Antivirus, Patches und mehr
Tipps & Tricks zur Absicherung der Unternehmens-IT
Bei kritischer Infrastruktur denken viele IT-Profis unweigerlich an die Strukturen, die dem staatlichen Gemeinwesen zugeschrieben werden können. Beispiele dafür sind unter anderem ein möglicher Ausfall des Funknetzes für den Rettungsdienst oder ein Versagen der OP-Planungssoftware in einem Krankenhaus. Aber die Abhängigkeit von technischen Systemen ist unserer gesamten Gesellschaft viel umfassender:
Ohne elektrischen Strom keine Industrieproduktion, ohne durch private Carrier bereitgestellte Informations- und Kommunikationstechniken keine Banktransaktionen und keine Abwicklung von staatlichen Administrationsaufgaben in der Stadt- oder Gemeindeverwaltung. Kurzum: Die Verzahnung von Privatleben und Technik steigt von Jahr zu Jahr und damit auch unsere Abhängigkeit.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) trägt dieser Tatsache gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) Rechnung, indem es die Bedeutung der kritischen Infrastruktur auf die moderne Gesellschaft in einer Internetplattform zum Schutz der kritischen Infrastruktur unter dem Namen "KRITIS" darstellt. Aber auch Privatunternehmen müssen sich unweigerlich mit diesen Fragen beschäftigen. IT-Verantwortliche und Administratoren sollten sich deshalb die folgenden Fragen stellen:
-
Von welcher Infrastruktur ist mein Unternehmen abhängig?
-
Welche dieser Strukturen sind kritisch?
-
Was kann ich unternehmen, um diese Strukturen abzusichern?
Kritischste Struktur überhaupt: Personal
Für eine Fluglinie oder für ein Unternehmen wie die Deutsche Bahn sollte vollkommen klar sein, dass die Aufrechterhaltung des Betriebs ohne ausreichend qualifiziertes Personal nicht möglich ist. Ohne einen Piloten kann nicht gestartet werden, und ohne den Fahrdienstleiter ist ein Zugverkehr nicht möglich. Natürlich kann man die Bedeutung eines Chirurgen oder Piloten nicht mit dem Leiter eines Rechenzentrums vergleichen.
Trotzdem lässt sich auch ein IT-System, von einer kompletten Infrastruktur ganz zu schweigen, ohne Personal nur eine recht kurze Zeit betreiben: Systemadministratoren überwachen die Sicherung, sie vergeben Zugriffsrechte und passen sie an. Der IT-Support ist regelmäßig im Einsatz, um Anwendern bei Schwierigkeiten zur Seite zu stehen. Während bei der Einführung von neuen Verfahren üblicherweise ein Plan aufgestellt wird, der die Verfügbarkeit der Mitarbeiter berücksichtigt, mangelt es insbesondere in Urlaubsphasen an der Anwesenheit der richtigen Personen. Deshalb müssen die Verantwortlichen auch für die "kritischen Strukturelemente des Personals" entsprechende Fragen klären:
-
Passt die bisherige Urlaubsplanung noch zu den Erfordernissen?
-
Stehen für potenzielle Aufträge noch ausreichend Ressourcen bereit?
-
Wurde der Ausfall von Systemen als Planspiel bereits trainiert? (BSI Maßnahmenkatalog M 3.47)
Unter keinen Umständen darf der Abteilungsleiter die Gefahr der Personalfluktuation im IT-Bereich unterschätzen. Nicht selten verzichten Firmen aus Geschwindigkeitsgründen oder aufgrund der Praktikabilität darauf, entsprechenden Ersatz für ihre IT-Experten vorzuhalten. Wechselt dann beispielsweise einer der Mitarbeiter das Unternehmen, der als Einziger für ein Verfahren zuständig war und dieses auch kannte, entsteht nicht selten eine Lücke, durch die die gesamte Firma in ihrer Funktionalität eingeschränkt sein kann!
- Patch-Management
Werden IT-Verantwortliche sicher noch in einigen Unternehmen finden: Ältere Systeme mit möglicherweise veraltetem Betriebssystem und nicht mehr ganz aktuellen Softwareständen. Hier beispielsweise ein Fax-Kommunikationsserver mit FRITZ!fax auf Basis von Windows XP. - Informationspolitik
Wichtige Informationen: Namhafte Hersteller informieren über Pressemitteilungen, sobald sie neue Firmware bereitstellen. Für Altsysteme gilt dies leider nicht und kann zur Gefahr für die eigene Infrastruktur werden. - Versionen
Entscheidend für den Überblick: Die Versionsstände von Aktivkomponenten sollten bekannt sein. - Aktivkomponenten
Wird im täglichen Betrieb gerne vergessen: Aktivkomponenten wie Switches müssen ebenso aktualisiert werden, wie Client- oder Server-Systeme, damit das gesamte Netzwerk sicher ist. - Zentraler Storage
Wichtig und wird leider häufiger vergessen: Zentrale Storage-Systeme wie Datei-Server können nur in geplanten „Downtimes“ aktualisiert werden. - Switches nicht vergessen
. Auch ein Teil der „verborgenen Infrastruktur“ in vielen Unternehmen: Selbst direkt in der Medienleiste verschraubte Switches sollten mit aktueller Firmware ausgestattet sein. - Aktualisierung von Exchange
Sollten Administratoren wissen, damit alle Teile der IT-Infrastruktur sicher sind: Microsoft WSUS aktualisiert zwar automatisch die Windows-Basis eines Exchange-Servers, nicht aber die Exchange-Applikation selbst.