Wie das Gymnasium Kirchenfeld die IT-Sicherheit
mit einem Penetrationtest verbessert
Täglich berichten die Medien über massive Datendiebstähle, Verschlüsselungen von Firmendaten, Erpressungen, DDoS-Angriffe und vieles mehr aus dem Bereich der Cybersicherheit. Neben dem finanziellen Schaden, der bis zur Existenzbedrohung eines Unternehmens führen kann, entsteht meist auch ein Reputationsverlust.
Das Gymnasium Kirchenfeld ist sich dieser Bedrohungslage bewusst. Zur Sicherstellung der IT-Sicherheit in der neuen Netzwerkumgebung beauftragte die Bildungsinstitution den Cybersicherheitsspezialisten United Security Providers (USP) mit einem Penetrationstest.
„Da uns IT-Sicherheit sehr wichtig ist, wollten wir unsere IT-Infrastruktur extern auditieren lassen. Die fachkundige und vertrauenswürdige Präsentation des Teams hat mich überzeugt, den Penetrationstest mit United Security Providers durchzuführen. Die Zusammenarbeit mit dem erfahrenen Team war sehr angenehm und lehrreich, der Abschlussbericht ausgesprochen detailliert und hilfreich, und das Ergebnis rundum zufriedenstellend.“
Tom Jampen, Leiter Informatikdienst
Um dem wachsenden Bedürfnis der Lehrpersonen und Lernenden nach mehr Autonomie, Flexibilität und Nutzung digitaler Inhalte und Technologien gerecht zu werden, hat sich der Kanton Bern für die Einführung des Bring Your Own Device (BYOD) Konzepts entschieden. Das Gymnasium Kirchenfeld hat zudem beschlossen, die IT-Netzwerk-Infrastruktur komplett neu aufzubauen, um den gestiegenen IT-Anforderungen gerecht zu werden. Das Thema IT-Sicherheit hatte im Migrationsprojekt oberste Priorität. So wurde eine neue IT-Sicherheitsarchitektur entworfen und implementiert. Der Projektabschluss sah einen internen und externen Penetrationstest vor, um sicherzustellen, dass das IT-Netzwerk korrekt und sicher aufgebaut ist. Es wurde die Testart Greybox gewählt. Bei diesem Testtyp werden vorab einige limitierte Informationen ausgetauscht, um die Effizienz des Penetrationstests zu erhöhen. Nach dem komplexen Migrationsprojekt war es wichtig zu überprüfen, ob die Übergänge und Zugänge der verschiedenen VLANs ausreichend abgesichert sind. Die erfahrenen Penetrationstester von USP versuchten mittels realistischer Angriffssimulationen sowie verschiedenen Techniken, Taktiken und Werkzeugen in die Systeme einzudringen.
„Infrastrukturen sicher aufzubauen, haben inzwischen viele Firmen in ihr Pflichtenheft geschrieben. Trotzdem können sich immer wieder Fehler in der Konfiguration oder Implementierung einschleichen. Aus diesem Grund empfehlen wir immer, die Systeme im Anschluss einem Penetrationstest zu unterziehen. Nur so kann sichergestellt werden, dass das Projekt auch erfolgreich umgesetzt worden ist.“
Stefan Merz, Head of Consulting Services
Die Sicherheitsüberprüfung gab einen sehr guten Überblick darüber, wie mögliche Schwachstellen von Hackern ausgenutzt werden können. Darüber hinaus wurde das aktuelle Bedrohungspotenzial beurteilt und detaillierte Vorschläge zur Erhöhung des Sicherheitsniveaus gemacht. Dem Gymnasium Kirchenfeld konnte ein gutes Zeugnis ausgestellt werden. Die Sicherheitsmechanismen funktionierten, und der Aufwand für dieses komplexe Migrationsprojekt hat sich in jeder Hinsicht gelohnt. Dank der engen Zusammenarbeit zwischen dem Gymnasium und USP konnte ein gründlicher und erfolgreicher Penetrationstest durchgeführt werden, der gezielte Massnahmen zur Verbesserung der IT-Sicherheit ermöglichte.
Ausgangslage
- Kompletter Neuaufbau der IT-Netzwerk-Infrastruktur
- Komplexe Netzwerkstruktur mit vielen WLANs und Subnetzen
- Unterschiedliche Benutzergruppen wie Lernende, Lehrpersonen, Verwaltungsangestellte und Administratoren
- Dedizierter VPN-Zugriff auf Kantonsressourcen
- On-Premise-Server sowie Cloud-Dienste
- Umsetzung eines Bring Your Own Device (BYOD) Konzepts in der neuen Netzwerkumgebung
Scope Penetrationtest
Der Fokus wurde auf folgende Zielsystem gelegt:
- Externe/Interne Infrastruktur
- Netzwerksicherheit
- Active Directory
- Schnittstellen und Zugriffe zwischen den verschiedenen Netzwerken
- Benutzer mit Doppelfunktionen, respektive mehreren Accounts
- Integration von BYOD-Geräten
Erkenntnisse und Nutzen
- Es wurden mögliche Angriffsvektoren und Schadenspotenziale aufgezeigt
- Einige Konfigurationsänderungen konnten eingeleitet werden, um das allgemeine Sicherheitsniveau zu verbessern