| 1. | Netzüberwachung |
| Inventarisierung, Störungsmanagement beim Kunden Die Überwachung wichtiger Maschinen (Server) und deren Dienste ist eine zeitraubende Angelegenheit. Mit etwas Vorarbeit kann sich der Administrator gezielt über bestimmte Ereignisse informieren lassen oder per Email seinen Systemdienstleister informieren (lassen). |
|
| 1.1 | Inventarisierung |
| Ein Inventarisierungssystem (Hard- und Software) unterstützt den Administrator in vielfältiger Weise. Fragen wie: Wieviele 'Office' sind installiert? Haben wir genug Lizenzen? Wie sind die schwächsten Rechner ausgestattet? Läuft das Update 'xy' oder die Software 'a-z' darauf noch? Welche RAM-Bausteine 'haben sich verflüchtigt'? Hat jemand zusätzliche Software installiert? lassen sich mit Hilfe eines Inventarisierungssystems leichter und schneller beantworten. Ob Sie als Netzwerk Administrator Software auf den neuesten Stand bringen wollen, im Benutzerservice Netzwerkstörungen suchen und beheben oder als Leiter der Finanzen für die Softwarelizenzen verantwortlich sind: Software zur Inventarisierung liefert den nötigen Überblick. Wird dann noch ein Programm zur Fernsteuerung der Arbeitsplätze eingesetzt, kann die Benutzerbetreuung effizienter eingesetzt werden. |
|
| 1.2 | Störungsmanagement beim Kunden |
| Ticketsystem, Fernwartung, Admin-Vertreter In jedem Netzwerk gibt es spezifische Probleme. Tauchen solche häufiger auf, lässt sich mit Hilfe eines 'Ticketsystems' die Lösung entweder schneller finden, oder Anwender haben die Möglichkeit der Selbsthilfe. Schwierigere oder hartnäckigere Probleme lassen sich an den Systemdienst- tleister z. B. auch per Mail weiterleiten. Ein Fernwartungssystem kann oft die Anfahrt eines Supporters überflüssig machen. Kleinere Konfigurations- und Wartungsarbeiten sind so schneller und effizienter erledigt. Wir bieten alle Leistungen inklusive Fernwartung an. Mit enthalten ist ein Modul zur Erfassung und Speicherung von „Tickets“ für einen internen oder externen Helpdesk. Die Übertragung der Daten erfolgt verschlüsselt bzw. per SSL (https Protokoll, wie z.B. auch von den Banken beim Zugriff über das Internet verwendet), sodass ein VPN nicht zwingend notwendig ist. |
|
| 1.3 | Adminvertreter |
| In Unternehmen mit kleineren Netzwerken gibt es meist nur einen
'haupt- oder nebenamtlichen' Administrator. Krankheit, Urlaub und Fortbildungen des Admins sind hier typische Einsatzfälle für unsere Adminvertreter. Nach kurzer Einarbeitung bzw. der Erfassung des IST-Zustandes kann der Vertreter die Aufgaben während der Abwesendheit des hausinternen Administrators übernehmen. |
|
| 1.4 | Netzwerke härten |
Installiert man Windows 'out-of-the-Box', so kommt man zwar schnell zu einem produktiven, leider auch zu einem unsicheren System. Windows kann aber nachträglich sicherer gemacht werden. Ziel der Härtung eines Servers ist es, ihn möglichst unverwundbar gegenüber Angriffen zu machen. Angriffe wird man nie gänzlich verhindern können, doch die Auswirkungen lassen sich durch eine sichere Konfiguration begrenzen. Wenn ein Server eine Schwachstelle aufweist, muss dies nicht zwangsläufig dazu führen, dass ein Angreifer komplett die Kontrolle übernimmt. Neben den bekannten Methoden, wie Firewalls/Router, Antivirenprogrammen, Passworten und den Richtlinen, geht es um das Absichern des Betriebssystems mit Bordmitteln und frei verfügbaren Methoden und Informationen, wie sie z. B. von Microsoft, dem BSI, den Datenschutzämtern, der US-Navy und der NSA veröffentlicht bzw. verwendet werden. Mit entsprechender Planung und viel Handarbeit können viele Bedrohungen abgewehrt werden. In manchen Fällen kann sich sogar der Einsatz teurer Zusatzhardware erübrigen. Härtet man einen PC, wird man das Betriebsystem so konfigurieren, dass es nur wenig Angriffspunkte bietet. Hierbei werden nicht benötigte Dienste deaktiviert, Benutzerkonten gelöscht, sowie restriktive Rechte gesetzt und straffe System- richtlinien vergeben. Leider erfordern manche Softwarepakete erweiterte Berechtigungen auf den Arbeitsplätzen. Diese müssen natürlich entsprechend konfiguriert bleiben. Ein gehärteter PC (Server) soll so wenig Angriffspunkte wie möglich bieten. Hierzu werden alle relevanten Patches eingespielt, nicht benötigte Dienste deaktiviert und alles, was für die Funktion des PCs überflüssig ist, gelöscht. |
|
|
|
| 2. | Backup / Restore |
| Datensicherungskonzepte Die heutigen komplexen Softwareumgebungen lassen sich meist nicht mehr 'mal eben so' sichern. Die Sicherung der aktuellen Windowsumgebung stellt, besonders unter dem Aspekt des Wiederanlaufs nach einem Ausfall, eine besondere Herausforderung dar. Image Backup Eine Lösung stellen sogenannte 'Image Backups' dar. Besonders geeignet sind Programme, die den Server oder die Workstation im laufenden Betrieb sichern können. Diese Variante eignet sich auch dazu, unabhängig vom Betriebssystem (Windows: Wiederherstellungspunkt) vor Konfigurationsänderungen einen Zustand einzufrieren. Back to disk Bei grösseren Datenbeständen stellt das verfügbare Zeitfenster für die Daten- sicherung einen Flaschenhals dar. Die Sicherung der Daten auf ein Festplatten- system und die anschliessende Archivierung auf Bänder oder optische Medien stellt eine interessante Alternative zum Backup auf teure Bandlaufwerke mit hohen Durchsatzraten und/oder Robotern mit mehreren Laufwerken dar. |
|
|
|
|
| 3. | WLAN |
| WLAN bedeutet 'Wireless Local Area Network' und heisst soviel wie Funknetzwerk, also ein normales Netzwerk zwischen zwei oder mehreren PC's, in dem alle Daten anstatt durch Kabel per Funk hin und hergeschickt werden. Die übliche Absicherung erfolgt auf Basis des „WEP“-Standards. Eine wachsende Zahl von PC-Nutzern schätzt die Bewegungsfreiheit, die ein Funknetzwerk beim Arbeiten mit dem Computer ermöglicht. Die Funknetzwerke enden aber nicht an den Wohnungs- oder Hausmauern, sie funktionieren auch beim Nachbarn, auf dem Hausvorplatz oder auf der Strasse noch bestens, denn die Mehrheit der privaten und firmeninternen Funknetzwerke sind ungesichert und erlauben es praktisch jedem, darauf zuzugreifen. Man kann davon ausgehen, dass über 80 Prozent der Funknetzwerke ungesichert sind. Absicherung der WLAN Basisstation Es ist gar keine grosse Sache, die WLAN-Basisstation gegen Schmarotzer und Hacker abzusichern. Alle Hersteller verpassen ihren Geräten mehr oder weniger versteckte und kryptisch beschriebene Sicherheitsfunktionen. Wichtig ist vor allem, ein neues, sicheres Passwort für die Basisstation zu wählen und die verschlüsselte Datenübertragung und die Zugangskontrolle zu aktivieren. Im Auslieferungszustand sind die möglichen Sicherheitseinstellungen nicht gesetzt oder mit allgemein bekannten (sprich im Internet auffindbaren) Vorgaben belegt. Besonders kleine Firmen sind sich der Sicherheitslücken in ihrem Netzwerk oft gar nicht bewusst. Bei einem ungesicherten Netz könnten Hacker leicht einen zulässigen Netzwerknamen und eine MAC-Adresse, die auf der Netzwerkkarte vermerkt ist, abhören und sich damit einwählen. Auch die Standardverschlüsselung WEP ist für Hacker kein Hindernis. Bessere Schutzmechanismen gibt es bereits, sie werden aber nur selten eingesetzt. Größtmögliche Sicherheit ist durch ein virtuelles, persönliches Netzwerk (VPN) möglich. Hier installiert der Nutzer ein persönliches Zertifikat auf seinem Rechner, mit dem er identifiziert werden kann. Wer diese minimalen Sicherheitsmaßnahmen nicht trifft, öffnet einem 'Hacker' Tür und Tor: Schlimmstenfalls benötigen sie für das Trittbrettsurfen oder das Abschicken von E-Mails lediglich einen Handheld oder Laptop mit WLAN-Karte. Mit speziellen, im Internet frei verfügbaren Programmen, können die offenen Netzwerke aber auch ausspioniert und die vernetzten Computer gehackt werden. Betroffene WLAN-Betreiber bemerken dies allenfalls, wenn Computer verrückt spielen, die Kosten für zeit- oder mengentarifierte Internetzugänge in die Höhe schnellen oder die Strafverfolgungsbehörde vor der Tür steht, weil von diesem Funknetzwerk aus z. B. Spams oder Viren verschickt oder eine Tauschbörse mit gecrackter Software betrieben wurde. |
|
|
|
|
| 4. | Windows Terminaldienste |
| Im Laufe der Zeit haben sich zwei Arten von Rechnernetzwerken
entwickelt. Zum Einen das Peer-to-Peer- und zum Anderen das Client/Server Netzwerk. Beide Rechnernetzwerke basieren auf relativ leistungsfähigen Clientrechnern als Arbeitsstationen. Durch den Einsatz von Terminaldiensten wird die Nutzung von Clients mit geringen Ansprüchen an die Hard- und Software ermöglicht. Die Terminaldienste auf einem Windows 200x-Server sorgen dafür, dass die Ausführung aller Clientanwendungen, die Datenverarbeitung und die Datenspeicherung auf dem Server erfolgt. Die Terminaldienste sind vollständig in Windows 200x integriert und lassen sich auf zwei verschiedene Arten aktivieren. |
|
| 4.1 | Remoteverwaltung |
| Der Systemadministrator hat über die Remoteverwaltung
administrativen Zugriff auf jeden Windows 2000-Server über eine beliebige TCP/IP Verbindung. Er kann Datei- und Druckerfreigaben verwalten, auf einem anderen Computer die Registrierung bearbeiten und alle sonstigen Aufgaben erledigen, die er normaler- weise direkt am Server über die Konsole durchführt. |
|
| 4.2 | Anwendungsserver |
| Beim Einsatz eines Terminal-Servers als Anwendungsserver wird das
Konzept verfolgt, dass auf einem zentralen Server viele Benutzer gleichzeitig angemeldet sind und interaktiv mit den dort installierten Anwendungen arbeiten. Alle Anwendungen laufen ausschließlich auf dem Server ab. Den Zugriff auf einen Terminal-Server erhält der Benutzer über ein Netzwerk und über sogenannte 'schlanke' oder 'thin' Clients, die nur über Grundfunktionen verfügen und möglichst einfach zu verwalten sind. Diese 'Schlanken Clients' werden auch Terminals genannt. Die Terminals dienen nur zur grafischen Darstellung der Anwendungen, sowie zur Benutzerinteraktion über Tastatur und Maus. Bei Bedarf können noch zusätzliche Ein- und Ausgabegeräte, wie z. B. lokale Drucker, eingebunden werden. |
|
|
|
|
| 5. | Patch-Management |
| Jeder Administrator eines Windows-Netzwerkes steht vor der Aufgabe,
seine Installationen auf dem neuesten Stand zu halten. 'SUS', die Lösung von Microsoft, hatte bisher nur die Updates der Betriebs- systeme als Aufgabe. Die neue Version 'WSUS' (zur Zeit noch 'open beta') verwaltet und verteilt unter anderem auch Updates von Office. Zusätzlich wurde ein verbessertes Reporting und die Kategorisierung von Updates eingeführt. Weitere Erweiterungen sind von Microsoft geplant. |
|
|
|
|
| 6. | Mobiles Arbeiten |
| Mit Laptop, PDA, Handy oder Smartphone sind Mitarbeiter und
Geschäftsführer auch auf Dienstreisen stets erreichbar und können fast wie im Büro arbeiten. Dabei sollte das Unternehmen auch die Sicherheit im Blick haben, um von den Vorteilen mobiler Kommunikation zu profitieren. Verschiedene mobile Geräte ermöglichen es den Mitarbeitern mittels unterschied- licher Techniken von unterwegs aus mit dem Unternehmen in Verbindung zu bleiben. Damit lassen sich Geschäftsaufgaben auch auf Reisen erledigen, die vorher nur vom Büro aus bearbeitet werden konnten. Wartezeiten werden auf diese Art produktiv genutzt; abwesende Mitarbeiter können in wichtige Abläufe eingebunden werden. Zugang zu E-Mails und Terminkalender sind dann ebenso möglich, wie der Datenzugriff auf das firmeninterne Intranet, um Informationen abzurufen oder von unterwegs aus zu aktualisieren. Angebote und Verträge können auf diesem Wege in Zusammenarbeit mit Mitarbeitern im Büro bearbeitet werden. Wurde anfänglich dafür vor allem das Mobiltelefon genutzt, so hat sich der Leistungsumfang mobiler Geräte inzwischen erheblich erweitert: Laptops erreichen heutzutage das Niveau stationärer Arbeitsplatzcomputer und sind schnell für den Zugang ins Internet gerüstet. Auch Taschencomputer wie PDAs (Personal Digital Assistent oder Organizer) erfüllen inzwischen fast alle Funktionen eines Laptops und laden zum Surfen im Internet ein. Smartphones sind eine Kombination aus Handy und PDA und ermöglichen die gemeinsame Nutzung von Computer- und Telefonfunktion in einem Gerät. Aber auch normale Handys enthalten oft viele persönliche Notizen, Adressen sowie Termine und dienen der Arbeitsorganisation. Achten Sie auch hier auf IT-Sicherheit! Mobile Geräte sind heute in Unternehmen weit verbreitet und werden immer mehr zum selbstverständlichen Arbeitsmittel. Dabei wird die mobile Kommunikation durch drahtlose lokale Netze, kurz WLAN (Wireless Local Area Networks), sehr erleichtert. Um ihre Vorteile nutzen zu können, müssen sie sicher betrieben werden, da es sonst zu nicht tragbaren Risiken beim Einsatz kommt. Mobiler Zugriff heißt auch immer Zugriff auf das Firmennetz von außen. Die mobilen Geräte sind werksseitig jedoch nicht immer so eingestellt, dass Ihre Sicherheitsanforderungen erfüllt werden. Um bei der Benutzung keine untragbaren Risiken einzugehen, müssen einige grundlegende Dinge beachtet werden (siehe Punkt 3, 'WLAN'). |
|
|
|
|
| 7. | Verschlüsselung und Signaturen |
| Computer und Internet haben den Alltag mittelständischer Unternehmen
verändert. Auch heute entwickeln sich weiter neue Geschäftschancen: Elektronische Marktplätze und standortübergreifende Datenverarbeitung sind wichtige Beispiele. Die Sicherheit darf dabei aber nicht vergessen werden. Erschließen Sie die Potenziale des Internet auf sicherem Wege: Treffen Sie noch heute wichtige organisatorische und technische Vorkehrungen. |
|
| 7.1 | Email signieren und verschlüsseln |
| Kunden und Unternehmen kommunizieren in vielfältiger Weise
miteinander über das Internet. E-Mail stellt bereits heute die am häufigsten genutzte Internet- Kommunikation dar. Allerdings kann die Email auf ihrem Weg von Unbefugten abgefangen, gelesen und im schlimmsten Fall verändert werden (Email lässt sich mit einer Postkarte vergleichen). Zur Absicherung von E-Mail über das Internet können kryptographische Verfahren eingesetzt werden. Sie schützen die Vertraulichkeit der Nachricht durch Verschlüsselung, sowie deren Integrität und Authentizität durch elektronische Signatur. Zertifizierungsstellen garantieren die digitale Identität der Kommunikationspartner. Dabei sollte der Einsatz so automatisch wie möglich erfolgen, um den 'Faktor Mensch' nicht zu sehr zu belasten. |
|
| 7.2 | Sichere Übermittlung von Informationen zwischen Netzwerke |
| Zur sicheren Übermittlung von Informationen zwischen verschiedenen
Netzwerk- bereichen über das Internet können heute sogenannte Virtual-Private-Networks (VPN) eingesetzt werden. Sie ermöglichen, dass Informationen, die zwischen den einzelnen Standorten ausgetauscht werden, sicher über das Internet übertragen werden. Dabei wird zwischen den Kommunikationsverbindungen ein 'verschlüsselter Kanal' oder 'Tunnel' aufgebaut. Über diesen werden dann die Informationen sicher kommuniziert. Hierzu benötigt man zentral-administrierbare VPN-Software, die es erlaubt, Informationen zu verschlüsseln und diese an eine Gegenstelle zu schicken. Oft bieten auch Erweiterungen der eingesetzten Firewalls solche Funktionen. Auch hier ist zu gewährleisten, dass jedes System über eine geeignete Firewall abgesichert ist. |
|
| 7.3 | Anbindung von Filialen |
| Mittels der Produkte von AVM realisieren wir auch Filialanbindungen. | |
