In vielen Unternehmen ist der Internetzugang durch eine Firewall abgesichert. Aber was ist mit internen Angriffen? AOV unterstützt ihre Kunden bei der Definition von verschiedenen Sicherheitszonen mit klar umrissenen Aufgabenstellungen. Jede dieser Sicherheitszonen kann je nach Sicherheitsanforderungen durch unterschiedliche Techniken abgesichert werden.

Beispielhaft seien hier nur Aspekte wie physikalische Sicherheit, Portsecurity, Firewall-Konfiguration oder VPN genannt. Von der Analyse über die Erarbeitung eines Sollkonzeptes bis hin zur Realisierung und Kontrolle der Systeme.

Der Zugriff auf Informationen, E-Mails, File Services und der Zugang zum ERP-System sollte nach Möglichkeit immer und vor allem überall verfügbar sein. Das Internet eignet sich idealerweise dazu, weltweit Zugriff auf diese Daten zu erhalten. Eine Herausforderung ist die Übertragung von sehr sensiblen Daten über das Internet. Zu viele Schwachstellen machen unverschlüsselte Übertragungen zu einem enormen Sicherheitsrisiko. Des Weiteren sind solche Zugangspunkte zum eigenen Firmen-Netz häufigen Angriffen ausgesetzt. Aufwändige DMZ-Konstruktionen und Firewalls mit Reverse-Proxys etc. sollen Angreifer abwehren. Konventionelle mobile VPN Zugänge verschlüsseln zwar die Daten und erreichen ein sehr hohes Maß an Sicherheit, aber die Installation ist oft sehr aufwändig.

Die SSL-VPN-Lösung der aov bietet eine sichere, skalierbare Lösung zu günstigen
Konditionen an:

• Keine große Investition – Abrechnung je Monat pro Portal und User
• Marktführende Technologie
• Kalkulierbare Kosten von Anfang an
• Zeitersparnis – Implementierung neuer Nutzer innerhalb weniger Minuten 
• Unabhängigkeit von teuren Lizenzmodellen
• redundant ausgelegte Systeme
• Keine Investition in künftige jährliche Soft- und Hardware-Wartung
• Keine Investition in Schulungen und Trainings
• aov übernimmt das komplette Setup der Portale und Dienste
• Die Verbindungen sind durch unsere Zertifikate und unsere Infrastruktur gesichert
• Unsere geschulten Experten stehen Ihnen bei Problemen zur Verfügung 
• Mittels RDP wird ein schneller und browserbasierter Zugriff auf den Server ermöglicht

aov bietet ihren Kunden darüber hinaus eine sichere als auch kostengünstige Internetanbindung. Es besteht sowohl die Möglichkeit einer kundeneigenen Firewall gemäß der internen Securitypolicy, als auch das von aov bereit gestellte und pro-fessionell betreute Equipment zu nutzen.

• integrierter E-Mailvirenscanner
• geringe Fixkosten
• Nutzungsabhängige Entgelte
• Professioneller Betrieb
• hohe Sicherheit
• geringe Investitionskosten

Sofern eine eigene Firewall genutzt wird, übernimmt aov nach der Installation gerne den kompletten Betrieb dieser Systeme.

Selbst wenn das Netzwerk optimal gegen externe Zugriffe abgesichert ist, kann dieser Schutz nur eine erste Verteidigungslinie darstellen.

Eine zweite Schutzlinie wird direkt auf den Servern in Form einer möglichst hohen Serversicherheit implementiert.

aov analysiert manuell als auch mit entsprechenden Securityscannern die Server ihrer Kunden und zeigt potentielle Sicherheitslücken auf. Anschließend werden Möglichkeiten zur Verbesserung der Sicherheit aufgezeigt und auf Wunsch direkt umgesetzt.

Fast täglich ist der Tagespresse die Ankündigung von neuen Viren, Trojanern oder Würmern zu entnehmen. Schutz bietet daher nur eine Antivirensoftware, welche immer auf dem aktuellsten Stand gehalten wird, und deren Einsatz nicht von der Zuverlässigkeit der Anwender abhängig ist. Jeder Windows-basierte Server und jeder Arbeitsplatzrechner sollte daher mit einer Clientsoftware ausgestattet sein, welche den folgenden Kriterien genügt:

• Echtzeitschutz
• manuelles Scannen
• zentrale Administrierbar-keit
• automatische Softwareverteilung
• automatische Aktualisierung der Virensignaturen

Hohe Aktualität aov bietet hierfür eine seit Jahren bewährte und kostengünstige Lösung eines renommierten Herstellers an.

Das zentrale E-Mail-Gateway der aov arbeitet wie eine zentrale Poststelle, die eingehende Post öffnet, kategorisiert (Werbesendungen, Geschäftspost) und ausgehende Briefe verpackt und weiterleitet. Weil es in der Lage ist E-Mails einer Organisation zu sichern und zu entsichern, kann man es auch als "virtuelle Poststelle" bezeichnen. Je nach Policy (Sicherheitspolitik) verschlüsselt, entschlüsselt, signiert bzw. überprüft es Signaturen automatisch auf Gültigkeit.

Das gesamte System wird im Rechenzentrum der aov betrieben. Kunden der aov nutzen das E-Mail-Gateway in Form einer leistungsfähigen Cloudlösung, welche in die E-Mailkommunikation zwischen den internen Systemen des Kunden und dem Internet integriert wird.

Die zentrale Sicherheitspolitik kann vom zuständigen Administrator des Kunden vollständig über eine browser-basierte Management-Konsole (Admin Webclient) konfiguriert werden. Das E-Mail-Gateway agiert als SMTP-Proxy, der den kompletten E-Mail-Verkehr bearbeitet. Sicherheitsmechanismen (Verschlüsselung/Signierung) werden gemäß den Empfänger- sowie Absender-Adressen bzw. deren Domains optional oder zwingend eingestellt. Zusätzlich können auch PC-Client-Benutzer per Kurzbefehl in der Betreffzeile oder über das Merkmal „Vertraulichkeit“ einer ausgehenden E-Mail die Sicherheitsfunktionen des zentralen Gateways steuern.

Die folgenden Funktionsbausteine stehen den Kunden zur Verfügung:

Annahme und Weiterleitung von E-Mails

• Nutzung des externen E-Mail-Servers der aov
• Nutzung des internen E-Mail-Servers der aov
• Weiterleitung von E-Mails an den E-Mail-Server (z.B. Exchange) des Kunden über eine gesicherte Verbindung
• Annahme von E-Mails vom E-Mail-Server (z.B. Exchange) des Kunden über eine gesicherte Verbindung
• Ggf. Zwischenspeicherung von E-Mails bei Nichterreichbarkeit des Zielsystems
• Kontrolle der E-Mails auf Virenbefall mit zwei verschiedenen Virenscannern (Einsatz von 4 unterschiedlichen Scan-Engines)
• Kontrolle der E-Mails auf SPAM und Markierung der entsprechenden E-Mails zur einfachen Filterung im E-Mail-Client

Verschlüsselung und Signierung von E-Mails

• Reibungslose Integration in alle E-Mail-basierten Prozesse
• Arbeitet entsprechend der internationalen Standards S/MIMEv2 und Open PGP und ist weitestgehend konform zu ISIS-MTT und S/MIMEv3
• Zentrale Ver- und Entschlüsselung von E-Mails; ein- und ausgehende E-Mails werden verarbeitet
• Zentrale Signierung und Signaturüberprüfung von E-Mails
• Sowohl Domänenzertifikate als auch personenbezogene Zertifikate werden unterstützt
• Einheitliche Umsetzung der Security Policy durch eine flexible policy-basierte Steuerung aller Prozesse, unsichtbar für den E-Mail-Verfasser
• Entlastet Security Administration durch automatisierte Zertifikatsverwaltung; selbstständig und regelmäßig werden die Zertifikate der Kommunikationspartner sowie die Rückruflisten von Zertifikaten (CRLs) bei beliebigen Trustcentern, Verzeichnisdiensten und Key-Servern abgefragt
• Content-/Virus-Filter arbeiten ohne Beeinträchtigungen, da die entschlüsselten Nachrichten geprüft werden
• kompatibel zu Client-basierten S/MIME Produkten und Open PGP
• keine Eingriffe auf den PC-Arbeitsplätzen oder dem E-Mail-Server erforderlich
• Bereitstellung eines administrativen Accounts zur Auswertung und Anpassung der Konfiguration

Qualifizierte Signatur

Für den elektronischen Versand von Rechnungen (INVOIC) fordert der Gesetzgeber, dass diese mit einer qualifizierten elektronischen Signatur im Sinne des Signaturgesetzes versehen werden. Hierfür müssen besonders sichere und damit aufwendige Verfahren eingesetzt werden. Insbesondere ist es hierfür erforderlich, dass die verwendeten Schlüssel auf speziellen Signaturkarten abgelegt werden.

Im Rahmen der Marktkommunikation der Versorgungsunternehmen in Deutschland muss auf das Vorhandensein einer qualifizierten Signatur im Nachrichteninhalt (UNB-Segment) hingewiesen werden.

Die aov bietet zur Erzeugung qualifizierter elektronischer Signaturen eine Cloudlösung, welche die Anhänge von mittels X-Header gekennzeichneten Emails mit einer qualifizierten Signatur versieht. Sollte dies nicht möglich sein so kann alternativ auch die Betreffzeile ausgewertet werden und die Signatur beim Auftreten des Begriffs „INVOIC“ aktiviert werden.

Der Funktionsumfang im Einzelnen

• Versehen der Anhänge mit qualifizierten Signaturen gemäß §15 Abs. 7 Signaturgesetz
• Verwendung einer Signaturkarte der aov (die Signierung erfolgt „Im Auftrag“)
• Einsatz einer technischen Lösung, welche von einer unabhängigen, akkreditierten Bestätigungsstelle TÜVIT regelmäßig überprüft wird und das Qualitätssiegel der freiwilligen Anbieterakkreditierung trägt
• Versehen von beliebigen sonstigen eMail-Anhängen mit einer qualifizierten Signatur nach PKS#7: Crytographic Message Syntax Standard (RFC 3852)
• Sicherheitslevel ITSEC, level E2 high
• Signatur-Algorithmus RSA 2048 Bit
• Hash-Algorithmus RIPEMD-160, SHA-2