So reduzieren Unternehmen die Wahrscheinlichkeit, dass ein Cyberangriff erfolgreich ist:

• Ein segmentiertes Netzwerk und Firewalls wehrt einen großen Teil der Angriffe ab.
• Ein gehärtetes, gepatchtes System samt Endpunkten mitigiert einen Großteil der verbleibenden Risiken.

Weitere Sicherheitslücken lassen sich mit der Sensibilisierung und Schulung der Mitarbeiter schließen – die dann eben nicht auf einen als Geschäftsmail getarnten Phishing-Link klicken.

Endpoint-Security mit Tech-Partner ConfigPoint

Nun ist gerade die Endpoint-Security sehr aufwändig, weil sie eine Daueraufgabe darstellt: Betriebssysteme brauchen aktuelle Versionen und müssen durchgepatcht sein, ebenso Applikationen und Programme auf Rechnern und Clients. Unternehmen müssen ihre IT-Umgebung kennen, ihre Endpunkte, die Programme, die darauf laufen, und die vorhandenen Schwachstellen. Das ist das Problem: Unternehmen wissen nicht, welche Endpunkte sie haben oder welche Applikationen von A wie Adobe® bis Z wie Zoom® darauf laufen. Und es ist unmöglich, die Menge an Applikationen manuell auf dem neusten Stand zu halten.

Endpoint-Sicherheit mit Plattformlösung

Die Sicherheit der Endpunkte – Server, Laptop und PC – lässt sich mit ConfigPoint als Partner und der Endpoint-Management-Lösung Tanium effizient herstellen. Tanium bietet ein Werkzeug, eine Oberfläche und einen Report aus einer Hand für alle Bereiche des Endpoint Managements.

Mit Scans werden Software-Versionen, Patches und potenzielle Schwachstellen ermittelt und in Reports mit den Ergebnissen – ungepatchte Server, nicht aktualisierte Software und Schwachstellen – zusammengefasst. Damit kennen Unternehmen den Status ihrer Endpunkte und müssen nicht ihrem Gefühl folgen. Tanium schafft auf diese Weise Transparenz und Durchgängigkeit.

ConfigPoint übernimmt als Managed Service Provider die Bedienung: Denn Endpoint-Security lässt sich mit einem Partner am einfachsten auf- und umsetzen. Er hat das entsprechende Knowhow, das Personal und die Werkzeuge. ConfigPoint managt zum Beispiel die Updates, organisiert sie in Paketen, verpackt sie und rollt sie aus.

Berichte geben wieder, was genau getan wurde und einen Überblick über den Status Quo. So wird sichergestellt, dass überall in der IT-Landschaft die letzten Versionen laufen. Regelmäßige Reports dienen außerdem als Dokumentation – auch gegenüber Behörden und Zertifizierungsstellen.

Das Ziel der Endpoint-Security ist es, schrittweise in einen schwachstellenarmen Zustand überzugehen. Dabei wird auch berücksichtigt, dass es in manchen Fällen keine Patches gibt oder sie nicht ausgerollt werden können, weil Software oder das Produktivsystem dann nicht mehr funktionieren. ConfigPoint weiß, wie man das Problem über die anderen Stufen der Cybersicherheit lösen kann.

Hier sind ein Plan und die übergeordnete Sicht, der Blick aufs Ganze, notwendig. So stellen Unternehmen sicher, dass ihre Endpoints professionell betrieben und gewartet werden, stellen IT-Sicherheit, Compliance und Kontrolle effizient auf und schaffen Wirtschaftlichkeit.

Unternehmen stöhnen: In Sachen IT-Sicherheit häufen sich die schlechten Nachrichten. Professionalisierte Hacker, Angriffe in der Breite auf alles, das nicht bei Drei auf dem Baum ist und raffinierte Vorgehensweisen wie Advanced Persistent Threats (APT) bzw. tückische Tools wie Mal- oder Ransomware, die mittlerweile sozusagen nach Kundenwunsch konfiguriert oder durch Baukastensysteme schnell und günstig eingesetzt werden können. Die Opfer der Cyberangriffe erleiden hohe finanzielle Schäden und ihr Ruf ist im Worst Case ruiniert.

Zum Glück müssen Unternehmen diesen Bedrohungen nicht begegnen wie das Kaninchen vor der Schlange. Sie haben es selbst in der Hand, ihre IT-Sicherheit auf Vordermann zu bringen. Ein Fokus sollte dabei auf ihrem Netzwerk liegen, das den Zugriff auf Systeme und Geräte regelt. Es muss den Angreifern Barrieren in den Weg stellen. Denn wer Systeme und Geräte nicht erreicht, kann diese auch nicht angreifen und dementsprechend keinen Schaden anrichten. Hohe wie breite Barrieren errichten Unternehmen mit Standardisierung: Darüber lässt sich der aktuelle Stand der Technik und damit das bestmögliche Schutzniveau besser und schneller erreichen.

Die Standardisierung des Netzwerks beinhaltet drei Säulen: Standortvernetzung, Netzkonzept und zertifikatsbasierter Zugang nach 802.1x.

1. Eine saubere Standortvernetzung.

Das bedeutet, dass alle Standorte in einem sicheren Netzwerk zusammengefasst, in einem Rechenzentrum zusammengeführt, über einen zentralen Punkt mit dem Internet verbunden und über eine Firewall geschützt werden. Der Break-Out ins Internet ist kontrolliert und es können nur zugelassene Verbindungen verwendet werden. Firmen wissen um die Bedeutung der Standortvernetzung und in der Regel ist sie vorhanden – in der Form von SD WAN, EtherConnect oder MPLS. Die sicherste Variante mit kompletter Kontrolle stellt eine verschlüsselte MPLS-Verbindung dar. Unternehmen sollten übrigens die Komplexität von Firewalls nicht unterschätzen: Das Thema wird sehr schnell abstrakt – gerade leistungsstarke Firewalls wie z. B. von CISCO, Checkpoint oder Palo Alto erfordern Expertise in Sachen Netzwerkschichten (OSI-Modell), Protokollen, Ports, Routen und Paketgrößen sowie der Applikationen und ihrer Kommunikationsweise.

2. Ein gutes Netzkonzept

… und einen passenden Betreiber: Zentral ist hier die Netzwerksegmentierung und -aufteilung in verschiedene Standorte und Funktionen: etwa eigene Segmente für Clients (mit PC und Notebooks), Drucker, VOIP für Telefonie, IoT-Netz oder Gastnetz. So lässt sich der Traffic lenken und priorisieren. Die Netzwerksegmentierung ist meist gelebte und gängige Praxis, doch auch hier gilt: Professionalität geht mit Komplexität einher – und dann reicht der eigene Administrator in der Regel nicht mehr aus. Die IP-Adressbereiche müssen logisch zusammengefasst und gruppiert werden; Design und Struktur müssen passen. Wächst das Unternehmen, wird es noch komplexer: Sollen neue Standorte, Logistik oder Lagerhallen in wenigen Tagen in Betrieb genommen werden und ist kein Standard im Netzdesign vorhanden, kommt die Unternehmens-IT in der Regel schnell an ihre Grenzen.

3. Die Einführung von 802.1x

…, ein authentifizierungsbasierter Zugang ins Netzwerk nach einem definierten Standard gemäß internationaler Definition der IEEE (Institute of Electrical and Electronics Engineers). Damit hat das Netzwerk einen Pförtner für die Zugangskontrolle, der jedes Gerät, das ins Netzwerk will, überprüft. Fehlt die Berechtigung oder sind weitere Voraussetzungen nicht erfüllt, sind verschiedene Reaktionen denkbar, etwa die Abschaltung eines Ports oder die Umleitung ins Gastnetz bei vorhandener Berechtigung. Hardware-Adresse, Softwarestand, aktueller Virenscanner, Verschlüsselung müssen den Compliance-Richtlinien entsprechen, bevor der Netzzugang gewährt wird. Geräten, die nicht dem Standard entsprechen, wird der Zugriff verwehrt. Wichtig: 802.1x bezieht sich nicht nur auf das LAN, sondern auch auf WLAN: Dessen Netzwerkschlüssel (PSK – Pre-Shared-Key) stellt heute keine ausreichende Sicherheit mehr dar, außerdem hört das WLAN nicht am Gebäudeende auf. Deswegen ist auch hier die Einführung von 802.1x sinnvoll: Unautorisierten Geräten wird der Zutritt verwehrt, auch wenn sie das Netz empfangen sollten.

Netzwerk: organisiert und sicher

Berücksichtigen Unternehmen diese drei Bereiche, schaffen sie ein vollständig organisiertes, gut gemanagtes und damit sicheres Netzwerk und die damit einhergehende Transparenz. Denn wer sein Netzwerk im Griff hat, weiß, was sich darin tut und kann reagieren.

Unternehmen müssen ihr Netzwerk nicht selbst sicher machen, sondern können auf Experten von Managed Service Providern wie ConfigPoint zurückgreifen. Als Spezialisten für das Netzwerk kennen wir die Schwachstellen, wir wissen, wie man sie behebt und wir können Standards und Prozesse zumeist leichter als eine firmeneigene IT implementieren. Damit lässt sich ein höheres Sicherheitsniveau herstellen und damit Angreifern und Hackern das Leben so schwer wie möglich machen.

Link zum Ursprungsartikel auf channelpartner.de

Um die optimale Standortvernetzung haben sich in letzter Zeit viele Mythen gebildet – wir räumen mit den gängigsten auf.

Standortvernetzung das geht mit EtherConnect-Verbindung, MPLS (Multiprotocol Label Switching) oder durch SD-WAN (Software-Defined Wide Area Network). Letzteres rückt seit einigen Jahren immer mehr in den Fokus, forciert durch den Trend zur Public Cloud. SD-WAN ist anders als MPLS und EtherConnect einfach zu implementieren und zu betreiben. Dennoch ist nicht alles Gold, was glänzt: Wenn du eine Standortvernetzung planst, solltest du diesen sechs Mythen keinen Glauben schenken.

SD-WAN ist das neue MPLS.

Nein. Dafür sind beide Ansätze viel zu unterschiedlich: MPLS nutzt eigene Leitungen und ist deswegen ein privates Netz mit Anschlüssen im Unternehmen und im Rechenzentrum. SD-WAN läuft dagegen nicht über private Leitungen, sondern über jede zur Verfügung stehende Internetleitung. Mit MPLS hast du von Endpunkt zu Endpunkt die Hoheit über die komplette Strecke. SD-WAN bietet nur die Hoheit über die jeweiligen Endpunkte, nicht über die Verbindung dazwischen. MPLS bedeutet also Leitungshoheit. SD-WAN gibt sie ab. Schon allein deswegen kann SD-WAN MPLS nicht ersetzen.

SD-WAN ist immer günstiger.

Nein. Der Preis ist standort- und produktbedingt. Wenn du SD-WAN über einen Glasfaseranschluss beziehst, bezahlst du genauso viel wie für MPLS – denn in der Regel musst du die Baukosten für die Glasfaser selbst tragen und die Preise für Glasfaser sind ortsabhängig. Das Glasfaserkabel ist also der Kostenfaktor, nicht die darauf aufsetzende Technologie. Außerdem hinkt der Preisvergleich von SD-WAN und MPLS oft: SD-WAN-Angebote sind auf den ersten Blick um gut ein Drittel günstiger.

Allerdings deckt das nur die SD-WAN-Technologie und damit nur die Hälfte der Anforderungen ab: Kosten für zusätzliche Internetanschlüsse, die an den Standorten anfallen, sind oft nicht mitkalkuliert. Der Angebotspreis für MPLS ist dagegen höher, weil er alles enthält – Leitung, Anschluss an den Standorten und das Netz.

Hinzu kommt die Anbieterwahl: Als Provider kann die ConfigPoint zum Beispiel durch geschickten Einkauf einen besseren Preis für SD-WAN mit Glasfaser machen als die großen Anbieter. Es ist allerdings richtig, dass MPLS im Betrieb aufwendiger ist als SD-WAN – auch der Hardwareeinsatz für die Verschlüsselung ist höher.

SD-WAN eignet sich für sämtliche Anwendungsszenarien.

Das hängt vom Anwendungsfall ab. Soll ein Standort einfach und schnell angebunden werden, ist SD-WAN in der Tat eine gute Wahl: Unternehmen, die vorübergehend einen Aktionsstore eröffnen oder eine Verkaufsaktion an einer besonderen Location durchführen, profitieren zum Beispiel von SD-WAN, weil der neue Standort schnell angebunden werden kann. Das gilt auch für Messen und Events. Auch für die Vernetzung ausländischer Standorte bietet sich SD-WAN an: Als deutscher Provider oder Kunde ist es extrem teuer, diese nativ mit MPLS anzubinden, weil die Leitungskosten sehr hoch sind.

Für andere Anwendungsformen ist dagegen die Qualität der Leitung entscheidend: Telemedizin, Logistik oder Produktion – überall, wo Echtzeit eine Rolle spielt, muss die Verbindungsqualität stimmen. Gehört dir die Leitung, wie bei MPLS der Fall, musst du mit weniger Brandbreiteneinbußen rechnen: Wurden 100 Mbit bestellt, erhältst du auch 100 Mbit. Im Bereich von SD-WAN können aus 100 schnell 90 Mbit werden, da die zugesicherte Bandbreite vertragsabhängig ist.

SD-WAN ist besser.

Die Aussage ist zu pauschal. Mit MPLS hast du die volle Leitungshoheit vom Rechenzentrum bis zum Anschlussgerät, damit Sicherheit, Wirtschaftlichkeit und meist einen besseren Service und Support. Kommen Leitung und Anschlussgerät wie bei einer MPLS-Lösung aus einer Hand, kann die Kommunikation unkompliziert geprüft und entstört werden.

Außerdem ist die Quality of Service (QoS) ein Faktor: Dabei werden Inhalte, die über die Leitungen laufen – Videostreams oder Daten wie Citrix-Verbindungen – kategorisiert, priorisiert und die Bandbreite anhand der Serviceklasse zugewiesen. Im Falle von SD-WAN entscheidet das der Provider. Bei MPLS sieht du, was in deinen Leitungen passiert und kannst entsprechend selbst entscheiden, was Vorrang hat. Damit steigt die Servicequalität.

SD-WAN ist schneller.

Die Schnelligkeit hängt von der Leitungstechnologie ab: SD-WAN ist deutlich flexibler, weil kein eigener Anschluss hergestellt werden muss, sondern für die Standortanbindung jeder zur Verfügung stehende Anschluss genutzt und sofort angebunden werden kann, seien es ein LTE-Router oder Starlink. Die Internetleitung ist so in spätestens zwei Wochen geschaltet. SD-WAN auf Glasfaser kostet aber genauso viel Zeit wie MPLS – auch hier muss man auf die Bereitstellung der Kabel warten. Wird MPLS auf einer Technologie wie VDSL und damit einem klassischen Internetanschluss umgesetzt, ist sie auch in zwei Wochen einsatzbereit.

MPLS ist nicht verschlüsselt.

Da der Datenaustausch in SD-WAN über eine öffentliche Internetleitung stattfindet, ist er per se verschlüsselt. Die Konfiguration von MPLS lässt den User im Glauben sich in einem eigenen internen Netzwerk zu befinden. Doch der Anschluss an den Standorten erfolgt durch öffentliche Provider und die Kabel laufen über öffentliche Infrastrukturen und Verteilerschränke – deswegen sollte auch ein MPLS verschlüsselt werden, denn alle Daten sollten während des Transfers verschlüsselt sein.

Fazit

Du siehst: SD-WAN und MPLS sind Technologien mit Vor- und Nachteilen. Welche besser passt, musst du von Anwendungsfall zu Anwendungsfall und abhängig von den Prioritäten – Schnelligkeit, Preis oder Sicherheit – entscheiden. SD-WAN von Anfang an als die bessere Alternative anzusehen, ist falsch.

Link zum Ursprungsartikel auf it-daily.net