Einige der Regeln lassen sich direkt umsetzen, andere können Sie ausdrucken und Ihren Kollegen, Benutzern oder Mitbenutzern im LAN auf den Tisch legen. Sicherlich werden Sie die eine oder andere Regel in mehreren Bereichen wiederfinden. Dies ist so beabsichtigt, nicht, weil wir zu faul waren, uns noch mehr auszudenken, sondern aus dem einfachen Grund, weil diese Grundsätze für jeden Bereich, in dem sie auftauchen, entsprechend wichtig sind.
Im ersten Teil der dreiteiligen Artikelserie widmen wir uns der Sicherheit von Clients und Servern sowie den fundamentalen Regeln bei der Serverhardware. Teil zwei beschäftigt sich mit Netzwerk-Sicherheit, Netzwerkdruckern, Storage und Backup. Im letzten Teil behandeln wir Linux, Windows und die Internet-Sicherheit.
Zehn goldene Regeln für die Client-Sicherheit
Natürlich gäbe es Hunderte von Regeln zur Absicherung von Clients – wir stellen Ihnen die zehn wichtigsten vor.
1. Beim Verlassen des Arbeitsplatzes immer ausloggen
Wer seinen Arbeitsplatz verlässt und sich nicht ausloggt, riskiert eine ganze Menge. Immerhin eröffnet das einem böswilligen Kollegen eine Reihe von Möglichkeiten. Er könnte beispielsweise Schadcode ins Netz einschleusen und den unvorsichtigen Mitarbeiter damit belasten. Genauso könnte er an private Informationen gelangen oder an Geschäftsgeheimnisse.
Deshalb sollten Sie sich, auch bei kurzfristigem Verlassen des Arbeitsplatzes, immer ausloggen oder zumindest die Arbeitsstation sperren (Windows-L).
2. Internet-Nutzung regulieren
Schaffen Sie klare Vorgaben, die die Nutzung des Internets am Arbeitsplatz regeln. Hierbei geht es nicht nur darum, die Produktivität zu steigern, sondern auch um ganz klare Sicherheitsinteressen. So sind beispielsweise private E-Mail-Accounts, die per Webmail oder Mail-Client abgerufen werden, nicht Bestandteil einer (hoffentlich vorhandenen) Antiviruslösung für E-Mail.
Aber auch das unbeschränkte Surfen auf beliebigen Webseiten kann sich als Einfallstor für Trojaner, Spyware und ähnliche Malware erweisen. Das Thema Raubkopien stellt den Geschäftsführer zudem vor rechtliche Probleme.
3. Speichermedien reglementieren
Portable Speichermedien wie USB-Sticks sind in zweierlei Hinsicht ein echtes Problem: Zum einen ermöglichen sie es den Benutzern, von zu Hause ein „lustiges“ Spiel mitzubringen, das sich später unter Umständen als Malware entpuppt. Zum anderen lassen sich auf so einem Speicher-Stick große Datenmengen unbemerkt aus der Firma entwenden.
Entsprechende Lösungen, die den Zugriff auf USB, Firewire oder CD-Brenner einschränken, gibt es inzwischen von diversen Anbietern.
4. Notebooks und PDAs gesondert sichern
Geräten, die nicht nur im Haus im Einsatz sind, sondern regelmäßig in verschiedenen Netzen benutzt werden oder gar direkten Kontakt mit dem Internet haben, sollten Sie besondere Aufmerksamkeit bei der Sicherheit widmen.
Immerhin befinden sich Geräte wie Notebooks oder PDAs beim Einsatz außer Haus nicht unter dem Schutz der LAN-seitigen Sicherungsmechanismen. Ohne guten Virenscanner und gute Desktopfirewall sollten Sie Mitarbeiter nicht in die freie Wildbahn entlassen. Achten Sie auch darauf, dass in vielen Laptops noch Modems eingebaut sind: Stichwort Dialer.
5. OS und Applikationen regelmäßig updaten
Egal ob Linux oder Windows: Es finden sich immer wieder erhebliche Sicherheitslücken in beiden Systemen. Das betrifft sowohl das Betriebssystem an sich als auch die darauf laufende Software.
Beispielsweise lässt sich die fehlerhafte Verarbeitung von Bildern in Office-Dokumenten dazu ausnutzen, einen Pufferüberlauf zu provozieren, der schlussendlich zur Ausführung beliebigen Codes führt.
6. Schulungen
Viele Anwender gehen laut einer Umfrage in der Firma sorgloser mit dem Internet um als zu Hause – Begründung: „Der Admin sorgt doch für die Sicherheit!“ Das kann und darf natürlich nicht sein, denn jeder Benutzer ist mitverantwortlich für die Sicherheit im Unternehmensnetz.
Halten Sie daher regelmäßig Schulungen für die Anwender ab. Dies muss nicht unbedingt in einem Konferenzraum stattfinden und einen ganzen Tag dauern. Informationen lassen sich auch im Intranet oder per E-Learning verbreiten.
7. Eingeschränkte Accounts
Vergeben Sie keine lokalen Admin-Rechte. Auch wenn es so vieles scheinbar so viel einfacher macht und die Anwender sich beschweren, dass sie keine Software installieren können. Die Administration von Systemen gehört in die Hände von geschultem Fachpersonal. Nur so können Sie sicherstellen, dass die Systeme Ihren Sicherheitsanforderungen entsprechen.
8. Keine Freigaben
Client-Rechner sind Client-Rechner und sollten das auch unbedingt bleiben. Sobald auf einem Client Server-Dienste (Dateifreigaben, Webserver oder Ähnliches) laufen, stehen diese nicht unter Ihrer Kontrolle. Sie fallen also aus Backup-Strategien heraus und öffnen Exploits Tür und Tor. Datenaustausch zwischen Nutzern sollte generell nur über spezielle Shares auf den offiziellen Servern erfolgen.
9. Verschlüsselung
Trotz aller Zugangskontrollsysteme kann es immer wieder vorkommen, dass Unbefugte sich Zutritt verschaffen. Wenn diese nun Rechner oder Festplatten stehlen, befinden sich plötzlich unter Umständen hochwichtige Informationen in deren Händen. Damit sie diese nicht ausnutzen können, sollten Sie wichtige Daten immer verschlüsseln. Dies betrifft ganz besonders Notebooks und PDAs.
10. Sicherheit ist auch Chefsache
Eine Sicherheits-Policy ist nur dann wirklich wertvoll, wenn sie auch auf höchster Ebene mitgetragen und gelebt wird. Administrator und Chef müssen dabei Hand in Hand arbeiten.
Zehn goldene Regeln zur Server-Sicherheit
Server sind neben der Netzwerk-Infrastruktur für die meisten Unternehmen „mission critical“. Sie enthalten wichtige Daten und bei Ausfall stehen Geschäftsabläufe nicht mehr zur Verfügung. Ein Ausfall kann verheerende Folgen haben.
1. Rechte-Management
Die meisten Probleme mit Datensicherheit entstehen im lokalen Netz. Seien es nun gestohlene oder auf Grund von Anwenderfehlern zerstörte Daten. Der erste Schritt zur Absicherung eines Servers muss also in einem effektiven Rechte-Management bestehen. Lassen Sie sich dabei von der Grundidee leiten, dass jeder Benutzer nur die Rechte bekommt, die er unbedingt benötigt.
2. Überwachung und Updates
Zero-Day-Attacken nehmen immer mehr überhand. Kaum ist eine Lücke bekannt, schon gibt es Exploits. Informieren Sie sich ständig über neue Sicherheitslücken in den von Ihnen verwendeten Produkten. Wenn vorhanden, spielen Sie den Patch ein. Andernfalls sollten Sie zumindest bewerten, wie stark die Lücke Ihre Systeme betrifft. Besteht ein Risiko, ergreifen Sie Maßnahmen – zur Not auch die Abschaltung des betroffenen Diensts bis zur Verfügbarkeit eines Patches.
3. Notfallplan
Für viele Unternehmen sind die verwendeten Server inzwischen unabdingbar: Wenn der Dienst ausfällt, steht das gesamte Unternehmen still. Sorgen Sie dafür, dass Sie bei einem Ausfall innerhalb kürzester Zeit wieder arbeitsfähig sind.
Dazu gehört unter anderem ein Notfallplan. Dieser sollte nicht nur auf dem Papier existieren, sondern auch erprobt sein. So wie Sie regelmäßig Brandschutzübungen durchführen, sollten Sie auch den IT-Notfall regelmäßig üben.
4. Physischen Zugriff reglementieren
Sobald ein Angreifer an die Hardware des Servers gelangt, hat er die Kontrolle über das System schon so gut wie übernommen. Mit wenigen Tools und ein bisschen Geschick kann er sich Accounts anlegen oder die Daten ausspähen.
Dementsprechend sollten Sie wirksame Maßnahmen ergreifen, die den physischen Zugriff auf die Server nur autorisiertem Personal ermöglichen. Dazu gehören abschließbare Server-Räume und -Schränke und gegebenenfalls ein wirksamer Eindringlingsalarm.
5. Auditing
Überprüfen Sie regelmäßig die Rechtestruktur der Server. Hat plötzlich ein Mitarbeiter Berechtigungen, die er gar nicht haben sollte? Ist plötzlich eine Ressource frei verfügbar, die es eigentlich gar nicht sein sollte?
6. Changemanagement
Eine häufige Quelle für Fehler bei der Rechtevergabe ist ein unzureichendes Verfahren bei Änderungen im Personal. Scheidet ein Mitarbeiter aus oder wechselt er die Abteilung, bleiben oft alte Logins oder Berechtigungen bestehen, weil nicht sorgfältig genug geprüft wird. Im Falle einer Änderung bei den Mitarbeitern sollten Sie anhand einer Checkliste alle nicht mehr benötigten Rechte entziehen und nur noch die in der neuen Rolle erforderlichen zugestehen. Diese Checkliste ist natürlich bei Änderungen in der IT-Struktur anzupassen.
7. Dienste abschalten
Server, die direkten Kontakt zum Internet haben, sind besonders den Begehrlichkeiten von Hackern ausgesetzt. Hier ist es umso wichtiger, dass nur die allernotwendigsten Dienste laufen. Schalten Sie alles ab, was nicht unbedingt für den Betrieb des Diensts benötigt wird. Gehen Sie zur Not noch einen Schritt weiter und verwenden einen nachgelagerten Server, um Dienste bereitzustellen, die nur der nach außen sichtbare Server benutzt. Ein gutes Beispiel sind Datenbanken, aus denen ein Webserver dynamische Seiten generiert.
8. Risiko-Management
Erstellen Sie zusammen mit dem Geschäftsführer und gegebenenfalls den Abteilungsleitern eine Risikoanalyse. Ziel ist es dabei, Bereiche zu identifizieren, deren Ausfall erhebliche Auswirkungen auf den Geschäftsbetrieb hat.
Danach bewerten Sie bei den einzelnen Diensten, wie anfällig sie gegen Angriffe sind. Ein vom Internet erreichbarer Server ist beispielsweise anfälliger als ein nur im lokalen Netz verfügbarer. Anhand dieser Parameter können Sie schnell ermitteln, auf welche Punkte Sie Ihre Sicherungsmaßnahmen fokussieren müssen.
9. Verschlüsselung
Trotz aller Zugangskontrollsysteme kann es immer wieder vorkommen, dass Unbefugte sich Zutritt verschaffen. Wenn diese nun Server oder Festplatten stehlen, befinden sich plötzlich unter Umständen hochwichtige Informationen in deren Händen. Damit sie diese nicht ausnutzen können, sollten Sie wichtige Daten immer verschlüsseln.
10. Passwörter und Single-Sign-On
Schwache Passwörter führen immer wieder zu erfolgreichen Einbrüchen in Server. Zu leicht lässt sich der Name der Ehefrau oder das Geburtsdatum des Benutzers in Erfahrung bringen. Erzwingen Sie daher die Verwendung starker Passwörter mittels entsprechender Maßnahmen. Müssen Ihre Benutzer sich aber zu viele komplizierte Passwörter merken, finden sich die Login-Daten vieler User schnell auf Post-its wieder oder Ihr Helpdesk kann sich auf eine Unzahl von „Passwort vergessen“-Anrufen einstellen. In diesem Fall sollten Sie über Single-Sign-On nachdenken, eventuell sogar mit einem Hardware-Token.
Zehn goldene Server-Regeln
Server gehören heute zu den wichtigsten „Dienstleistern“ in Unternehmen. Sie stellen über ein Netzwerk Ressourcen und Daten für verschiedene Firmenabteilungen zur Verfügung. Daher hängt von der eingesetzten Server-Hardware oft entscheidend das Wohlergehen eines Unternehmens ab. Was Sie bei der Anschaffung von Server-Hardware berücksichtigen müssen, haben wir in den folgenden zehn goldenen Regeln zusammengefasst.
1. Planung ist die halbe Miete
Wichtig bei der Anschaffung von Server-Hardware ist eine umfangreiche Planung im Vorfeld. Nicht nur die Rechner-Hardware sollte dabei im Mittelpunkt stehen, sondern auch andere Bereich wie Support, Sicherheit, Server-Client-Management oder Beschaffenheit von Server-Räumlichkeiten. Bei der Planung sollten alle relevanten Abteilungen miteinbezogen sein.
2. Auf Investitionsschutz bei der Anschaffung der Hardware achten
Im Mittelpunkt für das Für und Wider einer bestimmten Server-Hardware müssen die Zukunftssicherheit und der damit verbundene Investitionsschutz stehen. Dies bezieht sich sowohl auf die Komponenten als auch auf den Support. So sollte gewährleistet sein, dass die erworbene Hardware auch mit der entsprechenden Software einwandfrei zusammenarbeitet und der Support beziehungsweise die Update-Fähigkeit vom Hersteller garantiert ist.
3. Reserven bei der Dimensionierung der Hardware einplanen
Ob Tower-, Rack-, Blade- oder Mainframe-Server – die Hardware muss genau auf die Erfordernisse des Unternehmens abgestimmt sein. Die Prozessorleistung sollte genügend Luft noch oben bieten. Auch die Erweiterbarkeit mit zukünftiger Hardware wie Speicher, Storage oder Steckkarten sollte berücksichtigt werden. Aber Achtung: Schnell entstehen hohe Kosten durch Überdimensionierung.
4. Hardware auf Datenintegrität prüfen
Um die Integrität von sensiblen Geschäftsdaten auf Servern zu gewährleisten, muss die Hardware entsprechende Funktionen besitzen. So sollte der Hauptspeicher des Servers die EEC-Fehlerkorrektur beherrschen. Damit lässt sich das Gros der internen Datenfehler vermeiden. Höhere Sicherheiten bieten Speichertechnologien wie Memory Mirroring, Hot Spare Memory oder Memory Scrubbing.
5. Server-Storage-Subsysteme auf das Anwendungsgebiet anpassen
Je nach Anwendungsgebiet, wie Datenbank-, File- oder Produktions-Server, werden unterschiedliche Anforderungen an das Storage-Subsystem gestellt. In Servern sind RAID-Konfigurationen Pflicht. Dafür stehen mit IDE, SATA, SAS und SCSI unterschiedliche Storage-Technologien zur Verfügung.
6. Hohe Ausfallsicherheit schützt vor Server-Ausfällen
Server, die entscheidende Aufgaben in einem Unternehmen übernehmen, müssen eine hohe Ausfallsicherheit besitzen. Keine Firma kann sich einen Produktionsausfall über einen längeren Zeitraum leisten. Deshalb sollten Server redundant ausgelegt werden. Fällt ein System aus, kann das andere die Arbeit übernehmen. Aber auch der Server selbst sollte intern über Sicherheitsmechanismen wie Hotswap- oder Hotspare-Speicher und -Festplatten verfügen. Auch redundante Netzteile und Lüfter sowie eine unterbrechungsfreie Stromversorgung in Form von einer USV erhöhen die Ausfallsicherheit eines Systems.
7. Server vor unliebsamen Besuchern fern halten
Server-Hardware gehört nicht in die Besenkammer. Darüber hinaus sollte sie nicht für jedermann frei zugänglich sein. Den Systemen mit sensiblen Firmendaten gebührt ein verschlossener und klimatisierter Raum mit der Option der Raumüberwachung. Auch der Zugang auf das System sollte so konzipiert sein, dass nur ein entsprechender Personenkreis die Berechtigung dazu hat. Die Zugangsberechtigung zum und auf den Server sollte für jedermann transparent sein.
8. Einheitliche Server-Landschaften fürs Server-Management schaffen
Um das Management von Servern zu vereinfachen und Kosten zu sparen, sollten soweit möglich heterogene Server-Landschaften vermieden werden (Konsolidierung). Unterschiedliche Hardware von verschiedenen Herstellern mit proprietärer Management-Software bereitet jedem Administrator Kopfschmerzen und verursacht hohen Arbeitsaufwand. Eine standardisierte Server-Management-Software, die zentral Zugriff auf alle System hat, wäre die Ideallösung.
9. Kompetenten Service und Support für die IT einrichten
Die IT-Hardware bedarf ständiger Pflege und Wartung. Im Falle eines Server-Ausfalls darf der Arbeitsprozess nicht zum Erliegen kommen, da hohe Ausfallkosten die Folge wären. Deshalb ist ein schneller und kompetenter IT-Service und Support unerlässlich. Dieser kann in Form einer hauseigenen IT-Abteilung geführt werden oder es wird ein entsprechender Vertragspartner verpflichtet. Dabei Reaktions- beziehungsweise Wiederherstellungszeiten genau definieren.
10. Datensicherheit durch wirksames Backup-System gewährleisten
Wer geschäftskritische Daten auf dem Server speichert, für den ist nicht nur ein sicheres Storage-Subsystem wichtig, wie zum Beispiel eine entsprechende RAID-Konfiguration, sondern auch eine Backup-Hardware in Form eines Bandlaufwerkes oder einer Tape Library notwendig. Je nach Backup-Konzept sind im Falle eines Falles nicht “alle“ Daten unwiederbringlich verloren, sondern nur die bis zum letzten Backup. Darüber hinaus muss eine sichere Archivierung dieser Backups inklusive Zugangskontrolle gewährleistet sein. (ala)