Von Haus aus

Basis für IT-Sicherheit

Verbindliche Standards in ITEBO-Rechenzentren

Als Rechenzentrumsbetreiber ist die ITEBO-Unternehmensgruppe verpflichtet, verschiedene Maßnahmen zur Sicherstellung der Informationssicherheit durchzuführen. Dass von diesen Basis-Maßnahmen auch die Kundinnen und Kunden betroffen sind, ist vielen nicht bewusst.

In den Rechenzentren befinden sich eigene Server und Server von Verwaltungen, die ihre Systeme zu ITEBO ausgelagert haben. Das bedeutet, dass viele personenbezogene Datenund auch die Infrastrukturen der Verwaltungen nicht mehr selbst in den Verwaltungen liegen, sondern im Rechenzentrum der ITEBO – alles Informationen mit einem hohen Schutzbedarf. Diese Informationen zu schützen, ihre Verfügbarkeit, Vertraulichkeit und Integrität sicherzustellen, ist Aufgabe der ITEBO – und die der Verwaltungen.

„Wir bieten unseren Kundinnen und Kunden einen niederschwelligen Einstieg in die IT-Sicherheit. 

Denn für uns als IT-Dienstleister mit eigenem Rechenzentrumsbetrieb ist es essenziell, dass die Infrastruktur einen Mindeststandard einhält – das gilt nicht nur intern, sondern vor allem auch für die Verwaltungen, deren Infrastruktur wir betreiben“, erklärt André Carstens, Geschäftsbereichsleiter Betrieb der ITEBO. 

„Sicherheit ist nicht benutzerfreundlich“ 

Die Sicherheitsstandards steigen stetig. Weil auch die Zahl der Cyberangriffe stetig wächst, müssen Server nahezu rund um die Uhr betreut werden: laufende Optimierungen, neuere und bessere Schutzmaßnahmen, regelmäßige (Sicherheits-)Updates, Backups, sowie Wiederherstellungstests und ein gutes Monitoring sowie Loggingnachweise. Die ITEBO als verantwortliches Rechenzentrum setzt hierbei auch gegenüber den Kundinnen und Kunden den Maßstab.

Die Nutzung eines einfachen Logins mit Nutzername/Passwort ist jedoch nicht mehr zeitgemäß. In der Regel wird heute auf die Zwei-Faktor-Authentifizierung (2FA) oder die Multi-Faktor-Authentifizierung (MFAzurückgegriffen. Der simple Grund: Passwörter – insbesondere „schwache“ – lassen sich leicht abgreifen, vor allem bei der Verwendung eines Passwortes für mehrere Plattformen entstehen große Sicherheitslücken.

„Mittelfristig werden wir keine Kundin und keinen Kunden ohne 2FA oder sogar MFA im Rechenzentrum zulassen können“, betont André Carstens.

Authentifizierung als Schwachstelle 

Die Abstimmung untereinander findet dabei immer auf Augenhöhe statt, gewisse Basis-Maßnahmen müssen jedoch von allen Kundinnen und Kunden übernommen werden. Ein Beispiel: Ein Hacker versucht, den Login eines Users zu kompromittieren. 

Aufgrund der mehrfach falschen Eingabe des Kennworts wird der User für eine vorab bestimmte Zeit gesperrt, alle fehlgeschlagenen Logins werden protokolliert und die Reports melden proaktiv eine Auffälligkeit. Bei all den vielen Aufgaben muss aber dennoch der Arbeitsfluss aufrechterhalten werden. Das ist für eine kleine Verwaltung eine Mammutaufgabe.

Für den Ernstfall gerüstet: Jährliche Notfalltests 

Organisationen mit den beiden Zertifizierungen ISO 20000 und ISO 27001 sind einmal pro Jahr zu einer vollumfänglichen Notfallübung verpflichtet, die den Fokus nicht nur auf Technik, sondern zudem auf Prozesse richtet. Das Bundesamt für Sicherheit in der Informationstechnik legt zusätzlich allen Unternehmen eine regelmäßige Überprüfung sehr ans Herz. Aus diesem Grund führt die ITEBO-Unternehmensgruppe einmal im Jahr den Notfalltest durch.

Ziel einer solchen Notfallübung ist es, das Notfallkonzept auf Schwächen zu prüfen. Ein Test unter realen Bedingungen zeigt schnell, ob alle notwendigen Daten noch aktuell sind und ob die Abläufe im Notfall effizient einsetzbar sind. Nicht zuletzt bereitet eine Notfallübung auch Mitarbeitende auf besondere Situationen vor und erreicht so, dass diese im Ernstfall besonnen auf die Art und Weise handeln, wie es die Dokumentation vorsieht.

Unabhängig von Standards und Zertifizierungen ist die Notwendigkeit, Notfälle zu testen, aktueller denn je. Direkte Hackerangriffe, Ransomware und spätestens seit Anfang 2022 auch die drohende Energiekrise mit der noch weiter gestiegenen Möglichkeit von Blackouts erfordern den Test von Prozessen im Rahmen des Notfallmanagements.

Der Mehrwert eines Notfalltests ist aber auch für Kundinnen und Kunden enorm wichtig, denn sie profitieren von der Erfahrung aus den Notfallübungen. Einerseits sind die Verwaltungen dadurch besser auf Notfälle vorbereitet, andererseits gehört es auch bei ihnen zu einer Zertifizierung.

Umbenennung des ITEBO-Servicebereichs Desktop

Bei all diesen Sicherheitsmaßnahmen steht die Kundin oder der Kunde im Fokus. Seit dem 1. Februar wurde der ehemalige „Servicebereich Desktop“ innerhalb des „Geschäftsbereichs Betrieb“ daher neu aufgestellt und erhielt in dem Zuge auch neue Namen:

Servicebereich Customer Care Center (ehemals Desktop)

Team Customer Services
(ehemals Fieldservice)  

Die Lerninhalte stehen zeit- und ortsunabhängig zur Verfügung. So können auch MitarbeiterInnen die Software erlernen, die in Teilzeit arbeiten und an ganztägigen Präsenzschulungen nur schwer teilnehmen können.

Team Customer Supportdesk (ehemals Service Desk)  

Die erste Hilfe für die Kundinnen und Kunden; hier werden  Anfragen oder Störungen telefonisch oder per E-Mail aufgenommen,  dokumentiert und gelöst. Tiefergreifende Thematiken werden klassifiziert und in entsprechende Fachabteilungen weitergeleitet und beobachtet, sodass Anfragende schnellstmöglich eine Lösung zu ihrem Thema erhalten.

mehr erfahren »

Team Customer Solutions 
(ehemals Projekte)  

Das Team bildet die Schnittstelle zwischen Kundinnen und Kunden und den ITEBO-Fachabteilungen innerhalb des Geschäftsbereichs Betrieb und sorgt dafür, dass die Projekte bei einer Transition oder bei der Einführung von ITEBO-Services strukturiert ablaufen.


Um Hackern den Zugriff auf vertrauliche Daten zu erschweren, bieten die Zwei-Faktor-Authentifizierung (2FA) und die Multi-Faktor-Authentifizierung (MFA) zusätzliche Sicherheitsebenen.

Bei der Zwei-Faktor-Authentifizierung (2FA) wird immer mit zwei Faktoren die Identität des Benutzers geprüft. Die Multi-Faktor-Authentifizierung (MFA) umfasst eine beliebige Anzahl an Faktoren („Multi-Faktor“).

Multi-Faktor-Authentifizierunskonzept

1

2

3

Schritt für Schritt zu mehr Sicherheit in der Kommune
Nächster Artikel

Container for the dynamic page

(Will be hidden in the published article)