Datensommer Schützen Sie Ihre Systeme - wie Ihre Haut - vor schädlichen Einflüssen.

Im aktuellen Datensommer geht es dieses mal um Grundlagen zur Absicherung interner Systeme/Betriebssysteme.

Die hier aufgeführten Mindestanforderungen stellen einen gewissen Basisschutz dar, welche aus langjähriger Erfahrung heraus getroffen werden. Diese sollten als nicht-abschliessende Beschreibung sog. Best-Practices verstanden werden. Um das Eintrittsrisiko weiter zu senken, sind umfassendere Schutzmassnahmen notwendig. Eine Garantie, dass nach Umsetzung dieser Massnahmen keine Schäden mehr eintreten, wird nicht gegeben.

Programme & Aktualität

Lassen Sie keinen "Wildwuchs" an Programmen- und Programmversionen zu!
Prüfen Sie vor der Nutzung eines Programms ob hierzu bekannte Schwachstellen und/oder unerwünschte Seiteneffekte bekannt sind (Google ist in diesem Fall Ihr Freund). Beschweren sich mehrere Personen im Internet - stimmt etwas mit dem Programm nicht. Programme sollten zentral gemanaged und verteilt werden. Wenn jeder installieren kann was er möchte, verleieren Sie im besten Fall die Übersicht - im schlimmsten Fall holen Sie sich Trojaner o. aehnl. in ihr Netz. Auch die AGB zu den Programmen sollten gelesen werden, um eventuelle Folgekosten abzuwägen.

Nutzen Sie keine Betriebssystem- und Software Versionen die vom Hersteller nicht mehr unterstützt werden!
Hersteller von Betriebssystemen und Software stellen regelmässig Updates und Sicherheitspatche für ihre Produkte bereit. Diese beheben aktuelle Schwachstellen und Fehler und sollten zeitnah eingespeilt werden um die Sicherheit und Funktionalität der Software sicherzustellen.

Datensicherung

Sichern Sie regelmässig ihre Daten!
Sollten Sie durch wiedrige Umstände (wie z.B. durch Erpressungs-Trojaner / Ransomware) Daten verlieren, sind Sicherungen in einem Offline-Archiv häufig die letzte Möglichkeit Daten zu retten. Dazu empfiehlt es sich in einem sog. Online-Archiv die Daten in einem kurzen Zeitabstand- und in einem Offline-Archiv die Daten mind. 1x täglich zu sichern. Das Online-Archiv ist dabei permanent mit dem/den System/en verbunden- das Offline-Archiv wird nur zum Zweck der Datensicherung mit jeweils einem neuen Datenträger an die Systeme angeschlossen. Dadurch ist sichergestellt, daß bei Datenverlust höchstens 1 Tag an Daten verloren gehen können.

Zugriffsberechtigung

Schränken Sie den Zugriff auf Ihre Daten ein!
Wenn jeder auf alle Daten zugreifen kann, haben Sie ein erhöhtes Risiko der Datenmanipulation und des Verlustes. Schränke Sie die Zugriffsberechtigungen so stark wie nötig ein, dabei können Sie sich bspw. an ihrer internen Organisation orientieren:
Personalwesen: darf (nur) auf Personaldaten zugreifen
Finanzabteilung: darf auf Finanzdaten zugreifen und entsprechende Programme bedienen
Konstruktion, Entwicklung, etc. etc.

Anti-Malware

Setzen Sie Anti-Schadsoftware Produkte ein!
Auch wenn aktuelle Virenscanner "nur" 30% an Schadsoftware erkennen, sind dies immerhin 120.000 unerwünschte Programme pro Tag, die erkannt & an der Ausführung gehindert werden. Zusätzlich bieten gute Produkte einen Schutz vor spam (unerwünschte e-mail, oft für Betrugszwecke genutzt), bösartige Webseiten-Inhalte und arbeiten mit heuristischen Verfahren zur Erkennung noch nicht bekannter Schadsoftware.

Zusätzlich empfiehlt sich der Einsatz spezieller Anti-Ransomware Produkte, um diese Form der Schadsoftware gezielt zu verhindern. Auch hier gibt es frei verfügbare Software fü die Betriebssysteme MAC OS & MS-Windows.

Auf Microsoft Systemen sollte zusätzlich das Enhanced Mitigation Experience Toolkit (EMET) installiert werden. Dies sorgt für die Verhinderung des Ausnutzens bekannter Schwachstellen durch Malware.

Letztendlich kann man auch mit sogenannten "Whitelisten" arbeiten, die nur die Ausführung bekannter- und von ihnen gestatteter Software zulässt. Die Einführung solcher Liste ist jedoch mit einem hohen Initialaufwand versehen und macht nur in homogenen Umgebungen wirklich Sinn.

Kontrollierter Datenverkehr zum Internet

Lassen Sie nur kontrollierten Datenverkehr zwischen Unternehmensnetz- und Internet zu!
Wenn jeder Rechner aus dem Firmennetz unkontrolliert Daten mit dem Internet austauschen darf, erhöht sich das Risiko unerwünschten Datenabflusses und Schadsoftware.

Es empfiehlt sich, neben einer Netzwerk-Firewall mit aktuellem Regelwerk, sogenannte Proxies als Vermittler des Datenverkehrs der Client-PCs mit dem Internet einzusetzen. Proxies können als Intrusion Detection Systeme (IPS) fungieren und zudem über ein Regelwerk Zugriffe auf unerwünschte Webseiten verhindern.

Ein zentraler Dienst zur Steuerung der Kommunikation zwischen Rechnern und Netzwerken ist der Domain Name Service (DNS). Dieser Dienst übersetzt für den Menschen verständliche- (www.pointhope.de) in für den Rechner verständliche Daten (IP Adressen) und umgekehrt.
Sinnvollerweise gibt es einen zentralen Unternehmens-DNS Server, der alle Abfragen der internen Systeme bedient. Es existieren Listen bekannter bösartiger Webseiten, deren Erreichbarkeit man mittels des zentralen DNS Server von vorneherein verhindern kann. Dadurch kann keine Kommunikation der Systeme mit unerwünschten Ziele stattfinden. 

Konfigurieren Sie die local-zone ihres internen DNS-resolver durch hinzufügen von bspw.:

local-zone: „badguy.com“ static
local-zone: „badguy.de“ static
local-zone: „badguy.net“ static
oder sub-domains
local-data: „scripts.badguy.net A 127.0.0.1“

Für Unbound DNS sieht diese Konfiguration wie folgt aus:
local-zone: "badguy.net" redirect
local-data: "badguy.net A 127.0.0.1"
Damit verschwindet der Datenverkehr zu diesen Zielen im Nirvana (127.0.0.1). Das ist schnell und sehr effektiv. Es lohnt sich auch über die Verwendung des OpenDNS Dienstes nachzudenken (auch wenn es ein amerikanisches Unternehmen ist) - immerhin wird hier bereits einiges an unerwünschten DNS Abfragen gefiltert. Alternativ können Sie auch auf jedem Arbeitsplatzrechner eine eigene HOST-Datei mit Einträgen bekannter "böser Seiten pflegen.

Netzwerkdesign

Das eigene Netzwerkdesign sollte nicht vernachlässigt werden!
So wie ein aufgeräumter Schreibtisch das Arbeiten und die Suche erleichtert, ist ein gut durchdachtes Netzwerkkonzept die Grundlage für den "sauberen" Datenverkehr. So sollten Server, Drucker, Telephonie und Endgeräte in einem jeweils eigenem Netzwerksegment betrieben werden. Dies erhöht nicht nur die Sicherheit der einzelenen, voneinander abgeschotteten Bereiche, sondern bringt auch noch einen Performance-Gewinn.

Darüber hinaus gehören Geräte die Verbindung zwischen ihrem Netz und dem Internet benötigen (wie bspw. eine an das Internet angeschlossene Telefonanlage) in eine eigene DMZ (De-militarized zone) und sollte mit dem internen Netzwerk keine Verbindung haben. Im Falle der Telefonanlage ist beim Einsatz von Softphones auf den Rechnern natürlich eine Verbindung notwendig, diese kann jedoch über einen Telephonie-Proxy geschaltet werden.

Härten eines Betriebssystems

Auf einem System sollten nur die Dienste laufen, die für den Betrieb notwendig sind!
Hierbei ist die Herausforderung herauszufinden, welche Dienste die Rechner im Unternehmensnetz benötigen- und welche abgeschaltet werden können.

Virtualisierung

Schützen Sie Software vor unerwünschten Änderungen!
Virtualisierte Software wird in einem vom Rest des Systems geschützten Bereich ausgeführt und kann i.d. R. nicht mit anderer Software interagieren oder auf deren Daten zugreifen (Sandbox Prinzip). Darüber hinaus werden Änderungen an virtualisierter Software mit deren Neustart verworfen, so dass keine unerwünschte persistente Manipulation an ihr vorgenommen werden kann.

gesunder Menschenverstand

Sensibilisieren Sie ihre Mitarbeiter!
Da Schadsoftware meisten per e-mail in Unternehmen eindringt, ist es unerlässlich die Mitarbeiter regelmässig auf die Risiken speziell der e-mail Kommunikation hinzuweisen.

Sollte ein Mitarbeiter etwas als verdächtig- oder ungewöhnlich empfinden, geben sie ihm/ihr die Möglichkeit dieses mitzuteilen!
Auch eine aktive Beobachtung der Tendenzen- und bekannt gewordener Versuche des Ausnutzens von Schwachstellen sollte regelmässig erfolgen. Dazu gibt es einschlägige Foren.

Damit schaffen Sie sich die Möglichkeit auf ungewöhnliche Vorfälle zeitnah reagieren zu können und kommen überdies ihren Obliegenheitspflichten als Unternehmer nach.

Weitere Quellen zum Thema

Auswahl frei erhältlicher Programme und Informationen zu:
Lebenszyklen Antivirenprogramme Antimalware DNS Sonstige
Microsoft Windows Avira EMET Unbound DNS (& weitere) Heise (Info)
Apple Macintosh Avast RansomFree (Windows) DNS Blacklisten Squid (Proxy)
Linux Bitdefender Ransomwhere (MAC OS) SANS Blacklisten
Gegenüberstellung No More Ransom HOST Datei (MVPS.org)
ID Ransomware (Info) openDNS.org (Cisco)
Cryptosearch (Wiederherstellung)