Freigeben über

Fallstudien zur Sicherheit: Unternehmen A

  • Artikel

Unternehmen A ist ein Hauptlieferant für Material und Dienstleistungen im Industriesegment. Das Geschäftsmodell des Unternehmens sieht elektronische Transaktionen mit Schlüsselkunden und -lieferanten vor. Das Unternehmen A verwendet eine Microsoft BizTalk-Anwendung, um Transaktionen und die Kommunikation zwischen internen und externen Anwendungen zu verwalten.

Mögliche Bedrohungen und Sicherheitsüberlegungen

Unternehmen A möchte sicherstellen, dass nur Nachrichten von authentifizierten Quellen verarbeitet werden. Einige der Dokumente, die von BizTalk Server verarbeitet werden, enthalten vertrauliche Informationen, z. B. Finanz- und persönliche Daten. Unternehmen A überprüft jede eingehende Nachricht mithilfe benutzerdefinierter kryptografischer APIs. Außerdem wurde die physikalische Architektur so gestaltet, dass die Sicherheitsanforderungen erfüllt werden.

Unternehmen A verwendet FTP (File Transfer Protocol) fr einen Teil des Nachrichtenverkehrs. FTP ist zwar an sich nicht sicher, Unternehmen A nimmt jedoch die Risiken in Kauf, da zahlreiche Firewalls vorhanden sind, die andere nach außen gerichtete Anwendungen schützen. Da Unternehmen A einige der eingehenden Daten über HTTPS empfängt, müssen DoS-Angriffe (Denial-of-Service-Angriffe) von externen Quellen in Betracht gezogen werden. Tritt ein DoS-Angriff auf, verfügt das Unternehmen über Mechanismen zum sofortigen Benachrichtigen der zuständigen Personen.

Sicherheitsarchitektur

In der folgenden Abbildung wird die Sicherheitsarchitektur dargestellt, die Unternehmen A verwendet. Beachten Sie, dass die Umgebung durch Firewalls segmentiert wurde, um die Front-End-Anwendung und die Inhaltsserver, die Back-End-Datenbank und die Geschäftslogikserver und die ausgehende Nachrichteninfrastruktur zu schützen.

Abbildung 1: Sicherheitsarchitektur des Unternehmens A

Unternehmen A Sicherheitsarchitektur

Unternehmen A verwendet zwei Hauptmethoden zum Senden und Empfangen von Informationen an und von BizTalk Server. In der ersten Methode wird FTP verwendet. Unternehen A unterstützt EDI-Transaktionen (Electronic Data Interchange) mithilfe eines Übersetzungsdienstanbieters eines Drittanbieters für die Kommunikation mit Lieferanten und Partnern. Dieser Übersetzungsdienstanbieter eines Drittanbieters verarbeitet die ein- und ausgehenden Aufträge, die BizTalk Server in einem EDI-Format verarbeiten muss.

Die zweite von Unternehmen A verwendete Methode ist HTTPS. Unternehmen A arbeitet außerdem mit einem Drittanbieter für Dienste zusammen, der als Hub für seine Branche fungiert und den Einkauf und Vertrieb von Produkten des Unternehmens A vereinfacht.

Sichere digitale Zertifikate

Unternehmen A implementiert eigene sichere digitale Zertifikate. Das Unternehmen verwaltet nur wenige Zertifikate. Da es mit einem Drittanbieter für Dienste zusammenarbeitet, stellen digitale Zertifikate kein großes Risiko dar. Unternehmen A erkennt jedoch, dass digitale Zertifikate für den Dienstanbieter durchaus sicherheitsrelevant sind, weil er mit vielen verschiedenen Einrichtungen interagiert.

Weitere Informationen

Sicherheitsfallstudien für kleine & Medium-Sized Unternehmen
Beispielszenarios für die Gefahrenanalyse