Security-Konzept oder „Wird schon nichts passieren“?

Betriebe haben es heutzutage wirklich nicht leicht, denn die Digitalisierung schreitet unaufhörlich voran und macht vor keiner Branche halt. Die Möglichkeiten, die Arbeit zu verrichten, steigen und noch dazu hat sich die Arbeitsweise in den letzten Jahren ebenfalls stark geändert. Man soll immer und überall erreichbar sein, notwendige Daten mitführen und immer schneller und besser Kunden bedienen können. Wodurch sich auch die Anforderungen an die IT-Infrastruktur und die Security erhöhen. Wir erklären, warum ein ausgeklügeltes Security-Konzept unabdingbar ist.

Vor einigen Jahren war die IT-Infrastruktur noch recht überschaubar: Lokaler E-Mail-Server, WLAN, Switch und Firewall, dazu natürlich Client-Computer und einige Drucker. Fertig war die eigene Infrastruktur und man konnte schon fröhlich drauflosarbeiten. Eine eigene Website wurde oft in Betrieb genommen, um den Interessenten Erstinformationen zu ermöglichen. Die Security beschränkte sich auf das WLAN, die Firewall und das Antivirus-Programm am Client. Alles in allem recht einfach aufgebaut und auch die Implementierung der Systeme ging rasch vonstatten. Die Wartung war überschaubar und die laufenden Kosten ebenfalls.

Mehr Möglichkeiten ergeben komplexere Systeme

Mittlerweile werden die Daten nicht nur am eigenen  Datenserver abgelegt, sondern oft in verschiedenen Cloud-Systemen wie beispielsweise Microsoft OneDrive, Dropbox, AWS und vielen mehr. Microsoft Outlook bzw. Exchange ist mittlerweile auf fast jedem Gerät eingerichtet und die Kommunikation hat sich von Telefon und E-Mail auf zig weitere Kanäle verlagert, wie zum Beispiel WhatsApp, Telegram, Signal, Microsoft Teams, diverse Social Media Messenger, ProCall und viele weitere. Die Zeiten, an denen man nur am Client-Computer in der Firma die Arbeit verrichtet hat, sind ebenso schon lange vorbei. Zwischenzeitlich nutzen viele Mitarbeiter neben dem PC in der Firma auch ein Notebook oder Tablet und natürlich auch das Smartphone. In Zeiten von Homeoffice sind außerdem vereinzelt Firmenzugänge auf Privat-PCs zu finden. Zusammengefasst ergibt das viele unterschiedliche Speicherorte und Kommunikationswege, die noch dazu auf vielen verschiedenen Geräten zu verwalten sind.

Neue Herausforderungen für Betriebe

Diese Vielfalt bring dementsprechend auch viele Herausforderungen für Betriebe mit sich. Es muss auf eine korrekte Datenablage geachtet werden und die richtigen Programme und Apps sollen auf den vorgesehenen Geräten verwendet werden. Aktuell kennen wir wenige Betriebe, die auf diese „neuen“ Herausforderungen wirklich vorbereitet sind. Zu den angeführten Punkten kommt im Hintergrund außerdem noch der Security-Aspekt dazu.

Es sind viele Fragen zu beantworten, wie zum Beispiel:

• Wie kann ich regeln, wer auf meine Daten Zugriff haben soll?
• Wie kann ich meine Daten „beisammen“ halten?
• Wie steuere ich die Nutzung der Programme und Apps?
• Wie kann ich den Gerätezugriff steuern bzw. meine Geräte schützen?
• Wie sollen meine Daten gesichert werden?
• Wie verhindere ich Datenverlust oder Zerstörung?
• Wie schütze ich meine Benutzer-Identitäten (Benutzername und Kennwort)?

Da diese Fragen nicht pauschal zu beantworten sind, muss man seine Sichtweise ändern und die Dinge in ihrer Gesamtheit betrachten. Wir untergliedern dabei beim Thema Security im Großen und Ganzen folgende Bereiche:

• Benutzer
• Geräte
• Daten

Benutzer und Benutzer-Identitäten

Wenn die Anmeldedaten eines Benutzers in falsche Hände gelangen, kann das teure Konsequenzen haben. Viele erfolgreiche Hacker-Angriffe wurden mit gestohlenen Benutzeranmeldedaten durchgeführt. Ist der Angreifer erst im System, hat er ein leichtes Spiel, denn es können einfach Daten abgesaugt oder Schadsoftware implementiert werden. Die Angreifer können sich ebenso von einem Gerät zum anderen weiterverbinden und somit die Kontrolle über das ganze Netzwerk erlangen. Sie wieder loszuwerden ist fast unmöglich. Meist ist ein Angriff außerdem mit finanziellen Forderungen verbunden. Somit hat der Schutz der Benutzeranmeldedaten oberste Priorität.

Typischerweise werden heutzutage folgende Maßnahmen gesetzt:

• Sichere Kennwörter, welche komplex sind und regelmäßig geändert werden
• Mehrfaktor-Authentifizierung z. B. per Bestätigung am Smartphone
• Beschränkung der Anmeldung auf Geräte oder Lokationen
• Überwachung von Unregelmäßigkeiten
• Sicherheitsschulung der Mitarbeiter für die richtige Nutzung

Geräte

Nicht so einfach ist der Schutz der Geräte. Einerseits weil es viele verschiedene Gerätearten gibt, andererseits befinden sich nicht alle innerhalb eines abgegrenzten Netzwerks. Die Vielfalt der Programme und Apps und die oft unterschiedliche Nutzungsart der Geräte erschweren die Absicherung ebenfalls. Im Bereich der Client-Security verfolgen wir daher einen mehrschichtigen Security-Ansatz. Viele verschiedene Sicherheitsnetze sollen das Risiko eines erfolgreichen Angriffs reduzieren. Eines dieser Netze ist die Optimierung der Benutzerrechte. Ein Benutzer soll nur die notwendigen Berechtigungen am Client haben (Benutzerrechte) und keinesfalls zu viele Rechte (Adminrechte). Sollte ein Angriff stattfinden, hat der Angreifer meist automatisch die Rechte des Benutzers. Hat der Benutzer Adminrechte, könnte der Angreifer die implementierten Sicherheitssysteme (wie z. B. den Antivirus, die lokale Firewall usw.) abschalten. Mit Adminrechten am Client ist ein Großteil der Security nutzlos, was die Optimierung der Berechtigungen elementar macht.

Ein weiteres Sicherheitsnetz ist eine Antivirus-Software. Der Schutz durch eine Muster erkennende Antivirus-Software ist zwischenzeitlich nicht mehr ausreichend, da täglich zigtausende Schadprogramme geschrieben und im Internet veröffentlicht werden. Kein Virenschutzhersteller kann diese enormen Daten in sein Produkt einpflegen, wodurch das klassische Antivirus-Programm immer mehr an Bedeutung verliert. Moderne Antivirus-Software setzt daher nicht mehr auf die reine Mustererkennung, sondern analysiert auch das Programm- bzw. Benutzerverhalten. Sollte ein unbekanntes Programm versuchen, Daten zu verschlüsseln, dann wird der Vorgang gestoppt, da es sich um ein untypisches Verhalten handelt. Die Schadsoftware wird so zwar nicht direkt erkannt, allerdings wird aufgrund seiner Verhaltensweise eingegriffen.  Sollte es die Schadsoftware auch über diese Hürde schaffen, dann kommt die lokale Firewall zum Einsatz. Typischerweise versucht Schadsoftware eine Verbindung zum Angreifer im Internet aufzubauen, und zwar mittels gängiger Programmiersprachen, die von der Firewall unterbunden werden, somit verläuft der Angriff im Sand. Dies gilt auch für E-Mails, die an ominöse Server versandt werden sollen. Bei der Firewall wird folglich ein Regelwerk erstellt, welches die Quelle (z. B. den Client), das Ziel (z. B. den Webserver) und das Protokoll (z. B. FTP) umfasst. Dieses Regelwerk ist so eng wie möglich zu gestalten, damit möglichst wenig Spielraum für Schadsoftware besteht.

Dieses Regelwerk (Quelle, Ziel, Protokoll) ist jedoch nur ein weiterer Baustein des Security-Konzepts. Angreifer sind sich dieses Regelwerks bewusst und nutzen gerne „konforme“ Kanäle, um die Verbindung von Schadsoftware zum Angreifer zu ermöglichen. Hier hilft eine Webfilter-Lösung, die nicht nur Kanäle erlaubt oder sperrt, sondern auch die Client-Verbindungen analysiert, um das Nachladen weiterer Schadsoftware, Programme oder Werkzeuge aus dem Internet über den TCP-Port 80 (Kanal fürs Internetsurfen) zu verhindern.

Es gibt natürlich noch weitere Sicherheitsnetze, die ebenfalls zur Gesamtsicherheit beitragen. Während einzelne Maßnahmen maximal 70 bis 80 % Schutz bieten, kann durch die sinnvolle Kombination verschiedener Sicherheitsnetze das Risiko eines Angriffes deutlich reduziert werden, während gleichzeitig genug Flexibilität vorhanden ist, um Programme und Arbeitsabläufe nicht zu stören.

Daten

Das wertvollste Gut eines Unternehmens sind Daten, die natürlich dementsprechend geschützt werden müssen. Genauso, wie man sich und seine Wertgegenstände im Privatbereich durch Türen mit Sicherheitsschlössern, Alarmanlagen und Safes abhängig vom Empfinden des Besitzers und versicherungsrechtlichen Kriterien schützt. Je sensibler und wichtiger die Daten eines Unternehmens sind, umso mehr Schutzmechanismen kommen zum Einsatz, um natürlich auch der DSGVO zu entsprechen, aber um vor allem zwei Szenarien vorzubeugen: Daten gelangen in falsche Hände (Datenverlust) und Schutz vor Datenzerstörung. Diese Risiken müssen voneinander getrennt betrachtet und mit entsprechenden Maßnahmen adressiert werden.

Damit der Datenzugriff nur für berechtigte Personen möglich ist, sollten folgende Überlegungen erfolgen:

• Definition der Benutzergruppen für Datenzugriffe
• Festlegen der Speicherorte und Berechtigungen
• Regelung für lokale Daten am Server, Daten auf Geräten bzw. in der Cloud
• Prozesse für das Teilen der Daten mit externen Personen

Technische Möglichkeiten dazu sind Ordnerberechtigungen am Server und unser Managed Service „Berl.Business.User.Pro“.

Vor Datenzerstörung kann man sich recht einfach mit einem gut überlegten Sicherungskonzept schützen. Eine solche Sicherung muss ortsunabhängig, verschlüsselt und aus mehreren Versionen bestehen. Im Falle einer (un)gewollten Datenzerstörung oder Veränderung muss eine einfache Wiederherstellung der Daten möglich sein. Natürlich muss auch der Sicherungsort vor Datenzerstörung gesichert werden. Angreifer zerstören oft auch die Sicherungsmedien vor dem eigentlichen Angriff, um sicherzustellen, dass keine Wiederherstellung der Daten möglich ist. Technische Möglichkeiten für eine Sicherung sind beispielsweise eine Sicherung auf Band oder NAS und mit unseren Managed Services „Berl.Server.Backup.Online“, „Berl.Client.Backup.Online“ und „Berl.M365.Backup.Online“. Zusammengefasst müssen die Benutzer, die Geräte und natürlich die Daten im Sicherheitskonzept Beachtung finden. Vernachlässigt man einen der Bereiche, sind sicherheitsrelevante Vorfälle wahrscheinlich.

Es ist wichtig anzumerken, dass es nicht möglich ist, einen gezielten Angriff abzuwehren. Sollte der Angreifer genug kriminelle Energie mitbringen, wird es ihm gelingen, Zugriffe auf die Systeme zu erlangen. Es liegt jedoch an uns, wie schwer wir es ihm machen. Ein mangelhaftes Sicherheitskonzept verleitet Gelegenheitshacker zum Angriff. Je leichter ich es der Schadsoftware bzw. dem Hacker mache, umso wahrscheinlicher werde ich Opfer eines Angriffs. Wird es dem Angreifer schwer gemacht, wird er sich vermutlich ein anderes Opfer suchen. „Glücklicherweise“ sind sehr viele IT-System mangelhaft geschützt, wodurch die Hacker genug Ziele zur Auswahl haben. Die Angreifer wollen ohne viel Aufwand Geld verdienen, somit wird meist nicht viel Energie in einen Angriff gesteckt, der sehr schnell aufgegeben wird, sollten sie auf Hindernisse stoßen. Ausgenommen sind natürlich gezielte Angriffe, welche jedoch recht selten sind.

Wie startet man so ein Security-Projekt?

Der erste Schritt ist die Kontaktaufnahme mit unseren Security-Experten. Nach einem unverbindlichen Erstgespräch muss man den IST-Stand erheben und die Kerngeschäftsprozesse erkennen und verstehen. Wir bewerten anschließend mit unseren Kunden die Risiken und erstellen einen Maßnahmenkatalog. Meist werden diese in kleinere Projekte gepackt und je nach Priorität und Abhängigkeiten abgewickelt. Die Mitarbeiter werden geschult und in regelmäßigen Abständen werden die Maßnahmen überprüft und gegebenenfalls an den Stand der Technik angepasst. Das Thema Security wird uns in den nächsten Jahren verstärkt begleiten und einen wesentlichen Teil bei der Planung und Umsetzung von IT-Projekten einnehmen.

Wir beraten Sie dazu gerne auch individuell!

Nehmen Sie am besten noch heute Kontakt mit uns auf.