Remotedesktop-Anmeldung über eine VPN-Verbindung, Netzwerkrichtlinien und eine Firewall absichern

Der Zugriff auf Ihre Daten und Anwendungsprogramme muss auch von entfernten Arbeitsplätzen aus möglich sein?

Diese Situation stellt eine erhöhte Gefährdung von Unternehmensdaten dar. Deshalb sollte nicht nur über eine sichere Benutzer-Authentifizierung nachgedacht werden, sondern auch die Verschlüsselung des Datenverkehres ist nicht zu vernachlässigen.
Wirksame Datensicherheit und Schutz kosten weniger als Sie denken und schützen vor verheerenden Sicherheitslecks, Datendiebstahl und Datenverlust.

Projektbeschreibung

Wir wurden von einem Unternehmen beauftragt, die Sicherheit der Unternehmensdaten und der Remotedesktop Serveranmeldungen zu verbessern.
Da die eingesetzte Software und die Struktur des Unternehmens (mehrere Standorte und Freiberufler) es nicht ermöglichte, dass mit lokal installierter Software auf die zentralen Unternehmensdaten zugegriffen wird, blieb nur die Möglichkeit die vorhandene Infrastruktur mit zusätzlichen Sicherheitsmaßnahmen zu schützen.

Die Lösung

Eine strukturierte und logische Rechtevergabe, sowie der Zwang zu komplexen Benutzerpasswörtern waren die ersten und schnell umgesetzten Schritte. Des Weiteren wurde die vorhandene RDP-Anbindung um eine VPN-Verbindung ergänzt. Nach Anpassung der Firewallregeln und Installation eines Netzwerkrichtlinienservers (NPS) werden nun nur noch eingehende und ausreichend verschlüsselte VPN Verbindungen akzeptiert.
Nur über diese sichere VPN Verbindung ist jetzt die Verbindung zu den Remote Desktops möglich.
Auf der Benutzerseite war es einmalig nötig eine VPN-Verbindung einzurichten und die vorhandene RDP-Anbindung zu korrigieren.
Ein weiterer Baustein unserer Lösung sind regelmäßige Sicherheitsaudits und Kontrollen der Logdateien.


Erweiterungsmöglichkeiten

Erhöhung der Sicherheit durch Hardwaretokens

• Doppelte Benutzerauthentifizierung durch Einsatz von USB Tokens, welche ein Zertifikat mit starker Schlüssellänge (z.B. 1024 Bit), kopiergeschützt und manipulationssicher speichern.
• Abfrage einer durch ein Token generierten PIN (Einmalpasswort, vergleichbar mit einem TAN Generator)

Small Business Server 2011 mit iPhone Anbindung und Offsite Backup

Wettbewerbsvorteile durch zentrale Datenhaltung und optimierte Kommunikationswege mit besonderem Augenmerk auf eine einfache und sichere Backuplösung.

Auch bei diesem Projekt stand die Optimierung der internen Informationswege im Vordergrund um Kunden und Mitarbeitern sofortige Auskünfte über Bestellungen, Termine und Projekte liefern zu können und die interne Personalplanung effizienter zu gestalten.

Projektbeschreibung

Wir wurden von einem Handwerksbetrieb beauftragt die vom Unternehmen eingesetzte Branchensoftware für mehrere Mitarbeiter und die Geschäftsleitung mit aktuellen Daten zentral und von extern verfügbar zu machen. Gleichzeitig sollten alle E-Mails, Kontakte und Terminkalender zentralisiert und ebenfalls gesichert extern verfügbar werden, da dies den internen Kommunikationsaufwand für Termin- und Projektplanungen deutlich vereinfacht.
Eine weitere Anforderung war eine sichere und einfache Backuplösung.

Die Lösung

Da die eingesetzte Branchensoftware Client/Server fähig ist, war eine Zentralisierung hier problemlos möglich.
Durch den Einsatz des Microsoft Small Business Server 2011, welcher einen vollwertigem Exchange 2010 Mailserver enthält, konnte die Zentralisierung der betrieblichen Emails, Kontakte und Terminkalender einfach umgesetzt werden.
Durch Freigaben der einzelnen Terminkalender und Posteingänge kann die Zentrale nun Termine optimaler koordinieren und auch kurzfristig auf EMails reagieren. Ein weiterer Pluspunkt dieser Lösung ist, dass die bisher auf einzelnen Clients empfangenen und dort ungesichert gespeicherten EMails, jetzt durch die zentrale Datensicherung geschützt werden.
Bereits lokal vorhandene EMails, Kontakte und Terminkalender wurden von uns in die Exchange Postfächer importiert.
Die Datensicherung erfolgt vollautomatisch auf ein Offsite NAS (Netzwerkspeicher) um Probleme durch vergessenen Bandwechsel, sowie Datenverlust durch Diebstahl und Feuer zu vermeiden.
Durch die zusätzliche Einführung von Remote Desktop Services (Terminaldienste), kann nun von den Notebooks einiger Mitarbeiter auch unterwegs auf die Daten die Branchensoftware und andere Dokumente zugegriffen werden.
Des Weiteren haben wir die im Unternehmen eingesetzten iPhones über eine verschlüsselte Anbindung an den Exchange Server gekoppelt und so den Informationsfluss noch ein wenig weiter optimiert.

Erweiterungsmöglichkeiten

Integration von Unified Messaging und Faxdiensten

• Zentraler Faxempfang und Faxversand
• Persönliche Anrufbeantworter mit automatischer Spracherkennung (Nachricht wird als Text zugemailt)

Mobiles Arbeiten mit einer Branchenanwendung durch Terminal Server

Die Anforderungen an die Erreichbarkeit und Reaktionszeiten von Unternehmen steigen ständig.

Immer mehr Kunden fordern sofortige Auskünfte über Bestellungen, Termine und Projekte. Noch kritischer sind Anfragen potentieller Kunden, welche inzwischen auch bei kurzen Wartezeiten bei der Konkurrenz anfragen.
Daher sind aktuelle Informationen, welche für die Mitarbeiter jeden Ort abrufbar sind, eine entscheidender Wettbewerbsvorteil.

Projektbeschreibung

Wir wurden von einem international tätigem Handelsunternehmen beauftragt die vom Unternehmen eingesetzte Branchensoftware für mehrere Aussendienstmitarbeiter und die Geschäftsleitung mit aktuellen Daten extern verfügbar zu machen.
Diese Anwendung setzt eine zentrale Serverinstallation und eine Clientsoftware vorraus. Die Aussendienstmitarbeiter hatten bisher einen teilweise mehrere Tage alten Datenexport auf Ihren Notebooks dabei und konnten Kunden nur nach telefonischer Rückfrage in der Zentrale Auskünfte zu aktuellen Lagerbeständen und Preisen geben.
Neben hohen Telefonkosten und einer Überlastung der Zentrale, führte dies auch zu Kundenverlusten.
Nach einer umfassenden Analyse war klar, das eine Remoteanbindung der Clientsoftware auf den Notebooks der Aussendientmitarbeiter zwar möglich, jedoch für einen produktiven Einsatz zu langsam war.

Die Lösung

Durch die Einführung von Remote Desktop Services (Terminaldienste), wird nun von den Notebooks der Aussendienstmitarbeiter die Anwendung auf einem Server in der Zentraler gestartet und hat von dort einen performanten Zugriff auf die aktuellen Daten.
Da zwischen den Notebooks und diesem Server nur noch der Bildschirminhalt und die Eingaben des Benutzers übertragen werden, ist die Geschwindigkeit selbst bei einer schlechten Mobilfunkverbindung (GPRS) noch ausreichend.
Gleichzeitig entfällt dadurch die Anforderungen an den Aussendienst eine Clientsoftware installiert zu haben und die Sicherheit (Datenverlust, Diebstahl, Virus) der Anwendungsdaten wird erhöht. Der Zugriff kann dabei von fast jedem beliebigem Endgerät von jedem Ort auf der Welt (insbesondere Hotels und Inernetcafes im Ausland) erfolgen.
Die Sicherheit wird dabei durch den Einsatz einer Firewall und den Remote Desktop Gateway Diensten erhöht.
Weitere Vorteile der Remote Desktop Services sind Zugriff auf aktuelle Dokumente und Faxe, sowie die Möglichkeit Aufträge direkt in der Zentrale auszudrucken.

Erweiterungsmöglichkeiten

Einführung eines Mircosoft Exchange / Tobit David Servers

• Zentraler Zugriff auf Mails, Kalender, Aufgaben und Kontakte des Unternehmens und der Mitarbeiter
• Keine Verdopplung oder verteilte Speicherung von Mails und Kontakten
• Einfachere Terminvergabe durch Freigabe von Terminkalendern
• Zentraler Faxversand

Weitere Erhöhung der Sicherheit durch Hardwaretokens

• Doppelte Benutzerauthentifizierung durch ein auf einem USB Token gespeichertes Zertifikat
• Eingabe einer durch ein Token generierter PIN (vergleichbar mit einem TAN Generator)

Multifunktionsgerät mit Fax und Scan to Mail Funktion

Was nützt Ihnen Ihr Faxgerät zu Hause, wenn Sie länger Unterwegs sind?
Muss wirklich eigentlich Fax ausgedruckt werden?

Projektbeschreibung

Wir wurden von einem kleinem Vertriebsbüro beauftragt eine Lösung für die Speicherung und Weiterleitung eingehender Faxe zu finden.
Da es dort keinen zentralen Server gibt wurden eingehende Faxe bisher auf einem Papierfax ausgedruckt und warteten dort auf die Rückkehr der Vertriebsmitarbeiter, welche jedoch teilweise einige Tage in Deutschland unterwegs waren.
Ein weiteres Problem waren die vielen Werbefaxe, welche die Kosten für Verbrauchsmaterial stark in die Höhe getrieben hatten.

Die Lösung

Nach eingehender Recherche haben wir ein Multifunkionsgerät mit Fax to Mail Funkion eingeführt, welches eingehende Fax per E-Mail versendet.
Dabei haben wir besonderes Augenmerk auf die Verbrauchs- und Stromkosten gelegt und konnten so dem Kunden ein Gerät anbieten, welches inklusive Toner und Trommel bei 1,5 Cent pro Seite liegt.
Ein weiterer Vorteil dieses Gerätes, neben dem Vorlageneinzug, der Druck- und Kopierfunktion, ist die Scan to Mail Funktion, welche den E-Mailversand von eingescannten Dokumenten erlaubt und dadurch die Zusammenarbeit der Vertriebsmitarbeiter erleichtert.
Da jedoch das Ausdrucken von Faxen paralell zum E-Mailversand nicht gewünscht war, und ein reiner E-Mailversand fehleranfällig sein würde, haben wir einen Netzwerkspeicher installiert und angebunden.
Eingehende Fax werden nun per E-Mail weitergeleitet und zur Sicherheit noch auf dem Netzwerkspeicher abgelegt.

Erweiterungsmöglichkeiten

Keine Notwendigkeit

Sichere Benutzeranmeldung und Datenverschlüsselung mit Tokens

Die reelle Gefährdung von Unternehmensdaten, oder das Interesse der Konkurrenz an diesen, wird oft unterschätzt und wirksame Schutzmaßnahmen werden meist zu spät implementiert.
Wirksame Datensicherheit und Schutz kosten weniger als Sie denken und schützen vor verheerenden Verlusten.

Projektbeschreibung

Wir wurden von einem europaweit agierenden Handelsunternehmen, nach einem Vorfall beauftragt, die Sicherheit der Unternehmensdaten zu überprüfen und zu verbessern.
Die Analyse der Infrastruktur ergab neben einfach zu erratenden Benutzerpasswörtern und unstrukturierter Rechtevergabe auf zentralen Ordnerfreigaben, auch mangelhafte physikalische Sicherheit in einigen Außen Büros.
Ein Angreifer könnte sich dort Zugang verschaffen und entweder das Benutzerpasswort erraten oder aber sich Zugang zur VPN Verbindung in die zentrale verschaffen.
Eine weitere Schwachstelle waren benötigte Firmendokumente und Anwendungen auf einigen Notebooks.

Die Lösung

Eine strukturierte und logische Rechtevergabe, sowie der Zwang zu komplexen Benutzpasswörtern waren die ersten und schnell umzusetzenden Schritte.
Da sich die physikalische Sicherheit nicht erhöhen ließ und auch ein Verlust eines Notebooks nicht auszuschließen war, haben wir eine zweistufige Zertifizierungsstellen Infrastruktur (PKI Infrastruktur) entwickelt und eingeführt.
Bei dieser Lösung wird ein Benutzerzertifikat für jeden Benutzer erstellt und auf einem USB Token gespeichert. Diese Tokens sind gegen Manipulation geschützt und schalten erst nach der Eingabe eines Passwortes den Lesezugriff auf das darauf gespeicherte Benutzerzertifikat frei.
Mit diesem Zertifikat können sich nun die Benutzer am Netzwerk und auch an verschiedenen Anwendungen anmelden (single-sign-on).
Ein weiterer Pluspunkt dieser Lösung ist die Möglichkeit alle kritische Dateien auf den Ordnerfreigaben zertifikatsbasierend zu verschlüsseln und nur Benutzern, welche im Besitz eines gültigen Benutzerzertifikates sind, zugriff auf diese zu gewähren.
Da die Schlüssellänge für die Zertifikate entsprechend groß gewählt wurde ist ein entschlüsseln der Dateien momentan unmöglich.
Eine weitere Sicherheitskomponente ist eine Offline Root CA (Stammzertifizierungsstelle), welche nur periodisch eingeschaltet wird um neue Zertifikatssperrlisten für die untergeordnete Unternehmenszertifizierungsstelle zu veröffentlichen. Durch diese Methode wird verhindert, das bei einem fatalem Datenverlust oder einer Kompromittierung der Unternehmenszertifizierungsstelle sehr schnell die Sicherheit wiederhergestellt oder eine neue Unternehmenszertifizierungsstelle installiert werden kann.

Erweiterungsmöglichkeiten

Netzwerkauthentifizierung nach 802.1x
Durch den Austausch der beteiligten Netzwerkkomponenten lässt sich in einem weiteren Schritt eine Authentifizierung an den Netzwerkzugängen realisieren. Hierbei würde der Zentrale Switch oder ein Router in einer Außenstelle nach dem Benutzerzertifikat fragen und erst nach erfolgreicher Überprüfung mit einem zentralen RADIUS Server, würde der Netzwerkanschluss für Datenverkehr freigeschaltet werden.

Elektronische Signatur von E-Mails
Zum jetzigen Stand wäre die Einführung einer „fortgeschrittenen elektronischen Signatur“ Problemlos umsetzbar.
Auch eine Einführung einer „qualifizierten elektronischen Signatur“ wäre möglich, jedoch mit recht hohem Aufwand verbunden. In diesem Fall wäre das parallele Abspeichern eines weiteren Zertifikates von einem öffentlichen Trust Center der sinnvollere Weg.

Dokumentenscanner in mehreren Standorten mit zentraler Ablagemöglichkeit

Moderne Arbeitsabläufe sollten einfach, effizient und auf Ihre Bedürfnisse abgestimmt sein. Wenn durch den Einsatz von Hardware- und Softwarekomponenten Vorgänge zusammengefasst und optimiert werden können, kann sich die anfängliche Investition schon nach kurzer Zeit durch Zeitersparnisse und weitere Vorteile bezahlt machen.

Projektbeschreibung

Wir wurden von einem europaweit agierenden Handelsunternehmen beauftragt die Einführung einer neuen Branchensoftware zu betreuen. Im Laufe einiger Gespräche mit dem Mitarbeitern und der Softwarefirma wurde schnell klar, da ein erheblicher Optimierungsbedarf in der Auftragserfassung und Bearbeitung vorlag. Bisheriger Stand war, das Einkaufs- und Lieferverträge in den Außenbüros erstellt wurden und diese per Fax in die Zentrale zur Erfassung in die bisherige Software gesendet wurden. Dies war neben dem Zeitaufwand und der Fehleranfälligkeit durch die manuelle Erfassung auch durch überlastete Faxleitungen ineffizient.

Die Lösung

Nach Rücksprachen mit der Softwarefirma haben wir in den entfernten Standorten Dokumentenscanner, sowie Barcodedrucker und -lesegeräte eingeführt. Ein Auftrag wird nun mit der neuen Software in den Außenbüros erstellt, ausgedruckt, mit einem Barcode versehen und nach der Unterzeichnung durch einen, über eine VPN-Verbindung mit der Zentrale verbundenen Dokumentenscanner in eine Freigabe auf einen dortigen Server gescannt. Dort läuft eine Barcodeerkennungssoftware, welche automatisch den Eingang eines neuen Vertrages an die neue Software signalisiert, welche dann die weiteren Bearbeitungsschritte freigibt. Das eingegangene Dokument wird dabei automatisch an den Auftrag angefügt, damit alle Informationen zu einem Vorgang in kürzester Zeit verfügbar sind. Weitere positive Nebeneffekte zur Zeitersparnis, sind eine fehlerreduzierte und schnellere Auftragsabwicklung, sowie eine nicht unerhebliche Reduzierung von Telefon- und Portokosten.

Erweiterungsmöglichkeiten

Elektronischer Datenaustausch (EANCOM, EDIFACT) mit Speditionen, Lieferanten und Kunden.
Der UN/EDIFACT Standard (United Nations Electronic Data Interchange For Administration, Commerce and Transport) könnte in einem weiteren Schritt durch den Einsatz des EDIFOR Subsets, die Abwicklung mit den Speditionen stark automatisieren.

Elektronische Signatur und Elektronische Rechnungen
Durch die Einführung von digitalen Signaturen (z.B. digitalen Zertifikaten) und die Umsetzung einer qualifizierten elektronischen Signatur, wäre eine vollständige Umstellung auf elektronische Rechnungen und Vertragsdokumente möglich.

Einführung eines Revisionssicheren elektronischen Archivierungssystems und GDPdU
Die revisionssichere elektronische Archivierung ist in Deutschland durch eine Reihe von Gesetzen und Vorschriften geregelt, welche die Einhaltung der Aufbewahrungspflichten von Geschäftsdokumenten erschweren. Es gibt jedoch eine Reihe von zertifizierten Lösungen, welche auch hier die analoge Lagerung von Geschäftsdokumenten vermeiden können.
Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), schreiben eine Reihe von Anforderungen vor, welche erfüllt werden müssen um bei einer Betriebsprüfung der Mitwirkungspflicht nachzukommen. Durch Erfüllung dieser Vorgaben und dem Einsatz elektronischer Rechnungen mit einer qualifizierten elektronischen Signatur, könnte auf einen Ausdruck der meisten Geschäftsdokumente verzichtet werden.