Sicherheit in der IT – keine leichte Sache

Was ich in den letzten Wochen gerade in der zuckerbergschen Bedürfnisanstalt zu WannaCry und den DDoS Attacken auf zentrale Dienste der eCommerce-Branche gelesen habe, hat mir die Haare zu Berge gestellt. Wenn man keine Ahnung hat, sollte man besser einfach mal die Fresse halten. IT-Sicherheit gibt es nicht von der Stange und schon gar nicht irgendwo zu kaufen. Hier ein paar Gedanken dazu.

Bedrohungsanalyse

Bevor man sich über Schutzstrategien Gedanken macht, sollte man sich überlegen, welchen Bedrohungen sind meine IT-Systeme überhaupt ausgesetzt. Die einfache Frage dazu lautet:

Was kann passieren?

Diese Liste kann durchaus richtig lang werden, weil hier alles dazu gehört. Vom Erdbeben, über Feuer und Wasserschäden, Blitzeinschlag, Stromausfall, Hardware defekt, Anwender der versehentlich Daten löscht oder eine E-Mail mit Schadsoftware öffnet und so weiter. Selbst der Ausfall eines externen Dienstleisters kann zu einem ernsten Sicherheitsproblem führen. Diese Liste fasst man dann in einem Katalog zusammen. Wer Hilfe bei der Zusammenstellung seines Bedrohungskatalogs braucht, findet diese auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnologie unter dem Begriff IT-Grundschutzkatalog. Der hingt zwar immer etwas der Entwicklung in der IT hinterher, ist hier aber ein hervorragender Anlaufpunkt.

Wissen wir, was uns passieren kann, können wir diesen Bedrohungen die betroffenen Dienste unserer IT-Infrastruktur zuordnen. Dazu müssen wir natürlich erst einmal wissen welche Dienste wir überhaupt nutzen. Auch wieder ein schönes Beispiel. Eine DDoS Attacke auf den Webserver wird kaum die den Datei-Dienst (File Services) in unserem lokalen Netzwerk lahmlegen. Hiervon können je nach Hosting-Paket beim Internet Service Provider der HTTP/HTTPS Dienst, der Maildienst und eventuell noch der dort vorhandene Datenbankdienst betroffen sein.

Dabei können wir auch gleich feststellen, welche Auswirkungen hier ein Sicherheitsvorfall auf den Betrieb hat. Bleiben wir beim Beispiel der DDoS Attacke, können unsere Kunden nicht mehr unsere Homepage besuchen und E-Mails werden nicht mehr versendet, bzw. empfangen und gehen somit auch verloren. Auf den dort installierten Datenbankdienst hat so eine DDoS Attacke kaum bis keine Auswirkungen. Und da wir jetzt die Auswirkungen kennen, können wir auch einschätzen, wie schwerwiegend diese für unsere IT-Infrastruktur sind:

  • Low – fast keine Auswirkungen;
  • Medium – der Vorfall hat Auswirkungen, die aber nur einzelne Systeme betreffen;
  • High – der Vorfall hat Auswirkungen, welche die Arbeitsfähigkeit von Mitarbeitern oder ganzer Abteilungen stark einschränken;
  • Critically – die Auswirkungen sind so groß, das die gesamte Firma quasi still steht und eventuell sogar die Existenz des Unternehmens bedroht ist;

Maßnahmen

Jetzt habe ich alles beisammen, um für meine IT-Infrastruktur eine Sicherheitsstrategie zusammenzustellen. Auch hier wieder ein aktuelles Beispiel: Ein Anwender erhält die Mail eines scheinbaren Bewerbers mit einer Blindbewerbung und öffnet dort das angehängte Word Dokument welches vorgibt ein Lebenslauf zu sein (kann auch eine PDF Datei sein). Sehr perfider Trick der dazu führt, dass sich ein Verschlüsselungstrojaner auf dem Rechner breit macht und alle Dateien verschlüsselt, denen er habhaft werden kann – Ooops your files have been encrypted!

In so einem Fall können wir davon ausgehen, dass schon mal der Arbeitsplatz Dienst (Client Services) betroffen ist. Nun arbeitet unser Mitarbeiter ja nicht alleine im Netzwerk. Er hat an seinem PC unter seiner Benutzerkennung die Freigaben eines zentralen Netzwerkspeichers angebunden. Und dabei ist es völlig Wurst ob es sich hier um eine NAS auf Linux Basis oder einen Windows Server handelt. Unsere Ransomeware verschlüsselt auch dort fleißig die Dokumente. Wir haben also zwei Dienste, die bei so einem Sicherheitsvorfall betroffen sind. Da in den Dokumenten wichtige Informationen gespeichert sind, die die Anwender für ihre Arbeit benötigen und auch der Computerarbeitsplatz nicht mehr zu gebrauchen ist, können wir hier die Auswirkungen mit mindesten High, wenn nicht sogar Critically einstufen.

Solche Mails werden täglich millionenfach versendet und die Wahrscheinlichkeit, das ein Mitarbeiter auf so eine Mail herein fällt ist ziemlich hoch. Also sollten wir schleunigst etwas tun, um uns vor so einem Vorfall zu schützen. Und als erstes greifen wir in die Bauerntrickkiste der IT – Die Rechteverwaltung. Effektivster Schutz vor Schadsoftware ist die Beschränkung der Benutzerrechte auf das wesentliche. Der Anwender soll Programme öffnen können und Daten lesen und speichern. Software installieren gehört nicht zu seinen Aufgaben. Darum nehmen wir als erstes allen Anwendern die lokalen administrativen Rechte weg und richten ihnen einfache Benutzerkonten ein. Damit läuft ein Großteil der Schadsoftware ins leere, weil die Benutzerkennungen gar nicht über die notwendigen Rechte verfügen.

Ein weiterer Baustein, um sehr effektiv sich vor solcher Schadsoftware zu schützen, sind die Software Restriction Policies (Richtlinien für Softwareeinschränkungen). Hierüber legen wir fest, welche Anwendungen und Dokumententypen der Anwender starten und bearbeiten darf. Über diesen Weg schlagen wir auch solche Schädlinge in die Flucht, die auch unter eingeschränkten Rechten versuchen ihr Unheil anzurichten. Wer jetzt nicht über eine Active Directory Infrastruktur verfügt, kann hier den c‘t Restric‘tor verwenden, um sich ein Hochsicherheits-Windows einzurichten.

Natürlich gehört auch die Datensicherung zum Sicherheitskonzept. Hier muss überlegt werden, wie die Datensicherung gestaltet sein muss, damit im Ernstfall die Daten möglichst schnell und vollständig wiederhergestellt werden können. Hier kann ein spezieller Benutzeraccount für die Datensicherung wertvolle Dienste leisten. Er kann in so einem Fall davor schützen, dass nicht auch die Datensicherung von einer Ransomeware verschlüsselt wird. In so einem Fall wäre diese dann natürlich nutzlos.

Brauche ich jetzt keinen Virenscanner?

Virenscanner sind für mich erstmal Snake Oil (Schlangenöl). Bittere und teure Medizin, die im Ernstfall zum Scheitern verurteilt ist. Selbst heuristische Verfahren zum Erkennen von Schadsoftware versagen oft in der Praxis. Dazu kommt noch, das Virenscanner auch über Sicherheitslücken verfügen können, die dann wiederum auch ausgenutzt werden können. Die hier angedeuteten Maßnahmen sind viel effektiver als ein Virenscanner.

Auf Windows Systemen würde ich aber trotzdem nicht auf einem Virenscanner verzichten wollen. Hier reicht aber der Microsoft Windows Defender (unter Windows 7 Microsoft Security Essentials) völlig aus. Testberichte sind kein Garant dafür, dass bei der nächsten großen Ransomeware Welle dieser mich auch schützen wird. Auf den betroffenen Systemen, die WannaCry angegriffen hat, waren überall Virenscanner installiert. An dieser Stelle kann sich jetzt jeder überlegen, was hier ein Virenscanner gebracht hat.

Jeder Unternehmer ist gut beraten, den IT Grundschutzkatalog in seinem Unternehmen anzuwenden. Und das völlig unabhängig von der Größe des Unternehmens. Und ich bin mir sehr sicher, dass es da für viele eine Menge „Oha Erlebnisse“ geben wird. Sicherheit in der Informationstechnologie ist nichts, was man sich kaufen kann. Es muss im Unternehmen gelebt werden. In diesem Artikel konnte ich nur ein paar wenige Aspekte aus aktuellem Anlass beleuchten. Wer sich durch den IT Grundschutzkatalog gearbeitet hat, wird verstehen wie umfangreich dieses Thema ist.

2 Gedanken zu „Sicherheit in der IT – keine leichte Sache“

  1. Aus meiner Erfahrung muss man den User/Kunden zu solchen Maßnahmen zwingen.

    Die von dir aufgezeigten Einschränkungen gehen so eben gerade, wenn nur Standard-Office Anwendungen genutzt werden. Wir haben häufig mit “Must-Have-Spezialsoftware” des Kunden zu tun, die mit solchen Einschränkungen nicht laufen oder sich zumindest komisch verhalten. Der Kunde ist genervt und der Softwarehersteller kennt nur die Windows-Firewall und versteht die Funktion einer Hardwarefirewall nicht. Bei GPOs steigt er dann aus.

    Hier fehlt auch viel Wissen bei unseren direkten Kollegen.

    1. Hallo Sascha,

      es gibt ganz wenige Spezialanwendungen die für die tägliche Arbeit unter Windows administrative Rechte benötigen. Mir persönlich sind solche Anwendungen nur in der Produktion und im medizinischen Sektor untergekommen. In der Regel handelt es sich hier um sehr spezielle Arbeitsplätze. Wenn ich dann solche Meldungen, wie diese auf Heise lesen muss https://www.heise.de/newsticker/meldung/Check-Point-Bericht-Gefaehrliche-Backdoor-in-jedem-zehnten-deutschen-Unternehmensnetz-3732893.html, liegt das weniger an den Entwicklern, sondern an sehr schlecht ausgebildeten Administratoren.

      Ich sehe die hier aufgezeigten Maßnahmen auch nicht als Einschränkungen an. Ich arbeite jeden Tag mit einem normalen Benutzerkonto ohne administrative Rechte sowohl auf Arbeit als First und Second Level Supporter, als auch zu Hause am privaten PC. Ich fühle mich gerade beim Beantworten deines Kommentars in keiner Weise eingeschränkt. Brauche ich für administrative Aufgaben entsprechende Rechte, dann habe ich dafür eine Kennung, unter der ich diese erledige. Dafür muss ich mich noch nicht einmal ab- und wieder anmelden. Unter Ubuntu ist es etwas leichter, aber unter Windows geht das auch.

      Gruß und Danke für Deinen guten Beitrag

      Gruß Michael

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.