IT-Sicherheit für kleine und mittlere Unternehmen - DsiN-Blog
Transcrição
IT-Sicherheit für kleine und mittlere Unternehmen - DsiN-Blog
SAP-Pocketseminar IT-Sicherheit für kleine und mittlere Unternehmen 2. überarbeitete Auflage www.sicher-im-netz.de IT-Sicherheit für kleine und mittlere Unternehmen SAP-Pocketseminar, 2. überarbeitete Auflage SAP Pocketseminar IT-Sicherheit · Für kleine und mittlere Unternehmen Eine Schriftenreihe der SAP AG Zweite, überarbeitete Ausgabe September 2010 Herausgeber: SAP AG Government Relations Rosenthaler Str. 30, 10178 Berlin Bei der Zusammenstellung der Texte, Verweise und Abbildungen wurde mit größter Sorgfalt vorgegangen; trotzdem ist ein vollständiger Fehlerausschluss nicht möglich. Die nachfolgende Dokumentation erfolgt daher ohne Gewähr für Richtigkeit und Vollständigkeit der gemachten Angaben, für deren Verifizierung allein der Anwender die Verantwortung trägt. SAP übernimmt für aus der Verwendung dieser Dokumentation entstehende Schäden, gleich aus welchem Rechtsgrund, eine Haftung nur im Falle vorsätzlichen oder grob fahrlässigen Handelns; im übrigen ist die Haftung von SAP ausgeschlossen. SAP übernimmt keine Verantwortung für die Inhalte von Seiten oder Veröffentlichungen Dritter, auf welche wir durch Links verweisen. © 2010 SAP AG. Alle Rechte vorbehalten. SAP und das SAP-Logo sind eingetragene Marken der SAP AG in Deutschland und anderen Ländern. Business Objects und das Business-Objects-Logo sind eingetragene Marken der Business Objects Software Ltd. in den USA und anderen Ländern. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Copyright © 2010 SAP AG Dietmar-Hopp-Allee 16 69190 Walldorf 50 085 038 (10/08) IT-SICHERHEIT FÜR KLEINE UND MITTLERE UNTERNEHMEN Ein effektiver Weg, in kurzer Zeit alles Wissenswerte zum Thema IT-Sicherheit zu erfahren! Dieses Handbuch ist so konzipiert, dass Sie in kurzer Zeit prägnante und fundierte Informationen erhalten. Mit Hilfe eines Leitsystems werden Sie durch das Buch geführt. Es erlaubt Ihnen, innerhalb Ihres persönlichen Zeitkontingents das Wesentliche zu erfassen. Kurze Lesezeit In etwa zwei Stunden können Sie das ganze Buch lesen. Sollten Sie jedoch weniger Zeit haben, können Sie gezielt nur die Stellen lesen, die für Sie wichtige Informationen enthalten. ■ ■ Alle wichtigen Informationen sind grün gedruckt. Ein Register am Ende des Buches erleichtert das Nachschlagen. Überarbeitete Auflage In der aktuellen Auflage wurden folgende Themen ergänzt, bzw. wesentlich überarbeitet: Sicherheit bei Outsourcing und Cloud Computing, Endpoint Security und Netzwerk-Topologie, Biometrie, Social Networks, Business Continuity Management, Datenschutz. 5 INHALT Vorwort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1 Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2 Gefahren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.1 Der Faktor Mensch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.2 Der Online-Betrüger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.3 Der Schmutz-Fink. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.4 Der Hacker. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.5 Der Spammer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.6 Viren, Würmer und andere Schädlinge . . . . . . . . . . . . . . . 19 2.7 Haftungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3 Organisatorisches . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.1 Sicherheit als Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.2 Die Risikoanalyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.3 Sicherheitsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.4 Bewusstseinsbildung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.5 Was kostet Sicherheit? . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.6 Checkliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4 Sicherheit der Endgeräte. . . . . . . . . . . . . . . . . . . . . . 32 4.1 Aktualisierung des Betriebssystems. . . . . . . . . . . . . . . . . . 33 4.2 Management von Updates und Patches . . . . . . . . . . . . . . 34 4.3 Sichere Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.4 Malware-Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4.5 Passwortschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.6 Biometrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.7 Verschlüsselung von Daten . . . . . . . . . . . . . . . . . . . . . . . . 41 4.8 Problemfall USB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4.9 Data Loss Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 4.10 Checkliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 6 5 Sichere Firmennetzwerke . . . . . . . . . . . . . . . . . . . . . 45 5.1 Schutz vor Zugriff von außen . . . . . . . . . . . . . . . . . . . . . . 46 5.2 Sichere Mailverteilung. . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 5.3 Sicherheit für verbundene Netze . . . . . . . . . . . . . . . . . . . . 53 5.4 Drahtlose Netze (WLAN) . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.5 Netzwerküberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 5.6 Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 5.7 Checkliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 6 Sichere Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . 64 6.1 Schutz von Internet-Auftritten. . . . . . . . . . . . . . . . . . . . . . 65 6.2 Sichere E-Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 6.3 Sichere Unternehmensprozesse . . . . . . . . . . . . . . . . . . . . . 69 6.4 Schutz der Vertraulichkeit bei E-Mails . . . . . . . . . . . . . . . . 69 6.5 Sicherheit bei Outsourcing und Cloud Computing. . . . . . . . 71 6.6 „Social Media“ im Unternehmen . . . . . . . . . . . . . . . . . . . 73 6.7 IP-Telefonie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 7 Datenverfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . 76 7.1 Die Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 7.2 Die Notfallplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 7.3 Business Continuity Management . . . . . . . . . . . . . . . . . . . 78 7.4 Physikalischer Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 7.5 Checkliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 8 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 8.1 Die wichtigsten Maßnahmen. . . . . . . . . . . . . . . . . . . . . . . 81 8.2 Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . 82 8.3 Der Datenschutzbeauftragte . . . . . . . . . . . . . . . . . . . . . . . 83 9 Schlusswort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Weiterführende Informationen . . . . . . . . . . . . . . . . . . . . . 85 Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 7 Deutschland sicher im Netz e.V. Gemeinsam für mehr IT-Sicherheit Der Verein Deutschland sicher im Netz (DsiN) ist Ansprechpartner für Verbraucher und mittelständische Unternehmen zu Fragen der ITSicherheit. Der Verein stärkt das Vertrauen in neue Technologien durch verständliche Botschaften zu einem sicheren Umgang mit Internet und Informationstechnik. Als Ergebnis des ersten IT-Gipfels der Bundesregierung wurde 2006 aus der Initiative der Verein Deutschland sicher im Netz gegründet. Mit dem gemeinsamen Ziel, das Sicherheitsbewusstsein von Anbietern und Verbrauchern beim Umgang mit dem Medium Internet zu erhöhen, hat das Bundesministerium des Innern im Juni 2007 die Schirmherrschaft für DsiN übernommen. Als übergreifende Institution bündelt DsiN die Aktivitäten von Unternehmen, Branchenverbänden sowie Vereinen und bietet der Bundesregierung herstellerunabhängig und produktneutral einen zentralen Ansprechpartner. So werden Synergien genutzt und Überschneidungen vermieden. DsiN und seine Mitglieder leisten mit einer Vielzahl von Aktivitäten einen praktischen und messbaren Beitrag für mehr IT-Sicherheit. Unser Beitrag: Konkrete Handlungsversprechen Die DsiN-Mitglieder geben konkrete Handlungsversprechen ab, an denen sich der Erfolg ihres Engagements transparent überprüfen lässt. Die Handlungsversprechen richten sich an Privatnutzer wie beispielsweise Kinder, Eltern und Verbraucher, aber auch an mittelständische Unternehmen und ihre Mitarbeiter. Im Zentrum der nachhaltigen Serviceangebote stehen sowohl verlässliche Informationen zu sicherheitsrelevanten Themen als auch eine konkrete Unterstützung bei den Schutzmaßnahmen. Besuchen Sie uns auch im Internet: www.sicher-im-netz.de 8 Vorwort Sehr geehrte Leser, IT ist heute nicht nur integraler Bestandteil der meisten Unternehmensprozesse, sondern oftmals entscheidend für den Erfolg eines Betriebs. Die Chancen von IT für ein Unternehmen nutzbar zu machen, ist längst nicht mehr nur eine Frage für den IT-Beauftragten in einem Unternehmen, sondern „Chefsache“. Im Sinne von Bismarck: IT ist zu wichtig, um sie der IT-Abteilung zu überlassen! Das gilt insbesondere auch für das Management der Risiken. Dieser Pocketguide soll einen kurzen Überblick zu den wichtigsten Sicherheitsfragen geben. Der Guide richtet sich nicht an ITK-Spezialisten, sondern an die „Chefebene“ kleiner und mittlerer Unternehmen. Seit dem Erscheinen der ersten Auflage im Jahr 2005 hat sich enorm viel getan in der IT-Welt. Die neue Auflage widmet sich neuen Entwicklungen wie IP-Telefonie, Social Networks und Cloud-Computing. Ich wünsche Ihnen viel Erfolg für Ihr Unternehmen und der bei der Ausgestaltung Ihrer Sicherheitsstrategie! Ihr Michael Kleinemeier Mitglied des Vorstandes von Deutschland sicher im Netz e.V. und Geschäftsführer der SAP Deutschland AG & Co. KG 9 1 Einleitung „Sicherheit“, insbesondere im Internet, ist nun seit einigen Jahren ein allgegenwärtiges Thema der Tagespresse. Meldungen über erfolgreiche Hacking-Angriffe werden sogar über Nachrichtensendungen verbreitet. Von Sicherheit oder sicheren Systemen ohne Kontext zu sprechen, ist nicht sinnvoll. Man muss immer berücksichtigen, wogegen man sich schützen möchte. So, wie der Airbag nicht „das Autofahren sicher macht“, sondern lediglich das Risiko von Kopfverletzungen durch den Aufprall auf dem Lenkrad verringert, so schützen auch Sicherheitskomponenten und Sicherheitsverfahren wie Verschlüsselung, Firewalls, Viren-Scanner, Virtuelle Private Netze, oder Intrusion-Detection-Systeme jeweils nur vor bestimmten Typen von Angriffen. Damit Sie die für Ihr Unternehmen notwendigen und sinnvollen Schutzmaßnahmen auswählen und bewerten können, ist es zwingend erforderlich, die Gefahren zu kennen, die bei der privaten und geschäftlichen Nutzung des Internet auf Sie lauern (Kapitel 2). Wägen Sie danach ab, welche Bedrohungen für Sie die gefährlichsten sind. Wenn Sie einmal kurz ein wenig in Sicherheit investieren, und sich dann wieder anderen Dingen zuwenden, besteht die große Gefahr, dass in kurzer Zeit die Maßnahmen den sich weiter entwickelnden Bedrohungen nicht mehr gerecht werden. Daher ist es wichtig, Sicherheitsmaßnahmen und -Prüfungen zu verstetigen. Wie man das am besten – und kostengünstig – macht, lesen Sie in Kapitel 3. 11 Ihre Mitarbeiter werden vor allem über die Endgeräte in Berührung mit der IT kommen – sei es PC, Notebook, Handy oder neuerdings verstärkt auch Smartphones, Pads und Tablets. Aufgrund der mobilen Nutzung entstehen neue Risiken – wie Sie diese Endgeräte schützen können, erfahren Sie in Kapitel 4. Wenn Sie ein eigenes Netzwerk betreiben (was bei den heutigen Angeboten an IT-Dienstleistungen im Internet nicht unbedingt sein muss, außer vielleicht einem WLAN-Zugang und einem Backup-Server), kommen für die Angreifer vielfältige neue Ziele hinzu. Wie man diese absichert, finden Sie in Kapitel 5. Viele Unternehmen haben inzwischen eine Web-Seite oder sogar einen Web-Shop. Aber selbst wenn Sie das nicht haben, so werden Sie sicherlich geschäftliche Korrespondenz via E-Mail austauschen. Diese Anwendungen sind für Spione von besonderem Interesse, wird dort doch oft wichtige Information gebündelt. Schutzmaßnahmen für diesen Bereich lernen Sie in Kapitel 6 kennen. Der Bereich der „Safety“ findet sich bei Unternehmensinformationen im Bereich der Datenverfügbarkeit wieder. Welche Maßnahmen für einen problemlosen Wiederanlauf nach einem Datenverlust erforderlich sind, werden in Kapitel 7 behandelt. Kapitel 8 schließlich widmet sich dem immer wichtiger werdenden Thema Datenschutz. Dort steht, welche technischen und organisatorischen Maßnahmen müssen Sie einführen bzw. betreiben, damit Sie ein Mindestmaß an Gesetzeserfüllung nachweisen können. 12 2 Gefahren In diesem Kapitel möchten wir Ihnen vermitteln, welche Gefahren die IT eines Unternehmens bedrohen und in welche Kategorien typische Angreifer eingeordnet werden können. Die Bedrohungen für IT-Systeme sind ebenso vielfältig wie die Systeme selbst. Die Risiken für Ihre IT und damit für Ihr Unternehmen sind vielfältig. Gelegenheits-Hacker, direkt gegen Sie gerichtete Angriffe von Außen und Innen, menschliches Versagen oder sich selbst verbreitende Schädlinge (Würmer, Viren, Trojaner) bedrohen Ihre Infrastruktur und Ihre Geschäftsabläufe. Neben dem direkten Schaden durch Störung Ihrer IT stellt die Haftung auch ein persönliches Risiko für Sie dar. 2.1 Der Faktor Mensch Der grundlegende Faktor jeglicher Sicherheit wird in vielen Unternehmen zu sehr außer Acht gelassen: die Information und Schulung der Mitarbeiter. Technische Sicherheitsmaßnahmen allein reichen nicht, wenn sich die Mitarbeiter nicht an Regeln und Verhaltensvorgaben halten. So sind Sicherheitstipps nutzlos, wenn sie nicht allen Kollegen bekannt sind und konsequent angewendet werden. Zu einem erfolgreichen Sicherheitskonzept gehören daher Schulungen und regelmäßige Informationen für die Mitarbeiter. Diese Maßnahmen müssen regelmäßig wiederholt und aktualisiert werden, um ein gleichmäßig hohes Sicherheitsniveau im Unternehmen zu gewährleisten und sich gegen eine sehr alte Form des Angriffs zu schützen: Das „Social Engineering“. 13 Als Social Engineering (auch als Social Hacking bezeichnet) bezeichnet man das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels sozialer Kontakte. Ziel ist zum Beispiel die Beschaffung von Zugangsdaten für Computer und Datennetze. Eine übliche Vorgehensweise beim Social Engineering ist es, sich zunächst einem Mitarbeiter im unteren Hierarchiebereich eines Unternehmens (zum Beispiel Sekretärin oder Hausmeister) zu nähern, um für das Unternehmen typische Gewohnheiten oder auch Formulierungen kennen zu lernen. Bei der folgenden Annäherung an den eigentlichen Wissens- oder Geheimnisträger vermittelt der Angreifer dann den Eindruck, dass es sich – bedingt durch die Detailkenntnisse über das Unternehmen – nicht um einen Außenstehenden handeln kann. Ebenfalls eine verbreitete Methode ist es, eine technisch wenig versierte Person durch die Verwendung von „Fachchinesisch“ so weit zu verwirren und zu verunsichern, bis diese die benötigten Daten preisgibt. Ein Beispiel: „Guten Tag Herr Muster, ich habe in meinem Monitoring System einen massiven Outbreak eins Bots, der wohl von Ihrem System ausgeht und mir mein Quality of Service System nahezu aushebelt. Somit sind eine Menge Kollegen betroffen. Wenn Sie mir Ihre Zugangsdaten geben, kann ich das vielleicht ohne großes Aufsehen remote debuggen.“ Statistisch ist über erfolgreiche Angriffe durch Social Engineering nur wenig bekannt, die Dunkelziffer liegt sehr hoch. Ein Grund dafür ist die Tatsache, dass es den betroffenen Firmen oft peinlich ist, derartige Angriffe zuzugeben. Außerdem sind viele Angriffe so geschickt ausgeführt, dass diese erst viel später oder gar nicht aufgedeckt werden. 2.2 Der Online-Betrüger Auch vermeintlich vorsichtige Internet-Nutzer können von den Machenschaften des Online-Betrügers betroffen sein. So ist der Missbrauch fremder Kreditkartendaten im Internet immer noch ein großes Problem. Leider ist es so, dass Online-Betrug oft sehr einfach möglich ist, da nur persönliche Daten und zum Beispiel Kreditkarteninformationen oder Zugangsdaten für das Bankkonto benötigt werden, um in der Identität des Opfers zu handeln – und diese kann man oft einfach im Papierkorb einer Tankstelle finden. Ein weiteres Schlagwort rund um den Online-Betrug ist das „Phishing“: Hier werden Zugangsdaten von Online-Banking-Nutzern durch fingierte Banken-Websites ausgespäht und Konten geplündert. Gefahr droht auch bei Online-Auktionen: Hier werden auf fremde Rechnung illegale Transaktionen getätigt. Auch in scheinbar harmlosen Programmen verbirgt sich oft Spionage-Software, die Surfgewohnheiten und persönliche Daten des Nutzers unbemerkt an den Online-Betrüger weiterleiten. Sogar Handys werden inzwischen über offene Schnittstellen „angezapft“. Welche Schäden entstehen durch Onlinebetrug? Neben erheblichen finanziellen Verlusten durch Konten- oder Kreditkartenmissbrauch droht der Verlust von geistigem Eigentum und vertraulichen Informationen. Langwierige und kostenintensive Unannehmlichkeiten durch betrugsbedingte Auswirkungen belasten Unternehmen und Privatnutzer gleichermaßen. 15 2.3 Der Schmutz-Fink In zunehmendem Maße verbreiten unangenehme Zeitgenossen auch im Internet ihr zumeist verqueres Gedankengut. So werden Kinder und Jugendliche in Chats („virtuelle Plaudereien"), Newsgroups (Online-Diskussionsforen) oder bei sozialen Netzwerk-Plattformen wie etwa Facebook immer öfter mit pornografischen, gewaltverherrlichenden oder politisch fragwürdigen Inhalten konfrontiert. Radikale politische Gruppierungen versuchen, durch Online-Agitation neue Mitglieder zu werben. Schnell kann es dazu kommen, dass die Geschäftsleitung zur Verantwortung gezogen wird, weil sich weibliche Angestellte belästigt fühlen oder minderjährige Auszubildende mit nicht jugendfreien Inhalten konfrontiert wurden (siehe auch Kapitel 2.7 Haftungsfragen ) oder Zugangsdaten für das Bankkonto benötigt werden, um in der Identität des Opfers zu handeln – und diese kann man oft einfach im Papierkorb einer Tankstelle finden. Welche Schäden entstehen durch den Schmutzfink? Die Verbreitung gewaltverherrlichender und anderer fragwürdiger oder krimineller Inhalte kann weit reichende persönliche und gesellschaftliche Auswirkungen haben. Diese reichen von psychologischer und sittlicher Manipulation Minderjähriger bis hin zur Anbahnung von Straftaten. 16 2.4 Der Hacker Ein "Hacker" ist im ursprünglichen Sinne ein technisch versierter Computerfachmann bzw. Programmierer, der sein Fachwissen auch auf positive Weise (etwa zum Aufdecken von Sicherheitslücken) einsetzt. Die negative Ausprägung dieser Personengruppe wird allgemein als "Cracker" (Profi) oder "Script Kid" (Amateur) bezeichnet. Zum besseren Verständnis haben wir dennoch den in der Öffentlichkeit geläufigen Begriff "Hacker" beibehalten. Durch kleine SabotageProgramme wie Viren und Würmer, die sich meist selbsttätig und innerhalb kürzester Zeit über E-Mails oder den Besuch bestimmter Websites verbreiten, verschafft sich der Hacker Zugang zu fremden Systemen, manipuliert sie zu seinem Zweck (installiert einen so genannten „Bot“) oder legt sie komplett lahm. Inzwischen liefern sich gut organisierte Hacker-Ringe regelrechte Bandenkriege, um möglichst viele Rechner unter ihre Kontrolle zu bringen. Welche Schäden entstehen durch Hacker? Die Auswirkungen reichen von ärgerlichen, aber eher harmlosen Fehlfunktionen bis hin zum Zusammenbruch ganzer Server und Netzwerke. Zu den daraus resultierenden Image-Verlusten des betroffenen Unternehmens und finanziellen Einbußen durch den entstehenden Arbeitsausfall kommen meist noch weitere Kosten für umfangreiche Wiederherstellungsmaßnahmen hinzu. 17 2.5 Der Spammer Der Spammer schadet durch das Versenden von großen Mengen an E-Mails mit meist sinnlosem oder (vermeintlich) werbewirksamem Inhalt. Seine große Menge an E-Mail-Adressen verschafft sich der Spammer zum Beispiel über den (kommerziellen und/oder illegalen) Adresshandel oder mittels spezieller Programme, mit denen er das gesamte Web nach brauchbaren Adressen durchsucht. Auch das einfache Durchprobieren gängiger Adresskombinationen ist ein möglicher Weg. Für den Versand der Spam-Mails (oder auch Junk-Mails) werden gefälschte E-Mail-Konten, mit Bots manipulierte PCs, offene drahtlose Netzwerke (WLANs) oder schlecht abgesicherte Mail-Server missbraucht - meist ohne das Wissen ihrer Betreiber. Welche Schäden entstehen durch den Spammer? Ziel des Spammers ist entweder die maximale Verbreitung der ungewollten Werbung oder das Erwirtschaften von Profit, indem er im Auftrag Dritter Spam-Mails versendet. Speicher- und Bandbreitenkapazitäten werden durch die Spam-Flut über Gebühr belastet. Oft entstehen erhebliche Zeit und Produktivitätsverluste durch das Sichten und Aussortieren der Spam-Mails, ganz abgesehen von den nicht unerheblichen Kosten. Zudem schadet Spam auch dem Vertrauen und der Glaubwürdigkeit des Kommunikationsmediums E-Mail. 18 2.6 Viren, Würmer und andere Schädlinge Wie aus der Presse bekannt stellen Viren, Würmer und andere Schädlinge eine erhebliche Gefährdung für Ihre IT-Systeme dar. Im Folgenden legen wir kurz dar, welche Arten von Schädlingen es gibt, und wie diese sich verbreiten. 2.6.1 Der Virus Computer-Viren sind Programme oder Teile davon, die entweder von Experten mit zweifelhaften Zielen erstellt werden oder von den bereits beschriebenen „Script-Kiddies“ mittels im Internet erhältlicher „Viren-Baukästen“ (so genannte „Virus Construction Kits“) erzeugt werden. Früher ließen sich Viren noch in drei wesentliche Kategorien unterteilen. Heute vereinen Viren oftmals Eigenschaften einer oder mehrerer Kategorien in sich, wodurch sie ein noch höheres Gefahrenpotenzial darstellen. Die damals vorgenommene Kategorisierung möchten wir Ihnen nicht vorenthalten: ■ Boot-Viren setzen sich in dem Bereich einer Festplatte oder Diskette fest, der beim Starten eines Computers in den Arbeitsspeicher gelesen wird. Somit lädt sich der Virus automatisch beim Start des Rechners. ■ Datei-Viren infizieren Programmdateien, wie beispielsweise Teile des Betriebssystems oder einer Anwendung. Startet der Anwender eine infizierte Datei, führt der Virus seine Schadroutine aus oder verbreitet sich weiter. ■ Makro-Viren sind in einer Makrosprache erstellt. Makros helfen, wiederkehrende Tastatureingaben und Programmabläufe zu automatisieren. Oft wird dazu die Makrosprache von Office-Software eingesetzt; die Makroviren sind in Dokumente eingelagert und werden durch Aufruf und Weitergabe der Dateien verteilt. 19 Mögliche Schäden durch Computer-Viren sind ausgesprochen vielfältig und reichen von der einfachen Ausgabe störender Fenster über Fehlfunktionen in Anwendungen bis hin zur Löschung vollständiger Datenbestände. Auch die „unfreiwillige“ Veröffentlichung von Datenbeständen kann eine rufschädigende Folge für das Unternehmen oder für einzelne Mitarbeiter sein. Die Verbreitungswege für Viren sind vielfältig: Im Gegensatz zu früheren Zeiten, in denen sich Viren über Disketten verbreiteten, dient heute die E-Mail als wichtigstes Übertragungsmedium. Die genannten Makro-Viren verbreiten sich im Wesentlichen durch einfache Weitergabe oder gemeinsame Nutzung von Dokumenten in Netzwerken. Auch speziell präparierte Internetseiten sind ein beliebtes Mittel bei der Verbreitung von Viren. Sie können sehr viele Infektionsrisiken ausschließen, wenn Sie die folgenden Regeln einhalten: ■ Öffnen Sie bitte keine Anhänge von E-Mails, deren Absender Ihnen nicht bekannt ist. ■ Öffnen Sie keine Dateien, insbesondere mit ungewöhnlichen Endungen, wenn deren Herkunft unklar ist. ■ Öffnen Sie auch von bekannten Absendern nur Anhänge, die Sie selbst angefordert haben oder bei denen Sie sicher sein können, dass sie von diesen Absendern sind. Absenderadressen können leicht gefälscht werden. ■ Besuchen Sie keine Web-Seiten, die Ihnen scheinbar erhebliche Vorteile gegenüber der Konkurrenz anbieten. 20 2.6.2 Der Wurm Würmer sind sehr populär und stellen eine spezielle Form der Viren dar. Auch hier erfolgt eine Infektion oft über E-Mails oder durch Ausnutzung von Schwachstellen in Anwendungen und Protokollen. Würmer infizieren in aller Regel keinen fremden Programmcode oder Dokumente, sondern sind darauf ausgelegt, sich selbständig und schnell zu verbreiten. Manche Würmer verfügen sogar über Funktionen, die es ihnen erlauben, sich selbst per E-Mail zu verbreiten, ohne dass das installierte E-Mail-Programm genutzt werden muss. Heimtückisch ist auch die Eigenschaft, sich selbst an Adressen aus dem Adressbuch des installierten E-Mail-Programms weiter zu versenden. Dies beschleunigt die Verbreitung, da die Empfänger den Absender der Mail kennen. Es steigt die Wahrscheinlichkeit, dass ein Anhang geöffnet wird. Die Folge eines Wurmausbruchs ist oftmals die völlige Überlastung von Servern und ganzen Netzwerken. 2.6.3 Das Trojanische Pferd Wie schon beim echten Trojanischen Pferd verbirgt auch die Computerversion (auch „Trojaner“ genannt) ein schädliches Programm im Bauch eines scheinbar nützlichen Programms. Dieses schädliche Programm installiert sich dann unbemerkt auf dem PC des Opfers. Ziel von solchen Schädlingen ist zum Beispiel die Übermittlung von vertraulichen oder persönlichen Daten an seinen jeweiligen Versender oder die Öffnung des PCs zur Fernkontrolle durch den Hacker. Der klassische Trojaner kann sich nicht selbst verbreiten, heute werden jedoch von Würmern und Viren häufig Trojaner nachinstalliert, die dann eine Kontrolle des PCs durch Dritte erlauben. 21 Eine von Kriminellen oft genutzte Variante des Trojaners sind die so genannten Bot-Netze. Bei einem Bot handelt sich um einen Trojaner, der sich bei seinem „Herrn“ meldet und Instruktionen erwartet. Viele (oft weit mehr als 10.000) mit Bots infizierte PCs bilden dann ein Bot-Netzwerk. Oft werden derartige Bot-Netze von ihrem Herrn für kriminelle Machenschaften (verteilte Angriffe, Massen-Mailversand) verwendet oder sogar vermietet. Bitte legen Sie beim Download von Dateien aus dem Internet immer ein gesundes Maß an Misstrauen an den Tag und prüfen Sie solche Dateien vor dem Öffnen mit einem aktuellen Virenscanner! 2.6.4 Der Hoax Ein Hoax (eng. „schlechter Scherz“) ist nichts weiter als eine elektronische „Zeitungsente". Meistens treten Hoaxes in Form von E-Mails auf, die aus unterschiedlichsten Gründen dazu auffordern, die E-Mail an möglichst viele Leute weiterzuleiten. Oft sind die Texte sehr phantasievoll geschrieben und wirken durchaus seriös. In vielen Hoaxes wird vor einem angeblichen Virus gewarnt. Im Text wird dann erklärt, wie man den Virus unschädlich machen kann. Befolgt man die Anweisungen, werden wichtige Dateien des Betriebssystems gelöscht und Fehlfunktionen sind die Folge. Die eigentliche Gefahr eines Hoaxes besteht also im Befolgen der dort abgelegten Anweisungen. Bitte löschen Sie solche E-Mails und leiten Sie diese nicht weiter. Seriöse Anbieter von Antivirus-Lösungen verteilen Ihre Meldungen grundsätzlich nicht nach diesem Prinzip! 22 2.7 Haftungsfragen Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das GmbH-Gesetz und die Kreditvergaberichtlinie Basel II verpflichten Kapitalgesellschaften zur Implementierung eines Warnsystems zur Früherkennung von für das Unternehmen bedrohlichen Entwicklungen. Dies schließt auch die IT-Infrastruktur und hier insbesondere alle IT-Sicherheitsaspekte ein. Bei Verstößen haften Geschäftsführer, Prokuristen und Vorstände mit ihrem persönlichen Vermögen. Aber auch in Bereichen der IT eines Unternehmens, bei denen Missbrauch oder Ausfälle den Bestand des Unternehmens nicht bedrohen, lauern Gefahren, die zu einer Haftung der Geschäftsführung führen: ■ Bildet der Betrieb Minderjährige aus, so muss der Zugang zu pornografischen oder radikalen Web-Seiten für Jugendliche unterbunden werden. ■ Dringt ein Hacker durch Fahrlässigkeit der lokalen Administratoren in die eigene Infrastruktur ein und greift von dort aus Dritte an, so kann die Haftung der Firma für den entstandenen Schaden unter Umständen die Folge sein. Auf jeden Fall müssen Sie die Kosten für die vom Angreifer genutzte Internet-Bandbreite tragen. ■ Verteilt einer Ihrer Mitarbeiter rechtswidriges Material (zum Beispiel Kinderpornogafie, verfassungsfeindliche Schriften, urheberrechtlich geschütztes Material) über Ihre Infrastruktur, so können Ihnen bei behördlichen Nachforschungen zumindest Aufwände für die Unterstützung dieser Nachforschungen entstehen. Dazu kommt der Image-Schaden für das Unternehmen sowie eventuelle juristische Konsequenzen. Obwohl viele Haftungsfragen rund um den Internet-Missbrauch noch nicht endgültig juristisch geklärt sind, sollten Sie hier besondere Sorgfalt und Vorsicht walten lassen. 23 3 Organisatorisches Wie auch für viele andere Themen gilt bei Sicherheit: nur durch das Zusammenwirken von Personen, Prozessen und Technologie kann wirkungsvoll ein gewünschtes Sicherheitsniveau erreicht werden. Entsprechend sind die in diesem Kapitel besprochenen Aspekte fast wichtiger als die nachfolgenden Kapitel, da sie die Handlungsfähigkeit einer Unternehmung in Sachen Sicherheit begründen. 3.1 Sicherheit als Prozess Bruce Schneier – eine der bekanntesten Persönlichkeiten im Bereich der IT-Security – hat einmal gesagt: „Security is a process, not a product“. Damit ist gemeint, dass jedes Sicherheitsprodukt nur dann einen wirksamen Schutz bietet, wenn es in einen kontinuierlichen Sicherheits-Verbesserungsprozess integriert ist, denn die Bedrohungslage kann sich jederzeit ändern und die bestehenden Sicherheitsmaßnahmen wirkungslos werden lassen. Der klassische Sicherheitsprozess beginnt mit einer Risikoanalyse, die die Grundlage für die Planung der Maßnahmen liefert. Auf Basis der Planungsergebnisse folgt die Realisierung. Als letzter Schritt starten dann der Betriebsprozess und das Monitoring. Der Prozess-Schritt Monitoring bildet mit einer kontinuierlichen Sicherheitsbetrachtung die Aufrechterhaltung der IT-Sicherheit der überwachten Prozesse. Im Fall einer Änderung oder Störung startet der Prozess erneut. Zumindest einmal im Jahr sollten Sie Ihre Risikoanalyse überprüfen (lassen) und Ihre Sicherheitsmaßnahmen anpassen. 24 Applikationen Change Management Prozess Störungen Alerting Response Reporting Recover Maliceous Activites Security Advisories Monitoring Ongoing Services Risiko- Security Engineer analyse Audits/Assessments IT-01010010101 Sicherheitsprozess Integration Realisierung Schulung & Sensibilisierung Planung Security Policy Sicherheitskonzept Wer auf „Nummer Sicher“ gehen will, der gestaltet den Sicherheitsprozess – der Fachbegriff lautet „Security Management Prozess“ – nach einem anerkannten Standard wie etwa ISO 27001. Es ist auch möglich, sich danach zertifizieren zu lassen. Zudem existieren detailliertere Vorgaben wie das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI), aber gerade für kleinere Unternehmen ist das Kompendium mit über 4000 Seiten kaum zu bewältigen. ISO 27001 hieß früher ISO 17799, zu dem reinen „Management“Standard sind nun noch weitere Elemente zum Beispiel für die sichere Software-Entwicklung oder die Risikoanalyse hinzu gekommen. Ursprünglich geht der Inhalt auf den „British Standard BS7799“ zurück. 25 3.2 Die Risikoanalyse Eine Risikoanalyse soll Ihnen und Ihrem Unternehmen vor allem die folgenden Fragen beantworten: ■ Welche realen Gefahren existieren in Bezug auf den reibungslosen Geschäftsbetrieb, bzw. die Geschäftsgrundlage meines Unternehmens? ■ Wie hoch ist die jeweilige Eintrittswahrscheinlichkeit für die ermittelten Gefahren? ■ Welches Schadensausmaß ist jeweils zu erwarten? ■ Ab welchem Zeitpunkt ist bei einer Störung des Geschäftsbetriebs die Existenz meines Unternehmens gefährdet? Bei der Beantwortung der Fragen ist die Bestimmung der Eintrittswahrscheinlichkeit das größte Problem, da es nur sehr wenige Richtwerte gibt. Der Grund für diese Tatsache ist der Umgang mit erfolgreichen Angriffen. Viele Betroffene scheuen sich aus Imagegründen vor einer offenen Kommunikation und nicht alle Opfer wissen, dass sie Opfer eines erfolgreichen Angriffs wurden. Der Nutzen einer Risikoanalyse liegt in der richtigen Balance zwischen der Höhe von Sicherheitsinvestitionen und dem Wert der dadurch geschützten Informationen, IT-Systeme und Prozesse. Somit wird ein wirtschaftlich sinnvoller Schutz möglich. Der im Rahmen der Risikoanalyse ermittelte Schutzbedarf kann dann sehr gut als Grundlage für ein entsprechendes Sicherheitskonzept dienen. Des Weiteren liefert sie wertvolle Informationen darüber, welche zusätzlichen Sicherheitsprodukte Sie einsetzen können um Ihre Risiken zu minimieren. 26 3.3 Sicherheitsrichtlinien Eine Sicherheitsrichtlinie (oft auch als „Security Policy“ bezeichnet) bildet die Grundlage für alle Sicherheitsmaßnahmen innerhalb Ihres Unternehmens. Die Erstellung dieser Policy sollte der erste Schritt für Ihr weiteres Vorgehen sein. Sie definiert allgemeine Regelungen, Prozesse und Richtlinien, diese müssen für die Mitarbeiter bindenden Charakter haben. Die Umsetzung in konkrete Maßnahmen oder die Produkt- und Herstellerauswahl für Sicherheitsprodukte sollten auf der Grundlage einer Sicherheitsrichtlinie erfolgen und können in weiteren Dokumenten, so genannten Security Standards, definiert werden. Die Inhalte einer Security Policy werden gemeinsam und in enger Abstimmung zwischen Unternehmensleitung, den IT-Sicherheitsverantwortlichen, dem Datenschutzbeauftragten, evtl. dem ComplianceBeauftragten und den Mitarbeitern (bzw. den Mitarbeitervertretungen) definiert. Um eine Security Policy in der Praxis durchzusetzen und als akzeptierten Bestandteil der Unternehmensrichtlinien zu etablieren, muss sie schriftlich niedergelegt, als Handlungsanweisung ausgegeben und fortlaufend aktualisiert werden. Formulieren Sie eine Sicherheitsrichtlinie und kommunizieren Sie diese seitens der Geschäftsleitung an alle Mitarbeiter als verbindliche Vorgabe. 27 3.4 Bewusstseinsbildung Bei der Einführung von Sicherheitsrichtlinien ist es enorm wichtig, in der Belegschaft für Verständnis für diese verpflichtenden Anweisungen zu sorgen. Nur durch die Identifikation mit den Nöten des Unternehmens und Verständnis für die neuen Maßnahmen werden die Mitarbeiter diese – eigentlich verbindliche – Richtlinie auch umsetzen. Denn Mitarbeiter und gerade Führungskräfte werden immer solche Tätigkeiten für wichtiger erachten, die mit Wertschöpfung für das Unternehmen verbunden sind , auch wenn sie den Sicherheitsvorgaben widersprechen. So wird etwa ein Vertriebsmitarbeiter, wenn es dem Abschluss eines Geschäfts dient, einem Kunden schnell per E-Mail ein unverschlüsseltes Angebot zukommen lassen, auch wenn die Security Policy des Unternehmens dies eigentlich verbietet. Dafür ist eine entsprechende Bewusstseinsbildung erforderlich, die Sie mit Hilfe einer so genannten „Security-Awareness-Kampagne“ erreichen können. Die wichtigsten Elemente einer solchen Kampagne sind: ■ Sicherheit ist Chefsache. Der Chef / die Geschäftsführung muss mit Beispiel voranschreiten. Wie soll das Volk etwas gut heißen, wenn der König es nicht tut? Dies sollte an einem sichtbaren Beispiel demonstriert werden, etwa dass das Smartphone PIN-geschützt ist. ■ Sicherheit ist emotional. Eine Awareness-Kampagne wird von den Mitarbeitern nicht angenommen, wenn sie rein auf die rationale Vermittlung von fachlichen Inhalten zielt. Um die gewünschte Identifikation zu erreichen, muss mit emotionalen Botschaften gearbeitet werden. ■ Technische Detailinformationen gehören nicht in die Kampagne. Wenn Mitarbeiter Interesse entwickeln, werden sie selbst auf die Suche gehen. Ein gut sortiertes Web-Angebot etwa, mit Verweis auf weiter führende Informationen, ist eine sinnvolle Investition. 28 Um eine Verankerung im Unterbewusstsein bei den Mitarbeitern zu erreichen, sollte die Kampagne – mit unterschiedlichen Inhaltsschwerpunkten – in einem gewissen Zeitraum mehrfach wiederholt werden, etwa sechs Mal in zwei Jahren. Konzipieren Sie eine Awareness-Kampagne. Diese kann schon aus einem guten Poster und ein paar Flyern bestehen. Bilden Sie Schwerpunkte bei dem, was Sie an Bewusstseinsbildung erreichen wollen. 3.5 Was kostet Sicherheit? Diese Frage lässt sich leider nicht mit der Nennung eines EuroBetrages beantworten, da die Kosten für IT-Security stark variieren und vom jeweiligen individuellen Schutzbedarf, der Branche und dem Wert der zu schützenden Informationen abhängig sind. Die Zahl von 15 Prozent des gesamten IT-Budgets hat sich als repräsentativer Richtwert für die Investition in IT-Security etabliert. Bitte beachten Sie, dass sich die Kosten für IT-Security aus mehreren Positionen zusammensetzen, wovon einige bei der Kalkulation gerne vergessen werden. Neben den reinen Hard- und Softwarekosten sollten folgende Punkte Berücksichtigung finden: ■ Kosten der Wartungsverträge für Hard- und Software ■ Monitoring der Systeme ■ Ausbildung der Administratoren und die ständige Aktualisierung dieses Wissens (bei Betrieb der Systeme durch eigenes Personal) ■ Aufwände für Aktualisierungen und Konfigurationsänderungen der Systeme ■ Eventuell externer Second Level Support ■ Beratung bei der Auswahl und Einführung ■ Externe, neutrale Überprüfung der Systeme in regelmäßigen Abständen 29 Wichtiger als Geldbeträge zu nennen, scheinen uns die folgenden Ratschläge: ■ Informieren Sie sich ausführlich, bevor Sie Investitionen in ein System tätigen und vergleichen Sie die Lösungen am Markt. ■ Wahren Sie ein gesundes Verhältnis zwischen dem Wert der Informationen und den Investitionen zu deren Schutz. ■ Wenn Sie nicht der Geschäftsleitung angehören und eine von Ihnen empfohlene und notwendige Investition in die Sicherheit abgelehnt wird, sollten Sie dies schriftlich fixieren, um Ihre Sicherheitsbedenken bei eventuellen Schäden nachweisen zu können. Um die Wirksamkeit von einzelnen Sicherheitsmaßnahmen gegeneinander abzuwägen, gibt es die so genannte Return on Security InvestKalkulation. Diese setzt den theoretischen Sicherheitsgewinn durch die Maßnahme mit den Kosten K der Maßnahme in Relation. Der theoretische Sicherheitsgewinn bestimmt sich aus dem Sicherheitsrisiko VOR Anwendung der Maßnahme minus dem Sicherheitsrisiko NACH Anwendung der Maßnahme. Das Risiko ist das Produkt aus Eintrittswahrscheinlichkeit p (bzw. p‘) und Schadenshöhe S (bzw. S‘). Als Formel: ROSI = (p*S - p‘*S‘) / K 30 Dies ergibt einen Wert, der auf jeden Fall größer 1 sein sollte. Dennoch ist dieser Wert mit Vorsicht zu genießen, da bei der Bestimmung des Risikos ja oft mit groben Schätzungen gearbeitet werden muss. Er ist aber hilfreich, um die Nützlichkeit mehrerer möglicher Maßnahmen mit einander zu vergleichen. 3.6 Checkliste ■ ■ ■ ■ Haben Sie einen „Security Management Prozess“ installiert, in dem jährlich die Bedrohungen und die Maßnahmen abgeglichen werden? Haben Sie eine Risikoanalyse durchgeführt, um die für Sie wirklich relevanten Bedrohungen festzustellen? Haben Sie eine Sicherheitsrichtlinie veröffentlicht? Führen Sie regelmäßig Awareness-Maßnahmen und Schulungen durch? 31 4 Sicherheit der Endgeräte Unter „Endgeräten“ versteht man die Geräte, mit denen Personen arbeiten, um Informationen zu verarbeiten, also PCs, Macs, Notebooks, Netbooks, Smartphones, Pads etc. Sie werden „End“-Geräte genannt, da sie den Endpunkt der Kommunikation zu den meisten Informationsquellen darstellen, also Web-Seiten, Anwendungssystemen, E-Mail-Servern und so weiter. Im Gegensatz zur letzten Ausgabe dieser Fibel unterscheiden wir nicht mehr den Typ dieser Geräte, da sich sowohl die Betriebssysteme als auch die Nutzungsszenarien derart angenähert haben, dass aus der Sicherheitsperspektive heraus eine differenzierte Betrachtungsweise nicht mehr hilfreich ist. Die wichtigsten Maßnahmen sind die folgenden: ■ Das Endgerät sollte immer auf dem neuesten Stand bezüglich sein. ■ Die Firewall des Betriebssystems sollte immer angeschaltet sein, um einen Schutz vor direkten Angriffen aus dem Internet zu gewährleisten.. ■ Die sichere Konfiguration des Web-Browsers sorgt für maximale Sicherheit bei der Internetnutzung. ■ Der Viren-Scanner prüft E-Mails und aus dem Netz geladene Inhalte auf Schädlinge (Viren, Würmer, Trojaner). ■ Der sorgfältige Umgang mit Passwörtern erschwert es Angreifern, sich unautorisierten Zugriff zum Beispiel auf Ihr E-Mail-Konto zu verschaffen. 32 4.1 Aktualisierung des Betriebssystems Die Sicherheit eines Betriebssystems steht und fällt mit seiner Aktualität. Der Grund hierfür ist, dass rund um die Uhr weltweit von Hackern an Programmen gearbeitet wird, die Schwachstellen in Betriebssystemen ausnutzen. Werden diese bekannt, wird vom Hersteller ein Update bereitgestellt, welches die Schwachstelle schließt (auch Patch genannt). Wird nun ein Betriebssystem nicht regelmäßig aktualisiert, wird es mit der Zeit immer anfälliger für Angriffe. Alle modernen Betriebssysteme bieten inzwischen die Automatisierung der Updates. Nutzen Sie diese, und vermeiden Sie, dass Updates „weggeklickt“ werden. Sofern dies dennoch passiert, sollten Sie zumindest noch am selben Tag den Update-Prozess durchführen. Aber nicht nur Betriebssysteme müssen aktualisiert werden, inzwischen werden auch Anwendungen auf PCs und Servern über bekannte Schwachstellen direkt angegriffen. Entsprechend sollten Sie auch die Anwendungen regelmäßig aktualisieren bzw. die Verfügbarkeit von Updates und Patches prüfen. Dies ist erforderlich, da die meisten Anwendungen bisher keine automatisierte Prüfung durchführen. 33 4.2 Management von Updates und Patches Die im vorherigen Kapitel beschriebene Notwendigkeit zur permanenten Aktualisierung von Software kann in einem lokalen Netzwerk mit zahlreichen Rechnern schnell zu einem unüberschaubaren Problem werden. Die folgenden Tipps helfen Ihnen, auf dem Laufenden zu bleiben: ■ Verwenden Sie wenn möglich ein System zur Softwareverteilung, um bei sicherheitsrelevanten Updates schneller reagieren zu können und den Aufwand der Installation zu reduzieren. ■ Versuchen Sie so wenig Ausprägungen und Varianten von Betriebssystemen wie möglich in Ihrem Netzwerk zu betreiben. ■ Testen Sie Updates und Patches vor der Verteilung im Netzwerk auf einem Referenz- oder Testsystem, sofern Sie nicht standardisierte Kombinationen von Anwendungen verwenden. ■ Nutzen Sie die Bordmittel des jeweiligen Betriebssystems zur Automatisierung von Aktualisierungen (zum Beispiel die Windows-Updatefunktion). ■ Abonnieren Sie einen Dienst, der Sie mit Informationen über sicherheitsrelevante Updates zu Ihren Systemen versorgt. 4.3 Sichere Konfiguration Endgeräte werden heute standardmäßig mit Internet-Verbindung verwendet. Man muss daher grundsätzlich davon ausgehen, dass Hacker versuchen, das Endgerät anzugreifen. Entsprechend ist die sichere Konfiguration neben einer möglichst aktuellen Software enorm wichtig. Dabei sind drei Komponenten von besonderer Bedeutung: die im Betriebssystem eingebaute Firewall sowie der Browser und der E-Mail-Client (die technisch oft eng zusammenhängen). 34 4.3.1 Die Firewall des Betriebssystems Jedes moderne Endgeräte-Betriebssystem (selbst von Smartphones und Handys) hat heutzutage eine Firewall. Diese schränkt die Erreichbarkeit der auf dem Endgerät betriebenen Anwendungen, die von „außen“ angesprochen werden könnten, ein. Dies ist neben dem Schließen von Sicherheitsproblemen die wichtigste Schutzmaßnahme. Manche Endgeräte erlauben erst gar nicht, die Firewall auszuschalten oder umzukonfigurieren. Dies ist zum Beispiel bei Smartpads oder Smartphones häufig der Fall. Im Sinne der Sicherheit ist dies ideal. Aufwändigere Betriebssysteme ermöglichen aber oft eine individuelle Anpassung der Firewall. Hiervon sollte normalerweise Abstand genommen werden. Häufig behaupten bestimmte Anwendungen (insbesondere im Bereich des Social Networking), dass sie besondere Anforderungen an die Konfiguration der Firewall haben, aber die Erfüllung dieser Anforderungen ist in den allermeisten Fällen auch ohne eine Veränderung der sicheren Einstellungen möglich. Vermeiden Sie auf jeden Fall eine Veränderung der Konfiguration der Betriebssystem-Firewall und schalten Sie diese nicht aus! 4.3.2 Sichere Browser- und E-Mail-Client-Konfiguration Egal, ob Microsoft Internet Explorer, Mozilla Firefox, Safari, Google Chrome oder Opera – das Thema sichere Konfiguration des Browsers wird oft unterschätzt. Aktive Inhalte und Skriptsprachen, sowie neue Technologien für die Darstellung von Inhalten (wie zum Beispiel Adobe Flash) bergen auch Gefahren. 35 Durch schadhafte Inhalte kann zum Beispiel der Zugriff auf lokale Programme und Daten auf Ihrem PC ermöglicht werden. Ausspähen von persönlichen Daten und die Protokollierung Ihres Surfverhaltens sind ebenso möglich wie die unbemerkte Umleitung auf Seiten mit schadhaften Inhalten. Wir empfehlen deshalb dringend, die Hilfedokumente des jeweiligen Browsers zu lesen und dem Kapitel, in dem die Sicherheitseinstellungen erläutert werden, besondere Beachtung zu schenken. Bei Browsern, die die Verwendung von Plugins erlauben (etwa Mozilla Firefox), ist das Risiko besonders hoch, denn viele Plugins hebeln die eigentlich sichere Standard-Konfiguration der Browser wieder aus. Behandeln Sie die Browser-Plugins also mit größter Vorsicht, und informieren Sie sich vor dem Installieren über Sicherheitsprobleme der Plugins! Eine ähnliche Problematik liegt bei den Einstellmöglichkeiten Ihres E-Mail-Clients (Mac OS Mail, Microsoft Outlook, Mozilla Thunderbird) vor. Lassen Sie zum Beispiel beim Öffnen Ihrer E-Mails eine HTMLDarstellung zu, so können Sie sich die gleichen Viren und Würmer wie mit dem Browser einfangen. Informationen zur sicheren E-MailClient Konfiguration finden Sie auf den Webseiten der jeweiligen Hersteller. Ausführliche Informationen zur sicheren Konfiguration Ihres Browsers finden Sie auch hier: http://www.heise.de/security/dienste/browsercheck/ Vermeiden Sie eine Veränderung der Konfigurationen von E-Mail- und Browser-Programmen. Installieren Sie wenn möglich keine zusätzlichen Plug-Ins. 36 4.4 Malware-Schutz Virenscanner helfen nicht nur gegen Viren, sondern inzwischen gegen jede Form von Malware, also bösartigen Software-Elementen. Sie können zum Beispiel automatisierte Angriffe mit Trojanern auf Betriebssystemschwachstellen erkennen, bevor der Hersteller des Betriebssystems ein Update geliefert hat. Sie schließen damit eine wichtige Bedrohungslücke. Auch prüfen Virenscanner längst nicht mehr nur Dateien auf der Festplatte des Endgeräts (daher der Begriff „scannen“). Sie können inzwischen in E-Mails hineinschauen, Dateien, die aus dem Internet geladen werden, überprüfen und verdächtige Aktivitäten, die von Bots herrühren könnten, identifizieren. Bei den Virenscannern gibt es eine sehr große Produktvielfalt. Die angebotenen Lösungen unterscheiden sich in ihrer Wirkung allerdings kaum. Manche Lösungen sind bereits mit einer Personal Firewall kombiniert oder bieten weitere Zusatzfunktionen (wobei der Mehrwert dieser Zusatzlösungen oft fraglich ist). Es gibt auch Lösungen am Markt, die kostenfrei angeboten werden. Hier gilt es jedoch zu beachten, dass die kostenfreie Verwendung in der Regel auf den rein privaten Einsatz beschränkt ist. In vielen Fällen sind die Kosten auch an das automatische Update der Virensignaturen gebunden. Für bestimmte Endgeräte gibt es keine oder nur wenige Angebote, dies sollten Sie evtl. bei der Entscheidung für eine EndgerätePlattform in Betracht ziehen. Vertrauen Sie aber nicht allein den Virenscannern, denn die Angriffe von Hackern werden immer intelligenter und die Virenscanner erkennen immer weniger der Angriffe. 37 Achten Sie beim Kauf darauf, dass das Produkt über eine automatische Updatefunktion verfügt! Vermeiden Sie die parallele Installation von mehreren Virenscannern unterschiedlicher Hersteller, da hieraus oft Konflikte resultieren. 4.5 Passwortschutz Der Zugang zu einem Endgerät sollte grundsätzlich mit einem Passwort gesichert sein, unabhängig vom Typ des Endgeräts. Schließlich liegen auf einem Endgerät nicht nur möglicherweise vertrauliche Informationen, auch der Zugang zu Diensten und Anwendungen ist darin konfiguriert und erlaubt Fremden uneingeschränkten Zugriff, würden sie das Endgerät bedienen können. Bei längerer Abwesenheit sollte man zusätzlich den Bildschirm sperren. Achten Sie darauf, dass Ihr Bildschirmschoner so eingestellt ist, dass ein Passwort verlangt wird, wenn man wieder arbeiten möchte. Auch wenn keine vertraulichen Daten auf dem Endgerät gespeichert sind, wird so einer missbräuchlichen Verwendung in Ihrem Namen vorgebeugt. Unabhängig davon, ob Sie ein Passwort für das Betriebssystem, eine Anwendung oder ein Internet-Angebot verwenden, möchten wir Ihnen folgende Ratschläge geben: ■ Vermeiden Sie zu einfache Passwörter: Namen, Begriffe aus dem Duden, Kfz-Kennzeichen oder Geburtsdaten sind unsicher. Verwenden Sie mindestens acht Zeichen mit verschiedenen Zeichensätzen (also nicht nur Buchstaben oder nicht nur Zahlen). ■ Konstruieren Sie ein leicht einzuprägendes Passwort, indem Sie sich einen einfachen Satz einprägen, wie zum Beispiel "Ich benutze immer ein sicheres Passwort am Computer". 38 ■ ■ ■ ■ ■ ■ ■ Verwenden Sie von diesem Satz den ersten Buchstaben jedes Wortes. Im Beispiel ergibt sich das Passwort „Ibi1sPaC“. Eine Alternative für ein gutes Passwort ist, zwei einfache Wörter, die gemeinsam keinen Sinn ergeben, hinter einander zu stellen. Dabei sollte das Passwort aber mindestens 12 Stellen haben. Beispiel „Elefantenrakete“. Nutzen Sie keine Passwörter, die als Beispiele in einem Ratgeber genannt werden. Ändern Sie die sogenannten Standard-Passwörter: Ersetzen Sie voreingestellte Passwörter, zum Beispiel die des Herstellers bei Auslieferung von Computern, sofort durch eigene Passwörter. Ändern Sie Ihre Passwörter regelmäßig, aber nicht zu oft zum Beispiel alle zwei Jahre, aber sofort, wenn das Passwort unberechtigten Personen bekannt geworden ist. Gebrauchen Sie keine alten Passwörter nach einem Passwortwechsel. Benutzen Sie für verschiedene Anwendungen unterschiedliche Passwörter, teilen Sie die Anwendungen zumindest in verschiedene Gruppen ein. Internetbasierte Anwendungen sollten niemals die gleichen Passwörter haben wie solche, die Sie für die Anmeldung an einer firmeninternen Anwendung verwenden. Geben Sie Ihr Passwort immer unbeobachtet ein. Seien Sie vorsichtig mit Ihren Passwörtern. Schreiben Sie Ihre Passwörter nicht auf und geben Sie sie an niemanden weiter. Sorgen Sie dafür, dass Ihre Mitarbeiter diese Regeln einhalten. Der gelbe Post-It Zettel mit dem Passwort am Arbeitsplatz ist immer noch die unangefochtene Nummer eins unter den Sicherheitslücken. 39 4.6 Biometrie Zunehmend werden Endgeräte mit biometrischen Authentifizierungstechnologien, etwa einem Fingerprintsensor, ausgestattet. Biometrie ist ein zweischneidiges Schwert: Auf der einen Seite steht hoher Komfort und, bei Verwendung hochqualitativer Technologie, auch eine gute Erkennungsrate, aber andererseits werden Authentifizierungsdaten gesammelt, die man nicht wieder zurückziehen kann. Entsprechend ist die Akzeptanz oft nicht groß. Sofern Sie aber in Ihrem Unternehmen keine Befindlichkeiten diesbezüglich haben, ist der Einsatz von Biometrie durchaus interessant. Neben Fingerprint-Sensoren, für die es Standard-Lösungen für die Anmeldung zum Beispiel an Notebooks und Smartphones gibt, könnten auch noch die Spracherkennung und die „Tipp-Erkennung“ für einen Einsatz interessant sein. Komplexere Lösungen, die man aus Filmen kennt (etwa Irisscanner) sind für den Einsatz in kleinen Unternehmen ungeeignet. Prüfen Sie, ob es für den Einsatz von biometrischen Verfahren in Ihrem Unternehmen Vorbehalte gibt. Wenn nicht, könnte der Einsatz zum Beispiel von Fingerprint-Sensoren für die Anmeldung an Endgeräten eine interessante Alternative zu komplexen Passwörtern sein. 40 4.7 Verschlüsselung von Daten Vertrauliche Daten sollten auf einem Endgerät zusätzlich geschützt werden. Sie sollten auch dann noch sicher sein, wenn das Endgerät einem Dieb in die Hände fällt oder von einem Hacker übernommen werden kann. Entsprechenden Schutz bietet Verschlüsselung. Es gibt in diesem Zusammenhang drei Varianten: ■ Die Festplatte wird vollständig verschlüsselt. Dies bietet sich an, wenn man für das gesamte Unternehmen eine einheitliche, zentral administrierbare Lösung haben möchte. Dies geht nicht bei allen Endgeräten, ist aber für die meisten StandardNotebooks verfügbar. ■ Es wird eine Datei als „verschlüsseltes Dateisystem“ angelegt, welches wie eine zusätzliche Festplatte wirkt. Dies bietet sich für Freiberufler oder kleinere Unternehmen an, für die eine zentrale Administration zu teuer ist. ■ Dateien werden einzeln verschlüsselt. Dies ist die flexibelste Lösung, aber auch die am wenigsten kontrollierbare. Betriebssystemhersteller bieten inzwischen Funktionen für alle drei Varianten an. Oft ist der mitgelieferte Schutz für die meisten Bedürfnisse ausreichend, spezialisierte Lösungen unterscheiden sich durch die bessere Administrierbarkeit. Nutzen Sie für vertrauliche Daten immer eine Verschlüsselungssoftware. Der einfache Passwortschutz von Dateien (zum Beispiel in Word oder PDF) ist nicht sicher, da dieser ohne größeren Aufwand oder Fachkenntnisse umgangen werden kann. ZIP-Verschlüsselung hingegen ist inzwischen für kurzfristigen Schutz gut verwendbar. 41 4.8 Problemfall USB Auch wenn USB an sich eine ausgesprochen komfortable Schnittstelle darstellt, auf die kaum jemand verzichten möchte, birgt sie auch Gefahren und Risiken. Folgende Punkte sollten sie berücksichtigen: ■ Über USB-Speichermedien (auch USB-Stick genannt) können Viren und andere Schädlinge leicht ein Notebook oder PCSystem infizieren. ■ Über USB-Schnittstellen kann ein Notebook mit Funktionen ausgestattet werden, die von der Administration nicht geplant oder gewünscht sind (zum Beispiel UMTS-Funktionalität) ■ Vertrauliche oder firmeninterne Daten können auf einen USBStick geladen werden und auf diesem Weg unbemerkt illegal außer Haus gelangen. Im Prinzip ist es möglich, die USB-Schnittstelle zu deaktivieren. Bei einfachen Lösungen kann es jedoch zu unerwünschten Nebenwirkungen kommen, so dass zum Beispiel die USB-Maus nicht mehr verwendet werden kann. Professionelle Lösungen lassen eine Unterscheidung der angeschlossenen Geräte zu, so dass etwa die Nutzung der Maus weiterhin möglich, der Datenstick jedoch verboten ist. Solche Lösungen werden „EndPoint Security Policy Enforcement“ genannt. Diese Lösungen sind sehr flexibel. So ist es zum Beispiel auch möglich, nur „zertifizierte“ USB-Sticks zu erlauben, nicht zertifizierte werden bei Benutzung an den Administrator gemeldet. Überlegen Sie, ob die Kontrolle der USB-Ports für Sie sicherheitstechnisch Vorteile bringt. In vielen Fällen können bei der direkten InternetVerwendung die gleichen Risiken auch anders entstehen, daher relativiert sich der Nutzen solcher Lösungen. 42 4.9 Data Loss Prevention Was in dem letzten Abschnitt schon angedeutet wurde, stellt in der Praxis ein immer größeres Risiko dar: das „Abziehen“ von vertraulichen Informationen und Übermitteln an externe Dritte, also Spionage. Dies kann über vielerlei Kanäle geschehen, vom Versenden per E-Mail über Hochladen auf einen Web-Server oder - wie schon genannt – Exportieren per USB-Stick bis hin zum Drucken oder gar Abfotografieren von Bildschirminhalten. Technisch firmieren die Lösungen, die einen ungewollten Abfluss von Informationen kontrollieren sollen, unter „Data Loss Prevention“ (DLP) Tools. Der Einsatz solcher Tools, seien sie auch noch so vielversprechend, zur Verhinderung von Spionage ist mit Vorsicht zu betrachten. Zum einen ist das Entwickeln von Prüfmustern, um die gewollte von der unerlaubten Nutzung zu unterscheiden, recht aufwändig und mit vielen Falschmeldungen versehen, zum anderen steht ein solches Kontrollinstrument einer vertrauensvollen Mitarbeiterkommunikation deutlich entgegen. In bestimmten, stark schützenswerten Bereichen kann ein Einsatz aber durchaus sinnvoll sein. Prüfen Sie, ob Sie Bereiche im Unternehmen haben, die überwiegend mit vertraulichen Informationen arbeiten. Dort kann sich der Einsatz einer DLP-Lösung bezahlt machen. 43 4.10 Checkliste Die folgende Checkliste können Sie zur Prüfung des Sicherheitszustands eines einzelnen PCs verwenden. ■ Ist auf Ihrem System die Firewall aktiviert? ■ Sind alle vom Hersteller Ihres Betriebssystems empfohlenen Sicherheitsupdates installiert? ■ Ist Ihr Browser aktuell und mit allen Sicherheitsupdates versorgt? ■ Ist Ihr Browser sicher konfiguriert? ■ Ist ein lokaler Virenscanner auf dem System installiert und wird dieser permanent aktualisiert? ■ Sind vertrauliche Daten auf Ihrer Festplatte verschlüsselt? ■ Ist der Zugang zu Ihrem System mit einem Passwortschutz versehen? ■ Verwenden Sie sichere Passwörter? ■ Haben Sie Ihren E-Mail Client sicher konfiguriert? ■ Sind alle vom jeweiligen Hersteller Ihrer Betriebssysteme und Anwendungen empfohlenen Sicherheitsupdates installiert? ■ Verwenden Sie zur Verteilung solcher Updates eine zentrale Lösung? ■ Ist der USB-Anschluss deaktiviert, bzw. ist er durch einen Administrator kontrollierbar? ■ Gelten für Ihre PDAs und Smartphones gleich hohe Sicherheitsstandards wir für Ihre Notebook ■ Sind die Bluetooth- und Infrarotschnittstellen Ihrer Handys, PDAs und Notebooks deaktiviert, wenn diese nicht verwendet werden? 44 5 Sichere Firmennetzwerke Grundsätzlich ist anzumerken, dass sich im Bereich der Netzwerkarchitekturen in den letzten Jahren viel getan hat. Dies ist insbesondere dadurch bedingt, dass durch die vielen „Cloud“-Angebote, also Produktivitäts- oder Business-Anwendungen für Firmen im Internet, und die Technologie der Virtualisierung vieles einfacher geworden ist. In diesem Kapitel gehen wir auf die wichtigsten Sicherheitsaspekte in Bezug auf eigene Netzwerke ein. Unter einem lokalen Netz (auch LAN = Local Area Network genannt) verstehen wir hier ein räumlich begrenztes Netzwerk, wie zum Beispiel PCs und Drucker in einem Gebäude oder einer Etage. Meistens bestehen lokale Netze aus zahlreichen Arbeitsplatzrechnern, einem oder mehreren Servern und zentralen Druckern, sowie Netzwerkkomponenten (zum Beispiel Switches). Das Ziel eines lokalen Netzes ist die Zusammenarbeit der einzelnen Komponenten untereinander und somit das Teilen von Ressourcen, wie zum Beispiel Drucker und gemeinsame Dateiablagen. Der Schutz eines lokalen Netzes erfolgt durch mehrere Komponenten: Die Firewall regelt als „Pförtner“ die Kommunikation zwischen dem lokalen Netz und dem Internet. Zentrale Content-Filter finden und unterdrücken in von Ihren Mitarbeitern angeforderten Web-Seiten Schädlinge oder unerwünschte Inhalte. Virtuelle Private Netze (VPN) erlauben die Kopplung von Standorten und Partnern über das Internet. Durch Authentifikation und Verschlüsselung ist die Sicherheit in einem VPN höher als bei dedizierten Leitungen oder Provider-Lösungen. Firewalls schränken für die Standortkommunikation, die Anbindung von Partnern oder Fernwartungszugänge die Kommunikation auf das notwendige Maß ein und verbessern so die Sicherheit Ihres lokalen Netzes. 45 Um als „Kunde“ Funknetze sicher nutzen zu können, kommen die gleichen Schutzverfahren wie bei mobilen Mitarbeitern und Heimarbeitsplätzen zum Einsatz. Baut man hingegen eine WLAN-Struktur selbst auf, so ist zusätzlich erhebliche Sorgfalt bei der Planung und Implementierung der Sicherungsmaßnahmen erforderlich. Wir gehen davon aus, dass das gesamte Netzwerk zentral mit dem Internet verbunden ist. 5.1 Schutz vor Zugriff von außen 5.1.1 Zentrale Firewall Wie bereits erwähnt sind lokale Netze in der Regel zentral an das Internet angebunden. Dies erfordert zwingend einen wirkungsvollen Schutz vor unberechtigten Zugriffen am zentralen Übergangspunkt in das öffentliche Internet. Diese Aufgabe wird in der Regel durch eine zentrale Firewall wahrgenommen. Sie regelt und steuert den Datenverkehr zwischen dem lokalen Netz und dem öffentlichen Internet. Eine zentrale Firewall ist für ein Unternehmen mit zentraler Anbindung an das Internet zwingend erforderlich und stellt eine der Grundlagen für die Gesamtsicherheit dar. In kleineren Betrieben mit bis zu fünf PC-Arbeitsplätzen reicht in der Regel die Firewall aus, die der DSL-Router beinhaltet. Selbstverständlich ist auch bei diesen Firewall-Lösungen eine korrekte Konfiguration unerlässlich. 46 Wenn nur der kleinste Zweifel an der Korrektheit der Konfiguration besteht, sollte eine Überprüfung durch einen Spezialisten erfolgen. Worauf muss man bei der Auswahl einer Firewall achten? Sie sollten unbedingt darauf achten, dass die Firewall Ihrer Wahl leicht erweiterbar ist und zukünftige Szenarien abdecken kann. Das Produkt sollte leicht administrierbar sein und nicht mehr als ca. vier Stunden pro Monat an administrativem Aufwand verursachen. Selbstverständlich kann der genannte Aufwand in Sondersituationen (zum Beispiel mehrere sicherheitsrelevante Updates in einem Monat) von dieser Schätzung abweichen. Wichtig ist vor allem, dass Ihre Firewall immer auf dem neuesten Stand ist, nur von geschultem Personal administriert und regelmäßig von neutraler Stelle überprüft wird! Einfache Überprüfungen werden über Internetseiten angeboten (zum Beispiel http://www.auditmypc.com). Dort gibt man die Adresse seiner Firewall an und erhält kurze Zeit später einen Online-Bericht. Bitte beachten Sie, dass solche automatisierten Tests nie eine professionelle Überprüfung durch einen IT-Dienstleister mit Schwerpunkt Security-Tests ersetzen können. 47 5.1.2 Demilitarisierte Zone (DMZ) Ein System ist „exponiert“, wenn es vom Internet aus erreichbar ist. Beispiele hierfür sind Web- oder Mail-Server. Da aber jedes weltweit erreichbare System prinzipiell gefährdet ist, sollten Sie Ihr lokales Netzwerk auch vor Ihren exponierten Systemen schützen. Hierzu wird eine so genannte „Demilitarisierte Zone“ (DMZ) aufgebaut. Internet Webserver Mailserver Internet Zugangsrouter Zentrale Firewall Netz der DMZ DMZ Lokales Netzwerk Dabei handelt es sich um ein eigenständiges Netzwerk an einem eigenen Anschluss Ihrer Firewall. Die Firewall kann so nicht nur die Kommunikation zwischen dem Internet und den exponierten Systemen, sondern auch zwischen der DMZ und Ihrem lokalen Netz kontrollieren und einschränken. 48 Betreiben Sie eigene Server, so sollten Sie diese in eine DMZ stellen. 5.1.3 Zentraler Virenschutz Im Unterschied zum lokalen Virenschutz ist in lokalen Netzwerken ein zentraler Virenschutz ratsam. Dieser kann aus bis zu drei Komponenten bestehen: ■ Einem zentralen Gateway-Virenscanner, der alle Daten am Übergang vom lokalen Netz zum öffentlichen Internet überprüft. ■ Einer zentralen Schutzlösung für die Endgeräte, die Updates vom Hersteller bezieht und automatisch an die Endgeräte verteilt. ■ Spezial-Scannern zum Schutz einzelner Server (zum Beispiel Mailserver). Sollten Sie sowohl einen Gateway-Virenscanner, als auch lokale Virenschutzsysteme einsetzen, empfehlen wir den Einsatz unterschiedlicher Hersteller. Dadurch wird die Erkennungswahrscheinlichkeit gesteigert. Moderne Netz-Zugangsdienstleister bieten inzwischen auch Komplettpakete an, bei denen der Virenschutz bzw. Malware-Schutz schon integriert ist. Dies ist gerade für kleinere Unternehmen mit 5 bis 50 Arbeitsplätzen sehr interessant. Selbstverständlich gilt für alle Komponenten des zentralen Virenschutzes: Die Schutzfunktion ist nur bei permanenter Aktualisierung des Scanners gegeben. 49 5.1.4 Sichere Nutzung des Internet Neben einer sicheren Konfiguration des Browsers sind bei einem zentralen Zugriff auf das Internet in einem lokalen Netz weitere Schutzmaßnahmen empfehlenswert. Ziel ist es, die Anwender und das lokale Netzwerk vor den Inhalten, die der „Schmutzfink“ unter den beschriebenen Übeltätern publiziert, zu schützen. Um das Internet sicher zu nutzen, ist der Einsatz eines sogenannten Proxy-Servers (auch kurz als „Proxy“ bezeichnet) sinnvoll. Er dient als Stellvertreter für den Arbeitsplatz-PC, der nun seine Anfrage nach einer Internetseite nicht direkt an den Webserver im Internet sendet, sondern an den Proxy. Dieser ruft dann die angeforderte Seite ab und stellt sie dem Arbeitsplatz-PC zur Verfügung. Dieses Vorgehen ermöglicht die Kontrolle der abgerufenen Inhalte auf bösartigen Code und den Einsatz von Filterlisten. Diese Filterlisten können abonniert werden und enthalten die Adressen von Webseiten mit zweifelhaften Inhalten, geordnet nach Kategorien wie zum Beispiel Pornografie, Glücksspiel oder Gewalt. Der Administrator kann definieren, welche Seiten für den Anwender nicht zugänglich sind. Ein weiterer Vorteil eines Proxy-Servers ist seine Fähigkeit, Internetseiten zwischen zu speichern. Bei statischen Seiten werden dem Benutzer dann die Inhalte aus dem Speicher des Proxy zur Verfügung gestellt und müssen nicht erneut vom Webserver geladen werden. Wichtig beim Thema Proxy Server ist, dass durch die Speicherung von Verbindungsdaten eventuell Rückschlüsse darauf gezogen werden können, welcher Mitarbeiter zu welcher Zeit auf welche Webseiten zugegriffen hat. Deshalb sollten Sie vor der Einführung eines solchen Systems mit Ihrem Betriebsrat und Ihrem Datenschutzbeauftragten sprechen. 50 Überlegen Sie, ob sich für Sie die Einführung eines Proxy-Servers lohnt. 5.2 Sichere Mailverteilung Es wird zunehmend sinnvoller, E-Mail-Dienste direkt aus dem Internet zu beziehen und keinen eigenen Mail-Server zu betreiben. Gerade aus Sicherheitssicht ist es von Vorteil, die Dienste der großen Anbietern in Anspruch zu nehmen (zum Beispiel von 1und1 oder von Google). Da aber viele noch den „klassischen“ Weg bevorzugen, haben wir die Sicherheitsanforderungen für den eigenen Betrieb von E-Mail hier mit aufgenommen. Sowohl auf dem „Mail-Relay“ (dieses nimmt E-Mails vom Internet an und leitet sie in das lokale Netz weiter) als auch auf dem „MailServer“ (auf ihm liegen die Postfächer Ihrer Mitarbeiter) müssen verschiedene Schutzmaßnahmen implementiert werden: ■ Die zentrale Kontrolle auf Viren, Würmer oder andere, per Mail verteilte Schädlinge erfolgt durch einen Viren-Scanner auf dem Mail-Server (vgl. Kapitel 5.1.2). Dadurch werden Schädlinge auch erkannt und vernichtet, wenn sie innerhalb Ihres Netzes per Mail versendet werden. ■ Auf dem Mail-Relay erfolgt das Erkennen und gegebenenfalls Löschen von unerwünschter E-Mail (SPAM). Die Postfächer Ihrer Mitarbeiter werden so von Werbemüll weitgehend freigehalten. Aus rechtlichen Gründen sollten Sie Ihre Mitarbeiter über die implementierten Filtermaßnahmen informieren und den Betriebsrat frühzeitig in die Planungen einbeziehen. ■ Die sorgfältige Konfiguration des Mail-Relays bzw. des MailServers verhindert den Missbrauch Ihrer Mail-Infrastruktur durch Spammer. Durch unsichere Konfiguration wird Ihr MailSystem nämlich zum sogenannten offenen Relay: Ein Spammer kann über ein solches System auf Ihre Kosten seinen Werbemüll an tausende Empfänger verteilen. Viele 51 ■ E-Mail-Systeme verweigern außerdem den Empfang von elektronischer Post von solchen offenen Relays, was neben dem finanziellen und Image-Schaden auch noch zu Kommunikationseinschränkungen führt. Die sicherheitsrelevante Konfiguration eines Mail-Systems ist grundsätzlich sehr komplex und sollte ausschließlich von erfahrenen Administratoren durchgeführt werden. Schon kleine und auf den ersten Blick unbedeutende Fehler können weit reichende Folgen haben! Da diese Erfahrung in der eigenen IT oft nicht vorhanden ist und der Aufbau dieser speziellen Kenntnisse mit hohen Kosten verbunden ist (Schulung, Zertifizierung, fortlaufende Aktualisierung der Kenntnisse, etc.) empfiehlt sich hier ein Outsourcing. Zum besseren Verständnis zeigt die folgende Grafik den Verlauf einer E-Mail vom Sender zum Empfänger: Mailrelay zentraler des Empfängers Virenscanner Ihr Mailserver z.B. 1&1 oder Stratoil Internet Ihr PC (Absender) PC des Empfänger Mailserver Empfänger Netzwerk des Empfängers Ihr Netzwerk 52 Überlegen Sie, ob sich ein selbst betriebener E-Mail-Server (inkl. Kalender- und Kontakte-Funktion) wirklich lohnt, oft sind die Angebote von spezialisierten Dienstleistern günstiger und sicherer. 5.3 Sicherheit für verbundene Netze Ein VPN (Virtual Private Network = virtuelles privates Netz) verbindet die Netzwerke der Standorte eines Unternehmens, Heimarbeitsplätze, mobile Mitarbeiter, Lieferanten und Partnerfirmen über das öffentliche Internet. Authentifizierung und Verschlüsselung sorgen dafür, dass Dritte die ausgetauschten Daten weder lesen noch ändern können. Vergleicht man das Internet mit dem Austausch von Informationen über den klassischen Postweg, so sorgt das VPN für den Schutz Ihrer Postkarten und Briefe durch Einschließen in eine einbruchssichere Schatulle, zu der nur der beabsichtigte Empfänger einen Schlüssel besitzt. 5.3.1 Netzkopplung von Standorten Die Kopplung von Standorten erfolgt über die Firewall-Systeme der einzelnen Niederlassungen („Site to Site VPN“). Dabei spielt es keine Rolle, mit welcher Technik oder über welchen Anbieter die Standorte mit dem Internet verbunden sind. Da im Gegensatz zu dedizierten Verbindungen hier die Kommunikation vor dem Verlassen Ihrer IT-Systeme verschlüsselt wird, kann nicht einmal der Provider Ihre ausgetauschten Informationen mitlesen. VPNs stellen somit eine preiswerte und vor allem sicherere Alternative zu dediziert angemieteten Leitungen oder Provider-basierten Lösungen (so genannten „Wide Area Networks“, WANs) dar. 53 Wie auch bei der Konfiguration der Firewall am zentralen InternetZugang, sollte für die Anbindung von Standorten das Minimalitätsprinzip gelten: Nur die wirklich erforderliche Kommunikation wird erlaubt, also Web und E-Mail. Die Verwendung von Proxies, die weitere Protokolle „tunneln“ können, sollte vermieden werden. 5.3.2 Einwahl von „mobilen Arbeitern“ Für die Anbindung von Heimarbeitsplätzen und mobilen Mitarbeitern kommt eine PC-basierte Softwarelösung zum Einsatz. Auch diese VPN-Technik ist unabhängig von der Art des Internet-Zugangs und kann somit für DSL, Dial-In, WLAN und UMTS benutzt werden. Bei der Anbindung von Heimarbeitsplätzen an das Netzwerk des Unternehmens muss auf eine sichere bzw. starke Authentifizierung geachtet werden. Weitere Informationen zum Thema Authentifizierung finden Sie in Kapitel 5.3.5. Eine Alternative zu der Einbindung des Endgeräts mit VPN sind „Virtual Desktops“, also virtuellen Maschinen (vgl. Kapitel 5.6), an die man sich über das Web anmelden kann (zum Beispiel Windows Terminal Services oder Citrix). Damit kann eine Sicherheitsprüfung des Endgeräts entfallen, und im Prinzip ist damit der Zugriff von jedem Internet-fähigen Rechner aus möglich. Auf jeden Fall sollte auch hier eine starke Authentifizierung erfolgen. Die Einbindung von mobilen Arbeitern ist inzwischen nicht nur Standard, sondern oft Voraussetzung für modernes Arbeiten. Entsprechend sollte eine Lösung flexibel, komfortabel und sicher sein. 54 5.3.3 Netzkopplung mit Partnern Die Anbindung von Partnerfirmen und Lieferanten erfolgt analog zur Ankopplung der eigenen Standorte über ein „Site to Site VPN“. Die Partner verbinden sich also – unabhängig von Anwendungen – auf Netzwerkebene. Allerdings sollten Sie nicht darauf vertrauen, dass Ihre Partner die IT-Sicherheit genau so ernst nehmen wie Sie. Erlauben Sie ihnen nur Zugriff auf die tatsächlich erforderlichen Systeme und nur mit den tatsächlich benötigten Diensten. Überlegen Sie aber, ob Sie dies wirklich benötigen, oft ist eine WebAnwendung für Partner ohne VPN einfacher zu realisieren. Die für Ihre Partner erreichbaren Syteme sollten in einer eigenen demilitarisierten Zone untergebracht werden ("Partnernetz"). Siehe auch Kapitel 5.1.2. 5.3.4 Fernwartung durch Dritte Häufig erfolgt die Fernwartung verschiedener Systeme durch Hersteller oder externe Dienstleister. Dabei sollten Sie, analog zur Anbindung von Partnern, auf den Einsatz von VPNs oder zumindest auf verschlüsselte Fernwartungsverbindungen (zum Beispiel SecureShell SSH) bestehen. Zusätzlich schränkt die Firewall die Fernwartungsverbindungen auf das notwendige Maß ein, das heißt sie kontrolliert, ob das anfragende System zur Fernwartung berechtigt ist. Besonders sicherheitsbewusste Unternehmen deaktivieren den ständigen Fernwartungszugang und schalten diesen nur bei Bedarf ein. Eine Einwahl per Modem oder ISDN ist heute nicht mehr Stand der Technik, da sie keine zentrale Kontrolle bzw. Protokollierung der Fernwartungstätigkeiten bietet, wie zum Beispiel bei einer Firewall, die Zugriffe in einer Protokolldatei dokumentiert. 55 5.3.5 Authentifizierung Die Verschlüsselung der ausgetauschten Daten in einem Remote Access oder Partner VPN sorgt für Vertraulichkeit. Eine Personal Firewall auf dem mobilen System schützt vor Angriffen aus dem Internet. Offen bleibt die Frage, wer sich tatsächlich am anderen Ende der gesicherten Verbindung befindet. Diese Frage wird mit Hilfe von Verfahren zur Authentifizierung beantwortet. Passwörter sollten hierfür nicht verwendet werden, da sie ein zu großes Risiko darstellen. Deshalb setzt man im sicherheitsbewussten Umfeld auf die Authentifizierung durch zwei Faktoren: Der Anwender benötigt zur Anmeldung zunächst ein Stück Hardware, wie beispielsweise eine Chipkarte oder einen Passcode-Generator. Diese auch als „Token“ bezeichneten Geräte lassen sich weder durch Beobachtung noch bei direktem Zugriff duplizieren. Der Verlust des Tokens wird somit beim nächsten Anmeldeversuch bemerkt. Damit der Angreifer mit einem erbeuteten Token nichts anfangen kann, muss sich der Anwender zusätzlich durch ein Passwort oder eine PIN identifizieren. Erst durch das Zusammenspiel von Wissen (Passwort, PIN) und Besitz (Token) können sich Anwender identifizieren. Für die Anmeldung von mobilen Benutzern und Heimarbeitern sollte die Zwei-Faktor-Authentifizierung Pflicht sein. Sie kann aber auch im lokalen Netz selbst für die Identifikation von Anwendern eingesetzt 56 werden und sorgt so für eine durchgängiges Authentifizierungskonzept, auf dessen Basis den einzelnen Benutzern Zugriffsrechte, zum Beispiel auf Server oder Dateien, zugewiesen werden können. Natürlich möchten wir Ihnen nicht verschweigen, dass Lösungen zur Zwei-Faktor-Authentifizierung komplex sind und somit relativ hohe Kosten verursachen. Aus diesem Grund haben die wichtigsten Hersteller so genannte Mittelstandspakete geschnürt, die alles enthalten, was zur sicheren Authentifizierung nötig ist und preislich an den Markt angepasst sind. So erhalten Sie Komplettlösungen für 25 Mitarbeiter schon für deutlich weniger als 5.000 Euro. 5.4 Drahtlose Netze (WLAN) Drahtlose Netze wie beispielsweise WLANs, GSM, UMTS oder Richtfunk gewinnen immer mehr an Bedeutung. Während die meisten Firmen GSM, UMTS oder Richtfunkstrecken nur als „Kunde“ nutzen, werden WLAN-Techniken häufig zum Aufbau eigener Netze verwendet und bedürfen daher sicherheitstechnisch besonderer Aufmerksamkeit. 5.4.1 Funknetze als Kunde verwenden Die Nutzung von UMTS bzw. GSM zur Kommunikation über Mobilfunknetze oder des ständig wachsenden Angebots an WLAN-Hotspots in Hotels, Flughäfen, Bahnhöfen oder Internet-Cafés führt zu einer neuen Art von Bedrohung. Im Vergleich zu mobilen Mitarbeitern oder Heimarbeitsplätzen erfolgt die Kommunikation nicht mehr drahtgebunden, sondern per Funk. Die erforderlichen Schutzmaßnahmen (Remote Access VPN und starke Authentifikation) sollten auch hier zum Einsatz kommen. 57 5.4.2 WLANs selbst aufbauen Im Gegensatz zur Nutzung eines WLANs als Kunde erfordert der Aufbau eines eigenen WLANs mittels sogenannter Access Points zusätzliche Schutzmaßnahmen. Sie sind nun nicht mehr nur als „Kunde“, sondern gleichzeitig auch als „Anbieter“ drahtloser Kommunikationsdienste tätig. Dies kann sogar unbeabsichtigt und unbewusst erfolgen, wenn Sie zum Beispiel vergessen, auf Ihrem neuen (privaten) DSL-Router das von Ihnen nicht benötigte WLAN zu deaktivieren. Im Gegensatz zu Ihrer kabelgebundenen Infrastruktur wird Ihr WLAN nicht durch Mauern oder Türen geschützt. Ein Angreifer kann sich aus der Ferne mit Ihrem WLAN verbinden, Daten ausspionieren oder einfach Ihre Infrastruktur und Ihre Internet-Anbindung auf Ihre Kosten und auf Ihr Risiko mitbenutzen. Daher sollten die folgenden Schutzmaßnahmen Beachtung finden: ■ Blockieren Sie die Administration Ihrer WLAN-Geräte über die Funkschnittstelle! Dies ist in der Konfiguration oft leicht möglich. ■ Aktivieren Sie die Verschlüsselung der Funkstrecke. Hier sollte WPA2 zum Einsatz kommen. Das oft anzutreffende Verfahren WEP (Wire Equivalent Privacy) kann mittlerweile von Hackern mit geringem Aufwand entschlüsselt werden. ■ Achten Sie darauf, dass Ihr Access Point unverschlüsselte Verbindungen ablehnt. ■ Verwenden Sie zur Verschlüsselung sichere Passwörter (vgl. Kapitel 4.5). 58 ■ ■ ■ Handelt es sich um wenige PC-Systeme oder Notebooks, die via WLAN kommunizieren, deaktivieren Sie die automatische Vergabe von IP-Adressen (DHCP). Dies bewirkt, dass jemand bei dem Versuch, sich unautorisiert mit Ihrem WLAN zu verbinden, keine Adresse aus Ihrem Netzwerk zugeteilt bekommt. Verlassen Sie sich nicht auf die MAC-Filterung. Diese bewirkt, dass sich nur solche Notebooks mit Ihrem WLAN verbinden können, deren MAC-Adresse in einer Positivliste enthalten ist. Die MAC-Adresse Ihrer Netzwerkkarte ist eine eindeutige Kennung, die herstellerseitig vergeben wird und einmalig ist. Leider kann man diese Kennung leicht manipulieren. Platzieren Sie Ihre Access Points in einer eigenen demilitarisierten Zone Ihrer Firewall (vgl. Kapitel 4.3) und schränken Sie die Kommunikation von der WLAN-Zone in Richtung LAN und Internet restriktiv ein. So können Sie zum Beispiel für Gäste und Mitarbeiter ein WLAN einrichten, dass mit einem Passwort geschützt ist. Dieses WLAN stellt aber „nur“ Internet-Zugang zur Verfügung, so dass Mitarbeiter die Remote-Access-VPN Lösung einsetzen müssen, um auf firmeninterne Daten und Anwendungen zuzugreifen. Die sicherste Lösung ist, WLAN komplett abzuschalten. Dies ist aber oft nicht mehr sinnvoll, entsprechend sind die oben genannten Sicherheitseinstellungen vorzunehmen. 59 5.5 Netzwerküberwachung Noch vor einigen Jahren war die Überwachung des Netzwerks ausschließlich für größere Unternehmen ein Thema. Inzwischen sind zum einen die Standard-Produkte wie Firewalls und VPN-Lösungen in diesem Punkt ausgereift, zum anderen gibt es auch Angebote für kleine und mittelständische Unternehmen, die handhabbar und bezahlbar sind. Bei der Überwachung des Netzwerks geht es darum, Anomalien zu entdecken und gegebenenfalls Angriffe zu identifizieren. Dazu zählen Hacking-Angriffe, aber auch fremde, unerlaubte Rechner oder USBSticks, oder ein (zu) hohes Datenaufkommen. Die zentrale, musterbasierte Erkennung von Hacking-Angriffen liefern sogenannte Intrusion-Detection-Systeme (IDS). Sie sind entweder Teil der Firewall oder bilden eigene Installationen. Bei IDS ist zu beachten, dass diese System oft - systembedingt - Fehlalarme auslösen können, sie erfordern also in der Praxis ein aufwändiges Feintuning. Die Zusammenführung der Informationen erfolgt mit einem sogenannten Security Information and Event Management (SIEM) Tool. Diese aggregieren Informationen aus verschiedensten Quellen (zum Beispiel auch die Aktualität der Betriebssysteme von Rechnern im Netz) und können neben einer Bedrohungsanalyse auch Analysen von vorliegenden Angriffen liefern. Prüfen Sie, ob eine Netzwerküberwachung für Sie in Frage kommt, sprechen Sie mit Anbietern von IDS und SIEM-Systemen. Häufig ist in diesem Bereich allerdings weniger mehr, d.h. je vollständiger die Lösung, desto aufwändiger der Betrieb. Interessant ist eventuell die Verwendung von „Managed Security Services“, also das Outsourcen der Netzwerküberwachung (meist inklusive Firewall-Konfiguration). 60 5.6 Virtualisierung Unter Virtualisierung versteht man die Verwendung von Betriebssystemen, die selbst in einer Software-Umgebung laufen statt auf einem Rechner in Hardware. So genannte virtuelle Maschinen werden auf den Gastgeber- oder Host-Systemen installiert, in denen dann GastBetriebssysteme laufen können. Typischerweise wird Virtualisierung eingesetzt, um Anwendungen in Testumgebungen laufen zu lassen, oder um eine bessere Auslastung von Hardware zu erreichen. Zum Beispiel wird Web-Hosting inzwischen meist auf der Basis virtueller Maschinen angeboten. Sofern Sie keine Software herstellen oder selbst entwickeln, ist Virtualisierung für Sie vermutlich weniger interessant. Für den sicheren Zugriff von „außen“ ist die Verwendung von Virtual Desktop Technologie (vgl. Kapitel 5.3.2) gegebenenfalls als Alternative zu VPN interessant. Ein interessantes Szenario könnte aber dennoch sein, dass Sie für Endgeräte virtuelle Maschinen bereit stellen, mit denen ein sicherer Internetzugang möglich ist, oder mit denen man auf bestimmte Anwendungen im Firmennetzwerk zugreifen kann (etwa SAP). Aus Sicherheitssicht ist daran interessant, dass man die Sicherheitsanforderungen (oder oft auch die Sicherheit aushöhlenden Anforderungen der Anwendungen) nicht auf den Endgeräten direkt umsetzen muss. Prüfen Sie, ob Sie Virtualisierung sinnvoll in Ihrem Unternehmen einsetzen können. Komplexe sicherheitsbezogene Anforderungen von bestimmten Anwendungen können damit oft leichter gelöst werden. 61 5.7 Checkliste Mit Hilfe der folgenden Checkliste können Sie den Sicherheitsstatus Ihres Netzwerkes grob überprüfen. ■ Ist Ihr lokales Netz durch eine zentrale Firewall vor dem Internet geschützt? ■ Sind die Administratoren der zentralen Firewall für das Produkt ausreichend geschult? ■ Wird die zentrale Firewall überwacht und regelmäßig aktualisiert? ■ Ist auf der Firewall nur die Kommunikation erlaubt, die tatsächlich benötigt wird? ■ Sind vom Internet aus erreichbare Systeme in einem separaten Netzwerksegment (DMZ) aufgestellt? ■ Werden ein- und ausgehende Mails sowie lokal versendete Mails zentral auf Viren und andere Schädlinge untersucht? ■ Werden die Virensignaturen auf dem zentralen Virenscanner automatisch und regelmäßig (1x pro Tag, mindestens aber im kleinsten Intervall das der Hersteller anbietet) aktualisiert? ■ Wird auf den Arbeitsplätzen ein anderes Virenscanner-Produkt eingesetzte als am zentralen Übergang in das Internet? ■ Werden Ihre Internet-Downloads zentral auf Schädlinge überprüft? ■ Können Sie den Zugang zu dienstlich nicht relevanten Internetangeboten für Mitarbeiter und Auszubildende unterbinden, wenn dies gewünscht ist? 62 ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ Verhindert Ihr Mail-Server den Versand und Eingang von SPAM? Ist die Kommunikation zwischen Ihren Standorten verschlüsselt? Ist die Kommunikation zwischen den Standorten auf das tatsächlich erforderliche Maß eingeschränkt? Sind die für Partner erreichbaren Systeme in einer eigenen DMZ untergebracht? Wird die Kommunikation mit Ihren Partnern über ein VPN abgewickelt? Erfolgt der Fernwartungszugang zu Ihren Systemen über SecureShell oder verschlüsseltes http? Wird die Administration Ihrer WLAN-Systeme über die Funkschnittstelle unterbunden? Verwendet Ihr WLAN eine starke Verschlüsselung (zum Beispiel WPA2) Lehnt Ihr Access-Point unverschlüsselte Verbindungen ab? Werden zur Verschlüsselung sichere Passworte verwendet? Sind die Access Points in einem separaten Netzwerksegment aufgestellt und von der Firewall geschützt? Setzen Sie zur Identifikation Ihrer (Remote)Mitarbeiter eine Zwei-Faktor-Authentifizierung ein? Setzen Sie eine Überwachung Ihres Netzwerks ein, evtl. als Managed Security Service? Haben Sie geprüft, ob Virtual Desktops für Sie eine lohnende Alternative zum VPN-Zugang darstellen? 63 6 Sichere Anwendungen Viele Unternehmen betreiben Applikationen, die durchaus als geschäftskritisch zu bezeichnen sind, weil entweder ein Großteil des Umsatzes mit einer Applikation erwirtschaftet wird (zum Beispiel Versteigerungsplattformen und Online-Buchläden) oder die Applikation an sich als Produkt vertrieben wird (zum Beispiel Softwarehäuser). In beiden Fällen ist die Sicherheit der Applikationen für Ihr Geschäft lebensnotwendig. Angriffe müssen nicht immer auf Netzwerkebene erfolgen – immer häufiger sind die Anwendungen selbst das Ziel des Angriffs. Der Trend zum E-Business oder das erfolgreiche Erschließen neuer, transaktionsbasierter Geschäftsfelder kann hierbei ungeahnte Gefahren mit sich bringen. Denn nicht selten sind die dafür maßgeblichen Applikationen nur unzureichend vor individuellen Angriffen geschützt. Die Risiken: ■ Nutzer- und Administrationsrechte werden von Unbefugten übernommen. ■ Daten werden entwendet, gelöscht oder missbräuchlich manipuliert. ■ Der Betrieb des Systems kann nachhaltig gestört werden. Die daraus resultierenden Schäden können beträchtlich sein. Wird Ihre Web-Applikation durch ungesicherte Server und Datenbanken erfolgreich in die Knie gezwungen, bleibt ein Vertrauensverlust seitens der Kunden nicht aus. Der Imageschaden für Ihr Unternehmen ist nicht mehr zu verhindern. 64 In diesem Kapitel besprechen wir die wichtigsten Sicherheitsmaßnahmen für Software-basierte Anwendungen. Dazu zählen nicht nur Web-Anwendungen, sondern beispielsweise auch soziale Netzwerke, E-Mail oder IP-Telefonie. 6.1 Schutz von Internet-Auftritten In vielen Fällen ist der Internetauftritt eines Unternehmens die elektronische Visitenkarte, die repräsentativen Zwecken dient oder Besucher mit Informationen versorgt. Somit ist Ihr Auftritt im Web ein schützenswertes Gut. Ein ungeschützter Webauftritt kann schnell Ziel eines Angriffs werden. Imageschäden durch nicht verfügbare Webseiten oder manipulierte Inhalte können die Folge sein. Durch das Platzieren von illegalen Inhalten können neben rechtlichen Folgen auch zusätzlichen Kosten durch erhöhten Datenverkehr entstehen. Die folgenden Schutzmaßnahmen empfehlen wir dringend: ■ Wird der Webserver in den eigenen Räumlichkeiten betrieben, sollte er in der DMZ (siehe Kapitel 5.1.2) aufgestellt werden. ■ Wird der Webserver bei einem Dienstleister betrieben (dies sollte der Standard sein), sollten Sie darauf achten, dass auch dort die Anforderungen an die Sicherheit des Systems erfüllt werden. Neben einer Besichtigung der physikalischen Schutzeinrichtungen vor Ort sollten Sie sich die Maßnahmen zum Schutz der IT-Systeme auf Seiten des Dienstleisters schriftlich bestätigen lassen. ■ Wenn vom Endanwender des Webangebots vertrauliche oder persönliche Informationen an den Webserver übermittelt werden müssen (oder umgekehrt), sollten die Daten mittels SSL (Secure Socket Layer) verschlüsselt werden. SSL ist die gängige Verschlüsselungstechnologie für Webinhalte. 65 ■ ■ ■ Achten Sie dabei darauf, je nach Vertraulichkeitsstufe das passende SSL-Zertifikat zu erwerben. Es gibt dort erhebliche Unterschiede. Professionelle Web-Seiten mit E-Commerce-Anwendungen verwenden heute sogenannte „Extended Validation“-Zertifikate. Diese veranlassen den Browser, zusätzliche vertrauensbildende Ansichten zu verwenden (etwa: Web-Adresse oder Web-Seiten-Betreiber in grün, besonders hervorgehoben). Der Webserver sollte - wie jeder andere Server auch – immer auf dem aktuellsten Stand sein und fortlaufend mit Sicherheitspatches versorgt werden. Lassen Sie regelmäßig Penetrationstests gegen Ihre Webseite durchführen. Eine sichere Web-Seite ist die Voraussetzung für eine erfolgreiche Darstellung Ihres Unternehmens im Internet. Daher sollten Sie unbedingt diese grundlegenden Hinweise beachten. 6.2 Sichere E-Angebote Bedingt durch die Interaktions- und Eingabemöglichkeiten für den Benutzer bieten E-Commerce-Angebote weit mehr Angriffsmöglichkeiten als statische oder rein informative Internetseiten. Angriffe auf E-Commerce-Anwendungen erfolgen in der Regel über das Ausnutzen von Schwachstellen bei der Eingabeüberprüfung. In der Praxis werden also in Standardeingabefelder (zum Beispiel Benutzername) ganze Zeilen mit Programmcode eingegeben, die dann die Applikation veranlassen, etwa mehr Informationen preiszugeben als erlaubt. Dies kann passieren, wenn die Eingaben in Formularfeldern nur unzureichend überprüft werden. 66 Wie finde ich heraus, ob meine Anwendung sicher ist? Generell gibt es zwei Möglichkeiten, um eine Anwendung auf deren Sicherheit hin zu überprüfen. Sie können entweder den gesamten Programmcode der Anwendung überprüfen oder mit einem Werkzeug automatisiert (mit Hilfe sogenannter Security- oder ApplicationScanner) nach Sicherheitslücken suchen. Die Suche nach Sicherheitslücken kann selbstverständlich auch manuell erfolgen, bedeutet aber einen deutlich höheren Aufwand. Wichtig ist, dass beide Varianten durch erfahrene Spezialisten durchgeführt werden. Wie kann man eine unsichere Anwendung schützen? Sie sollten die entdeckten Schwachstellen auf jeden Fall durch eine Anpassung des Programmcodes beheben. Leider ist dies in manchen Fällen mit einem nicht vertretbaren Aufwand verbunden, bzw. dauert eine gewisse Zeit. In diesen Fällen empfiehlt es sich, die Applikation durch eine Spezial-Firewall zu schützen (so genannte Application Layer Gateways oder Applikationsfirewalls). Diese überprüfen zum Beispiel die Eingaben der Benutzer und blocken schadhafte Eingaben. Da diese aber nur bestimmte Angriffe abblocken können (ähnlich wie bei Antiviruslösungen), ist langfristig eine sichere Anwendung die einzig sinnvolle Lösung. Bedingt durch eine langwierige Entwicklung, sehr aufwändige Anpassung an die zu schützende Anwendung und eine geringe Verbreitung solcher Speziallösungen entsteht ein hoher Preis. Dieser kann je nach Anzahl der Verbindungen zur geschützten Anwendung leicht 20.000,- € übersteigen. 67 Wie kann ich von Anfang an für eine sichere Anwendung sorgen? Es gibt inzwischen etablierte Prozesse für die sichere Softwareentwicklung. Fragen Sie den Dienstleister, der die Anwendung für Sie baut, ob er seine Entwickler nach gängigen Schulungen (zum Beispiel ISSECO) ausbildet und ob er etablierte Methoden einsetzt (zum Beispiel OWASP oder Microsoft SDL). Die Entwicklung sicherer Web-Angebote ist aufwändig und nicht umsonst zu haben. Fragen Sie die Anbieter nach Ihrer Kompetenz in diesem Bereich und schreiben Sie die Anforderungen in den Verträgen fest. 6.3 Sichere Unternehmensprozesse In welcher Branche Ihr Unternehmen auch tätig ist, das Ziel ist immer dasselbe: Ihre individuellen Geschäftsprozesse müssen stets reibungslos funktionieren. Um eine reibungslose Funktion sicherzustellen, reicht es nicht aus, lediglich einzelne Systeme auf deren Sicherheit hin zu untersuchen. Wichtig ist die Betrachtung des gesamten Prozesses, denn schließlich sind Sie auf die Verfügbarkeit des Prozesses an sich und nicht auf die Verfügbarkeit eines einzelnen Systems angewiesen. Wählen Sie ein Vorgehen, bei dem herausgestellt wird, welche IT-Systeme für die Funktion des Prozesses erforderlich sind und nehmen Sie dann eine Prüfung aller beteiligten Systeme vor. 68 Dabei ist die Abhängigkeit der Systeme voneinander von Bedeutung. Unter Umständen stellt sich heraus, dass die größte Schwachstelle für einen Datendiebstahl gar nicht das System ist, von dem man es annimmt. Investieren Sie in die Analyse Ihrer Geschäftsprozesse im Hinblick auf die Integrität und Vertraulichkeit von Daten, statt nur einzelne Systeme zu betrachten. 6.4 Schutz der Vertraulichkeit bei E-Mails E-Mails sind wie Postkarten und auf dem Transportweg für jeden lesbar, der berechtigt oder unberechtigt Zugriff darauf hat. Abhilfe schafft eine Verschlüsselung der Mails. Warum werden Daten und E-Mails verschlüsselt und signiert? ■ Zum Schutz der Vertraulichkeit. Eine Nachricht oder Datei darf nur für denjenigen lesbar sein, für den sie bestimmt ist (Verschlüsselung). ■ Zum Schutz der Authentizität. Die Echtheit des Absenders oder Urhebers soll gewahrt bleiben (Signierung). ■ Zum Schutz der Integrität: Eine E-Mail darf auf dem Weg vom Absender zum Empfänger nicht verändert werden (Signierung). 69 Die Verschlüsselung von E-Mails erfolgt in der Regel mit einem privaten und einem öffentlichen Schlüssel. Das folgende Schaubild erklärt dieses Verfahren: Alice möchte Bob eine verschlüsselte Nachricht zusenden 1 Bob stellt Alice seinen öffentlichen Schlüssel zur Verfügung 2 Alice verschlüsselt den vertraulichen Text mit dem öffentlichen Schlüssel von Bob –> Danach kann der Text nur noch mit dem privaten Schlüssel von Bob entschlüsselt werden Alice Bob Bund mit öffentlichen Schlüsseln 3 privater Schlüssel von Alice 4 Bund mit öffentlichen Schlüsseln Alice übermittelt den verschlüsselten Text an Bob Bob entschlüsselt den vertraulichen Text mit seinem privaten Schlüssel = privater Schlüssel (private key) privater Schlüssel von Bob = öffentlicher Schlüssel (public key) Abbildung 5: Asymmetrische Verschlüsselung Wir empfehlen aufgrund der hohen Verbreitung den Einsatz der Techniken von PGP (Pretty Good Privacy) oder S/MIME (Secure Multipurpose Internet Mail Extension). S/MIME ist in allen gängigen E-MailProgrammen bereits integriert. Mehr zu PGP, öffentlichen und privaten Schlüsseln erfahren Sie im Internet unter http://de.wikipedia.org/wiki/Pretty_Good_Privacy. 70 Mehr zu S/MIME erfahren Sie im Internet unter http://de.wikipedia.org/wiki/S/MIME. Für S/MIME benötigen Sie X.509-Zertifikate. Diese müssen aber nicht signaturgesetzkonform sein. Einfache E-Mail-Verschlüsselungen gibt es heute schon für relativ wenig Geld. Vertrauliche E-Mails unverschlüsselt über das Internet zu versenden ist daher nicht mehr angemessen. 6.5 Sicherheit bei Outsourcing und Cloud Computing Outsourcing nimmt immer mehr zu, und gerade für kleine und mittelständische Unternehmen sind die Angebote für alle Anwendungen der IT in Web-basierter Form (Stichworte: Cloud Computing und Software as a Service) immer überzeugender. Da die Verwendung des Internet inzwischen für fast alle Branchen zum Alltag gehört, kann auch eine Versorgung für Anwendungen im Unternehmen durch Cloud-Angebote sinnvoll vorgenommen werden – wenn die entsprechenden Sicherheitsanforderungen erfüllt sind. Generell ist es aus Sicherheitssicht besser, professionelle Dienstleister in Anspruch zu nehmen, anstatt zu versuchen, die Sicherheit für eine bestimmte IT-Plattform selbst zu verantworten. Dafür sprechen die fokussiertere Ausbildung und das Geschäftsinteresse, die Services auch sicher anzubieten – sonst wandern die Kunden relativ schnell wieder ab. Dagegen spricht, dass Daten in der Cloud prinzipiell mehr Angriffen ausgesetzt sind, und dass meist auch andere Anwender (unter Umständen auch Konkurrenten) bei dem gleichen Dienstleister Kunde sind. 71 Prüfen Sie daher die Vertrauenswürdigkeit des Dienste-Anbieters. Lassen Sie sich überzeugen, dass die verschiedenen Kundendaten sauber getrennt verarbeitet werden. Lassen Sie sich Prüf- und Ausbildungsnachweise für die sichere Entwicklung und den sicheren Betrieb der Anwendung zeigen. Sicherheit ist aber nicht nur eine Sache des Vertrauens, sondern auch der Kontrolle. Entsprechend sollten Kontrollen beim Dienstleister (ob Cloud Service oder klassisches Hosting) möglich sein. Auch wenn Sie sie nicht durchführen, sollten Sie zumindest die Möglichkeit haben, sie anzudrohen – und im Ernstfall auch zu beauftragen. Schließlich ist es wichtig, dass Sie immer über den aktuellen Sicherheitsstatus Ihrer Daten informiert sind. Entsprechend sollte der Dienstleister dazu verpflichtet werden, Sie bei sicherheitsrelevanten Vorkommnissen (es wurde eine Schwachstelle entdeckt, es wurde ein Angriff durchgeführt, es sind Daten „geklaut“ worden), umgehend zu informieren. Lassen Sie sich vertraglich zusichern, dass bestimmte Sicherheitsmaßnahmen eingesetzt werden, und dass Sie das Recht haben, Kontrollen durchzuführen. Nehmen Sie so genannte „Protection Level Agreements“ (auch: „Security Service Level Agreements“), die eingesetzten Sicherheitsmaßnahmen, Kontrollmöglichkeiten und Informationspflichten in Ihre Verträge mit auf. Datenschutz spielt bei Hosting und Cloud eine besondere Rolle. Diese Aspekte werden in dem Kapitel 8 „Datenschutz“ behandelt. 72 6.6 „Social Media“ im Unternehmen XING, LinkedIn, Facebook oder Twitter haben Einzug in die Unternehmenskommunikation gehalten. Gerade kleine Anbieter haben durch den Einsatz dieser modernen Tools eine enorme Reichweite und können in Marketing und Kundenbindung große Erfolge aufweisen. Doch die Nutzung dieser Tools ist auch mit Vorsicht zu genießen: Sie erlauben es, vertrauliche Dokumente zu verteilen, und bieten selbst eine den Hackern wohlbekannte Angriffsplattform. Auf Facebook können Mitglieder sogar eigene Applikationen schreiben. Diese können natürlich, genau wie jede andere Web-Seite, gefährliche Inhalte verbergen. Darüber hinaus stellen Sie aber kein generelles Sicherheitsproblem dar. Verwenden Sie Social Media Tools mit der gleichen Vorsicht, wie Sie auch mit externen Web-Seiten umgehen. 6.7 IP-Telefonie Zunehmend wird das klassische Telefon mit analoger Übertragung durch digitale Varianten ersetzt. Selbst klassische Telefongespräche werden über die Weitverkehrsstrecken oft schon digitalisiert übertragen. Neue Telefonanlagen sind inzwischen komplett digitalisiert bis hin zum Telefon, für dessen Anschluss kein Telefon- oder ISDN-Kabel mehr notwendig ist, sondern ein Netzwerkkabel. Der Einsatz ist äußerst flexibel und erlaubt sehr einfach, auch physisch getrennt sitzende Kollegen virtuell in einer gemeinsamen Telefonanlage zusammen zu bringen. 73 Damit sind aber auch Risiken verbunden. Da die IP-Telefonie in der Regel unverschlüsselte VoIP-Kommunikation verwendet, sind den klassischen Angriffen, wie man sie auch von E-Mail kennt, Tür und Tor geöffnet. Verwenden Sie daher VoIP mit einer firmenexternen Telefonzentrale nur mit Verschlüsselung. Fragen Sie Ihren Telekommunikationsdienstleister nach entsprechenden Merkmalen. ■ ■ ■ ■ ■ ■ ■ ■ Ist der Webserver in einem eigenen Segment aufgestellt und von der zentralen Firewall geschützt? Wird Ihr Webserver regelmäßig aktualisiert? Falls Sie Web-basierte Anwendungen anbieten: Wurden diese auf Schwachstellen hin überprüft? Bieten Sie Ihren Besuchern bei der Übermittlung von Date einen verschlüsselten Zugang an (SSL)? Wurden Ihre Anwendungen auf Sicherheitslücken hin überprüft? Sollten Sie bei einer Anwendung Sicherheitslücken aufgedeckt haben: Wurden diese beseitigt oder wird die Applikation von einer Spezial-Firewall geschützt? Haben sie die Qualifikation der Web-Entwickler Ihres Dienstleisters abgefragt? Haben Sie Sicherheitsstandards in den Verträgen mit Ihren Dienstleistern festgelegt? 74 ■ ■ ■ ■ ■ ■ Lassen Sie sich Sicherheitsmeldungen von Ihrem Dienstleister unverzüglich berichten? Haben Sie Prüfungen der Sicherheit in den Verträgen mit Ihren Dienstleistern vorgesehen? Haben Sie die relevanten Unternehmensprozesse in ihrer Ganzheit betrachtet, wenn Sie die erforderliche Sicherheit der Systeme definiert haben? Haben Sie E-Mail-Verschlüsselung im Einsatz, zumindest für vertrauliche E-Mails? Haben Sie die Vertrauenswürdigkeit Ihres Cloud-Diensteabieters geprüft? Haben Sie „Protection Level Agreements“ definiert? Verwenden Sie IP-Telefonie bei einem externen Anbieter nur mit Verschlüsselung? 75 7 Datenverfügbarkeit Der Schwerpunkt dieses Buches liegt auf dem Bereich Security. Dennoch möchten wir im Folgenden kurz die Themen aus dem Bereich „Safety“ erwähnen, die untrennbar mit der Security verbunden sind. 7.1 Die Datensicherung In vielen Unternehmen sind die gespeicherten Daten zum wichtigsten Gut geworden. Deshalb ist die regelmäßige Durchführung einer ordnungsgemäßen Datensicherung unerlässlich. Folgende Methoden der Sicherung werden unterschieden: ■ Bei der Vollsicherung werden alle zu sichernden Dateien zu einem bestimmten Zeitpunkt auf einen zusätzlichen Datenträger gespeichert. ■ Bei der differentiellen Datensicherung wird zunächst eine Vollsicherung erstellt. An den Folgetagen eines Sicherungsintervalls wird alles gespeichert, was sich seit der letzten Vollsicherung geändert hat. Der Vorteil liegt im geringeren Speicherbedarf im Vergleich zur dauerhaften Vollsicherung. Nachteil: Bei der Wiederherstellung muss neben der Vollsicherung auch das jüngste differentielle Backup eingespielt werden. ■ Bei der inkrementellen Datensicherung wird immer die Veränderung zur letzen Sicherung gespeichert. Nachteil: Bei der Rücksicherung müssen das Vollbackup und alle inkrementellen Sicherungen zurückgespielt werden. Vorteil: Noch weniger Speicherbedarf als die differentielle Sicherung. 76 Bitte beachten Sie, dass eine Datensicherung nur dann wirksam vor Datenverlust schützt, wenn regelmäßig eine Rücksicherung der Daten simuliert wird, um die Konsistenz der gesicherten Daten zu überprüfen. Zusätzlich empfehlen wir die Lagerung besonders kritischer Daten außerhalb des Gebäudes (zum Beispiel in einem Bankschließfach), aber auf jeden Fall außerhalb des Raumes, in dem Ihr Originalsystem steht. Optimal ist eine Nutzung beider Lagerorte (eigenes Unternehmen und externes Gebäude). Aus Datensicherungsgründen sind Outsourcing- und Cloud-Angebote besonders interessant, da diese Aspekte komplett auf der Seite des Dienstleisters liegen, und damit für Sie kein Problem mehr darstellen. Sichern Sie nicht nur Server, sondern auch die Endgeräte. Speicherplatz wird immer günstiger, und in einem Ernstfall ist es ein großer Vorteil, wenn auch das Endgerät inklusive aller nicht zentral abgelegten Daten wieder eingespielt werden kann. Hierfür gibt es verschiedene, sehr komfortable Lösungen. 7.2 Die Notfallplanung Jedes Unternehmen kann Opfer einer Naturkatastrophe, eines erfolgreichen Hacker-Angriffs oder eines kriminellen Anschlags werden. Auch der Ausfall einer Arbeitsgruppe oder einer wichtigen Person kann sich schnell zu einem unternehmensbedrohenden Notfall entwickeln. 77 In solch einem Fall gilt es, schnell und systematisch zu analysieren, was passiert ist. Sie müssen herausfinden, ob es Schäden gab und wie schwerwiegend diese einzustufen sind. Dabei helfen Notfallpläne. In einem Notfallplan werden Maßnahmen und Verantwortlichkeiten genau festgelegt, damit im Ernstfall planvoll gehandelt werden kann. Der Notfallplan sollte zum Beispiel Auskunft darüber geben, ■ wie ein Vorgang einzustufen ist, ■ wer darüber in Kenntnis zu setzen ist, ■ was als nächstes zu tun ist, ■ wie die Kontrolle über ein System zurück erlangt wird, ■ ob und wie flüchtige Daten gesichert werden, ■ ob und wie aktive Netzwerkverbindungen getrennt werden, ■ wie eine Beweissicherung durchgeführt wird. 7.3 Business Continuity Management Einen Schritt weiter als die Notfallplanung geht das Business Continuity Management. Mit Hilfe einer so genannten Business-ImpactAnalyse wird für die wichtigsten Unternehmensprozesse untersucht, welche Systeme und Ressourcen bzgl. eines möglichen Ausfalls am kritischsten sind. Um nun den Ausfall zu minimieren, kann man Maßnahmen ergreifen, die die Verfügbarkeit der betroffenen Systeme und Ressourcen verlängern. Zum Beispiel würde eine unterbrechungsfreie Stromversorgung (USV) die Verfügbarkeit der IT-Systeme bei einem Stromausfall sichern. Prüfen Sie Ihre kritischen Prozesse auf Ausfallsicherheit und überlegen Sie, ob sich eine Verlängerung der Verfügbarkeit bestimmter Systeme und Ressourcen für Sie lohnt. 78 7.4 Physikalischer Schutz Wenn Sie IT-Systeme im eigenen Haus betreiben oder ein System in einem Rechenzentrum unterstellen möchten, sollten Sie auf die folgenden Kriterien achten: ■ Wie gut ist der Standort gegen Feuer geschützt? Gibt es eine automatische Löschanlage? ■ Wie ist der Standort mit Strom versorgt? Gibt es ein ausreichend dimensioniertes Notstromsystem? ■ Sind die Systeme ausreichend mit Kühlung versorgt? Ist die Klimaanlage redundant ausgelegt? ■ Ist der Standort ausreichend gegen Einbruch und Diebstahl gesichert? Gibt es eine Zutrittskontrolle? ■ Ist der Standort eines Servers redundant über zwei verschiedene Provider an das Internet angebunden? 7.5 Checkliste ■ ■ ■ ■ ■ ■ Werden Ihre Daten regelmäßig auf einen externen Datenträger gesichert? Wird der Erfolg Ihrer Sicherungsläufe kontrolliert? Testen Sie in regelmäßigen Abständen das Rücksichern Ihrer Backups? Haben Sie besonders wichtige Datensicherungen extern verwahrt (zum Beispiel im Bankschließfach)? Haben Sie für Ihre kritischen Systeme und Prozesse Pläne für den Notfall erstellt? Haben Sie eine Business Impact Analyse durchgeführt? Sind Ihre Systeme im und außer Haus ausreichend vor Feuer, Wasser, Stromausfall, Diebstahl und Sabotage geschützt? 79 8 Datenschutz In vielen Fällen wird dem Datenschutz nur unzureichende Aufmerksamkeit gewidmet, da er zum Kerngeschäft eines Unternehmens meist keinen produktiven Beitrag leistet. Datenschutz wird somit oft nur als „Kostenfaktor“ betrachtet, der dem Unternehmen keinen direkten Vorteil oder Nutzen bringt. So ist es verständlich, dass zum Beispiel eine Videothek den Datenschutz kaum oder nur mit niedriger Priorität betrachtet, da das Kerngeschäft das Verleihen von Videos und DVDs ist. Dennoch wäre es stark geschäftsschädigend, wenn Dritte erfahren würden, wer welche Filme ausgeliehen hat. Zusätzlich könnten die betroffenen Personen rechtliche Schritte unternehmen. Welche Daten sind betroffen? Daten im Sinne der Datenschutzgesetzgebung sind immer personenbezogene Daten. Dies können sowohl Mitarbeiter- als auch Kundendaten sein. Seit 2009 sind explizit auch "Beschäftigte" als Zielgruppe benannt. An dieser Stelle ist es wichtig zu betonen, dass Datenschutz im eigenen Interesse eines Unternehmens einen hohen Stellenwert genießen muss. Grund sind Risiken wie Image- und Vertrauensverlust, Unzufriedenheit von Kunden und in extremen Fällen Kosten durch Bußgeld-, Straf- und Schadensersatzverfahren, wenn Daten in falsche Hände geraten und solch ein Fall gemäß Bundesdatenschutzgesetz (BDSG) zur Anklage kommt. 80 Grundsätzlich gilt: Um den Grundschutz von personenbezogenen Daten zu gewährleisten, sollte die Nutzung elektronischer Medien nach dem Prinzip der Datensparsamkeit erfolgen. Es sollten so wenig personenbezogene Daten wie möglich erfasst, erhoben, gespeichert und verarbeitet werden. Weitere Informationen und einen kostenlosen Datenschutz-Kurzcheck finden Sie auf der Web-Site der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD). http://www.gdd.de 8.1 Die wichtigsten Maßnahmen Zur Gewährleistung werden durch den Gesetzgeber konkrete Maßnahmen gefordert, es gibt Vorschriften zu den Themen: ■ Zutrittskontrolle ■ Zugangskontrolle ■ Zugriffskontrolle ■ Weitergabekontrolle ■ Eingabekontrolle ■ Auftragskontrolle ■ Verfügbarkeitskontrolle ■ Datentrennung 81 8.2 Auftragsdatenverarbeitung Sofern Sie personenbezogene Daten verarbeiten, sind einige Sicherheitsmaßnahmen einzuhalten. Sie sind aber auch für die Einhaltung dieser Maßnahmen verantwortlich, wenn die Daten nicht bei Ihnen verarbeitet werden, so zum Beispiel wenn Sie Mitarbeiter- oder Kundendaten „in der Cloud“ verarbeiten lassen. In der Novelle des BDSG von 2009 wird in §11 beschrieben, unter welchen Bedingungen die Auftragsdatenverarbeitung erfolgen darf, bzw. welche Anforderungen in den Vertrag mit dem Dienstleister aufgenommen werden müssen. Zudem ist es erforderlich, dass die Einhaltung der Maßnahmen „aktiv kontrolliert“ werden muss, insbesondere vor der Aufnahme der Verarbeitung der Daten. Dies gilt insbesondere für Cloud Services und Hosting. Bei Cloud Diensten kommt noch eine besondere Schwierigkeit hinzu: Die Übermittlung personenbezogener Daten in „unsichere“ Staaten ist nur unter großen Einschränkungen erlaubt .Unter anderem muss hier die Sicherstellung der Persönlichkeitsrechte gewährleistet werden, etwa durch Verschlüsselung der Daten. Prüfen Sie, ob Sie bereit sind, personenbezogene Daten einem CloudAnbieter zu übergeben. Eventuell hat der Cloud-Anbieter auch eine „regionale“ oder „nationale“ Cloud, um diesem Problem begegnen zu können. 82 8.3 Der Datenschutzbeauftragte Die betrieblichen Datenschutzbeauftragten (DSB) sind wichtige Ansprechpartner in Fragen des Datenschutzes für die Beschäftigten in den Unternehmen. Die Datenschutzbeauftragten haben die Aufgabe einer internen Selbstkontrolle wahrzunehmen. Sie ergänzen die externe Kontrolle durch den Bundesbeauftragten und die Landesbeauftragten sowie die weiteren Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich. Mit der Novelle des Bundesdatenschutzgesetzes von 2009 sind die Rechte das DSB explizit gestärkt worden. Es gibt die Möglichkeit, einen internen DSB zu ernennen, also einen Beschäftigten. In diesem Fall genießt diese Person besonderen Kündigungsschutz. Alternativ kann man auch einen externen DSB bestellen, dies wird von zahlreichen Dienstleistern (Kanzleien) angeboten. Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten (zum Beispiel mit PCs) beschäftigt sind oder Zugriff auf diese Daten haben. Bei einer nicht automatisierten Datenverarbeitung (zum Beispiel Karteikarten) gilt diese Regel erst ab 20 Personen. 83 9 Schlusswort Auf den vergangenen 83 Seiten haben wir versucht, Ihnen einen Überblick über die Sicherheitsprobleme neuer IT-Technologien zu vermitteln. Da täglich neue Sicherheitslücken aufgedeckt werden, ist es notwendig, sich in Sachen Security ständig auf dem Laufenden zu halten. Die nachfolgend angeführten Links mögen Ihnen dabei eine Hilfe sein. Dennoch, trotz aller Bedrohungen bringt der Einsatz moderner ITTechnologien mehr Nutzen als Schaden. Voraussetzung dafür ist allerdings eine intelligente IT-Security. Wenn Sie hier an Ihre Grenzen stoßen, sollten Sie sich auf professionelle Hilfe verlassen. Die Kenntnis der Bedrohung ist der wichtigste Schritt in Richtung Sicherheit. Die konkrete Absicherung ist dann meist mit vergleichsweise geringem Aufwand möglich. Am Beginn einer sorgenfreien Nutzung neuer Technologien steht das Wissen über deren Gefahren. Diesen ersten Schritt haben Sie mit der Lektüre dieses Buches erfolgreich gemeistert. Bleiben Sie am Ball! 84 Weiterführende Informationen Homepage von Deutschland sicher im Netz e.V.: https://www.sicher-im-netz.de Informationen zur Sicherheit im Allgemeinen http://www.mittelstand-sicher-im-internet.de http://www.bsi.de/ http://www.hamburg-newmedia.net/ Aktuelle und verständliche Sicherheitsmeldungen http://www.bsi-fuer-buerger.de Informationen rund um den Datenschutz http://www.bfd.bund.de Informationen zu ITIL http://www.itil.org/ Online-Überprüfungen http://www.heise.de/security/dienste/browsercheck/ http://www.heise.de/security/dienste/itssecure/ Alles zur Sicherheit im Microsoft-Umfeld http://www.microsoft.com/germany/ms/security/default.mspx Sicherheit in der Software-Entwicklung http://www.owasp.org http://www.isseco.org 85 Glossar BIA Biometrie Chat DLP DMZ Exponiertes System GDD GSM Hoax IDS IP KonTraG LAN MAC-Adresse Business Impact Analyse, zur Feststellung von Schwachpunkten bei der Sicherstellung der GeschäftsprozessVerfügbarkeit Technologien zur Authentifizierung unter Verwendung von biometrischen Merkmalen Virtuelle „Plauderei“ Data Leakage Prevention, Tools zur Verhinderung von unbemerktem Abfluss von Know-How Dabei handelt es sich um ein dediziertes Netzwerk an einem eigenen Anschluss Ihrer Firewall. Die Firewall kann so nicht nur die Kommunikation zwischen dem Internet und den exponierten Systemen, sondern auch zwischen der DMZ und Ihrem lokalen Netz kontrollieren und einschränken. System, welches aus dem Internet erreichbar ist Gesellschaft für Datenschutz und Datensicherung e. V. Global System for Mobile Communication Elektronische „Zeitungsente“ Intrusion Detection System, System zur Überwachung des lokalen Netzes Internet Protocol Kontroll und Transparenzgesetz Local Area Network, lokales Netzwerk Hersteller-Kennzeichen einer Netzwerkkarte, welches diese eindeutig identifiziert 86 Makro Newsgroup OS OWASP Patch PDA PGP PLA Phishing PIN Proxy ROSI S/MIME Security Policy Sniffer Spam SSID Automatismus zur Wiederholung von Programmabläufen Elekt.Diskussionsforen Operating System, Betriebssystem Open Web Application Security Project, offenes Projekt mit dem Ziel, Informationen für die sichere Entwicklung von Web-Anwendung zusammen zu stellen Programmupdate Personal Digital Assistent Pretty Good Privacy, Produkt zur Verschlüsselung von Mails und Dateien Protection Level Agreements, Vertragszusätze für die Sicherheit von Anwendungen, auch: SSLA Ausspähen von Zugangsdaten durch fingierte Websites Personal Identity Number, persönlicher Zugangscode Server, der stellvertretend für Anwender Internetseiten anfordert Return on Security Invest, Modell zum Vergleich des Nutzens verschiedener Sicherheitsmaßnahmen Secure Multipurpose Internet Mail Extension, Verschlüsselungsmethode Sicherheitsrichtlinie mit den wichtigsten Handlungsvorgaben in Bezug auf Sicher heit im Unternehmen Sensor, der Netzwerkverkehr abhört Unerwünschte Werbemails Secure Set Identifier, Schlüsselwort bei der Datenübertragung im WLAN 87 SSL SSLA TCP Token UMTS USB VPN WEP WLAN WPA Secure Socket Layer, Verschlüsselungsmethode Security Service Level Agreements, Vertragszusätze für die Sicherheit von Anwendungen, auch: PLA Transmission Control Protocol Hardware zur sicheren Authentifizierung Universal Mobile Telecommunications System, Nachfolgesystem für GSM Universal Serial Bus Virtual Private Netzwork Wired Equivalent Privacy, schwacher Sicherheitsmechanismus bei Funk-LANs Wireless LAN, drahtloses Netz Wi-Fi Protected Access, neuer Standard zur Sicherheit in Funknetzen 88 Register Begriff Seite A Access Point Authentifizierung Awareness 58 53, 54, 56, 57, 63, 86, 88 28, 29, 31 B Backup Basel II Betriebssystem Biometrie Boot-Viren Browser Business Impact Analyse 12, 76 23 33, 34, 35, 38, 87 5, 6, 40, 86 19 34, 35, 36, 44, 66 79, 86 C Cloud Computing Cracker 71 17 D Datei-Viren Datenschutz Datensicherung Datenverfügbarkeit Demilitarisierte Zone DLP DMZ Drahtlose Netze 19 5, 7, 12, 72, 80, 81, 83, 85, 86 7, 76, 77, 81, 86 7, 12, 76 48 43, 86 48, 49, 62, 63, 65, 86 7, 57 89 E E-Commerce Exponierte Systeme 66 48 F Fernwartung Firewall 55 32, 34, 35, 37, 44, 45, 46, 47, 48, 53, 54, 55, 56, 59, 60, 62, 63, 67, 74, 86 G GSM 57, 86, 88 H Hacker Hoax 6, 13, 17, 21, 23, 34, 41, 77 22, 86 I IDS IP-Telefonie ISSECO 60, 86 7, 9, 65, 73, 74, 75 68 K KonTraG Kreditkartenmissbrauch 23, 86 15 L LAN Lokales Netz lokales Netzwerk 59, 86 62 48, 86 M Mail-Relay 51 90 Mail-Server Makro-Viren 18, 48, 51, 53, 63 19, 20 N Netzkopplung Notfallplanung 53, 55 7, 77, 78 O Online-Betrüger OWASP 6, 15 68, 87 P Passwortschutz Patch PDA PGP Phishing Physikalischer Schutz Proxy 6, 38, 41, 44 33, 87 87 70, 87 15, 87 7, 79 50, 51, 87 R Risikoanalyse 6, 24, 25, 26, 31 S Safety Schmutzfink Script Kid Security Security Policy Sicherheitsprozess Smartphone S/MIME Social Engineering 12, 76 16, 50 17 5, 24, 25, 27, 28, 29, 30, 31, 42, 47, 60, 63, 67, 72, 76, 84, 87, 88 25, 27, 28, 42, 87 24, 25, 83 28 70, 71, 87 13, 14 91 Social Hacking Social Media Software as a Service Spammer 14 7, 73 71 6, 18, 51 T Token Trojaner 56, 88 13, 21, 22, 32 U UMTS USB 42, 54, 57, 88 6, 42, 43, 44, 60, 88 V Verschlüsselung Virenschutz Virtualisierung Virtual Private Network Virus VPN 6, 11, 41, 45, 53, 56, 58, 63, 69, 70, 74, 75, 82, 70 49 7, 45, 61 53 19, 22 45, 53, 54, 55, 56, 57, 59, 60, 61, 63, 88 W Webseite WLAN Würmer 66 7, 12, 46, 54, 57, 58, 59, 63, 87, 88 6, 13, 17, 19, 21, 32, 36, 51