Serveranlagen und Netzwerke vor Angriffen schützen
In der letzten Zeit liest man immer öfter von Angriffen auf Unternehmen mit Verschlüsselungs-Trojanern oder gestohlenen Informationen. Für Unternehmen geht es dabei um eine Problematik mit vielen Ebenen, welche durch Angriffe entstehen – kurz gesagt es kostet Zeit, es kostet Nerven und schlussendlich mitunter viel Geld wenn man sämtliche Faktoren berücksichtigt die im Geschäftsalltag eine Rolle spielen.
Der Angriff über Schwachstellen
Was sind Schwachstellen eigentlich – sicher es gibt immer wieder Schwachstellen in Software und Betriebssystemen. Da diese im Internet auf einschlägigen Seiten zu finden sind und in der Regel von IT-Personal berücksichtigt werden – möchte ich auf diese Schwachstellen nicht eingehen und erklären was meiner Meinung nach Schwachstellen in einem Unternehmen sind.
Wie erfolgen Angriffe
Die meisten Angriffe nutzen die Schwachstelle Mensch aus. Maschinen sind gleichgültig gegenüber Angriffen und führen nur vorgegebene Befehle aus – ist die Grundkonfiguration also stimmig, gibt es an der Stelle keine Chance für Angreifer. Menschen sind gutmütig, manipulierbar, neugierig, manchmal auch in Sicherheitsfragen nicht auf dem Laufenden oder schlicht unsicher was zu tun ist. Deswegen ist bei den meisten Angriffen der Mitarbeiter derjenige welcher von den Angreifern „benutzt“ wird, um an Informationen zu kommen. Somit ist es notwendig diese Schwachstelle weniger angreifbar zu machen oder Auswirkungen eines Angriffs wenigstens einzudämmen.
Technische Ansätze Übergriffe zu minimieren
Grundsätzlich ist es wichtig ein Netzwerk generell vor Übergriffen zu schützen. Ein bekannter Ansatz ist es eine Firewall vor das Netzwerk zu stellen, welche über ein konfiguriertes Regelwerk dafür sorgt dass Angreifer nicht in das Firmennetz kommen.
Ein zweiter Ansatz ist es Server welche extern erreichbar sind gesondert abzusichern. Das kann über einen Zugriffsschutz passieren, grundsätzlich konfiguriert man für solche Server eine eigene Netzwerkzone, sodass bei einem gelungenen Übergriff nicht das lokale Netzwerk kompromittiert wird. Ausserdem sollte jeder Server der in weltweiten Netz steht über eine weitere Instanz verfügen, die bei unbefugten Zugriffsversuchen den Angreifer bzw. seine IP-Adresse für eine gewisse Zeit blockt.
Ziel der Angriffe sind allerdings alle Server und Netzwerkgeräte, weswegen es Sinn macht die Logik der Zugriffssteuerung sowie der Netzwerksegmentierung auch im lokalen Netzwerk zu verwenden. Bedeutet es gibt nicht nur eine Firewall zwischen Internet und dem eigenen Netzwerk, sondern im Idealfall eine weitere zwischen lokalen Netzwerksegmenten und dem Server-Netzwerk, sowie eine Zugriffssteuerung für jedes dieser Geräte.
Die Datensicherung ist ein weiterer sehr wichtiger Ansatz um Datenverlusten vorzubeugen. Getrennt von allen Netzwerksegmenten und mit ausschließlich der notwendigen Zugriffsberechtigung kann diese selbst im lokalen Netzwerk sehr stark geschützt werden. Um die Sicherheit weiter zu erhöhen kann eine weitere externe Sicherung installiert werden die im Notfall eine zerstörte lokale Sicherung oder direkt die verlorenen oder beschädigten Daten zurücksichern kann. Diese kann in einem Rechenzentrum oder auch in einer Filiale platziert werden.
All die genannten Maßnahmen sind entweder Hemmschwellen für Angreifer oder haben eindämmenden Charakter – helfen allerdings nichts wenn ein Angriffsversuch nicht schnell erkannt wird. Dafür gibt es eine weitere technische Plattform – das Monitoring.
Unter Monitoring versteht man die Abbildung von Netzwerkprozessen entweder in einer graphischen Oberfläche oder mindestens eine Benachrichtigung per Mail ob ein Prozess gestartet wurde, wie die Durchführung gelaufen ist und/oder ob der Prozess erfolgreich abgeschlossen wurde. Auch eine Benachrichtigung per Mail bei Problemen oder Grenzüberschreitungen ist ein möglicher Weg.
Im Idealfall gibt es beides, denn Angriffe lösen als Nebeneffekt z.B. mehr Traffic auf den Netzwerkports von Switches oder dem Router aus. Bekommt ein Administrator nun einen Hinweis dass dort Dinge passieren die vom Monitoring-System als ungewöhnlich angesehen werden – kann er dem sofort punktuell nachgehen. Bedeutet handelt es sich wirklich um einen Angriff, ist dieser schnell erkannt und sofort aufzuhalten. Der Schaden ist damit überschaubar und kann mit geringen Eingriffen wieder beseitigt werden so das überhaupt notwendig ist, weil eben vielleicht gar kein Schaden entstanden ist.
Der Versuch mit sozialen Ansätzen Angriffe zu minimieren
Das Zauberwort heisst Mitarbeiter-Sensibilisierung… Nur Mitarbeiter denen man zeigt wie Angreifer agieren, können eigenverantwortlich im Sinne des Unternehmens darauf reagieren.
Das bedeutet immer wieder zu Erläutern warum es wichtig ist ein gesundes Misstrauen an den Tag zu legen. Vielleicht sogar zu beschreiben und zu zeigen was in einer Netzwerkkommunikation alles passiert und so von Angreifern als Information abgegriffen werden kann um an Informationen zu kommen. Damit wird dem Mitarbeiter gezeigt, dass es nur darum geht seine Kommunikation zu schützen und nicht ihn auszuforschen – was nebenbei eh verboten ist.
So befördert man als Arbeitgeber korrektes Verhalten z.B. im Umgang mit Passworten – also diese nicht an Dritte weiter zu geben. Ein Passwort nicht mit weniger als acht Zeichen, dabei Klein- wie Großbuchstaben, Sonderzeichen und Zahlen, zu erstellen – selbstredend diese nicht an den Bildschirm, unter die Tastatur oder das Telefon zu kleben, sondern idealerweise in einem Passwortmanager zu speichern. Dort werden die Passworte sicher und verschlüsselt abgelegt und können jederzeit von dort aus verwendet werden. Darauf zu achten wenn man kommuniziert das auf sicheren, also verschlüsselten, Plattformen zu machen und der Dinge mehr.
Arbeitgeber sollten ihren Mitarbeitern das Vertrauen entgegenbringen, denn nur auf einer gesunden Vertrauensbasis wird der Mitarbeiter das alles auch selbst für sich und damit für das Unternehmen berücksichtigen.
Veränderungen in der Arbeitsweise
Mehr Mobilität, schneller auf Anfragen reagieren – all diese Anforderungen verändern die Nutzung von Netzwerken. Home-Office – der Mitarbeiter sitzt plötzlich nicht mehr im Büro, sondern arbeitet von zu Hause oder von Unterwegs. All das birgt Risiken. Wie gut ist ein Arbeitsplatz zu Hause abgeschirmt vor Angriffen. Der Erfahrung nach aktuell eher weniger bis gar nicht.
Wenn dem so ist, wie sieht es dann mit der Sicherheit in der Unternehmung aus. Idealerweise hat der Mitarbeiter einen VPN-Zugang zum Firmennetzwerk. Damit ist wenigstens die Kommunikation zwischen Mitarbeiter und Unternehmen durch einen Tunnel abgesichert.
In einem VPN-Tunnel ist es möglich Daten auf den Dateiserver zu speichern, sich Informationen zu laden oder einfach nur zu lesen. Arbeitet der Mitarbeiter mit seinem eigenen Rechner ist es nicht möglich diesen durch die Unternehmung auf Schadsoftware hin zu kontrollieren und sicher zu stellen, dass das Netzwerk nicht auf diesem Weg angegriffen werden kann.
Wenn dieses Arbeitsmodell greifen soll kann die Unternehmung z.B. über eine Zwischenstation kommunizieren lassen. Eine solche Middleware kann eine firmeneigene Cloudlösung sein. Der Mitarbeiter arbeitet mit der Cloudlösung und diese wiederum wird geprüft und mit den Dateiservern synchron gehalten. Somit muss sich der Mitarbeiter nicht mehr direkt mit Firmenservern verbinden, kann dennoch von überall aus arbeiten und auf seine Daten zugreifen.
Das kann man ergänzen mit Webseiten auf denen grundsätzliche Arbeitsanweisungen zu finden sind – Jobticketverwaltungen die angebunden an Social-Media-Plattformen Kunden vielfältige Möglichkeiten bieten mit der Unternehmung in Kontakt zu treten. Dabei werden ergriffene Maßnahmen durch Mitarbeiter im System dokumentiert, sind also für Kollegen wie Geschäftsleitung jederzeit einsehbar und schaffen so eine zusätzliche Transparenz.
Schlussfolgerungen was zu tun ist
Grundsätzlich lassen sich Angriffe nicht verhindern. Man kann nur dafür Sorgen die Einfallstore so klein zu halten wie es geht und so groß wie notwendig. Das bedeutet Server sollten immer nur die Dienste installiert haben die benötigt werden. Netzwerke können segmentiert werden um Zugriffe zu kanalysieren wie zu reglementieren. Im Ernstfall werden Angreifer zumindest eine Zeit lang aufgehalten und so mehr Zeit für eine Reaktion gewonnen. Zugriffsberechtigungen sollten so gestaltet sein, dass auf Server wie Netzwerkgeräte nur wenige Personen und diese auch nur unter gewissen Vorgaben zugreifen können.
Mitarbeiter sollten wissen worum es bei sniffing, pishing und ähnlich gearteten Angriffen geht. Es ist nicht wichtig dass sie es technisch verstehen, dennoch sollte ein Grundverständnis für Angriffsszenarien aufgebaut werden, damit man dem Mitarbeiter auch die Möglichkeit einräumt richtig zu reagieren. Wichtig dabei ist eine Vertrauensplattform – nur wenn der Mitarbeiter Vertrauen in Geschäftsleitung wie IT-Abteilung hat, wird er kommunizieren und so Angriffsversuche auch an die richtigen Kollegen bringen, welche dann fachlich unterstützen oder den Angriff gleich selbst abwehren können.
Sicher ist das nicht das ultimative Kompendium dennoch versucht dieser Artikel Wege aufzuzeigen und dafür zu werben mit Mut, gesundem Misstrauen bei eigenen Vertrauen auf sich selbst den Angreifern gegenüber zu treten – schließlich geht es dabei um den Schutz all der Werte die wir alle in unserer Gesellschaft leben wollen.
Cornelius Hoffmann