Security-Konzept oder „Wird schon nichts passieren“?
23. September 2022
Berl.Business.User.Pro
26. September 2022
Mit dem folgenden Praxisbeispiel wollen wir zeigen, wie unsere Services typischerweise eingesetzt werden und unsere Kunden in ihrem Geschäftsbetrieb unterstützen sowie durch gezielte zusätzliche Maßnahme eine maßgebliche Erhöhung der IT-Sicherheit unkompliziert umgesetzt werden kann.
Bei unserem Beispielkunden handelt es sich um eine Steuerberatungskanzlei, die seit 2002 südlich von Wien besteht. Der Kunde wurde von Anfang an von uns betreut und die Lösung daher immer wieder an die Bedürfnisse und wechselnde Mitarbeiterzahl angepasst. Aktuell hat die Kanzlei elf Mitarbeiter, von denen fünf teilweise im Homeoffice und zwei vermehrt bei Kunden vor Ort arbeiten. Die Kanzlei bietet typische Steuerberatungstätigkeiten und -dienstleistungen an und verarbeitet sensible Daten. Durch Homeoffice und die Beratung direkt beim Kunden ist der sichere Transfer von Daten zwischen Kunden und Klienten essenziell.
Vorhandene EDV-Infrastruktur und verwendete Services
Die vorhandene EDV-Anlage besteht grob aus einem HP-Server, sechs Microsoft Windows 10 Pro-Businessarbeitsplätzen in der Kanzlei, fünf Microsoft Windows 10 Business-Notebooks (Nutzung jeweils 50 % in der Kanzlei und 50 % im Homeoffice), einer Firewall mit Webfilter sowie diversen Druckern, Netzwerkkomponenten und einer Notstromlösung. Es wird eine namhafte Steuerberatungssoftware in der Cloud-Variante verwendet, sowie Microsoft 365 im Bereich Office, E-Mail, Datentransfer und -ablage für die Remote-Mitarbeiter.
Bei den Services wurde vor allem viel Wert auf Sicherheit gelegt und sowohl Server als auch Clients mit unserem Berl.Protect-Service (Antivirus, Monitoring und automatische Sicherheitsupdates in einem Paket) abgesichert. Auf dem Server und den Notebooks kommt außerdem unser Onlinebackup für eine hochverschlüsselte, ortsunabhängige Datensicherheit zum Einsatz. Alle Clients wurden außerdem mit Microsoft 365 Business Standard ausgestattet und das Firmennetzwerk mit unserem Berl.Firewall.IT-Service inklusive Webfilterung abgesichert.
Zusätzlich stellt unser Berl.Service.Premium einen raschen Support im Bedarfsfall sicher und hält die IT mittels Quartalswartungen immer am Stand der Technik. Die Mitarbeiter werden außerdem über sicherheitsrelevante Themen informiert und bekommen alle zwei Jahre eine Sicherheitsschulung.
Weitere Schritte
2021 haben wir die Kanzlei zum Thema IT-Security beraten und mit zusätzlichen Maßnahmen die Sicherheit der bestehenden Systeme erhöht.
Dabei standen folgende Bereiche im Fokus:
- Absicherung der Mitarbeiter-Zugänge (Benutzernamen, Kennwörter, Zugriffsrechte usw.)
- Schutz der sensiblen Informationen am Server und in der Cloud
- Datensicherung der Microsoft Exchange Online (Outlook) Daten
- Datensicherung der Microsoft OneDrive-Daten der Homeoffice-Mitarbeiter
- Besserer Schutz gegen Spam, Phishing Emails und Malware
- Versehentliches Versenden sensibler Daten reduzieren
Unsere Lösung lässt sich dabei grob in zwei Bereiche gliedern. Im ersten Schritt wurden die Sicherheitsstandards innerhalb des Netzwerks und auf den Clients erhöht. Die Angriffsfläche für Angreifer soll unter anderem durch Maßnahmen wie Kennwort-Richtlinien, Reduzierung der administrativen Berechtigungen, Konfiguration der lokalen Firewall, Verschlüsselung der lokalen Datenträger, Implementierung spezieller Antivirus-Funktionen und Optimierung der Berechtigungen reduziert werden. Insgesamt wurden etwa 40 Punkte zur Steigerung der Sicherheit umgesetzt.
Im nächsten Schritt haben wir dann unser neues Service Berl.Business.User.Pro + Add-On „Data Control“ – implementiert, da gerade im Bereich Microsoft 365 sensible Daten verarbeitet werden. Es wurde für die Anmeldung eine bedingte Multifaktor-Authentifizierung eingeführt, damit ein unberechtigter Zugriff auf die Daten ohne Handybestätigung nicht mehr möglich ist. Mit dem Microsoft 365-Dokumentenschutz wurden außerdem die Dokumente selbst verschlüsselt und damit genau definiert, wer zugreifen darf. Zusätzlich hilft eine DSGVO-konforme, hochverschlüsselte und ortsunabhängige Datensicherung gegen unbeabsichtigtes Löschen oder Ändern der Dokumente im Bereich E-Mail und Microsoft OneDrive. Abgerundet wurde die Lösung durch zusätzliche Antispam-, Antiphishing- und Antimalware-Schutzmechanismen.
Projektplanung und Umsetzung der Maßnahmen
Aufgrund der Unternehmensgröße war die Planung zeitnah abgeschlossen. Diese umfasste grob das Erheben der notwendigen Information und Daten (vorhandene Lizenzen, Geräte usw.), Planung der Kennwortrichtlinien, Sicherheitslevel und Verschlüsselungen sowie des für die Umsetzung notwendigen Personals, einen Zeitplan für die Umsetzung auf Clients und Handys sowie die Planung einer Security-Schulung. Vor der eigentlichen Projektumsetzung wurden die Mitarbeiter mit einer zweistündigen Schulung auf die bevorstehenden Maßnahmen vorbereitet sowie der Nutzen und die technische Anwendung erläutert. Es worden die Vorteile der Kennwortrichtlinien, der Zweck der Multifaktor-Authentifizierung, die Richtlinien und Funktion der Dokumentenverschlüsselung, die korrekte Datenablage mittels Microsoft 365-Sicherung, der Umgang mit verdächtigen Mails sowie die Data-Loss-Prevention erläutert.
Danach erfolgte die Implementierung von Berl.Business-User.Pro in drei Schritten. Im ersten Schritt wurden die neuen Technologien bei zwei bis drei versierten Nutzern inklusive Testphase umgesetzt und erst danach erfolgte in einem weiteren Schritt die Implementierung für alle Benutzer. Im dritten Schritt wurden die Maßnahmen evaluiert und weiter angepasst, um eine optimale Anwendung für alle Mitarbeiter zu gewährleisten.
Fazit:
Abschließend kann man sagen, dass mit gezielten Maßnahmen und unseren Paketen Berl.Business.User.Pro + Add-On „Data Control“ die EDV-Sicherheit im Unternehmen maßgeblich erhöht werden konnte. Neben den bestehenden Berl-Services bietet das neue Paket eine einfache und flexible Möglichkeit, auch kleine und mittlere Unternehmen mit einer sehr hohen IT-Security auszustatten, welche normalerweise nur bei großen Unternehmen zu finden ist.
Wir beraten Sie dazu gerne auch individuell!
Nehmen Sie am besten noch heute Kontakt mit uns auf.