Tipps & Tricks zur Absicherung der Unternehmens-IT

Bei kritischer Infrastruktur denken viele IT-Profis unweigerlich an die Strukturen, die dem staatlichen Gemeinwesen zugeschrieben werden können. Beispiele dafür sind unter anderem ein möglicher Ausfall des Funknetzes für den Rettungsdienst oder ein Versagen der OP-Planungssoftware in einem Krankenhaus. Aber die Abhängigkeit von technischen Systemen ist unserer gesamten Gesellschaft viel umfassender:

Ohne elektrischen Strom keine Industrieproduktion, ohne durch private Carrier bereitgestellte Informations- und Kommunikationstechniken keine Banktransaktionen und keine Abwicklung von staatlichen Administrationsaufgaben in der Stadt- oder Gemeindeverwaltung. Kurzum: Die Verzahnung von Privatleben und Technik steigt von Jahr zu Jahr und damit auch unsere Abhängigkeit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) trägt dieser Tatsache gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) Rechnung, indem es die Bedeutung der kritischen Infrastruktur auf die moderne Gesellschaft in einer Internetplattform zum Schutz der kritischen Infrastruktur unter dem Namen "KRITIS" darstellt. Aber auch Privatunternehmen müssen sich unweigerlich mit diesen Fragen beschäftigen. IT-Verantwortliche und Administratoren sollten sich deshalb die folgenden Fragen stellen:

• Von welcher Infrastruktur ist mein Unternehmen abhängig?

• Welche dieser Strukturen sind kritisch?

• Was kann ich unternehmen, um diese Strukturen abzusichern?

Kritischste Struktur überhaupt: Personal

Für eine Fluglinie oder für ein Unternehmen wie die Deutsche Bahn sollte vollkommen klar sein, dass die Aufrechterhaltung des Betriebs ohne ausreichend qualifiziertes Personal nicht möglich ist. Ohne einen Piloten kann nicht gestartet werden, und ohne den Fahrdienstleiter ist ein Zugverkehr nicht möglich. Natürlich kann man die Bedeutung eines Chirurgen oder Piloten nicht mit dem Leiter eines Rechenzentrums vergleichen.

Trotzdem lässt sich auch ein IT-System, von einer kompletten Infrastruktur ganz zu schweigen, ohne Personal nur eine recht kurze Zeit betreiben: Systemadministratoren überwachen die Sicherung, sie vergeben Zugriffsrechte und passen sie an. Der IT-Support ist regelmäßig im Einsatz, um Anwendern bei Schwierigkeiten zur Seite zu stehen. Während bei der Einführung von neuen Verfahren üblicherweise ein Plan aufgestellt wird, der die Verfügbarkeit der Mitarbeiter berücksichtigt, mangelt es insbesondere in Urlaubsphasen an der Anwesenheit der richtigen Personen. Deshalb müssen die Verantwortlichen auch für die "kritischen Strukturelemente des Personals" entsprechende Fragen klären:

• Passt die bisherige Urlaubsplanung noch zu den Erfordernissen?

• Stehen für potenzielle Aufträge noch ausreichend Ressourcen bereit?

• Wurde der Ausfall von Systemen als Planspiel bereits trainiert? (BSI Maßnahmenkatalog M 3.47)

• Wurde eine Analyse der sicherheitsrelevanten personellen Faktoren vorgenommen? (BSI Maßnahmenkatalog M 3.83)

Unter keinen Umständen darf der Abteilungsleiter die Gefahr der Personalfluktuation im IT-Bereich unterschätzen. Nicht selten verzichten Firmen aus Geschwindigkeitsgründen oder aufgrund der Praktikabilität darauf, entsprechenden Ersatz für ihre IT-Experten vorzuhalten. Wechselt dann beispielsweise einer der Mitarbeiter das Unternehmen, der als Einziger für ein Verfahren zuständig war und dieses auch kannte, entsteht nicht selten eine Lücke, durch die die gesamte Firma in ihrer Funktionalität eingeschränkt sein kann!

Patch-Management
Werden IT-Verantwortliche sicher noch in einigen Unternehmen finden: Ältere Systeme mit möglicherweise veraltetem Betriebssystem und nicht mehr ganz aktuellen Softwareständen. Hier beispielsweise ein Fax-Kommunikationsserver mit FRITZ!fax auf Basis von Windows XP.

Informationspolitik
Wichtige Informationen: Namhafte Hersteller informieren über Pressemitteilungen, sobald sie neue Firmware bereitstellen. Für Altsysteme gilt dies leider nicht und kann zur Gefahr für die eigene Infrastruktur werden.

Versionen
Entscheidend für den Überblick: Die Versionsstände von Aktivkomponenten sollten bekannt sein.

Aktivkomponenten
Wird im täglichen Betrieb gerne vergessen: Aktivkomponenten wie Switches müssen ebenso aktualisiert werden, wie Client- oder Server-Systeme, damit das gesamte Netzwerk sicher ist.

Zentraler Storage
Wichtig und wird leider häufiger vergessen: Zentrale Storage-Systeme wie Datei-Server können nur in geplanten „Downtimes“ aktualisiert werden.

Switches nicht vergessen
. Auch ein Teil der „verborgenen Infrastruktur“ in vielen Unternehmen: Selbst direkt in der Medienleiste verschraubte Switches sollten mit aktueller Firmware ausgestattet sein.

Aktualisierung von Exchange
Sollten Administratoren wissen, damit alle Teile der IT-Infrastruktur sicher sind: Microsoft WSUS aktualisiert zwar automatisch die Windows-Basis eines Exchange-Servers, nicht aber die Exchange-Applikation selbst.

Externe Strukturen und ihre Abhängigkeiten

Manche Verknüpfung, aus der sich eine kritische Abhängigkeit ableiten lässt, ist sofort ersichtlich: Verkauft ein Unternehmen Produkte ausschließlich über einen Online-Shop, so wird ein Verlust des Internetzugangs oder eine Aussperrung durch den Betreiber des Shops direkt zu einer kritischen Situation für das Unternehmen führen.

Bedingt durch Interdependenzen, die Abhängigkeiten verschiedener Branchen untereinander, wird das Risiko durch einen Ausfall noch verstärkt. Das BSI warnt vor dem sogenannten Dominoeffekt, den Ausfälle in anderen Sektoren (Einteilung der Branchen in acht kritische Infrastrukturen) auslösen können.

Die wechselseitige Abhängigkeit von Strukturen führt zum Ausfall weiterer Infrastruktur, die ihrerseits wieder die Grundlage für den störungsfreien Betrieb anderer Infrastruktursysteme ist. Das populärste Beispiel ist sicherlich die gegenseitige Abhängigkeit der Informations- und Kommunikationstechnik von bestimmten Bereichen der Energieversorgung, zumindest bei länger dauernden Ausfällen. Von diesen Abhängigkeiten kann sich kaum ein Unternehmen befreien - jedoch ist es möglich, sich gegen einen Ausfall zu wappnen:

• Verfügt Ihr Unternehmen über eine doppelte Energiezufuhr?

• Nutzen Sie mehrere Internetanbieter?

• Erwerben Sie Systeme und Services von unterschiedlichen Lieferanten?

• Sind die USV-Systeme noch ausreichend dimensioniert, um beispielsweise einen halbstündigen Stromausfall abzufedern?

• Verfügt das Unternehmen über verschiedene Bankverbindungen bei unterschiedlichen Instituten?

Auch ohne die Sorge rund um die Gefahren wie Diebstahl, Krieg, Terrorakte, Sabotage, fehlerhafte Software, Unfälle oder Systemversagen bleiben immer noch die natürlichen Gefahren, die auch in unseren Breiten zunehmen. Wer in einer hochwassergefährdeten Gegend lebt oder sein Unternehmen in der Nähe eines Wasserlaufs betreibt, täte sicherlich gut daran, die Serversysteme von den Kellerräumen ins Obergeschoss umzuräumen.

Eine ordentlich dimensionierte Tür gehört ebenso zu den Grundlagen des IT-Grundschutzes wie entsprechende Sicherheitsfenster. Im Maßnahmenkatalog für Infrastruktur weist das BSI unter M 1.10 auf die Vorteile dieser einfachen Sicherheitsmaßnahmen hin. Mitunter finden sich auch viele kleinere Lösungen, um die Abhängigkeit von externen Einflüssen zu reduzieren.

So existieren beispielsweise sehr kostengünstige 3G-Router, die, mit einer SIM-Karte bestückt, als Ersatzsystem für eine ausgefallene Internetanbindung in kleineren Dependancen zum Einsatz kommen können. Diese Geräte ziehen fertig konfiguriert im Schrank liegend auch keine Folgekosten nach sich, bis sie zum Einsatz kommen. Ob eine benzinbetriebene Notstromanlage erforderlich ist oder nicht, muss der Systemverantwortliche mit Blick auf die ökonomische Relevanz der Einrichtung entscheiden.

Die "vergessenen" Systeme

Jeder Systemverantwortliche weiß, dass die Client- und Server-Systeme im eigenen Netzwerk gegenüber Programmfehlern, Attacken durch Schädlinge oder unerwünschten Personen abgesichert werden müssen. Mit einer zentralen Antivirensoftware, die alle verwalteten Computer laufend mit AV-Pattern versorgt, und einer Update-Struktur für Applikationen und Betriebssysteme sind die Client-Computer meistens bestens gerüstet. Glücklicherweise machen es die Lieferanten wie Microsoft und Apple oder auch die Anbieter von Linux-Distributionen den IT-Verantwortlichen sehr einfach, die Systeme auf dem neuesten Stand zu halten.

Ganz anders verhält es sich auf den größeren Serversystemen - diese sollen und dürfen nicht vollkommen automatisch die Aktualisierungen einspielen und ungefragt einen Neustart vornehmen. Folglich muss sich der Administrator im Zuge einer geplanten Downtime selbst um die Updates kümmern. Das setzt aber voraus, dass er sich detailliert mit der jeweiligen Systematik auseinandersetzt. Microsoft-Exchange-Server beispielsweise erhalten von einem lokalen WSUS-Server (WSUS = Windows Server Update Services) üblicherweise nur die Updates für Windows, nicht aber für die Exchange-Komponenten. Folglich dauert es mitunter Monate oder gar Jahre, bis ein Server durch den zuständigen Administrator auf den neuesten Stand gebracht wird.

Bei aller Diskussion um vermeintliche Weisheiten wie "Never change a running system" (unglücklich abgeleitet von "Never change a winning team") ist ein Exchange-Server, dem viele "Update Rollups" für sein Service Pack fehlen, eine potenzielle Gefahr für das Unternehmen. Das BSI beschreibt die Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement unter M 4.324. Die folgenden Fragen sollten sich IT-Verantwortliche und Administratoren in diesem Zusammenhang stellen:

• Besitze ich eine Übersicht aller meiner Server und deren Patch-Mechanismus?

• Nehme ich mir die Zeit, WSUS-Listen mindestens einmal die Woche anzuschauen?

• Ist meine eigene Workstation auf dem aktuellen Stand?

Die wirklich vergessene Infrastruktur

Fast in jeder Firma und in jedem Netzwerk gibt es Systeme, die seit vielen Jahren für den Benutzer faktisch unsichtbar "vor sich hinarbeiten". Dazu gehören viele kleine Mini-Switches, Router zwischen Gebäuden, größere Switches als Verteiler, WLAN-Access-Points für Abteilungen und Schulungsräume, Netzwerkdrucker und IP-Telefone.

Die Liste ließe sich beliebig verlängern. Mit Blick auf die Abhängigkeit und die daraus resultierenden Gefahren für die Betriebssicherheit ist es erforderlich, dass Systemverantwortliche auch solche Geräte in regelmäßigen Abständen prüfen und die Aktualität der Firmware sichten. Größere Anbieter, wie beispielsweise Cisco oder Hewlett-Packard, informieren sogar die Presse bei Firmware-Updates.

Sicherheitslücken wurden schon in allen Geräten entdeckt. Beispielsweise musste Samsung im November vergangenen Jahres eine Lücke in seiner Drucker-Firmware schließen, über die Angreifer über einen Hintertür-Administrator-Zugang Zugriff über das SNMP-Netzwerk erhalten konnten. Dieses kleine Beispiel zeigt es deutlich: Sicherheitsprobleme können selbst von so unscheinbaren Geräten wie einem Netzwerkdrucker ausgehen! Deshalb ist es zwingend erforderlich, dass sich Systemverantwortliche mit der kompletten IT-Landschaft auseinandersetzen.

Das Update für eine Telefonanlage mag die Kommunikation für einige Minuten unterbrechen. Ein Ausfall durch einen Programmfehler oder durch eine Sicherheitslücke könnte hingegen ein zeitlich unkontrollierter Vorgang mit möglicherweise drastischen Folgen für die Unternehmensziele darstellen. Was IT-Verantwortlichen tun können, um solche Probleme zu vermeiden:

• Erstellen Sie eine Liste der aktiven Netzwerkkomponenten.

• Nehmen Sie sich Zeit, diese Liste in regelmäßigen Abständen auf Softwareaktualisierungen oder notwendige Konfigurationsänderungen zu prüfen

• Verwenden Sie Hilfsmittel wie "Google Alerts", um sich automatisch bei Neuerungen oder Informationen zu Ihren Geräten benachrichtigen zu lassen

Das eigene Wissen

Ein weiterer, unter keinen Umständen zu unterschätzender Faktor ist das Wissen rund um die Gestalt und Ausprägung einer IT-Anlage, und sei die Installation noch so klein. Ein Administrator geht stets davon aus, dass er bei allen Konfigurationsänderungen involviert ist, und hat aus diesem Grund viele Details ausschließlich im Kopf, auf unleserlichen Zetteln oder in den Tiefen seiner Outlook-Notizen "vergraben".

Um die einseitige Abhängigkeit vom Administrator zu reduzieren, ist es notwendig, dass dieser die von ihm konzipierte Anlage in einer Art und Weise dokumentiert, die es auch anderen Mitarbeitern ermöglicht, die Informationen zu verstehen. Praktischerweise lehnt sich diese Dokumentation an das vom BSI empfohlene Notfallmanagement an (PDF-Download). Hier einige Beispiele für die dabei zu erstellenden Dokumente:

• Leitlinie zum Notfallmanagement

• Notfallvorsorgekonzept mit Business Impact Analyse (BIA) und Risikoanalyse

• Notfallhandbuch mit aktuellen Kontaktdaten

• Übungshandbuch, Übungsplan, Übungskonzepte und -protokolle

• Schulungs- und Sensibilisierungskonzept

• Auswertungen von Notfallbewältigungen

• Revisionsberichte

• Entscheidungsvorlagen an die Leitungsebene

Wenn sich der IT-Verantwortliche erst einmal Gedanken darüber macht, wie sehr die eigene IT-Anlage von anderen Systemen, Konfigurationseinstellungen oder Sicherheitsmodellen abhängig ist, wird ihm schnell deutlich werden, dass in vielen Fällen eine doppelte Auslegung erforderlich ist. Es versteht sich von selbst, dass nicht alles, was wünschenswert wäre, auch finanzierbar ist. Aber veraltete Core-Switches, für die keine Ersatzteile vorgehalten werden, fehlende Dokumentationen über Sicherheitseinstellungen oder nicht geänderte Administrationspasswörter, nachdem ein IT-Kollege das Unternehmen verließ, zählen nicht zu den teuren Umständen, sondern sind die Folge eines mangelnden Sicherheitsverständnisses.

Und ja - das Administratorkennwort gehört in einen Umschlag in den Safe. Ist ein solcher im Unternehmen nicht vorhanden, gibt es bestimmt ein Schließfach bei der Bank. Denn auch der Administrator könnte zu Schaden kommen oder spontan von einer Urlaubsreise nicht zurückkehren wollen … wer weiß das schon vorher? (hal)