Administration portal for critical infrastructures
Durch die derzeitige Welle der Digitalisierung von Geschäfts- und Produktionsprozessen werden Unternehmen zunehmend abhängig von IT. Um einen unterbrechungsfreien Geschäftsbetrieb sicherstellen zu können, sind die meisten Unternehmen auf den Einsatz von externen Spezialisten angewiesen. Nur mit dem Know-How aus der freien Wirtschaft, können die hohen Ansprüche an die IT noch umfassend befriedigt werden.
Der Einsatz von externem Personal bedeutet jedoch immer auch eine Bedrohung für die Informationssicherheit. Zeitnahe Verfügbarkeit von externem Wartungspersonal kann häufig nicht sichergestellt werden, da aus Sicherheitsgründen eine Anwesenheit Vor-Ort mit entsprechenden Anreisezeiten unausweichlich scheint. Hierdurch entstehen Risiken für die Verfügbarkeit der Unternehmens-IT.
Auch wenn der externe Spezialist rechtzeitig Vor-Ort eintrifft, bleiben Risiken bestehen, z. B.:
-
Für Außenstehende sind legitime Wartungsarbeiten in der IT kaum von illegalen Aktivitäten zu unterscheiden.
-
Die wirksame und umfassende Absicherung von IT-Systemen erfordert ein Höchstmaß an Professionalität und Erfahrung und sollte keinesfalls ohne entsprechende Expertise durchgeführt werden.
-
Unzureichende Protokollierung in den IT-Systemen führt auch bei entdeckten Manipulationen häufig zu juristischen Problemen. Die gerichtsverwertbare Sicherung von Beweisen in der IT ist immer ein Fall für Spezialisten.
Unser Administrationsportal für kritische Infrastrukturen hilft Ihnen bei der Minimierung dieser Risiken.
IT-Dienstleistern bieten wir hochsichere Zugänge, um die sichere Fernwartung von IT-Komponenten bei deren Endkunden vor Ort zu ermöglichen.
Als Unternehmen, dass Dienstleister für die Wartung einsetzt, profitieren sie bei Nutzung unseres Administrationsportals von streng reglementiertem Zugriff nach Stand der Technik.
Wir stellen mit unserer Lösung einen Administrationsarbeitsplatz zur Verfügung, der über das Internet per Webbrowser von (nahezu) jedem beliebigen Endgerät aus genutzt werden kann.
Die Anbindung an das Unternehmensnetzwerk der Endkunden erfolgt per VPN. Wir können praktisch beliebige VPN-Ednpunkte in der IT-Landschaft der Endkunden ansprechen. Dabei halten wir uns an die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI)
-
zu kryptographischen Verfahren gemäß technischer Richtlinie TR-02102-1
-
zur Verwendung von Transport Layer Security (TLS) gemäß technischer Richtlinie TR-02102-2
-
zur Verwendung von Internet Protocol Security (IPsec) und Internet Key Exchange (IKEv2) gemäß technischer Richtlinie TR-02102-3
-
zur Verwendung von Secure Shell (SSH) gemäß technischer Richtlinie TR-02102-4
-
zur Internet-Sicherheit (ISi-L) - Virtuelles Privates Netz (ISi-VPN)
Die Administrationsarbeitsplätze selbst werden Härtungsmaßnahmen unterzogen, die Sie aus einem umfangreichen Katalog auswählen können. Dabei stehen u.a. folgende Maßnahmen zur Auswahl:
-
Entzug von Administrationsrechten auf dem Arbeitsplatz
-
Vollständiges Unterbinden des Internetzugriffs (Zugriff von Nutzern und in Kundennetzwerke bleibt dabei bestehen)
-
Einschränken von Systemprogrammen / Programmen mit privilegierten Rechten
-
Einschränken der ausführbaren Programme auf freigegebene Software (White-Listing)
-
Virenscanner
-
Software-Firewall / Personal Firewall
-
Konfigurierbares Session-Timeout
-
Festplattenverschlüsselung
-
Protokollierung bzw. Aufzeichnung der vollständigen Administrationssitzungen
-
Verbindungsaufbau auf Wunsch erst nach expliziter Freischaltung durch Betriebspersonal des Kunden möglich
Zusätzlich werden die Administrationsarbeitsplätze in einer Umgebung betrieben, in der u.a. folgende Sicherheitsmaßnahmen eingesetzt werden:
-
Netzwerkseparation
-
Firewalls
-
Application Layer Gateway
-
Mehrere Virenscan-Engines auf Netzwerkebene
-
Intrusion Detection Systeme (IDS)
-
Intrusion Prevention Systeme (IPS)
-
Zentralisiertes Berechtigungsmanagement über Verzeichnisdienste
-
Zentralisiertes Patch-Management
-
Vollständig georedundanter Aufbau der gesamten Infrastruktur
-
Administration ausschließlich über Verbindungen mit starker Verschlüsselung gemäß Vorgaben des BSI
-
Physikalischer Zutritt streng reglementiert und kontrolliert
-
Unterbringung in Rechenzentren zertifiziert nach ISO 27001
Das Portal wird nach den Anforderungen der ISO/IEC 27001:2013 und des BSI IT-Grundschutz betrieben.
Es unterstützt die Betreiber kritischer Infrastrukturen durch Kompatibilität zum Whitepaper des BDEW Bundesverband der Energie- und Wasserwirtschaft e.V.: "Anforderungen an sichere Informations- und Kommunikationssysteme".
Functional features
Deploying a complete Windows or Linux workstation system
Device-independent access via web browser (Internet Explorer, Firefox, Chrome or Safari)
Platform for secure data exchange between service providers and customers
Security features in brief
Two-factor authentication for all users and administrators
Strong encryption of all communication
Virus protection on all network and server components
Intrusion detection and intrusion prevention systems
Network separation between zones of different criticality
Internet access of remote maintenance workstations can be completely blocked upon request
Any VPN solution specified by the customer can be implemented
Recording of all administrative activities
Independent authority between service provider and its customers increases legal certainty
IT forensics experts always available in case of emergency
Operation according to ISO/IEC 27001:2013 and BSI IT-Grundschutz
Registration process from the user’s perspective (administrator)
Administrators who want to access customer systems access the administration portal's Internet address in any HTML 5-capable Internet browser. From the administrator's perspective, login is done using two-factor authentication. The first factor is a password with defined length and complexity requirements. The second factor is a one-time password that is provided via an iPhone or Android app. If the user has the appropriate permissions in accordance with the access rules, the user can now use their administration workstation to the extent authorized for them. If the user has been granted the appropriate permissions, they can also use the platform for secure data exchange to upload files to or download files from the customer network.
System requirements for users
Firefox version 6.0 or higher or
Internet Explorer version 10 or higher or
Chrome or
Safari version 5 or later (Mac OS X or iOS only)
iphone or Android if two-factor authentication is required