erfüllen:

  • Einfache Dashboards
  • Einfach zu konfigurierende Reports
  • Die Möglichkeit, schnell und einfach neue Alarmregeln zu definieren
  • Intuitive Nutzungsoberfläche

Einfache Automatismen, die zum Beispiel via API an weitere Security-Produkte gesendet werden können, sind hierbei die Königsklasse und werden oft nur mit einem SOAR-Modul oder einer eigenen SOAR-Lösung implementiert.

Cloud oder On-Premise – Der Schutz muss stimmen

Egal ob es nun die Cloud oder eine On-Premise Variante wird. Das SIEM sollte zu Ihnen und zu Ihrem Unternehmen passen. Am besten mit einem Angeschlossenen SOC, auf das wir in unserem nächsten Blogartikel näher eingehen werden.

Kontakt: security-experts@oediv.de

SAP Integrated Business Planning (SAP IBP)

Anbindung an SAP Integrated Business Planning (SAP IBP)

Basierend auf SAP S/4HANA bietet SAP Integrated Business Planning (IBP) eine cloudbasierte Lösung für die Bedarfs- und Bestandsplanung über die komplette Versorgungskette. Durch die Anbindung von SecuIAM an das SAP IBP ist es nun möglich, die Berechtigungsvergabe innerhalb des Systems auf Basis des SecuIAM Regelwerks zu automatisieren und Compliance-gerecht zu dokumentieren. Zudem können Berechtigungen aus dem SAP IBP mit SecuIAM abgeglichen und Differenzen ausgewiesen werden.

Accountprovisionierung

Die Hauptaufgabe des Connectors besteht in der Provisionierung von User- und Berechtigungsdaten in das SAP IBP. So werden die manuell oder über das HR-System in SecuIAM hinterlegten Mitarbeiterdaten für die Anlage von Accounts im SAP IBP verwendet bzw. an dieses weitergereicht. Hierbei können die Attributwerte entweder direkt angegeben oder durch ein hinterlegtes Regelwerk (Bildungsregeln) automatisch für das Zielsystem erzeugt werden. Ist es erforderlich, im SAP IBP hinterlegte Daten nach SecuIAM zu übernehmen, schreibt der Connector diese auf Wunsch nach SecuIAM zurück und die Attributwerte können an andere Zielsysteme übergeben werden.

Die Provisionierungsdaten für den IBP-Account können sowohl durch manuelle Vergabe oder aber durch beantragbare oder automatisch zu vergebene SecuIAM Rollen vorgenommen werden.

Die folgenden Aktionen können über den IBP-Connector im Zielsystem vorgenommen werden:

  • Accountanlage im SAP IBP
  • Änderung von Account- und Berechtigungsdaten
  • Entzug von Account- und Berechtigungsdaten
  • Sperrung von Accounts
  • Entsperrung von Accounts
  • Entzug von Accounts

Rollenabgleich

Die Berechtigungen innerhalb des IBP werden als SAP-Rollen gepflegt. Um den Administrator bei der Einrichtung und Pflege der Anbindung an das IBP zu unterstützen, liest der SecuIAM IBP-Connector in regelmäßigen Abständen die in SAP vergebenen Rollen aus und gleicht diese mit dem Bestand in SecuIAM ab. Hierdurch stehen für die Administration in SecuIAM stets die aktuellen Daten zur Verfügung und es ist keine manuelle Pflege erforderlich.

Berechtigungsvergleich

Neben dem Abgleich der Berechtigungsdaten ist die Reconciliation, also der Differenzvergleich zwischen dem IBP und SecuIAM, ein wesentlicher Bestandteil der Umsetzung. Der regelmäßige Abgleich stellt der Administration alle aufgefallenen Differenzen in einer Übersicht dar, sodass diese individuell oder aber über die Mengenbearbeitung aufgelöst werden können. Natürlich können auch Attribute oder Accounts von einem zukünftigen Vergleich über eine Sperrliste ausgeschlossen werden.

Die folgenden 3 Differenztypen werden in SecuIAM unterschieden:

Differenztyp Möglichkeiten des Abgleichs
Account ist im Zielsystem vorhanden, fehlt jedoch in SecuIAM
  • Fehlenden Account einem SecuIAM User zuordnen
  • Fehlenden Account in die Sperrliste aufnehmen
Account ist in SecuIAM vorhanden, fehlt jedoch im Zielsystem
  • Account im Zielsystem anlegen
  • Account in SecuIAM löschen
Ein Account verfügt über Attributdifferenzen zwischen SecuIAM und dem Zielsystem
  • Attributwert aus SecuIAM in das Zielsystem übernehmen
  • Attributwert aus dem Zielsystem übernehmen (nur möglich, wenn SecuIAM Regelwerk nicht verletzt wird)
  • Attribut in die Sperrliste aufnehmen
Phishing

CYBERSECURITY: Die unterschätzte Gefahr von Phishing Angriffen

93% aller Hackerangriffe starten mit Phishing. Das gezielte Versenden von Phishing E-Mails ist die beste Methode für Cyberkriminelle, sich Zutritt zu den Systemen der Angegriffenen zu verschaffen. Hier setzen Hacker auf die Schwachstelle Mensch.

Wie Sie einen Phishing Angriff erkennen und worauf zu achten ist

Phishing E-Mails sind allgegenwärtig. Sowohl im privaten Umfeld als auch im beruflichen stellen sie ein tägliches Risiko dar.

Diese Mails sollen ihre Adressaten dazu bringen, auf einen enthaltenen Link zu klicken, über den sie auf eine von den Angreifenden erstellte Webseite gelangen. Auf der Ziel-Webseite sollen dann z. B. Dateien heruntergeladen oder Passwortdaten eingeben werden.

Phishing Angriffe sind zu 93 Prozent der erste Weg für Angreifende, um netzwerktechnisch in Unternehmen einzudringen. Die nächsten Schritte bestehen beispielsweise im Infizieren eines Clients und im Eindringen in Server und AD Controller.

Phishing E-Mails im Endverbraucherbereich

Im privaten Umfeld werden den Adressaten häufig hohe Rabatte oder Geschenke für Onlineshops wie Amazon versprochen, sodass der geforderte Klick auf einen Link oder Anhang sehr verlockend ist. Es gibt allerdings Merkmale, anhand derer sich Phishing Mails gut erkennen lassen. Die Angreifenden zielen in der Regel auf einen möglichst großen Empfängerkreis ab und nutzen daher eine automatisierte E-Mail-Generierung. In diese automatisierten Massenmails schleichen sich häufig Rechtschreibfehler oder leichte Veränderungen im Firmennamen ein (z. B. Markt Media, Amason uvm.). Diese Fehler in Verbindung mit der Aufforderung, einen Link anzuklicken, einen Anhang zu öffnen oder ähnliches sollten beim Lesen einer Mail bereits die Alarmglocken klingeln lassen.

Phishing E-Mails im Berufsumfeld

Im Arbeitsumfeld gehen die Angreifenden meist noch genauer vor.

In Unternehmen folgen die E-Mail-Adressen der Mitarbeitenden für gewöhnlich demselben Schema wie z. B. „Vorname.Nachname@Firmennamen.de“. Das macht es den Angreifenden leicht, denn sobald Vor- und Nachnamen bekannt sind, können sie sich direkt weitere Zieladressen erschließen. Über Soziale Medien wie LinkedIn und XING können Angreifende eben diese Vor- und Nachnamen schnell herausfinden, um die Listen der Adressaten für ihre Phishing Mails kontinuierlich zu erweitern.

Richtiges Verhalten im Verdachtsfall

Falls Ihnen eine E-Mail merkwürdig vorkommt, können Sie diese leicht auf deren Seriosität prüfen.

  1. Hovern Sie über den Absender und prüfen die Plausibilität der E-Mail-Adresse. Stehen dort kryptische Zeichen oder eine ungewöhnliche Endung, sollten Sie keinesfalls auf angefügte Links klicken oder E-Mail-Bestandteile herunterladen.
  2. Hovern Sie über die angefügten Links und prüfen Sie, ob der angezeigte Link tatsächlich zum angeblichen Zielort führt. Links können eine andere Zieladresse haben als angezeigt wird. So kann zum Beispiel der Button „Artikel lesen“ nicht zu weiterführenden Informationen eines gerade gelesenen Textes weiterleiten, sondern zu einer schadhaften Seite.
  3. Lassen Sie sich durch aufgebauten Zeitdruck in E-Mails nicht stressen. Die Sicherheit geht immer vor. Kein Termin kann so wichtig sein, dass Sie einen Hackerangriff riskieren sollten.

So finden Sie die für Ihr Unternehmen richtige Sicherheitsmaßnahme

Durch eine Phishing-Simulation können Unternehmen den Ernstfall in einem kontrollierten Umfeld testen, um aus den gewonnenen Erkenntnissen geeignete Maßnahmen abzuleiten.

Security Consultants unterstützen Unternehmen bei der Durchführung sogenannter Phishing-Kampagnen. Gemeinsam mit ihnen werten die Consultants die Resultate der Simulation aus und definieren, welche Cyber Security Maßnahmen (LINK: https://www.secusys.de/it-sicherheit/) die richtigen sind, um das Unternehmen sicher aufzustellen. Neben der Phishing-Simulation gibt es diverse weitere Ansätze, die in die IT-Sicherheitsstrategie von Unternehmen einfließen können. Bei der Erstellung einer individuellen IT-Sicherheitsstrategie und der Entscheidung, welche Maßnahmen geeignet sind, stehen die Security Consultants wiederum unterstützend zur Seite.

Kontakt: security-experts@oediv.de

CYBERSECURITY: Angriffserkennung als Bestandteil einer wirksamen IT-Sicherheitsstrategie

Mitte Juni 2022 veröffentlichte das BSI den Entwurf einer neuen Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA). Bis 19. August 2022 hat die Öffentlichkeit nun Zeit, Kommentare und Anpassungswünsche einzubringen.

Der Community Draft konkretisiert die bereits mit dem IT-Sicherheitsgesetz 2.0 im Mai 2021 vorgegebene Pflicht zu Planung, Einführung und Betrieb wirksamer SzA für die drei Bereiche Protokollierung, Detektion und Reaktion. Die Mindestanforderungen für diese drei Bereiche werden im Folgenden kurz dargestellt.

Laut der Orientierungshilfe sind Betreiber Kritischer Infrastrukturen, Betreiber von Energieanlagen und Energieversorgungsnetzen sowie prüfende Stellen zum 1. Mai 2023 verpflichtet, angemessene organisatorische und technische Sicherheitsvorkehrungen zu treffen und ihre informationstechnischen Systeme, Komponenten und Prozesse integer, authentisch und vertraulich zu betreiben. Die Beurteilung der Qualität der eingesetzten Systeme orientiert sich an einem mehrstufigen Reifegradmodell.

Dabei ist vorgesehen, dass die individuelle Umsetzung der gesetzlichen Anforderungen alle zwei Jahre erneut anhand standardisierter Compliance-Dokumentationen (z. B. mittels Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) EnWG) nachgewiesen werden muss.

Zur konkreten Umsetzung empfiehlt sich laut BSI die Etablierung eines nach DIN EN ISO 27001 zertifizierten Informationssicherheits-Management-Systems (ISMS) – bei Bedarf in Zusammenarbeit mit branchenerfahrenen Sicherheitsspezialisten.

1. Protokollierung

Als Mindestanforderung sind in der Orientierungshilfe der Aufbau einer zentralen Protokollierungsinfrastruktur sowie die Bereitstellung von Protokollierungsdaten für die Auswertung angegeben. In größeren Informationsverbunden müssen außerdem alle gesammelten sicherheitsrelevanten Protokollierungsdaten an zentralen Stellen gespeichert werden. Dafür muss die Protokollierungsinfrastruktur ausreichend dimensioniert und mit genügend technischen, finanziellen und personellen Ressourcen ausgerüstet sein. Zudem sind die gesammelten Protokollierungsdaten zu filtern, zu normalisieren, zu aggregieren und zu korrelieren, damit sie geeignet verfügbar gemacht und ausgewertet werden können.

2. Detektion

Folgende Mindestanforderung stellt das BSI:

  • die kontinuierliche Überwachung und Auswertung von Protokolldaten
  • den Einsatz zusätzlicher Detektionssysteme
  • die Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse
  • die Auswertung von Informationen aus externen Quellen
  • die Auswertung der Protokolldaten durch spezialisiertes Personal
  • zentrale Detektion und Echtzeitprüfungen von Ereignismeldungen
  • die automatische Reaktion auf sicherheitsrelevante Ereignisse

3. Reaktion

Die Orientierungshilfe sieht mindestens vor, dass alle Basisanforderungen zur Behandlung von Sicherheitsvorfällen erfüllt werden. Die Systeme zur Angriffserkennung sollten automatisiert Maßnahmen zur Vermeidung und Beseitigung angriffsbedingter Störungen ergreifen können – ohne Beeinträchtigung der kritischen Dienstleistung.

Was jetzt zu tun ist

Für Kritische Infrastrukturen empfiehlt es sich, in drei Schritten vorzugehen:

  • Inventarisierung und Datenflussprüfung
  • Erarbeitung eines Protokollierungskonzeptes
  • Einführung einer Protokollierungsinfrastruktur

Hier hat sich eine zweistufige Umsetzung mit einem unmittelbar auf Angriffe reagierenden SOC (Security Operations Center) sowie einem SIEM (Security Information and Event Management) bewährt. Letzteres kann ggf. um ein zusätzliches IPS (Intrusion Prevention System) erweitert werden.

Informationen und Unterstützung finden Sie unter: https://www.secusys.de/it-sicherheit/

Kontakt: security-experts@oediv.de

TOP Ausbildungsbetrieb 2022

OEDIV SecuSys wird bereits zum 5. Mal als „TOP Ausbildungsbetrieb“ ausgezeichnet

Die IHK zu Rostock hat am 14.06.2022 zum 15. Mal die TOP Ausbildungsbetriebe in und um Rostock ausgezeichnet. Die Verleihung konnte in diesem Jahr endlich wieder im Rahmen einer Feierlichkeit in der Stadthalle Rostock durchgeführt werden. OEDIV SecuSys nahm die begehrte Auszeichnung bereits zum 5. Mal entgegen.

Die IHK zu Rostock nimmt die steigende Teilnahme der regionalen Ausbildungsbetriebe an der Ausschreibung für den Preis „TOP Ausbildungsbetrieb“ positiv war. Auch merke man, dass die Auszubildenden das Engagement eines potenziellen Ausbildungsbetriebes zunehmend in die Entscheidung, wohin sich beworben wird, einbeziehen. Der IHK-Präsident Klaus-Jürgen Strupp betonte auf der Verleihung: „Unternehmen, die diesen Titel tragen, gäben jungen Menschen hervorragende Möglichkeiten, sich in der Berufswelt zu entwickeln und ihr Leben, ihre Zukunft, selbst in die Hand zu nehmen. Wer denke, die Teilnahme an der Ausschreibung sichere in jedem Fall den Titel, der irre“.

Anschließend verwies der IHK-Präsident auf den Kriterienkatalog, der die Anforderungen an Unternehmen, die sich auf den Titel bewerben möchten, enthält.

Der Kriterienkatalog ist aufgeteilt in Pflichtkriterien sowie zusätzliche TOP-Kriterien, durch deren Erfüllung die Ausbildungsbetriebe den Auszubildenden einen besonders attraktiven Ausbildungsplatz bieten würden. Die TOP-Kriterien beziehen sich nicht nur auf den Ausbildungszeitraum selbst, sondern betrachten auch die Zeit vor sowie Perspektiven nach der Ausbildungsphase.

Bei OEDIV SecuSys legen wir großen Wert auf die Förderung und vollständige Einbindung unserer Auszubildenden. Duz-Kultur, Remote Arbeit, Urlaubsanspruch und weitere Benefits gelten für ALLE – Mitarbeitende wie auch Auszubildende – vom ersten Tag an. Auch werden unsere Nachwuchskräfte von Anfang an in Projekte und die Weiterentwicklung unserer Software einbezogen. Uns ist es wichtig, den Auszubildenden Herausforderungen zu bieten, an denen sie wachsen können, ohne sie damit allein zu lassen. Unsere hauptamtliche Ausbilderin Susanne sowie die nebenamtlichen Ausbilder/innen und das gesamte Kollegium leben eine hilfsbereite Kultur und stehen bei Problemen und Fragen zur Seite. Unser klares Ziel ist es, kompetente Fachkräfte von morgen hervorzubringen, denen wir selbst nach der Ausbildung einen festen Platz im Unternehmen anbieten.

Top Ausbildungsbetrieb 2022
Gruppenfoto - Top Ausbildungsbetrieb 2022
Auszeichnung Top Ausbildungsbetrieb 2022
Urkunde Top Ausbildungsbetrieb 2022
Modern Workplace

CYBERSECURITY: Wie man auch remote erfolgreich zusammenarbeiten kann!

Möchten Sie wieder täglich ins Büro? In der aktuellen, Ende Mai 2022 veröffentlichten weltweiten Arbeitsmarktstudie „Hopes and Fears 2022“ hat die internationale Beratungsgesellschaft PwC 52.000 Arbeitnehmer/innen aus 44 Ländern genau diese Frage gestellt. Das Ergebnis hätte deutlicher nicht ausfallen können: 19 von 20 Beschäftigten sagten klar „nein“. In Deutschland etwa wollen 35 % auch weiterhin vollständig remote oder von Zuhause aus arbeiten, 51 % streben dies überwiegend an. Die Arbeitswelt der Zukunft ist hybrid, gerade Jüngere legen großen Wert auf ein flexibles und motivierendes Arbeitsumfeld, das ihnen ausreichend Freiraum für private Interessen bietet. Die OEDIV SecuSys GmbH unterstützt Unternehmen bei der Schaffung sicherer Rahmenbedingungen.

Die PwC-Studie hat auch Defizite deutlich gemacht: Deutschland liegt beim Megatrend Remote Work / Working from Home weit hinter dem internationalen Durchschnitt. Während weltweit 54 % der Beschäftigten diese Möglichkeit nutzen können, sind es in Deutschland gerade einmal 44 %. Auch bei der Förderung von Diversität sowie Inklusion und beim Einsatz innovativer Zukunftstechnologien gibt es dringenden Nachholbedarf. Für Petra Justenhoven, Managerin bei PwC Deutschland, liegt die Lösung in einer verantwortungs- und vertrauensvollen Führung: „Dazu gehören Verständnis für die Bedürfnisse des Teams, die Bereitschaft, kontinuierlich weiterzulernen – und vor allem, offen für neue Situationen zu bleiben.“

Fakt ist: Nach zwei Jahren Corona-Pandemie ist unser berufliches Miteinander nicht mehr das gleiche. Die sichere und effektive Zusammenarbeit am Modern Workplace hat viele Aspekte – von der Integration in die bestehende IT-Landschaft über die Bereitstellung von Applikationen, Datenablage und -zugriff bis hin zu Lizenzierung, Betrieb, Support und Wartung.

IT Security Assessment zur ersten Orientierung

Neben den technisch-organisatorischen Anforderungen eines jeden Unternehmens sind bei der Einrichtung externer Zugänge auf die Unternehmensserver auch sicherheitstechnische Aspekte zu beachten. Es empfiehlt sich daher, zum Einstieg eine unabhängige, objektive Sicherheitsanalyse im Rahmen eines IT Security Assessments im Unternehmen vorzunehmen, um Risiken zu prüfen und mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert erfassen und bewerten zu können.

Dass ein sicherer und bedarfsgenauer Remote-Zugriff auf alle relevanten Arbeits- und Unternehmensdaten noch keine Selbstverständlichkeit ist, zeigt eine Studie des BSI zur „IT-Sicherheit im Home-Office im Jahr 2020“. Als technische Sicherheitsmaßnahmen mit besonderer Relevanz für den modernen, digitalen Arbeitsplatz der Zukunft erachtet die Cyber-Sicherheitsbehörde des Bundes dabei VPN (Virtual Private Network), die Verschlüsselung von Datenträgern, die Mehr-Faktor-Authentisierung, die Segmentierung und Absicherung von Netzen sowie das Mobile Device Management. Eine große Sicherheitslücke ist immer noch das Handy: Nur 38 % aller befragten Unternehmen managen die Sicherheit von Handys, Laptops, Tablets und weiteren mobilen Endgeräten mit Verbindung zum Firmennetzwerk.

IT-Sicherheit braucht einen 360-Grad-Blick

Mehr denn je erfordert die neue hybride Arbeitswelt eine ganzheitliche, bereichsübergreifende Sicherheitsstrategie. IT-Security bedarf eines 360-Grad-Blicks auf Mensch, Organisation und Technik.
Detektion - Reaktion - Prävention

Die Anforderungen an geeignete Lösungen für eine ganzheitliche IT-Sicherheitsstrategie sind dabei so vielfältig wie die Unternehmen, in denen sie zum Einsatz kommen. Finden Sie heraus, welche Bestandteile in Ihrem Unternehmen für mehr Sicherheit und eine Prozessoptimierung sorgen: https://www.secusys.de/it-sicherheit/
Kontakt: security-experts@oediv.de

M365 Connector

Anbindung des Azure Active Directory und Integration von M365-Diensten

In den letzten Monaten haben wir unseren M365 Connector angepasst und dadurch neue Produktfunktionen hinzugewonnen. Durch die M365 Services und deren Integration in das Azure Active Directory (Azure AD) erlangen Unternehmen und Anwender/innen größere Freiheiten bei der Nutzung und Vergabe von Berechtigungen für Online-Dienste.

Die Vergabe von Berechtigungen und Lizenzen sowie die Verwaltung von Gruppen stellen die Kernfunktionalitäten des M365 Connectors dar.

So einfach es mittlerweile ist, Berechtigungen und Lizenzen in der „M365/Azure-Welt“ zu vergeben, so herausfordernd ist es auch, die vergebenen Berechtigungen im Blick zu behalten und zu verhindern, dass diese unkontrolliert anwachsen. Durch das umfassende SecuIAM Regelwerk, weitreichende Automatismen und die Nachvollziehbarkeit der durchgeführten Aktionen wird die Administration durch SecuIAM dabei unterstützt, eine unerwünschte Verselbstständigung der Lizenz- und Berechtigungsvergabe zu vermeiden.

Vorteile und Nutzen des M365 Connectors

Die Implementierung unseres M365 Connectors unterstützt die Administration bei der manuellen und automatischen Vergabe von Berechtigungen in diversen Bereichen. Der entsprechende Nutzen bezieht sich dabei nicht nur auf eine zentralisierte Provisionierung aus SecuIAM heraus, sondern umfasst zudem die Vorteile der Informationsbereitstellung über verschiedene Zielsysteme hinweg. So können beispielsweise gelieferte Informationen aus einem Personalverwaltungssystem (HR-System) zur automatischen Anlage von zugehörigen Azure AD-Accounts genutzt, jedoch auch Informationen zurückgeschrieben werden, die erst im Verlauf des Anlageprozesses vergeben werden. Eine bei Anlage in Exchange Online gebildete E-Mail-Adresse kann somit zurück ins HR-System und/oder an alle anderen an SecuIAM angeschlossenen Systeme verteilt werden.

verwaltung-ad-ms365

Accountverwaltung

Die Anlage, Bearbeitung, das Sperren/Entsperren sowie das Löschen von Accounts im Azure AD wurden implementiert. Somit ist es möglich, Accounts manuell, über Anträge oder aber vollautomatisch über Zuordnung/Entzug durch das SecuIAM Regelwerk zu provisionieren. Die getätigten Aktionen sind über das Reporting nachvollziehbar.

Lizenzverwaltung

Auch die Lizenzvergabe und der Lizenzentzug sind über den manuellen sowie den automatischen Weg durch SecuIAM möglich. M365 Lizenzen können Accounts direkt oder aber entsprechend des SecuIAM Regelwerks bequem automatisiert zugeordnet werden. Unterstützt wird die Administration hierbei vor allem durch die Standardprozesse für den Mitarbeitereintritt, den Mitarbeiteraustritt oder aber den OE-Wechsel (Abteilungswechsel von Mitarbeitenden). Durch die hinterlegten Regeln werden hierbei die einzelnen Lizenzen/Lizenzoptionen entsprechend der Abteilungszugehörigkeit der Nutzer automatisch zugewiesen und/oder entzogen, sodass es weder zu einer Über- noch zu einer Unterversorgung mit den für die Arbeit notwendigen Lizenzen kommt. Dies sorgt für eine stets arbeitsplatzgerechte Vergabe von Lizenzen und erspart dem Unternehmen unnötige Lizenzkosten. Durch diverse Reportübersichten ist die Administration stets darüber informiert, über welche Wege (direkte Zuordnung zu einem Account/indirekte Zuordnung über eine Sicherheitsgruppe) die Unternehmenslizenzen verteilt wurden. Durch einen regelmäßigen Abgleich zwischen SecuIAM und Azure wird sichergestellt, dass stets die korrekten Lizenzen und Lizenzoptionen für eine Provisionierung zur Verfügung stehen.

Gruppenverwaltung

Über SecuIAM können M365 Gruppen und Sicherheitsgruppen angelegt, geändert und gelöscht werden. Zudem ist ein automatischer Import von Gruppenobjekten aus Azure in SecuIAM möglich. Die Gruppen werden den Accounts direkt oder aber über SecuIAM Rollen zugeordnet. Das kann auch prozessgestützt, also automatisiert unter Anwendung von Zuweisungs- und Entzugsregelungen, geschehen. An Sicherheitsgruppen können zudem Lizenzen/Lizenzoptionen vergeben werden. Selbstverständlich ist auch eine Beantragung von Gruppen über das Rollenmodell möglich, wodurch die Administration bei Berechtigungs- und Lizenzvergabe zusätzlich entlastet wird.

Gastverwaltung

Analog der Anlage von Accounts in Azure ist auch die Verwaltung von Gastaccounts über SecuIAM möglich. Hierbei können diese sowohl automatisch infolge einer Anlage eines SecuIAM Kontakts über entsprechende Regeln als auch manuell oder über einen Antrag zugeordnet werden. Natürlich ist auch die Vergabe von Berechtigungen und Lizenzen für einen Gastaccount möglich.

Reconciliation

Um den Compliance-Anforderungen an SecuIAM gerecht zu werden, müssen neben einem umfangreichen Reporting auch die aktuell vergebenen Lizenzen/Lizenzoptionen, Gruppen und Berechtigungen regelmäßig überprüft und abgeglichen werden. Hierzu können die zur Verfügung stehenden Lizenzen/Lizenzoptionen und Gruppen automatisch mit dem Zielsystem synchronisiert werden. Stehen diese nicht mehr für eine Zuteilung zur Verfügung, werden sie in SecuIAM entfernt. Erweitern sich z. B. die zur Verfügung stehenden Lizenzen/Lizenzoptionen, so werden diese automatisch mit aufgenommen.

Auch Accounts können abgeglichen und Differenzen über eine Übersicht im Webportal aufgelöst werden. Es werden fehlende Accounts in SecuIAM oder dem Zielsystem als Differenzen aufgefunden aber auch Unterschiede in der Vergabe von Attributen, Lizenzen/Lizenzoptionen und Berechtigungen zwischen beiden Systemen aufgedeckt. Unter Berücksichtigung des Regelwerks können die Differenzen über die Oberfläche entweder im Azure AD oder aber in SecuIAM korrigiert werden. Sollten Differenzen aktuell nicht auflösbar sein oder nicht mehr betrachtet werden, können diese von einem zukünftigen Vergleich ausgeschlossen werden.

Vor allem durch die hohe Dynamik von M365 Diensten arbeiten wir fortwährend an der Weiterentwicklung des M365 Connectors, um neue Features zu integrieren oder vorhandene Funktionen zu erweitern.

Schulung "Certified User"

Softwareschulung zum SecuIAM „Certified User“ – Juni 2022

In 3 Tagen zum Zertifikat – Von der Einführung in die Software bis zur Userverwaltung

Aufgrund der anhaltenden Nachfrage veranstalten wir vom 21.06. bis 23.06.2022 eine weitere Schulung für die Anwender/innen unserer Produktsuite SecuIAM. Sie haben jetzt erneut die Möglichkeit, sich zur „Certified User“ Schulung anzumelden.

Die Schulung „Certified User“ richtet sich an die Applikationsverantwortlichen unserer Kundenunternehmen, die Berechtigungen für Mitarbeitende verwalten, sowie an Teilnehmende von Einführungsprojekten zu SecuIAM.

Unser Expertenteam rund um Dr. Jörn Vorwald wird schwerpunktmäßig auf folgende Inhalte eingehen:

  • Einführung in SecuIAM
  • Objektverwaltung
  • Userverwaltung
  • Prozesse in der Userverwaltung
  • Compliance-Funktionen von SecuIAM

Der „Certified User“ ist die Basisschulung für SecuIAM. Durch erfolgreichen Abschluss dieser und Erlangen des Zertifikats „Certified User“ sind die Anwender/innen grundsätzlich in der Lage, die Identitäts- und Berechtigungsverwaltung in ihrem Unternehmen über SecuIAM zu steuern und erhalten Anspruch auf die Nutzung der herstellerseitigen Ticketverwaltung. Außerdem berechtigt das Zertifikat dazu, an den Aufbauschulungen „Certified Administrator“ und „Certified Engineer“ teilzunehmen.

Die Anmeldung zur Schulung „Certified User“ ist bis zum 15.06.2022 über folgende Wege möglich:

Zertifikat

CYBERSECURITY: Fünf Tipps für ein erfolgreiches Cybersecurity Managment

Knapp neun von zehn deutschen Unternehmen wurden im vergangenen Jahr Opfer gezielter Cyberangriffe. Der Ende April erschienene Cyber Risk Index zählt insbesondere geschäftskritische Daten aus den Bereichen Finanzen, Forschung und Entwicklung, online zugängliche Firmenkorrespondenzen und vertrauliche Informationen zu den am stärksten betroffenen Zielen professioneller Cyberattacken. Sieben von zehn Befragten erwarten in den nächsten zwölf Monaten eine oder sogar mehrere Cyberattacken auf ihr geistiges Eigentum. Laut Cyber Risk Index sollten Unternehmen daher schnellstmöglich aktiv werden, ihre Erkenntnisfähigkeiten verbessern und die aktuelle Cybersecurity-Strategie überdenken.

Ende April veröffentlichte Trend Micro seinen aktuellen „Kroker´s Look @ IT“. Die Zahlen im halbjährig erscheinenden Cyber Risk Index sprechen dabei für sich: 87 % der deutschen Befragten gaben an, in den letzten zwölf Monaten von einem oder sogar mehreren erfolgreichen Cyberangriffen betroffen gewesen zu sein. Drei Viertel der in Deutschland Befragten mussten dabei den Verlust oder Diebstahl ihrer Kundendaten verzeichnen. Hinzu kamen teilweise gravierende Folgekosten durch entstehende Strafzahlungen, Gerichtsprozesse, IT-Infrastruktur- und Reputationsschäden. Zu den Top 5-Cyberbedrohungen gehörten weltweit Ransomware-Attacken, Phishing und Social Engineering, Denial of Service, Botnets und Man-in-the-Middle-Vorfälle. Deutsche Unternehmen fürchten besonders zielgerichtete Angriffe – seien sie nun staatlich gesteuert oder von international hochprofessionell organisierten Tätergruppen ausgeführt. Laut Bitkom e.V. entsteht der deutschen Wirtschaft jährlich durch Diebstahl, Spionage und Sabotage ein Gesamtschaden von 223 Mrd. EUR. Das ist bereits das Doppelte der Schadenssumme aus 2018/2019 – Tendenz steigend.

Nach dem Cyber Risk Index erwarten über sieben von zehn Befragten den Verlust sensibler Daten innerhalb der nächsten zwölf Monate. Zugleich bewerten europäische IT-Manager das Cybersicherheitsniveau ihrer Unternehmen auf einer Skala von 1 bis 10 nur mit 4,99 und sehen sich entsprechend schlecht auf orchestrierte Cyberangriffe vorbereitet.

Es ist also höchste Zeit, aktiv zu werden. Hier sind fünf praktische Tipps für ein erfolgreiches Cybersecurity Management:

1. IT-Sicherheitsmanagement als kontinuierlichen Verbesserungsprozess verstehen

Einzelne Sicherheitslücken oder Angriffe müssen noch keine ernstzunehmende Sicherheitsbedrohung darstellen. Sehr gefährlich wird es allerdings, wenn großflächig strukturelle Sicherheitslücken ausgenutzt werden, die Reaktionsfähigkeit der Systeme nicht mehr gewährleistet ist oder mit breit konzertierten Cyberattacken zu viele Softwarekomponenten angegriffen werden. Ein Flächenbrand dieses Ausmaßes kann nur durch ein kontinuierliches IT-Sicherheitsmanagement eingedämmt werden.

Unternehmen der Kommunal-, Energie- und Wasserwirtschaft sind also gut beraten, IT-Sicherheit als einen kontinuierlichen Verbesserungsprozess zu verstehen. Dafür lohnt es sich, ganzheitliche Cybersecurity-Strategien zu entwickeln und das eigene IT-Krisenmanagement immer wieder selbstkritisch zu hinterfragen – bei Bedarf auch mit externen Beratern und Kompetenzpartnern.

2. Ein sicherheitsbedachtes Lieferantenmanagement verhindert kostenintensive Folgen gezielter Software-Supply-Chain-Angriffe

Ein IT-Sicherheitssystem ist immer nur so stark wie das am wenigsten abgesicherte Glied der Lieferkette. Da zunehmend auch gezielt IT-Dienstleister, Servicepartner, Beratungshäuser und Softwareanbieter angegriffen werden, zahlt es sich aus, mit einem effektiven, sicherheitsbedachten Lieferantenmanagement für mehr Sicherheit, Transparenz und Produktivität zu sorgen. Jedes Asset von Wert sollte also über seinen gesamten Lebenszyklus hinweg sorgfältig dokumentiert, bereitgestellt, gewartet, aktualisiert und bei Bedarf stillgelegt werden können.

3. IT-Sicherheit muss Chefsache sein

Viel zu oft führt das Cybersecurity Management noch ein Nischendasein als „Privatangelegenheit“ interessierter Techies in der IT-Abteilung. Dabei ist es dringend erforderlich, die Erarbeitung einer einheitlichen, konsolidierten IT- und IT-Sicherheits- sowie Informationssicherheitsstrategie direkt in der Unternehmensführung zu verankern. Das garantiert eine ganzheitliche Sichtweise und bindet alle Verantwortlichen systematisch bereichsübergreifend ein – von der erfolgreichen Implementierung bis zur regelmäßigen Kontrolle der Umsetzung. Zugleich werden die Mitarbeitenden sensibilisiert, eigene Nachlässigkeiten zu vermeiden und sich für ein professionelles Release-, Patch- und Berechtigungsmanagement auf allen Ebenen einzusetzen. Allzu oft machen es Unternehmen Hackern hier noch zu leicht – z. B. mit unsicheren Passwörtern, der fehlenden Trennung kaufmännischer und technischer Systeme oder der Vermischung privater und beruflicher Mailaccounts.

4. Ein krisensicheres Business Continuity Management aufbauen

Leider reicht es nicht, im Bereich der Prävention (z. B. beim Aufbau von Firewalls und der Nutzung von Antivirusprogrammen) vorbildlich dazustehen. Ein effektives Business Continuity Management ermöglicht eine adäquate Reaktion auf bereits erfolgte Cyberangriffe und die schnellstmögliche Wiederaufnahme des regulären Betriebs nach einer störungsbedingten Unterbrechung. So lassen sich Schäden reduzieren und existentielle Bedrohungen (z. B. durch unterbrochene Lieferketten) verhindern.

5. Bei Bedarf externe Kompetenz einbinden

Und wenn sich gerade kleinere Unternehmen den „Luxus“ eines ganzheitlichen Cybersecurity Managements nicht leisten können? Dann lohnt es sich, analog zum Datenschutz und unter klarer Definition der Verantwortlichkeiten einen externen IT-Informationssicherheits-
beauftragten (ISB) hinzuzuziehen. In der Zusammenarbeit mit anderen Unternehmen spart das auch eigene Personal-, Anschaffungs- und Administrationskosten. Erfahrene Kompetenzpartner unterstützen ebenfalls bei einer unabhängigen, objektiven Bestandsaufnahme und GAP-Analyse, um mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert zu erfassen und zu bewerten.

Lesen Sie hierzu auch unseren kürzlich in der ew (Magazin für Energiewirtschaft) erschienenen Fachbeitrag oder verschaffen Sie sich einen Überblick über mögliche Ansätze, mit denen Sie die IT-Sicherheit in Ihrem Unternehmen erhöhen können.

Kontakt: security-experts@oediv.de