BEISPIELKONZEPT
NETZWERK
Das interne Netzwerk muss in mehrere Segmente unterteilt werden, um unterschiedliche Sicherheitsstufen abbilden zu können.
Das WLAN mit Windows-Domänenrechner kann über Zertifikate abgesichert werden und benötigt daher kein Passwort. Smartphones dürfen nur auf ausgewählte, minimale interne Systemressourcen zugreifen. (bspw. bestimmte Webdienste)
Ein Gast-WLAN mit ungehindertem Internetzugang wird in den meisten Fällen auch benötigt.
Weitere Netzwerke wären dann noch DMZ/Out-Of-Band Management/Server/Client, je nach Größe des Unternehmens und Leistungsfähigkeit der Firewall.
SERVERLANDSCHAFT
Die Herausforderung in aktuellen Firmennetzwerken sind die Vielzahl unterschiedlicher Server, die miteinander vereint, überwacht und kontrolliert werden müssen
Domänencontroller: Die sind das Herz und die Datenbank der internen Sicherheitsstrukturen und bedarf eines besonderen Schutzes – idealerweise in einem separaten Netzwerksegment, nur mit besonderen Zugriffsbenutzern und 2-Faktor Authentifizierung
Zertifizierungsdienst: Hier werden „Ausweise“ für unterschiedliche Dienste im internen Netz ausgestellt und verwaltet
Dateiserver: Stellvertretend für Applikations-/Datenbank und sonstige Anwendungsdienste im Netzwerk – die Sicherheit wird zumeist direkt im Active-Directory definiert
2-Faktor Authentifizierung: Verwaltung und Kontrolle der 2-Faktoren Authentifizierung für Außenzugänge und Serveradministratoren
Einen besonderen Blick auf die IT-Struktur haben folgende Server:
ISMS System: zentrales Logging aller internen Server: Auswertung/Bewertung/Korrelation aller Log-Daten. Diese werden für die Sicherheitsadministratoren passend aufbereitet und bei gravierenden Vorfällen eine direkte Alarmierung durchgeführt
Schwachstellen-Scanner: Regelmäßige, automatisierte Überprüfung aller internen IT-Strukturen auf aktuelle Schwachstellen.