Ratgeber über IT-Sicherheit

By | January 7, 2016

Wer kennt das nicht, von einem Moment auf den anderen geht am PC gar nichts mehr, die Fehlermeldungen häufen sich, das Windows System reagiert träge oder gar nicht mehr. Im schlimmsten Fall wurden wichtige Unternehmensdaten verschlüsselt und können erst nach einer Lösegeldzahlung wieder entschlüsselt werden. Dabei habe ich doch gar nichts gemacht werden sich die meisten PC Nutzer denken. Dieser Gedanke gilt in der heutigen Zeit als nicht mehr zeitgemäß, E-Mails, Online-Banking, Smartphones, Webseiten, Industrie 4.0, das alles ist inzwischen allgegenwärtig. Auch wenn man als Anwender augenscheinlich keine Schadsoftware ausgeführt hat, so befallen immer mehr Viren & Trojaner ein Computersystem ohne Einwirkung des Anwenders. Laut einer Aussage des Anti-Botnet-Beratungszentrum waren Anfang 2015 im Durchschnitt 40% aller Rechner in Deutschland mit Malware infiziert.

Wie kann das sein fragen Sie sich? Und welche Auswirkungen hat der Befall eines Computersystems für mich als Unternehmen? Umso wichtiger ist die richtige IT-Security Strategie, ohne das Vorhandensein einer konsequent umgesetzten Richtlinie im Umgang mit IT-Sicherheit stehen Sie als Unternehmen auf verlassenem Posten. Es ist erwiesen dass die Produktivität eines Unternehmens maßgeblich von einer funktionierenden IT-Infrastruktur abhängig ist. Stellen Sie sich die einfache Frage, welcher Mitarbeiter in Ihrem Unternehmen wäre in der Lage ohne einen funktionierenden Computer zu agieren? Richtig, im Regelfall sind dies nur sehr wenige bis gar keine.

it-sicherheit-ratgeberIn diesem Ratgeber möchte ich einen Leitfaden entwickeln, dieser Leitfaden befasst sich mit den Bedrohungen aus dem World Wide Web, woher kommen die Gefahren, welche Auswirkungen haben diese und welche Schutzmaßnahmen kann ich ergreifen um meinen PC und die damit einhergehende IT-Infrastruktur zu sichern und meine Unternehmenssicherheit zu erhöhen? Ich möchte dabei nicht nur einzelne Aspekte wie einen Anti Viren Scanner oder eine Firewall präsentieren, sondern ein Gesamtkonzept vorstellen mit dem jedes Unternehmen in der Lage ist sich gegen heutige Gefahren aus dem Internet zu wappnen.

Ich habe meine Tipps absichtlich aus der Sicht eines Fragenden formuliert, so ist es für die Hilfesuchenden leichter die für sich entscheidende Fragestellung wiederzuerkennen.

 

Sollte ich die Benutzerrechte meiner Mitarbeiter einschränken?

benutzerrechte-einschraenkenEine in vielen Firmen außer Acht gelassene Tatsache ist die Reglementierung der Benutzerrechte in einem Computersystem. Viele Angriffe über sogenannte Drive by Downloads sind nur deshalb erfolgreich, weil die Anwender in den meisten Fällen mit viel zu hohen Systemrechten arbeiten. Es kommt nicht selten vor dass die Sekretärin mit administrativen Berechtigungen an einem Windows System arbeitet. Viren und Trojaner haben dadurch leichtes Spiel und können ein komplettes Netzwerk in Sekunden lahm legen.

Ein Windows System verfügt über die folgenden integrierten Sicherheitsgruppen:

  • Administratoren
  • Hauptbenutzer
  • Benutzer

Für einen normalen Mitarbeiter genügt es das Windows Konto mit Benutzerrechten auszustatten. Eine Eingliederung in die Hauptbenutzer Gruppe oder sogar in die Administratoren Gruppe ist in der Regel nicht erforderlich. Eine Zuweisung in die Benutzer Gruppe genügt vollkommen. Durch den bereits genannten Aspekt von mit Malware infizierten Webseiten, ist es heutzutage zwingend erforderlich dafür Sorge zu tragen dass im Unternehmen kein Mitarbeiter mit erhöhten Systemrechten unterwegs ist.

Als Unternehmen ergeben sich durch die Beschränkung der Benutzerrechte weitere Vorteile:

  • Weniger Supportaufwand durch einheitliches Softwaremanagement
  • Nur autorisierte Personen können Softwareinstallationen verändern
  • Vorbeugung einer bewussten oder unbewussten Manipulation auf Betriebssystemebene durch nicht sachgemäße Konfigurationen

Der folgende Hinweis ist zu beachten wenn ihr ein vorhandenes Windows Konto downgradet und aus der Sicherheitsgruppe der Administratoren entfernt. Seid euch sicher dass ihr über das Administratoren Kennwort verfügt. Das Kennwort für den Admin-Zugang ist erforderlich um wichtige Systemeinstellungen und Softwareinstallationen am System vornehmen zu können.

 

Was genau macht eigentlich eine Firewall?

Eine Firewall ist ein Basiselement in der IT-Sicherheit. Eine Firewall sorgt dafür legitime Anfragen aus dem Internet in euer internes Netzwerk durchzulassen. Im Umkehrschluss ist die Firewall dafür zuständig unberechtigte Anfragen in ein internes Netz zu blockieren. Eine legitime Firewall Regel wäre z.B. den SMTP Port 25 für den E-Mail Empfang in euer Netzwerk zu lassen. Meine Empfehlung an dieser Stelle ist die Einführung einer DENY ALL Regel. Eine DENY ALL Regel trägt dafür Sorge dass die Datenpakete in alle Richtungen, sowohl Ein – als auch ausgehender Netzwerktraffic blockiert wird.

firewallWarum ist das blockieren von Netzwerkverbindungen so wichtig? Stellen Sie sich dazu einfach offene Grenzen vor, es ist schön und gut Grenzen quer über den Globus ohne Kontrollen übertreten zu können. Als IT-Verantwortlicher hat IT-Sicherheit stets oberstes Gebot und es gilt das Computernetzwerk, in diesem übertragenen Sinne, die Grenzen, zu schützen. So sollten nur die Verbindungen erlaubt sein die explizit erforderlich sind. Sind in der Firewall sämtliche ausgehenden Verbindungen erlaubt, so erfahren Sie meist erst hinterher das vertrauenswürdige Dokumente aus dem Unternehmensnetzwerk abgeflossen sind. Im schlimmsten und häufigsten Fall bekommen Sie es als Firma gar nicht mit dass das Netzwerk infiltriert und Opfer von Cyberganoven wurde.

Nach der Einführung einer DENY ALL Regel solltet ihr mit einem Netzwerkmonitor die Ein – und ausgehenden Verbindungen protokollieren und die erforderlichen TCP und UDP Pakete für eine erfolgreiche Unternehmenskommunikation über das Internet freigeben.

Mein Ratschlag an dieser Stelle, gebt den E-Mail Port SMTP 25 nur für euren E-Mail Server frei und den Port für HTTP Verbindungen TCP 80 nur für das Internet Webgateway (Proxy Server), wenn vorhanden, frei. Ihr erspart euch damit Gefahr zu laufen über einen infizierten Clientcomputer Spammails über euren Internetanschluss zu versenden. Denkt stets daran die Firewall Regeln akribisch zu dokumentieren und mit aussagekräftigen Namen zu versehen, z.B. ALLOW-SMTP für die E-Mail Verbindung und ALLOW-HTTP für das Abrufen von Webseiten. Für eine bessere Übersicht habe ich die Vor – und Nachteile einer DENY ALL Firewall Regel zusammengefasst:

  • Vorteile
  • Sicherstellen dass nur ausgewählte Geräte und Dienste Internetverbindungen aufbauen können
  • Ihr bestimmt WER, WAS, WANN und WOHIN senden darf
  • Erhöhter Schutz vor Zugriffen aus dem Internet in das interne LAN
  • Nachteile
  • Erhöhter Supportaufwand
  • Weniger Flexibilität
  • Hoher Wissensstand der Administratoren in Firewall Technologien notwendig

 

Wozu dient ein Proxy Server und was hat es mit Security Gateways auf sich?

Ein Proxy Server dient als Bindeglied zwischen den Clients und dem Internet. Früher hatte ein Proxy Server lediglich die Funktion Internet Inhalte für die Anwender zwischenzuspeichern (cachen) und den Zugriff, insbesondere in Zeiten von geringen Bandbreiten (ISDN Einwahlen), auf häufiger wiederkehrende Webseiten zu beschleunigen.

Moderne Internet Security Gateways, auch bezeichnet als UTM (Unified Threat Management), sind heutzutage in der Lage als Proxy zu fungieren. Die unten genannten Vorteile ergeben sich durch den Einsatz eines Internet Security Gateways:

  • Es können Stichwortartige Black und Whitelisten für den Zugang ins Internet erstellt werden
  • URL Content Filtering, dabei handelt es sich um eine Option den Internet Zugang nach Kategorien zu reglementieren. Es können die Zugriffe auf pornografische oder rassistische Inhalte durch die Mitarbeiter über die Firmen IT unterbunden werden
  • Datei Filterung, das gewollte oder ungewollte Abrufen von ausführbaren Dateien (Malware) wird unterbunden
  • Internet Seiten werden vor der Speicherung auf dem PC auf Viren und Schadcode geprüft
  • Protokollierung der abgerufenen Webseiten nach Inhalt und Datenvolumen

Die meisten verfügbaren Web Security Gateways, wie z.B. das McAfee Web Gateway, basieren auf einem Linux System und sind damit unanffälliger für einen Virenangriff. Durch die Linux Architektur sind die Web Gateways als wartungsfreundlich zu bezeichnen. Bei Abschluss eines Service und Supportcontractes findet die Aktualisierung der Virenpattern Dateien vollautomatisch statt.

datenschutzEin ganz wichtiger Tipp an dieser Stelle, bevor ihr euch mit der Implementierung eines Web Gateways beschäftigt, erkundigt euch über das Datenschutzverfahren in eurer Firma oder bei eurem Kunden. Es gelten in dieser Hinsicht bestimmte Regularien die sich durch den Einsatz eines Web Gateways ergeben. Denn bedenke, bei einem Betriebsrat schlagen sofort die Alarmglocken wenn dieser erfährt dass die Webseiten Nutzung der Mitarbeiter theoretisch durch den Chef eingesehen werden kann. Die Nutzung eines solchen Systems sollte explizit als Anhang mit in den Arbeitsvertrag aufgenommen werden.

 

 

Welches ist der beste E-Mail Spam und Virenfilter?

spam-stoppenDie Frage ist ungefähr so einfach zu beantworten wie, mit welchem Auto komme ich am schnellsten von Hamburg nach München? Mein Fazit nach jahrelanger Erfahrung in der IT-Branche hat gezeigt, es gibt keinen perfekten E-Mail Schutz, das Ziel sollte daher sein die E-Mail Sicherheit unter Berücksichtigung mehrerer Schutzmechanismen auf ein Maximum zu erhöhen.

 

 

Dazu gehört der Einsatz moderner Technologien zur Abwehr von Spammails und Virenanhängen, wie z.B.:

  • Verwenden eines dualen Abwehrsystems bestehend aus Hard- und Software Appliance
  • Der Einsatz von SPF (Sender Policy Framework)
  • Dateifilterung
  • Greylisting
  • Die pflege einer eigenen Wortfilter Blackliste
  • Absender sperren
  • E-Mail URL Reputation
  • Scannen von gepackten Dateien
  • Der Einsatz mehrerer Hersteller von Anti Spam Produkten

Ihr werdet euch jetzt sicherlich fragen was es mit einem dualen Abwehrsystem auf sich hat und warum ich mehrere Hersteller nutzen sollte? Der Einsatz unterschiedlicher AV Produkte bietet einen ganz gravierenden Sicherheitsvorteil, die eingehenden E-Mails werden mit zwei unterschiedlichen Scanengines geprüft. Viren die von dem Hersteller A noch nicht erkannt werden, werden ggfs. von dem Hersteller B erkannt und umgekehrt. Das liegt an der Tatsache dass die Hersteller ihre Virensignaturdateien in regelmäßigen Abständen aktualisieren. Die Hersteller von AV Produkten liefern sich also ein Wettrennen um die beste Viren Erkennungsrate, aus diesem Grund ist es sicherheitstechnisch wertvoll auf zwei, statt auf lediglich eine einzige Scanengine zu setzen.

Der Einsatz einer Dateifilterung im E-Mail Verkehr ist zwingend erforderlich und es gilt mehr als die üblichen ausführbaren Dateien (Dateiendung .exe) zu filter.

Zu einem guten Sortiment der gefilterten Dateianhänge in einem Anti Spam Filter gehören die folgenden Dateiendungen:

  • .exe
  • .scr
  • .bat
  • .cmd
  • .rtf
  • .com
  • .pif
  • .js

Das Dateiformat RTF (Rich Text Format), mag vielen als Word Dokument bekannt sein, es bietet aber auch ein Schlupfloch für ausführbare Dateien. Da die Dateiendung RTF in der Geschäftswelt nur in einer vernachlässigenden Prozentzahl vorkommt, so sollte Sicherheit vor Funktion gehen und der E-Mail Empfang von RTF Dateien durch eine Filterrichtlinie unterbunden werden. Einen Artikel darüber, weshalb RTF Dateien so gefährlich sein können, wenn diese aus einer unbekannten Quelle stammen, findet ihr hier.

Des Weiteren empfehle ich euch die folgende Wortkombination in die Wortfilterliste mit aufzunehmen:

  • Rechnung*.zip

Mit Fake Rechnungen wird versucht einen E-Mail Empfänger zum Ausführen eines im E-Mail Anhang befindlichen Link zu bewegen. Durch den o.g. Filterbegriff vermeidet ihr die Zustellung von gefährlichen E-Mails mit gefälschten Rechnungen in einem ZIP Anhang.

Und wer keine Geschäftsbeziehungen mit Firmen auf anderen Kontinenten pflegt, der kann gleich komplette Freemailing Anbieter Domains außerhalb Europas, wie z.B. aus Brasilien, Asien und Russland mit auf die Sperrliste setzen:

  • *@yahoo.com.br
  • *@yahoo.com.tw
  • *@mail.ru

Ein Spamfilter ist ein lebendiges Werkzeug, d.h. ihr müsst regelmäßig den Verlauf der geblockten Inhalte kontrollieren, die Filterregeln an aktuelle Gegebenheiten anpassen und solltet euch über den Status der rausgefischten E-Mails per E-Mail informieren lassen. Wenn ihr diese Tipps berücksichtigt, ist eine für die Anwender ungestörte und sichere E-Mail Kommunikation möglich.

 

WLAN in der Firma ? Aber sicher!

wlan-sicherheitEine moderne Netzwerkkommunikation ist ohne Wireless LAN inzwischen undenkbar geworden. Seitdem Apples iPads und iPhones oder Samsung Galaxy Tabs in die Arbeitsabläufe Einzug gehalten haben, ist ein schneller funktionierender WLAN Zugang für die drahtlosen Helfer ein maßgebendes Kriterium. Wenn ihr mit dem Gedanken spielt ein Wireless LAN zu installieren bzw. eine vorhandene Drahtlos Infrastruktur zu überarbeiten, dann solltet ihr auch darüber nachdenken das WLAN vom drahtgebundenen Netz zu trennen. Es bestehen Möglichkeiten eine sichere WLAN Umgebung mittels der Technologien VLAN und QoS an einen bestehenden Internetanschluss zu koppeln. Ich möchte euch aber die Vorteile einer separaten DSL Anbindung eigens für das Firmen WLAN aufzeigen:

Physikalische Trennung des WLAN zur Steigerung der IT-Sicherheit. Damit schließt ihr eine ganz gravierende Sicherheitslücke in eurem Netz, insbesondere dann wenn viele Gäste euer WLAN mitnutzen und ihr keine Kontrolle über die IT-Endgeräte eurer Besucher habt. Ihr könnt nie mit 100% Sicherheit sagen ob diese Endgeräte Viren verseucht sind oder den Netzwerkverkehr mitschneiden. Habt ihr euch für eine physikalische Trennung des WLANs entschieden, so müsst ihr euch über diese potentielle Sicherheitslücke keine Gedanken mehr machen.

Internetgeschwindigkeit. Durch die Bereitstellung eines separaten DSL Anschlusses für die WLAN Geräte sorgt ihr dafür dass die Internet Kommunikation der wichtigeren Systeme, wie z.B. in der Buchhaltung oder im Verkauf, nicht durch ein Smartphone oder Tablet ausgebremst werden. Bedenkt bitte, jedes iOS Update ist inzwischen mehrere hunderte MegaBytes groß, ein Major Update erfordert in der Regel einen Download von über 1 GigaByte pro Gerät. Je mehr Smartphones über WLAN verbunden sind, desto höher die notwendige zur Verfügung gestellte Bandbreite.

Ein weiterer Vorteil, über den sich ganz besonders Systemadministratoren freuen werden, ist die Nutzung des separaten DSL Zugangs zum Aufbau einer Testumgebung. Ein oft außer Acht gelassener Faktor ist die ständige Notwendigkeit neue Internettechnologien und Anwendungen auszuprobieren. Und wo könnte man das besser, als in einer separaten Netzwerklandschaft mit eigenständigem Internetanschluss und ohne dabei das produktive Firmennetzwerk zu beeinflussen?

Zusätzlich zu der physikalischen Trennung des WLANs solltet ihr euch die folgenden Tipps zur Steigerung der WLAN Sicherheit ans Herz legen:

wlan-zeitschaltuhrZeitschaltuhr. Die Tür zum Unternehmen wird nach Feierabend geschlossen und das Schloss verriegelt. Ab diesem Zeitpunkt ist niemand in der Lage das Firmengebäude zu betreten. Was aber ist mit dem WiFi? Außerhalb des Gebäudes ist dieses auch nachts nutzbar, ohne fest hinterlegte Abschaltmechanismen funken die WLAN Access Points ein permanentes WLAN Signal. Überlegt euch ob das so sein muss, oder ob ihr einen Abschaltzeitpunkt im WLAN Router hinterlegen könnt, so ist es oft ratsam das WLAN von 19:00 Uhr abends bis 06:00 Uhr morgens zu deaktivieren, da in dieser Zeit meist kein Mitarbeiter oder Firmenkunde anwesend ist um das WLAN zu nutzen. Stehen Betriebsferien vor der Tür, solltet ihr darüber nachdenken das WLAN für diesen Zeitraum gänzlich zu deaktivieren.

WLAN Passwörter regelmäßig ändern. Nicht einzig und alleine die Passwortlänge ist für eine sichere WiFi Umgebung entscheidend. Die Haltbarkeit der WiFi Passwörter sollte fest definiert sein, nehmt es euch als Aufgabe dieses alle X Monate zu ändern. Habt ihr einmal ein Passwort an einen Lieferanten oder einen Gast ausgehändigt, so ist dieser ab diesem Zeitpunkt in der Lage euren Internetzugang zu benutzen. Oft reicht die Signalstärke eines WLANs über Gebäudegrenzen hinaus und jene Personen die bereits über das Passwort verfügen sind in der Lage sich außerhalb des Gebäudes einzuloggen. Durch ein regelmäßiges Change Management des WLAN Schlüssels beugt ihr dieser potentiellen Sicherheitslücke vor.

 

Passwortrichtlinie, die nervt doch nur!

passwortrichtlinieDie Einrichtung einer Passwortrichtlinie ist ein zweischneidiges Schwert. Aus dem einfachen Grund weil eine Passwortrichtlinie zum einen dafür sorgt die Passwortsicherheit zu erhöhen, aber auf der anderen Seite sorgt diese gleichzeitig dafür dass die Mitarbeiter anfangen Passwörter aufzuschreiben und unter der Tastatur verstecken oder besser noch auf einem Post IT notiert an den Bildschirm kleben. Bei der Einführung einer Passwortrichtlinie geht es deshalb darum das richtige Mittelmaß zu finden. Seit Windows Server 2008 R2 existiert die Möglichkeit mittels einer granularen Passwortrichtlinie unterschiedliche Härtegrade einer Passwortrichtlinie in einer Windows Domäne zum Einsatz zu bringen. Im Klartext, für besonders sensible Benutzerkonten, z.B. Laptop User oder im Homeoffice Bereich, können stärkere Passwörter verlangt werden als für die Sekretärin vor-Ort in der Firmenzentrale. Meine Empfehlung für eine Passwortrichtlinie die von den Anwendern akzeptiert und gelebt wird sollte die folgenden Sicherheitsmerkmale erfüllen:

  • Minimale Passwortlänge 8 Zeichen
  • Maximales Passwortalter 6 Monate
  • Sperrung des Kontos nach 4 fehlgeschlagenen Anmeldeversuchen
  • Ein Großbuchstabe erforderlich
  • Eine Ziffer (Zahl) als Voraussetzung

Für eine Anleitung zur Einrichtung einer granularen Passwortrichtlinie bitte hier klicken. Solltet ihr euch für eine Härtere Passwortrichtlinie entscheiden, angenommen eine minimale Passwortlänge von 16 Zeichen und ein maximales Kennwortalter von 30 Tagen, so hat die Erfahrung gezeigt, wird seitens der Anwender gegen die Einführung einer Passwortrichtlinie demonstriert. Am Ende stehen die Passwörter im Klartext auf der Schreibtischablage und beide Parteien, sowohl Systemadministratoren als auch PC Anwender, haben verloren.

Eine Ausnahme gibt es dann allerdings doch, sogenannte Funktionsaccounts. Bei einem Funktionsaccount handelt es sich um ein Benutzerkonto welches keiner Person zugewiesen wurde, sondern einem Gerät oder einem Dienst. Ein Funktionsaccount könnte z.B. der Kopierer sein, der einen SMB Zugriff benötigt um die gescannten Dokumente auf einem Netzwerkshare abzulegen oder ein SMTP Konto zum Versand bestimmter Alarmmeldungen.

Diese Gerätekonten sollten mit einem sicheren Kennwort abgesichert werden, dazu gehört anders als bei einem Benutzerkonto, eine Passwortlänge von 16-24 Zeichen und die zusätzliche Verwendung von Sonderzeichen.

 

Muss ich wirklich täglich ein Backup machen?

datensicherungDie Häufigkeit einer Backup Prozedur hängt von der Wichtigkeit der Systeme und Daten ab. Unternehmenskritische IT-Systeme sollten täglich gesichert werden, am besten nachts, wenn der Workload in der IT geringer ist als tagsüber. Durch ein nächtliches Systembackup vermeidet ihr tagsüber Geschwindigkeitseinbußen und Downtimes im IT-Betrieb, des Weiteren vermeidet ihr dadurch Komplikationen mit bereits geöffneten Word, Excel und PDF Dateien.

Zu den Unternehmenskritischen Systemen zählen in der Regel:

  • Windows Active Directory Domänencontroller
  • Microsoft Exchange E-Mail Server
  • SQL Datenbankserver
  • File – und Printserver
  • Dokumenten Management Systeme (DMS)
  • Terminalserver

Weniger wichtige Systeme können unter Umständen sein:

  • Windows Server Update Services
  • Unified Communication (UC) Server
  • E-Learning Systeme

Solltet ihr euch jetzt unsicher sein, ob eine Anwendung oder ein Dienstmerkmal als unternehmenskritisch einzustufen ist, so überlegt euch folgendes, welche Systeme werden täglich durch die Mitarbeiter mit Daten versorgt ? Definiert Abhängigkeiten, welches System hängt von einer Voraussetzung ab? So ist für viele Anwendungen ein funktionierendes Active Directory die Basis für dessen Funktion, habt ihr keinen funktionierenden Active Directory Server, so ist auch euer Exchange Server in diesem Augenblick nicht funktionstüchtig. Das Fazit lautet also, Systeme mit bewegten Daten und einem täglichen Datenzuwachs sollten täglich gesichert werden. Systeme die zwar eine bestimmte Funktion in eurem Netzwerk übernehmen, aber starre Daten enthalten, die nur dem Abruf dienen, oder die eure Systemlandschaft bei einem Ausfall nicht funktionsunfähig gestalten weil keine Abhängigkeiten bestehen, wie z.B. ein Unified Communications Server oder ein Patch Management System, können gerne in längeren Abständen gesichert werden.

generationenprinzipEin Merkmal bei der richtigen Backup Strategie ist das Generationenprinzip. Mein Tipp an dieser Stelle, konzentriert euch nicht nur auf die tägliche Datensicherung. Erstellt neben dem täglichen Backup Plan weitere Backup Pläne für eine Monatssicherung, eine Quartalssicherung und eine Jahressicherung. Es wäre nicht das erste Mal das ein Mitarbeiter beim IT-Helpdesk anruft und nach einer gelöschten Datei oder einer E-Mail verlangt die bereits die Haltefrist der täglichen Datensicherung von 7-14 Tagen überschreitet. Habt ihr keine Backup Strategie nach dem Generationenprinzip (auch Großvater-Vater-Sohn-Prinzip genannt), so gehen im schlimmsten Fall Daten unwiderruflich verloren.

Sorgt dafür dass die Backup Sets ausgelagert sind, ein Backup Medium das im Serverraum gelagert wird, und bei einem Brand mit samt des produktiven IT-Systems vernichtet wird ist wertlos. Das gesamte digitale Knowhow und im schlimmsten Fall die Firmenexistenz hängt in einem Desaster Fall von eurem Backup ab. Ein geeigneter Ort für die Aufbewahrung der Datensicherung ist z.B. ein feuerfester Safe, ein nach ISO 27001 zertifiziertes Rechenzentrum welches die Datensicherung per Replikationsverfahren über das Internet entgegennimmt oder ein geeignetes USB Medium (Festplatte). Mein Tipp dabei lautet, erstellt euch einen primären und einen sekundären Speicherort für die Datensicherung. Der primäre Speicherort sollte sich innerhalb des LANs befinden, damit ist sichergestellt dass die Daten mit einer hohen Geschwindigkeit gesichert werden. Der sekundäre Speicherort der Datensicherung sollte sich außerhalb des Firmengebäudes befinden, an einem räumlich weiter entfernten Ort, Ihr schützt damit die Unternehmensdaten vor den Gefahren wie Feuer, Blitzeinschlag, Überschwemmung, Diebstahl oder mutwillige Zerstörung.

datensicherung-verschluesselnEine weitere Empfehlung an dieser Stelle, verschlüsselt die Datensicherung mit einem sicheren Passwort. Wird die Datensicherung in einem externen Rechenzentrum gehostet, so könnt ihr nicht nachvollziehen wer letzten Endes auf diese Daten zugreift. Auch eine USB Festplatte bietet keinen 100% Schutz vor einem Zugriff durch dritte Parteien. Es besteht immer ein Restrisiko des Diebstahls, sei es beim Transport oder der Lagerung. Wenn ihr eure Datensicherung mit einem Passwort schützt, seid nur ihr in der Lage die Daten zu öffnen.

 

 

Ich habe eine Datensicherung eingerichtet, kann ich jetzt beruhigt schlafen?

Die eindeutige Antwort auf diese Frage lautet nein. Zu einem richtigen Backup Konzept gehört mehr als die bloße Einrichtung einer Datensicherung über einen Setup Assistenten. In vielen Fällen findet zwar ein Backup statt, aber eine Datensicherung sollte keine Einbahnstraße darstellen. In vielen Fällen wurde noch nie ein Disaster Recovery Fall durchgeführt, dabei ist der richtige Umgang in so einem Scenario unabdingbar. Es hilft dabei Klarheit zu schaffen über die folgenden Aspekte:

  • Wie lange benötige ich für das Rücksichern meiner Systeme in einem Disaster Recovery Scenario?
  • Welche Systeme sollte ich zuerst wiederherstellen um den geregelten IT-Betrieb schnellst möglichst wieder aufnehmen zu können?
  • Kann ich meine Systeme bei einem Hardware Ausfall auf anderer Hardware (Universal Restore) wiederherstellen?
  • Wie werden die extern gelagerten Backup Sets angesteuert wenn mein Inhouse Backup Server nicht mehr verfügbar ist?

disaster-recoveryIhr seht, es gibt eine Menge Unklarheiten in einem Disaster Recovery Fall. Die Rücksicherung von einer USB Festplatte kann im schlimmsten Fall über einen USB 1.0 Anschluss einen ganzen Tag in Anspruch nehmen. Die gewonnenen Erkenntnisse protokolliert ihr am besten in einer Checkliste, diese Checkliste dient im Nachgang als ToDo-Liste zur Optimierung eurer Backup Strategie und dient als Argumentationsgrundlage für Verbesserungsvorschläge in einem Gespräch mit der Geschäftsleitung.

Unabhängig von einem Disaster Recovery Fall, solltet ihr in regelmäßigen Abständen die reguläre Wiederherstellung von Daten aus einem Backup überprüfen:

  • Funktioniert die Wiederherstellung einzelner Dateien oder ganzer Ordner?
  • Bin ich in der Lage die wiederhergestellten Dateien zu öffnen?

Ein weiterer Punkt der in einer Datensicherung besondere Beachtung erfahren sollte, ist der Umgang mit speziellen Applikationen, dazu gehören u.a. SQL Datenbanken, Exchange Server und Active Directory Domänencontroller.

Die Behandlung dieser Dienste während einer Backupprozedur wird als „Application Aware Processing“ bezeichnet. Eine SQL oder Exchange Datenbank ist anders zu sichern als eine Ordnerstruktur auf einem Dateiserver. Für eine korrekte Datensicherung einer SQL oder Exchange Datenbank ist es wichtig die „application aware processing“-Maßnahmen zu aktivieren. Moderne Datensicherungsprogramme, wie z.B. „VEEAM Backup and Recovery“, unterstützen ein korrektes Backup Verfahren zum Entfernen der SQL – und Exchange Server-Transaktionsprotokolldateien. Häufig befindet sich die Funktion zum Abschneiden von Transaktionsprotokolldateien in den erweiterten Optionen eines Backup Plans, sucht dafür auch nach den englischen Begriffen „Logs pruning“ oder „Process transaction logs“.

Wie überprüfe ich meinen Backup Job ob die „Application Awareness“-Prozesse erfolgreich waren? Eine Anleitung zur Durchführung einer Exchange Item Level Restore Prozedur mit Hilfe der Anwendung VEEAM findet ihr hier.

Active Directory und Exchange Datenbanken mit Hilfe von Windows Backup sichern. Auch wenn die Dritthersteller wie, VEEAM oder Acronis, eine Option zur Sicherung der Active Directory und Exchange Datenbanken liefern, so verlasse ich mich nicht einzig und alleine auf eine Maßnahme zur Sicherung dieser Datenbanken. Mit Hilfe der integrierten Windows Backup Komponente liefert Microsoft euch eine vom Hersteller unterstützte Software zur korrekten Sicherung der Active Directory und Exchange Datenbanken. Mein dringender Rat, nutzt das Windows Backup um diese beiden Kernelemente eures IT-Betriebs zu sichern. Achtet aber darauf vom Zeitplan her nicht mit dem Backup Plan eines Drittanbieters zu kollidieren.

email-benachrichtigungAktiviert das Benachrichtigungssystem. Nur wer stetig über den Ablauf der Datensicherung informiert wird, behält den Überblick. Sorgt dafür dass die Backup Programme euch über den Erfolg oder Misserfolg einer Datensicherung informieren. Mittels eingebauter SMTP Konnektoren könnt ihr den Versand von Benachrichtigungen per E-Mail aktivieren. Firmen ohne eigenen Exchange Server sei angeraten für einen Benachrichtigungsdienst externe E-Mail Anbieter, z.B. Gmail, für den Versand von E-Mails zu nutzen.

Die Benachrichtigungen per E-Mail bieten den Vorteil nicht täglich die Backup Konsole einsehen zu müssen. Im Krankheitsfall oder in einer Urlaubsabwesenheit des IT-Verantwortlichen können die Benachrichtigungsmails schnell an eine Vertretungsperson oder an ein Funktionspostfach weitergeleitet werden.

 

Was ist Social Engineering und wie schütze ich mich davor?

hacker-getarnt-als-klimatechnikerDer Begriff Social Engineering, auch Social Hacking genannt, bezeichnet den Vorgang eines Hackers das Vertrauen einer Person zu erschleichen um einen Zugriff auf IT-Systeme zu erlangen. Das einfachste Beispiel für einen Social Hacking Vorgang ist der berühmte IT-Techniker der sich in der Firmenzentrale am Empfang als Wartungstechniker für die Klimaanlage des Serverraums ausgibt. Durch ein solides Auftreten, wortgewandtes Reden, am besten noch mit einem Verweis auf Dringlichkeit und Zeitmangel, wählen viele Personen den Weg des geringsten Widerstandes und öffnen damit Social Engineering Hacker buchstäblich Tür und Tor ins Firmengebäude. Kaum hat es sich der Hacker im inneren der Firmenzentrale bequem gemacht, beginnt er mit seiner Arbeit und platziert geschickt an einer versteckten Stelle im Gebäude einen WLAN Accesspoint. Dieser WLAN Access Point wird mit einem Patchkabel an einer Ethernet Dose angeschlossen und der Hacker verabschiedet sich mit den freundlichen Worten: „so das war’s, das Problem wurde behoben“. In Wirklichkeit beginnt der Hacker vor der Haustür mit seiner eigentlichen Arbeit indem er sich über den gerade im firmeninneren platzierten WLAN Router einwählt. Durch den oft standardisierten Einsatz von DHCP Servern bekommt das Notebook des Hackers prompt eine IP Adresse aus dem DHCP Pool des Firmennetzwerks zugewiesen. Ab diesem Zeitpunkt verfügt der Cyberganove über einen physikalischen Zugang in das lokale Firmennetz ohne sich im Firmengebäude zu befinden. Instruieren Sie ihre Mitarbeiter, insbesondere an den ersten Anlaufstellen wie Empfang, Rezeption, Hintertür, Lieferanteneingang, Pförtner etc. keine betriebsfremden Personen passieren zu lassen. Betriebsfremde Personen dürfen nur nach vorheriger Anmeldung durch einen Firmenzugehörigen das Gelände betreten, bzw. sollten auch dann ausschließlich von der firmenzugehörigen Person am Empfang oder der Eingangstür abgeholt werden. Nur durch einen konsequenten Ablauf und der Einhaltung dieser Prozedur ist ein Unternehmen vor Social Engineering Attacken dieser Art geschützt. Eine Kontaktaufnahme durch Social Engineering Hacker kann über mehrere Wege geschehen und muss nicht zwangsläufig den IT-Techniker an der Rezeption darstellen, weitere Wege zur Kontaktaufnahme durch einen Hacker sind:

  • Soziale Netzwerke wie z.B. Facebook, XING etc.
  • Telefon
  • E-Mail

schulungsmaßnahme-gegen-social-engineeringWie kann ich mich und mein Unternehmen vor solchen Social Hacking Angriffen schützen? Die einzige Chance besteht darin, die Mitarbeiter durch gezielte Schulungsmaßnahmen auf die Gefahren durch Social Engineering aufmerksam zu machen. Die Existenz dieser Hacker Attacken ist vielen Personen nicht bekannt, schon gar nicht wenn man als Mitarbeiter seine Kernkompetenzen nicht im Bereich der Informationstechnologie hat.

Unternehmen und Mitarbeiter sollten sich gleichermaßen Schützen, indem Anfragen, ganz gleich ob per Telefon, E-Mail oder als reale Person am Empfang, konsequent bei einem Vorgesetzten oder einem Abteilungsleiter hinterfragt werden. Sorgen Sie außerdem dafür dass der Wartebereich am Empfang über keinen Netzwerkanschluss verfügt. Sollte bauseits bedingt ein Netzwerkanschluss in unmittelbarer Nähe des Empfangs vorhanden sein, so trennen Sie diesen Anschluss vom Netzwerkswitch. Die kleinste Raucherpause der Sekretärin genügt einem Hacker seinen böswilligen WLAN Zugriffspunkt zu platzieren.

Weiterführende Maßnahmen gegen die Abwehr von Hackern sind sogenannte IDS (Intrusion Detection Systeme, auf Deutsch Angrifferkennungssystem) oder NAC (Network Access Control, auf Deutsch Netzwerkzugangskontrolle). Auch die Pflege von MAC Adressen in eine Reservierungsliste für IP Adressen eines DHCP Server ist eine weitere denkbare Hürde die vor Angriffen auf ein Netzwerk schützen können.