BB-ONE.net hat von Anfang an darauf geachtet, mit „State of the Art“ der Internet-Sicherheitstechnik zu arbeiten, so dass es gar nicht erst zum Schadensfall kommt. Und gegen die Unwissenheit geht der Dienstleister mit Information und Aufklärung vor, so dass die Kunden stets über aktuelles Know-how zu Sicherheitsstandards und Risikomanagement verfügen.
Sicherheit wurde und wird bei BB-ONE.net groß geschrieben. Was waren die ersten Sicherheitsmaßnahmen, die Sie einst ergriffen haben, um die Geschäftsanwendungen Ihrer Kunden im Internet zu schützen?
Unser wichtigster Schritt bestand aus zwei wesentlichen Maßnahmen: Wir schafften uns mit dem SUN-System „Cobalt“ (blaue Pizzaboxen) eigene Server an. Über deren Verwaltungsoberfläche schalteten wir dann FTP (File Transfer Protokoll). Darüber hinaus erlaubte die Cobalt-Verwaltungsoberfläche ein besseres Management der Zugriffsrechte. Später, als SUN den Support einstellte und den Code als Open Source freigab, unterstützten wir das Nachfolgeprojekt „BlueOnyx“ mit Geld und Ideen, so dass wir bis heute eine sehr sichere Verwaltungsoberfläche für alle Serveranwendungen zur Verfügung haben.
Anfang der 2000er kam dann die Server-Virtualisierungstechnologie in Schwung. Internet-Anwendungen werden in sogenannte Container gelegt, die sich wie eigenständige Hardware-Server verhalten, mit eigenem (virtuellem) Arbeits- und Festplattenspeicher. Diese Entkörperung der Server erschwert den Zugriff von außen.
Auch in den Backup-Technologien änderte sich einiges. Die klassische Datensicherung mit den unterschiedlichen Konzepten (Vollsicherung, inkrementelle und differenzielle Datensicherung) in einer oder mehreren Generationen und mit den entsprechenden Restore-Verfahren gab es ja schon lange. Aber wenn wir von Betriebssicherheit reden, dann geht es auch um die schnelle Wiederverfügbarkeit im Störungsfall. Bei den klassischen Datensicherungsverfahren kann es Stunden oder gar Tage dauern, bis Internetanwendungen wieder online gehen. Wir nutzen die Virtualisierungstechnologie für ein anderes Verfahren: ActiveBackup. Das ist im Prinzip ein Replikationsdienst, der uns erlaubt, im Störfall innerhalb von Sekunden auf eine voll funktionsfähige Arbeitskopie der Serveranwendung umzuschalten.
Und schließlich ist da noch das Provider-Einmaleins für Betriebssicherheit: redundante, also mehrfach vorhandene Netzwerkinfrastruktur mit Fallback-Systemen. Dazu gehören Stromversorgung, Klimatisierung, Internetleitungen, Router, Switche und Firewalls. Letztere sind besonders wichtig, weil diese ein Stresspuffer für Angriffe und unbefugte Zugriffe von außen sind. Deshalb hatten wir im eigenen DataCenter von Anfang an auf diese Technologien gesetzt.
Welche technischen und organisatorischen Hilfsmittel sind über die Jahre als vielleicht nicht mehr wirkungsvoll weggefallen und auf der anderen Seite neu hinzugekommen?
Hier gibt es tatsächlich Beispiele. Den normalen Passwortschutz mit Miezekatzen-Name und einem Geburtstagsdatum sollte niemand mehr verwenden. Wir empfehlen inzwischen, wenn es die Möglichkeit gibt, mit den Public-Private-Key-Verfahren zu arbeiten und diese statt einfacher Passwortverwaltung zu verwenden. Und wenn es nicht anders geht, dann bitten wir unsere Kunden, möglichst lange Passwörter aus einem Zufallsgenerator mit Sonderzeichen, Groß- und Kleinbuchstaben, Ziffern und Satzzeichen zu verwenden.
Bei Sicherheitsanwendungen wie zum Beispiel Banking muss es inzwischen sogar eine Mehrfaktor-Authentifizierung geben. Da gibt es verschiedene Konzepte mit Chipkarten, mobilen (verschlüsselten) Apps und vieles mehr.
Für den Datentransfer zwischen lokalem Client (PC, Notebook etc.) und Server sollte man bei SFTP (SSH File Transfer Protokoll), der „sichereren“ Nachfolge des FTP, trotz Verschlüsselung zusätzlich mit einem VPN-Tunnel (Virtual Private Network) arbeiten. Auf FTP in jedem Fall komplett verzichten.
Für externe Zugriffe auf lokale Rechner oder Server verwendet man bis heute gerne RDP, ein Zugriffsprotokoll aus der Microsoft-Windows-Welt. Das galt bis vor kurzem noch als recht sicher. Aber inzwischen ist auch diese Technologie leider korrumpiert worden. Daher sollte man sie auch nur in Verbindung mit Verschlüsselung und VPNs nutzen.
Werden alle möglichen Sicherheitsmaßnahmen auf alle Anwendungsfälle angewendet oder unterscheiden sich Sicherheitskonzepte für verschiedene Kunden?
Eigentlich sind wir von Hause aus ziemlich faul und wir schlafen gerne ruhig. Deshalb machen wir zwischen unseren Kunden keine Unterschiede. Es ist unsinnig und unwirtschaftlich, verschiedene Grade von Betriebssicherheit abzustufen und vorzuhalten.
Es sind alles Geschäftskunden, und sie haben alle ein Anrecht auf hohe Betriebssicherheit, also auf Hochverfügbarkeit. Es gibt lediglich manchmal Unterschiede beim ActiveBackup. Denn manche Kunden haben gerne noch mehr Generationen der Datensicherung aufbewahrt oder wünschen sich kürzere Backup-Intervalle. Diese Services bezahlen sie extra.
Müssen Ihre Kunden für den Schutz Ihrer Internetanwendungen selbst aktiv werden oder bieten Sie einen Rundum-Schutz-Service?
Manchmal bestehen die Maßnahmen beim Kunden einfach nur darin, bestimmte Dinge NICHT zu tun, wie
-
keine zu einfachen Passwörter verwenden, diese in Sichtweite oder greifbarer Nähe des PCs hinterlegen
-
keine E-Mails und Dateianhänge unbekannter Herkunft öffnen
-
niemals ungeprüft auf Links mit seltsamen Domain-Endungen klicken
-
keine unsicheren Protokolle wie z. B. FTP zum Datei-Upload verwenden
-
keine als unsicher bekannten Anwendungen (WhatsApp, Telegram, DropBox, Zoom, Teamviewer etc.) für die betriebsinterne oder geschäftliche Kommunikation verwenden
-
auf als unsicher bekannte Scripte und Funktionserweiterungen bei Online-Anwendungen verzichten
-
keine IoT-Lösungen (Internet of Things) ohne Firewall und zusätzliche Absicherung benutzen
-
keine privaten Endgeräte für geschäftliche Zwecke einsetzen oder umgekehrt
Um alles andere kümmern wir uns. Also ja: In Sachen Betriebssicherheit bieten wir ein Rundum-Sorglos-Paket ohne Kleingedrucktes. Denn wir klären unsere Kunden über eventuelle Risiken bei Sonderwünschen auf und beraten sie zum Beispiel auch bei ihren Backup-Konzepten. Was wir übrigens kompromisslos und grundsätzlich NICHT anbieten, ist FTP. Dieses offene Scheunentor bleibt geschlossen und tabu.
Wie behalten Sie als Provider den Überblick über aktuelle Bedrohungen?
Das ist im Prinzip ganz einfach: Regelmäßig, also täglich, die einschlägigen Fachpublikationen kritisch lesen. Dazu gehören Repositories, Newsgroups und Foren der eingesetzten Softwares, Patch- und Update-Meldungen der Hersteller. Und natürlich die bekannten klassischen Online-Medien studieren. Danach die Aussagen überprüfen, sorgfältig nachdenken und dann eine Risiko-Einschätzung zunächst für uns und dann für die Kunden vornehmen. Da wir unsere Softwares gut dokumentiert haben und alle unsere Serversysteme ebenfalls sehr gut kennen, wissen wir recht genau, wann wir wie aktiv werden müssen.
Glücklicher Weise passieren akute Bedrohungen eher selten. Und wir können auf 25 Jahre Erfahrung mit der Betriebssicherheit von Internetanwendungen zurückgreifen. Das erspart uns eine Menge Stress und lässt auch unsere Kunden ruhiger schlafen.
Erfahrung, Wissen und Expertise – darauf vertrauen die Kunden der BB-ONE.net in allen Fragen des Internet als Geschäftsanwendung. So positionieren wir uns seit Gründung (1996) erfolgreich als Internetpartner der Wirtschaft. Als Berliner Unternehmen betreiben wir unsere eigene technische Infrastruktur für Serverhosting, Cloudanwendungen und Domainservices in einem TIER4-DataCenter nahe dem Hauptstadt-Zentrum.
Kontakt:
BB-ONE.net Ltd.
presse@bb-one.net
+49 (0) 30 609 804 750
BB-ONE.net GmbH
Borgsdorfer Strasse 30
13439 Berlin
Telefon: +49 (30) 609 804 750
http://www.bb-one.net
GF Marketing und PR
Telefon: +49 (0) 30 609 804 752
E-Mail: fla@bb-one.net
Geschäfts- / Unternehmens- / Betriebs- / Behördenleitung GF
E-Mail: info@bb-one.net