IT-Sicherheit leicht verfügbar gemacht
Im ersten Teil dieser Miniserie über IT-Sicherheit in der Symphony Cloud-Plattform ging es um physische IT-Absicherung an Gebäudeeingängen. Diesmal widmen wir uns der nächsten Ebene der Symphony IT-Verteidigungsstrategie: Netzwerk- und Datensicherheit.
Im Frühjahr dieses Jahres berichtete das amerikanische Wirtschafts-Fachmagazin Forbes, dass 70% der IT-Sicherheitsverletzungen von Endgeräten ausgehen. Typische Ursachen sind etwa fehlende oder unzureichende Schutzeinrichtungen wie z. B. Authentifizierung, Zertifizierung und Verschlüsselung. Schlecht geschützte Endgeräte (z. B. cloud-basierte Edge-Geräte) sind ein bevorzugtes Ziel von Cyberkriminellen, die inzwischen auf ein wachsendes Arsenal an extrem wirksamen Werkzeugen zurückgreifen können, um solche Schwachstellen aufzuspüren und auszunutzen. Open-source Port-Scanner wie Masscan können z. B. inzwischen das gesamte Internet in weniger als sechs Minuten (!) nach offenen Ports ‚durchschnüffeln‘ – und das von einem einzigen Computer aus. Und mit Suchmaschinen wie shodan wird das Auffinden von schutzlosen Geräten im Internet of Things so einfach wie eine gewöhnliche Google-Suche.
Angesichts dieser Entwicklungen war es den Symphony-Entwicklern klar, dass ein einfaches „Drüberstülpen“ von Sicherheitsmaßnahmen über die cloud-basierten Apps und Geräte nie und nimmer ausreichen kann. Genau aus diesem Grund wurde die gesamte „cloud-native“ Commend Symphony-Plattform von Anfang nach dem Prinzip „secure by design“ entwickelt – ganz im Sinne von Commends holistischem Ansatz „Privacy and Security by Design“ (PSBD). Zu dieser Selbstverpflichtung gehört auch, dass Commend ein unternehmensweites Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2013 eingerichtet hat, um eigene Unternehmensdaten ebenso wie Kunden- und Lieferanteninformationen zu schützen.
Sicher? Mit Sicherheit!
Mit ihrem Ansatz im Sinne von „Sicherheit geht vor!“ legen sich die DevSecOps-Ingenieure bei Commend mächtig ins Zeug, um die Symphony Cloud-Plattform mit neuesten Features in Sachen Cybersicherheit auszustatten. Den Sicherheitsaspekt behalten sie über die gesamte Produktlebensdauer hinweg gezielt im Auge, um entsprechende Maßnahmen setzen zu können. Sehen wir uns einige einmal etwas genauer an.
Bedrohungsmodelle: Jederzeit bereit!
Cyberangreifer nutzen eine verwirrende Vielfalt an mehr oder weniger raffinierten Strategien. Um dieser Herausforderung gewachsen zu sein, gehen die Symphony-Entwickler in Sachen Sicherheit nach dem STRIDE-Ansatz vor. Dies ermöglicht ihnen, potentielle Sicherheits-Schwachstellen zu untersuchen und eine Reihe verschiedener Angriffsszenarien zu simulieren (z. B. Client/Server Spoofing, Denial of Service/DoS-Angriffe, Code Injection u.v.m.). Aufgrund der gewonnenen Daten können sie danach im Hinblick auf ihre festgelegten Sicherheitsziele detaillierte Gegenmaßnahmen implementieren. Ergänzend unterliegen die Symphony-Produkte und Services laufend weitgehend automatisierten Qualitätstests und für die Netzwerksicherheit werden die Mechanismen des Cloud-Providers genutzt.
Authentifizierung: Eine Frage der Identität
Unzureichende Authentifizierung ist ein sicherheitstechnisches Pulverfass, das nur darauf wartet, hochzugehen – ganz besonders im Fall schlecht gesicherter Cloud-Services. Aus diesem Grund ist in der Symphony Cloud der Zugang zu Konfigurationseinstellungen nach neuesten Standards passwortgesichert – so wie es auch Commends unternehmensweite Produktsicherheits-Richtlinien vorschreiben. Außerdem ist das Symphony Plattform-API durch modernste API Token-Authentifizierung gegen unberechtigten Zugriff gesichert. Selbstverständlich gilt auch für Symphony-Services Commends „Null-Toleranz-Strategie" was die Verwendung von Standard-Passwörtern betrifft. Um größtmögliche Sicherheit zu gewährleisten, wird außerdem die Authentifizierung für Symphony-Services über weltweit führende Authentifizierungs- und Zugriffsverwaltungs-Dienste verwaltet.
Berechtigung: Der Schlüssel zu sicherer Kommunikation
Automatisch jedem Gerät im eigenen Netzwerk blind zu vertrauen ist ein Fehler, den Symphony durch die Zertifizierung gültiger Symphony-Geräte umgeht. Dabei wird jedes Commend-Gerät mit einem werksseitig eingestellten Zertifikat ausgeliefert.
Bei der Inanspruchnahme („Claiming“) eines neues Symphony-Gerätes (z. B. eine concerto-Sprechstelle oder ein iOS or Android Mobilgerät) im Symphony-Service wird dieses zu einem Endgerät (Edge Device), das dann ausschließlich über die Cloud verwaltet wird. Auf diese Weise kann es jederzeit als gültiges Gerät mit spezifischen Zugangsberechtigungen innerhalb des jeweiligen Symphony-Service erkannt werden.
Dank dieses elektronischen ‚Fingerabdrucks‘ kann Symphony sofort jedem Versuch, mittels „Device Spoofing“ ein fremdes Gerät in die Symphony-Cloud einzuschmuggeln, einen Riegel vorschieben.
Zertifikate werden auch für den sicheren Austausch von Schlüsseln (Secure Key Exchange) eingesetzt, denn Symphony verwendet ausschließlich verschlüsselte Audio/Video-Verbindungen (SIPS, SRTP, HTTPS, MQTTS, etc.). Diese entscheidenden Sicherheits-Funktionen können vom Nutzer nicht deaktiviert werden.
Ergänzt werden diese Sicherheitsmaßnahmen durch regelmäßige automatische Updates, die laufend für die nötige Verstärkung der Symphony-Cyberabwehrkräfte sorgen – und das ohne dass Benutzer oder Betreiber dafür auch nur einen Finger rühren müssen.
All diesen Netzwerk- und Datenschutzmaßnahmen liegen komplexe, ausgeklügelte Prozesse zugrunde, die sich leistungsstarke Konzepte wie Public Key Encryption und ähnliche Techniken zunutze machen (davon mehr in einem der nächsten Beiträge). Wichtig ist hier, dass Nutzer all dies so bequem mitgeliefert erhalten, dass sie es im täglichen Gebrauch gar nicht merken. Auf diese Weise können sie all die Vorteile moderner Türruf-Kommunikation mit bequemer Touch-Bedienung genießen, während Symphony dafür sorgt, dass sie dies im beruhigten Wissen tun können, dass ihre Sicherheit, ihre Privatsphäre und ihr Eigentum geschützt sind.
Im nächsten Beitrag geht es um die letzte der vier ´Säulen der Symphony IT-Sicherheit: Ausfallsicherheit.
Für weiterführende Informationen zur cloud-basierten Commend Symphony Plattform mit ihren Services und IT-Sicherheitsstandards besuchen Sie die Commend Symphony Webseite oder setzen Sie sich mit Ihrem zuständigen Commend-Vertriebspartner in Verbindung.