IT-Sicherheit für kleine und mittlere Unternehmen - DsiN-Blog

SAP-Pocketseminar
IT-Sicherheit
für kleine
und mittlere
Unternehmen
2. überarbeitete Auflage
www.sicher-im-netz.de
IT-Sicherheit für kleine und mittlere Unternehmen
SAP-Pocketseminar, 2. überarbeitete Auflage
SAP Pocketseminar
IT-Sicherheit · Für kleine und mittlere Unternehmen
Eine Schriftenreihe der SAP AG
Zweite, überarbeitete Ausgabe
September 2010
Herausgeber:
SAP AG
Government Relations
Rosenthaler Str. 30, 10178 Berlin
Bei der Zusammenstellung der Texte, Verweise und Abbildungen wurde mit größter Sorgfalt vorgegangen;
trotzdem ist ein vollständiger Fehlerausschluss nicht möglich. Die nachfolgende Dokumentation erfolgt daher
ohne Gewähr für Richtigkeit und Vollständigkeit der gemachten Angaben, für deren Verifizierung allein der
Anwender die Verantwortung trägt.
SAP übernimmt für aus der Verwendung dieser Dokumentation entstehende Schäden, gleich aus welchem
Rechtsgrund, eine Haftung nur im Falle vorsätzlichen oder grob fahrlässigen Handelns; im übrigen ist
die Haftung von SAP ausgeschlossen. SAP übernimmt keine Verantwortung für die Inhalte von Seiten oder
Ver­öffentlichungen Dritter, auf welche wir durch Links verweisen.
© 2010 SAP AG. Alle Rechte vorbehalten.
SAP und das SAP-Logo sind eingetragene Marken der SAP AG in Deutschland und anderen Ländern. Business
Objects und das Business-Objects-Logo sind eingetragene Marken der Business Objects Software Ltd. in den
USA und anderen Ländern.
Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen.
Copyright
© 2010 SAP AG
Dietmar-Hopp-Allee 16
69190 Walldorf
50 085 038 (10/08)
IT-SICHERHEIT
FÜR KLEINE
UND MITTLERE
UNTERNEHMEN
Ein effektiver Weg, in kurzer
Zeit alles Wissenswerte
zum Thema IT-Sicherheit
zu erfahren!
Dieses Handbuch ist so konzipiert, dass Sie in kurzer Zeit prägnante
und fundierte Informationen erhalten. Mit Hilfe eines Leitsystems
werden Sie durch das Buch geführt. Es erlaubt Ihnen, innerhalb Ihres
persönlichen Zeitkontingents das Wesentliche zu erfassen.
Kurze Lesezeit
In etwa zwei Stunden können Sie das ganze Buch lesen. Sollten Sie
jedoch weniger Zeit haben, können Sie gezielt nur die Stellen lesen,
die für Sie wichtige Informationen enthalten.
■
■
Alle wichtigen Informationen sind grün gedruckt.
Ein Register am Ende des Buches erleichtert das Nachschlagen.
Überarbeitete Auflage
In der aktuellen Auflage wurden folgende Themen ergänzt, bzw.
wesentlich überarbeitet: Sicherheit bei Outsourcing und Cloud Computing, Endpoint Security und Netzwerk-Topologie, Biometrie, Social
Networks, Business Continuity Management, Datenschutz.
5
INHALT
Vorwort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1
Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2
Gefahren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.1 Der Faktor Mensch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.2 Der Online-Betrüger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.3 Der Schmutz-Fink. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.4 Der Hacker. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.5 Der Spammer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.6 Viren, Würmer und andere Schädlinge . . . . . . . . . . . . . . . 19
2.7 Haftungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3
Organisatorisches . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.1 Sicherheit als Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.2 Die Risikoanalyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.3 Sicherheitsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.4 Bewusstseinsbildung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.5 Was kostet Sicherheit? . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.6 Checkliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4
Sicherheit der Endgeräte. . . . . . . . . . . . . . . . . . . . . . 32
4.1 Aktualisierung des Betriebssystems. . . . . . . . . . . . . . . . . . 33
4.2 Management von Updates und Patches . . . . . . . . . . . . . . 34
4.3 Sichere Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.4 Malware-Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.5 Passwortschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.6 Biometrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.7 Verschlüsselung von Daten . . . . . . . . . . . . . . . . . . . . . . . . 41
4.8 Problemfall USB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.9 Data Loss Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.10 Checkliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
6
5
Sichere Firmennetzwerke . . . . . . . . . . . . . . . . . . . . . 45
5.1 Schutz vor Zugriff von außen . . . . . . . . . . . . . . . . . . . . . . 46
5.2 Sichere Mailverteilung. . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.3 Sicherheit für verbundene Netze . . . . . . . . . . . . . . . . . . . . 53
5.4 Drahtlose Netze (WLAN) . . . . . . . . . . . . . . . . . . . . . . . . . . 57
5.5 Netzwerküberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
5.6 Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.7 Checkliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
6
Sichere Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . 64
6.1 Schutz von Internet-Auftritten. . . . . . . . . . . . . . . . . . . . . . 65
6.2 Sichere E-Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.3 Sichere Unternehmensprozesse . . . . . . . . . . . . . . . . . . . . . 69
6.4 Schutz der Vertraulichkeit bei E-Mails . . . . . . . . . . . . . . . . 69
6.5 Sicherheit bei Outsourcing und Cloud Computing. . . . . . . . 71
6.6 „Social Media“ im Unternehmen . . . . . . . . . . . . . . . . . . . 73
6.7 IP-Telefonie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
7
Datenverfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . 76
7.1 Die Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
7.2 Die Notfallplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
7.3 Business Continuity Management . . . . . . . . . . . . . . . . . . . 78
7.4 Physikalischer Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
7.5 Checkliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
8
Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
8.1 Die wichtigsten Maßnahmen. . . . . . . . . . . . . . . . . . . . . . . 81
8.2 Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . 82
8.3 Der Datenschutzbeauftragte . . . . . . . . . . . . . . . . . . . . . . . 83
9
Schlusswort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Weiterführende Informationen . . . . . . . . . . . . . . . . . . . . . 85
Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7
Deutschland sicher im Netz e.V.
Gemeinsam für mehr IT-Sicherheit
Der Verein Deutschland sicher im Netz (DsiN) ist Ansprechpartner für
Verbraucher und mittelständische Unternehmen zu Fragen der ITSicherheit. Der Verein stärkt das Vertrauen in neue Technologien durch
verständliche Botschaften zu einem sicheren Umgang mit Internet
und Informationstechnik. Als Ergebnis des ersten IT-Gipfels der Bundesregierung wurde 2006 aus der Initiative der Verein Deutschland
sicher im Netz gegründet. Mit dem gemeinsamen Ziel, das Sicherheitsbewusstsein von Anbietern und Verbrauchern beim Umgang mit
dem Medium Internet zu erhöhen, hat das Bundesministerium des
Innern im Juni 2007 die Schirmherrschaft für DsiN übernommen.
Als übergreifende Institution bündelt DsiN die Aktivitäten von Unternehmen, Branchenverbänden sowie Vereinen und bietet der Bundesregierung herstellerunabhängig und produktneutral einen zentralen
Ansprechpartner. So werden Synergien genutzt und Überschneidungen vermieden. DsiN und seine Mitglieder leisten mit einer Vielzahl
von Aktivitäten einen praktischen und messbaren Beitrag für mehr
IT-Sicherheit.
Unser Beitrag: Konkrete Handlungsversprechen
Die DsiN-Mitglieder geben konkrete Handlungsversprechen ab, an
denen sich der Erfolg ihres Engagements transparent überprüfen
lässt. Die Handlungsversprechen richten sich an Privatnutzer wie
beispielsweise Kinder, Eltern und Verbraucher, aber auch an mittelständische Unternehmen und ihre Mitarbeiter. Im Zentrum der nachhaltigen Serviceangebote stehen sowohl verlässliche Informationen
zu sicherheitsrelevanten Themen als auch eine konkrete Unterstützung bei den Schutzmaßnahmen.
Besuchen Sie uns auch im Internet: www.sicher-im-netz.de
8
Vorwort
Sehr geehrte Leser,
IT ist heute nicht nur integraler Bestandteil der meisten Unternehmensprozesse, sondern oftmals entscheidend für den Erfolg eines
Betriebs. Die Chancen von IT für ein Unternehmen nutzbar zu machen,
ist längst nicht mehr nur eine Frage für den IT-Beauftragten in einem
Unternehmen, sondern „Chefsache“. Im Sinne von Bismarck: IT ist
zu wichtig, um sie der IT-Abteilung zu überlassen!
Das gilt insbesondere auch für das Management der Risiken. Dieser
Pocketguide soll einen kurzen Überblick zu den wichtigsten Sicherheitsfragen geben. Der Guide richtet sich nicht an ITK-Spezialisten,
sondern an die „Chefebene“ kleiner und mittlerer Unternehmen.
Seit dem Erscheinen der ersten Auflage im Jahr 2005 hat sich enorm
viel getan in der IT-Welt. Die neue Auflage widmet sich neuen Entwicklungen wie IP-Telefonie, Social Networks und Cloud-Computing.
Ich wünsche Ihnen viel Erfolg für Ihr Unternehmen und der bei der
Ausgestaltung Ihrer Sicherheitsstrategie!
Ihr
Michael Kleinemeier
Mitglied des Vorstandes von Deutschland sicher im Netz e.V.
und Geschäftsführer der SAP Deutschland AG & Co. KG
9
1 Einleitung
„Sicherheit“, insbesondere im Internet, ist nun seit einigen Jahren
ein allgegenwärtiges Thema der Tagespresse. Meldungen über erfolgreiche Hacking-Angriffe werden sogar über Nachrichtensendungen
verbreitet.
Von Sicherheit oder sicheren Systemen ohne Kontext zu sprechen,
ist nicht sinnvoll. Man muss immer berücksichtigen, wogegen man
sich schützen möchte.
So, wie der Airbag nicht „das Autofahren sicher macht“, sondern
lediglich das Risiko von Kopfverletzungen durch den Aufprall auf dem
Lenkrad verringert, so schützen auch Sicherheitskomponenten und
Sicherheitsverfahren wie Verschlüsselung, Firewalls, Viren-Scanner,
Virtuelle Private Netze, oder Intrusion-Detection-Systeme jeweils nur
vor bestimmten Typen von Angriffen.
Damit Sie die für Ihr Unternehmen notwendigen und sinnvollen
Schutzmaßnahmen auswählen und bewerten können, ist es zwingend erforderlich, die Gefahren zu kennen, die bei der privaten und
geschäftlichen Nutzung des Internet auf Sie lauern (Kapitel 2). Wägen
Sie danach ab, welche Bedrohungen für Sie die gefährlichsten sind.
Wenn Sie einmal kurz ein wenig in Sicherheit investieren, und sich
dann wieder anderen Dingen zuwenden, besteht die große Gefahr,
dass in kurzer Zeit die Maßnahmen den sich weiter entwickelnden
Bedrohungen nicht mehr gerecht werden. Daher ist es wichtig, Sicherheitsmaßnahmen und -Prüfungen zu verstetigen. Wie man das am
besten – und kostengünstig – macht, lesen Sie in Kapitel 3.
11
Ihre Mitarbeiter werden vor allem über die Endgeräte in Berührung
mit der IT kommen – sei es PC, Notebook, Handy oder neuerdings
verstärkt auch Smartphones, Pads und Tablets. Aufgrund der mobilen
Nutzung entstehen neue Risiken – wie Sie diese Endgeräte schützen
können, erfahren Sie in Kapitel 4.
Wenn Sie ein eigenes Netzwerk betreiben (was bei den heutigen Angeboten an IT-Dienstleistungen im Internet nicht unbedingt sein muss,
außer vielleicht einem WLAN-Zugang und einem Backup-Server),
kommen für die Angreifer vielfältige neue Ziele hinzu. Wie man diese
absichert, finden Sie in Kapitel 5.
Viele Unternehmen haben inzwischen eine Web-Seite oder sogar
einen Web-Shop. Aber selbst wenn Sie das nicht haben, so werden
Sie sicherlich geschäftliche Korrespondenz via E-Mail austauschen.
Diese Anwendungen sind für Spione von besonderem Interesse, wird
dort doch oft wichtige Information gebündelt. Schutzmaßnahmen
für diesen Bereich lernen Sie in Kapitel 6 kennen.
Der Bereich der „Safety“ findet sich bei Unternehmensinformationen
im Bereich der Datenverfügbarkeit wieder. Welche Maßnahmen für
einen problemlosen Wiederanlauf nach einem Datenverlust erforderlich sind, werden in Kapitel 7 behandelt.
Kapitel 8 schließlich widmet sich dem immer wichtiger werdenden
Thema Datenschutz. Dort steht, welche technischen und organisatorischen Maßnahmen müssen Sie einführen bzw. betreiben, damit Sie
ein Mindestmaß an Gesetzeserfüllung nachweisen können.
12
2 Gefahren
In diesem Kapitel möchten wir Ihnen vermitteln, welche Gefahren
die IT eines Unternehmens bedrohen und in welche Kategorien typische Angreifer eingeordnet werden können. Die Bedrohungen für
IT-Systeme sind ebenso vielfältig wie die Systeme selbst.
Die Risiken für Ihre IT und damit für Ihr Unternehmen sind vielfältig.
Gelegenheits-Hacker, direkt gegen Sie gerichtete Angriffe von Außen
und Innen, menschliches Versagen oder sich selbst verbreitende
Schädlinge (Würmer, Viren, Trojaner) bedrohen Ihre Infrastruktur und
Ihre Geschäftsabläufe. Neben dem direkten Schaden durch Störung
Ihrer IT stellt die Haftung auch ein persönliches Risiko für Sie dar.
2.1 Der Faktor Mensch
Der grundlegende Faktor jeglicher Sicherheit wird in vielen Unternehmen zu sehr außer Acht gelassen: die Information und Schulung
der Mitarbeiter.
Technische Sicherheitsmaßnahmen allein reichen nicht, wenn sich
die Mitarbeiter nicht an Regeln und Verhaltensvorgaben halten. So
sind Sicherheitstipps nutzlos, wenn sie nicht allen Kollegen bekannt
sind und konsequent angewendet werden.
Zu einem erfolgreichen Sicherheitskonzept gehören daher Schulungen und regelmäßige Informationen für die Mitarbeiter.
Diese Maßnahmen müssen regelmäßig wiederholt und aktualisiert
werden, um ein gleichmäßig hohes Sicherheitsniveau im Unternehmen zu gewährleisten und sich gegen eine sehr alte Form des Angriffs
zu schützen: Das „Social Engineering“.
13
Als Social Engineering (auch als Social Hacking bezeichnet) bezeichnet man das Erlangen vertraulicher Informationen durch Annäherung
an Geheimnisträger mittels sozialer Kontakte. Ziel ist zum Beispiel
die Beschaffung von Zugangsdaten für Computer und Datennetze.
Eine übliche Vorgehensweise beim Social Engineering ist es, sich
zunächst einem Mitarbeiter im unteren Hierarchiebereich eines
Unternehmens (zum Beispiel Sekretärin oder Hausmeister) zu nähern,
um für das Unternehmen typische Gewohnheiten oder auch Formulierungen kennen zu lernen. Bei der folgenden Annäherung an den
eigentlichen Wissens- oder Geheimnisträger vermittelt der Angreifer
dann den Eindruck, dass es sich – bedingt durch die Detailkenntnisse
über das Unternehmen – nicht um einen Außenstehenden handeln
kann.
Ebenfalls eine verbreitete Methode ist es, eine technisch wenig versierte Person durch die Verwendung von „Fachchinesisch“ so weit
zu verwirren und zu verunsichern, bis diese die benötigten Daten
preisgibt.
Ein Beispiel:
„Guten Tag Herr Muster, ich habe in meinem Monitoring System
einen massiven Outbreak eins Bots, der wohl von Ihrem System ausgeht und mir mein Quality of Service System nahezu aushebelt. Somit
sind eine Menge Kollegen betroffen. Wenn Sie mir Ihre Zugangsdaten
geben, kann ich das vielleicht ohne großes Aufsehen remote debuggen.“
Statistisch ist über erfolgreiche Angriffe durch Social Engineering nur
wenig bekannt, die Dunkelziffer liegt sehr hoch. Ein Grund dafür ist
die Tatsache, dass es den betroffenen Firmen oft peinlich ist, derartige
Angriffe zuzugeben. Außerdem sind viele Angriffe so geschickt ausgeführt, dass diese erst viel später oder gar nicht aufgedeckt werden.
2.2 Der Online-Betrüger
Auch vermeintlich vorsichtige Internet-Nutzer können von den
Machenschaften des Online-Betrügers betroffen sein. So ist der Missbrauch fremder Kreditkartendaten im Internet immer noch ein großes
Problem.
Leider ist es so, dass Online-Betrug oft sehr einfach möglich ist, da
nur persönliche Daten und zum Beispiel Kreditkarteninformationen
oder Zugangsdaten für das Bankkonto benötigt werden, um in der
Identität des Opfers zu handeln – und diese kann man oft einfach
im Papierkorb einer Tankstelle finden.
Ein weiteres Schlagwort rund um den Online-Betrug ist das
„Phishing“: Hier werden Zugangsdaten von Online-Banking-Nutzern
durch fingierte Banken-Websites ausgespäht und Konten geplündert.
Gefahr droht auch bei Online-Auktionen: Hier werden auf fremde
Rechnung illegale Transaktionen getätigt. Auch in scheinbar harmlosen Programmen verbirgt sich oft Spionage-Software, die Surfgewohnheiten und persönliche Daten des Nutzers unbemerkt an den
Online-Betrüger weiterleiten. Sogar Handys werden inzwischen über
offene Schnittstellen „angezapft“.
Welche Schäden entstehen durch Onlinebetrug?
Neben erheblichen finanziellen Verlusten durch Konten- oder Kreditkartenmissbrauch droht der Verlust von geistigem Eigentum und
vertraulichen Informationen. Langwierige und kostenintensive
Unannehmlichkeiten durch betrugsbedingte Auswirkungen belasten
Unternehmen und Privatnutzer gleichermaßen.
15
2.3 Der Schmutz-Fink
In zunehmendem Maße verbreiten unangenehme Zeitgenossen auch
im Internet ihr zumeist verqueres Gedankengut. So werden Kinder
und Jugendliche in Chats („virtuelle Plaudereien"), Newsgroups
(Online-Diskussionsforen) oder bei sozialen Netzwerk-Plattformen
wie etwa Facebook immer öfter mit pornografischen, gewaltverherrlichenden oder politisch fragwürdigen Inhalten konfrontiert. Radikale politische Gruppierungen versuchen, durch Online-Agitation neue
Mitglieder zu werben.
Schnell kann es dazu kommen, dass die Geschäftsleitung zur Verantwortung gezogen wird, weil sich weibliche Angestellte belästigt
fühlen oder minderjährige Auszubildende mit nicht jugendfreien
Inhalten konfrontiert wurden (siehe auch Kapitel 2.7 Haftungsfragen )
oder Zugangsdaten für das Bankkonto benötigt werden, um in der
Identität des Opfers zu handeln – und diese kann man oft einfach
im Papierkorb einer Tankstelle finden.
Welche Schäden entstehen durch den Schmutzfink?
Die Verbreitung gewaltverherrlichender und anderer fragwürdiger
oder krimineller Inhalte kann weit reichende persönliche und gesellschaftliche Auswirkungen haben. Diese reichen von psychologischer
und sittlicher Manipulation Minderjähriger bis hin zur Anbahnung
von Straftaten.
16
2.4 Der Hacker
Ein "Hacker" ist im ursprünglichen Sinne ein technisch versierter
Computerfachmann bzw. Programmierer, der sein Fachwissen auch
auf positive Weise (etwa zum Aufdecken von Sicherheitslücken) einsetzt. Die negative Ausprägung dieser Personengruppe wird allgemein als "Cracker" (Profi) oder "Script Kid" (Amateur) bezeichnet.
Zum besseren Verständnis haben wir dennoch den in der Öffentlichkeit geläufigen Begriff "Hacker" beibehalten. Durch kleine SabotageProgramme wie Viren und Würmer, die sich meist selbsttätig und
innerhalb kürzester Zeit über E-Mails oder den Besuch bestimmter
Websites verbreiten, verschafft sich der Hacker Zugang zu fremden
Systemen, manipuliert sie zu seinem Zweck (installiert einen so
genannten „Bot“) oder legt sie komplett lahm. Inzwischen liefern
sich gut organisierte Hacker-Ringe regelrechte Bandenkriege, um
möglichst viele Rechner unter ihre Kontrolle zu bringen.
Welche Schäden entstehen durch Hacker?
Die Auswirkungen reichen von ärgerlichen, aber eher harmlosen
Fehlfunktionen bis hin zum Zusammenbruch ganzer Server und
Netzwerke. Zu den daraus resultierenden Image-Verlusten des
betroffenen Unternehmens und finanziellen Einbußen durch den
entstehenden Arbeitsausfall kommen meist noch weitere Kosten
für umfangreiche Wiederherstellungsmaßnahmen hinzu.
17
2.5 Der Spammer
Der Spammer schadet durch das Versenden von großen Mengen an
E-Mails mit meist sinnlosem oder (vermeintlich) werbewirksamem
Inhalt.
Seine große Menge an E-Mail-Adressen verschafft sich der Spammer
zum Beispiel über den (kommerziellen und/oder illegalen) Adresshandel oder mittels spezieller Programme, mit denen er das gesamte Web nach brauchbaren Adressen durchsucht. Auch das einfache
Durchprobieren gängiger Adresskombinationen ist ein möglicher
Weg. Für den Versand der Spam-Mails (oder auch Junk-Mails) werden
gefälschte E-Mail-Konten, mit Bots manipulierte PCs, offene drahtlose Netzwerke (WLANs) oder schlecht abgesicherte Mail-Server
missbraucht - meist ohne das Wissen ihrer Betreiber.
Welche Schäden entstehen durch den Spammer?
Ziel des Spammers ist entweder die maximale Verbreitung der ungewollten Werbung oder das Erwirtschaften von Profit, indem er im
Auftrag Dritter Spam-Mails versendet.
Speicher- und Bandbreitenkapazitäten werden durch die Spam-Flut
über Gebühr belastet. Oft entstehen erhebliche Zeit und Produktivitätsverluste durch das Sichten und Aussortieren der Spam-Mails,
ganz abgesehen von den nicht unerheblichen Kosten. Zudem
schadet Spam auch dem Vertrauen und der Glaubwürdigkeit des
Kommunikationsmediums E-Mail.
18
2.6 Viren, Würmer und andere Schädlinge
Wie aus der Presse bekannt stellen Viren, Würmer und andere Schädlinge eine erhebliche Gefährdung für Ihre IT-Systeme dar. Im Folgenden legen wir kurz dar, welche Arten von Schädlingen es gibt, und
wie diese sich verbreiten.
2.6.1 Der Virus
Computer-Viren sind Programme oder Teile davon, die entweder von
Experten mit zweifelhaften Zielen erstellt werden oder von den
bereits beschriebenen „Script-Kiddies“ mittels im Internet erhältlicher „Viren-Baukästen“ (so genannte „Virus Construction Kits“)
erzeugt werden.
Früher ließen sich Viren noch in drei wesentliche Kategorien unterteilen. Heute vereinen Viren oftmals Eigenschaften einer oder mehrerer Kategorien in sich, wodurch sie ein noch höheres Gefahrenpotenzial darstellen. Die damals vorgenommene Kategorisierung
möchten wir Ihnen nicht vorenthalten:
■ Boot-Viren setzen sich in dem Bereich einer Festplatte oder
Diskette fest, der beim Starten eines Computers in den
Arbeitsspeicher gelesen wird. Somit lädt sich der Virus
automatisch beim Start des Rechners.
■ Datei-Viren infizieren Programmdateien, wie beispielsweise
Teile des Betriebssystems oder einer Anwendung. Startet der
Anwender eine infizierte Datei, führt der Virus seine Schadroutine aus oder verbreitet sich weiter.
■ Makro-Viren sind in einer Makrosprache erstellt. Makros helfen, wiederkehrende Tastatureingaben und Programmabläufe
zu automatisieren. Oft wird dazu die Makrosprache von
Office-Software eingesetzt; die Makroviren sind in Dokumente eingelagert und werden durch Aufruf und
Weitergabe der Dateien verteilt.
19
Mögliche Schäden durch Computer-Viren sind ausgesprochen vielfältig und reichen von der einfachen Ausgabe störender Fenster über
Fehlfunktionen in Anwendungen bis hin zur Löschung vollständiger
Datenbestände. Auch die „unfreiwillige“ Veröffentlichung von Datenbeständen kann eine rufschädigende Folge für das Unternehmen
oder für einzelne Mitarbeiter sein.
Die Verbreitungswege für Viren sind vielfältig: Im Gegensatz zu früheren Zeiten, in denen sich Viren über Disketten verbreiteten, dient
heute die E-Mail als wichtigstes Übertragungsmedium. Die genannten Makro-Viren verbreiten sich im Wesentlichen durch einfache
Weitergabe oder gemeinsame Nutzung von Dokumenten in Netzwerken. Auch speziell präparierte Internetseiten sind ein beliebtes
Mittel bei der Verbreitung von Viren.
Sie können sehr viele Infektionsrisiken ausschließen, wenn Sie die
folgenden Regeln einhalten:
■ Öffnen Sie bitte keine Anhänge von E-Mails, deren Absender
Ihnen nicht bekannt ist.
■ Öffnen Sie keine Dateien, insbesondere mit ungewöhnlichen
Endungen, wenn deren Herkunft unklar ist.
■ Öffnen Sie auch von bekannten Absendern nur Anhänge, die
Sie selbst angefordert haben oder bei denen Sie sicher sein
können, dass sie von diesen Absendern sind. Absenderadressen können leicht gefälscht werden.
■ Besuchen Sie keine Web-Seiten, die Ihnen scheinbar erhebliche Vorteile gegenüber der Konkurrenz anbieten.
20
2.6.2 Der Wurm
Würmer sind sehr populär und stellen eine spezielle Form der Viren
dar. Auch hier erfolgt eine Infektion oft über E-Mails oder durch
Ausnutzung von Schwachstellen in Anwendungen und Protokollen.
Würmer infizieren in aller Regel keinen fremden Programmcode oder
Dokumente, sondern sind darauf ausgelegt, sich selbständig und
schnell zu verbreiten. Manche Würmer verfügen sogar über Funktionen, die es ihnen erlauben, sich selbst per E-Mail zu verbreiten,
ohne dass das installierte E-Mail-Programm genutzt werden muss.
Heimtückisch ist auch die Eigenschaft, sich selbst an Adressen aus
dem Adressbuch des installierten E-Mail-Programms weiter zu versenden. Dies beschleunigt die Verbreitung, da die Empfänger den
Absender der Mail kennen. Es steigt die Wahrscheinlichkeit, dass ein
Anhang geöffnet wird.
Die Folge eines Wurmausbruchs ist oftmals die völlige Überlastung
von Servern und ganzen Netzwerken.
2.6.3 Das Trojanische Pferd
Wie schon beim echten Trojanischen Pferd verbirgt auch die Computerversion (auch „Trojaner“ genannt) ein schädliches Programm
im Bauch eines scheinbar nützlichen Programms. Dieses schädliche
Programm installiert sich dann unbemerkt auf dem PC des Opfers.
Ziel von solchen Schädlingen ist zum Beispiel die Übermittlung von
vertraulichen oder persönlichen Daten an seinen jeweiligen Versender oder die Öffnung des PCs zur Fernkontrolle durch den Hacker.
Der klassische Trojaner kann sich nicht selbst verbreiten, heute werden jedoch von Würmern und Viren häufig Trojaner nachinstalliert,
die dann eine Kontrolle des PCs durch Dritte erlauben.
21
Eine von Kriminellen oft genutzte Variante des Trojaners sind die so
genannten Bot-Netze. Bei einem Bot handelt sich um einen Trojaner,
der sich bei seinem „Herrn“ meldet und Instruktionen erwartet. Viele
(oft weit mehr als 10.000) mit Bots infizierte PCs bilden dann ein
Bot-Netzwerk. Oft werden derartige Bot-Netze von ihrem Herrn für
kriminelle Machenschaften (verteilte Angriffe, Massen-Mailversand)
verwendet oder sogar vermietet.
Bitte legen Sie beim Download von Dateien aus dem Internet immer
ein gesundes Maß an Misstrauen an den Tag und prüfen Sie solche
Dateien vor dem Öffnen mit einem aktuellen Virenscanner!
2.6.4 Der Hoax
Ein Hoax (eng. „schlechter Scherz“) ist nichts weiter als eine elektronische „Zeitungsente". Meistens treten Hoaxes in Form von E-Mails
auf, die aus unterschiedlichsten Gründen dazu auffordern, die E-Mail
an möglichst viele Leute weiterzuleiten. Oft sind die Texte sehr phantasievoll geschrieben und wirken durchaus seriös.
In vielen Hoaxes wird vor einem angeblichen Virus gewarnt. Im Text
wird dann erklärt, wie man den Virus unschädlich machen kann.
Befolgt man die Anweisungen, werden wichtige Dateien des Betriebssystems gelöscht und Fehlfunktionen sind die Folge. Die eigentliche
Gefahr eines Hoaxes besteht also im Befolgen der dort abgelegten
Anweisungen.
Bitte löschen Sie solche E-Mails und leiten Sie diese nicht weiter.
Seriöse Anbieter von Antivirus-Lösungen verteilen Ihre Meldungen
grundsätzlich nicht nach diesem Prinzip!
22
2.7 Haftungsfragen
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG), das GmbH-Gesetz und die Kreditvergaberichtlinie Basel
II verpflichten Kapitalgesellschaften zur Implementierung eines Warnsystems zur Früherkennung von für das Unternehmen bedrohlichen
Entwicklungen. Dies schließt auch die IT-Infrastruktur und hier insbesondere alle IT-Sicherheitsaspekte ein. Bei Verstößen haften
Geschäftsführer, Prokuristen und Vorstände mit ihrem persönlichen
Vermögen.
Aber auch in Bereichen der IT eines Unternehmens, bei denen Missbrauch oder Ausfälle den Bestand des Unternehmens nicht bedrohen,
lauern Gefahren, die zu einer Haftung der Geschäftsführung führen:
■ Bildet der Betrieb Minderjährige aus, so muss der Zugang zu
pornografischen oder radikalen Web-Seiten für Jugendliche
unterbunden werden.
■ Dringt ein Hacker durch Fahrlässigkeit der lokalen Administratoren in die eigene Infrastruktur ein und greift von dort aus
Dritte an, so kann die Haftung der Firma für den entstandenen
Schaden unter Umständen die Folge sein. Auf jeden Fall
müssen Sie die Kosten für die vom Angreifer genutzte Internet-Bandbreite tragen.
■ Verteilt einer Ihrer Mitarbeiter rechtswidriges Material (zum
Beispiel Kinderpornogafie, verfassungsfeindliche Schriften,
urheberrechtlich geschütztes Material) über Ihre Infrastruktur,
so können Ihnen bei behördlichen Nachforschungen zumindest
Aufwände für die Unterstützung dieser Nachforschungen
entstehen. Dazu kommt der Image-Schaden für das Unternehmen sowie eventuelle juristische Konsequenzen.
Obwohl viele Haftungsfragen rund um den Internet-Missbrauch noch
nicht endgültig juristisch geklärt sind, sollten Sie hier besondere
Sorgfalt und Vorsicht walten lassen.
23
3 Organisatorisches
Wie auch für viele andere Themen gilt bei Sicherheit: nur durch das
Zusammenwirken von Personen, Prozessen und Technologie kann
wirkungsvoll ein gewünschtes Sicherheitsniveau erreicht werden.
Entsprechend sind die in diesem Kapitel besprochenen Aspekte fast
wichtiger als die nachfolgenden Kapitel, da sie die Handlungsfähigkeit einer Unternehmung in Sachen Sicherheit begründen.
3.1 Sicherheit als Prozess
Bruce Schneier – eine der bekanntesten Persönlichkeiten im Bereich
der IT-Security – hat einmal gesagt: „Security is a process, not a
product“.
Damit ist gemeint, dass jedes Sicherheitsprodukt nur dann einen
wirksamen Schutz bietet, wenn es in einen kontinuierlichen Sicherheits-Verbesserungsprozess integriert ist, denn die Bedrohungslage
kann sich jederzeit ändern und die bestehenden Sicherheitsmaßnahmen wirkungslos werden lassen.
Der klassische Sicherheitsprozess beginnt mit einer Risikoanalyse,
die die Grundlage für die Planung der Maßnahmen liefert. Auf Basis
der Planungsergebnisse folgt die Realisierung. Als letzter Schritt starten dann der Betriebsprozess und das Monitoring. Der Prozess-Schritt
Monitoring bildet mit einer kontinuierlichen Sicherheitsbetrachtung
die Aufrechterhaltung der IT-Sicherheit der überwachten Prozesse.
Im Fall einer Änderung oder Störung startet der Prozess erneut.
Zumindest einmal im Jahr sollten Sie Ihre Risikoanalyse überprüfen
(lassen) und Ihre Sicherheitsmaßnahmen anpassen.
24
Applikationen
Change
Management Prozess
Störungen
Alerting
Response
Reporting
Recover
Maliceous Activites
Security Advisories
Monitoring Ongoing
Services
Risiko- Security Engineer
analyse Audits/Assessments
IT-01010010101
Sicherheitsprozess
Integration
Realisierung
Schulung & Sensibilisierung
Planung
Security Policy
Sicherheitskonzept
Wer auf „Nummer Sicher“ gehen will, der gestaltet den Sicherheitsprozess – der Fachbegriff lautet „Security Management Prozess“ –
nach einem anerkannten Standard wie etwa ISO 27001. Es ist auch
möglich, sich danach zertifizieren zu lassen. Zudem existieren detailliertere Vorgaben wie das Grundschutzhandbuch des Bundesamts
für Sicherheit in der Informationstechnik (BSI), aber gerade für kleinere Unternehmen ist das Kompendium mit über 4000 Seiten kaum
zu bewältigen.
ISO 27001 hieß früher ISO 17799, zu dem reinen „Management“Standard sind nun noch weitere Elemente zum Beispiel für die sichere Software-Entwicklung oder die Risikoanalyse hinzu gekommen.
Ursprünglich geht der Inhalt auf den „British Standard BS7799“
zurück.
25
3.2 Die Risikoanalyse
Eine Risikoanalyse soll Ihnen und Ihrem Unternehmen vor allem die
folgenden Fragen beantworten:
■ Welche realen Gefahren existieren in Bezug auf den
reibungslosen Geschäftsbetrieb, bzw. die Geschäftsgrundlage
meines Unternehmens?
■ Wie hoch ist die jeweilige Eintrittswahrscheinlichkeit für die
ermittelten Gefahren?
■ Welches Schadensausmaß ist jeweils zu erwarten?
■ Ab welchem Zeitpunkt ist bei einer Störung des Geschäftsbetriebs die Existenz meines Unternehmens gefährdet?
Bei der Beantwortung der Fragen ist die Bestimmung der Eintrittswahrscheinlichkeit das größte Problem, da es nur sehr wenige Richtwerte gibt. Der Grund für diese Tatsache ist der Umgang mit erfolgreichen Angriffen. Viele Betroffene scheuen sich aus Imagegründen
vor einer offenen Kommunikation und nicht alle Opfer wissen, dass
sie Opfer eines erfolgreichen Angriffs wurden.
Der Nutzen einer Risikoanalyse liegt in der richtigen Balance zwischen der Höhe von Sicherheitsinvestitionen und dem Wert der
dadurch geschützten Informationen, IT-Systeme und Prozesse. Somit
wird ein wirtschaftlich sinnvoller Schutz möglich.
Der im Rahmen der Risikoanalyse ermittelte Schutzbedarf kann dann
sehr gut als Grundlage für ein entsprechendes Sicherheitskonzept
dienen. Des Weiteren liefert sie wertvolle Informationen darüber,
welche zusätzlichen Sicherheitsprodukte Sie einsetzen können um
Ihre Risiken zu minimieren.
26
3.3 Sicherheitsrichtlinien
Eine Sicherheitsrichtlinie (oft auch als „Security Policy“ bezeichnet)
bildet die Grundlage für alle Sicherheitsmaßnahmen innerhalb Ihres
Unternehmens. Die Erstellung dieser Policy sollte der erste Schritt für
Ihr weiteres Vorgehen sein.
Sie definiert allgemeine Regelungen, Prozesse und Richtlinien, diese
müssen für die Mitarbeiter bindenden Charakter haben. Die Umsetzung in konkrete Maßnahmen oder die Produkt- und Herstellerauswahl für Sicherheitsprodukte sollten auf der Grundlage einer Sicherheitsrichtlinie erfolgen und können in weiteren Dokumenten, so
genannten Security Standards, definiert werden.
Die Inhalte einer Security Policy werden gemeinsam und in enger
Abstimmung zwischen Unternehmensleitung, den IT-Sicherheitsverantwortlichen, dem Datenschutzbeauftragten, evtl. dem ComplianceBeauftragten und den Mitarbeitern (bzw. den Mitarbeitervertretungen) definiert.
Um eine Security Policy in der Praxis durchzusetzen und als akzeptierten Bestandteil der Unternehmensrichtlinien zu etablieren, muss
sie schriftlich niedergelegt, als Handlungsanweisung ausgegeben
und fortlaufend aktualisiert werden.
Formulieren Sie eine Sicherheitsrichtlinie und kommunizieren Sie
diese seitens der Geschäftsleitung an alle Mitarbeiter als verbindliche
Vorgabe.
27
3.4 Bewusstseinsbildung
Bei der Einführung von Sicherheitsrichtlinien ist es enorm wichtig, in
der Belegschaft für Verständnis für diese verpflichtenden Anweisungen zu sorgen. Nur durch die Identifikation mit den Nöten des Unternehmens und Verständnis für die neuen Maßnahmen werden die
Mitarbeiter diese – eigentlich verbindliche – Richtlinie auch umsetzen.
Denn Mitarbeiter und gerade Führungskräfte werden immer solche
Tätigkeiten für wichtiger erachten, die mit Wertschöpfung für das
Unternehmen verbunden sind , auch wenn sie den Sicherheitsvorgaben widersprechen. So wird etwa ein Vertriebsmitarbeiter, wenn es
dem Abschluss eines Geschäfts dient, einem Kunden schnell per
E-Mail ein unverschlüsseltes Angebot zukommen lassen, auch wenn
die Security Policy des Unternehmens dies eigentlich verbietet.
Dafür ist eine entsprechende Bewusstseinsbildung erforderlich, die Sie
mit Hilfe einer so genannten „Security-Awareness-Kampagne“ erreichen können. Die wichtigsten Elemente einer solchen Kampagne
sind:
■ Sicherheit ist Chefsache. Der Chef / die Geschäftsführung
muss mit Beispiel voranschreiten. Wie soll das Volk etwas gut
heißen, wenn der König es nicht tut? Dies sollte an einem
sichtbaren Beispiel demonstriert werden, etwa dass das
Smartphone PIN-geschützt ist.
■ Sicherheit ist emotional. Eine Awareness-Kampagne wird von
den Mitarbeitern nicht angenommen, wenn sie rein auf die
rationale Vermittlung von fachlichen Inhalten zielt. Um die
gewünschte Identifikation zu erreichen, muss mit emotionalen
Botschaften gearbeitet werden.
■ Technische Detailinformationen gehören nicht in die Kampagne. Wenn Mitarbeiter Interesse entwickeln, werden sie selbst
auf die Suche gehen. Ein gut sortiertes Web-Angebot etwa, mit
Verweis auf weiter führende Informationen, ist eine sinnvolle
Investition.
28
Um eine Verankerung im Unterbewusstsein bei den Mitarbeitern zu
erreichen, sollte die Kampagne – mit unterschiedlichen Inhaltsschwerpunkten – in einem gewissen Zeitraum mehrfach wiederholt
werden, etwa sechs Mal in zwei Jahren.
Konzipieren Sie eine Awareness-Kampagne. Diese kann schon aus
einem guten Poster und ein paar Flyern bestehen. Bilden Sie Schwerpunkte bei dem, was Sie an Bewusstseinsbildung erreichen wollen.
3.5 Was kostet Sicherheit?
Diese Frage lässt sich leider nicht mit der Nennung eines EuroBetrages beantworten, da die Kosten für IT-Security stark variieren
und vom jeweiligen individuellen Schutzbedarf, der Branche und dem
Wert der zu schützenden Informationen abhängig sind.
Die Zahl von 15 Prozent des gesamten IT-Budgets hat sich als repräsentativer Richtwert für die Investition in IT-Security etabliert.
Bitte beachten Sie, dass sich die Kosten für IT-Security aus mehreren
Positionen zusammensetzen, wovon einige bei der Kalkulation gerne
vergessen werden. Neben den reinen Hard- und Softwarekosten sollten folgende Punkte Berücksichtigung finden:
■ Kosten der Wartungsverträge für Hard- und Software
■ Monitoring der Systeme
■ Ausbildung der Administratoren und die ständige Aktualisierung dieses Wissens (bei Betrieb der Systeme durch eigenes
Personal)
■ Aufwände für Aktualisierungen und Konfigurationsänderungen der Systeme
■ Eventuell externer Second Level Support
■ Beratung bei der Auswahl und Einführung
■ Externe, neutrale Überprüfung der Systeme in regelmäßigen
Abständen
29
Wichtiger als Geldbeträge zu nennen, scheinen uns die folgenden
Ratschläge:
■ Informieren Sie sich ausführlich, bevor Sie Investitionen in ein
System tätigen und vergleichen Sie die Lösungen am Markt.
■ Wahren Sie ein gesundes Verhältnis zwischen dem Wert der
Informationen und den Investitionen zu deren Schutz.
■ Wenn Sie nicht der Geschäftsleitung angehören und eine von
Ihnen empfohlene und notwendige Investition in die Sicherheit abgelehnt wird, sollten Sie dies schriftlich fixieren, um
Ihre Sicherheitsbedenken bei eventuellen Schäden nachweisen zu können.
Um die Wirksamkeit von einzelnen Sicherheitsmaßnahmen gegeneinander abzuwägen, gibt es die so genannte Return on Security InvestKalkulation. Diese setzt den theoretischen Sicherheitsgewinn durch
die Maßnahme mit den Kosten K der Maßnahme in Relation. Der
theoretische Sicherheitsgewinn bestimmt sich aus dem Sicherheitsrisiko VOR Anwendung der Maßnahme minus dem Sicherheitsrisiko
NACH Anwendung der Maßnahme. Das Risiko ist das Produkt aus
Eintrittswahrscheinlichkeit p (bzw. p‘) und Schadenshöhe S (bzw. S‘). Als
Formel:
ROSI = (p*S - p‘*S‘) / K
30
Dies ergibt einen Wert, der auf jeden Fall größer 1 sein sollte. Dennoch
ist dieser Wert mit Vorsicht zu genießen, da bei der Bestimmung des
Risikos ja oft mit groben Schätzungen gearbeitet werden muss. Er
ist aber hilfreich, um die Nützlichkeit mehrerer möglicher Maßnahmen mit einander zu vergleichen.
3.6 Checkliste
■
■
■
■
Haben Sie einen „Security Management Prozess“ installiert,
in dem jährlich die Bedrohungen und die Maßnahmen abgeglichen werden?
Haben Sie eine Risikoanalyse durchgeführt, um die für Sie
wirklich relevanten Bedrohungen festzustellen?
Haben Sie eine Sicherheitsrichtlinie veröffentlicht?
Führen Sie regelmäßig Awareness-Maßnahmen und
Schulungen durch?
31
4 Sicherheit der Endgeräte
Unter „Endgeräten“ versteht man die Geräte, mit denen Personen
arbeiten, um Informationen zu verarbeiten, also PCs, Macs, Notebooks, Netbooks, Smartphones, Pads etc. Sie werden „End“-Geräte
genannt, da sie den Endpunkt der Kommunikation zu den meisten
Informationsquellen darstellen, also Web-Seiten, Anwendungssystemen, E-Mail-Servern und so weiter.
Im Gegensatz zur letzten Ausgabe dieser Fibel unterscheiden wir
nicht mehr den Typ dieser Geräte, da sich sowohl die Betriebssysteme als auch die Nutzungsszenarien derart angenähert haben, dass
aus der Sicherheitsperspektive heraus eine differenzierte Betrachtungsweise nicht mehr hilfreich ist.
Die wichtigsten Maßnahmen sind die folgenden:
■ Das Endgerät sollte immer auf dem neuesten Stand
bezüglich sein.
■ Die Firewall des Betriebssystems sollte immer angeschaltet
sein, um einen Schutz vor direkten Angriffen aus dem
Internet zu gewährleisten..
■ Die sichere Konfiguration des Web-Browsers sorgt für
maximale Sicherheit bei der Internetnutzung.
■ Der Viren-Scanner prüft E-Mails und aus dem Netz geladene
Inhalte auf Schädlinge (Viren, Würmer, Trojaner).
■ Der sorgfältige Umgang mit Passwörtern erschwert es Angreifern, sich unautorisierten Zugriff zum Beispiel auf
Ihr E-Mail-Konto zu verschaffen.
32
4.1 Aktualisierung des Betriebssystems
Die Sicherheit eines Betriebssystems steht und fällt mit seiner Aktualität. Der Grund hierfür ist, dass rund um die Uhr weltweit von
Hackern an Programmen gearbeitet wird, die Schwachstellen in
Betriebssystemen ausnutzen. Werden diese bekannt, wird vom Hersteller ein Update bereitgestellt, welches die Schwachstelle schließt
(auch Patch genannt). Wird nun ein Betriebssystem nicht regelmäßig
aktualisiert, wird es mit der Zeit immer anfälliger für Angriffe.
Alle modernen Betriebssysteme bieten inzwischen die Automatisierung der Updates. Nutzen Sie diese, und vermeiden Sie, dass Updates
„weggeklickt“ werden. Sofern dies dennoch passiert, sollten Sie
zumindest noch am selben Tag den Update-Prozess durchführen.
Aber nicht nur Betriebssysteme müssen aktualisiert werden, inzwischen werden auch Anwendungen auf PCs und Servern über bekannte Schwachstellen direkt angegriffen. Entsprechend sollten Sie auch
die Anwendungen regelmäßig aktualisieren bzw. die Verfügbarkeit
von Updates und Patches prüfen. Dies ist erforderlich, da die meisten
Anwendungen bisher keine automatisierte Prüfung durchführen.
33
4.2 Management von Updates und Patches
Die im vorherigen Kapitel beschriebene Notwendigkeit zur permanenten Aktualisierung von Software kann in einem lokalen Netzwerk
mit zahlreichen Rechnern schnell zu einem unüberschaubaren Problem werden. Die folgenden Tipps helfen Ihnen, auf dem Laufenden
zu bleiben:
■ Verwenden Sie wenn möglich ein System zur Softwareverteilung, um bei sicherheitsrelevanten Updates schneller reagieren zu können und den Aufwand der Installation zu reduzieren.
■ Versuchen Sie so wenig Ausprägungen und Varianten von
Betriebssystemen wie möglich in Ihrem Netzwerk zu betreiben.
■ Testen Sie Updates und Patches vor der Verteilung im Netzwerk auf einem Referenz- oder Testsystem, sofern Sie nicht
standardisierte Kombinationen von Anwendungen verwenden.
■ Nutzen Sie die Bordmittel des jeweiligen Betriebssystems
zur Automatisierung von Aktualisierungen (zum Beispiel die
Windows-Updatefunktion).
■ Abonnieren Sie einen Dienst, der Sie mit Informationen über
sicherheitsrelevante Updates zu Ihren Systemen versorgt.
4.3 Sichere Konfiguration
Endgeräte werden heute standardmäßig mit Internet-Verbindung
verwendet. Man muss daher grundsätzlich davon ausgehen, dass
Hacker versuchen, das Endgerät anzugreifen. Entsprechend ist die
sichere Konfiguration neben einer möglichst aktuellen Software
enorm wichtig. Dabei sind drei Komponenten von besonderer Bedeutung: die im Betriebssystem eingebaute Firewall sowie der Browser
und der E-Mail-Client (die technisch oft eng zusammenhängen).
34
4.3.1 Die Firewall des Betriebssystems
Jedes moderne Endgeräte-Betriebssystem (selbst von Smartphones
und Handys) hat heutzutage eine Firewall. Diese schränkt die Erreichbarkeit der auf dem Endgerät betriebenen Anwendungen, die von
„außen“ angesprochen werden könnten, ein. Dies ist neben dem
Schließen von Sicherheitsproblemen die wichtigste Schutzmaßnahme.
Manche Endgeräte erlauben erst gar nicht, die Firewall auszuschalten
oder umzukonfigurieren. Dies ist zum Beispiel bei Smartpads oder
Smartphones häufig der Fall. Im Sinne der Sicherheit ist dies ideal.
Aufwändigere Betriebssysteme ermöglichen aber oft eine individuelle Anpassung der Firewall. Hiervon sollte normalerweise Abstand
genommen werden. Häufig behaupten bestimmte Anwendungen
(insbesondere im Bereich des Social Networking), dass sie besondere Anforderungen an die Konfiguration der Firewall haben, aber die
Erfüllung dieser Anforderungen ist in den allermeisten Fällen auch
ohne eine Veränderung der sicheren Einstellungen möglich.
Vermeiden Sie auf jeden Fall eine Veränderung der Konfiguration der
Betriebssystem-Firewall und schalten Sie diese nicht aus!
4.3.2 Sichere Browser- und E-Mail-Client-Konfiguration
Egal, ob Microsoft Internet Explorer, Mozilla Firefox, Safari, Google
Chrome oder Opera – das Thema sichere Konfiguration des Browsers
wird oft unterschätzt. Aktive Inhalte und Skriptsprachen, sowie neue
Technologien für die Darstellung von Inhalten (wie zum Beispiel
Adobe Flash) bergen auch Gefahren.
35
Durch schadhafte Inhalte kann zum Beispiel der Zugriff auf lokale
Programme und Daten auf Ihrem PC ermöglicht werden. Ausspähen
von persönlichen Daten und die Protokollierung Ihres Surfverhaltens
sind ebenso möglich wie die unbemerkte Umleitung auf Seiten mit
schadhaften Inhalten. Wir empfehlen deshalb dringend, die Hilfedokumente des jeweiligen Browsers zu lesen und dem Kapitel, in dem
die Sicherheitseinstellungen erläutert werden, besondere Beachtung
zu schenken.
Bei Browsern, die die Verwendung von Plugins erlauben (etwa Mozilla
Firefox), ist das Risiko besonders hoch, denn viele Plugins hebeln die
eigentlich sichere Standard-Konfiguration der Browser wieder aus.
Behandeln Sie die Browser-Plugins also mit größter Vorsicht, und
informieren Sie sich vor dem Installieren über Sicherheitsprobleme
der Plugins!
Eine ähnliche Problematik liegt bei den Einstellmöglichkeiten Ihres
E-Mail-Clients (Mac OS Mail, Microsoft Outlook, Mozilla Thunderbird)
vor. Lassen Sie zum Beispiel beim Öffnen Ihrer E-Mails eine HTMLDarstellung zu, so können Sie sich die gleichen Viren und Würmer
wie mit dem Browser einfangen. Informationen zur sicheren E-MailClient Konfiguration finden Sie auf den Webseiten der jeweiligen
Hersteller.
Ausführliche Informationen zur sicheren Konfiguration Ihres Browsers
finden Sie auch hier:
http://www.heise.de/security/dienste/browsercheck/
Vermeiden Sie eine Veränderung der Konfigurationen von E-Mail- und
Browser-Programmen. Installieren Sie wenn möglich keine zusätzlichen Plug-Ins.
36
4.4 Malware-Schutz
Virenscanner helfen nicht nur gegen Viren, sondern inzwischen gegen
jede Form von Malware, also bösartigen Software-Elementen. Sie
können zum Beispiel automatisierte Angriffe mit Trojanern auf
Betriebssystemschwachstellen erkennen, bevor der Hersteller des
Betriebssystems ein Update geliefert hat. Sie schließen damit eine
wichtige Bedrohungslücke.
Auch prüfen Virenscanner längst nicht mehr nur Dateien auf der
Festplatte des Endgeräts (daher der Begriff „scannen“). Sie können
inzwischen in E-Mails hineinschauen, Dateien, die aus dem Internet
geladen werden, überprüfen und verdächtige Aktivitäten, die von
Bots herrühren könnten, identifizieren.
Bei den Virenscannern gibt es eine sehr große Produktvielfalt. Die
angebotenen Lösungen unterscheiden sich in ihrer Wirkung allerdings
kaum. Manche Lösungen sind bereits mit einer Personal Firewall
kombiniert oder bieten weitere Zusatzfunktionen (wobei der Mehrwert dieser Zusatzlösungen oft fraglich ist). Es gibt auch Lösungen
am Markt, die kostenfrei angeboten werden. Hier gilt es jedoch zu
beachten, dass die kostenfreie Verwendung in der Regel auf den rein
privaten Einsatz beschränkt ist. In vielen Fällen sind die Kosten auch
an das automatische Update der Virensignaturen gebunden.
Für bestimmte Endgeräte gibt es keine oder nur wenige Angebote,
dies sollten Sie evtl. bei der Entscheidung für eine EndgerätePlattform in Betracht ziehen.
Vertrauen Sie aber nicht allein den Virenscannern, denn die Angriffe
von Hackern werden immer intelligenter und die Virenscanner erkennen immer weniger der Angriffe.
37
Achten Sie beim Kauf darauf, dass das Produkt über eine automatische Updatefunktion verfügt! Vermeiden Sie die parallele Installation
von mehreren Virenscannern unterschiedlicher Hersteller, da hieraus
oft Konflikte resultieren.
4.5 Passwortschutz
Der Zugang zu einem Endgerät sollte grundsätzlich mit einem Passwort gesichert sein, unabhängig vom Typ des Endgeräts. Schließlich
liegen auf einem Endgerät nicht nur möglicherweise vertrauliche
Informationen, auch der Zugang zu Diensten und Anwendungen ist
darin konfiguriert und erlaubt Fremden uneingeschränkten Zugriff,
würden sie das Endgerät bedienen können.
Bei längerer Abwesenheit sollte man zusätzlich den Bildschirm sperren. Achten Sie darauf, dass Ihr Bildschirmschoner so eingestellt ist,
dass ein Passwort verlangt wird, wenn man wieder arbeiten möchte.
Auch wenn keine vertraulichen Daten auf dem Endgerät gespeichert
sind, wird so einer missbräuchlichen Verwendung in Ihrem Namen
vorgebeugt.
Unabhängig davon, ob Sie ein Passwort für das Betriebssystem, eine
Anwendung oder ein Internet-Angebot verwenden, möchten wir
Ihnen folgende Ratschläge geben:
■ Vermeiden Sie zu einfache Passwörter: Namen, Begriffe aus
dem Duden, Kfz-Kennzeichen oder Geburtsdaten sind unsicher. Verwenden Sie mindestens acht Zeichen mit verschiedenen Zeichensätzen (also nicht nur Buchstaben oder nicht nur
Zahlen).
■ Konstruieren Sie ein leicht einzuprägendes Passwort, indem
Sie sich einen einfachen Satz einprägen, wie zum Beispiel
"Ich benutze immer ein sicheres Passwort am Computer".
38
■
■
■
■
■
■
■
Verwenden Sie von diesem Satz den ersten Buchstaben jedes
Wortes. Im Beispiel ergibt sich das Passwort „Ibi1sPaC“.
Eine Alternative für ein gutes Passwort ist, zwei einfache Wörter, die gemeinsam keinen Sinn ergeben, hinter einander zu
stellen. Dabei sollte das Passwort aber mindestens 12 Stellen
haben. Beispiel „Elefantenrakete“.
Nutzen Sie keine Passwörter, die als Beispiele in einem Ratgeber genannt werden.
Ändern Sie die sogenannten Standard-Passwörter: Ersetzen
Sie voreingestellte Passwörter, zum Beispiel die des Herstellers bei Auslieferung von Computern, sofort durch eigene
Passwörter.
Ändern Sie Ihre Passwörter regelmäßig, aber nicht zu oft zum Beispiel alle zwei Jahre, aber sofort, wenn das Passwort
unberechtigten Personen bekannt geworden ist.
Gebrauchen Sie keine alten Passwörter nach einem Passwortwechsel.
Benutzen Sie für verschiedene Anwendungen unterschiedliche
Passwörter, teilen Sie die Anwendungen zumindest in verschiedene Gruppen ein. Internetbasierte Anwendungen sollten niemals die gleichen Passwörter haben wie solche, die Sie
für die Anmeldung an einer firmeninternen Anwendung verwenden.
Geben Sie Ihr Passwort immer unbeobachtet ein.
Seien Sie vorsichtig mit Ihren Passwörtern. Schreiben Sie Ihre
Passwörter nicht auf und geben Sie sie an niemanden weiter.
Sorgen Sie dafür, dass Ihre Mitarbeiter diese Regeln einhalten. Der
gelbe Post-It Zettel mit dem Passwort am Arbeitsplatz ist immer noch
die unangefochtene Nummer eins unter den Sicherheitslücken.
39
4.6 Biometrie
Zunehmend werden Endgeräte mit biometrischen Authentifizierungstechnologien, etwa einem Fingerprintsensor, ausgestattet. Biometrie
ist ein zweischneidiges Schwert: Auf der einen Seite steht hoher
Komfort und, bei Verwendung hochqualitativer Technologie, auch
eine gute Erkennungsrate, aber andererseits werden Authentifizierungsdaten gesammelt, die man nicht wieder zurückziehen kann.
Entsprechend ist die Akzeptanz oft nicht groß. Sofern Sie aber in
Ihrem Unternehmen keine Befindlichkeiten diesbezüglich haben, ist
der Einsatz von Biometrie durchaus interessant.
Neben Fingerprint-Sensoren, für die es Standard-Lösungen für die
Anmeldung zum Beispiel an Notebooks und Smartphones gibt, könnten auch noch die Spracherkennung und die „Tipp-Erkennung“ für
einen Einsatz interessant sein. Komplexere Lösungen, die man aus
Filmen kennt (etwa Irisscanner) sind für den Einsatz in kleinen Unternehmen ungeeignet.
Prüfen Sie, ob es für den Einsatz von biometrischen Verfahren in Ihrem
Unternehmen Vorbehalte gibt. Wenn nicht, könnte der Einsatz zum
Beispiel von Fingerprint-Sensoren für die Anmeldung an Endgeräten
eine interessante Alternative zu komplexen Passwörtern sein.
40
4.7 Verschlüsselung von Daten
Vertrauliche Daten sollten auf einem Endgerät zusätzlich geschützt
werden. Sie sollten auch dann noch sicher sein, wenn das Endgerät
einem Dieb in die Hände fällt oder von einem Hacker übernommen
werden kann. Entsprechenden Schutz bietet Verschlüsselung.
Es gibt in diesem Zusammenhang drei Varianten:
■ Die Festplatte wird vollständig verschlüsselt. Dies bietet sich
an, wenn man für das gesamte Unternehmen eine einheitliche, zentral administrierbare Lösung haben möchte. Dies geht
nicht bei allen Endgeräten, ist aber für die meisten StandardNotebooks verfügbar.
■ Es wird eine Datei als „verschlüsseltes Dateisystem“ angelegt, welches wie eine zusätzliche Festplatte wirkt. Dies bietet
sich für Freiberufler oder kleinere Unternehmen an, für die
eine zentrale Administration zu teuer ist.
■ Dateien werden einzeln verschlüsselt. Dies ist die flexibelste
Lösung, aber auch die am wenigsten kontrollierbare.
Betriebssystemhersteller bieten inzwischen Funktionen für alle drei
Varianten an. Oft ist der mitgelieferte Schutz für die meisten Bedürfnisse ausreichend, spezialisierte Lösungen unterscheiden sich durch
die bessere Administrierbarkeit.
Nutzen Sie für vertrauliche Daten immer eine Verschlüsselungssoftware. Der einfache Passwortschutz von Dateien (zum Beispiel in Word
oder PDF) ist nicht sicher, da dieser ohne größeren Aufwand oder
Fachkenntnisse umgangen werden kann. ZIP-Verschlüsselung hingegen ist inzwischen für kurzfristigen Schutz gut verwendbar.
41
4.8 Problemfall USB
Auch wenn USB an sich eine ausgesprochen komfortable Schnittstelle
darstellt, auf die kaum jemand verzichten möchte, birgt sie auch
Gefahren und Risiken. Folgende Punkte sollten sie berücksichtigen:
■ Über USB-Speichermedien (auch USB-Stick genannt) können
Viren und andere Schädlinge leicht ein Notebook oder PCSystem infizieren.
■ Über USB-Schnittstellen kann ein Notebook mit Funktionen
ausgestattet werden, die von der Administration nicht
geplant oder gewünscht sind (zum Beispiel UMTS-Funktionalität)
■ Vertrauliche oder firmeninterne Daten können auf einen USBStick geladen werden und auf diesem Weg unbemerkt illegal
außer Haus gelangen.
Im Prinzip ist es möglich, die USB-Schnittstelle zu deaktivieren. Bei
einfachen Lösungen kann es jedoch zu unerwünschten Nebenwirkungen kommen, so dass zum Beispiel die USB-Maus nicht mehr
verwendet werden kann. Professionelle Lösungen lassen eine Unterscheidung der angeschlossenen Geräte zu, so dass etwa die Nutzung
der Maus weiterhin möglich, der Datenstick jedoch verboten ist.
Solche Lösungen werden „EndPoint Security Policy Enforcement“
genannt.
Diese Lösungen sind sehr flexibel. So ist es zum Beispiel auch möglich,
nur „zertifizierte“ USB-Sticks zu erlauben, nicht zertifizierte werden
bei Benutzung an den Administrator gemeldet.
Überlegen Sie, ob die Kontrolle der USB-Ports für Sie sicherheitstechnisch Vorteile bringt. In vielen Fällen können bei der direkten InternetVerwendung die gleichen Risiken auch anders entstehen, daher
relativiert sich der Nutzen solcher Lösungen.
42
4.9 Data Loss Prevention
Was in dem letzten Abschnitt schon angedeutet wurde, stellt in der
Praxis ein immer größeres Risiko dar: das „Abziehen“ von vertraulichen Informationen und Übermitteln an externe Dritte, also Spionage. Dies kann über vielerlei Kanäle geschehen, vom Versenden per
E-Mail über Hochladen auf einen Web-Server oder - wie schon
genannt – Exportieren per USB-Stick bis hin zum Drucken oder gar
Abfotografieren von Bildschirminhalten.
Technisch firmieren die Lösungen, die einen ungewollten Abfluss von
Informationen kontrollieren sollen, unter „Data Loss Prevention“
(DLP) Tools.
Der Einsatz solcher Tools, seien sie auch noch so vielversprechend,
zur Verhinderung von Spionage ist mit Vorsicht zu betrachten. Zum
einen ist das Entwickeln von Prüfmustern, um die gewollte von der
unerlaubten Nutzung zu unterscheiden, recht aufwändig und mit
vielen Falschmeldungen versehen, zum anderen steht ein solches
Kontrollinstrument einer vertrauensvollen Mitarbeiterkommunikation deutlich entgegen. In bestimmten, stark schützenswerten Bereichen kann ein Einsatz aber durchaus sinnvoll sein.
Prüfen Sie, ob Sie Bereiche im Unternehmen haben, die überwiegend
mit vertraulichen Informationen arbeiten. Dort kann sich der Einsatz
einer DLP-Lösung bezahlt machen.
43
4.10 Checkliste
Die folgende Checkliste können Sie zur Prüfung des Sicherheitszustands eines einzelnen PCs verwenden.
■ Ist auf Ihrem System die Firewall aktiviert?
■ Sind alle vom Hersteller Ihres Betriebssystems empfohlenen
Sicherheitsupdates installiert?
■ Ist Ihr Browser aktuell und mit allen Sicherheitsupdates
versorgt?
■ Ist Ihr Browser sicher konfiguriert?
■ Ist ein lokaler Virenscanner auf dem System installiert und
wird dieser permanent aktualisiert?
■ Sind vertrauliche Daten auf Ihrer Festplatte verschlüsselt?
■ Ist der Zugang zu Ihrem System mit einem Passwortschutz
versehen?
■ Verwenden Sie sichere Passwörter?
■ Haben Sie Ihren E-Mail Client sicher konfiguriert?
■ Sind alle vom jeweiligen Hersteller Ihrer Betriebssysteme und
Anwendungen empfohlenen Sicherheitsupdates
installiert?
■ Verwenden Sie zur Verteilung solcher Updates eine zentrale
Lösung?
■ Ist der USB-Anschluss deaktiviert, bzw. ist er durch einen
Administrator kontrollierbar?
■ Gelten für Ihre PDAs und Smartphones gleich hohe Sicherheitsstandards wir für Ihre Notebook
■ Sind die Bluetooth- und Infrarotschnittstellen Ihrer Handys,
PDAs und Notebooks deaktiviert, wenn diese nicht verwendet
werden?
44
5 Sichere Firmennetzwerke
Grundsätzlich ist anzumerken, dass sich im Bereich der Netzwerkarchitekturen in den letzten Jahren viel getan hat. Dies ist insbesondere dadurch bedingt, dass durch die vielen „Cloud“-Angebote, also
Produktivitäts- oder Business-Anwendungen für Firmen im Internet,
und die Technologie der Virtualisierung vieles einfacher geworden ist.
In diesem Kapitel gehen wir auf die wichtigsten Sicherheitsaspekte
in Bezug auf eigene Netzwerke ein.
Unter einem lokalen Netz (auch LAN = Local Area Network genannt)
verstehen wir hier ein räumlich begrenztes Netzwerk, wie zum Beispiel PCs und Drucker in einem Gebäude oder einer Etage. Meistens
bestehen lokale Netze aus zahlreichen Arbeitsplatzrechnern, einem
oder mehreren Servern und zentralen Druckern, sowie Netzwerkkomponenten (zum Beispiel Switches). Das Ziel eines lokalen Netzes ist
die Zusammenarbeit der einzelnen Komponenten untereinander und
somit das Teilen von Ressourcen, wie zum Beispiel Drucker und
gemeinsame Dateiablagen.
Der Schutz eines lokalen Netzes erfolgt durch mehrere Komponenten:
Die Firewall regelt als „Pförtner“ die Kommunikation zwischen dem
lokalen Netz und dem Internet. Zentrale Content-Filter finden und
unterdrücken in von Ihren Mitarbeitern angeforderten Web-Seiten
Schädlinge oder unerwünschte Inhalte.
Virtuelle Private Netze (VPN) erlauben die Kopplung von Standorten
und Partnern über das Internet. Durch Authentifikation und Verschlüsselung ist die Sicherheit in einem VPN höher als bei dedizierten Leitungen oder Provider-Lösungen. Firewalls schränken für die Standortkommunikation, die Anbindung von Partnern oder Fernwartungszugänge die Kommunikation auf das notwendige Maß ein und verbessern so die Sicherheit Ihres lokalen Netzes.
45
Um als „Kunde“ Funknetze sicher nutzen zu können, kommen die
gleichen Schutzverfahren wie bei mobilen Mitarbeitern und Heimarbeitsplätzen zum Einsatz. Baut man hingegen eine WLAN-Struktur
selbst auf, so ist zusätzlich erhebliche Sorgfalt bei der Planung und
Implementierung der Sicherungsmaßnahmen erforderlich.
Wir gehen davon aus, dass das gesamte Netzwerk zentral mit dem
Internet verbunden ist.
5.1 Schutz vor Zugriff von außen
5.1.1 Zentrale Firewall
Wie bereits erwähnt sind lokale Netze in der Regel zentral an das
Internet angebunden. Dies erfordert zwingend einen wirkungsvollen
Schutz vor unberechtigten Zugriffen am zentralen Übergangspunkt
in das öffentliche Internet. Diese Aufgabe wird in der Regel durch
eine zentrale Firewall wahrgenommen. Sie regelt und steuert den Datenverkehr zwischen dem lokalen Netz und dem öffentlichen Internet.
Eine zentrale Firewall ist für ein Unternehmen mit zentraler Anbindung an das Internet zwingend erforderlich und stellt eine der Grundlagen für die Gesamtsicherheit dar.
In kleineren Betrieben mit bis zu fünf PC-Arbeitsplätzen reicht
in der Regel die Firewall aus, die der DSL-Router beinhaltet. Selbstverständlich ist auch bei diesen Firewall-Lösungen eine korrekte
Konfiguration unerlässlich.
46
Wenn nur der kleinste Zweifel an der Korrektheit der Konfiguration
besteht, sollte eine Überprüfung durch einen Spezialisten erfolgen.
Worauf muss man bei der Auswahl einer Firewall achten?
Sie sollten unbedingt darauf achten, dass die Firewall Ihrer Wahl
leicht erweiterbar ist und zukünftige Szenarien abdecken kann. Das
Produkt sollte leicht administrierbar sein und nicht mehr als ca. vier
Stunden pro Monat an administrativem Aufwand verursachen. Selbstverständlich kann der genannte Aufwand in Sondersituationen (zum
Beispiel mehrere sicherheitsrelevante Updates in einem Monat) von
dieser Schätzung abweichen.
Wichtig ist vor allem, dass Ihre Firewall immer auf dem neuesten
Stand ist, nur von geschultem Personal administriert und regelmäßig
von neutraler Stelle überprüft wird!
Einfache Überprüfungen werden über Internetseiten angeboten (zum
Beispiel http://www.auditmypc.com). Dort gibt man die Adresse seiner Firewall an und erhält kurze Zeit später einen Online-Bericht.
Bitte beachten Sie, dass solche automatisierten Tests nie eine professionelle Überprüfung durch einen IT-Dienstleister mit Schwerpunkt
Security-Tests ersetzen können.
47
5.1.2 Demilitarisierte Zone (DMZ)
Ein System ist „exponiert“, wenn es vom Internet aus erreichbar ist.
Beispiele hierfür sind Web- oder Mail-Server. Da aber jedes weltweit
erreichbare System prinzipiell gefährdet ist, sollten Sie Ihr lokales
Netzwerk auch vor Ihren exponierten Systemen schützen.
Hierzu wird eine so genannte „Demilitarisierte Zone“ (DMZ) aufgebaut.
Internet
Webserver
Mailserver
Internet
Zugangsrouter
Zentrale
Firewall
Netz der DMZ
DMZ
Lokales Netzwerk
Dabei handelt es sich um ein eigenständiges Netzwerk an einem
eigenen Anschluss Ihrer Firewall. Die Firewall kann so nicht nur die
Kommunikation zwischen dem Internet und den exponierten Systemen, sondern auch zwischen der DMZ und Ihrem lokalen Netz kontrollieren und einschränken.
48
Betreiben Sie eigene Server, so sollten Sie diese in eine DMZ stellen.
5.1.3 Zentraler Virenschutz
Im Unterschied zum lokalen Virenschutz ist in lokalen Netzwerken
ein zentraler Virenschutz ratsam. Dieser kann aus bis zu drei Komponenten bestehen:
■ Einem zentralen Gateway-Virenscanner, der alle Daten am
Übergang vom lokalen Netz zum öffentlichen Internet überprüft.
■ Einer zentralen Schutzlösung für die Endgeräte, die Updates
vom Hersteller bezieht und automatisch an die Endgeräte
verteilt.
■ Spezial-Scannern zum Schutz einzelner Server (zum Beispiel
Mailserver).
Sollten Sie sowohl einen Gateway-Virenscanner, als auch lokale Virenschutzsysteme einsetzen, empfehlen wir den Einsatz unterschiedlicher Hersteller. Dadurch wird die Erkennungswahrscheinlichkeit
gesteigert.
Moderne Netz-Zugangsdienstleister bieten inzwischen auch
Komplettpakete an, bei denen der Virenschutz bzw. Malware-Schutz
schon integriert ist. Dies ist gerade für kleinere Unternehmen mit
5 bis 50 Arbeitsplätzen sehr interessant.
Selbstverständlich gilt für alle Komponenten des zentralen Virenschutzes: Die Schutzfunktion ist nur bei permanenter Aktualisierung
des Scanners gegeben.
49
5.1.4 Sichere Nutzung des Internet
Neben einer sicheren Konfiguration des Browsers sind bei einem
zentralen Zugriff auf das Internet in einem lokalen Netz weitere
Schutzmaßnahmen empfehlenswert.
Ziel ist es, die Anwender und das lokale Netzwerk vor den Inhalten,
die der „Schmutzfink“ unter den beschriebenen Übeltätern publiziert,
zu schützen.
Um das Internet sicher zu nutzen, ist der Einsatz eines sogenannten
Proxy-Servers (auch kurz als „Proxy“ bezeichnet) sinnvoll. Er dient
als Stellvertreter für den Arbeitsplatz-PC, der nun seine Anfrage nach
einer Internetseite nicht direkt an den Webserver im Internet sendet,
sondern an den Proxy. Dieser ruft dann die angeforderte Seite ab und
stellt sie dem Arbeitsplatz-PC zur Verfügung.
Dieses Vorgehen ermöglicht die Kontrolle der abgerufenen Inhalte
auf bösartigen Code und den Einsatz von Filterlisten. Diese Filterlisten
können abonniert werden und enthalten die Adressen von Webseiten
mit zweifelhaften Inhalten, geordnet nach Kategorien wie zum Beispiel Pornografie, Glücksspiel oder Gewalt. Der Administrator kann
definieren, welche Seiten für den Anwender nicht zugänglich sind.
Ein weiterer Vorteil eines Proxy-Servers ist seine Fähigkeit, Internetseiten zwischen zu speichern. Bei statischen Seiten werden dem
Benutzer dann die Inhalte aus dem Speicher des Proxy zur Verfügung
gestellt und müssen nicht erneut vom Webserver geladen werden.
Wichtig beim Thema Proxy Server ist, dass durch die Speicherung von
Verbindungsdaten eventuell Rückschlüsse darauf gezogen werden
können, welcher Mitarbeiter zu welcher Zeit auf welche Webseiten
zugegriffen hat. Deshalb sollten Sie vor der Einführung eines solchen
Systems mit Ihrem Betriebsrat und Ihrem Datenschutzbeauftragten
sprechen.
50
Überlegen Sie, ob sich für Sie die Einführung eines Proxy-Servers
lohnt.
5.2 Sichere Mailverteilung
Es wird zunehmend sinnvoller, E-Mail-Dienste direkt aus dem Internet zu beziehen und keinen eigenen Mail-Server zu betreiben. Gerade aus Sicherheitssicht ist es von Vorteil, die Dienste der großen
Anbietern in Anspruch zu nehmen (zum Beispiel von 1und1 oder von
Google). Da aber viele noch den „klassischen“ Weg bevorzugen,
haben wir die Sicherheitsanforderungen für den eigenen Betrieb von
E-Mail hier mit aufgenommen.
Sowohl auf dem „Mail-Relay“ (dieses nimmt E-Mails vom Internet
an und leitet sie in das lokale Netz weiter) als auch auf dem „MailServer“ (auf ihm liegen die Postfächer Ihrer Mitarbeiter) müssen
verschiedene Schutzmaßnahmen implementiert werden:
■ Die zentrale Kontrolle auf Viren, Würmer oder andere, per
Mail verteilte Schädlinge erfolgt durch einen Viren-Scanner
auf dem Mail-Server (vgl. Kapitel 5.1.2). Dadurch werden
Schädlinge auch erkannt und vernichtet, wenn sie innerhalb
Ihres Netzes per Mail versendet werden.
■ Auf dem Mail-Relay erfolgt das Erkennen und gegebenenfalls
Löschen von unerwünschter E-Mail (SPAM). Die Postfächer
Ihrer Mitarbeiter werden so von Werbemüll weitgehend freigehalten. Aus rechtlichen Gründen sollten Sie Ihre Mitarbeiter
über die implementierten Filtermaßnahmen informieren und
den Betriebsrat frühzeitig in die Planungen einbeziehen.
■ Die sorgfältige Konfiguration des Mail-Relays bzw. des MailServers verhindert den Missbrauch Ihrer Mail-Infrastruktur
durch Spammer. Durch unsichere Konfiguration wird Ihr MailSystem nämlich zum sogenannten offenen Relay:
Ein Spammer kann über ein solches System auf Ihre Kosten
seinen Werbemüll an tausende Empfänger verteilen. Viele
51
■
E-Mail-Systeme verweigern außerdem den Empfang von elektronischer Post von solchen offenen Relays, was neben dem
finanziellen und Image-Schaden auch noch zu Kommunikationseinschränkungen führt.
Die sicherheitsrelevante Konfiguration eines Mail-Systems ist
grundsätzlich sehr komplex und sollte ausschließlich von
erfahrenen Administratoren durchgeführt werden. Schon kleine und auf den ersten Blick unbedeutende Fehler können
weit reichende Folgen haben! Da diese Erfahrung in der eigenen IT oft nicht vorhanden ist und der Aufbau dieser speziellen Kenntnisse mit hohen Kosten verbunden ist (Schulung,
Zertifizierung, fortlaufende Aktualisierung der Kenntnisse,
etc.) empfiehlt sich hier ein Outsourcing.
Zum besseren Verständnis zeigt die folgende Grafik den Verlauf einer
E-Mail vom Sender zum Empfänger:
Mailrelay
zentraler
des Empfängers Virenscanner
Ihr
Mailserver
z.B. 1&1
oder Stratoil
Internet
Ihr PC
(Absender)
PC des
Empfänger
Mailserver
Empfänger
Netzwerk
des Empfängers
Ihr Netzwerk
52
Überlegen Sie, ob sich ein selbst betriebener E-Mail-Server
(inkl. Kalender- und Kontakte-Funktion) wirklich lohnt, oft sind die
Angebote von spezialisierten Dienstleistern günstiger und sicherer.
5.3 Sicherheit für verbundene Netze
Ein VPN (Virtual Private Network = virtuelles privates Netz) verbindet
die Netzwerke der Standorte eines Unternehmens, Heimarbeitsplätze,
mobile Mitarbeiter, Lieferanten und Partnerfirmen über das öffentliche Internet.
Authentifizierung und Verschlüsselung sorgen dafür, dass Dritte die
ausgetauschten Daten weder lesen noch ändern können. Vergleicht
man das Internet mit dem Austausch von Informationen über den
klassischen Postweg, so sorgt das VPN für den Schutz Ihrer Postkarten und Briefe durch Einschließen in eine einbruchssichere Schatulle,
zu der nur der beabsichtigte Empfänger einen Schlüssel besitzt.
5.3.1 Netzkopplung von Standorten
Die Kopplung von Standorten erfolgt über die Firewall-Systeme der
einzelnen Niederlassungen („Site to Site VPN“). Dabei spielt es keine
Rolle, mit welcher Technik oder über welchen Anbieter die Standorte
mit dem Internet verbunden sind.
Da im Gegensatz zu dedizierten Verbindungen hier die Kommunikation vor dem Verlassen Ihrer IT-Systeme verschlüsselt wird, kann nicht
einmal der Provider Ihre ausgetauschten Informationen mitlesen.
VPNs stellen somit eine preiswerte und vor allem sicherere Alternative zu dediziert angemieteten Leitungen oder Provider-basierten
Lösungen (so genannten „Wide Area Networks“, WANs) dar.
53
Wie auch bei der Konfiguration der Firewall am zentralen InternetZugang, sollte für die Anbindung von Standorten das Minimalitätsprinzip gelten: Nur die wirklich erforderliche Kommunikation wird
erlaubt, also Web und E-Mail. Die Verwendung von Proxies, die
weitere Protokolle „tunneln“ können, sollte vermieden werden.
5.3.2 Einwahl von „mobilen Arbeitern“
Für die Anbindung von Heimarbeitsplätzen und mobilen Mitarbeitern
kommt eine PC-basierte Softwarelösung zum Einsatz. Auch diese
VPN-Technik ist unabhängig von der Art des Internet-Zugangs und
kann somit für DSL, Dial-In, WLAN und UMTS benutzt werden.
Bei der Anbindung von Heimarbeitsplätzen an das Netzwerk des
Unternehmens muss auf eine sichere bzw. starke Authentifizierung
geachtet werden. Weitere Informationen zum Thema Authentifizierung finden Sie in Kapitel 5.3.5.
Eine Alternative zu der Einbindung des Endgeräts mit VPN sind „Virtual Desktops“, also virtuellen Maschinen (vgl. Kapitel 5.6), an die
man sich über das Web anmelden kann (zum Beispiel Windows Terminal Services oder Citrix). Damit kann eine Sicherheitsprüfung des
Endgeräts entfallen, und im Prinzip ist damit der Zugriff von jedem
Internet-fähigen Rechner aus möglich. Auf jeden Fall sollte auch hier
eine starke Authentifizierung erfolgen.
Die Einbindung von mobilen Arbeitern ist inzwischen nicht nur Standard, sondern oft Voraussetzung für modernes Arbeiten. Entsprechend sollte eine Lösung flexibel, komfortabel und sicher sein.
54
5.3.3 Netzkopplung mit Partnern
Die Anbindung von Partnerfirmen und Lieferanten erfolgt analog zur
Ankopplung der eigenen Standorte über ein „Site to Site VPN“. Die
Partner verbinden sich also – unabhängig von Anwendungen – auf
Netzwerkebene. Allerdings sollten Sie nicht darauf vertrauen, dass
Ihre Partner die IT-Sicherheit genau so ernst nehmen wie Sie. Erlauben
Sie ihnen nur Zugriff auf die tatsächlich erforderlichen Systeme und
nur mit den tatsächlich benötigten Diensten.
Überlegen Sie aber, ob Sie dies wirklich benötigen, oft ist eine WebAnwendung für Partner ohne VPN einfacher zu realisieren.
Die für Ihre Partner erreichbaren Syteme sollten in einer eigenen
demilitarisierten Zone untergebracht werden ("Partnernetz"). Siehe
auch Kapitel 5.1.2.
5.3.4 Fernwartung durch Dritte
Häufig erfolgt die Fernwartung verschiedener Systeme durch Hersteller oder externe Dienstleister. Dabei sollten Sie, analog zur Anbindung
von Partnern, auf den Einsatz von VPNs oder zumindest auf verschlüsselte Fernwartungsverbindungen (zum Beispiel SecureShell SSH)
bestehen. Zusätzlich schränkt die Firewall die Fernwartungsverbindungen auf das notwendige Maß ein, das heißt sie kontrolliert, ob
das anfragende System zur Fernwartung berechtigt ist.
Besonders sicherheitsbewusste Unternehmen deaktivieren den ständigen Fernwartungszugang und schalten diesen nur bei Bedarf ein.
Eine Einwahl per Modem oder ISDN ist heute nicht mehr Stand der
Technik, da sie keine zentrale Kontrolle bzw. Protokollierung der Fernwartungstätigkeiten bietet, wie zum Beispiel bei einer Firewall, die
Zugriffe in einer Protokolldatei dokumentiert.
55
5.3.5 Authentifizierung
Die Verschlüsselung der ausgetauschten Daten in einem Remote
Access oder Partner VPN sorgt für Vertraulichkeit. Eine Personal Firewall auf dem mobilen System schützt vor Angriffen aus dem Internet.
Offen bleibt die Frage, wer sich tatsächlich am anderen Ende der
gesicherten Verbindung befindet.
Diese Frage wird mit Hilfe von Verfahren zur Authentifizierung beantwortet. Passwörter sollten hierfür nicht verwendet werden, da sie ein
zu großes Risiko darstellen.
Deshalb setzt man im sicherheitsbewussten Umfeld auf die Authentifizierung durch zwei Faktoren: Der Anwender benötigt zur Anmeldung zunächst ein Stück Hardware, wie beispielsweise eine Chipkarte oder einen Passcode-Generator.
Diese auch als „Token“ bezeichneten Geräte lassen sich weder durch
Beobachtung noch bei direktem Zugriff duplizieren. Der Verlust des
Tokens wird somit beim nächsten Anmeldeversuch bemerkt. Damit
der Angreifer mit einem erbeuteten Token nichts anfangen kann,
muss sich der Anwender zusätzlich durch ein Passwort oder eine PIN
identifizieren.
Erst durch das Zusammenspiel von Wissen (Passwort, PIN) und Besitz
(Token) können sich Anwender identifizieren.
Für die Anmeldung von mobilen Benutzern und Heimarbeitern sollte
die Zwei-Faktor-Authentifizierung Pflicht sein. Sie kann aber auch im
lokalen Netz selbst für die Identifikation von Anwendern eingesetzt
56
werden und sorgt so für eine durchgängiges Authentifizierungskonzept, auf dessen Basis den einzelnen Benutzern Zugriffsrechte, zum
Beispiel auf Server oder Dateien, zugewiesen werden können.
Natürlich möchten wir Ihnen nicht verschweigen, dass Lösungen zur
Zwei-Faktor-Authentifizierung komplex sind und somit relativ hohe
Kosten verursachen. Aus diesem Grund haben die wichtigsten Hersteller so genannte Mittelstandspakete geschnürt, die alles enthalten,
was zur sicheren Authentifizierung nötig ist und preislich an den
Markt angepasst sind. So erhalten Sie Komplettlösungen für 25 Mitarbeiter schon für deutlich weniger als 5.000 Euro.
5.4 Drahtlose Netze (WLAN)
Drahtlose Netze wie beispielsweise WLANs, GSM, UMTS oder Richtfunk gewinnen immer mehr an Bedeutung. Während die meisten
Firmen GSM, UMTS oder Richtfunkstrecken nur als „Kunde“ nutzen,
werden WLAN-Techniken häufig zum Aufbau eigener Netze verwendet und bedürfen daher sicherheitstechnisch besonderer Aufmerksamkeit.
5.4.1 Funknetze als Kunde verwenden
Die Nutzung von UMTS bzw. GSM zur Kommunikation über Mobilfunknetze oder des ständig wachsenden Angebots an WLAN-Hotspots
in Hotels, Flughäfen, Bahnhöfen oder Internet-Cafés führt zu einer
neuen Art von Bedrohung. Im Vergleich zu mobilen Mitarbeitern oder
Heimarbeitsplätzen erfolgt die Kommunikation nicht mehr drahtgebunden, sondern per Funk. Die erforderlichen Schutzmaßnahmen
(Remote Access VPN und starke Authentifikation) sollten auch hier
zum Einsatz kommen.
57
5.4.2 WLANs selbst aufbauen
Im Gegensatz zur Nutzung eines WLANs als Kunde erfordert der
Aufbau eines eigenen WLANs mittels sogenannter Access Points
zusätzliche Schutzmaßnahmen. Sie sind nun nicht mehr nur als
„Kunde“, sondern gleichzeitig auch als „Anbieter“ drahtloser Kommunikationsdienste tätig. Dies kann sogar unbeabsichtigt und unbewusst erfolgen, wenn Sie zum Beispiel vergessen, auf Ihrem neuen
(privaten) DSL-Router das von Ihnen nicht benötigte WLAN zu deaktivieren.
Im Gegensatz zu Ihrer kabelgebundenen Infrastruktur wird Ihr WLAN
nicht durch Mauern oder Türen geschützt. Ein Angreifer kann sich
aus der Ferne mit Ihrem WLAN verbinden, Daten ausspionieren oder
einfach Ihre Infrastruktur und Ihre Internet-Anbindung auf Ihre Kosten und auf Ihr Risiko mitbenutzen. Daher sollten die folgenden
Schutzmaßnahmen Beachtung finden:
■ Blockieren Sie die Administration Ihrer WLAN-Geräte über die
Funkschnittstelle! Dies ist in der Konfiguration oft leicht möglich.
■ Aktivieren Sie die Verschlüsselung der Funkstrecke. Hier sollte
WPA2 zum Einsatz kommen. Das oft anzutreffende Verfahren
WEP (Wire Equivalent Privacy) kann mittlerweile von Hackern
mit geringem Aufwand entschlüsselt werden.
■ Achten Sie darauf, dass Ihr Access Point unverschlüsselte
Verbindungen ablehnt.
■ Verwenden Sie zur Verschlüsselung sichere Passwörter
(vgl. Kapitel 4.5).
58
■
■
■
Handelt es sich um wenige PC-Systeme oder Notebooks, die
via WLAN kommunizieren, deaktivieren Sie die automatische
Vergabe von IP-Adressen (DHCP). Dies bewirkt, dass jemand
bei dem Versuch, sich unautorisiert mit Ihrem WLAN zu verbinden, keine Adresse aus Ihrem Netzwerk zugeteilt
bekommt.
Verlassen Sie sich nicht auf die MAC-Filterung. Diese bewirkt,
dass sich nur solche Notebooks mit Ihrem WLAN verbinden
können, deren MAC-Adresse in einer Positivliste enthalten ist.
Die MAC-Adresse Ihrer Netzwerkkarte ist eine eindeutige
Kennung, die herstellerseitig vergeben wird und einmalig ist.
Leider kann man diese Kennung leicht manipulieren.
Platzieren Sie Ihre Access Points in einer eigenen demilitarisierten Zone Ihrer Firewall (vgl. Kapitel 4.3) und schränken Sie
die Kommunikation von der WLAN-Zone in Richtung LAN und
Internet restriktiv ein.
So können Sie zum Beispiel für Gäste und Mitarbeiter ein WLAN
einrichten, dass mit einem Passwort geschützt ist. Dieses WLAN stellt
aber „nur“ Internet-Zugang zur Verfügung, so dass Mitarbeiter die
Remote-Access-VPN Lösung einsetzen müssen, um auf firmeninterne
Daten und Anwendungen zuzugreifen.
Die sicherste Lösung ist, WLAN komplett abzuschalten. Dies ist aber
oft nicht mehr sinnvoll, entsprechend sind die oben genannten Sicherheitseinstellungen vorzunehmen.
59
5.5 Netzwerküberwachung
Noch vor einigen Jahren war die Überwachung des Netzwerks ausschließlich für größere Unternehmen ein Thema. Inzwischen sind zum
einen die Standard-Produkte wie Firewalls und VPN-Lösungen in
diesem Punkt ausgereift, zum anderen gibt es auch Angebote für
kleine und mittelständische Unternehmen, die handhabbar und
bezahlbar sind.
Bei der Überwachung des Netzwerks geht es darum, Anomalien zu
entdecken und gegebenenfalls Angriffe zu identifizieren. Dazu zählen
Hacking-Angriffe, aber auch fremde, unerlaubte Rechner oder USBSticks, oder ein (zu) hohes Datenaufkommen.
Die zentrale, musterbasierte Erkennung von Hacking-Angriffen liefern
sogenannte Intrusion-Detection-Systeme (IDS). Sie sind entweder Teil
der Firewall oder bilden eigene Installationen. Bei IDS ist zu beachten,
dass diese System oft - systembedingt - Fehlalarme auslösen können,
sie erfordern also in der Praxis ein aufwändiges Feintuning.
Die Zusammenführung der Informationen erfolgt mit einem sogenannten Security Information and Event Management (SIEM) Tool.
Diese aggregieren Informationen aus verschiedensten Quellen (zum
Beispiel auch die Aktualität der Betriebssysteme von Rechnern im
Netz) und können neben einer Bedrohungsanalyse auch Analysen
von vorliegenden Angriffen liefern.
Prüfen Sie, ob eine Netzwerküberwachung für Sie in Frage kommt,
sprechen Sie mit Anbietern von IDS und SIEM-Systemen. Häufig ist
in diesem Bereich allerdings weniger mehr, d.h. je vollständiger die
Lösung, desto aufwändiger der Betrieb. Interessant ist eventuell die
Verwendung von „Managed Security Services“, also das Outsourcen
der Netzwerküberwachung (meist inklusive Firewall-Konfiguration).
60
5.6 Virtualisierung
Unter Virtualisierung versteht man die Verwendung von Betriebssystemen, die selbst in einer Software-Umgebung laufen statt auf einem
Rechner in Hardware. So genannte virtuelle Maschinen werden auf
den Gastgeber- oder Host-Systemen installiert, in denen dann GastBetriebssysteme laufen können.
Typischerweise wird Virtualisierung eingesetzt, um Anwendungen in
Testumgebungen laufen zu lassen, oder um eine bessere Auslastung
von Hardware zu erreichen. Zum Beispiel wird Web-Hosting inzwischen meist auf der Basis virtueller Maschinen angeboten. Sofern Sie
keine Software herstellen oder selbst entwickeln, ist Virtualisierung
für Sie vermutlich weniger interessant.
Für den sicheren Zugriff von „außen“ ist die Verwendung von Virtual Desktop Technologie (vgl. Kapitel 5.3.2) gegebenenfalls als Alternative zu VPN interessant.
Ein interessantes Szenario könnte aber dennoch sein, dass Sie für
Endgeräte virtuelle Maschinen bereit stellen, mit denen ein sicherer
Internetzugang möglich ist, oder mit denen man auf bestimmte
Anwendungen im Firmennetzwerk zugreifen kann (etwa SAP). Aus
Sicherheitssicht ist daran interessant, dass man die Sicherheitsanforderungen (oder oft auch die Sicherheit aushöhlenden Anforderungen
der Anwendungen) nicht auf den Endgeräten direkt umsetzen
muss.
Prüfen Sie, ob Sie Virtualisierung sinnvoll in Ihrem Unternehmen
einsetzen können. Komplexe sicherheitsbezogene Anforderungen
von bestimmten Anwendungen können damit oft leichter gelöst
werden.
61
5.7 Checkliste
Mit Hilfe der folgenden Checkliste können Sie den Sicherheitsstatus
Ihres Netzwerkes grob überprüfen.
■ Ist Ihr lokales Netz durch eine zentrale Firewall vor dem Internet geschützt?
■ Sind die Administratoren der zentralen Firewall für das
Produkt ausreichend geschult?
■ Wird die zentrale Firewall überwacht und regelmäßig
aktualisiert?
■ Ist auf der Firewall nur die Kommunikation erlaubt, die
tatsächlich benötigt wird?
■ Sind vom Internet aus erreichbare Systeme in einem
separaten Netzwerksegment (DMZ) aufgestellt?
■ Werden ein- und ausgehende Mails sowie lokal versendete
Mails zentral auf Viren und andere Schädlinge untersucht?
■ Werden die Virensignaturen auf dem zentralen Virenscanner
automatisch und regelmäßig (1x pro Tag, mindestens aber im
kleinsten Intervall das der Hersteller anbietet) aktualisiert?
■ Wird auf den Arbeitsplätzen ein anderes Virenscanner-Produkt
eingesetzte als am zentralen Übergang in das Internet?
■ Werden Ihre Internet-Downloads zentral auf Schädlinge überprüft?
■ Können Sie den Zugang zu dienstlich nicht relevanten Internetangeboten für Mitarbeiter und Auszubildende unterbinden, wenn dies gewünscht ist?
62
■
■
■
■
■
■
■
■
■
■
■
■
■
■
Verhindert Ihr Mail-Server den Versand und Eingang von
SPAM?
Ist die Kommunikation zwischen Ihren Standorten
verschlüsselt?
Ist die Kommunikation zwischen den Standorten auf das tatsächlich erforderliche Maß eingeschränkt?
Sind die für Partner erreichbaren Systeme in einer eigenen
DMZ untergebracht?
Wird die Kommunikation mit Ihren Partnern über ein VPN
abgewickelt?
Erfolgt der Fernwartungszugang zu Ihren Systemen über
SecureShell oder verschlüsseltes http?
Wird die Administration Ihrer WLAN-Systeme über die
Funkschnittstelle unterbunden?
Verwendet Ihr WLAN eine starke Verschlüsselung
(zum Beispiel WPA2)
Lehnt Ihr Access-Point unverschlüsselte Verbindungen ab?
Werden zur Verschlüsselung sichere Passworte verwendet?
Sind die Access Points in einem separaten Netzwerksegment
aufgestellt und von der Firewall geschützt?
Setzen Sie zur Identifikation Ihrer (Remote)Mitarbeiter eine
Zwei-Faktor-Authentifizierung ein?
Setzen Sie eine Überwachung Ihres Netzwerks ein, evtl. als
Managed Security Service?
Haben Sie geprüft, ob Virtual Desktops für Sie eine lohnende
Alternative zum VPN-Zugang darstellen?
63
6 Sichere Anwendungen
Viele Unternehmen betreiben Applikationen, die durchaus als
geschäftskritisch zu bezeichnen sind, weil entweder ein Großteil des
Umsatzes mit einer Applikation erwirtschaftet wird (zum Beispiel
Versteigerungsplattformen und Online-Buchläden) oder die Applikation an sich als Produkt vertrieben wird (zum Beispiel Softwarehäuser).
In beiden Fällen ist die Sicherheit der Applikationen für Ihr Geschäft
lebensnotwendig.
Angriffe müssen nicht immer auf Netzwerkebene erfolgen – immer
häufiger sind die Anwendungen selbst das Ziel des Angriffs.
Der Trend zum E-Business oder das erfolgreiche Erschließen neuer,
transaktionsbasierter Geschäftsfelder kann hierbei ungeahnte Gefahren mit sich bringen. Denn nicht selten sind die dafür maßgeblichen
Applikationen nur unzureichend vor individuellen Angriffen
geschützt.
Die Risiken:
■ Nutzer- und Administrationsrechte werden von Unbefugten
übernommen.
■ Daten werden entwendet, gelöscht oder missbräuchlich
manipuliert.
■ Der Betrieb des Systems kann nachhaltig gestört werden.
Die daraus resultierenden Schäden können beträchtlich sein. Wird
Ihre Web-Applikation durch ungesicherte Server und Datenbanken
erfolgreich in die Knie gezwungen, bleibt ein Vertrauensverlust seitens der Kunden nicht aus. Der Imageschaden für Ihr Unternehmen
ist nicht mehr zu verhindern.
64
In diesem Kapitel besprechen wir die wichtigsten Sicherheitsmaßnahmen für Software-basierte Anwendungen. Dazu zählen nicht nur
Web-Anwendungen, sondern beispielsweise auch soziale Netzwerke,
E-Mail oder IP-Telefonie.
6.1 Schutz von Internet-Auftritten
In vielen Fällen ist der Internetauftritt eines Unternehmens die elektronische Visitenkarte, die repräsentativen Zwecken dient oder Besucher mit Informationen versorgt. Somit ist Ihr Auftritt im Web ein
schützenswertes Gut. Ein ungeschützter Webauftritt kann schnell Ziel
eines Angriffs werden. Imageschäden durch nicht verfügbare Webseiten oder manipulierte Inhalte können die Folge sein. Durch das
Platzieren von illegalen Inhalten können neben rechtlichen Folgen
auch zusätzlichen Kosten durch erhöhten Datenverkehr entstehen.
Die folgenden Schutzmaßnahmen empfehlen wir dringend:
■ Wird der Webserver in den eigenen Räumlichkeiten betrieben,
sollte er in der DMZ (siehe Kapitel 5.1.2) aufgestellt werden.
■ Wird der Webserver bei einem Dienstleister betrieben
(dies sollte der Standard sein), sollten Sie darauf achten, dass
auch dort die Anforderungen an die Sicherheit des
Systems erfüllt werden. Neben einer Besichtigung der
physikalischen Schutzeinrichtungen vor Ort sollten Sie
sich die Maßnahmen zum Schutz der IT-Systeme auf
Seiten des Dienstleisters schriftlich bestätigen lassen.
■ Wenn vom Endanwender des Webangebots vertrauliche oder
persönliche Informationen an den Webserver übermittelt werden müssen (oder umgekehrt), sollten die Daten mittels SSL
(Secure Socket Layer) verschlüsselt werden. SSL ist die gängige Verschlüsselungstechnologie für Webinhalte.
65
■
■
■
Achten Sie dabei darauf, je nach Vertraulichkeitsstufe das
passende SSL-Zertifikat zu erwerben. Es gibt dort erhebliche
Unterschiede.
Professionelle Web-Seiten mit E-Commerce-Anwendungen
verwenden heute sogenannte „Extended Validation“-Zertifikate. Diese veranlassen den Browser, zusätzliche vertrauensbildende Ansichten zu verwenden (etwa: Web-Adresse oder
Web-Seiten-Betreiber in grün, besonders hervorgehoben).
Der Webserver sollte - wie jeder andere Server auch – immer
auf dem aktuellsten Stand sein und fortlaufend
mit Sicherheitspatches versorgt werden.
Lassen Sie regelmäßig Penetrationstests gegen Ihre Webseite
durchführen.
Eine sichere Web-Seite ist die Voraussetzung für eine erfolgreiche
Darstellung Ihres Unternehmens im Internet. Daher sollten Sie unbedingt diese grundlegenden Hinweise beachten.
6.2 Sichere E-Angebote
Bedingt durch die Interaktions- und Eingabemöglichkeiten für den
Benutzer bieten E-Commerce-Angebote weit mehr Angriffsmöglichkeiten als statische oder rein informative Internetseiten.
Angriffe auf E-Commerce-Anwendungen erfolgen in der Regel über
das Ausnutzen von Schwachstellen bei der Eingabeüberprüfung. In
der Praxis werden also in Standardeingabefelder (zum Beispiel Benutzername) ganze Zeilen mit Programmcode eingegeben, die dann die
Applikation veranlassen, etwa mehr Informationen preiszugeben als
erlaubt. Dies kann passieren, wenn die Eingaben in Formularfeldern
nur unzureichend überprüft werden.
66
Wie finde ich heraus, ob meine Anwendung sicher ist?
Generell gibt es zwei Möglichkeiten, um eine Anwendung auf deren
Sicherheit hin zu überprüfen. Sie können entweder den gesamten
Programmcode der Anwendung überprüfen oder mit einem Werkzeug
automatisiert (mit Hilfe sogenannter Security- oder ApplicationScanner) nach Sicherheitslücken suchen. Die Suche nach Sicherheitslücken kann selbstverständlich auch manuell erfolgen, bedeutet aber
einen deutlich höheren Aufwand. Wichtig ist, dass beide Varianten
durch erfahrene Spezialisten durchgeführt werden.
Wie kann man eine unsichere Anwendung schützen?
Sie sollten die entdeckten Schwachstellen auf jeden Fall durch eine
Anpassung des Programmcodes beheben. Leider ist dies in manchen
Fällen mit einem nicht vertretbaren Aufwand verbunden, bzw. dauert
eine gewisse Zeit. In diesen Fällen empfiehlt es sich, die Applikation
durch eine Spezial-Firewall zu schützen (so genannte Application
Layer Gateways oder Applikationsfirewalls). Diese überprüfen zum
Beispiel die Eingaben der Benutzer und blocken schadhafte Eingaben.
Da diese aber nur bestimmte Angriffe abblocken können (ähnlich wie
bei Antiviruslösungen), ist langfristig eine sichere Anwendung die
einzig sinnvolle Lösung.
Bedingt durch eine langwierige Entwicklung, sehr aufwändige
Anpassung an die zu schützende Anwendung und eine geringe Verbreitung solcher Speziallösungen entsteht ein hoher Preis. Dieser
kann je nach Anzahl der Verbindungen zur geschützten Anwendung
leicht 20.000,- € übersteigen.
67
Wie kann ich von Anfang an für eine sichere Anwendung
sorgen?
Es gibt inzwischen etablierte Prozesse für die sichere Softwareentwicklung. Fragen Sie den Dienstleister, der die Anwendung für Sie
baut, ob er seine Entwickler nach gängigen Schulungen (zum Beispiel
ISSECO) ausbildet und ob er etablierte Methoden einsetzt (zum Beispiel OWASP oder Microsoft SDL).
Die Entwicklung sicherer Web-Angebote ist aufwändig und nicht
umsonst zu haben. Fragen Sie die Anbieter nach Ihrer Kompetenz in diesem
Bereich und schreiben Sie die Anforderungen in den Verträgen fest.
6.3 Sichere Unternehmensprozesse
In welcher Branche Ihr Unternehmen auch tätig ist, das Ziel ist immer
dasselbe: Ihre individuellen Geschäftsprozesse müssen stets reibungslos funktionieren.
Um eine reibungslose Funktion sicherzustellen, reicht es nicht aus,
lediglich einzelne Systeme auf deren Sicherheit hin zu untersuchen.
Wichtig ist die Betrachtung des gesamten Prozesses, denn schließlich
sind Sie auf die Verfügbarkeit des Prozesses an sich und nicht auf die
Verfügbarkeit eines einzelnen Systems angewiesen. Wählen Sie ein
Vorgehen, bei dem herausgestellt wird, welche IT-Systeme für die
Funktion des Prozesses erforderlich sind und nehmen Sie dann eine
Prüfung aller beteiligten Systeme vor.
68
Dabei ist die Abhängigkeit der Systeme voneinander von Bedeutung.
Unter Umständen stellt sich heraus, dass die größte Schwachstelle
für einen Datendiebstahl gar nicht das System ist, von dem man es
annimmt.
Investieren Sie in die Analyse Ihrer Geschäftsprozesse im Hinblick
auf die Integrität und Vertraulichkeit von Daten, statt nur einzelne
Systeme zu betrachten.
6.4 Schutz der Vertraulichkeit bei E-Mails
E-Mails sind wie Postkarten und auf dem Transportweg für jeden
lesbar, der berechtigt oder unberechtigt Zugriff darauf hat. Abhilfe
schafft eine Verschlüsselung der Mails.
Warum werden Daten und E-Mails verschlüsselt und signiert?
■ Zum Schutz der Vertraulichkeit. Eine Nachricht oder
Datei darf nur für denjenigen lesbar sein, für den sie
bestimmt ist (Verschlüsselung).
■ Zum Schutz der Authentizität. Die Echtheit des Absenders
oder Urhebers soll gewahrt bleiben (Signierung).
■ Zum Schutz der Integrität: Eine E-Mail darf auf dem Weg vom
Absender zum Empfänger nicht verändert werden
(Signierung).
69
Die Verschlüsselung von E-Mails erfolgt in der Regel mit einem
privaten und einem öffentlichen Schlüssel. Das folgende Schaubild
erklärt dieses Verfahren:
Alice möchte Bob eine verschlüsselte Nachricht zusenden
1
Bob stellt Alice seinen
öffentlichen Schlüssel
zur Verfügung
2
Alice verschlüsselt den vertraulichen Text mit dem öffentlichen
Schlüssel von Bob
–> Danach kann der Text nur noch
mit dem privaten Schlüssel
von Bob entschlüsselt werden
Alice
Bob
Bund mit
öffentlichen
Schlüsseln
3
privater
Schlüssel
von Alice
4
Bund mit
öffentlichen
Schlüsseln
Alice übermittelt den
verschlüsselten Text
an Bob
Bob entschlüsselt den
vertraulichen Text mit
seinem privaten Schlüssel
= privater Schlüssel (private key)
privater
Schlüssel
von Bob
= öffentlicher Schlüssel (public key)
Abbildung 5: Asymmetrische Verschlüsselung
Wir empfehlen aufgrund der hohen Verbreitung den Einsatz der Techniken von PGP (Pretty Good Privacy) oder S/MIME (Secure Multipurpose Internet Mail Extension). S/MIME ist in allen gängigen E-MailProgrammen bereits integriert.
Mehr zu PGP, öffentlichen und privaten Schlüsseln erfahren Sie im
Internet unter http://de.wikipedia.org/wiki/Pretty_Good_Privacy.
70
Mehr zu S/MIME erfahren Sie im Internet unter
http://de.wikipedia.org/wiki/S/MIME.
Für S/MIME benötigen Sie X.509-Zertifikate. Diese müssen aber nicht
signaturgesetzkonform sein.
Einfache E-Mail-Verschlüsselungen gibt es heute schon für relativ
wenig Geld. Vertrauliche E-Mails unverschlüsselt über das Internet
zu versenden ist daher nicht mehr angemessen.
6.5 Sicherheit bei Outsourcing und Cloud Computing
Outsourcing nimmt immer mehr zu, und gerade für kleine und mittelständische Unternehmen sind die Angebote für alle Anwendungen
der IT in Web-basierter Form (Stichworte: Cloud Computing und Software as a Service) immer überzeugender. Da die Verwendung des
Internet inzwischen für fast alle Branchen zum Alltag gehört, kann
auch eine Versorgung für Anwendungen im Unternehmen durch
Cloud-Angebote sinnvoll vorgenommen werden – wenn die entsprechenden Sicherheitsanforderungen erfüllt sind.
Generell ist es aus Sicherheitssicht besser, professionelle Dienstleister in Anspruch zu nehmen, anstatt zu versuchen, die Sicherheit für
eine bestimmte IT-Plattform selbst zu verantworten. Dafür sprechen
die fokussiertere Ausbildung und das Geschäftsinteresse, die Services
auch sicher anzubieten – sonst wandern die Kunden relativ schnell
wieder ab.
Dagegen spricht, dass Daten in der Cloud prinzipiell mehr Angriffen
ausgesetzt sind, und dass meist auch andere Anwender (unter
Umständen auch Konkurrenten) bei dem gleichen Dienstleister Kunde
sind.
71
Prüfen Sie daher die Vertrauenswürdigkeit des Dienste-Anbieters.
Lassen Sie sich überzeugen, dass die verschiedenen Kundendaten
sauber getrennt verarbeitet werden. Lassen Sie sich Prüf- und Ausbildungsnachweise für die sichere Entwicklung und den sicheren
Betrieb der Anwendung zeigen.
Sicherheit ist aber nicht nur eine Sache des Vertrauens, sondern auch
der Kontrolle. Entsprechend sollten Kontrollen beim Dienstleister (ob
Cloud Service oder klassisches Hosting) möglich sein. Auch wenn Sie
sie nicht durchführen, sollten Sie zumindest die Möglichkeit haben,
sie anzudrohen – und im Ernstfall auch zu beauftragen.
Schließlich ist es wichtig, dass Sie immer über den aktuellen Sicherheitsstatus Ihrer Daten informiert sind. Entsprechend sollte der
Dienstleister dazu verpflichtet werden, Sie bei sicherheitsrelevanten
Vorkommnissen (es wurde eine Schwachstelle entdeckt, es wurde
ein Angriff durchgeführt, es sind Daten „geklaut“ worden), umgehend zu informieren.
Lassen Sie sich vertraglich zusichern, dass bestimmte Sicherheitsmaßnahmen eingesetzt werden, und dass Sie das Recht haben, Kontrollen durchzuführen. Nehmen Sie so genannte „Protection Level
Agreements“ (auch: „Security Service Level Agreements“), die eingesetzten Sicherheitsmaßnahmen, Kontrollmöglichkeiten und Informationspflichten in Ihre Verträge mit auf.
Datenschutz spielt bei Hosting und Cloud eine besondere Rolle. Diese
Aspekte werden in dem Kapitel 8 „Datenschutz“ behandelt.
72
6.6 „Social Media“ im Unternehmen
XING, LinkedIn, Facebook oder Twitter haben Einzug in die Unternehmenskommunikation gehalten. Gerade kleine Anbieter haben durch
den Einsatz dieser modernen Tools eine enorme Reichweite und können in Marketing und Kundenbindung große Erfolge aufweisen.
Doch die Nutzung dieser Tools ist auch mit Vorsicht zu genießen: Sie
erlauben es, vertrauliche Dokumente zu verteilen, und bieten selbst
eine den Hackern wohlbekannte Angriffsplattform. Auf Facebook
können Mitglieder sogar eigene Applikationen schreiben. Diese können natürlich, genau wie jede andere Web-Seite, gefährliche Inhalte
verbergen.
Darüber hinaus stellen Sie aber kein generelles Sicherheitsproblem
dar.
Verwenden Sie Social Media Tools mit der gleichen Vorsicht, wie Sie
auch mit externen Web-Seiten umgehen.
6.7 IP-Telefonie
Zunehmend wird das klassische Telefon mit analoger Übertragung
durch digitale Varianten ersetzt. Selbst klassische Telefongespräche
werden über die Weitverkehrsstrecken oft schon digitalisiert übertragen.
Neue Telefonanlagen sind inzwischen komplett digitalisiert bis hin
zum Telefon, für dessen Anschluss kein Telefon- oder ISDN-Kabel mehr
notwendig ist, sondern ein Netzwerkkabel. Der Einsatz ist äußerst
flexibel und erlaubt sehr einfach, auch physisch getrennt sitzende
Kollegen virtuell in einer gemeinsamen Telefonanlage zusammen zu
bringen.
73
Damit sind aber auch Risiken verbunden. Da die IP-Telefonie in der
Regel unverschlüsselte VoIP-Kommunikation verwendet, sind den
klassischen Angriffen, wie man sie auch von E-Mail kennt, Tür und
Tor geöffnet.
Verwenden Sie daher VoIP mit einer firmenexternen Telefonzentrale
nur mit Verschlüsselung. Fragen Sie Ihren Telekommunikationsdienstleister nach entsprechenden Merkmalen.
■
■
■
■
■
■
■
■
Ist der Webserver in einem eigenen Segment aufgestellt
und von der zentralen Firewall geschützt?
Wird Ihr Webserver regelmäßig aktualisiert?
Falls Sie Web-basierte Anwendungen anbieten:
Wurden diese auf Schwachstellen hin überprüft?
Bieten Sie Ihren Besuchern bei der Übermittlung von Date
einen verschlüsselten Zugang an (SSL)?
Wurden Ihre Anwendungen auf Sicherheitslücken hin
überprüft?
Sollten Sie bei einer Anwendung Sicherheitslücken aufgedeckt
haben: Wurden diese beseitigt oder wird die Applikation von
einer Spezial-Firewall geschützt?
Haben sie die Qualifikation der Web-Entwickler Ihres Dienstleisters abgefragt?
Haben Sie Sicherheitsstandards in den Verträgen mit Ihren
Dienstleistern festgelegt?
74
■
■
■
■
■
■
Lassen Sie sich Sicherheitsmeldungen von Ihrem Dienstleister
unverzüglich berichten?
Haben Sie Prüfungen der Sicherheit in den Verträgen mit
Ihren Dienstleistern vorgesehen?
Haben Sie die relevanten Unternehmensprozesse in ihrer
Ganzheit betrachtet, wenn Sie die erforderliche Sicherheit der
Systeme definiert haben?
Haben Sie E-Mail-Verschlüsselung im Einsatz, zumindest
für vertrauliche E-Mails?
Haben Sie die Vertrauenswürdigkeit Ihres Cloud-Diensteabieters geprüft?
Haben Sie „Protection Level Agreements“ definiert?
Verwenden Sie IP-Telefonie bei einem externen Anbieter
nur mit Verschlüsselung?
75
7 Datenverfügbarkeit
Der Schwerpunkt dieses Buches liegt auf dem Bereich Security.
Dennoch möchten wir im Folgenden kurz die Themen aus dem Bereich
„Safety“ erwähnen, die untrennbar mit der Security verbunden
sind.
7.1 Die Datensicherung
In vielen Unternehmen sind die gespeicherten Daten zum wichtigsten
Gut geworden. Deshalb ist die regelmäßige Durchführung einer ordnungsgemäßen Datensicherung unerlässlich. Folgende Methoden
der Sicherung werden unterschieden:
■ Bei der Vollsicherung werden alle zu sichernden Dateien zu
einem bestimmten Zeitpunkt auf einen zusätzlichen Datenträger gespeichert.
■ Bei der differentiellen Datensicherung wird zunächst eine
Vollsicherung erstellt. An den Folgetagen eines Sicherungsintervalls wird alles gespeichert, was sich seit der letzten Vollsicherung geändert hat. Der Vorteil liegt im geringeren
Speicherbedarf im Vergleich zur dauerhaften Vollsicherung.
Nachteil: Bei der Wiederherstellung muss neben der Vollsicherung auch das jüngste differentielle Backup eingespielt werden.
■ Bei der inkrementellen Datensicherung wird immer die
Veränderung zur letzen Sicherung gespeichert. Nachteil:
Bei der Rücksicherung müssen das Vollbackup und alle
inkrementellen Sicherungen zurückgespielt werden.
Vorteil: Noch weniger Speicherbedarf als die differentielle
Sicherung.
76
Bitte beachten Sie, dass eine Datensicherung nur dann wirksam vor
Datenverlust schützt, wenn regelmäßig eine Rücksicherung der Daten
simuliert wird, um die Konsistenz der gesicherten Daten zu überprüfen. Zusätzlich empfehlen wir die Lagerung besonders kritischer
Daten außerhalb des Gebäudes (zum Beispiel in einem Bankschließfach), aber auf jeden Fall außerhalb des Raumes, in dem Ihr Originalsystem steht. Optimal ist eine Nutzung beider Lagerorte (eigenes
Unternehmen und externes Gebäude).
Aus Datensicherungsgründen sind Outsourcing- und Cloud-Angebote besonders interessant, da diese Aspekte komplett auf der Seite
des Dienstleisters liegen, und damit für Sie kein Problem mehr darstellen.
Sichern Sie nicht nur Server, sondern auch die Endgeräte. Speicherplatz wird immer günstiger, und in einem Ernstfall ist es ein großer
Vorteil, wenn auch das Endgerät inklusive aller nicht zentral abgelegten Daten wieder eingespielt werden kann. Hierfür gibt es verschiedene, sehr komfortable Lösungen.
7.2 Die Notfallplanung
Jedes Unternehmen kann Opfer einer Naturkatastrophe, eines erfolgreichen Hacker-Angriffs oder eines kriminellen Anschlags werden.
Auch der Ausfall einer Arbeitsgruppe oder einer wichtigen Person
kann sich schnell zu einem unternehmensbedrohenden Notfall entwickeln.
77
In solch einem Fall gilt es, schnell und systematisch zu analysieren,
was passiert ist. Sie müssen herausfinden, ob es Schäden gab und
wie schwerwiegend diese einzustufen sind. Dabei helfen Notfallpläne. In einem Notfallplan werden Maßnahmen und Verantwortlichkeiten genau festgelegt, damit im Ernstfall planvoll gehandelt
werden kann. Der Notfallplan sollte zum Beispiel Auskunft darüber
geben,
■ wie ein Vorgang einzustufen ist,
■ wer darüber in Kenntnis zu setzen ist,
■ was als nächstes zu tun ist,
■ wie die Kontrolle über ein System zurück erlangt wird,
■ ob und wie flüchtige Daten gesichert werden,
■ ob und wie aktive Netzwerkverbindungen getrennt werden,
■ wie eine Beweissicherung durchgeführt wird.
7.3 Business Continuity Management
Einen Schritt weiter als die Notfallplanung geht das Business Continuity Management. Mit Hilfe einer so genannten Business-ImpactAnalyse wird für die wichtigsten Unternehmensprozesse untersucht,
welche Systeme und Ressourcen bzgl. eines möglichen Ausfalls am
kritischsten sind.
Um nun den Ausfall zu minimieren, kann man Maßnahmen ergreifen,
die die Verfügbarkeit der betroffenen Systeme und Ressourcen verlängern. Zum Beispiel würde eine unterbrechungsfreie Stromversorgung (USV) die Verfügbarkeit der IT-Systeme bei einem Stromausfall
sichern.
Prüfen Sie Ihre kritischen Prozesse auf Ausfallsicherheit und überlegen Sie, ob sich eine Verlängerung der Verfügbarkeit bestimmter
Systeme und Ressourcen für Sie lohnt.
78
7.4 Physikalischer Schutz
Wenn Sie IT-Systeme im eigenen Haus betreiben oder ein System
in einem Rechenzentrum unterstellen möchten, sollten Sie auf die
folgenden Kriterien achten:
■ Wie gut ist der Standort gegen Feuer geschützt? Gibt es eine
automatische Löschanlage?
■ Wie ist der Standort mit Strom versorgt? Gibt es ein ausreichend dimensioniertes Notstromsystem?
■ Sind die Systeme ausreichend mit Kühlung versorgt? Ist die
Klimaanlage redundant ausgelegt?
■ Ist der Standort ausreichend gegen Einbruch und Diebstahl
gesichert? Gibt es eine Zutrittskontrolle?
■ Ist der Standort eines Servers redundant über zwei verschiedene Provider an das Internet angebunden?
7.5 Checkliste
■
■
■
■
■
■
Werden Ihre Daten regelmäßig auf einen externen Datenträger gesichert?
Wird der Erfolg Ihrer Sicherungsläufe kontrolliert?
Testen Sie in regelmäßigen Abständen das Rücksichern
Ihrer Backups?
Haben Sie besonders wichtige Datensicherungen extern
verwahrt (zum Beispiel im Bankschließfach)?
Haben Sie für Ihre kritischen Systeme und Prozesse Pläne für
den Notfall erstellt?
Haben Sie eine Business Impact Analyse durchgeführt?
Sind Ihre Systeme im und außer Haus ausreichend vor Feuer,
Wasser, Stromausfall, Diebstahl und Sabotage geschützt?
79
8 Datenschutz
In vielen Fällen wird dem Datenschutz nur unzureichende Aufmerksamkeit gewidmet, da er zum Kerngeschäft eines Unternehmens
meist keinen produktiven Beitrag leistet. Datenschutz wird somit oft
nur als „Kostenfaktor“ betrachtet, der dem Unternehmen keinen
direkten Vorteil oder Nutzen bringt.
So ist es verständlich, dass zum Beispiel eine Videothek den Datenschutz kaum oder nur mit niedriger Priorität betrachtet, da das Kerngeschäft das Verleihen von Videos und DVDs ist. Dennoch wäre es
stark geschäftsschädigend, wenn Dritte erfahren würden, wer welche
Filme ausgeliehen hat. Zusätzlich könnten die betroffenen Personen
rechtliche Schritte unternehmen.
Welche Daten sind betroffen?
Daten im Sinne der Datenschutzgesetzgebung sind immer personenbezogene Daten. Dies können sowohl Mitarbeiter- als auch Kundendaten sein. Seit 2009 sind explizit auch "Beschäftigte" als Zielgruppe
benannt.
An dieser Stelle ist es wichtig zu betonen, dass Datenschutz im eigenen Interesse eines Unternehmens einen hohen Stellenwert genießen
muss. Grund sind Risiken wie Image- und Vertrauensverlust, Unzufriedenheit von Kunden und in extremen Fällen Kosten durch Bußgeld-, Straf- und Schadensersatzverfahren, wenn Daten in falsche
Hände geraten und solch ein Fall gemäß Bundesdatenschutzgesetz
(BDSG) zur Anklage kommt.
80
Grundsätzlich gilt: Um den Grundschutz von personenbezogenen
Daten zu gewährleisten, sollte die Nutzung elektronischer Medien
nach dem Prinzip der Datensparsamkeit erfolgen. Es sollten so wenig
personenbezogene Daten wie möglich erfasst, erhoben, gespeichert
und verarbeitet werden.
Weitere Informationen und einen kostenlosen Datenschutz-Kurzcheck
finden Sie auf der Web-Site der Gesellschaft für Datenschutz und
Datensicherung e. V. (GDD).
http://www.gdd.de
8.1 Die wichtigsten Maßnahmen
Zur Gewährleistung werden durch den Gesetzgeber konkrete
Maßnahmen gefordert, es gibt Vorschriften zu den Themen:
■ Zutrittskontrolle
■ Zugangskontrolle
■ Zugriffskontrolle
■ Weitergabekontrolle
■ Eingabekontrolle
■ Auftragskontrolle
■ Verfügbarkeitskontrolle
■ Datentrennung
81
8.2 Auftragsdatenverarbeitung
Sofern Sie personenbezogene Daten verarbeiten, sind einige Sicherheitsmaßnahmen einzuhalten. Sie sind aber auch für die Einhaltung
dieser Maßnahmen verantwortlich, wenn die Daten nicht bei Ihnen
verarbeitet werden, so zum Beispiel wenn Sie Mitarbeiter- oder Kundendaten „in der Cloud“ verarbeiten lassen.
In der Novelle des BDSG von 2009 wird in §11 beschrieben, unter
welchen Bedingungen die Auftragsdatenverarbeitung erfolgen darf,
bzw. welche Anforderungen in den Vertrag mit dem Dienstleister
aufgenommen werden müssen. Zudem ist es erforderlich, dass die
Einhaltung der Maßnahmen „aktiv kontrolliert“ werden muss, insbesondere vor der Aufnahme der Verarbeitung der Daten.
Dies gilt insbesondere für Cloud Services und Hosting.
Bei Cloud Diensten kommt noch eine besondere Schwierigkeit hinzu:
Die Übermittlung personenbezogener Daten in „unsichere“ Staaten
ist nur unter großen Einschränkungen erlaubt .Unter anderem muss
hier die Sicherstellung der Persönlichkeitsrechte gewährleistet werden, etwa durch Verschlüsselung der Daten.
Prüfen Sie, ob Sie bereit sind, personenbezogene Daten einem CloudAnbieter zu übergeben. Eventuell hat der Cloud-Anbieter auch eine
„regionale“ oder „nationale“ Cloud, um diesem Problem begegnen
zu können.
82
8.3 Der Datenschutzbeauftragte
Die betrieblichen Datenschutzbeauftragten (DSB) sind wichtige
Ansprechpartner in Fragen des Datenschutzes für die Beschäftigten
in den Unternehmen. Die Datenschutzbeauftragten haben die Aufgabe einer internen Selbstkontrolle wahrzunehmen. Sie ergänzen die
externe Kontrolle durch den Bundesbeauftragten und die Landesbeauftragten sowie die weiteren Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich. Mit der Novelle des Bundesdatenschutzgesetzes von 2009 sind die Rechte das DSB explizit
gestärkt worden.
Es gibt die Möglichkeit, einen internen DSB zu ernennen, also einen
Beschäftigten. In diesem Fall genießt diese Person besonderen Kündigungsschutz. Alternativ kann man auch einen externen DSB bestellen, dies wird von zahlreichen Dienstleistern (Kanzleien) angeboten.
Unternehmen müssen einen Datenschutzbeauftragten bestellen,
wenn mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten (zum Beispiel mit PCs) beschäftigt
sind oder Zugriff auf diese Daten haben. Bei einer nicht automatisierten Datenverarbeitung (zum Beispiel Karteikarten) gilt diese Regel
erst ab 20 Personen.
83
9 Schlusswort
Auf den vergangenen 83 Seiten haben wir versucht, Ihnen einen
Überblick über die Sicherheitsprobleme neuer IT-Technologien zu
vermitteln. Da täglich neue Sicherheitslücken aufgedeckt werden, ist
es notwendig, sich in Sachen Security ständig auf dem Laufenden zu
halten. Die nachfolgend angeführten Links mögen Ihnen dabei eine
Hilfe sein.
Dennoch, trotz aller Bedrohungen bringt der Einsatz moderner ITTechnologien mehr Nutzen als Schaden. Voraussetzung dafür ist
allerdings eine intelligente IT-Security. Wenn Sie hier an Ihre Grenzen
stoßen, sollten Sie sich auf professionelle Hilfe verlassen. Die Kenntnis der Bedrohung ist der wichtigste Schritt in Richtung Sicherheit.
Die konkrete Absicherung ist dann meist mit vergleichsweise geringem Aufwand möglich.
Am Beginn einer sorgenfreien Nutzung neuer Technologien steht das
Wissen über deren Gefahren.
Diesen ersten Schritt haben Sie mit der Lektüre dieses Buches erfolgreich gemeistert.
Bleiben Sie am Ball!
84
Weiterführende Informationen
Homepage von Deutschland sicher im Netz e.V.:
https://www.sicher-im-netz.de
Informationen zur Sicherheit im Allgemeinen
http://www.mittelstand-sicher-im-internet.de
http://www.bsi.de/
http://www.hamburg-newmedia.net/
Aktuelle und verständliche Sicherheitsmeldungen
http://www.bsi-fuer-buerger.de
Informationen rund um den Datenschutz
http://www.bfd.bund.de
Informationen zu ITIL
http://www.itil.org/
Online-Überprüfungen
http://www.heise.de/security/dienste/browsercheck/
http://www.heise.de/security/dienste/itssecure/
Alles zur Sicherheit im Microsoft-Umfeld
http://www.microsoft.com/germany/ms/security/default.mspx
Sicherheit in der Software-Entwicklung
http://www.owasp.org
http://www.isseco.org
85
Glossar
BIA
Biometrie
Chat
DLP
DMZ
Exponiertes System
GDD
GSM
Hoax
IDS
IP
KonTraG
LAN
MAC-Adresse
Business Impact Analyse, zur Feststellung
von Schwachpunkten bei der
Sicherstellung der GeschäftsprozessVerfügbarkeit
Technologien zur Authentifizierung unter
Verwendung von biometrischen Merkmalen
Virtuelle „Plauderei“
Data Leakage Prevention, Tools zur Verhinderung von unbemerktem Abfluss von
Know-How
Dabei handelt es sich um ein dediziertes
Netzwerk an einem eigenen Anschluss
Ihrer Firewall. Die Firewall kann so nicht
nur die Kommunikation zwischen dem
Internet und den exponierten Systemen,
sondern auch zwischen der DMZ und
Ihrem lokalen Netz kontrollieren und
einschränken.
System, welches aus dem Internet erreichbar ist
Gesellschaft für Datenschutz und
Datensicherung e. V.
Global System for Mobile Communication
Elektronische „Zeitungsente“
Intrusion Detection System, System zur
Überwachung des lokalen Netzes
Internet Protocol
Kontroll und Transparenzgesetz
Local Area Network, lokales Netzwerk
Hersteller-Kennzeichen einer Netzwerkkarte, welches diese eindeutig identifiziert
86
Makro
Newsgroup
OS
OWASP
Patch
PDA
PGP
PLA
Phishing
PIN
Proxy
ROSI
S/MIME
Security Policy
Sniffer
Spam
SSID
Automatismus zur Wiederholung von
Programmabläufen
Elekt.Diskussionsforen
Operating System, Betriebssystem
Open Web Application Security Project,
offenes Projekt mit dem Ziel, Informationen für die sichere Entwicklung von
Web-Anwendung zusammen zu stellen
Programmupdate
Personal Digital Assistent
Pretty Good Privacy, Produkt zur Verschlüsselung von Mails und Dateien
Protection Level Agreements, Vertragszusätze für die Sicherheit von Anwendungen,
auch: SSLA
Ausspähen von Zugangsdaten durch
fingierte Websites
Personal Identity Number, persönlicher
Zugangscode
Server, der stellvertretend für Anwender
Internetseiten anfordert
Return on Security Invest, Modell zum
Vergleich des Nutzens verschiedener Sicherheitsmaßnahmen
Secure Multipurpose Internet Mail Extension,
Verschlüsselungsmethode
Sicherheitsrichtlinie mit den wichtigsten
Handlungsvorgaben in Bezug auf Sicher
heit im Unternehmen
Sensor, der Netzwerkverkehr abhört
Unerwünschte Werbemails
Secure Set Identifier, Schlüsselwort bei
der Datenübertragung im WLAN
87
SSL
SSLA
TCP
Token
UMTS
USB
VPN
WEP
WLAN
WPA
Secure Socket Layer, Verschlüsselungsmethode
Security Service Level Agreements,
Vertragszusätze für die Sicherheit
von Anwendungen, auch: PLA
Transmission Control Protocol
Hardware zur sicheren Authentifizierung
Universal Mobile Telecommunications
System, Nachfolgesystem für GSM
Universal Serial Bus
Virtual Private Netzwork
Wired Equivalent Privacy, schwacher
Sicherheitsmechanismus bei Funk-LANs
Wireless LAN, drahtloses Netz
Wi-Fi Protected Access, neuer Standard zur
Sicherheit in Funknetzen
88
Register
Begriff
Seite
A
Access Point
Authentifizierung
Awareness
58
53, 54, 56, 57, 63, 86, 88
28, 29, 31
B
Backup
Basel II
Betriebssystem
Biometrie
Boot-Viren
Browser
Business Impact Analyse
12, 76
23
33, 34, 35, 38, 87
5, 6, 40, 86
19
34, 35, 36, 44, 66
79, 86
C
Cloud Computing
Cracker
71
17
D
Datei-Viren
Datenschutz
Datensicherung
Datenverfügbarkeit
Demilitarisierte Zone
DLP
DMZ
Drahtlose Netze
19
5, 7, 12, 72, 80, 81, 83, 85, 86
7, 76, 77, 81, 86
7, 12, 76
48
43, 86
48, 49, 62, 63, 65, 86
7, 57
89
E
E-Commerce
Exponierte Systeme
66
48
F
Fernwartung
Firewall
55
32, 34, 35, 37, 44, 45, 46, 47, 48,
53, 54, 55, 56, 59, 60, 62, 63, 67,
74, 86
G
GSM
57, 86, 88
H
Hacker
Hoax
6, 13, 17, 21, 23, 34, 41, 77
22, 86
I
IDS
IP-Telefonie
ISSECO
60, 86
7, 9, 65, 73, 74, 75
68
K
KonTraG
Kreditkartenmissbrauch
23, 86
15
L
LAN
Lokales Netz
lokales Netzwerk
59, 86
62
48, 86
M
Mail-Relay
51
90
Mail-Server
Makro-Viren
18, 48, 51, 53, 63
19, 20
N
Netzkopplung
Notfallplanung
53, 55
7, 77, 78
O
Online-Betrüger
OWASP
6, 15
68, 87
P
Passwortschutz
Patch
PDA
PGP
Phishing
Physikalischer Schutz
Proxy
6, 38, 41, 44
33, 87
87
70, 87
15, 87
7, 79
50, 51, 87
R
Risikoanalyse
6, 24, 25, 26, 31
S
Safety
Schmutzfink
Script Kid
Security
Security Policy
Sicherheitsprozess
Smartphone
S/MIME
Social Engineering
12, 76
16, 50
17
5, 24, 25, 27, 28, 29, 30, 31, 42,
47, 60, 63, 67, 72, 76, 84, 87, 88
25, 27, 28, 42, 87
24, 25, 83
28
70, 71, 87
13, 14
91
Social Hacking
Social Media
Software as a Service
Spammer
14
7, 73
71
6, 18, 51
T
Token
Trojaner
56, 88
13, 21, 22, 32
U
UMTS
USB
42, 54, 57, 88
6, 42, 43, 44, 60, 88
V
Verschlüsselung
Virenschutz
Virtualisierung
Virtual Private Network
Virus
VPN
6, 11, 41, 45, 53, 56, 58, 63, 69,
70, 74, 75, 82, 70
49
7, 45, 61
53
19, 22
45, 53, 54, 55, 56, 57, 59, 60, 61,
63, 88
W
Webseite
WLAN
Würmer
66
7, 12, 46, 54, 57, 58, 59, 63, 87,
88
6, 13, 17, 19, 21, 32, 36, 51