Die Sicherheit von Vertec im Netz

Die Sicherheit der Vertec Installation ist ein dynamischer und andauernder Prozess, der kontinuierlich durchgeführt werden muss.

Zunächst einmal stellt sich folgende Frage: Ist mein Vertec über das Internet auch von Dritten erreichbar oder nicht? Daraus ergeben sich folgende Szenarien:

Szenario 1: Vertec Installation mit Cloud Abo

Beim Betrieb von Vertec im Cloud Abo wird Vertec direkt aus der Cloud ohne lokale Serverinstallation genutzt. Dabei betreibt Vertec die Software in der Cloud und ist für einen Grossteil der Sicherheitsmassnahmen verantwortlich.

Cloud Abo Kunden müssen jedoch zwingend diese beiden Dinge beachten:

1. Es sind sichere Passwörter für die Logins zu verwenden. Vertec erlaubt, im Rahmen der Password Policy , die Password-Anforderungen so einzustellen , dass nur starke Passwörter zulässig sind. Um sicherzustellen, dass alle Benutzer einer Vertec Installation tatsächlich ein sicheres Passwort verwenden, lässt sich beim nächsten Login ein Passwortwechsel erzwingen .
2. Die 2 Faktor Authentisierung stellt eine weitere Sicherheitsmassnahme dar. Diese sollte, wenn immer möglich, eingeschaltet werden.

Szenario 2: Vertec On-Premises Installation mit Internetzugriff

Kunden einer Vertec On-Premises Installation haben zwei Möglichkeiten, ihr Vertec ins Internet zu stellen. Entweder sie nutzen im Rahmen ihres Wartungsvertrages den kostenlosen Vertec-Service Webaccess oder sie stellen ihren Vertec Cloud Server selbst ins Internet .

In beiden Fällen empfiehlt Vertec dringend, sich mit der bereits beschriebenen Passwortsicherheit und der 2 Faktor Authentisierung auseinander zu setzen. Zudem sollten die nachfolgend beschriebenen zusätzlichen Schutzmechanismen aktiviert und immer die neuste Vertec Version eingesetzt werden.

Zusätzliche Schutzmechanismen

Wir empfehlen, diese weiteren Schutzmassnahmen (wenn immer möglich) zu aktivieren, bzw. nicht abzuschalten:

• Nachdem standardmässig zehn Login-Versuche fehlschlagen, so wird der entsprechende Account für die folgenden zehn Minuten gesperrt. Die Anzahl möglicher Versuche sowie die Zeitspanne können in der [CloudServer] Session im Vertec.ini-File konfiguriert werden. Ist nichts angegeben, wird der Standard verwendet. Diese Schutzeinrichtigung kann deaktiviert werden, wovon jedoch dringend abgeraten wird.
• Das Restrict Scripting schränkt das Scripting beim Zugriff via Cloud Clients ein. Dadurch laufen keine VB Scripts mehr und für Python wird eine Sandbox eingeführt.
• Die Einstellung Restrict Session Process startet die Session Prozesse mit eingeschränkten Möglichkeiten:
  • Der Vertec Session Prozess läuft als Low Integrity Prozess.
  • Der Vertec Session Prozess darf keine weiteren Subprozesse starten.

Immer die neueste Vertec-Version einsetzen

In allen genannten Fällen raten wir als zentraler Punkt dazu, stets die aktuellste Vertec-Version einzusetzen, mindestens aber jeden Major Release einzuspielen. Warum ist das so relevant? Dies ist im Zusammenhang der technischen Weiterentwicklung zu sehen. Denn was vor vielleicht 3 Jahren noch gut genug war, ist heute nicht mehr OK und angreifbar. Wie die im Internet üblichen Verschlüsselungsstandards bei der Übertragung von Daten, entwickelt sich auch Vertec kontinuierlich weiter. Ältere Vertec-Versionen sollten daher nicht mehr eingesetzt werden.

Vertec On-Premises Installation über die eigene Infrastruktur

Kunden, die ihr Vertec eigenständig ins Internet stellen, müssen neben der oben erwähnten Massnahmen zudem sicherstellen:

• Dass der Cloud Server im verschlüsselten Modus mit einem echten Zertifikat betrieben wird.
• Dass die verwendeten cypher suites und TLS Versionen aktuell sind.

Szenario 3: Vertec On-Premises Installation ohne Internetzugriff

Eine lokal betriebene (On-Premises) Installation, die nicht mit dem Internet verbunden ist, ist am wenigsten verbreitet. Nur in diesem Fall sind auch ältere Vertec-Versionen akzeptabel und Passwörter von geringerer Bedeutung.

Was macht ein sicheres Passwort aus?

Für ein sicheres Passwort ist in erster Linie dessen Länge entscheidend: Es ist mindestens zehnstellig, setzt sich aus Gross- und Kleinschreibung, Zahlen und Sonderzeichen zusammen. Idealerweise steht es nicht als «echtes» Wort im Wörterbuch und stellt keinen Bezug zum Benutzer her. Pro Dienst sollte ein unterschiedliches Passwort verwendet und zur Erstellung auf Passwort-Generatoren zurückgegriffen werden. Passwörter sollten zudem nie notiert oder im Klartext auf Datenträgern abgelegt werden. Zur Verwaltung sollten stattdessen Passwort-Manager verwendet werden.