Einige der Regeln lassen sich direkt umsetzen, andere können Sie ausdrucken und Ihren Kollegen, Benutzern oder Mitbenutzern im LAN auf den Tisch legen. Sicherlich werden Sie die eine oder andere Regel in mehreren Bereichen wiederfinden. Dies ist so beabsichtigt, nicht, weil wir zu faul waren, uns noch mehr auszudenken, sondern aus dem einfachen Grund, weil diese Grundsätze für jeden Bereich, in dem sie auftauchen, entsprechend wichtig sind.
Im ersten Teil der dreiteiligen Artikelserie widmen wir uns der Sicherheit von Clients und Servern sowie den fundamentalen Regeln bei der Serverhardware. Teil zwei beschäftigt sich mit Netzwerk-Sicherheit, Netzwerkdruckern, Storage und Backup. Im letzten Teil behandeln wir Linux, Windows und die Internet-Sicherheit.
Zehn goldene Netzwerkdrucker-Regeln
Netzwerkdrucker sind für tägliche Geschäftsprozesse vielerorts unabdingbarer Bestandteil der IT-Infrastruktur. Entsprechend sorgfältig sollte die Auswahl erfolgen. Dank anwenderfreundlicher Setup-Routinen sind sie meist mit wenigen Mausklicks ins Netzwerk eingebunden. Richtig konfiguriert, sollten sie im besten Fall selten Benutzer- oder gar Administratoreingriffe erfordern.
1. Erst analysieren, dann kaufen
Analysieren Sie mit Hilfe der gängigen Druckermanagement-Tools vor dem Kauf oder Austausch eines Netzwerkdruckers eingehend das Druckaufkommen und verhalten. Wie hoch ist das Druckvolumen tatsächlich und wurden die installierten Optionen wie Duplex-Einheit oder Sorter überhaupt genutzt? Wenn Optionen gemäß der Analyse tatsächlich erforderlich sind, sollte ein entsprechend vorkonfiguriertes Modell gewählt werden. Nachträgliches Aufrüsten mit Hardware ist meist unverhältnismäßig teuer.
2. Anschaffungskosten detailliert betrachten
Sowohl die laufenden Kosten für den Druckbetrieb und Support wie auch etwaige Garantieverlängerungen sind in die Kalkulation einzubeziehen. Verbreitet ist immer noch die spärliche einjährige Herstellergarantie. Entsprechend zu empfehlende Upgrades hinsichtlich des Service und der Garantie kosten schnell einige Hundert Euro. Daher sollte vor dem Kauf eine ausstattungsbereinigte Betrachtung erfolgen. Darüber hinaus bieten viele Hersteller nutzungsabhängige Abrechnungsverfahren an, die man mit oben angeführter Analyse richtig einordnen kann.
3. Druckvolumen permanent überwachen
Analysieren Sie mit den gängigen Management-Tools regelmäßig das tatsächliche Druckaufkommen. Häufig sind die Drucker nicht gemäß ihrer wirklichen Leistungsfähigkeit eingesetzt. Entsprechendes Optimieren durch auslastungsbezogene Positionierung der Geräte macht manche Neuanschaffung überflüssig. Gleiches gilt für nicht genutzte Funktionen oder Optionen wie Farbdruck oder Duplex, die an anderer Stelle unter Umständen sinnvoller eingesetzt wären.
4. Mehrere Drucker zentral administrieren
Wer nur einen oder zwei Drucker einsetzt, kann diese getrost über das Webinterface verwalten. Bei größeren Installationen empfiehlt es sich, eine zentrale Verwaltungs-Software zur Administration einzusetzen. Die Tools kommunizieren per SNMP mit den Druckern und kommen auch in heterogenen Umgebungen zurecht. Hier ist die Verwendung von SNMPv3 zu empfehlen – vorausgesetzt, Druck-Server und Verwaltungs-Software unterstützen dies. SNMPv3 unterstützt Benutzer-Authentifizierung und Datenverschlüsselung.
5. Printserver vor Zugriff schützen
In der Praxis versehen viele Printserver ihren Dienst ohne jeglichen Zugriffsschutz. Je nach Modell kommen einige Netzwerkdrucker zumindest mit einem Default-Passwort. Sie sollten den Administrator-Account noch während der Installation mit einem Passwort schützen.
6. Firmware auf dem neuesten Stand halten
Was für Betriebssysteme gilt, trifft auch auf die Printserver zu, nur regelmäßiges Updaten garantiert einen sicheren Betrieb. Inzwischen tauchen häufig Sicherheitslücken bei Printservern auf. Halten Sie daher die Firmware der Druckserver immer auf dem neuesten Stand. Die gängigen Tools erlauben bei homogenen Umgebungen ein simultanes Updaten aller Drucker im Netzwerk.
7. Nicht benötigte Protokolle deaktivieren
Aktuelle Printserver verstehen sich auf eine Vielzahl von Protokollen von TCP/IP über Ethertalk bis IPP. Bei den meisten Standardinstallationen sind per Default alle Protokolle aktiviert. In der Regel genügt bei Standardinstallationen jedoch ein Protokoll zum ordnungsgemäßen Betrieb. Sowohl im Hinblick auf den hohen Netzwerk-Traffic wie auch aus Sicherheitsaspekten sollten Sie alle nicht benötigten Protokolle deaktivieren.
8. Zugriffslisten einrichten
Nahezu alle aktuellen Printserver von Netzwerkdruckern erlauben die Einrichtung von Zugriffslisten (ACL). Legen Sie über diese Listen fest, welche Anwender berechtigt sind, auf dem Drucker Print-Aufträge auszuführen. Je nach Modell läßt sich festlegen, welche IP-Bereiche über welche Protokolle zugreifen können. Bei einigen Farblaserdruckern können Sie darüber hinaus über Zugriffslisten festlegen, welchen Anwendern es gestattet ist, in Farbe zu drucken.
9. Benachrichtigungsfunktionen nutzen
Die meisten Netzwerkdrucker erlauben die Einrichtung von Benachrichtigungen per E-Mail, Messenger oder SMS, etwa bei Tonermangel oder technischen Problemen wie Papierstau. Meist lassen sich einzelne Events den Benachrichtigungen zuordnen. Nutzen Sie diese Funktionen, um Ausfallzeiten zu vermeiden. Setzen Sie die Intervalle oder Schwellenwerte entsprechend Ihrer Umgebung, um einen reibungslosen Betrieb zu gewährleisten.
10. Druckjobs im Drucker hinterlegen
Abteilungsdrucker erlauben je nach Ausstattung, wiederkehrende Aufgaben beziehungsweise Druckjobs im Gerät zu hinterlegen. Gerade bei komplexen, zeitintensiven Druckjobs verkürzt dies deutlich die Gesamtausgabezeit. Als positiver Nebeneffekt reduziert sich darüber hinaus der Netzwerk-Traffic.
Zehn goldene Storage-Regeln
Storage-Lösungen stehen bei Administratoren und Verantwortlichen oft sehr weit oben auf der Beschaffungsliste. Zu den forcierenden Faktoren gehören zweifesohne das rapide Datenwachstum und die gesetzlichen Vorschriften hinsichtlich der Archivierung von Daten. Die digitalen Unternehmensdaten verdoppeln sich in immer kürzeren Abständen. Grund genug, um beim Thema Storage die entsprechende Sorgfalt walten zu lassen.
1. Datenwachstum kontrollieren
Administratoren sollten das Datenwachstum mit Werkzeugen für das Storage Resource Management kontrollieren. Damit lassen sich Veränderungen bei der Art der abgelegten Informationen und dem Speicherverhalten analysieren. Der Ausbau der Storage-Infrastruktur lässt sich so gezielter planen. Gegebenenfalls sollte man Tools einsetzen, um das Speichern von unerwünschten Inhalten beziehungsweise Dateitypen zu kontrollieren und zu unterbinden.
2. Daten analysieren und klassifizieren
Für eine optimale Ausnutzung der vorhandenen Storage-Lösungen ist ein einheitliches Datenmanagement erforderlich. Dabei erfolgt eine Klassifizierung der Daten, je nach ihrem Geschäftswert innerhalb des Lebenszyklus. Diese können dann dem kostengünstigsten physikalischen Speicherort beziehungsweise Medium zugeordnet werden – je nach Anforderung an Verfügbarkeit, Performance, Skalierbarkeit und Kosten.
3. Storage und Sicherheit gehören zusammen
Daten sicher speichern heißt nicht nur auf den Hard- oder Software-seitigen Schadensfall vorbereitet sein und ein sicheres Backup haben. Es muss ebenfalls geregelt sein, wer auf welche Daten Zugriff hat oder welche Daten beispielsweise verschlüsselt werden müssen. Das gilt natürlich insbesondere für die Daten auf mobilen Clients.
4. Kapazität ist nicht alles
In vielen Unternehmen werden auftretende Storage-Probleme meist durch ein simples Erhöhen der Kapazität gelöst. Zu einer Storage-Strategie gehört auch ein entsprechendes Management, sonst entsteht eine unüberschaubare Gesamtdatenmenge. Oftmals existieren keine Informationen darüber welche Daten wie oft und in welchen Versionen nur augenscheinlich redundant vorliegen.
5. Offene Systeme wählen
Die Storage-Infrastruktur sollte auf jeden Fall offen sein, proprietäre Lösungen gilt es, zu vermeiden. Damit ist eine leichte Skalierbarkeit gewährleistet, Interoperabilität gegeben und im Schadensfall meist einfacher Ersatz zu realisieren.
6. Archivierung ist kein Backup
Dabei handelt es sich um zwei völlig unterschiedliche Storage-Aufgaben unter dem Begriff Datensicherung. Die Archivierung lagert Daten langfristig aus, hierbei sind insbesondere die gesetzlichen Vorschriften zu beachten. Beim Backup handelt es sich um Sicherheitskopien der aktuellen Daten. So unterscheiden sich in der Regel die Anforderungen an die Hardware entsprechend den beiden Aufgaben hinsichtlich Medienhaltbarkeit und Performance.
7. Gesetzliche Vorschriften beim Archivieren beachten
Wer in Unternehmen Daten archiviert, muss sich an die gesetzlichen Regelungen hinsichtlich der Aufbewahrung von Daten halten. Das reicht von den steuerrelevanten Dokumenten und Daten über vertragsrechtliche Informationen bis hin zu Daten der Produkthaftung – je nach Branche. Abhängig von der Art der Daten kann es hinsichtlich der Unveränderlichkeit erforderlich sein, dass diese auf WORM-Medien oder mit einer entsprechenden Funktionalität ausgerüsteten Systeme abgelegt werden müssen.
8. RAID ersetzt kein Backup
Der Einsatz von RAID ersetzt keine Datensicherung. Dies gilt sowohl für den Desktop wie für den Server. RAID erhöht lediglich die Verfügbarkeit. Die Absicherung der Festplatten durch RAID ist praktisch ein Muss, wenn der Rechner ausfallsicher sein soll. Ein Allheilmittel gegen Datenverluste stellt RAID allerdings nicht dar. Um eine Ausfallsicherheit nahe 100 Prozent zu erreichen, müssen alle Komponenten des Speichersubsystems inklusive Controller, Netzteil und Lüftern redundant ausgelegt werden.
9. Festplatten richtig betreiben
Ob externe USB-Festplatte, Desktop-RAID oder NAS-Server: Festplatten sind komplexe elektromechanische Geräte, deren Zuverlässigkeit stark von der Umgebung abhängt. Neben relativer Luftfeuchtigkeit, Spannungsversorgung, Schock und Vibration ist vor allem zu hohe Temperatur ein potenzieller Datenkiller. Sowohl die Zuverlässigkeit der Elektronik als auch der Mechanik – Spindelmotor und Lager – hängt stark von der Umgebungstemperatur sowie einem adäquaten Luftstrom ab. Jedes Grad Celsius über der Normtemperatur erhöht die Fehlerrate einer Festplatte um zwei bis drei Prozent.
10. Tapes sachgemäß einsetzen
Tapes haben eine genau bemessene Nutzungsdauer, die von 25 bis 100 Durchläufen bei DAT/DDS bis zu mehreren 10.000 Zyklen bei AIT, DLT oder LTO reicht. Nach Erreichen dieser Grenze können die Bänder zwar noch jahrelang ohne Datenverlust gelagert, jedoch nicht ohne Gefahren für die Datensicherung weiter benutzt werden. Die Lebensdauer der Medien muss daher – im besten Fall automatisiert – oder manuell überwacht werden.
Zehn goldene Backup-Regeln
Vom einst ungeliebten Routine-Job ist die Datensicherung inzwischen zur zentralen Aufgabe der IT gereift. Die Bedeutung der gespeicherten Daten für ein Unternehmen und dessen wirtschaftliche Leistungsfähigkeit ist gestiegen, die Datenmengen explodieren geradezu. Das Anwachsen der Datenmenge geht mit dem Bedarf an Datensicherheit einher. Grund genug, das Backup sorgfältig zu planen und zu kontrollieren. Eine allgemein gültige Backup-Strategie existiert indes nicht, hier gilt es, das Vorgehen auf die eigene Umgebung abzustimmen.
1. Backup-System technisch prüfen
Nur durch eine regelmäßige Kontrolle können Sie sicherstellen, dass das System auch ordnungsgemäß funktioniert und die Medien einwandfrei beschrieben werden. Bereits ein einziges fehlerhaftes Drive kann das gesamte Backup wertlos machen. Kontrollieren Sie die Logfiles, wenn ein Fehler unbemerkt schon mehrere Backup-Läufe auftaucht, ist der Schaden eklatant. Aktivieren Sie alle Warnmeldungen und Benachrichtigungen.
2. Wiederherstellung durchführen
Backup und Recovery gehören untrennbar zusammen. Das ausgefeilteste und aktuellste Backup nützt rein gar nichts, wenn Sie im Ernstfall die Daten nicht zurückspielen können. Daher sollten Sie in regelmäßigen Abständen eine Wiederherstellung durchführen. Dies findet selbstverständlich in einer Testumgebung statt. Bereits in der Backup-Strategie sollte festgelegt sein, wie lange es dauern darf, bis die Daten wiederhergestellt sind. Wer beispielsweise nach einem Voll-Backup stets nur inkrementelle Sicherungen vornimmt, muss unter Umständen sehr lange Recovery-Zeiten einkalkulieren.
3. Backup-Kopie auslagern
Mindestens eine Kopie des Backups sollte an einem anderen Standort aufbewahrt werden. Dafür bietet sich etwa der Safe der Hausbank an. In Katastrophenfällen wie beispielsweise Gebäudebrand stehen nur so die Daten zur Verfügung. Ein Backup muss auch einen Schutz vor Diebstahl und Beschädigung der Anlage darstellen. Für die sichere Lagerung im Unternehmen bietet sich ein zertifizierter Datenschutzschrank an.
4. Skalierbare Hardware
Die Erfahrung zeigt, dass sowohl statische als auch variable Daten im Volumen schnell anwachsen. Eine Verdoppelung der Daten innerhalb eines Jahres ist heute keine Seltenheit mehr, eher schon die Regel. Stellen Sie sicher, dass das Backup-System zumindest den Anforderungen der Zukunft genügt. Das gilt sowohl für die Kapazität als auch für die Performance.
5. Automatisiertes Backup
Die Datensicherung muss vollständig automatisiert ablaufen. Nur so ist sichergestellt, dass die Sicherung regelmäßig mit den identischen Parametern erfolgt. Jedes manuelle Eingreifen stellt eine potenzielle Fehlerquelle dar. In der Regel erlauben aktuelle Backup-Lösungen einen sehr hohen Automatisierungsgrad.
6. Eindeutige Intervalle festlegen
Sichern Sie Ihre Daten so oft wie möglich und vom Aufwand her tolerierbar in regelmäßigen Abständen. Überbrücken Sie die Zwischenräume idealerweise im Sinne einer Continuous Data Protection mit Snapshots. Die Backup-Strategie muss darüber hinaus beinhalten, über welchen Zeitraum die Daten im Backup verfügbar sein müssen. Hier heißt es, zwischen Archivierung und Datensicherung die richtige Abstimmung festzulegen.
7. Transparentes Backup
Es muss eindeutig ersichtlich sein, welches Backup-Set welche Daten enthält. Nur so ist im Bedarfsfall eine eindeutige und schnelle Wiederherstellung möglich. Dies bedingt unter anderem, das eindeutige Regeln definiert sind, wo welche Daten zu speichern sind.
8. Clients einbeziehen
Anwender neigen dazu, auch wichtige Daten lokal auf dem Desktop oder Notebook vorzuhalten. Daher befinden sich häufig auch auf Clients Informationen, die für das tägliche Geschäft unverzichtbar sind. Eine ganzheitliche Backup-Strategie muss die Sicherung dieser Daten beinhalten. Dazu muss die gewählte Backup-Lösung entsprechende Client-Agenten mitbringen. Im Idealfall reichen die Client-Agenten die zu sichernden Daten im Push-Verfahren an den Backup-Server.
9. Redundante Backup-Lösung
Was für die Backup-Medien gilt, trifft auch auf die Hardware zu. Es muss sichergestellt sein, dass Sie im Schadensfall die Wiederherstellung gegebenfalls auf einer anderen Hardware-Umgebung durchführen können. Daher ist der Backup-Server wie die -Datenbank ebenfalls zu sichern. Zudem muss im Ernstfall eine funktionell identische Hardware (Bandlaufwerke, Libraries etc.) zur Verfügung stehen. Ohne Backup-Datenbank und die entsprechende Hardware ist ein Recovery nur mit erheblichem Aufwand, wenn überhaupt, zu realisieren.
10. Backup-Strategie anpassen
Geschäftsprozesse und -abläufe können sich ändern, eine gute Backup-Strategie muss diesbezüglich immer up to date sein. Kommen beispielsweise neue Datenbanken hinzu, muss geklärt werden, wie sich diese sichern lassen. Das betrifft sowohl das Intervall als auch die Art der Sicherung.
Zehn goldene Regeln für die Netzwerksicherheit
Die Netzwerk-Infrastruktur bildet das Rückgrat Ihrer IT. Auf der einen Seite ermöglicht sie eine Vielzahl von Diensten und Funktionen, auf der anderen Seite stellt sie jedoch einen Angriffspunkt dar. Planung und Überwachung tut not.
1. Unautorisierte Geräte verhindern
Ein Netzwerkstecker verleitet die Benutzer gerne dazu, ein eigenes Gerät anzuschließen. Beispielsweise einen Switch, weil die eine Dose im Büro beim besten Willen nicht für die vielen Geräte reicht, die der Benutzer gerne ans Netz hängen würde. Dies kann aber zu Störungen im Netzwerk führen, weil dadurch eventuell grundlegende Ethernet-Regeln (Webcode: 402041) verletzt werden, oder über einen unautorisierten WLAN-AP Lücken in die Sicherheit reißen.
Abhilfe könnte beispielsweise eine Lösung schaffen, die ständig die im Netz vorhandenen MAC-Adressen gegen eine Liste erlaubter Adressen abgleicht.
2. Augen auf beim WLAN
Spätestens wenn der Geschäftsführer es so will, kommen Sie als Admin nicht mehr um die Einrichtung eines drahtlosen Netzwerks herum. Beim Einsatz eines WLAN müssen Sie besonderes Augenmerk auf die Sicherheit legen. Vergessen Sie WEP als Verschlüsselungstechnologie und setzen Sie mindestens auf WPA. Besser wäre es noch, den Funkdatenverkehr über ein VPN abzuwickeln.
Auf jeden Fall empfiehlt es sich, alle WLAN-Benutzer in ein eigenes IP-Subnetz zu legen, das mit dem normalen LAN nur über ein gesichertes Gateway kommunizieren kann.
3. VPN
Bedenken Sie beim Einsatz von VPN als Einwahltechnologie ins Firmennetz, dass der entfernte Client möglicherweise kompromittiert sein könnte, da er zumeist direkt mit dem Internet verbunden ist. Dementsprechend ist es sinnvoll, wie beim WLAN ein eigenes IP-Subnetz zu verwenden, das mit dem normalen LAN nur über ein gesichertes Gateway kommuniziert. Optional können Sie über den Einsatz eines NAC-Systems nachdenken, bei dem Clients nur nach vorheriger Sicherheitsüberprüfung ins LAN gelassen werden.
4. Struktur geplant und überwacht
Netzwerke sind gewachsene und wachsende Strukturen. In den seltensten Fällen hat man die Gelegenheit, ein LAN von Grund auf zu planen. Dennoch sollten Sie immer wieder Ihre Strukturen überdenken. Der Leitgedanke sollte dabei sein, dasGebilde so einfach wie möglich zu halten. Damit behalten Sie leichter den Überblick und können potenzielle Schwachstellen besser aufspüren. Auch Änderungen lassen sich so leichter durchführen.
5. IDS / IDP
Einfach nur darauf zu warten, dass irgendwann etwas Ungewöhnliches im Netzwerk oder auf einem Server passiert, kann nicht die richtige Strategie zur Entdeckung von Angriffen sein. Im schlimmsten Fall sind bis zum Zeitpunkt der Entdeckung Monate vergangen, in denen sich der Hacker an Ihren Ressourcen gütlich tun konnte. Die Mindestausstattung Ihrer „Intrusion Detection“ sollte die regelmäßige Kontrolle von Log-Dateien beinhalten. Besser sind aktive Systeme, die den Netzwerkverkehr auf bekannte Unregelmäßigkeiten hin untersuchen.
6. Fokussieren
Natürlich kann man versuchen, die „perfekte“ Sicherheit zu erreichen. Allerdings würde das in letzter Konsequenz bedeuten, die Rechner nicht einzuschalten. Also richten Sie Ihr Augenmerk auf bekannte und echte Gefahren anstatt auf eingebildete und unbekannte. Erst wenn die bekannten Gefahren ausgeschaltet sind, machen Sie sich an die Beseitigung möglicher Schwachpunkte.
7. Managed Security Services
Wenn Ihre IT-Abteilung zu klein ist, um sich um alles kümmern zu können, heißt das noch lange nicht, dass Sie die Sicherheit schleifen lassen dürfen. Zur Not wenden Sie sich an einen Anbieter von so genannten „Managed Security Services“. Diese übernehmen für eine Vielzahl von Bereichen die komplette Abwicklung, sei es nun der E-Mail-Dienst oder gar die Verwaltung der Firewall.
8. Firewall
Eine Firewall ist kein statisches Objekt, das Sie einmal installieren und dann vergessen können. Abhängig von den Änderungen in Ihrem Netzwerk und vor allem den neu entdeckten Sicherheitslücken sollten Sie die Konfiguration der Firewall ständig im Auge behalten und entsprechende Anpassungen vornehmen.
9. Perfekte Sicherheit ist unerreichbar
Das heißt auch, dass Sie weder sich noch Ihre Benutzer in falscher Sicherheit wiegen dürfen. Trotz aller Sicherungsmaßnahmen müssen Sie und Ihre Benutzer sich immer der Tatsache bewusst sein, dass irgendwo doch ein Fehler oder eine unentdeckte Sicherheitslücke auftauchen können. Entsprechend sollte auch der Umgang mit dem Netzwerk und den Ressourcen erfolgen. Zudem bedeutet es, dass Sicherheit kein Zustand ist, sondern ein immerwährender Prozess.
10. Sicherheit ist eine Investition, kein Kostenblock
Eine Regel vor allem für die Kostenverantwortlichen im Unternehmen, die gerne den Daumen auf dringend benötigte Gelder halten: Rechnen Sie sich einfach mal durch, welche finanziellen Auswirkungen ein Ausfall der IT auf Ihre Firma haben würde. Wenn das noch nicht als Argument reicht, kalkulieren Sie den Image-Verlust mit ein, der bei einem Bruch der Sicherheit entsteht.